VPN - Форум

ФОРУМ ПЕРЕЕХАЛ! ЭТОТ ФОРУМ НЕ ОБСЛУЖИВАЕТСЯ! 
АДРЕС НОВОГО ФОРУМА: http://forum.cs.nline.net.ua/


Страница 1 из 11
Форум » Общий » Support N-Line » VPN (Что это такое?)
VPN
BuTaMuHДата: Вторник, 04.05.2010, 03:47 | Сообщение # 1
Генерал-полковник
Группа: Администраторы
Сообщений: 1905
Награды: 22
Репутация: 32767
Страна: Украина Украина
Статус: Offline
Я уверен, что если ты спросишь у своих трех друзей, что же такое VPN, то получишь на свой вопрос не менее четырех толкований этого понятия :). Базовое определение VPN неоднозначно и каждый, кто об этом говорит, высказывает лишь свою субъективную точку зрения…

Как все начиналось

История появления VPN тесно связана с услугой Centrex в телефонных сетях. Понятие Centrex появилось на рубеже шестидесятых годов в США как общее название способа предоставления услуг деловой связи абонентам нескольких компаний на основе совместно используемого оборудования одной учрежденческой станции PBX (Private Branch Exchange), во как загнул то :). С началом внедрения в США и Канаде станций с программным управлением термин приобрел иной смысл и стал означать способ предоставления деловым абонентам дополнительных услуг телефонной связи, эквивалентных услугам PBX, на базе модифицированных станций сети общего пользования. Основное преимущество Centrex (да и VPN, как ты прочитаешь ниже в данной статье) заключалось в том, что фирмы и компании при создании выделенных корпоративных сетей экономили значительные средства, необходимые на покупку, монтаж и эксплуатацию собственных станций. Хотя для связи между собой абоненты Centrex используют ресурсы и оборудование сети общего пользования, сами они образуют так называемые замкнутые группы пользователей CUG (Closed Users Group) с ограниченным доступом извне, для которых в станциях сети реализуются виртуальные PBX.

В стремлении преодолеть свойственные Centrex ограничения была выдвинута идея виртуальной частной сети VPN - как объединение CUG, составляющих одну корпоративную сеть и находящихся на удалении друг от друга.


Что такое VPN

VPN-соединение - это технология эмуляции соединения "точка-точка" через сеть общего пользования. При этом между тобой (вернее твоим компьютером) и провайдером организуется так называемый туннель, по которому пакеты исходящей от тебя информации достигают провайдера.

Виртуальные частные сети применяются для создания безопасных и надёжных каналов, связывающих локальные сети и обеспечивающих доступ к ним пользователей, постоянно меняющих своё географическое местоположение. В основе этих сетей лежит использование открытой и общедоступной сети, такой как твой любимый Интернет.


Преимущества VPN

Преимущества VPN и выгоды для клиента:

* Высокие скорости подключения.
* Гарантированная полоса пропускания виртуальных каналов связи.
* Отсутствие оплаты за кабельные линии, соединяющие локальные сети.
* Более экономичное, надежное и безопасное решение для создания VPN.

Применение VPN-доступа уменьшит затраты на:

* закупку, монтаж и конфигурирование серверов удаленного доступа и модемов;
* сетевое оборудование;
* управление клиентским программным обеспечением;
* контроль трафика удаленного доступа;
* телефонные соединения;
* количество высококвалифицированных сетевых администраторов;
* требуемое число портов доступа при увеличивающемся количестве удаленных пользователей;
* линии связи.

Единовременные затраты со стороны клиента:

* Покупка модема
* Плата за подключение за доступ к сети.

Ежемесячные затраты:

* Ежемесячная плата за выделенный порт
* Ежемесячная плата за организацию PVC (постоянный виртуальный канал)

Возможности VPN

* Полностью централизованное управление
* Используется туннелирующий механизм (инкапсуляция) основанная на RFC-1234
* Поддерживаются несколько протоколов (IPX по IP и IP через IP)
* Легко добавляются члены в VPN
* Возможность защиты:
* 1. LAN-LAN трафик (для Интранет)
* 2. LAN-WAN-LAN трафик (между корпоративными сетями через Инет)
* Использование стандартных криптографических алгоритмов:
* 1. RC2 - алгоритм шифрования (40/128 bits)
* 2. DSA - алгоритм авторизации (512 bits)
* 3. Diffie-Hellman алгоритм для обмена ключами (512 bits)
* 4. MD5 - алгоритм для контроля над целостностью

