• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Virtual Private Networks Security Presents
 

Virtual Private Networks Security Presents

on

  • 2,001 views

Virtual Private Networks Security

Virtual Private Networks Security

Statistics

Views

Total Views
2,001
Views on SlideShare
1,980
Embed Views
21

Actions

Likes
0
Downloads
52
Comments
0

3 Embeds 21

https://www.coursesites.com 19
http://www.slideshare.net 1
http://1styearinfo.pbworks.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

CC Attribution-NonCommercial LicenseCC Attribution-NonCommercial License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Virtual Private Networks Security Presents Virtual Private Networks Security Presents Document Transcript

    • Икономически университет-Варна Център за магистърско обучение по дисциплината Безопасност и защита на Microsoft мрежи и приложения Тема: Безопасност и защита на VPN-мрежиИзготвил: Проверил:Видилина Кръстева-ф.н 9335 доц.д-р Стефан Дражевспец.Информатика
    • СЪДЪРЖАНИЕВъведение ................................................................................................................................. 3Същност на виртуалните частни мрежи ........................................................................... 4Предимства на VPN ............................................................................................................. 10Видове VPNs .......................................................................................................................... 13Отдалечен достъп през Интернет ...................................................................................... 15Свързване на мрежи през Интернет ................................................................................. 16Свързването на компютри през Intranet ......................................................................... 17Основни VPN изисквания................................................................................................... 18VPN като алтернатива ........................................................................................................ 19Мотивация при изграждането на VPN ............................................................................. 21Основи на тунелирането ..................................................................................................... 24Тунелни протоколи .............................................................................................................. 25Протоколи за криптиране .................................................................................................. 27Типове VPN мрежи............................................................................................................... 27Сигурност на VPN ................................................................................................................ 29Заключение ............................................................................................................................ 31Използвана литература ....................................................................................................... 32 2
    • “Virtual Private Networks (VPN) предлагат понижаване на разходите от 50 до 75%като заменят по-скъпите наети линии и сървъри за отдалечен достъп, като в същотовреме намаляват средствата нужни за оборудване и обучение; VPN помагат и заподдържане гъвкавостта на корпоративната мрежа, позволявайки й да отговаря по-бързо на промените в пазара и бизнес партньорствата.” Dave Kosiur, “Building and Managing VPNs”. Въведение Интернет е най-великият инструмент за работа, който светътпознава.Той пренася думи и идеи през огромни разстояния само за няколкомилисекунди.За съжаление Internet също така прави Вашите компютридостъпни за атака от почти всяко място на планетата.Всеки ден кракеритена системите се възползват от уязвимите компютри, като ги превръща впредаватели на нежелана поща, участници в разпределени denial-of-serviceатаки или просто ги използват, за да скрият други противни дейности. В условията на съвременния многонационален глобален пазарнеобходимостта да поддържат все по-голям брой отдалечени и мобилнислужители се превръща в императив за компаниите. В основни линии товасе постига благодарение на CPE VPN (customer premise equipment virtualprivate network) - частна мрежа за пренос на данни, която се възползва отдостъпната телекомуникационна инфраструктура и същевременноподдържа поверителност на информацията благодарение на протоколи идруги процедури, свързани със сигурността. Системата от собствени илинаети линии може да се използва само от една фирма. Целта на CPE VPN еда осигури на предприятията същите възможности като частните мрежи,но на много по-ниски цени, като се използва достъпната инфраструктура.Както телекомуникационните компании осигуряват обезопасенисподелени ресурси, свързани с телефонните обаждания, така CPE VPNдава възможност за постигане на същото ниво на сигурност за обмененитеданни. Въпреки това все по-голям брой противници на виртуалните частнимрежи изразяват мнението, че CPE VPN вече не е актуална технология. 3
