Виртуальная частная сеть (VPN) позволяет удаленным пользователям безопасно подключаться к частному серверу из любого места. Например, сотрудники, работающие на дороге или работающие дома, могут использовать VPN для безопасного подключения к офисной сети со своих ноутбуков. И крупные компании с офисами, охватывающими несколько мест, используют VPN для обеспечения безопасной и универсальной сети для всех офисных сайтов.

Коммерческие услуги VPN позволяют людям, которые хотят замаскировать свои места или защищать свои передачи, подключаются к Интернету через частные серверы.

Цель VPN

VPN могут подключать несколько сайтов на огромных расстояниях, подобно глобальной сети (WAN).

Тем не менее VPN используются для расширения Intranets - крупных частных сетей - по всему миру и обеспечивают доступ к более широкой базе пользователей. Учебные заведения, такие как университеты, используют VPN для подключения кампусов и студентов к университетским машинам.

Чтобы предоставить пользователю доступ к частной сети, пользователи должны сначала пройти аутентификацию, используя уникальный идентификатор и пароль через удаленный портал.Коммерческое программное обеспечение VPN часто регистрирует пользователя автоматически.

VPN иногда используется через браузерное программное обеспечение (), которое требует от пользователя входа в систему. Затем программное обеспечение отображает настольные или сетевые файлы удаленного компьютера, к которым можно получить доступ через браузер. Другое клиентское программное обеспечение VPN шифрует и направляет весь интернет-трафик через службу VPN.

Протоколы VPN

Благодаря защищенному характеру VPN, они используют ряд протоколов, которые шифруют трафик данных.Это особенно важно, поскольку данные передаются по сети общего пользования между двумя удаленными точками.

Протоколы, используемые VPN, включают в себя IP-безопасность (IPSec), уровень защищенных сокетов (SSL), безопасность транспортного уровня (TLS), протокол туннелирования «точка-точка» (PPTP) и протокол туннелирования второго уровня (L2TP).

В обоих местах используется метод аутентификации «рукопожатие». Чтобы успешно инициировать это соединение, подключающему компьютеру необходимо предоставить ключ, соответствующий требуемым параметрам для принимающего местоположения.

Преимущества VPN

Виртуальные частные сети традиционно являются очень недорогим экономичным способом создания частной сети.Использование Интернета в качестве канала связи между сайтами довольно распространено, что снижает стоимость таких услуг. VPN - идеальный выбор для корпораций, нуждающихся в гибкости.

Недостатки VPN

Проблемы с производительностью могут быть общими, часто в зависимости от местоположения удаленного клиента, обращающегося к частной сети. Потеря данных может произойти из-за риска передачи данных по нескольким сетям общего пользования. Для борьбы с этим многие поставщики VPN предлагают гарантированное качество обслуживания (QoS), чтобы гарантировать, что при передаче данных не будет потеряно данных.

Также имейте в виду, что некоторые бесплатные приложения для Android могут отслеживать пользователей и заражать их телефоны. Вы определенно должны опасаться бесплатных приложений для Android и не забудьте проверить отзывы пользователей, перед тем как качать бесплатные, так и платные приложения.

Virtual Private Network, или сокращённо VPN (в переводе на русский означает виртуальная частная сеть) — предоставляет пользователям анонимный обмен данными с веб-ресурсами, серверами и узлами через специальный VPN server. Устанавливает сетевое соединение посредством зашифрованного виртуального канала внутри незащищённой сети (в частности Интернета).

VPN server — это специальный сервер, который по защищённому каналу перенаправляет трафик пользователя на указанные им ресурсы (сайты, сервисы-онлайн, аудио- и видеохостинги). Отправляет запросы и присылает данные (запрашиваемые веб-страницы, файлы, изображения), скрывая истинные данные подключённого к VPN-сети узла.

VPN client — специализированная программа, оборудование, обеспечивающие подключение узла к VPN серверу. Также клиентом VPN называют ПК, подключённый к частной виртуальной сети (компьютер-клиент).

Преимущества VPN технологии

Абсолютная аппаратная совместимость

Зашифрованное соединение можно настроить не только на компьютерах PC и MAC, но и в мобильных устройствах — смартфонах и планшетах на базе iOS, Windows Mobile и Android.

Анонимность

• Смена IP-адреса выполняется полностью для всего узла (ПК), включая браузеры и программы, использующие интернет-соединение. (То есть все сетевые приложения в ОС будут использовать IP, предоставленный VPN.)
• Есть возможность выбирать вымышленный IP-адрес из предложенного диапазона, согласно его географическому местоположению. Соединение с сайтами будет осуществляться через VPN сервер, находящийся в указанной стране (США, Англии, Голландии и т.д.)
• Интегрирована функция быстрой смены IP в процессе веб-сёрфинга из списка действующих VPN serverov.

