VPN

VPN технологія

VPN ( англ. Virtual Private Network - Віртуальна приватна мережа [1]) - узагальнена назва технологій, що дозволяють забезпечити одне або декілька мережевих з'єднань (логічну мережу) поверх іншої мережі (наприклад, Інтернет). Незважаючи на те, що комунікації здійснюються по мережах з меншою невідомим рівнем довіри (наприклад, по публічних мереж), рівень довіри до побудованої логічної мережі не залежить від рівня довіри до базових мереж завдяки використанню засобів криптографії (шифрування, аутентифікації, інфраструктури відкритих ключів, засобів для захисту від повторів і змін переданих по логічної мережі повідомлень).

В залежності від застосовуваних протоколів і призначення, VPN може забезпечувати з'єднання трьох видів: вузол-вузол, вузол-мережу та мережу-мережу.


1. Рівні реалізації

Зазвичай VPN розгортають на рівнях не вище мережевого, так як застосування криптографії на цих рівнях дозволяє використовувати в незмінному вигляді транспортні протоколи (такі як TCP, UDP).

Користувачі Microsoft Windows позначають терміном VPN одну з реалізацій віртуальної мережі - PPTP, причому використовувану часто не для створення приватних мереж.

Найчастіше для створення віртуальної мережі використовується інкапсуляція протоколу PPP в який-небудь інший протокол - IP (такий спосіб використовує реалізація PPTP - Point-to-Point Tunneling Protocol) або Ethernet ( PPPoE) (хоча і вони мають відмінності). Технологія VPN останнім часом використовується не тільки для створення власне приватних мереж, але і деякими провайдерами "Останньої милі" на пострадянському просторі для надання виходу в Інтернет.

При належному рівні реалізації та використанні спеціального програмного забезпечення мережу VPN може забезпечити високий рівень шифрування переданої інформації. При правильному налаштуванні всіх компонентів технологія VPN забезпечує анонімність в Мережі.


2. Структура VPN

VPN складається з двох частин: "внутрішня" (підконтрольна) мережа, яких може бути кілька, і "зовнішня" мережу, по якій проходить інкапсульоване з'єднання (зазвичай використовується Інтернет). Можливо також підключення до віртуальної мережі окремого комп'ютера. Підключення віддаленого користувача до VPN проводиться за допомогою сервера доступу, який підключений як до внутрішньої, так і до зовнішньої (загальнодоступною) мережі. При підключенні віддаленого користувача (або при установці з'єднання з іншою захищеною мережею) сервер доступу вимагає проходження процесу ідентифікації, а потім процесу аутентифікації. Після успішного проходження обох процесів, віддалений користувач (віддалена мережа) наділяється повноваженнями для роботи в мережі, тобто відбувається процес авторизації.


3. Класифікація VPN

Класифікація VPN

Класифікувати VPN рішення можна за кількома основними параметрами:


3.1. За ступенем захищеності використовуваного середовища

Захищені

Найбільш поширений варіант віртуальних приватних мереж. З його допомогою можливо створити надійну і захищену мережу на основі ненадійної мережі, як правило, Інтернету. Прикладом захищених VPN є: IPSec, OpenVPN і PPTP.

Довірчі

Використовуються у випадках, коли передавальну середу можна вважати надійною і необхідно вирішити лише завдання створення віртуальної підмережі в рамках більшої мережі. Проблеми безпеки стають неактуальними. Прикладами подібних VPN рішень є: Multi-protocol label switching ( MPLS) та L2TP (Layer 2 Tunnelling Protocol) (точніше буде сказати, що ці протоколи перекладають завдання забезпечення безпеки на інші, наприклад L2TP, як правило, використовується в парі з IPSec).


3.2. За способом реалізації

У вигляді спеціального програмно-апаратного забезпечення

Реалізація VPN мережі здійснюється за допомогою спеціального комплексу програмно-апаратних засобів. Така реалізація забезпечує високу продуктивність і, як правило, високий ступінь захищеності.

У вигляді програмного рішення

Використовують персональний комп'ютер зі спеціальним програмним забезпеченням, що забезпечує функціональність VPN.

Інтегроване рішення

Функціональність VPN забезпечує комплекс, вирішальний також задачі фільтрації мережевого трафіку, організації мережевого екрану і забезпечення якості обслуговування.


3.3. За призначенням

Intranet VPN

Використовують для об'єднання в єдину захищену мережу декількох розподілених філій однієї організації, які обмінюються даними по відкритих каналах зв'язку.

Remote Access VPN

Використовують для створення захищеного каналу між сегментом корпоративної мережі (центральним офісом або філією) та поодиноких користувачем, який, працюючи вдома, підключається до корпоративних ресурсів з домашнього комп'ютера, корпоративного ноутбука, смартфона або інтернет-кіоскa.

Extranet VPN

Використовують для мереж, до яких підключаються "зовнішні" користувачі (наприклад, замовники або клієнти). Рівень довіри до них набагато нижче, ніж до співробітників компанії, тому потрібне забезпечення спеціальних "рубежів" захисту, що запобігають або обмежують доступ останніх до особливо цінного, конфіденційної інформації.

Internet VPN

Використовується для надання доступу до інтернету провайдерами, звичайно якщо по одному фізичному каналу підключаються декілька користувачів. Протокол PPPoE став стандартом в ADSL -підключення.

L2TP був широко поширений в середині 2000-х років в будинкових мережах : в ті часи внутрішньо-мережевий трафік не оплачувалася, а зовнішній коштував дорого. Це давало можливість контролювати витрати: коли VPN-з'єднання вимкнено, користувач нічого не платить. В даний час (2012) провідний інтернет дешевий або безлімітний, а на стороні користувача найчастіше є маршрутизатор, на якому вмикати-вимикати інтернет не так зручно, як на комп'ютері. Тому L2TP-доступ відходить у минуле.

Client / Server VPN

Він забезпечує захист переданих даних між двома вузлами (не мережами) корпоративної мережі. Особливість даного варіанта в тому, що VPN будується між вузлами, що перебувають, як правило, в одному сегменті мережі, наприклад, між робочою станцією і сервером. Така необхідність дуже часто виникає в тих випадках, коли в одній фізичній мережі необхідно створити декілька логічних мереж. Наприклад, коли треба розділити трафік між фінансовим департаментом та відділом кадрів, які звертаються до серверів, що знаходяться в одному фізичному сегменті. Цей варіант схожий на технологію VLAN, але замість поділу трафіку, використовується його шифрування.


3.4. За типом протоколу

Існують реалізації віртуальних приватних мереж під TCP / IP, IPX і AppleTalk. Але на сьогоднішній день спостерігається тенденція до загального переходу на протокол TCP / IP, і абсолютна більшість VPN рішень підтримує саме його. Адресація в ньому найчастіше вибирається у відповідності зі стандартом RFC5735, з діапазону Приватних мереж TCP / IP

3.5. За рівнем мережевого протоколу

За рівнем мережевого протоколу на основі зіставлення з рівнями еталонної мережевої моделі ISO / OSI.

4. Приклади VPN

  • IPSec (IP security) - часто використовується поверх IPv4.
  • PPTP (point-to-point tunneling protocol) - розроблявся спільними зусиллями декількох компаній, включаючи Microsoft.
  • PPPoE ( PPP (Point-to-Point Protocol) over Ethernet)
  • L2TP (Layer 2 Tunnelling Protocol) - використовується в продуктах компаній Microsoft і Cisco.
  • L2TPv3 (Layer 2 Tunnelling Protocol version 3).
  • OpenVPN SSL VPN з відкритим вихідним кодом, підтримує режими PPP, bridge, point-to-point, multi-client server
  • Hamachi - програма для створення однорангової VPN-мережі.

Багато великі провайдери пропонують свої послуги з організації VPN-мереж для бізнес-клієнтів.


Примітки

  1. Сталий термін; правильніше "віртуальна закрита мережа". Слово private - lingvo.abbyyonline.com / ru / en-ru / private, в числі іншого, має значення "персональний", "секретний", "закритий", і недержавна (приватна) власність тут ні до чого.

Література

  • Іванов М. А. Криптографічні методи захисту інформації в комп'ютерних системах та мережах. - М.: КУДИЦ-ОБРАЗ, 2001. - 368 с.
  • Кульгин М. Технології корпоративних мереж. Енциклопедія. - СПб.: Питер, 2000. - 704 с.
  • Оліфер В. Г., Оліфер Н. А. Комп'ютерні мережі. Принципи, технології, протоколи: Підручник для вузів. - СПб.: Питер, 2001. - 672 с.
  • Романець Ю. В.. Тимофєєв П. А., Шаньгина В. Ф. Захист інформації в комп'ютерних системах та мережах. 2-е изд. - М: Радіо і зв'язок, 2002. -328 С.
  • Столлінгс В. Основи захисту мереж. Додатки і стандарти = Network Security Essentials. Applications and Standards. - М .: "Вильямс", 2002. - С. 432. - ISBN 0-13-016093-8