Задачи решаемые VPN.
Обычно требуется иметь в составе сети сегменты с разными уровнями защищенности: - Свободно доступный сегмент (Пр.: WEB-сервер) - Сегмент с ограниченным доступом(Например, для доступа с удаленных узлов) - Закрытый сегмент (внутренняя локальная сеть). Различные схемы подключения МЭ отличаются наличием или отсутствием таких сегментов и различными схемами доступа к ним. Схема с единой защитой локальной сети показана на рис. 6.1.
Рис. 6.1. Схема с единой защитой локальной сети.
Применяется при отсутствии первых двух сегментов либо при невысоких требованиях к безопасности. В качестве МЭ используется фильтрующий маршрутизатор либо один из шлюзов. Схема с раздельной защитой закрытого и открытого сегмента показана на рис. 6.2.
Рис. 6.2. Схема с раздельной защитой закрытого и открытого сегмента сети.
Схема с тремя сегментами показана на рис. 6.3.
Рис. 6.3. Схема с тремя сегментами Тема 3.5. Виртуальные частные сети(VPN).
Задачи решаемые VPN. Защищенные компьютерные сети на сегодняшний день применяют технологию защиты информации, включающую в себя как элементы межсетевого экранирования, так и механизмы криптографической защиты сетевого трафика. Такая технология получила название VPN — Virtual Private Network (виртуальная частная сеть). В литературе [2] встречаются различные определения виртуальной частной сети. Мы будем использовать следующее. VPN — это технология, объединяющая доверенные сети, узлы и пользователей через открытые сети, к которым нет доверия. Основная идея данного определения приведена на схеме (рис. 1.1).
Рис. 1.1. Схема VPN
Предположим, имеются две локальных сети (LAN-1 и LAN-2, рис. 1.1), принадлежащие одной организации (например, головной офис и филиал). Обе эти локальные сети объединены при помощи иной сети, в большинстве случаев для этого используется Интернет. С точки зрения пользователей соединения могут устанавливаться между любыми узлами этих локальных сетей. На самом же деле реальные соединения устанавливаются через посредников, неких «черных ящиков», устанавливаемых на входе в каждую из них. Задача этих «черных ящиков» так обработать идущий между ними сетевой трафик, чтобы злоумышленник или просто внешний наблюдатель не мог совершить с передаваемой информацией какого-либо действия, приводящего к ущербу. А именно, не должен нарушить конфиденциальность, целостность и подлинность информации. Иными словами, передаваемая информация, включая адреса ее получателя и отправителя, должна быть зашифрована и криптографически подписана. Кроме того, задача «черных ящиков» — защищать сами локальные сети от несанкционированного доступа к ним из глобальной сети. Таким образом, внешний наблюдатель должен увидеть в сети лишь зашифрованный обмен информацией между двумя «черными ящиками» и ничего более. Таким образом, можно сформулировать, что VPN призвана решать следующие задачи: − обеспечивать защиту (конфиденциальность, целостность, подлинность) передаваемой по сетям информации[1]. Как указывалось выше, данная задача решается применением криптографического метода защиты передаваемой информации; − выполнять защиту внутренних сегментов сети от НСД извне. Решение задачи возможно благодаря встроенным в VPN-системы функциям межсетевого экранирования, а также криптографическим механизмам, запрещающим незашифрованный сетевой трафик; − обеспечивать идентификацию и аутентификацию пользователей. Данная задача возникает вследствие того, что, как сказано в определении VPN, в сети должны взаимодействовать лишь доверенные узлы, доверие к которым возможно после прохождения процедур идентификации и аутентификации. Отдельно стоящей задачей, решаемой VPN, является экономия финансовых ресурсов организации, когда для обеспечения защищенной связи с филиалами применяются не защищенные выделенные каналы связи, а Интернет. Сформулируем ряд требований, которые предъявляются к программно-аппаратным комплексам, реализующим VPN: − масштабируемость, т. е. возможность со временем подключать новые локальные сети без необходимости изменения структуры имеющейся VPN; − интегрируемость, т. е. возможность внедрения VPN-системы в имеющуюся технологию обмена информацией; − легальность и стойкость используемых крипоалгоритмов, т. е. система должна иметь соответствующий сертификат, позволяющий ее использовать на территории Российской Федерации с целью защиты информации ограниченного доступа; − пропускная способность сети, т. е. система не должна существенно увеличивать объем передаваемого трафика, а также уменьшать скорость его передачи; − унифицируемость, т. е. возможность устанавливать защищенные соединения с коллегами по бизнесу, у которых уже установлена иная VPN-система; − общая совокупная стоимость, т. е. затраты на приобретение, развертывание и обслуживание системы не должны превосходить стоимость самой информации, особенно если речь идет о защите коммерческой тайны.
|