Безопасность

• Все данные, передаваемые через виртуальный vpn туннель (логины/пароли, сообщения, контент, информация о платежах и транзакциях), тщательно шифруются устойчивыми к взлому ключами на 128 и 256 бит. Не зафиксировано ещё ни одно случая их взлома.
• За счёт «ограждения» от других сетей, VPN предотвращает хакерские атаки и попытки несанкционированного доступа к узлам, подключённым к её сети (в т.ч. и в публичных Wi-Fi точках).

Свобода доступа

• Снятие ограничений провайдера (пользование BitTorrent — протоколом P2P, цензура).
• Разблокировка соцсетей и медиа-ресурсов.
• Обход запретов по географическому расположению адреса. Компании, предоставляющие услуги виртуального туннелирования, как правило, имеют в своём распоряжении сеть VPN serverov локализованных практически по всему земному шару — в 20-35 странах мира.

Таким образом, при помощи VPN пользователь может с лёгкостью пользоваться онлайн-сервисом, который доступен только для жителей конкретной страны либо стран.

Возможности VPN в примерах

• Русскоязычные граждане, проживающие за пределами России — в странах СНГ, Европе, США — просматривают полнометражные картины на сайте ivi.ru (крупнейший бесплатный видеохостинг).
• Меломаны не из США, Германии и Англии наслаждаются новыми и старыми музыкальными хитами на last.fm. И наоборот — относительно географии — американцы и англичане прослушивают песни на сервисе Яндекс.Музыка, открытом исключительно пользователям из России, Белоруссии и Украины.
• Люди, изучающие и знающие английский язык, просматривают ток-шоу, документальные фильмы и телепередачи на оф.сайте компании BBC, доступном только для жителей Англии.
• Пользователи интернета, проживающие в Китае, Чечне, Турции, Иране и в других странах с жёсткими цензорными ограничениями на пользование Интернетом, просматривают видеоролики на мегапопулярном портале YouTube.

Принцип действия VPN servera

Схематически VPN подключение выглядит так:

Client (п ользователь) -> Провайдер -> VPN-server (в другом регионе/стране) -> Сайт (сервер или другой узел).

1. После соединения узла пользователя (ПК, телефона, планшета) с VPN через интернет-соединение между ними происходит своеобразный диалог-перекличка в форме запрос-ответ.
2. Формируется ключ для шифрования передаваемых данных по виртуальному тоннелю — от пользователя до конечного пункта назначения (сайта, другого пользователя) и обратно. Алгоритм создания ключа, помимо генерирования случайных числовых комбинаций, для большей устойчивости, также использует такие факторы (их значения), как

• содержимое вопросов-ответов ПК;
• данные ОС клиенты;
• время ответа узла на запрос VPN servera;

уникальность ключа, которая дополнительно усиливается и тем, что набор факторов при каждом генерировании варьируется. Плюс к этому — он формируется в реальном времени, непосредственно на устройстве пользователя и на VPN servere. Доступ третьим лицам к нему закрыт.

1. Создаётся транспортная среда для передачи данных — тоннель. По нему пакеты данных в закодированном виде будут «путешествовать» между узлами.
2. VPN server действует по указанию VPN clienta — заходит на онлайн-сервисы и в соцсети, открывает веб-страницы, отправляет сообщения, осуществляет загрузку файлов. И соответственно веб-серверам, которые он посещает, предоставляет сугубо свои технические данные — местоположение, IP и пр. А истинная информация о клиенте, выполняющем запросы через VPN-сеть, остаётся скрытой. Происходит удалённое управление сервером посредством сетевого соединения.
3. Для того, чтобы злоумышленники не смогли подключиться к тоннелю извне (из внешней сети), кроме шифрования данных, VPN-server и VPN-client осуществляют взаимную аутентификацию. То есть проверяют, задают друг другу вопрос «действительно ли ты тот, за кого себя выдаёшь?». Эта схема аутентификации называется «запрос/отклик». Её реализация состоит из следующих этапов:

ПК пользователя отправляет VPN запрос «аутентифицируй меня!»;

• VPN возвращает отклик — пакет данных, сгенерированных случайным образом;
• Полученный отклик пользовательский ПК шифрует созданным ранее ключом (в момент соединения) и снова отправляет на сервер;
• Сервер аналогичным образом кодирует (у него такой же ключ) отклик, а затем сравнивает его с ответом ПК (с его версией шифровки отклика). Если результаты шифровки отклика идентичны, значит всё «OK» — аутентификация прошла успешно.

Открытая аутентификация — доступ к виртуальной сети по предоставлению пароля — используется крайне редко.

Какие бывают VPN-сети

• PPTP — тип протокола «точка-точка», осуществляет защищённое соединение с VPN поверх внешней сети. Позволяет использовать частный IP. При этом диапазон адресов виртуальной сети не координируется с диапазоном глобальной сети. Поддерживает множество протоколов (разнообразные конфигурации TCP/IP и IPx). Обеспечивает доступ к частным сетям. Имеет различные политики создания уровня безопасности в отношении удалённого доступа.
• L2TP — протокол 2 уровня туннелирования. Разработан на базе PPTP, тем не менее имеет более мощные механизмы шифрования данных. Умеет создавать тоннели не только в распространённых сетях IP, но и в X.25, Frame Relay, ATM.
• OpenVPN — реализация VPN в, так называемом, свободном варианте. Имеет открытый исходный код, предназначенный для шифрования каналов с типами соединения «Client/Server VPN», «точка-точка». Предоставляет пользователю на выбор различные методы аутентификации — «предустановленный ключ», «логин/пароль», «сертификат». Одно из главных преимуществ OpenVPN — способность соединения двух ПК, находящихся за линией сетевого экрана (NAT-firewall), без изменения настроек их ОС.
• IPsec, или IP Security — протокол технически адаптированный для организации защищённых соединений поверх сетей IPv4. Выполняет функцию надстройки IP-протокола внешней сети. Поддерживает два режима работы: 1 — туннельный (IP-пакеты шифруются полностью); 2 — транспортный (частичная шифровка, применяется только при установлении соединения между узлами).

• SSL — протокол, защищающий сокеты (точки сетевых соединений узла) и vpn туннель между VPN server и клиентом. Шифрует данные двумя ключами: один из них открытый, а другой — частный, или закрытый, который есть только у получателя данных. Обеспечивает безопасность соединения при помощи криптографических хеш-функций и корректирующих кодов.

Построение VPN

Специализированные фаерволы (брандмауэры)

Некоторые межсетевые экраны (фаерволы) наряду с защитой портов узла (ПК) от внешних несанкционированных вторжений поддерживают и технологию VPN. Осуществляют туннелирование vpn и шифрование данных. Обработка пакетов выполняется в специальном программном модуле фаервола непосредственно перед отправкой.

Существенный минус данного способа — прямая зависимость корректной работы экрана от мощности ресурсов ПК. При большом количестве узлов в сети и объёмных потоках информации создавать VPN на базе брандмауэра не рекомендуется.

К числу наиболее распространённых фаерволов c функцией VPN относятся следующие:

• FireWall-1 (Check Point Software). Использует стандартный алгоритм построения VPN на базе протокола IPSec. Входящий трафик дешифрует, а затем применяет к нему пользовательские правила доступа (как и в обычном фаерволе). Совместим с операционными системами Windows NT 4.0 и Solaris.
• RusRoute (MaaSoftware) — маршрутизирующий брандмауэр. Кроме VPN, также в своём арсенале функций имеет proxy, redirect, shaper, мосты LAN для VPN. Отлично работает на ПК с многоядерной архитектурой. Требователен к знаниям и навыкам пользователя по сетевому администрированию.
• Stonegate Firewall/VPN (Stonesoft) . Межсетевой экран с собственной ОС. Оснащён запатентованными фильтрами трафика. В VPN-соединениях динамически балансирует нагрузку. Для шифрования передаваемых данных использует актуальные криптоалгоритмы, а также фирменный модуль кодировки, сертифицированный криптопровайдером «Крипто Про».

Маршрутизаторы

Сетевые маршрутизаторы — специализированные компьютеры, пересылающие информацию между сегментами сети, — для повышения безопасности разработчики иногда наделяют расширенной функцией шифрования.

В построении сетевых магистралей VPN отлично зарекомендовали себя маршрутизаторы Cisco Systems. Они работают по протоколам IPSec и L2TP и обеспечивают все необходимые технологические составляющие VPN — туннельное соединение, обмен ключами и идентификацию. Пользуются популярностью и решения от таких брендов, как TP-LINK, D-Link, Vigor и др.

VPN программы для организации приватной сети

VPN также может организовываться и исключительно программными средствами, без задействования какого-либо дополнительного оборудования. На каждом ПК, который необходимо объединить в локальную vpn сеть, устанавливается специальная программа. Затем в ней выполняются соответствующие настройки для прокладки VPN-туннеля. Участники сети соединяются через интернет-канал, но при этом находятся в своей виртуальной локальной сети, защищённой от проникновения посторонних (прослушивания, слежки и перехвата данных).

Наиболее эффективно с возведением VPN-сети справляется следующее ПО:

(старое название EasyVPN) — утилита от разработчика популярнейшего бесплатного фаервола Comodo. Оснащена удобным механизмом обмена файлами между участниками сети. Имеет свой собственный чат. Очень быстро настраивается, проста в управлении. Не требует от пользователя глубоких познаний в области системного администрирования. Для объединения в локальную vpn сеть, достаточно лишь запустить программу и ввести данные авторизации — логин/пароль.

EasyVPN — пользуется огромной популярностью среди геймеров. Поскольку она избавляет их от необходимости покупать/арендовать и настраивать игровые VPN servera для многопользовательской игры. Всё что нужно для полноценного режима мультиплеера, это ПК, EasyVPN и интернет-соединение. Географическая удалённость участников игровых баталий в локальной сети, практически не влияет на качество сетевого соединения VPN и, следовательно, на мультиплеерный геймплей в реальном времени.