    • Това се дължи на факта, че с наличното оборудване компаниите трябва дамогат напълно да конфигурират и подсигуряват своите VPN. В резултат натова се реализират много високи оперативни разходи - предприятиетоизисква от доставчика да изпрати свои инженери да се справят с техникатана място. Същност на виртуалните частни мрежи От години гласа, информацията и почти всички софтуерно определенимрежови услуги се наричат “виртуални частни мрежи” от телефоннитекомпании. Обаче сегашните поколения на тези мрежи са много по-напреднала комбинация от проникване, криптиране, удостоверяване итехнологии за контролиране на достъпа и услуги. Частната виртуалнамрежа по същество е система, която позволява на две или повече частнимрежи да бъде свързани помежду си чрез публично достъпна мрежа,такава каквато е Интернет. В този смисъл, VPN са подобни на мрежите сширока област (WAN), като те обикновено се състоят от криптиран тунелот определен вид, но най-важната характеристика на VPN е, чеизползването на публични е много по-евтино, отколкото да разчитат наскъпи, частни наемни линии. Тези мрежи се базират на мрежи с ограничендостъп които използват същите връзки и рутери, както и публичнитемрежи и те правят това без да жертват сигурността или възможностите.Виртуалните частни мрежи могат да имат множество форми, в зависимостот използваните различни комбинации от хардуерни и софтуернитехнологии. VPN използват комбинации от технологии за достъп,включително Т1, frame relay, ISDN, ATM или обикновен достъп чрезнабиране. Тези мрежи могат да съществуват между индивидуални машинии частна мрежа или отдалечени LAN и частна мрежа. В същото време VPNимат същата сигурност и възможности за криптиране като частна мрежа, асъщо така е много ефективно средство при обмяната на важна информацияза работници, работещи в отдалечени клонове, у дома или по пътя. По 4
    • такъв начин се осигурява сигурен пренос на информация междупродавачи, снабдители и бизнес партньори, които могат да са на голяморазстояние помежду си (фиг. 1.). Фиг.1Пренос на информацията Виртуалната частна мрежа(Virtual Private Network - VPN) е разширениена частна мрежа, която обхваща връзки през споделени или публичнимрежи като Интернет. VPN ви дава възможността да изпращате даннимежду два компютъра през споделена или публична мрежа по начин, койтонаподобява свойствата на Point-to-Point частна връзка. Акта наконфигуриране и създаване на виртуална частна мрежа се нарича virtualprivate networking. За да наподоби point-to-point връзка, данните са инкапсулирани илиобвити с обвивка, която осигурява маршрутизираща информацияпозволяваща на данните да прекосяват споделени или публични мрежи ида достигат своята крайна точка. За да наподобят частни връзки,изпратените данни са криптирани за по-голяма поверителност. Пакетите,които са прихванати през споделената или публична мрежа е невъзможнода бъдат декодирани без декодиращия ключ (encrypted key). Частта от 5
    • връзката, в която частните данни са капсулирани е известна като тунел.Частта от връзката, в която данните са криптирани, е известна катовиртуална частна мрежа. Фиг.2 VPN връзките позволяват на потребителите да си работят от вкъщи илина път, да се свързват по сигурен начин към отдалечен сървър,използвайки маршрутизиращата инфраструктура осигурена от публичнамрежа (като Интернет). От преспективата на потребителя, VPN връзката еpoint-to-point връзка с потребителските компютри и сървъра наорганизацията. И така VPN технологията дава възможност на еднакорпорация да свърже отделни нейни филиали или да се свърже скомпютрите на други корпорации през публични мрежи(като Интернет)като твърди, че това са едни сигурни комуникации. VPN връзките през Интернет логично работят като wide areanetwork(WAN) връзки между обектите. И в двата случая, сигурнатакомуникация през мрежата се явява пред потребителя като частнакомуникация – въпреки факта, че комуникацията се осъществява презпублична мрежа - оттук идва и името виртуална частна мрежа. VPN технологията е проектирана към решаване на въпроситеобхващащи сегашните бизнес тенденции към увеличаване нателекомуникативността, където служителите трябва да са способни да сесвързват към централните ресурси и да бъдат способни да комуникиратедин с друг. 6
    • Виртуалните частни мрежи използват известни мрежови технологии ипротоколи. Клиента изпраща поток от криптирани Point-to-Point Protocol(PPТP) пакети на отдалечен сървър или рутер, вместо да използва поделеналиния (както е случая със WAN) и пакетите се предават чрез тунел поограничена мрежа. Общата идея за използването на този метод е, чекомпанията намалява телекомуникационните такси които се дължат присвързване на отдалечени потребители и клонове със щаб-квартирата. Тъйкато компаниите вече не трябва да инвестират сами в действителнаинфраструктура, те могат да намалят техните операционни разходи чрезизползване на мрежови услуги от доставчици на услуги.Обикновеноорганизация, която иска да изгради мрежа с широка област трябва даосигури скъпи публични линии, за да свърже заедно своите офиси. Самоголеми компании могат да си позволят да закупят тези линиибезпроблемно, така че повечето организации “наемат” техните линии иплащат месечна такса, която понякога достига до хиляди долари, запривилегията да използват кабели, които никой друг не може да се свърже.Организацията обикновено инсталира наемна линия WAN, за да поддържаintranet на дълги разстояния. Освен файловото поделяне и електроннатапоща, тези WAN осигуряват достъп до intranet страници и системи завидео конференции. VPN могат да поддържат същите intranet / extranetуслуги както WAN, но те също са известни със своите възможности даподдържат услуги по отдалечен достъп. Напоследък много организации саувеличили мобилността на своите работници, позволявайки им дателекомуникират. Работниците също продължават да пътуват и сесблъскват с нарастващата нужда да останат “включени” в мрежата накомпанията. Наемните линии не поддържат добре подвижни работници,защото линиите се провалят в опита си да осигурят подвижност и широкаработна площ. Компании, които не използват VPN трябва да използватsecure dial-up услуги в такъв случай.VPN не винаги означава 7
