- Главная
- Информатика
- Основы технологии виртуальных защищённых сетей VPN. Лекция 5
Содержание
- 2. Вопросы: Концепция построения виртуальных защищённых сетей VPN VPN-решения для построения защищённых сетей Литература Шаньгин В. Ф.
- 3. 1. Концепция построения виртуальных защищённых сетей VPN Задача создания компьютерной сети предприятия в пределах одного здания
- 4. 1. Концепция построения виртуальных защищённых сетей VPN В основе концепции построения виртуальных сетей VPN лежит достаточно
- 5. 1. Концепция построения виртуальных защищённых сетей VPN При подключении корпоративной локальной сети к открытой сети возникают
- 6. 1. Концепция построения виртуальных защищённых сетей VPN Защита информации в процессе её передачи по открытым каналам
- 7. 1. Концепция построения виртуальных защищённых сетей VPN Туннель VPN представляет собой соединение, проведённое через открытую сеть,
- 8. 1. Концепция построения виртуальных защищённых сетей VPN VPN-сервер представляет собой программный или программно-аппаратный комплекс, устанавливаемый на
- 9. 1. Концепция построения виртуальных защищённых сетей VPN Открытая внешняя среда передачи информации включает как каналы скоростной
- 10. 1. Концепция построения виртуальных защищённых сетей VPN Следует отметить, что туннелирование само по себе не защищает
- 11. 1. Концепция построения виртуальных защищённых сетей VPN Особенность технологии туннелирования в том, что она позволяет зашифровывать
- 12. 1. Концепция построения виртуальных защищённых сетей VPN Рис. 3. Схема виртуального защищённого туннеля 1.1. Основные понятия
- 13. 1. Концепция построения виртуальных защищённых сетей VPN Туннелирование может быть использовано для защиты не только конфиденциальности
- 14. 1. Концепция построения виртуальных защищённых сетей VPN Механизм туннелирования широко применяется в различных протоколах формирования защищённого
- 15. 1. Концепция построения виртуальных защищённых сетей VPN Реализацию механизма туннелирования можно представить как результат работы протоколов
- 16. 1. Концепция построения виртуальных защищённых сетей VPN Безопасность информационного обмена необходимо обеспечивать как в случае объединения
- 17. 1. Концепция построения виртуальных защищённых сетей VPN Схема 1 соединения позволяет заменить дорогостоящие выделенные линии между
- 18. 1. Концепция построения виртуальных защищённых сетей VPN С точки зрения обеспечения информационной безопасности лучшим является вариант,
- 19. 1. Концепция построения виртуальных защищённых сетей VPN Достаточно распространён вариант, когда защищённый туннель прокладывается только внутри
- 20. 1. Концепция построения виртуальных защищённых сетей VPN Однако данный вариант характеризуется сравнительно низкой безопасностью информационного взаимодействия,
- 21. 1. Концепция построения виртуальных защищённых сетей VPN Инициировать и разрывать туннель могут различные сетевые устройства и
- 22. 1. Концепция построения виртуальных защищённых сетей VPN Для обеспечения возможности расшифровывания данных и проверки цифровой подписи
- 23. 1. Концепция построения виртуальных защищённых сетей VPN При построении сети VPN первостепенное значение имеет задача обеспечения
- 24. 1. Концепция построения виртуальных защищённых сетей VPN Конфиденциальность обеспечивается с помощью различных методов и алгоритмов симметричного
- 25. 1. Концепция построения виртуальных защищённых сетей VPN Для обеспечения безопасности передаваемых данных в сетях VPN должны
- 26. 1. Концепция построения виртуальных защищённых сетей VPN Идентификация (Identification) – процедура распознавания пользователя по его идентификатору
- 27. 1. Концепция построения виртуальных защищённых сетей VPN Авторизация (Authorization) – процедура предоставления субъекту определённых полномочий и
- 28. 1. Концепция построения виртуальных защищённых сетей VPN Необходимый уровень аутентификации определяется требованиями безопасности, которые установлены в
- 29. 1. Концепция построения виртуальных защищённых сетей VPN Для подтверждения своей подлинности субъект может предъявлять системе разные
- 30. 1. Концепция построения виртуальных защищённых сетей VPN Динамический (одноразовый) пароль – это пароль, который после однократного
- 31. 1. Концепция построения виртуальных защищённых сетей VPN В соответствии с этим процессы аутентификации разделяются на следующие
- 32. 1. Концепция построения виртуальных защищённых сетей VPN атака с выборкой текста (chosen-text attack). Злоумышленник перехватывает аугентификационных
- 33. 1. Концепция построения виртуальных защищённых сетей VPN Механизм «запрос-ответ» состоит в следующем. Если пользователь А хочет
- 34. 1. Концепция построения виртуальных защищённых сетей VPN При использовании отметок времени возникает проблема допустимого временного интервала
- 35. 1. Концепция построения виртуальных защищённых сетей VPN Обеспечение конфиденциальности, целостности и аутентичности информации. Задача обеспечения конфиденциальности
- 36. 1. Концепция построения виртуальных защищённых сетей VPN В последнее время активно развивается так называемое ролевое управление
- 37. 1. Концепция построения виртуальных защищённых сетей VPN Важной частью общего решения безопасности сети являются МЭ, которые
- 38. 1. Концепция построения виртуальных защищённых сетей VPN Система управления корпоративной сетью должна включать необходимый набор средств
- 39. 2. VPN-решения для построения защищённых сетей VPN-технологии позволяют организовывать защищённые туннели как между офисами компании, так
- 40. 2. VPN-решения для построения защищённых сетей Классификация VPN по «рабочему» уровню модели OSI Для технологий безопасной
- 41. 2. VPN-решения для построения защищённых сетей Классификация VPN по «рабочему» уровню модели OSI представляет значительный интерес,
- 42. 2. VPN-решения для построения защищённых сетей VPN сетевого уровня. VPN-продукты сетевого уровня выполняют инкапсуляцию IP в
- 43. 2. VPN-решения для построения защищённых сетей Шифрование информации, передаваемой между инициатором и терминатором туннеля, часто осуществляется
- 44. 2. VPN-решения для построения защищённых сетей VPN с удалённым доступом предназначены для обеспечения защищённого удалённого доступа
- 45. 2. VPN-решения для построения защищённых сетей По способу технической реализации различают VPN на основе: маршрутизаторов; межсетевых
- 46. 2. VPN-решения для построения защищённых сетей VPN на основе программного обеспечения. VPN-продукты, реализованные программным способом, с
- 47. 2. VPN-решения для построения защищённых сетей Существует множество разновидностей виртуальных частных сетей. Их спектр варьирует от
- 48. 2. VPN-решения для построения защищённых сетей Преимущества перехода от частно управляемых dial networks к Remote Access
- 49. 2. VPN-решения для построения защищённых сетей Внутрикорпоративные сети VPN строятся с использованием Internet или разделяемых сетевых
- 50. 2. VPN-решения для построения защищённых сетей Межкорпоративная сеть VPN – это сетевая технология, которая обеспечивает прямой
- 51. 2. VPN-решения для построения защищённых сетей Соединения Extranet VPN развёртываются, используя те же архитектуру и протоколы,
- 53. Скачать презентацию
Вопросы:
Концепция построения виртуальных защищённых сетей VPN
VPN-решения для построения защищённых сетей
Литература
Шаньгин В.
Вопросы:
Концепция построения виртуальных защищённых сетей VPN
VPN-решения для построения защищённых сетей
Литература
Шаньгин В.
1. Концепция построения виртуальных защищённых сетей VPN
Задача создания компьютерной сети предприятия
1. Концепция построения виртуальных защищённых сетей VPN
Задача создания компьютерной сети предприятия
С бурным развитием Internet и сетей коллективного доступа произошёл качественный скачок в распространении и доступности информации. Пользователи получили дешёвые и доступные каналы Internet. Предприятия стремятся использовать такие каналы для передачи критичной коммерческой и управленческой информации.
Для эффективного противодействия сетевым атакам и обеспечения возможности активного и безопасного использования в бизнесе открытых сетей в начале 1990-х гг. родилась и активно развивается концепция построения виртуальных частных сетей – VPN (Virtual Private Network).
1. Концепция построения виртуальных защищённых сетей VPN
В основе концепции построения виртуальных
1. Концепция построения виртуальных защищённых сетей VPN
В основе концепции построения виртуальных
Преимущества, получаемые компанией от создания таких виртуальных туннелей, заключаются прежде всего в значительной экономии финансовых средств, поскольку в этом случае компания может отказаться от построения или аренды дорогих выделенных каналов связи для создания собственных intranet/extranet сетей и использовать для этого дешёвые Интернет-каналы, надёжность и скорость передачи которых в большинстве своём уже не уступает выделенным линиям.
Очевидная экономическая эффективность от внедрения VPN-технологий стимулирует предприятия к активному их внедрению.
1. Концепция построения виртуальных защищённых сетей VPN
При подключении корпоративной локальной сети
1. Концепция построения виртуальных защищённых сетей VPN
При подключении корпоративной локальной сети
НСД к внутренним ресурсам корпоративной локальной сети, получаемый злоумышленником в результате несанкционированного входа в эту сеть;
НСД к корпоративным данным в процессе их передачи по открытой сети.
Обеспечение безопасности информационного взаимодействия локальных сетей и отдельных компьютеров через открытые сети, в частности через сеть Интернет, возможно путём эффективного решения следующих задач:
защита подключённых к открытым каналам связи локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды;
защита информации в процессе её передачи по открытым каналам связи.
Как уже отмечалось выше, для защиты ЛВС и отдельных компьютеров от несанкционированных действий со стороны внешней среды обычно используют МЭ, поддерживающие безопасность информационного взаимодействия путём фильтрации двустороннего потока сообщений, а также выполнения функций посредничества при обмене информацией. МЭ располагают на стыке между локальной и открытой сетью. Для защиты отдельного удалённого компьютера, подключённого к открытой сети, на этом компьютере устанавливают ПО сетевого экрана, и такой сетевой экран называется персональным.
1.1. Основные понятия и функции сети VPN
1. Концепция построения виртуальных защищённых сетей VPN
Защита информации в процессе её
1. Концепция построения виртуальных защищённых сетей VPN
Защита информации в процессе её
1.1. Основные понятия и функции сети VPN
Сеть VPN позволяет с помощью туннелей VPN соединить центральный офис, офисы филиалов, офисы бизнес-партнёров и удалённых пользователей и безопасно передавать информацию через Интернет (рис. 1).
1. Концепция построения виртуальных защищённых сетей VPN
Туннель VPN представляет собой соединение,
1. Концепция построения виртуальных защищённых сетей VPN
Туннель VPN представляет собой соединение,
на аутентификации взаимодействующих сторон;
криптографическом закрытии (шифровании) передаваемых данных;
проверке подлинности и целостности доставляемой информации.
Для этих функций характерна взаимосвязь друг с другом. При их реализации используются криптографические методы защиты информации. Эффективность такой защиты обеспечивается за счёт совместного использования симметричных и асимметричных криптографических систем. Туннель VPN, формируемый устройствами VPN, обладает свойствами защищённой выделенной линии, которая развёртывается в рамках общедоступной сети, например Интернета. Устройства VPN могут играть в виртуальных частных сетях роль VPN-клиента, VPN-сервера или шлюза безопасности VPN.
VPN-клиент представляет собой программный или программно-аппаратный комплекс, выполняемый обычно на базе персонального компьютера. Его сетевое ПО модифицируется для выполнения шифрования и аутентификации трафика, которым это устройство обменивается с другими VPN-клиентами, VPN-серверами или шлюзами безопасности VPN. Обычно реализация VPN-клиента представляет собой программное решение, дополняющее стандартную ОС – Windows NT/2000/XP или Unix.
1.1. Основные понятия и функции сети VPN
1. Концепция построения виртуальных защищённых сетей VPN
VPN-сервер представляет собой программный или
1. Концепция построения виртуальных защищённых сетей VPN
VPN-сервер представляет собой программный или
Шлюз безопасности VPN (security gateway) – это сетевое устройство, подключаемое к двум сетям и выполняющее функции шифрования и аутентификации для многочисленных хостов, расположенных за ним. Размещён шлюз безопасности VPN так, чтобы через него проходил весь трафик, предназначенный для внутренней корпоративной сети. Сетевое соединение шлюза VPN прозрачно для пользователей позади шлюза, и представляется им выделенной линией, хотя на самом деле прокладывается через открытую сеть с коммутацией пакетов. Адрес шлюза безопасности VPN указывается как внешний адрес входящего туннелируемого пакета, а внутренний адрес пакета является адресом конкретного хоста позади шлюза. Шлюз безопасности VPN может быть реализован в виде отдельного программного решения, отдельного аппаратного устройства, а также в виде маршрутизатора или МЭ, дополненных функциями VPN.