— бесплатная утилита от Applied Networking Inc. Совместима со всеми OC семейства Windows (XP/7/8). «Поднимает» локальную VPN сеть без каких-либо дополнительных физических соединений со специальными маршрутизаторами и серверами. Выполняет туннелирование как в публичных, так и в частных сетях. Использует VPN сети на основе протоколов IP-sec и SSL. По объёму — крохотная (чуть больше 3 Мб), не нагружает системные ресурсы. Адаптирована для подключения неограниченного количества узлов к одной сети.

Средства операционной системы

Во многих современных системных оболочках для создания VPN-сети предусмотрены специальные настройки, отдельные модули и встроенные утилиты. Обладатель такой ОС, используя лишь её штатные средства (без задействования каких-либо сторонних программ или сетевого оборудования), может самостоятельно организовать виртуальную локальную vpn сеть. Яркий пример внедрения данного способа — Windows NT (Microsoft). В неё интегрирована программная поддержка протокола PPTP. Представляется недорогим и в то же время выгодным решением офисных/корпоративных сетей, использующих ОС Windows. В VPN на базе Win NT данные шифруются нестандартным алгоритмом Point-to-Point Encryption с устойчивостью ключа 40/128 бит, который генерируется в момент соединения.

При всех положительных качествах интеграции VPN c Windows, она имеет два серьёзных минуса: 1 — нельзя поменять ключи после соединения; 2 — нет проверки данных на целостность.

Недостатки VPN

1. Отсутствие единых стандартов шифрования и алгоритмов аутентификации. Программное обеспечение и оборудование по созданию VPN от различных разработчиков/производителей между собой несовместимы. Создание локальной виртуальной сети подразумевает применение одинаковых утилит, маршрутизаторов, ОС и т.д. В зависимости от способа организации VPN.
2. Достаточно высокая требовательность к производительности ресурсов. Тоннели в реальном времени поддерживают множество соединений, в которых кроме передачи данных осуществляется их шифровка и аутентификация сегментов сети (узлов и серверов). Для компьютеров с небольшой производительностью в совокупности эти процессы представляются трудоёмкой задачей. И под час неосуществимы вовсе.
3. Нет единого свода правил управления VPN-сетями. Как и в случае со стандартами шифрования и аутентификации, касательно контроля и поддержки речь идёт преимущественно о конкретном решении — протоколе, способе, ПО или оборудовании.
4. Чувствительность виртуальной сети к качеству интернет-соединения (только для VPN, созданных внутри глобальной сети). Низкая/нестабильная скорость, частые дисконекты (отключения) приводят к тому, что тоннели работают некорректно, либо их совсем невозможно создать.

И всё таки — использовать VPN или нет

Однозначно, да. Технология VPN, невзирая на некоторые технические сложности и нюансы, всё равно по-прежнему считается одним из самых мощных средств по обеспечению анонимности и безопасности в сети. Метод виртуального туннелирования превосходит сайты-анонимайзеры и прокси-сервера не только по устойчивости к взлому, степени скрытности клиента, но и по удобству пользования.

Многие специалисты ИТ единогласно утверждают, что VPN ждёт большое будущее. На радость системным администраторам, обычным пользователям ПК и всем тем, кто не равнодушен к конфиденциальности личных данных.

Процесс обмена данными в VPN

Назначение VPN - предоставить пользователям защищенное соединение к внутренней сети из-за пределов ее периметра, например, через интернет-провайдера. Основное преимущество VPN состоит в том, что пока программное обеспечение его поддерживает, пользователь может подключаться к внутренней сети через любое внешнее соединение. Это означает, что высокоскоростные устройства, например, ADSL, могут обеспечивать соединение с внутренней сетью и функционировать с полной нагрузкой. Это особенно удобно для пользователей, постоянно работающих на дому.

Существует два основных типа VPN. Первое решение основано на специальном оборудовании; на сервере и клиенте устанавливается специальное программное обеспечение, обеспечивающее защищенное соединение. Второй тип решения - это управляемый VPN. В этом сценарии некоторый провайдер предоставляет пользователям возможность дозвона на свой модемный пул, а затем устанавливать защищенное соединение с вашей внутренней сетью. Преимущество этого метода состоит в том, что все управление VPN перекладывается на другую компанию. Недостатком является то, что как правило эти решения ограничиваются модемными соединениями, что зачастую сводит на нет преимущества технологии VPN.

VPN использует несколько разных технологий защиты пакетов. Целью VPN является создание защищенного туннеля между удаленным компьютером и внутренней сетью. Туннель передает и кодирует трафик через незащищенный мир Интернет. Это означает, что два сайта ВУЗа могут использовать VPN для связи друг с другом. Логически это работает как WAN-связь между сайтами.

Вы также можете использовать комбинацию Службы Удаленного Доступа (RAS) и VPN для осуществления безопасной связи между кампусами, как показано на рисунке:

Удаленный пользователь дозванивается на RAS

1. RAS аутентифицирует пользователя.

2. Удаленный пользователь запрашивает файл с кампуса В и этот запрос посылается на сервер VPN.

3. Сервер VPN отправляет запрос через межсетевой экран и далее через Интернет на удаленный кампус.

4. Сервер VPN в удаленном кампусе получает запрос и устанавливает защищенный канал между кампусами А и В.

После установления туннеля, файл пересылается с кампуса В в кампус А через сервер VPN, а затем удаленному пользователю.

Защищенные протоколы обмена информацией PPTP

PPTP обеспечивает безопасность инкапсуляцией кадра PPP в датаграмму IP, передаваемую между сетями. PPTP может использоваться в схемах LAN-to-LAN и WAN-to-WAN. PPTP использует такой же механизм аутентификации, что и PPP. В нем могут использоваться CHAP, Microsoft CHAP (MS-CHAP), PAP, Shiva PAP (SPAP), и Extensible Authentication Protocol (EAP). PPTP может шифровать трафик IP, IPX или NetBEUI. Туннели устанавливаются, когда оба конца договариваются о параметрах соединения. Сюда включается согласование адресов, параметры сжатия, тип шифрования. Сам туннель управляется посредством протокола управления туннелем.

PPTP включает много полезных функций. Среди них сжатие и шифрование данных, разнообразие методов аутентификации. PPTP доступен во всех текущих платформах Windows.

L2TP PPTP был (и остается) хорошей идеей, но вытесняется другими технологиями. Протокол Layer 2 Tunneling Protocol (L2TP) является комбинацией протоколов PPTP и L2F, предложенный компанией Cisco.

Оба протокола очень сходны по функциям, поэтому IETF предложила объединить их в один. В результате появился L2TP, описанный в RFC 2661. L2TP использует достоинства как PPTP, так и L2F.

L2TP инкапсулирует кадры как сообщения UDP и передает их по сети IP. Эти сообщения используются для управления и передачи данных Для шифрования используется IPSec. Как и PPTP, L2TP использует методы те же аутентификации, что и PPP. L2TP также подразумевает существование межсетевого пространства между клиентом L2TP и сервером L2TP. Поскольку управлением туннелем L2TP производится по тому же UDP-соединению, что и передача данных, оба типа пакетов имеют одинаковую структуру. Стандартный порт L2TP для сервера и клиента в Windows 2000 - 1701 UDP.

Что же в результате выбрать? Если для PPTP необходима межсетевая среда на базе IP, то L2TP нуждается в соединении "точка-точка". Это означает, что L2TP может использоваться поверх IP, Frame Relay, X.25, ATM. L2TP позволяет иметь несколько туннелей. PPTP ограничен одним туннелем. L2TP разрешает аутентификацию туннеля Layer 2, а PPTP - нет. Однако, это преимущество игнорируется, если вы используете IPSec, поскольку в этом случае туннель аутентифицируется независимо от Layer 2. И наконец, размер пакета L2TP на 2 байта меньше за счет сжатия заголовка пакета.

IPSec (сокращение от IP Security) - набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPSec также включает в себя протоколы для защищённого обмена ключами в сети Интернет.

IPSec является неотъемлемой частью IPv6 - интернет-протокола следующего поколения, и необязательным расширением существующей версии интернет-протокола IPv4. Первоначально протоколы IPSec были определены в RFC с номерами от 1825 до 1827, принятые в 1995 году. В 1998 году были приняты новые редакции стандартов (RFC с 2401 по 2412), несовместимые с RFC 1825-1827. В 2005 году была принята третья редакция, незначительно отличающаяся от предыдущей.

Протоколы IPSec работают на сетевом уровне (слой 3 модели OSI). Другие широко распространённые защищённые протоколы сети Интернет, такие как SSL и TLS, работают на транспортном уровне (слои OSI 4 - 7). Это делает IPSec более гибким, поскольку IPSec может использоваться для защиты любых протоколов базирующихся на TCP и UDP. В то же время увеличивается его сложность из-за невозможности использовать протокол TCP (слой OSI 4) для обеспечения надёжной передачи данных.

IPsec-протоколы можно разделить на два класса: протоколы, отвечающие за защиту потока передаваемых пакетов и протоколы обмена криптографическими ключами. На настоящий момент определён только один протокол обмена криптографическими ключами - IKE (Internet Key Exchange). Два протокола обеспечивающие защиту передаваемого потока - ESP (Encapsulating Security Payload - инкапсуляция зашифрованных данных) обеспечивает целостность и конфиденциальность передаваемых данных, в то время как AH (Authentication Header - аутентифицирующий заголовок) гарантирует только целостность потока (передаваемые данные не шифруются).

Протоколы защиты передаваемого потока могут работать в двух режимах - в транспортном режиме, и в режиме туннелирования. При работе в транспортном режиме IPSec работает только с информацией транспортного уровня, в режиме туннелирования - с целыми IP-пакетами.

IPsec-трафик может маршрутизироваться по тем же правилам, что и остальные IP-протоколы, но, так как маршрутизатор не всегда может извлечь информацию характерную для протоколов транспортного уровня, то прохождение IPSec через NAT-шлюзы невозможно. Для решения этой проблемы IETF определила способ инкапсуляции ESP в UDP получивший название NAT-T (NAT traversal).