    • комуникационна изолация, а по-скоро контролирана сегментация накомуникациите за общност от интереси чрез поделена инфраструктура.Най-общата и формална характеристика на VPN и може би най-недвусмислено и стриктно определение е: Виртуалната частна мрежа е комуникационно оборудване, при коетодостъпа се контролира за да се допуснат равни връзки само вътре вопределената общност от интереси. По-простичко, по-точно и много по-неформално определение е, чевиртуалните частни мрежи са частни мрежи, конструирани в публичнамрежова инфраструктура, такава, каквато е и глобалния Интернет.Същотака трябва да се обърне внимание, че докато VPN може да секонструирани да задоволяват голям брой бизнес нужди или техническиизисквания, изчерпателното VPN решение осигурява поддръжка за dial-inдостъп, свързване на множество отдалечени сайтове чрез наемни линии,възможността на VPN доставчика на услуги да “хоства” множество услугиза клиенти на тези мрежи (например уеб хостинг), и способността даподдържа не само intra-, но също така и inter-VPN връзки, включително ивръзки с гобалния Интернет. Долната фигура (фиг. 3.) илюстрира решения за отдалечен достъп сVPN. Отдалечено разклонение (клиент), желаещ да се включи в мрежата накомпанията се обажда на локалния сървър, който е включен в публичнатамрежа. VPN клиента установява връзка със VPN сървъра, поддържан отсайта на компанията. Веднъж, след като е установена връзката,отдалечения клиент може да комуникира с мрежата на компанията същотолкова сигурно по публичната мрежа, колкото и по вътрешната LANмрежа. Просто разширение на архитектурата на разширен достъп на VPN,показано по-горе, позволява на цялата отдалечена мрежа (за разлика отпросто един отдалечен клиент) да се свързва с местната мрежа. За разликаот връзката клиент-сървър, връзката сървър-сървър на VPN свързва две 8
    • мрежи във форма на разширен интранет или екстранет. Потребителите наинтранет могат също да използват VPN технологията, за да осъществяватконтролиран достъп на индивидуални subnets по частна мрежа. В тозирежим, VPN клиенти се свързват с VPN сървър, който играе ролята наврата към компютрите зад него във subnet. Важно е да се отбележи, чеупотребата на този тип VPN не включва ISPs или public network cabling.Обаче, се дава преимущество на сигурността и удобството приизползването на VPN технологията. Фиг.3 Отдалечен достъп с VPN Веднъж, след като компанията се свърже със VPN сървър, тя може даизползва същите приложения, които по принцип използва, за да се свържес Интернет или може да поръча или наеме подходящите устройства взависимост от обхвата на мрежата. По нататък това може да бъдеизползвано за свързване на LAN в различни сайтове или да дава напотребителите, клиентите и консултантите достъп до корпоративнитересурси (фиг. 4.). Често VPN се използват за отдалечени работници катопродавачи, за надомни работници или хора с разширено работно време. 9
    • Фиг.4Предимства на VPN Фиг.5 Предимства на VPN  Сигурност - VPNs предоставят най-високото ниво на сигурност чрез използване на съвременни, стандартизирани протоколи за сигурност, като Triple Data Encryption Standard (3DES) за криптиране и IP Security Protocol (IPSec) за тунелиране, както и 10
    • множество автентикиращи методи, които предпазват данните от неоторизиран достъп и злоупотреби. Традиционният отдалечен достъп и WAN технологиите като remote dial и Frame Relay предоставят изолиране на трафика, но не и сигурност на предаването. Използвайки криптиране и автентикация, VPNs предоставят повишена мрежова сигурност в „несигурния мрежов свят”. По – ниски разходи – VPNs позволяват на компаниите да използват рентабилния thirdparty интернет транспорт за свързване на отдалечени офиси и потребители към техните главни корпоративни офиси. Не се налага използването на скъпи наети или Frame Relay линии. С появяването на рентабилните, високоскоростни технологии като DSL, компаниите могат да използват VPNs за намаляване на разходите за WAN връзки, като едновременно с това увеличават честотната лента към отдалечените офиси. VPNs за отдалечен достъп могат да бъдат използвани за свързване на отдалечени потребители към техните корпоративни мрежи чрез локални ISPs. VPNs намаляват разходите и за IT персонал, тъй като изискванията за сигурността са стандартизирани, използва се лесно управляемо и скалируемо VPN оборудване, а някои от задачите за поддръжка могат да се изпълняват от доставчика. Скалируемост - VPNs дават възможност на корпорациите да използват лесно достъпната Интернет инфраструктура чрез ISPs, както и утройства, позволяващи лесно добавяне на нови потребители. Поради тази причина, корпорациите са в състояние да увеличават значително производителността си без добавяне на допълнителна инфраструктура. 11
    •  Увелиена производителност - Чрез предоставяне на по-бърза и по-надеждна връзка между мобилни служители, отдалечени офиси, extranet партньори и корпоративни мрежи, VPNs несъмнено подобряват нивата на производителност в компаниите. На служителите се предоставя по-добра възможност за отдалечена работа – сценарий, който позволява на компаниите да използват по-малко работно пространство. Има 3 основни VPN технологии: доверена – trusted VPN, сигурна –secure VPN, смесена – hybrid VPN. Важно е да се отбележи, че сигурните и доверените VPNs не сатехническисвързани и могат да съществуват съвместно. Преди Интернет да станепочти всеобхватен, една VPN се състои от една или повече линии (circuits),наети от даден доставчик. Всяка наета линия играе ролята на единичнажица в мрежа, която е контролирана от клиента. Понякога доставчикътпомага при управлението на клиентската мрежа, но основната идея еклиентът да използва наетите линии по същия начин, по който използвафизическите кабели в собствената си локална мрежа. Единственото нивона сигурност при тези VPNs е гаранцията на доставчика, че никой другосвен клиента не може да използва същите линии. Това позволява наклиентите да имат собствено IP адресиране и собствена политика посигурността. Една наета линия преминава през един или повечекомуникационни switch-а, всеки от които може да бъде изложен на някой,който иска да наблюдава мрежовия трафик. VPN клиентът вярва (trust) наVPN доставчика, че поддържа цялостта на линиите и използва най-добритедостъпни бизнес практики за предотвратяване на подслушването натрафика. Тези VPNs се наричат доверени (trusted) VPNs. С увеличаване на популярността на Интернет като корпоративносредство за комуникации, сигурността става много по-належащ проблем 12