И множество других, оценить которые ты можешь только сам поюзав и поуправляв VPN…

Как работают VPN

Я не буду загонять тебя техническими терминами, а попробую показать все на пальцах на реальном примере. В своей простейшей форме виртуальные частные сети (сейчас и в дальнейшем я подразумеваю VPN, организованные через Интернет) соединяют множество удаленных пользователей или удаленные офисы с сетью предприятия, ну или что-то типа такого, примеров можно привести сотню, я просто пытаюсь дать тебе понять, о чем идет речь. Схема соединения для связи с отсутствующими служащими или с представительствами компании в других городах и странах очень проста. Удаленный пользователь посылает информацию в точку присутствия местного сервис-провайдера (ISP), затем вызов шифруется, проходит через Инет и соединяется с сервером предприятия абонента.

Некоторые технологии предлагают возможности роуминга (думаю тебе знакомо это слово, ведь у тебя есть мобильник?!), который позволяет пользователю связаться с ISP отовсюду с целью получения доступа к своей закрытой VPN.

Таким образом, работа VPN основана на формировании туннеля между двумя точками Интернета. Обычно, в самых распространенных случаях, клиентский компьютер устанавливает с провайдером стандартное соединение РРР, после чего подключается через Инет к центральному узлу. При этом формируется канал VPN, представляющий собой туннель, по которому можно производить обмен данными между двумя конечными узлами. Этот туннель непрозрачен для всех остальных пользователей этого провайдера, включая самого провайдера.


Примерная схема организации VPN


Более сложная организация

Считаем бобосы

Основным преимуществом VPN перед выделенными каналами обычно называют сохранение денег компании, и согласись, это не последний вопрос для любого человека в нашей стране, да и вообще в мире.

Если ты (или твоя компания) будешь юзать VPN вместо WAN, тебе не нужно арендовать дорогие выделенные линии. С VPN ты можешь использовать твое существующее соединение с Инетом. При поддержке удаленных пользователей, присоединенных к VPN, единственная стоимость для удаленного доступа - несколько десятков баксов в месяц, -все зависит от твоего провайдера. Платя этот ежемесячный тариф, удаленные пользователи могут устанавливать частное соединение с корпоративной сетью.

Можешь сам сесть, взять прейскурант цен на междугородные переговоры и на доступ в Инет и посчитать все сам, сразу почувствуешь разницу :).

Организация VPN

Что необходимо для организации VPN:

* Канал доступа для центрального офиса и каждого подразделения или пользователя. Это может быть как выделенка так и ДиалАп (хотя, думаю, если фирме необходима VPN, то она сможет выкинуть больше денег и на выделенку… хотя…).
* Оборудование узла доступа в центральном офисе (VPN-сервер), оборудование доступа для каждого подразделения или пользователя (VPN-клиент). В качестве VPN-сервера может выступать как специализированное оборудование, так и обычный маршрутизатор. В качестве VPN-клиента для подразделения может выступать обыкновенный маршрутизатор, для пользователя достаточного программного обеспечения для твоей ОСи.

У тебя может возникнуть вопрос, может ли один комп быть членом сразу двух и более VPN, ответ - нет, - каждая машина может быть членом только одной VPN.

Виды VPN

Принято выделять три основных вида: VPN с удаленным доступом (Remote Access VPN), внутрикорпоративные VPN (Intranet VPN) и межкорпоративные VPN (Extranet VPN).

* VPN удаленного доступа называют иногда Dial VPN. Они позволяют индивидуальным dial-up-пользователям связываться с центральным офисом через Инет или другие сети общего пользователя безопасным образом.
* Интранет VPN еще называются "точка-точка", или LAN-LAN VPN. Они распространяют безопасные частные сети на весь Инет или другие сети общего пользования.
* Экстранет VPN идеальны для e-коммерции. Они дают возможность безопасного соединения с бизнес партнерами, поставщиками и клиентами. Экстранет VPN - это некое расширение Интранет VPN с добавлением файрволлов, чтобы защитить внутреннюю сеть.

Безопасность

Никакая компания, а тем более уж ты, со своими хацкерскими делишками, не хотели бы открыто передавать в Инет финансовую или другую конфиденциальную информацию. Каналы VPN защищены мощными алгоритмами шифрования, заложенными в стандарты протокола безопасности IРsec. IPSec (Internet Protocol Security) создает основы безопасности для IP. Протокол IPsec обеспечивает защиту на сетевом уровне и требует поддержки стандарта IPsec только от общающихся между собой устройств по обе стороны соединения. Все остальные устройства, расположенные между ними, просто обеспечивают трафик IP-пакетов.