1.1. Основные понятия и функции сети VPN
1. Концепция построения виртуальных защищённых сетей VPN
Открытая внешняя среда передачи информации
1. Концепция построения виртуальных защищённых сетей VPN
Открытая внешняя среда передачи информации
Эффективность виртуальной частной сети VPN определяется степенью защищённости информации, циркулирующей по открытым каналам связи. Для безопасной передачи данных через открытые сети широко используют инкапсуляцию и туннелирование.
С помощью методики туннелирование пакеты данных передаются через общедоступную сеть, как по обычному двухточечному соединению.
Между каждой парой «отправитель – получатель данных» устанавливается своеобразный туннель – логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого.
Суть туннелирования в том, чтобы инкапсулировать, т.е. «упаковать», передаваемую порцию данных, вместе со служебными полями, в новый «конверт». При этом пакет протокола более низкого уровня помещается в поле данных пакета протокола более высокого или такого же уровня.
1.1. Основные понятия и функции сети VPN
1. Концепция построения виртуальных защищённых сетей VPN
Следует отметить, что туннелирование само
1. Концепция построения виртуальных защищённых сетей VPN
Следует отметить, что туннелирование само
Чтобы обеспечить конфиденциальность передаваемых данных, отправитель шифрует исходные пакеты, упаковывает их во внешний пакет с новым IP-заголовком и отправляет по транзитной сети (рис. 2).
1.1. Основные понятия и функции сети VPN
Рис. 2. Пример пакета, подготовленного для туннелирования
1. Концепция построения виртуальных защищённых сетей VPN
Особенность технологии туннелирования в том,
1. Концепция построения виртуальных защищённых сетей VPN
Особенность технологии туннелирования в том,
Исходный пакет с зашифрованным заголовком не может быть использован для организации транспортировки по сети. Поэтому для защиты исходного пакета применяют его инкапсуляцию и туннелирование. Исходный пакет зашифровывают полностью, вместе с заголовком, и затем этот зашифрованный пакет помещают в другой внешний пакет с открытым заголовком. Для транспортировки данных по открытой сети используются открытые поля заголовка внешнего пакета.
По прибытии в конечную точку защищённого канала из внешнего пакета извлекают внутренний исходный пакет, расшифровывают его и используют его восстановленный заголовок для дальнейшей передачи по внутренней сети (рис. 3).
1.1. Основные понятия и функции сети VPN
1. Концепция построения виртуальных защищённых сетей VPN
Рис. 3. Схема виртуального защищённого
1. Концепция построения виртуальных защищённых сетей VPN
Рис. 3. Схема виртуального защищённого
1.1. Основные понятия и функции сети VPN
1. Концепция построения виртуальных защищённых сетей VPN
Туннелирование может быть использовано для
1. Концепция построения виртуальных защищённых сетей VPN
Туннелирование может быть использовано для
В дополнение к сокрытию сетевой структуры между двумя точками, туннелирование может также предотвратить возможный конфликт адресов между двумя локальными сетями. При создании локальной сети, не связанной с Internet, компания может использовать любые IP-адреса для своих сетевых устройств и компьютеров.
При объединении ранее изолированных сетей эти адреса могут начать конфликтовать друг с другом и с адресами, которые уже используются в Internet.
Инкапсуляция пакетов решает эту проблему, поскольку позволяет скрыть первоначальные адреса и добавить новые, уникальные в пространстве IP-адресов Internet, которые затем используются для пересылки данных по разделяемым сетям. Сюда же входит задача настройки IP-адреса и других параметров для мобильных пользователей, подключающихся к локальной сети.
1.1. Основные понятия и функции сети VPN
1. Концепция построения виртуальных защищённых сетей VPN
Механизм туннелирования широко применяется в
1. Концепция построения виртуальных защищённых сетей VPN
Механизм туннелирования широко применяется в
Следует отметить, что сам механизм туннелирования не зависит от того, с какой целью применяется туннелирование.
Туннелирование может применяться не только для обеспечения конфиденциальности и целостности всей передаваемой порции данных, но и для организации перехода между сетями с разными протоколами (например, IPv4 и IPv6).
Туннелирование позволяет организовать передачу пакетов одного протокола в логической среде, использующей другой протокол. В результате появляется возможность решить проблемы взаимодействия нескольких разнотипных сетей, начиная с необходимости обеспечения целостности и конфиденциальности передаваемых данных и заканчивая преодолением несоответствий внешних протоколов или схем адресации.
1.1. Основные понятия и функции сети VPN
1. Концепция построения виртуальных защищённых сетей VPN
Реализацию механизма туннелирования можно представить
1. Концепция построения виртуальных защищённых сетей VPN
Реализацию механизма туннелирования можно представить
Наиболее распространённым вариантом несущего протокола является протокол IP сети Интернет. В качестве протоколов туннелирования могут быть использованы протоколы канального уровня РРТР и L2TP, а также протокол сетевого уровня IPSec. Благодаря туннелированию становится возможным сокрытие инфраструктуры Internet от VPN-приложений.
Туннели VPN могут создаваться для различных типов конечных пользователей – либо это локальная сеть со шлюзом безопасности, либо отдельные компьютеры удалённых и мобильных пользователей. Для создания виртуальной частной сети крупного предприятия нужны VPN-шлюзы, VPN-серверы и VPN-клиенты. VPN-шлюзы целесообразно использовать для защиты локальных сетей предприятия, VPN-серверы и VPN-клиенты используют для организации защищённых соединений удалённых и мобильных пользователей с корпоративной сетью через Интернет.
1.1. Основные понятия и функции сети VPN
1. Концепция построения виртуальных защищённых сетей VPN
Безопасность информационного обмена необходимо обеспечивать
1. Концепция построения виртуальных защищённых сетей VPN
Безопасность информационного обмена необходимо обеспечивать
виртуальный защищённый канал между локальными сетями (канал ЛВС-ЛВС);
виртуальный защищённый канал между узлом и локальной сетью (канал клиент-ЛВС). (рис. 4).
1.2. Варианты построения виртуальных защищённых каналов
1. Концепция построения виртуальных защищённых сетей VPN
Схема 1 соединения позволяет заменить
1. Концепция построения виртуальных защищённых сетей VPN
Схема 1 соединения позволяет заменить
Схема 2 защищённого канала VPN предназначена для установления соединений с удалёнными или мобильными пользователями. Создание туннеля инициирует клиент (удалённый пользователь). Для связи со шлюзом, защищающим удалённую сеть, он запускает на своём компьютере специальное клиентское ПО.
