Объединение сетей по VPN

Virtual Private Networking — способ безопасного обмена информацией по слабозащищённой сети, например, по Интернет. VPN может соединять удалённого пользователя с корпоративной сетью или две сети, находящиеся в разных физических локациях. По VPN могут передаваться любые данные, которые способен переносить протокол IP, будь то информация, голос, видео и т.п.

Удалённый пользователь может быть стационарным или мобильным. Последний перемещается и меняет точки входа в Интернет, IP-адреса, вид подключения (Wi-Fi или проводной Ethernet).

Высокий уровень безопасности обеспечивается процедурами и протоколами. Данные зашифровываются на стороне передачи и расшифровываются на принимающей стороне. Для большей секретности могут криптографически обрабатываться IP-адреса, связывающиеся по VPN.

Существуют программные и аппаратные средства организации виртуальных каналов. Независимо от исполнения общие принципы работы одинаковы.

Сначала шлюз распознаёт, что пакет должен быть передан по VPN. Это может быть сделано через проверку IP-адреса источника или через конфигурирование соответствующей политики. После проверки запускается политика безопасности, которая шифрует или аутентифицирует данные. Хост проверяет, была ли операция произведена должным образом.

Далее идёт согласование набора политик между шлюзами, организующими VPN. Они аутентифицируют друг друга и создают безопасный начальный канал. По нему согласовывается способ шифрования и передаются ключи. Только после этого становится возможным обмен данными.

Канал закрывается по прошествии заранее оговоренного времени или передачи количества байт, указанного при инициализации VPN.

Протоколы VPN

Для защиты соединения обычно используются протоколы IP Security (IPsec) или Secure Socket Layer (SSL VPN).

SSL VPN чаще всего используется для безопасного доступа к одному приложению, а не ко всей внешней сети. К тому же этот протокол содержит некоторые уязвимости, отрицательно сказывающиеся на безопасности. На смену SSL пришёл более новый и надёжный протокол — TLS (Transport Layer Security). Он поддерживает более безопасные криптографические алгоритмы.

IPsec определяет архитектуру служб безопасности для сетевого протокола IP. Он описывает структуру и набор протоколов, обеспечивающих защиту передаваемых данных. Сюда входят правила определения криптографических алгоритмов, безопасный обмен ключами и управление ими.

Ещё одним протоколом для создания безопасного соединения через незащищённые сети является Open VPN. Это продукт с открытым исходным кодом. Он предлагает упрощённую структуру безопасности и кроссплатформенную переносимость.

Возможна организация VPN на уровне 2 модели OSI (канальном). Для этого используется протокол, обеспечивающий соединение «точка-точка» (например, PTPP компании Microsoft) или протокол туннелирования уровня 2 с использованием IPsec.

При соединении на уровне 3 (сетевом) используются несущие облака (MPLS). Это протокольно независимая методика, предназначенная для ускорения и формирования потока трафика через глобальные сети. В отличие от традиционных методов работы IP-роутеров с пакетами, в MPLS первый маршрутизатор, получивший пакет прописывает ему весь путь. Эти данные помещаются в заголовок блока. каждый маршрутизатор, получивший данный пакет не выбирает ему маршрут, а пересылает его по имеющейся карте. Это экономит время и ресурсы активного сетевого оборудования.

Туннелирование

Туннелирование по-другому называют переадресацией портов. Оно выполняется путем внедрения шифрованных данных VPN в блоки передачи публичной сети. Эта информация для протоколов незащищённой сети выглядит как данные.

VPN для удалённого доступа

Для установки соединения VPN, удалённый клиент подключается к шлюзу, находящемуся в сети организации. Это фактически сервер для удалённого доступа по безопасному каналу. На устройстве вне сети должен быть установлен клиент VPN.

Шлюз запрашивает аутентификацию. В случае успеха он авторизует клиента и устанавливает соединение.

Подключение мобильного клиента по VPN имеет свою специфику, так как у него нет постоянного IP-адреса. Поэтому ему назначается логический IP, который и служит основой для создания канала. Логический адрес не меняется и не зависит от того, каким способом устройство выходит в Интернет.

VPN для соединения разнесённых сетей

Соединение осуществляется через специальные устройства (VPN-шлюзы), установленные на границах сетей.

В такой конфигурации устройствам внутри одной сети не нужны клиенты VPN для связи с устройствами в другой сети. Всё шифрование и дешифрацию выполняют VPN-шлюзы.

В этом случае шлюзами являются маршрутизаторы, имеющие функции защиты канала, аутентификации и авторизации клиента, шифрования/дешифрации данных.

Заключение

Казалось бы простой механизм на поверку оказывается сложной системой, в которой непросто разобраться. Какой использовать протокол? Какой VPN-клиент? Какой из них лучше подходит для ваших целей? Что лучше использовать для VoIP? Что для данных?

Не расстраивайтесь! Системный интегратор ВИСТЛАН готов оказать вам поддержку, а именно: