Задачи решаемые VPN.

 

Обычно требуется иметь в составе сети сегменты с разными уровнями защищенности:

- Свободно доступный сегмент (Пр.: WEB-сервер)

- Сегмент с ограниченным доступом(Например, для доступа с удаленных узлов)

- Закрытый сегмент (внутренняя локальная сеть).

Различные схемы подключения МЭ отличаются наличием или отсутствием таких сегментов и различными схемами доступа к ним.

Схема с единой защитой локальной сети показана на рис. 6.1.

 

 

Рис. 6.1. Схема с единой защитой локальной сети.

 

Применяется при отсутствии первых двух сегментов либо при невысоких требованиях к безопасности. В качестве МЭ используется фильтрующий маршрутизатор либо один из шлюзов.

Схема с раздельной защитой закрытого и открытого сегмента показана на рис. 6.2.

 

Рис. 6.2. Схема с раздельной защитой закрытого и открытого сегмента сети.

 

Схема с тремя сегментами показана на рис. 6.3.

 

 

Рис. 6.3. Схема с тремя сегментами

Тема 3.5. Виртуальные частные сети(VPN).

 

Задачи решаемые VPN.

Защищенные компьютерные сети на сегодняшний день применяют технологию защиты информации, включающую в себя как элементы межсетевого экранирования, так и механизмы криптографической защиты сетевого трафика. Такая технология получила название VPN — Virtual Private Network (виртуальная частная сеть). В литературе [2] встречаются различные определения виртуальной частной сети. Мы будем использовать следующее. VPN — это технология, объединяющая доверенные сети, узлы и пользователей через открытые сети, к которым нет доверия. Основная идея данного определения приведена на схеме (рис. 1.1).

 

Рис. 1.1. Схема VPN

 

Предположим, имеются две локальных сети (LAN-1 и LAN-2, рис. 1.1), принадлежащие одной организации (например, головной офис и филиал). Обе эти локальные сети объединены при помощи иной сети, в большинстве случаев для этого используется Интернет. С точки зрения пользователей соединения могут устанавливаться между любыми узлами этих локальных сетей. На самом же деле реальные соединения устанавливаются через посредников, неких «черных ящиков», устанавливаемых на входе в каждую из них. Задача этих «черных ящиков» так обработать идущий между ними сетевой трафик, чтобы злоумышленник или просто внешний наблюдатель не мог совершить с передаваемой информацией какого-либо действия, приводящего к ущербу. А именно, не должен нарушить конфиденциальность, целостность и подлинность информации. Иными словами, передаваемая информация, включая адреса ее получателя и отправителя, должна быть зашифрована и криптографически подписана. Кроме того, задача «черных ящиков» — защищать сами локальные сети от несанкционированного доступа к ним из глобальной сети. Таким образом, внешний наблюдатель должен увидеть в сети лишь зашифрованный обмен информацией между двумя «черными ящиками» и ничего более.

Таким образом, можно сформулировать, что VPN призвана решать следующие задачи:

− обеспечивать защиту (конфиденциальность, целостность, подлинность) передаваемой по сетям информации[1]. Как указывалось выше, данная задача решается применением криптографического метода защиты передаваемой информации;

− выполнять защиту внутренних сегментов сети от НСД извне. Решение задачи возможно благодаря встроенным в VPN-системы функциям межсетевого экранирования, а также криптографическим механизмам, запрещающим незашифрованный сетевой трафик;

− обеспечивать идентификацию и аутентификацию пользователей. Данная задача возникает вследствие того, что, как сказано в определении VPN, в сети должны взаимодействовать лишь доверенные узлы, доверие к которым возможно после прохождения процедур идентификации и аутентификации.

Отдельно стоящей задачей, решаемой VPN, является экономия финансовых ресурсов организации, когда для обеспечения защищенной связи с филиалами применяются не защищенные выделенные каналы связи, а Интернет.

Сформулируем ряд требований, которые предъявляются к программно-аппаратным комплексам, реализующим VPN:

− масштабируемость, т. е. возможность со временем подключать новые локальные сети без необходимости изменения структуры имеющейся VPN;

− интегрируемость, т. е. возможность внедрения VPN-системы в имеющуюся технологию обмена информацией;

− легальность и стойкость используемых крипоалгоритмов, т. е. система должна иметь соответствующий сертификат, позволяющий ее использовать на территории Российской Федерации с целью защиты информации ограниченного доступа;

− пропускная способность сети, т. е. система не должна существенно увеличивать объем передаваемого трафика, а также уменьшать скорость его передачи;

− унифицируемость, т. е. возможность устанавливать защищенные соединения с коллегами по бизнесу, у которых уже установлена иная VPN-система;

− общая совокупная стоимость, т. е. затраты на приобретение, развертывание и обслуживание системы не должны превосходить стоимость самой информации, особенно если речь идет о защите коммерческой тайны.