Этот вид VPN заменяет собой коммутируемые соединения и может использоваться наряду с традиционными методами удалённого доступа.
Существуют варианты схем виртуальных защищённых каналов. В принципе любой из двух узлов виртуальной корпоративной сети, между которыми формируется виртуальный защищённый канал, может принадлежать конечной или промежуточной точке защищаемого потока сообщений.
1.2. Варианты построения виртуальных защищённых каналов
1. Концепция построения виртуальных защищённых сетей VPN
С точки зрения обеспечения информационной
1. Концепция построения виртуальных защищённых сетей VPN
С точки зрения обеспечения информационной
Если внутри ЛВС, входящей в виртуальную сеть, не требуется защита трафика, тогда в качестве конечной точки защищённого туннеля можно выбрать МЭ или пограничный маршрутизатор этой локальной сети. Если же поток сообщений внутри локальной сети должен быть защищён, тогда в качестве конечной точки туннеля в этой сети должен выступать компьютер, который участвует в защищённом взаимодействии. При доступе к локальной сети удалённого пользователя компьютер этого пользователя должен быть конечной точкой виртуального защищённого канала.
1.2. Варианты построения виртуальных защищённых каналов
1. Концепция построения виртуальных защищённых сетей VPN
Достаточно распространён вариант, когда защищённый
1. Концепция построения виртуальных защищённых сетей VPN
Достаточно распространён вариант, когда защищённый
При объединении локальных сетей туннель формируется только между пограничными провайдерами Интернета, или маршрутизаторами (межсетевыми экранами) локальной сети. При удалённом доступе к ЛВС туннель создаётся между сервером удалённого доступа провайдера Интернета, а также пограничным провайдером Интернета или маршрутизатором (межсетевым экраном) локальной сети. Построенные по данному варианту виртуальные корпоративные сети обладают хорошей масштабируемостью и управляемостью.
Сформированные защищённые туннели полностью прозрачны для клиентских компьютеров и серверов локальной сети, входящей в такую виртуальную сеть. ПО этих узлов остаётся без изменений.
1.2. Варианты построения виртуальных защищённых каналов
1. Концепция построения виртуальных защищённых сетей VPN
Однако данный вариант характеризуется сравнительно
1. Концепция построения виртуальных защищённых сетей VPN
Однако данный вариант характеризуется сравнительно
Защищённый туннель создаётся компонентами виртуальной сети, функционирующими на узлах, между которыми формируется туннель. Эти компоненты принято называть инициатором туннеля и терминатором туннеля.
Инициатор туннеля инкапсулирует исходный пакет в новый пакет, содержащий новый заголовок с информацией об отправителе и получателе. Инкапсулируемые пакеты могут принадлежать к протоколу любого типа, включая пакеты немаршрутизируемых протоколов, например NetBEUI. Все передаваемые по туннелю пакеты являются пакетами IP. Маршрут между инициатором и терминатором туннеля определяет обычная маршрутизируемая сеть IP, которая может быть сетью, отличной от Интернета.
1.2. Варианты построения виртуальных защищённых каналов
1. Концепция построения виртуальных защищённых сетей VPN
Инициировать и разрывать туннель могут
1. Концепция построения виртуальных защищённых сетей VPN
Инициировать и разрывать туннель могут
В качестве инициатора может выступить также маршрутизатор локальной сети, наделённый соответствующими функциональными возможностями. Туннель обычно завершается коммутатором сети или шлюзом провайдера услуг.
Терминатор туннеля выполняет процесс, обратный инкапсуляции. Терминатор удаляет новые заголовки и направляет каждый исходный пакет адресату в локальной сети.
Конфиденциальность инкапсулируемых пакетов обеспечивается путём их шифрования, а целостность и подлинность – путём формирования ЭЦП.
Существует множество методов и алгоритмов криптографической защиты данных, поэтому необходимо, чтобы инициатор и терминатор туннеля своевременно согласовали друг с другом и использовали одни и те же методы и алгоритмы защиты.
1.2. Варианты построения виртуальных защищённых каналов
1. Концепция построения виртуальных защищённых сетей VPN
Для обеспечения возможности расшифровывания данных
1. Концепция построения виртуальных защищённых сетей VPN
Для обеспечения возможности расшифровывания данных
Кроме того, конечные стороны информационного взаимодействия должны пройти аутентификацию, чтобы гарантировать создание туннелей VPN только между уполномоченными пользователями.
Существующая сетевая инфраструктура корпорации может быть подготовлена к использованию VPN как с помощью программного, так и с помощью аппаратного обеспечения.
1.2. Варианты построения виртуальных защищённых каналов
1. Концепция построения виртуальных защищённых сетей VPN
При построении сети VPN первостепенное
1. Концепция построения виртуальных защищённых сетей VPN
При построении сети VPN первостепенное
конфиденциальность – гарантия того, что в процессе передачи данных по защищённым каналам VPN эти данные могут быть известны только легальным отправителю и получателю;
целостность – гарантия сохранности передаваемых данных во время прохождения по защищённому каналу VPN. Любые попытки изменения, модификации, разрушения или создания новых данных будут обнаружены и станут известны легальным пользователям;
доступность – гарантия того, что средства, выполняющие функции VPN, постоянно доступны легальным пользователям. Доступность средств VPN является комплексным показателем, который зависит от надёжности реализации, качества обслуживания и степени защищённости самого средства от внешних атак.
1.3. Средства обеспечения безопасности VPN
1. Концепция построения виртуальных защищённых сетей VPN
Конфиденциальность обеспечивается с помощью различных
1. Концепция построения виртуальных защищённых сетей VPN
Конфиденциальность обеспечивается с помощью различных
Целостность передаваемых данных обычно достигается с помощью различных вариантов технологии электронной подписи, основанных на асимметричных методах шифрования и односторонних функциях.
Аутентификация осуществляется на основе многоразовых и одноразовых паролей, цифровых сертификатов, смарт-карт, протоколов строгой аутентификации, обеспечивает установление VPN-соединения только между легальными пользователями и предотвращает доступ к средствам VPN нежелательных лиц.
Авторизация подразумевает предоставление абонентам, доказавшим свою легальность (аутентичность), разных видов обслуживания, в частности разных способов шифрования их трафика.
Авторизация и управление доступом часто реализуются одними и теми же средствами.
1.3. Средства обеспечения безопасности VPN
1. Концепция построения виртуальных защищённых сетей VPN
Для обеспечения безопасности передаваемых данных
1. Концепция построения виртуальных защищённых сетей VPN
Для обеспечения безопасности передаваемых данных
взаимная аутентификация абонентов при установлении соединения;
обеспечение конфиденциальности, целостности и аутентичности передаваемой информации;
авторизация и управление доступом;
безопасность периметра сети и обнаружение вторжений;
управление безопасностью сети.
Аутентификация абонентов. Процедура аутентификации (установление подлинности) разрешает вход для легальных пользователей и предотвращает доступ к сети нежелательных лиц.
С каждым зарегистрированным в компьютерной системе субъектом (пользователем или процессом, действующим от имени пользователя) связана некоторая информация, однозначно идентифицирующая его. Это может быть число или строка символов, именующие данный субъект. Эту информацию называют идентификатором субъекта. Если пользователь имеет идентификатор, зарегистрированный в сети, он считается легальным (законным) пользователем; остальные пользователи относятся к нелегальным пользователям. Прежде чем получить доступ к ресурсам компьютерной системы, пользователь должен пройти процесс первичного взаимодействия с компьютерной системой, который включает идентификацию и аутентификацию.
1.3. Средства обеспечения безопасности VPN
1. Концепция построения виртуальных защищённых сетей VPN
Идентификация (Identification) – процедура распознавания
1. Концепция построения виртуальных защищённых сетей VPN
Идентификация (Identification) – процедура распознавания
Аутентификация (Authentication) – процедура проверки подлинности заявленного пользователя, процесса или устройства. Эта проверка позволяет достоверно убедиться, что пользователь (процесс или устройство) является именно тем, кем себя объявляет. При проведении аутентификации проверяющая сторона убеждается в подлинности проверяемой стороны, при этом проверяемая сторона тоже активно участвует в процессе обмена информацией. Обычно пользователь подтверждает свою идентификацию, вводя в систему уникальную, не известную другим пользователям информацию о себе (например, пароль или сертификат).
Идентификация и аутентификация являются взаимосвязанными процессами распознавания и проверки подлинности субъектов (пользователей). Именно от них зависит последующее решение системы: можно ли разрешить доступ к ресурсам системы конкретному пользователю или процессу. После идентификации аутентификации субъекта выполняется его авторизация.
1.3. Средства обеспечения безопасности VPN
1. Концепция построения виртуальных защищённых сетей VPN
Авторизация (Authorization) – процедура предоставления
1. Концепция построения виртуальных защищённых сетей VPN
Авторизация (Authorization) – процедура предоставления
С процедурами аутентификации и авторизации тесно связана процедура администрирования действий пользователя.
Администрирование (Accounting) – регистрация действий пользователя в сети, включая его попытки доступа к ресурсам. Хотя эта учётная информация может быть использована для выписывания счета, с позиций безопасности она особенно важна для обнаружения, анализа инцидентов безопасности в сети и соответствующего реагирования на них. Записи в системном журнале, аудиторские проверки и ПО accounting – все это может быть использовано для обеспечения подотчётности пользователей, если что-либо случится при входе в сеть с их идентификатором.
1.3. Средства обеспечения безопасности VPN
1. Концепция построения виртуальных защищённых сетей VPN
Необходимый уровень аутентификации определяется требованиями
1. Концепция построения виртуальных защищённых сетей VPN
Необходимый уровень аутентификации определяется требованиями
Примером слабой формы аутентификации может служить использование IP-адреса для определения пользователя. Подмена (spoofing) IP-адреса может легко разрушить механизм аутентификации. Надёжная аутентификация является тем ключевым фактором, который гарантирует, что только авторизованные пользователи получат доступ к контролируемой информации.
При защите каналов передачи данных должна выполняться взаимная аутентификация субъектов, т. е. взаимное подтверждение подлинности субъектов, связывающихся между собой по линиям связи. Процедура подтверждения подлинности выполняется обычно в начале сеанса установления соединения абонентов. Термин «соединение» указывает на логическую связь (потенциально двустороннюю) между двумя субъектами сети.
Цель данной процедуры – обеспечить уверенность, что соединение установлено с законным субъектом и вся информация дойдёт до места назначения.
1.3. Средства обеспечения безопасности VPN
1. Концепция построения виртуальных защищённых сетей VPN
Для подтверждения своей подлинности субъект
1. Концепция построения виртуальных защищённых сетей VPN
Для подтверждения своей подлинности субъект
знания чего-либо. Примерами могут служить пароль, персональный идентификационный код PIN (Personal Identification Number), а также секретные и открытые ключи, знание которых демонстрируется в протоколах типа запрос-ответ;
обладания чем-либо. Обычно это магнитные карты, смарт-карты, сертификаты и устройства touch memory;
каких-либо неотъемлемых характеристик. Эта категория включает методы, базирующиеся на проверке биометрических характеристик пользователя (голоса, радужной оболочки и сетчатки глаза, отпечатков пальцев, геометрии ладони и др.). В данной категории не используются криптографические методы и средства. Аутентификация на основе биометрических характеристик применяется для контроля доступа в помещения или к какой-либо технике).
Пароль – это то, что знает пользователь и другой участник взаимодействия. Для взаимной аутентификации участников взаимодействия может быть организован обмен паролями между ними.
Персональный идентификационный номер PIN (Personal Identification Number) является испытанным способом аутентификации держателя пластиковой карты и смарт-карты. Секретное значение PIN-кода должно быть известно только держателю карты.
1.3. Средства обеспечения безопасности VPN
1. Концепция построения виртуальных защищённых сетей VPN
Динамический (одноразовый) пароль – это
1. Концепция построения виртуальных защищённых сетей VPN
Динамический (одноразовый) пароль – это
Система запрос-ответ. Одна из сторон инициирует аутентификацию с помощью посылки другой стороне уникального и непредсказуемого значения «запрос», а другая сторона посылает ответ, вычисленный с помощью «запроса» и секрета. Так как обе стороны владеют одним секретом, то первая сторона может проверить правильность ответа второй стороны.
Сертификаты и цифровые подписи. Если для аутентификации используются сертификаты, то требуется применение цифровых подписей на этих сертификатах. Сертификаты выдаются ответственным лицом в организации пользователя, сервером сертификатов или внешней доверенной организацией. В рамках Интернета появились коммерческие инфраструктуры управления открытыми ключами PKI (Public Key Infrastructure) для распространения сертификатов открытых ключей. Пользователи могут получить сертификаты различных уровней.
Процессы аутентификации можно также классифицировать по уровню обеспечиваемой безопасности.
1.3. Средства обеспечения безопасности VPN
1. Концепция построения виртуальных защищённых сетей VPN
В соответствии с этим процессы
1. Концепция построения виртуальных защищённых сетей VPN
В соответствии с этим процессы
аутентификация, использующая пароли и PIN-коды;
строгая аутентификация на основе использования криптографических методов и средств;
биометрическая аутентификация пользователей.
С точки зрения безопасности каждый из перечисленных типов способствует решению своих специфических задач, поэтому процессы и протоколы аутентификации активно используются на практике.
Основные атаки на протоколы аутентификации:
маскарад (impersonation). Пользователь выдаёт себя за другого с целью получения полномочий и возможности действий от лица другого пользователя;
подмена стороны аутентификационного обмена (interleaving attack). Злоумышленник в ходе данной атаки участвует в процессе аутентификационного обмена между двумя сторонами с целью модификации проходящего через него трафика;
повторная передача (replay attack) заключается в повторной передаче аугентификационных данных каким-либо пользователем;
принудительная задержка (forced delay). Злоумышленник перехватывает некоторую информацию и передаёт ее спустя некоторое время;
1.3. Средства обеспечения безопасности VPN
1. Концепция построения виртуальных защищённых сетей VPN
атака с выборкой текста (chosen-text
1. Концепция построения виртуальных защищённых сетей VPN
атака с выборкой текста (chosen-text
Для предотвращения таких атак при построении протоколов аутентификации применяются:
использование механизмов типа «запрос-ответ», «отметка времени», случайных чисел, идентификаторов, цифровых подписей;
привязка результата аутентификации к последующим действиям пользователей в рамках системы. Примером подобного подхода может служить осуществление в процессе аутентификации обмена секретными сеансовыми ключами, которые используются при дальнейшем взаимодействии пользователей;
периодическое выполнение процедур аутентификации в рамках уже установленного сеанса связи и т. п.
1.3. Средства обеспечения безопасности VPN
1. Концепция построения виртуальных защищённых сетей VPN
Механизм «запрос-ответ» состоит в следующем.
1. Концепция построения виртуальных защищённых сетей VPN
Механизм «запрос-ответ» состоит в следующем.
Механизм «отметка времени» подразумевает регистрацию времени для каждого сообщения. В этом случае каждый пользователь сети определяет, насколько «устарело» пришедшее сообщение, и решает не принимать его, поскольку оно может быть ложным.
В обоих случаях для защиты механизма контроля следует применять шифрование, чтобы быть уверенным, что ответ послан не злоумышленником.
1.3. Средства обеспечения безопасности VPN
1. Концепция построения виртуальных защищённых сетей VPN
При использовании отметок времени возникает
1. Концепция построения виртуальных защищённых сетей VPN
При использовании отметок времени возникает
При сравнении и выборе протоколов аутентификации необходимо учитывать следующие характеристики:
наличие взаимной аутентификации. Это свойство отражает необходимость обоюдной аутентификации между сторонами аутентификационного обмена;
вычислительную эффективность. Это количество операций, необходимых для выполнения протокола;
коммуникационную эффективность. Данное свойство отражает количество сообщений и их длину, необходимую для осуществления аутентификации;
наличие третьей стороны. Примером третьей стороны может служить доверенный сервер распределения симметричных ключей или сервер, реализующий дерево сертификатов для распределения открытых ключей;
гарантии безопасности. Примером может служить применение шифрования и цифровой подписи.
1.3. Средства обеспечения безопасности VPN
1. Концепция построения виртуальных защищённых сетей VPN
Обеспечение конфиденциальности, целостности и аутентичности
1. Концепция построения виртуальных защищённых сетей VPN
Обеспечение конфиденциальности, целостности и аутентичности
Алгоритмы шифрования и электронной цифровой подписи рассматриваются в курсе криптографии.
Авторизация и управление доступом. Ключевым компонентом безопасности VPN является гарантия того, что доступ к компьютерным ресурсам получают авторизованные пользователи, в то время как для неавторизованных пользователей сеть полностью закрыта.
При построении программных средств авторизации применяются:
централизованная схема авторизации;
децентрализованная схема авторизации.
Основное назначение централизованной системы авторизации – реализовать принцип единого входа. Управление процессом предоставления ресурсов пользователю осуществляется сервером. Централизованный подход к процессу авторизации реализован в системах Kerberos, RADIUS и TACACS.
1.3. Средства обеспечения безопасности VPN
1. Концепция построения виртуальных защищённых сетей VPN
В последнее время активно развивается
1. Концепция построения виртуальных защищённых сетей VPN
В последнее время активно развивается
Поскольку ролей много меньше, чем пользователей и привилегий, использование ролей способствует понижению сложности и, следовательно, улучшению управляемости системы. Кроме того, на основании ролевой модели управления доступом можно реализовать такой важный принцип, как разделение обязанностей (например, невозможность в одиночку скомпрометировать критически важный процесс).
Безопасность периметра сети и обнаружение вторжений. Жёсткий контроль доступа к приложениям, сервисам и ресурсам защищаемой сети является важной функцией правильно построенной сети. Использование таких средств безопасности, как МЭ, системы обнаружения вторжений, системы аудита безопасности, антивирусные комплексы обеспечивает системную защиту перемещаемых по сети данных.
1.3. Средства обеспечения безопасности VPN
1. Концепция построения виртуальных защищённых сетей VPN
Важной частью общего решения безопасности
1. Концепция построения виртуальных защищённых сетей VPN
Важной частью общего решения безопасности
Дополнительным элементом гарантии безопасности периметра сети является система обнаружение вторжений IDS (Intrusion Detection System), работающая в реальном времени и предназначенная для обнаружения, фиксации и прекращения неавторизованной сетевой активности как от внешних, так и от внутренних источников.
Системы анализа защищённости сканируют корпоративную сеть с целью выявления потенциальных уязвимостей безопасности, давая возможность менеджерам сети лучше защитить сеть от атак.