IPSec можно рассматривать как границу между внутренней (защищённой) и внешней (незащищённой) сетью. Эта граница может быть реализована как на отдельном хосте, так и на шлюзе, защищающем локальную сеть. Заголовок любого пакета, проходящего через границу, анализируется на соответствие политикам безопасности, то есть критериям, заданным администратором. Пакет может быть либо передан дальше без изменений, либо уничтожен, либо обработан с помощью протоколов защиты данных. Для защиты данных создаются так называемые SA (Security Associations) - безопасные соединения, представляющие собой виртуальные однонаправленные каналы для передачи данных. Для двунаправленной связи требуется два SA.

Преимущества и недостатки технологии VPN

Преимущества VPN очевидны. Предоставив пользователям возможность соединяться через Интернет, масштабируемость достигается в основном увеличением пропускной способности канала связи, когда сеть становится перегруженной. VPN помогает сэкономить на телефонных расходах, поскольку вам не требуется иметь дело с пулом модемов. Кроме того, VPN позволяют получить доступ к сетевым ресурсам, которые в обычной ситуации администраторы вынуждены выносить на внешнее соединение.

Итак, VPN обеспечивает:

Ш Защищенные каналы связи по цене доступа в Интернет, что в несколько раз дешевле выделенных линий;

Ш При установке VPN не требуется изменять топологию сетей, переписывать приложения, обучать пользователей - все это значительная экономия;

Ш обеспечивается масштабирование, поскольку VPN не создает проблем роста и сохраняет сделанные инвестиции;

Ш Независимость от криптографии и можете использовать модули криптографии любых производителей в соответствии с национальными стандартами той или иной страны;

Ш открытые интерфейсы позволяют интегрировать вашу сеть с другими программными продуктами и бизнес-приложениями.

К недостаткам VPN можно отнести сравнительно низкую надежность. В сравнении с выделенными линиями и сетями на основе Frame relay виртуальные частные сети менее надежны, однако в 5-10, а иногда и в 20 раз дешевле. По мнению аналитиков, это не остановит VPN, это не существенно для большинства пользователей.

В силу того, что услуга VPN предоставляется и поддерживается внешним оператором, могут возникать проблемы со скоростью внесения изменений в базы доступа, в настройки firewall, а также с восстановлением сломанного оборудования. В настоящее время проблема решается указанием в договорах максимального времени на устранение неполадок и внесение изменений. Обычно это время составляет несколько часов, но встречаются провайдеры, гарантирующие устранение неполадок в течение суток.

Еще один существенный недостаток - у потребителей нет удобных средств управления VPN. Хотя в последнее время разрабатывается оборудование, позволяющее автоматизировать управление VPN. Среди лидеров этого процесса - компания Indus River Networks Inc., дочерняя компания MCI WorldCom и Novell. В перспективе VPN сеть должна контролироваться пользователями, управляться компаниями-операторами, а задача разработчиков программного обеспечения - решить эту проблему.

Александр Шахлевич
Специалист отдела маркетинга компании "Информзащита"

О технологии виртуальных частных сетей VPN не писал еще только ленивый, да и в мире ИБ VPN уже стала де-факто стандартом построения защищенных каналов связи.

Плата за сохранность

Технология VPN отвечает основополагающим критериям сохранности информации: целостность, конфиденциальность, авторизованный доступ. При правильном выборе VPN обеспечивается масштабирование, то есть использование VPN не создаст проблем роста и поможет сохранить сделанные инвестиции в случае расширения бизнеса. Да и в сравнении с выделенными линиями и сетями на основе Frame Relay виртуальные частные сети не менее надежны в плане защиты информации, однако в 5-10, а иногда и в 20 раз дешевле.

Но у всего есть обратная сторона, и технология VPN не исключение. Одним из недостатков VPN является падение производительности сети, связанное с криптографической обработкой трафика, проходящего через VPN-устройство. Возникающие задержки можно разделить на три основных типа:

• задержки при установлении защищенного соединения между VPN-устройствами;
• задержки, связанные с зашифровыванием и расшифровыванием защищаемых данных, а также с преобразованиями, необходимыми для контроля их целостности;
• задержки, связанные с добавлением нового заголовка к передаваемым пакетам.

Давайте подробнее остановимся на каждом из обозначенных типов.

1. С учетом криптографической стойкости применяемых алгоритмов смена ключа возможна через достаточно длительный интервал времени. Поэтому при использовании средств построения VPN такие задержки практически не влияют на скорость обмена данными.
2. Задержки этого типа начинают сказываться на производительности каналов связи только при передаче данных по высокоскоростным линиям (от 100 Мбит/с). В остальных случаях быстродействие программной или аппаратной реализации выбранных алгоритмов шифрования и контроля целостности обычно достаточно велико, и в цепочке операций над пакетом "зашифровывание - передача в сеть" и "прием из сети - расшифровывание" время зашифровывания (расшифровывания) значительно меньше времени, необходимого для передачи данного пакета в сеть.
3. Здесь-то мы и сталкиваемся с основной проблемой, каковой является добавление дополнительного заголовка к каждому пакету, пропускаемому через VPN-устройство. Для примера можно рассмотреть систему управления, которая в реальном времени осуществляет обмен данными между удаленными станциями и центральным пунктом. Размер передаваемых данных не велик - не более 25 байт, что сопоставимо с размером данных в банковской сфере (платежные поручения) и IP-телефонии. Интенсивность передаваемых данных - 50-100 переменных в секунду. Взаимодействие между узлами осуществляется по каналам с пропускной способностью в 64 кбит/с. Пакет со значением одной переменной процесса имеет длину 25 байт (имя переменной - 16 байт, значение переменной - 8 байт, служебный заголовок - 1 байт). IP-протокол добавляет к длине пакета еще 24 байта (заголовок IP-пакета).

В случае использования каналов Frame Relay добавляется еще 10 байт FR-заголовка. Всего 59 байтов (472 бита). Таким образом, для нормальной работы необходима полоса пропускания, что хорошо вписывается в имеющиеся ограничения пропускной способности в 64 кбит/с.

Что мы получаем при использовании средств VPN? Для протокола IPSec и указанных параметров требуемая пропускная способность будет превышена на 6% (67,8 кбит/с). Для протокола, используемого в программно-аппаратном комплексе "Континент", дополнительный заголовок, добавляемый к каждому пакету, составляет всего 36 байт (или 26 - в зависимости от режима работы), что в данных условиях не вызовет задержек в работе (57 и 51 кбит/с соответственно). Для протокола SSL и тех же условий дополнительный заголовок составит 21 или 25 байт, в зависимости от алгоритма шифрования, это также не вызовет падения производительности.

Пример взят для наглядности, но чем больше объем передаваемых данных, тем больше вносимые задержки. Такое падение производительности сети не критично для большинства приложений и сервисов, но, например, губительно для передачи потокового аудио и видео. Вдобавок с развитием информационных технологий потребность в скоростной передаче трафика большого объема все возрастает, соответственно растут и требования как к самим каналам связи, так и к средствам их защиты.

По мнению западных аналитиков, пока лишь 5% пользователей, работающих, например, в финансовом секторе, нуждаются в таких высоких стандартах. Остальные 95% не столь серьезно относятся к проблемам со связью, а затраты большего количества времени на получение информации не приводят к колоссальным убыткам.

Модные тренды

Потребности бизнеса и подходы к построению ИБ сформировали к настоящему моменту два ключевых направления развития технологии VPN: это IPsec VPN и SSL VPN. Посмотрим, в чем основные плюсы и минусы каждой из них.

1. IPSec (IP Security) - это набор протоколов, решающих проблемы по шифрованию данных, их целостности и аутентификации. IPSec работает на сетевом уровне. Таким образом, защита данных будет прозрачна для сетевых приложений. В то время как SSL (Secure Socket Layer) - протокол уровня приложений, в основном используется для защищенного обмена информацией между удаленными приложениями (по большей части это обращение к Web-серверам), IPSec одинаково обращается с пакетами протоколов более высокого уровня, то есть аутенти-фицируются и шифруются, не обращая внимания на их содержание. А вот для работы SSL необходим надежный транспортный протокол (например, TCP). Надежность IPSec еще гарантируется тем, что информация о порте, с которым установлено соединение, также недоступна для злоумышленника.

2. IPSec поддерживает три вида установления соединения:

• Gateway-to-Gateway;
• Gateway-to-Host;
• Host-to-Host.

SSL поддерживает только соединение между двумя хостами или клиентом и сервером.

3. IPSec поддерживает цифровую подпись и использование Secret Key Algorithm, в то время как SSL - только цифровую подпись. И IPsec и SSL могут использовать PKI. Преимущество IPSec: для малых систем можно вместо PKI применять preshared keys, что заметно упрощает задачу. Методы, которые используются в SSL, идеально подходят для установления защищенного соединения между сервером и клиентом. Основное различие между способами аутентификации опять же заключается в том, что IPSec функционирует на сетевом уровне, что позволяет прослеживать адрес получателя и источника с тем же успехом, что и аутентификацию более высоких уровней. SSL же имеет доступ только к информации транспортного уровня и выше.

4. Среди недостатков IPSec - большой объем дополнительной информации, добавляемой к исходному пакету. В случае SSL этот размер значительно меньше.

5. Для сжатия IPSec применяется протокол IPComp. SSL в меньшей мере использует сжатие, и только OpenSSL поддерживает его полностью. В случае IPSec использование алгоритмов сжатия может приводить к разным результатам при применении их в разных условиях: производительность способна как увеличиваться, так и уменьшаться.

Результат зависит от соотношения скоростей шифрования, сжатия и скорости передачи данных.

Большинство алгоритмов шифрования работают быстрее алгоритмов сжатия. Следовательно, это будет приводить к замедлению работы. Но в случае низкой скорости передачи использование сжатия заметно увеличит производительность.

В качестве заключения

SSL очень быстро развивается в сегменте "клиент-сервер VPN" (по сравнению с IPSec), так как при небольших издержках предоставляет необходимый уровень защищенности информации. И хотя пока SSL пытается на равных конкурировать с IPSec, но с появлением и окончательной стандартизацией IPv6 ситуация должна измениться.

Что выбрать - решать только заказчику. Лидеры по производству средств защиты информации отлично справляются с развитием обоих направлений и способны предложить оптимальное решение, соответствующее индивидуальным потребностям конкретного клиента.

VPN (Virtual Private Network - виртуальная частная сеть) - обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрованию, Аутентификация , инфраструктуры публичных ключей, средствам для защиты от повторов и изменения передаваемых по логической сети сообщений).

В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть . Преимуществом шифрования на уровне сети (т. е. работы в конфигурации "сеть-сеть") является то, что эта технология прозрачна для пользователей, а вся система работает под управлением администратора сети, который обеспечивает проведение корпоративной политики в данной области. Недостаток же состоит в следующем: в корпоративной локальной сети все сообщения передаются открытым текстом, что может оказаться небезопасным для некоторых видов данных.

Классификация VPN

Классифицировать VPN решения можно по нескольким основным параметрам.

По степени защищенности используемой среды:

Защищённые . Наиболее распространённый вариант виртуальных частных сетей. С его помощью возможно создать надежную и защищенную подсеть на основе ненадёжной сети, как правило, Интернета. Примером защищённых VPN являются: , OpenVPN и PPTP .

Доверительные . Используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Вопросы обеспечения безопасности становятся неактуальными. Примерами подобных VPN решений являются: Multi-protocol label switching (MPLS) и L2TP (Layer 2 Tunnelling Protocol). (точнее сказать, что эти протоколы перекладывают задачу обеспечения безопасности на другие, например L2TP , как правило, используется в паре с IPSec - протокол защиты сетевого трафика на IP-уровне).

Реализации VPN

• SymVPN - клиент VPN PPTP Symbian OS - платный.

VPN на базе сетевой ОС.

• Преимущества SSL VPN:

  • Для инициации VPN-сессии нужен только браузер.

    Доступ настраивается быстро, буквально за считаные секунды.

    Безопасность и аутентификация обеспечиваются загрузкой Java-апплетов или элементов управления ActiveX.

    Для аутентификации не нужен постоянный IP-адрес.

    Перебои связи не вызывают обрыва VPN-соединения.

    Обеспечивается роуминг по различным IP-адресам и каналам.

    Просто управлять доступом и эмулировать функции IPsec.

  Недостатки SSL VPN:

  Простота и переносимость SSL провоцируют более широкое использование удаленного доступа с неуправляемых ПК.

  По мере роста требований к SSL-решениям усложняется управление ими.

  Покупатели вынуждены брать на себя ответственность за обеспечение достаточного уровня безопасности на удаленных точках доступа.

  Роуминг для стандартных сеансов SSL не является прозрачным и требует обновления в браузере.

  Аргументы для продолжения использования IPsec VPN:

  IPseс обеспечивает гибкость при выборе алгоритмов шифрования и длины ключей.

  Хорошо подходит для связывания узлов по ненадежным в смысле безопасности сетям.

  Обеспечивает реальное соединение сокетов по безопасному туннелю, что гарантирует качественную работу приложений с малым временем отклика.

  Не IP-протоколы не поддерживаются по умолчанию.

  Недостатки IPsec VPN:

  Компании продолжают практику использования простых идентификаторов пользователей и паролей, что увеличивает риск вторжения.

  Не все клиентское ПО одинаково качественное.

  Требуется постоянный IP-адрес.

  Не поддерживается роуминг.

  Определение и описание рынка

  Продукты на рынке SSL VPN обеспечивают безопасное и конфиденциальное соединение с корпоративными сетями пользователей, применяющих настольные ПК, ноутбуки и малые вычислительные устройства вроде КПК и смартфонов. В отчете Gartner рассматриваются средние и крупные предприятия Северной Америки, на этом рынке ведущая роль принадлежит США.

  Решения SSL VPN представляют собой ПО, расширяющее возможности безопасности браузера, и шлюзы VPN, которые могут поставляться как отдельное устройство или ПО, устанавливаемое на сервер. На рынке преобладают аппаратно-программные решения, поскольку чисто программные проигрывают им по ряду параметров. Традиционно клиентское ПО реализуется на базе браузера, а доступ к приложениям и ресурсам осуществляется через меню. Однако некоторые компании предоставляют полностью оригинальные программы, имитирующие IPsec VPN, а отдельные решения вообще обходятся без меню. SSL VPN поддерживает строгую аутентификацию и регистрацию, необходимую для защиты VPN, а также аудит доступа к приложениям и роуминг для мобильных пользователей.