    • както за доставчици, така и за клиенти. Осъзнавайки че доверените VPNsне предлагат реална сигурност, доставчиците започват създаването напротоколи, които биха позволили криптирането на данните в края на еднамрежа или в първоначалния компютър, пренасянето им като всички другиданни и дешифрирането им при достигане на предназначеното място. Тозикриптиран трафик играе ролята на тунел между двете мрежи: дори и акоедин нарушител успее да види трафика, той не може да го прочете и неможе да го промени без това да остане незабелязано при получаването.Мрежите, конструирани чрез използване на криптиране се наричат сигурни(secure) VPNs. Напоследък, доставчиците започват да предлагат нов вид доверениVPNs, които този път използват Интернет вместо телефонните системикато основа за комуникациите. Този нов вид доверени VPNs все още непредлагат сигурност, но предоставят на клиентите начин за лесносъздаване на мрежови сегменти за WANs. В добавка, доверените VPNсегменти могат да бъдат контролирани от едно място и често се доставят сгарантирано качество на услугата (QoS) от доставчика. Сигурна VPN можеда функционира като част от доверена VPN, създавайки трети тип VPN -хибридни (hybrid) VPNs. Сигурните части на хибридна VPN могат дабъдат контролирани от клиента (например чрез използване на сигурноVPN оборудване по различните местоположения) или от доставчика, койтопредоставя доверената част на хибридната VPN. Понякога цялатахибридна VPN е осигурена от сигурна VPN, но обикновено се осигурявасамо част от хибридната VPN. Видове VPNs VPNs се делят на три основни категории: за отдалечен достъп (remoteaccess), intranets и extranets. VPNs за отдалечен достъп свързват мобилнитеслужители, отдалечените потребители и офиси към корпоративния WAN и 13
    • изчислителните ресурси посредством минимален трафик.Intranet VPNсвързва фиксирани местоположения, клонове и офиси в enterprise WAN.Extranet разширява ограничения достъп до корпоративните изчислителниресурси към бизнес партньори като доставчици или клиенти, позволявайкидостъп до споделена информация.Често на VPNs се гледа от двеперспективи – от функционална и от технологична гледна точка.Функционалната набляга повече на целите и намеренията на VPN, докатотехнологичната изтъква специфичните технологии, използвани заимлементиране на VPN. От функционална гледна точка VPNs често се класифицират на VPNs заотдалечен достъп и site-to-site VPNs. Терминът отдалечен достъп се отнасяза имплементации на VPN, в които отделните отдалечени потребители, илит.нар. мобилни служители, осъществяват достъп до корпоративната мрежачрез техните PC-та. Те могат да използват традиционни dial-in конекциикъм местен ISP, след което да инициират тунел към корпоративната мрежа.Алтернативна възможност е да се инициира тунел чрез високоскоростнасреда, като Ethernet, достъпна в много хотели. Относително съвременнаразновидност е безжичната VPN за отдалечен достъп, при която мобилнияслужител осъществява достъп до корпоративната мрежа чрез безжичнаконекция посредством PDA. Във всички случаи софтуерът на PC или PDAпредоставят сигурна конекция, често наричана тунел, към корпоративнатамрежа. Отделните служители трябва да се автентикират преди да им бъдепредоставен достъп до мрежата. Site-to-site VPN засяга имплементации, вкоито мрежата на едно местоположение се свързва с мрежата на друго чрезVPN. Мрежовите устройства се автентикират едно друго, след коетоустановяват VPN връзка между отдалечените места. Тези устройстваизпълняват ролята на шлюзове, безопасно предаващи трафика,предназначен за отдалеченото местоположение. Рутерите или защитнитестени с VPN поддръжка и VPN концентраторите предоставят тази 14
    • функционалност. Site-to-site VPNs могат да бъдат разделени на intranet(конекции между местоположения, които са част от една и съща компания;като такива достъпът между тях е по-малко ограничителен) и extranetVPNs (конекции между компания и нейните бизнес партньори; достъпътмежду отделните местоположения трябва да е добре контролиран и отдвете страни). Разликата между двата вида VPNs (за отдалечен достъп иsite-to-site) ще става все по-неясна с по-широкото навлизане на новиустройство като хардуерни VPN клиенти. Тези устройства изглеждатсякаш са единично устройство, свързано към мрежата, въпреки че евъзможно да има цяла мрежа с няколко устройства зад тях. Отдалечен достъп през Интернет VPNs осигурява отдалечен достъп до ресурси на организацията презпубличен Интернет. Фигура 6 показва VPN връзка използвана да свържеотдалечен клиент към Интранет на организацията. Това е известно катоотдалечен достъп на VPN връзка. Фигура 6: Използване на VPN връзка да свърже отдалечен клиент към Intranet на организация. По-добре отколкото да прави отдалечени телефонни връзки доорганизацията или outsourced network access server(NAS), потребителят 15
    • набира локален ISP. Използвайки връзката към локален ISP, VPN клиентътсъздава VPN връзка между отдалечения компютър и сървъра наорганизацията през Интернет. Свързване на мрежи през Интернет Има два метода за използването на VPNs за свързването на локалнимрежи към отдалечен обект:  Използвайки посветени линии за свързването на офис към LAN на организацията. Например, по-добре от използването на скъпи, далеко-дистантникабелни връзки между браншовия офис и корпоративния хъб, е и дватарутъра на браншовия офис и корпоративния хъб рутер да използватлокална посветена електрическа мрежа и локален ISP за свързване къмИнтернет. VPN софтуерът използва локалните ISP връзки и Интернет за дасъздаде виртуална частна мрежа между рутъра на браншовия офис икорпоративния хъб рутер.  Използването на dial-up линия за да свърже браншовия офис към Интернет. VPN клиентът използва връзката към локалния ISP за да създаде VPN връзка между рутъра на браншовия офис и корпоративния хъб рутер през Интернет. Фиг.7 Използването на VPN връзка за свързването на два отдалечени обекта 16