Управление безопасностью сети. Сети VPN интегрируют как сами сетевые устройства, так и многочисленные сервисы управления безопасностью и пропускной способностью. Компаниям необходимо целостное управление этими устройствами и сервисами через инфраструктуру VPN, включая пользователей удалённого доступа и средств extranet. В связи с этим управление средствами VPN становится одной из важнейших задач обеспечения эффективного функционирования VPN.
1.3. Средства обеспечения безопасности VPN
1. Концепция построения виртуальных защищённых сетей VPN
Система управления корпоративной сетью должна
1. Концепция построения виртуальных защищённых сетей VPN
Система управления корпоративной сетью должна
Система управления безопасностью сети является краеугольным камнем семейства продуктов, обеспечивающих сквозную безопасность VPN. Для обеспечения высокого уровня безопасности и управляемости VPN, и в частности системы распределения криптографических ключей и сертификатов, необходимо обеспечить централизованное скоординированное управление безопасностью всей защищаемой корпоративной сети.
1.3. Средства обеспечения безопасности VPN
2. VPN-решения для построения защищённых сетей
VPN-технологии позволяют организовывать защищённые туннели как
2. VPN-решения для построения защищённых сетей
VPN-технологии позволяют организовывать защищённые туннели как
Потенциальным клиентам предлагается широкий спектр оборудования и ПО для создания виртуальных защищённых сетей – от интегрированных многофункциональных и специализированных устройств до чисто программных продуктов.
Благодаря технологии VPN многие компании начинают строить свою стратегию с учётом использования Интернета в качестве главного средства передачи информации, причём даже той, которая является уязвимой или жизненно важной.
Существуют разные признаки классификации VPN. Наиболее часто используются:
«рабочий» уровень модели OSI;
архитектура технического решения VPN;
способ технической реализации VPN.
2.1. Классификация сетей VPN
2. VPN-решения для построения защищённых сетей
Классификация VPN по «рабочему» уровню модели
2. VPN-решения для построения защищённых сетей
Классификация VPN по «рабочему» уровню модели
Для технологий безопасной передачи данных по общедоступной (незащищённой) сети применяют обобщённое название – защищённый канал (secure channel). Термин «канал» подчёркивает тот факт, что защита данных обеспечивается между двумя узлами сети (хостами или шлюзами) вдоль некоторого виртуального пути, проложенного в сети с коммутацией пакетов.
Защищённый канал можно построить с помощью системных средств, реализованных на разных уровнях модели взаимодействия открытых систем OSI (рис. 5).
2.1. Классификация сетей VPN
Рис. 5. Уровни протоколов защищённого канала
2. VPN-решения для построения защищённых сетей
Классификация VPN по «рабочему» уровню модели
2. VPN-решения для построения защищённых сетей
Классификация VPN по «рабочему» уровню модели
По признаку «рабочего» уровня модели OSI различают следующие группы VPN:
VPN канального уровня;
VPN сетевого уровня;
VPN сеансового уровня.
VPN канального уровня. Средства VPN, используемые на канальном уровне модели OSI, позволяют обеспечить инкапсуляцию различных видов трафика третьего уровня (и выше) и построение виртуальных туннелей типа «точка-точка» (от маршрутизатора к маршрутизатору или от персонального компьютера к шлюзу ЛВС).
К этой группе относятся VPN-продукты, которые используют протоколы L2F (Layer 2 Forwarding) и РРТР (Point-to-Point Tunneling Protocol), а также стандарт L2TP (Layer 2 Tunneling Protocol), разработанный совместно фирмами Cisco Systems и Microsoft.
2.1. Классификация сетей VPN
2. VPN-решения для построения защищённых сетей
VPN сетевого уровня. VPN-продукты сетевого уровня
2. VPN-решения для построения защищённых сетей
VPN сетевого уровня. VPN-продукты сетевого уровня
С протоколом IPSec связан протокол IKE (Internet Key Exchange), решающий задачи безопасного управления и обмена криптографическими ключами между удалёнными устройствами. Протокол IKE автоматизирует обмен ключами и устанавливает защищённое соединение, тогда как IPSec кодирует и «подписывает» пакеты. Кроме того, IKE позволяет изменять ключ для уже установленного соединения, что повышает конфиденциальность передаваемой информации.
VPN сеансового уровня. Некоторые VPN используют другой подход под названием «посредники каналов» (circuit proxy). Этот метод функционирует над транспортным уровнем и ретранслирует трафик из защищённой сети в общедоступную сеть Internet для каждого сокета в отдельности. (Сокет IP идентифицируется комбинацией TCP-соединения и конкретного порта или заданным портом UDP. Стек TCP/IP не имеет пятого – сеансового – уровня, однако ориентированные на сокеты операции часто называют операциями сеансового уровня.)
2.1. Классификация сетей VPN
2. VPN-решения для построения защищённых сетей
Шифрование информации, передаваемой между инициатором и
2. VPN-решения для построения защищённых сетей
Шифрование информации, передаваемой между инициатором и
Протоколы защиты на канальном, транспортном и сеансовом уровнях подробно рассматриваются в других лекциях.
Классификация VPN по архитектуре технического решения
По архитектуре технического решения принято выделять три основных вида VPN:
внутрикорпоративные VPN (Intranet VPN);
VPN с удалённым доступом (Remote Access VPN);
межкорпоративные VPN (Extranet VPN).
Внутрикорпоративные сети VPN предназначены для обеспечения защищённого взаимодействия между подразделениями внутри предприятия или между группой предприятий, объединённых корпоративными сетями связи, включая выделенные линии.
2.1. Классификация сетей VPN
2. VPN-решения для построения защищённых сетей
VPN с удалённым доступом предназначены для
2. VPN-решения для построения защищённых сетей
VPN с удалённым доступом предназначены для
Межкорпоративные сети VPN предназначены для обеспечения защищённого обмена информацией со стратегическими партнёрами по бизнесу, поставщиками, крупными заказчиками, пользователями, клиентами и т.д. Extranet VPN обеспечивает прямой доступ из сети одной компании к сети другой компании и тем самым способствует повышению надёжности связи, поддерживаемой в ходе делового сотрудничества.
Следует отметить, что в последнее время наблюдается тенденция к конвергенции различных конфигураций VPN.
Классификация VPN по способу технической реализации
Конфигурация и характеристики виртуальной частной сети во многом определяются типом применяемых VPN-устройств.
2.1. Классификация сетей VPN
2. VPN-решения для построения защищённых сетей
По способу технической реализации различают VPN
2. VPN-решения для построения защищённых сетей
По способу технической реализации различают VPN
маршрутизаторов;
межсетевых экранов;
программных решений;
специализированных аппаратных средств со встроенными шифропроцессорами.
