Виртуальные частные сети. Узловые сети

Виртуальная частная сеть (VPN) – обобщённое название технологий, позволяющих обеспечить одно или несколько изолированных сетевых соединений, используя в качестве транспорта любую реальную IP-сеть (Интернет). Благодаря прим средств криптографии (шифрования, аутент, инфраструктуры открытых ключей, средств для защиты от изменений передаваемых сообщений) эти технологии позволяют организовать безопасный обмен данными с удаленной ЛВС через открытую сеть общего пользования.

Характеристики виртуальных частных сетей:

- трафик шифруется для обеспечения защиты от прослушивания;

- осуществляется аутентификация удаленного сайта;

- обеспечивают поддержку множества протоколов;

- соединение обеспечивает связь только между двумя конкретными абонентами.

Виртуальные частные сети подразделяются на два типа: пользовательские и узловые. Различия: метод использования.

Пользовательские VPN – сети, построенные между отдельной пользовательской системой и узлом или сетью организации. Польз подключается к интернету через телеф подключение к локальному поставщику услуг, через канал DSL или кабельный модем и инициирует VPN-соединение с узлом организации через интернет.
В случае успешной аутентификации узлом организации
Узел организации запрашивает у пользователя аутентификационные данные и, в случае успешной аутентификации, позволяет пользователю осуществить доступ к внутренней сети организации. Кроме того, пользователь, помимо VPN-соединения с внутренней сетью организации, может соединяться и с интернетом. Конфигурация пользовательской VPN.

+:сотрудники, находящиеся в командировке, могут осуществлять доступ к электронной почте, файлам и внутренним системам в любое t; сотрудники, работающие из дома, могут осуществлять доступ к службам сети, как и сотрудники, работающие в организации, без аренды дорогостоящих выделенных каналов. Данные преимущества экономят денежные средства.

-: правильное исп польз VPN м ¯ затраты организации, но при их использовании ↑ степень риска, связанная с безопасностью, и проблемы реализации, с которыми приходится считаться.

В некоторых случаях пользователи VPN могут быть привязаны к идентификаторам пользователей в домене системы централизованного управления пользователями, что требует бдительности со стороны администратора, каким пользователям требуется удаленный VPN-доступ, а каким – нет. Так как VPN позволяет осуществлять удаленный доступ к внутренней сети организации, эта аутентификация д б двухфакторной, то есть запрашивать два аутентификационных параметра. Использование преобразования сетевых адресов (NAT) на др конце соединения м повлиять на использование организацией пользовательской VPN. При использовании VPN с узлов, защищенных МЭ, могут возникнуть проблемы.

Управление польз VPN заключается в управлении польз и их комп: на комп польз д устанавливаться правильные версии ПО VPN и реализовываться соответствующие конфигурации.

Узловые VPN используются для подключения к удаленным узлам без применения дорогостоящих выделенных каналов или для соединения двух различных организаций. VPN соединяет один МЭ или пограничный маршрутизатор с другим аналогичным устройством.

Для инициировки VPN осуществляется попытка передать трафик от одного узла к другому. Оба узла аутентифицируют друг друга посредством некоторого общего предопределенного секрета либо с помощью сертификата с открытым ключом.

Основное преимущество узловой VPN – экономичность.
-: 1.VPN м позволить злоумышленнику получить доступ к центральному узлу и другим частям внутренней сети организации через удаленные узлы ® необ применять строгие политики и реализовывать функции аудита для обесп безопасности организации в целом. 2. Сервер VPN должен поддерживать дешифрование и шифрование VPN-трафика. Если уровень трафика высок, сервер VPN может оказаться перегруженным. 3. Адресация. Использование узловой VPN внутри одной организации, требует наличия одинаковой схемы адресации для всех узлов, для соединения двух различных организаций, необходимо предпринять меры для предупреждения любых конфликтов, связанных с адресацией.

Очевидно, что схемы адресации б конфликтовать друг с другом, а маршрутизация трафика не б функционировать.

Узловая VPN использует NAT для предотвращения конфликтов адресации

На маршрутизаторах внутренних сетей потребуется создать маршруты к удаленным сайтам, которые наряду с управлением схемой адресации, должны четко документироваться во избежание непреднамеренного удаления маршрутов в процессе управления маршрутизатором.