Закриті мережі у відкритому світі, мережі

Computerworld, США Віртуальні приватні мережі (Virtual Private Networks, VPN) дозволяють розширювати межі локальних мереж без придбання або оренди виділених каналів зв'язку. Компанії застосовують VPN, щоб забезпечити віддаленим і мобільним користувачам засоби доступу до корпоративної мережі і об'єднати географічно розподілені підрозділи.

ІТ-інфраструктура для вашого підприємства

Віртуальні приватні мережі (Virtual Private Networks, VPN) дозволяють розширювати межі локальних мереж без придбання або оренди виділених каналів зв'язку.

Компанії застосовують VPN, щоб забезпечити віддаленим і мобільним користувачам засоби доступу до корпоративної мережі і об'єднати географічно розподілені підрозділи. При цьому можна користуватися додатками, робота яких заснована на взаємодії з внутрішніми серверами.

При побудові VPN задіють два основні підходи. Перший полягає в оренді приватних каналів зв'язку у телекомунікаційній компанії, якій можна довіряти (цей спосіб називається «довірена VPN»). Другий заснований на передачі зашифрованого трафіку через загальнодоступну Internet ( «захищена VPN»). У разі організації захищеної приватної мережі поверх довіреної або комбінації двох типів захищених VPN (заснованих на протоколах шифрування IPSec і SSL) в рамках одного шлюзу получающаяся інфраструктура називається «гібридної VPN».

довірені мережі

З плином часу довірені VPN еволюціонували від «чистої» оренди каналів зв'язку у телекомунікаційних операторів до оренди приватних IP-мереж у провайдерів послуг Internet. Провідними технологіями, що використовуються для організації довірених VPN поверх IP, є ATM, Frame Relay і Multiprotocol Label Switching (MPLS). При цьому ATM і Frame Relay працюють на 2-му рівні еталонної моделі OSI, а MPLS емулює деякі особливості мережі з комутацією каналів в мережі з пакетною комутацією і діє на рівні 2,5 (проміжному між рівнем передачі даних і мережевих). MPLS все частіше заміщає ATM і Frame Relay при побудові довірених VPN великими компаніями і сервіс-провайдерами.

Захищені приватні мережі

У розробленому Cisco Systems більш старому протоколі L2TP об'єднані принципи L2F і PPTP, пов'язані з організацією протоколу другого рівня. Він забезпечує туннелирование даних, але не підтримує послуги захисту і аутентифікації користувачів. L2TP дозволяє транслювати сеанси зв'язку PPP всередині свого тунелю. Cisco реалізувала L2TP в власних маршрутизаторах, але є ще й кілька реалізацій протоколу L2TP для систем Linux з відкритим кодом.

Переваги та ризики VPN

Віртуальні приватні мережі допомагають «прати» будь-які географічні бар'єри для бізнесу. Вони дозволяють співробітникам компаній ефективно працювати на дому, відрядження - завжди перебувати на зв'язку з офісом, а самим фірмам - безпечно підключатися до постачальників і партнерів. Зазвичай набагато дешевше володіти VPN, а не орендувати виділені лінії зв'язку.

Правда, використання VPN може привести до появи потенційних ризиків в системі корпоративної інформаційної безпеки. Справа в тому, що будь-яка VPN ускладнює побудову повноцінного захисного периметра мережі. Адміністратору доводиться забезпечувати виконання політик захисту на комп'ютерах, розміщених в локальній мережі і підключаються до неї віддалено.

Одночасне використання партнерами по бізнесу двох VPN може відкрити локальну мережу однієї компанії для іншої, що теж таїть в собі потенційну загрозу. А що застосовується спільно з VPN програмне забезпечення віддаленого управління ПК (наприклад, PC Anywhere, GoToMyPC або VNC) часом надає лазівки шкідливому ПО, яке знаходиться на віддаленому комп'ютері, що не підключеному до приватної мережі.

Надійність, масштабованість і продуктивність

Захищені VPN засновані на шифруванні, а деякі крипто? Графічні функції вимагають потужних обчислень, тому масове використання VPN-з'єднань може істотно збільшити навантаження на сервер. Адміністраторам керують навантаженням, обмежуючи кількість одночасних підключень до того рівня, який сервер здатний нормально обробляти.

Якщо число користувачів, що намагаються безпечно підключитися до корпоративних ресурсів, різко зростає, то в якийсь момент вільних портів VPN може не виявитися. Це дає адміністраторам підставу для запуску ключових бізнес-додатків без використання VPN.

Прийняти рішення на користь IPSec або SSL / TLS в кожному конкретному випадку досить важко.

У реальних додатках віддаленого доступу адміністратори керують набором протоколів, домагаючись оптимального співвідношення продуктивності і безпеки. Зокрема, клієнти можуть підключатися до прикладного інтерфейсу, що базується на Web-технологіях, через міжмережевий екран за допомогою браузера, який оснащений протоколами SSL / TLS. Web-сервер бажано підключати до сервера додатків на основі IPSec, а сервер додатків з'єднувати з сервером бази даних ще через один міжмережевий екран з використанням SSL.

Масштабованість VPN можна поліпшити за рахунок застосування спеціально виділеного сервера.

Поділіться матеріалом з колегами і друзями