    • И в двата случая, устройствата, които свързват браншовия офис икорпоративните офиси към Интернет, са локални. Корпоративния хъбрутер, който играе ролята на VPN сървър трябва да бъде свързан къмлокален ISP с посветена линия. Този VPN сървър трябва да е активен 24часа в денонощието за идващ VPN трафик. Свързването на компютри през Intranet Данните, които се съхраняват в някои вътрешни отдели наорганизацията, може да бъдат толкова важни и поверителни, че тези LANмрежи да бъдат отделени от останалите мрежи на организацията. Въпреки,че това предпазва поверителната информация на отдела, това създава ипроблеми с достъпността на тези потребители, които не са във физическиконтакт с отделната LAN мрежа. Фиг.8 Използване на VPN връзка за свързване към защитена или скрита мрежа VPNs позволява на LAN-a на отдела да бъде физически свързан къммрежата на организацията, но е отделен посредством VPN сървър. VPNсървърът не изпълнява ролята на рутър между мрежата на организацията иLAN-a на отдела. Рутър щеше да свърже двете мрежи, като позволи навсеки достъп до поверителната мрежа. При използването на VPN сървър,администраторът на мрежата може да осигури, че само тези потребителина мрежата на организацията, които имат подходящи акредитивни писмамогат да установят VPN връзка със сървъра и да придобият достъп дозащитените ресурси на отдела. В допълнение, всички комуникации презVPN могат да бъдат криптирани за поверителност на данните. Тези 17
    • потребители, които нямат подходящи акредитивни писма не могат давидят LAN-a на отдела. Основни VPN изисквания Типично, когато се разгръща отдалечено мрежово решение, енеобходимо за предприятията да се улесни контролирания достъп доресурсите и информацията на организацията. Решението трябва дапозволява на отдалечен клиент да се свърже към LAN ресурсите, ирешението трябва да позволява отдалечени офиси да се свързват един сдруг, да споделят ресурси и информация(router-to-router връзка). Вдопълнение, решението трябва да осигурява цялостта и неделимостта наданните като те прекосяват Интернет. Същата грижа важи и за случая, когато поверителна информацияпрекосява мрежата на организацията. Затова VPN решението трябва да осигури най-малко всички отследните изисквания:  Автентикация на потребителя. Решението трябва да проверява идентичността на VPN клиента и да ограничава VPN достъпа само на упълномощени потребители.  Управление на адресите. Решението трябва да назначава VPN клиентите на адрес в Интранет и да осигурява, че използваните в Интранет адреси се съхраняват като частни.  Криптиране на данните. Данни трябва да бъдат пренасяни криптирани през публични мрежи.  Управление на ключовете. Решението трябва да генерира и обновява декриптиращи ключове за криптираните данни. Интернет VPN решението базирано на Point-to-Point Tunneling Protocol(PPTP) или Layer Two Tunneling Protocol с Internet Protocol сигурност(L2TP/IPSec) отговаря на всички тези основни изисквания и взимапредимство на обширния достъп до Интернет. Други решения, включващи 18
    • IPSec tunnel mode, отговарят само на някои от тези изисквания, но оставатполезни за специални ситуации. VPN като алтернатива Алтернативата на използването на Интернет като VPN в днешно времее да се наемат поредици или подобни комуникационни услуги отоператори на публични мрежи (в повечето случаи това е местнатателекомуникационна компания) и да се създаде напълно частна мрежа.Това е пластово обединение, което ни позволява да му дадем името“напълно частно” като тези публични комуникационни услуги са (в най-ниските слоеве на протоколната верига) отново отделни случаи навиртуални частни комуникационни системи, конструирани на върха насистемата за общ пренос. Разбира се това не е без прецедент и трябва да сеотбележи, че множеството от ранните опити в предаването на информацияи много от сегашните архитектури за пренос не се приемат като разгърнатмодел на повсеместен публичен достъп.Обаче тази алтернатива имаасоциирана цена, в това, че клиента сега трябва да управлява мрежата ивсичките й асоциирани елементи, да инвестира капитал винфраструктурата за сменяне на мрежата, да наеме обучен персонал, дапоеме пълна отговорност за провизионирането и поддържането насъществуването на мрежовите услуги. Такова разширено използване натранспортни услуги, оборудване и персонал често е трудно да се оправдаеза множество малки и средни по размер организации и докатофункционалността на частната мрежова система е изискуема, изразенотожелание е да се намалят цените на услугите чрез употребата на поделенитранспортни услуги, оборудване и мениджмънт. Има няколко сценария,които могат да послужат на тези нужди, вариращи от outsourcing намениджмънта на елементите за обмен по мрежата (менажирани мрежовиуслуги) до outsourcing на компоненти от капиталовото оборудване (наемнимрежови услуги), до outsourcing на мениджмънта, оборудването и 19
    • транспортните елементи към доставчика на услуги изцяло.В примера, илюстриран по-долу (фиг.9), сайтовете от Мрежа “А” саустановили виртуална частна мрежа – VPN (отразени с червени линии)през основната мрежа на доставчика на услуги, където Мрежа “В” енапълно незапозната с нейното съществуване. И двете мрежи “А” и “В”могат хармонично да съществуват заедно на една и съща основна мрежоваинфраструктура. Фиг.9 Мрежова инфраструктура Това в същност е най-общия тип на VPN – такъв, в който има географскоразделени подмрежи, които принадлежат на общ административен домейн,свързан от поделена инфраструктура извън техния административенконтрол (такъв като глобалния Интернет или единична основна мрежа надоставчик на услуги). Принципната мотивация при изграждането навиртуална частна мрежа от такъв тип е може би множеството откомуникации между устройства в общността на VPN могат да санеустойчиви по природа (отново, решение за нивото на изискваната 20
    • поверителност почива единствено на рисковия анализ, провеждан отадминистратора на VPN), все още общата стойност на комуникационнатасистема не оправдава инвестицията във напълно частна комуникационнасистема, която използва дискретно предавани елементи. Мотивация при изграждането на VPN Има няколко мотивации за изграждането на виртуална частна мрежа, нообщото между всички тях е, че те всички споделят изискването за“виртуализиране” в определена степен при комуникациите наорганизацията – в друг смисъл, правят част (или може би всички) откомуникациите в основата си “невидими” за външни наблюдатели, докатосе възползват от преимуществата на общата комуникационнаинфраструктура. Основната мотивация за VPN лежи в икономиката на комуникациите.Комуникационните системи днес проявяват типичните характеристики накомпоненти с висока и фиксирана цена и компоненти с малко вариращацена, които се променят с транспортните възможности на системата. Вътрев тази икономическа среда е много финансово атрактивно да свържешопределен брой дискретни комуникационни услуги във общакомуникационна платформа с висок капацитет, като по този начин сепозволява на компонентите с висока фиксирана цена да бъдатамортизирани от голямо количество клиенти. Възможно е група отвиртуални мрежи, включени във единична съвместна физическакомуникационна инсталация да бъде по-евтина за опериране отколкотоеквивалентна група от малки физически дискретни комуникационниинсталации, всяка от които да обслужва единичен мрежов клиент. Втората мотивация за VPN е тази на комуникационната поверителност,където характеристиките и целостта на комуникационните услуги в едназатворена среда е изолирано от всички други среди, които поделят обща 21
    • основна платформа. Това ниво на поверителност зависи до голяма степенот рисковата оценка, извършена от определена организация – акоизискването за поверителност е ниско, тогава простата абстракция задискретност и мрежовата неизвестност могат да служат на целта. Обаче,ако изискването за поверителност е високо, тогава има отговарящоизискване за голяма сигурност на достъпа и потенциално голямасигурност, прилагана на преданата информация през общата мрежа. Една от най-привлекателните страни на виртуалните частни мрежи епотенциалното спестяване от цените. Използването на Интернет задистрибуция на мрежови услуги на дълги разстояния означава, чекомпаниите не трябва повече да поръчват скъпи наемни линия за свързватофисите на поделенията или тези на партньорите си, тъй като VPN иманужда само да използва относително къса публична връзка. В организация,в която има голям риск, това може да направи огромни разлики в цените.Когато организация прибавя компании към своята мрежа, броят нанаемните линии, които са необходими, нараства показателно. Втрадиционна WAN това може да ограничи гъвкавостта на прираста, като отдруга страна VPN избягват този проблем чрез включване във почти всякаедна възможна универсална мрежа. Виртуалните частни мрежи могат в последствие да намалят цените чрезредуциране на таксите за разговори на дълго разстояние, тъй катоклиентите могат да получат достъп чрез включване към най-близката точкана доставчика на услуги. Докато в някои случаи това може да изисквапровеждането на разговор на дълго разстояние или използването науслугата 800, то обикновено един градски разговор е достатъчен. Товаможе драматично да намали телекомуникационните такси за предприятияс множество международни сайтове, понякога в рамките на хиляди доларина човек всеки месец. 22
    • Трети начин, по който VPN могат да се отразят в намаляване наразходите е чрез намаляване на товара на компанията по поддръжката. Стакъв тип мрежа, доставчика на услуги трябва да поддържа dial-up достъп,вместо организацията, която го използва. Теоретично, доставчика наобществени услуги може да намали стойността на поддръжката, защототази стойност се поделя между голяма база от клиенти. Компаниите се възползват от гъвкавостта, която идва със VPN, тъй катопо принцип те не изискват дългосрочни договори, както е в случая сповечето услуги с информация. Това позволява на компаниите лесно дапреминат към по-ниско платени услуги, ако е такова желанието им.Компаниите могат обикновено да установят високоскоростна връзка сИнтернет и да я конфигурират в много по-кратък срок, отколкото е нужнопри подобни услуги за пренос на данни. В някои чуждестранни държавипонякога е нужна цяла година, за да се наеме линия. За някои индустрии,каквито са строителството или застраховането, това може да породикритични различия в операциите на компанията и финансовото й здраве. VPN технологиите се считат също така за забележително сигурни. Отпредставянето на IPSec, защитата на информация при VPN се е превърналав стандарт сред доставчиците на услуги. Информацията, която е изпратенапо виртуална частна мрежа е поверителна и изисква авторизация, за дабъде получена или препратена. Потребителите могат да авторизиратпакети, за да установят валидността на информацията и обикновенонепокътнатостта на информацията е гарантирана. Компаниите могат също да изберат да построя extranet приложение въвVPN, за да могат да използват контрола за достъп и услугите поавторизация, за да отказват или да дават достъп до специфичнаинформация на клиенти, търговски партньори или бизнес сътрудници.Това може да помогне за изграждането на лоялност на потребителите, тъйкато потребителите, на които е даден достъп на по-високи нива ще бъдат 23
    • по-малко склонни да преминат към друг бизнес партньор. Същататехнология може и да бъде използвана вътрешно да раздели групите отработници на сегментирани групи с различни нива на достъп. Товарешение е по-просто и по-икономично, отколкото традиционните методи,използвани от IT специалистите. Основи на тунелирането Тунелирането е метод на използване на мрежовата инфраструктура затрансфер на данни за една мрежа през друга мрежа. За да бъдат пренесениданните могат да бъдат рамки или пакети на друг протокол. Вместо даизпрати пакета, така както оригинално е произведен, тунелния протокол гоинкапсулира в допълнителни рамки(header). Допълнителните header-иосигуряват маршрутизираща информация, така че капсулираните даннимогат да прекосяват посредническите мрежи. Капсулираните пакети тогава се маршрутизират между крайните точкина тунела през мрежата. Логическият път, през който капсулиранитепакети пътуват през мрежата се нарича тунел. Когато капсулиранитепакети достигнат мрежата, която е нейно предназначение, пакетът седекапсулира и се предава нататък към неговото финално предназначение.Тунелирането включва целия този процес (капсулиране, предаване идекапсулация на пакетите). Фиг.10 Тунелирането 24
    • Транзитната мрежа, през която преминават пакетите, може да бъдевсяка мрежа – Интернет е публична мрежа и е най-широко известниясветовен пример. Има много примери на тунели, които пренасят даннипрез мрежите на дадена организация. И докато Интернет осигурява една отнай-широките и ценово-ефективните мрежи, споменаването на Интернет втози доклад може да бъде заменено с всяка публична или частна мрежа,която да играе ролята на транзитна мрежа. VPN протоколи В тази част ще разгледаме трите типа протоколи, използвани въввиртуалните частни мрежи:  Тунелен протокол – Понякога представян като VPN протoкол, той се използва за изграждане на тунела.  Протокол за криптиране – Понякога означаван като протокол за сигyрност, той се използва за сигурност на данните.  Мрежов/транспортен протокол – Понякога означаван като LAN протокол, той се използва за комуникация по частна мрежа. Тунелни протоколи Тунелният или тунелиращият протокол капсулира данните така, чехедърите на оригиналния протокол се обвиват вътре в капсулиращитехедъри. В следващите секции ше разгледаме следните тунелни протоколи:  Point-to-Point Tunneling Protocol(PPTP)  Layer 2 Forwarding(L2F)  Layer Two Tunneling Protocol (L2TP)  IPSec  Secure Shell(SSH) и Secure Shell2(SSH2)  Crypto IP Encapsulation протокол (CIPE) 25
    • Point-toPoint Tuneling Protocol(PPTP) - PPTP на Microsoft е установенстандарт, който реално представлява разширение на протокола за връзкаPPP, който се използва за създаването на WAN връзка с отдалечен достъп.Ето как работи той:  PPTP kaпсулира PPP фрейма, който може да бъде IP, IPX или NetBEUI пакет, във вътрешността на Generic Routing Encapsulation(GRE) хедър.  Данните в оригиналната дейтаграма обикновено са криптирани, за да не може да бъдат прочетени от неоторизирани лица. VPN мрежите на Microsoft използват протокола MPPE(описан по- надолу) заедно с PPTP за осигуряване на сигурни комуникации. Фиг.8 структурата на PPTP пакет, съдържащ IP-datаgram Forwarding(L2F) - Cisco разработи технологията L2F през 1996 г. ивключи в нея своя софтуер IOS. Като алтернатива на PPTP, L2F имавъзможност да използва АТМ и Frame Relay протоколи за тунелиране.Макар че PPTP изисква IP, за да работи, L2F не изисква. В допълнение L2Fосигурява автентикация на крайните точки на тунела. Tunneling Protocol(L2TP) - Microsoft и Cisco koмбинирахавъзможностите на PPTP и L2F и създадоха L2TP. L2TP капсулира даннитеза изпращане по IP, както прави това и PPTP. Ho L2TP може също дакапсулира данни за изпращане по Asynchronous Transfer Mode (АТМ),Frame Relay и X.25. По този начин той може да бъде използван за 26
    • изграждане на тунел през Интернет, или може да бъде използван поконкретна WAN медия без необходимост от IP. L2TP е документиран вRFC 2661. Предимства на виртуалните частни мрежи пред dialup достъпа:  VPN мрежите спстяват разходит за мждуградските разговори, когатоотдалечените потребители се намират изжън областта за набиране налокални номера.  VPN мрежите изискват по-малко телефонни линии за осигуряване наотдалечен достъп до множество потребители едновременно.  VPN мрежите изискват по-малко хардуерно оборудване, например банкиот модеми.  VPN мрежите, базирани на ISP, редуцират цените за администриране и обучение. Недостатъци на виртуалните частни мрежи пред dialup достъпа:  VPN мрежите изискват и двата края на връзката да имат Интернетвръзка. Това е проблем, ако един от двата края има ненадежднаИнтернет връзка.  Производителността при VPN мрежите често е по-ниска от тази приdialup връзката. Това зависи от типа на реализицията на VPN и от типана Интернет връзките. Добавянето на VPN слой влияе напроизводителността до известна степен. Протоколи за криптиране След изграждането на тунела данните трябва да бъдат криптирани, зада може връзката да бъде считана за сигурна. Протоколите, използвани закриптиране на данни, са следните:  МРРЕ  IPSec  VPNd криптиране  SSH криптиране Типове VPN мрежи Софтуерно-базирани VPN 27
    • Софтуерно-базираните VPN мрежи включват използването натунелните протоколи. Тази категория може да бъде разделенадопълнително на продукти на независими производители и VPN софтуерподдържан от операционната система. Предимството на последните етяхната цена, тъй като не изискват допълнително заплащане и садостатъчни за нуждите на голяма част от организациите. VPN софтуерните продукти на независимите производителиобикновено предлагат долълнителни възможности и разширяватизползваемостта на VPN, като често осигуряват повече опции за сигурности в някои случаи по-лесно реализиране. Някои софтуерно-базираните VPNмрежи позволяват да се предават данни в тунела на базата на протоколаили IP адреса.Продуктите на независимите производители включватSafeguard VPN, Checkpoint SVN(Secure Virtual Networking) и NetMAX VPNSuite за Linux.Софтуерно VPN решение за Linux, което е безплатно, еFreeS/Wan,използва IPSec. Хардуерно-базирани VPN Хардуерно-базирани VPN мрежи се проивеждат от компании катоShiva,3Com и VPNet Technologies, Cisco, IBM, Notrel. Поддръжката на VPNе вградена в маршрутизаторите на Cisco, както и в маршрутизаторите надруги компании. NTS Tunnel-Builder осигурява сигурни VPN комуникацииза Windows, NetWare и Macintosh. Такива производители като RaptorSystems предлагат VPN мрежи, базирани на такива защитни стени, коитоса компинирани със средства за сигурност.Хардуерно-базираните VPNмрежи могат да се разделят на две групи:  Базирани на маршрутизатори- Базираните на маршрутизатори VPN решения предствляват маршрутизатори с възможност за криптиране. Те предлагат по-добра производителност на мрежата и като цяло са по - лесни за инсталиране и използване. 28
