Средства организации виртуальных частных сетей

Средства организации виртуальных сетей (Virtual Private Network (VPN)) позволяют объединить несколько локальных сетей, подключенных к INTERNET в одну виртуальную сеть. VPN позволяют организовать прозрачное для пользователей соединение локальных сетей, сохраняя секретность и целостность передаваемой информации с помощью шифрования.

Виртуальные частные сети можно разделить на 3 основные группы:

Access VPN - позволяет мобильным пользователям получать доступ к корпоративной сети своей организации через модем или канал ISDN.

Intranet VPN - позволяет заказчику устанавливать связь между своими офисами, используя IP сеть оператора или сеть Internet. Эта технология использует методы IP-туннелирования такие как GRE, L2TP (Layer 2 Tunneling Protocol) или IPSec (IP Security). Эти туннели устанавливаются между офисными маршрутизаторами для создания между офисами виртуальных соединений. Для повышения безопасности, данные в виртуальном канале могут шифроваться.

Extranet VPN - позволяет разным компаниям связываться между собой и расширяет возможности компаний в электронной коммерции.

Технология VPN предусматривает комплексную защиту передаваемых данных: при создании VPN-канала проверяется аутентичность двух сторон, создающих канал, а затем каждый пакет переносит цифровую подпись отправителя, удостоверяющую аутентичность и целостность пакета. Для защиты от несанкционированного доступа пакеты могут шифроваться, причем для сокрытия адресной информации, раскрывающей внутреннюю структуру сети, пакеты могут шифроваться вместе с заголовком и инкапсулироваться во внешний пакет, несущий только адрес внешнего интерфейса VPN-шлюза.

В настоящее время основой для организации защищенных VPN-каналов стал комплекс стандартов Internet IPSec. Стандартам IPSec свойственна гибкость: в них оговорены обязательные для аутентификации и шифрования протоколы и алгоритмы, что обеспечивает базовую совместимость IPSec-продуктов, и в то же время разработчику продукта не запрещается дополнять этот список другими протоколами и алгоритмами, что делает возможным постоянное развитие системы безопасности. Для аутентификации сторон и генерации сессионных ключей в IPSec предусмотрена возможность использования цифровых сертификатов.

Стандарт IPSec гарантирует конфиденциальность, целостность и аутентичность информации. IPSec использует несколько протоколов обеспечения безопасности и проведения аутентификации, важнейшим из которых является протокол Internet Key Exchange (IKE). Протокол IKE позволяет установить безопасное соединение между двумя пунктами при помощи цифровых подписей на основе системы открытых ключей (public key infrastructure PKI). Для шифрования данных по протоколу IPSec обычно используются алгоритмы DES.

Пример средств организации VPN- комплекс " Континент-К" (“Информзащита”)

Комплекс служит мощным и гибким инструментом создания виртуальных частных сетей, позволяя строить VPN любой архитектуры или внедрять комлекс в уже функционирующие корпоративные сети без внесения изменений в устоявшиеся механизмы взаимодействия с открытыми сетями (Internet). Ниже представлена типовая схема построения VPN на основе комплекса (рис. 54):

Рис. 54. Структура VPN на основе комплекса “Континент-К”

Функции комплекса:

-Объединение через Internet локальных сетей предприятия в единую сеть VPN.

-Разделение доступа между информационными подсистемами.

-Удаленное управление маршрутизаторами.

-Подключение удаленных пользователей:

-централизованное подключение;

-подключение по схеме " дерево";

-децентрализованное подключение.

На рис. 55 приведен механизм функционирования криптошлюза комплекса " Континент-К" исходящих пакетов.

Рис. 55. Работа криптошлюза для исходящих пакетов