VPN на основе маршрутизаторов. Данный способ построения VPN предполагает применение маршрутизаторов для создания защищённых каналов. Поскольку вся информация, исходящая из локальной сети, проходит через маршрутизатор, то вполне естественно возложить на него и задачи шифрования. Пример оборудования для VPN на маршрутизаторах – устройства компании Cisco Systems.
VPN на основе межсетевых экранов. МЭ большинства производителей поддерживают функции туннелирования и шифрования данных, например продукт Fire Wall-1 компании Check Point Software Technologies. При использовании МЭ на базе ПК нужно помнить, что подобное решение подходит только для небольших сетей с небольшим объёмом передаваемой информации. Недостатками этого метода являются высокая стоимость решения в пересчёте на одно рабочее место и зависимость производительности от аппаратного обеспечения, на котором работает МЭ.
2.1. Классификация сетей VPN
2. VPN-решения для построения защищённых сетей
VPN на основе программного обеспечения. VPN-продукты,
2. VPN-решения для построения защищённых сетей
VPN на основе программного обеспечения. VPN-продукты,
Следует отметить, что в случае удалённого доступа требования к необходимой полосе пропускания невелики. Поэтому чисто программные продукты легко обеспечивают производительность, достаточную для удалённого доступа. Несомненным достоинством программных продуктов является гибкость и удобство в применении, а также относительно невысокая стоимость.
VPN на основе специализированных аппаратных средств. Главное преимущество таких VPN – высокая производительность, поскольку быстродействие обусловлено тем, что шифрование в них осуществляется специализированными микросхемами. Специализированные VPN-устройства обеспечивают высокий уровень безопасности, однако они дороги.
2.1. Классификация сетей VPN
2. VPN-решения для построения защищённых сетей
Существует множество разновидностей виртуальных частных сетей.
2. VPN-решения для построения защищённых сетей
Существует множество разновидностей виртуальных частных сетей.
Тем не менее, принято выделять три основных вида виртуальных частных сетей:
VPN с удалённым доступом (Remote Access VPN),
внутрикорпоративные VPN (Intranet VPN) и
межкорпоративные VPN (Extranet VPN).
VPN с удалённым доступом позволяют значительно сократить ежемесячные расходы на использование коммутируемых и выделенных линий. Принцип их работы прост: пользователи устанавливают соединения с местной точкой доступа к глобальной сети, после чего их вызовы туннелируются через Интернет, что избавляет от платы за междугородную и международную связь или выставления счетов владельцам бесплатных междугородных номеров; затем все вызовы концентрируются на соответствующих узлах и передаются в корпоративные сети.
2.2. Основные варианты архитектуры VPN
2. VPN-решения для построения защищённых сетей
Преимущества перехода от частно управляемых dial
2. VPN-решения для построения защищённых сетей
Преимущества перехода от частно управляемых dial
возможность использования местных dial-in numbers вместо междугородних позволяет значительно снизить затраты на междугородние телекоммуникации;
эффективная система установления подлинности удалённых и мобильных пользователей обеспечивает надёжное проведение процедуры аутентификации;
высокая масштабируемость и простота развёртывания для новых пользователей, добавляемых к сети;
сосредоточение внимания компании на основных корпоративных бизнес-целях вместо отвлечения на проблемы обеспечения работы сети.
Существенная экономия при использовании Remote Access VPN является мощным стимулом, однако применение открытого Internet в качестве объединяющей магистрали для транспорта чувствительного корпоративного трафика становится все более масштабным, что делает механизмы защиты информации жизненно важными элементами данной технологии.
2.2. Основные варианты архитектуры VPN
2. VPN-решения для построения защищённых сетей
Внутрикорпоративные сети VPN строятся с использованием
2. VPN-решения для построения защищённых сетей
Внутрикорпоративные сети VPN строятся с использованием
Достоинства Intranet VPN:
применение мощных криптографических протоколов шифрования данных для защиты конфиденциальной информации;
надёжность функционирования при выполнении таких критических приложений, как системы автоматизированной продажи и системы управления базами данных;
гибкость управления эффективным размещением быстро возрастающего числа новых пользователей, новых офисов и новых программных приложений.
Построение Intranet VPN, использующее Internet, является самым рентабельным способом реализации VPN-технологии. Однако в Internet уровни сервиса вообще не гарантируются. Компании, которым требуются гарантированные уровни сервиса, должны рассмотреть возможность развёртывания своих VPN с использованием разделяемых сетевых инфраструктур, предоставляемых сервис-провайдерами.
2.2. Основные варианты архитектуры VPN
2. VPN-решения для построения защищённых сетей
Межкорпоративная сеть VPN – это сетевая
2. VPN-решения для построения защищённых сетей
Межкорпоративная сеть VPN – это сетевая
Сети Extranet VPN в целом похожи на внутрикорпоративные виртуальные частные сети с той лишь разницей, что проблема защиты информации является для них более острой. Для Extranet VPN характерно использование стандартизированных VPN-продуктов, гарантирующих способность к взаимодействию с различными VPN-решениями, которые деловые партнёры могли бы применять в своих сетях.
Когда несколько компаний принимают решение работать вместе и открывают друг для друга свои сети, они должны позаботиться о том, чтобы их новые партнёры имели доступ только к определённой информации. При этом конфиденциальная информация должна быть надёжно защищена от несанкционированного использования. Именно поэтому в межкорпоративных сетях большое значение придаётся контролю доступа из открытой сети посредством МЭ. Важна и аутентификация пользователей, призванная гарантировать, что доступ к информации получают только те, кому он действительно разрешён. Вместе с тем, развёрнутая система защиты от несанкционированного доступа не должна привлекать к себе внимания.
2.2. Основные варианты архитектуры VPN
2. VPN-решения для построения защищённых сетей
Соединения Extranet VPN развёртываются, используя те
2. VPN-решения для построения защищённых сетей
Соединения Extranet VPN развёртываются, используя те
Иногда в отдельную группу выделяют локальный вариант сети VPN (Localnet VPN). Локальная сеть Localnet VPN обеспечивает защиту информационных потоков, циркулирующих внутри локальных сетей компании (как правило, Центрального офиса), от НСД со стороны «излишне любопытных» сотрудников самой компании.
В настоящее время наблюдается тенденция к конвергенции различных способов реализаций VPN.
2.2. Основные варианты архитектуры VPN