    •  Базирани на защитна стена- Базираните на защитна стена VPN решения осигуряват допълнителни мерки за сигурност, силна автентикация и детайлно логване. Базираната VPN на защитна стена може също да извършва преобразуване на адреси. Производителността може да бъде проблем, макар че в някои реализации хардуерните криптиращи процесори решават този проблем. Сигурност на VPN Firewall продукти за VPN, каквито са NetScreen, Watchguard илиNetFortress често са относително прости, plug-and-play решения за мрежовасигурност. Системата може да бъде свързана с толкова много LAN мрежи,колкото е нужно, ключовете се обменят между две единици и VPN езавършена. Обаче, тези решения могат да имат голяма цена и правилнияизбор ще зависи от уникалните мрежови нужди и необходимостта отсигурност на компанията или компаниите, които използват тази мрежа.Общо казано, ако вече притежавате подходящото оборудва и Интернетвръзка, решение от типа “извън кутията” не е необходимо. Всички виртуални частни мрежи изискват конфигурация на устройствоза достъп, което е или софтуерно или хардуерно базирано, за да се настроиканал за сигурност. Произволен потребител не може просто да се свържекъм даден VPN, тъй като е необходима определена информация, която даосигури на отдалечен потребител достъп до мрежата. Когато се използвазаедно със строга авторизация, виртуалната частна мрежа може дапредотврати успешното проникване на нарушители в мрежата, дори ако теуспеят някак си да се включат към някоя от сесиите на мрежата. Повечето VPN използват IPSec технологии, развиващата се структураот протоколи, която се е превърнала в стандарт за повечето продавачи.IPSec е полезно, защото е съвместимо с повечето различен VPN хардуер исофтуер и е най-популярен за мрежи с клиенти, които ползват отдалечен 29
    • достъп. IPSec изисква от клиентите много малко познание, защотоавторизацията не е потребителско базирана, което означава, че не сеизисква специален знак (какъвто е Secure ID или Crypto Card). Вместо товасигурността идва от IP адреса на работната станция или нейниясертификат, който установява идентичността на потребителя и осигуряваидентичността на мрежата. Даден IPSec тунел основно играе ролята намрежов слой, който предпазва всичките пакети от информация, коитопреминават, независимо от приложението. Сигурността на VPN има три компонента: - Автентикация - Авторизация - Криптиране Автентикация Автентикацията на VPN клиента включва проверката за истинност насамоличността на машината и на потребителя, който инициира VPNвръзката. Автентикацията мойе да бъде осъществена на нивото намашината. Например, когато една VPN връзка, базирана на Windows 2000,използва IPSec за L2TP VPN сертификатите на машините се обменят каточаст от изграждането на IPSec асоциация за сигурност.Потребителят можеда бъде автентициран с помоща на един от няколкото метода заавтентикация, като Extensible Authentication Protocol (EAP),ChallengeHandshake Authentication Protocol (CHAP), Shiva PAP(SPAP). Авторизация Авторизацията означава зададените ограничения, на базата на които наедни от потребителите се предоставя достъп до VPN, а на други се отказва. Криптиране За защита на данните във VPN мрежи могат да бъдат използвани най-различни технологии за криптиране. Много VPN реализации позволяват 30
    • потребителя да избере метода за криптиране, който трябва да бъдеизползван. Криптирането осигурява сигурност на данни, които пътуват поVPN. Повечето модерни VPN използват определен вид криптиращасистема за да преобразуват информацията в шифрован текст, който следтова се декриптира в текст, възможен за четене от получателя. Типа на възможното криптиране силно вариран. Има две основникриптографски системи: симетрична и асиметрична. Симетричнатакриптография по-принцип е по-бърза за разгръщане и често се използва заобмен на големи пратки от информация между две групи, които сепознават и използват един и същ частен ключ за достъп до информацията.Асиметричната система е много по-сложна и изисква двойка от ключове,които са математически свързани – един публичен и един частен – за даможе да се получи достъп до информацията. Този метод често се използваза малки, по-важни пратки от информация или по време на процеса поидентифициране. Заключение Виртуалните частни мрежи са много мощен и основен инструмент,който може да бъде използван да криптира цялата комуникация междуучастващите компютри. VPN може да бъде използван, за да подобриповерителността и сигурността на протоколите, които не са криптирани(или не са сигурно криптирани) по подразбиране. 31
    • Използвана литература 1.Dave Kosiur, Building & Managing Virtual Private Networks, WILEY,1998 2.Steven Brown, Implement Virtual Private Networks, Osborne, 1999 3. Dennis Fowler, Virtual Private Networks: Making the Right Connection(The Morgan Kaufmann Series in Networking), Morgan Kaufmann Publishers,INC, 1999 4. Microsoft, White Paper: “Microsoft Privacy Protected Network Access:Virtual Private Networking and Intranet Security” 5.Matthew D. Wilson, “VPN Howto”. 32