Две взаимодействующие стороны заключают соглашение для обмена данными. Это соглашение регулирует некоторые параметры: IP-адреса отправителя и получателя, криптографический алгоритм, порядок обмена ключами, размеры ключей, срок службы ключей, алгоритм аутентификации и т.п.

Атаки на VPN

Первое, что должно приходить на ум, - это атаки на используемый криптографический алгоритм. В настоящий момент все алгоритмы можно условно разделить на две категории: известные и секретные. К известным алгоритмам относятся DES, TripleDES, RSA, AES и наш отечественный ГОСТ 28147-89. Эти алгоритмы знакомы специалистам довольно давно, так же как и их слабые и сильные стороны.

Варианты атак на криптоалгоритмы достаточно разнообразны. Самой простой является атака только на зашифрованной текст, когда криптоаналитик располагает лишь зашифрованным текстом и путем анализа статистического распределения символов, а также посредством других методов пытается распознать исходный текст. Любой алгоритм должен защищать от такой атаки. Более сложным случаем является атака с известным незашифрованным текстом. Здесь аналитику известен фрагмент исходного текста либо он делает обоснованное предположение о нем. Большинство распространенных на сегодняшний день алгоритмов устойчивы к этим атакам.

В настоящий момент для построения VPN используется ряд протоколов, включая IPSec, PPTP, L2TP и т.д. Эти протоколы не шифруют данные, а лишь определяют, как используются алгоритмы шифрования и ряд других условий, необходимых для построения VPN (включая контроль целостности, аутентификацию абонентов и т.д.). За последние пару-тройку лет многие исследователи принимались за анализ данных протоколов с точки зрения безопасности, но серьезных дыр обнаружено практически не было. А те, что все-таки были найдены, были связаны с неправильной эксплуатацией или уже были устранены разработчиками. Однако теоретическая возможность обнаружения уязвимостей в протоколах IPSec, PPTP и т.д. сохраняется. Так что дерзай, возможно ты будешь первым :).

Нередко VPN реализуется чисто программными средствами (например, в Windows 2000), и программное обеспечение VPN является надстройкой над операционной системой, что зачастую используется такими же гиками как ты и я, т.е. хакерами. Поэтому, независимо от надежности и защищенности ПО VPN, уязвимости операционной системы могут свести на нет все защитные механизмы VPN. Так что если будешь организовывать VPN, лучше не смотреть в сторону софт-решений, а тем более в сторону Мелкомягких.


Софт от Циско


Собственно и сам клиент

Запомни, что безопасность всей системы равна безопасности самого слабого звена. Поэтому очень важно не только выбирать стойкий криптографический алгоритм и длинные ключи, но и обращать пристальное внимание на другие компоненты VPN - программное и аппаратное обеспечение, пользователей, реализацию и т.д.

The End

Думаю, теперь у тебя есть некоторое представление о том, что такое VPN и как оно работает. Если ты начальник - решай, что тебе выгоднее платить за межгород или организовывать VPN, если ты подчиненный - спроси у своего начальника, что ему выгоднее.



ФОРУМ ПЕРЕЕХАЛ!
ЭТОТ ФОРУМ НЕ ОБСЛУЖИВАЕТСЯ!
АДРЕС НОВОГО ФОРУМА: http://forum.cs.nline.net.ua/
 
SaFRoNДата: Вторник, 04.05.2010, 10:16 | Сообщение # 2
Рядовой
Группа: AMX Админы
Сообщений: 56
Награды: 0
Репутация: 1003
Страна: Украина Украина
Статус: Offline
Неасилел biggrin


[MD] Rcj
 
BuTaMuHДата: Вторник, 04.05.2010, 12:05 | Сообщение # 3
Генерал-полковник
Группа: Администраторы
Сообщений: 1905
Награды: 22
Репутация: 32767
Страна: Украина Украина
Статус: Offline
тебе оно и ненадо )


ФОРУМ ПЕРЕЕХАЛ!
ЭТОТ ФОРУМ НЕ ОБСЛУЖИВАЕТСЯ!
АДРЕС НОВОГО ФОРУМА: http://forum.cs.nline.net.ua/
 
Форум » Общий » Support N-Line » VPN (Что это такое?)
Страница 1 из 11
Поиск: