Виртуальная частная сеть. Функции, назначение, принцип построения

1.

Виртуальная частная сеть.
Функции, назначение, принцип
построения. Криптографические и
некриптографические средства
организации VPN
Тема 3.2.1

2.

Виртуальная частная сеть VPN
Виртуальной частной сетью (VPN - Virtual Private Network) называют
обобщенную группу технологий, обеспечивающих возможность
установления сетевых соединений поверх другой сети.
Технически виртуальная сеть - это криптосистема, защищающая
данные при передаче их по незащищенной сети. Т.е. потоки данных
одной группы пользователей (предприятия), использующих VPN, в
рамках одной публичной сети защищены от влияния иных потоков
данных.
На базе одной физической сети может функционировать несколько
виртуальных.
Структура VPN включает в себя: каналы связи, маршрутизаторы и
защищенные протоколы. Локальные сети объединяются в
виртуальную при помощи "виртуальных выделенных каналов", для
создания которых применяется механизм туннелирования (пакеты
локальной сети инкапсулируются в новые IP - пакеты инициатором
туннеля, на обратном конце "туннеля" происходит обратный
процесс).
Подключение нового пользователя к VPN осуществляется через VPN сервер.

3.

Цели и задачи виртуальных частных
сетей
Основной целью виртуальной сети является максимально
возможное обособление потока данных компании (определенной
группы пользователей) от потока данных других пользователей
общей сети.
Задачей виртуальной сети является обеспечение указанной
обособленности данных, которую можно разделить на следующие
подзадачи, решаемые средствами VPN:
Конфиденциальность - гарантия того, что данные не будут
просмотрены третьими лицами.
Целостность - обеспечение сохранности передаваемых данных.
Доступность - санкционированные пользователи должны иметь
возможность подключения к VPN постоянно.

4.

Защита информации в виртуальных
частных сетях
Основной угрозой при использовании VPN является НСД
к данным, который можно разделить на два типа:
- НСД в процессе передачи данных по открытой (общей)
сети;
- НСД к внутренним корпоративным сетям.
Основными функциями защиты информации при
передаче данных по VPN являются:
- аутентификация;
- шифрование;
- авторизация.

5.

Классификация виртуальных сетей
Классификация по архитектуре:
VPN с удаленным доступом. Данные сети
предназначены для обеспечения защищенного
удаленного доступа к корпоративным сетевым
информационным ресурсам.
Внутрикорпоративные VPN. Предназначены для
объединения различных структурных подразделений
компании, или групп предприятий в единую
защищенную информационную сеть.
Межкорпоративные VPN. Данные сети
предназначены для обеспечения взаимодействия с
поставщиками, клиентами, партнерами и т.д.

6.

Классификация виртуальных сетей
Классификация по уровню OSI:
VPN канального уровня. Данный тип обеспечивает
инкапсуляцию трафика сетевого и более высоких уровней и
построение виртуальных туннелей "точка - точка". На данном
уровне используются протоколы L2F и PPTP (протоколы
построения VPN будут рассмотрены в завершающей части
данной лекции).
VPN сетевого уровня. Данный тип осуществляет инкапсуляцию
IP в IP. К протоколам данного уровня относят SKIPP и IPSec.
VPN сеансового уровня. Данный тип VPN использует подход
под названием "посредник каналов" - трафик из защищенной
сети ретранслируется в общедоступную для каждого
программного интерфейса в отдельности. Часто используется
протокол TLS для шифрования информации.

7.

Классификация виртуальных сетей
Классификация по способу реализации:
Программно-аппаратное обеспечение. Реализация
осуществляется на базе аппаратно-программного
комплекса, обеспечивающего высокую
производительность и защищенность.
Программное решение. Обеспечение работы VPN
осуществляется специальным ПО, установленным на
ПК пользователя.
Интегрированная реализация. Функциональность
VPN обеспечивает комплекс, решающий также задачи
фильтрации сетевого трафика, организации сетевого
экрана и обеспечения качества обслуживания.

8.

Специфика построения VPN
На базе брандмауэров (межсетевых экранов). Большинство брандмауэров
поддерживает туннелирование и шифрование данных. Основным недостатком
является зависимость производительности от аппаратного обеспечения, т.е. данное
решение подходит для небольших сетей с малым объемом передаваемой
информации.
На базе маршрутизаторов. Поскольку вся исходящая информация сети проходит
через маршрутизатор, целесообразным представляется переложить на маршрутизатор
функции шифрования.
На базе программного обеспечения. Как видно из названия, особенностью данного
метода построения VPN является использование специализированного программного
обеспечения, которое устанавливается, как правило, на выделенном компьютере.
Данный компьютер может быть расположен за брандмауэром.
На базе сетевой операционной системы. Одно из наиболее простых, удобных, а
иногда и дешевых решений. VPN строится и управляется средствами операционной
системы. В качестве недостатка, можно отметить отсутствие проверки целостности
данных и невозможность смены ключей во время соединения.
На базе аппаратных средств. Для организации VPN используется
специализированное устройство, поддерживающее шифрование информации,
содержащее средства трансляции сетевых адресов, а также платой, выполняющей
функции брандмауэра.

9.

Преимущества виртуальных частных
сетей
Стоимость.
Масштабируемость.
Управляемость.
Простота.

10.

Ответьте на вопросы:
1. Что такое виртуальная частная сеть
2. Какие угрозы может реализовать
злоумышленник в VPN?
3. Назовите способы защиты от указанных
атак.
4. Приведите классификацию VPN по
архитектуре, по уровню OSI, по способу
организации.
5. Перечислите способы построения VPN.