2.1.4 Програмне забезпечення віртуальних приватних мереж (VPN)

1. Визначення віртуальних приватних мереж
2. Розгортання користувальницьких віртуальних приватних мереж
3. Переваги для користувача VPN
4. Проблеми, пов'язані з одними VPN
5. Управління клієнтськими VPN
6. Розгортання вузлових мереж VPN
7. Переваги вузлових VPN
8. Проблеми, пов'язані з вузловими VPN
9. Управління вузловими VPN
10. Поняття стандартних технологій функціонування VPN
11. сервер VPN
12. алгоритми шифрування
13. система аутентифікації
14. протокол VPN
15. Типи систем VPN
16. апаратні системи
17. програмні системи
18. Веб-системи
19. Визначення відмінностей між типами VPN

Структура VPN. Класифікація VPN. Технологія побудови віртуальної приватної мережі - протоколи IPSec, SSL. Приклади VPN.

Приватні мережі використовуються організаціями для з'єднання з віддаленими сайтами і з іншими організаціями. Приватні мережі складаються з каналів зв'язку, орендованих у різних телефонних компаній і постачальників послуг інтернету. Ці канали зв'язку характеризуються тим, що вони з'єднують тільки два об'єкти, будучи відокремленими від іншого трафіку, так як орендовані канали забезпечують двосторонній зв'язок між двома сайтами. Приватні мережі мають безліч переваг.

• Інформація зберігається в секреті.
• Дистанційні сайти можуть здійснювати обмін інформацією негайно.
• Віддалені користувачі не відчувають себе ізольованими від системи, до якої вони здійснюють доступ.

На жаль, цей тип мереж володіє одним великим недоліком - високою вартістю. Використання приватних мереж - дуже дороге задоволення. Використовуючи менш швидкісні канали зв'язку, можна заощадити гроші, але тоді віддалені користувачі почнуть помічати недолік в швидкості, і деякі із зазначених вище переваг стануть менш очевидними.

Зі збільшенням числа користувачів інтернету багато організацій перейшли на використання віртуальних приватних мереж (VPN). Віртуальні приватні мережі забезпечують багато переваг приватних мереж за меншу ціну. Проте, з впровадженням VPN з'являється цілий ряд питань і небезпек для організації. Правильно побудована віртуальна приватна мережа може принести організації велику користь. Якщо ж VPN реалізована некоректно, вся інформація, передана через VPN, може бути доступна з інтернету.

Визначення віртуальних приватних мереж

Отже, ми маємо намір передавати через інтернет секретні дані організації без використання орендованих каналів зв'язку, як і раніше приймаючи всіх заходів для забезпечення конфіденційності трафіку. Яким же чином нам вдасться відокремити свій трафік від трафіку інших користувачів глобальної мережі? Відповіддю на це питання є шифрування.

В інтернеті можна зустріти трафік будь-якого типу. Значна частина цього трафіку передається у відкритому вигляді, і будь-який користувач, який спостерігає за цим трафіком, зможе його розпізнати. Це відноситься до більшої частини поштового і веб-трафіку, а також сеансів зв'язку через протоколи telnet і FTP. Трафік Secure Shell (SSH) і Hypertext Transfer Protocol Secure (HTTPS) є зашифрованих трафіком, і його не зможе переглянути користувач, що відслідковує пакети. Проте, трафік типу SSH і HTTPS не утворює віртуальну приватну мережу VPN.

Віртуальні приватні мережі володіють декількома характеристиками.

• Трафік шифрується для забезпечення захисту від прослуховування.
• Здійснюється аутентифікація вилученого сайту.
• Віртуальні приватні мережі забезпечують підтримку безлічі протоколів.
• З'єднання забезпечує зв'язок тільки між двома конкретними абонентами.

Так як SSH і HTTPS не здатні підтримувати декілька протоколів, то ж саме відноситься і до реальних віртуальних приватних мереж. VPN-пакети змішуються з потоком звичайного трафіку в інтернеті і існують окремо з тієї причини, що даний трафік може зчитуватися тільки кінцевими точками з'єднання.

Розглянемо більш детально кожну з характеристик VPN. Вище вже говорилося про те, що трафік VPN шифрується для захисту від прослуховування. Шифрування має бути досить потужним, щоб можна було гарантувати конфіденційність інформації, що передається на той період, поки вона буде актуальна. Паролі мають термін дії, рівний 30 дням (мається на увазі політика зміни пароля через кожні 30 днів); проте секретна інформація може не втрачати своєї цінності протягом довгих років. Отже, алгоритм шифрування і застосування VPN повинні запобігти нелегальне дешифрування трафіку на кілька років.

Друга характеристика полягає в тому, що здійснюється аутентифікація вилученого сайту. Ця характеристика може вимагати аутентифікацію деяких користувачів на центральному сервері або взаємну аутентифікацію обох вузлів, які з'єднує VPN. Використовуваний механізм аутентифікації контролюється політикою. Політика може передбачити аутентифікацію користувачів за двома параметрами або з використанням динамічних паролів. При взаємної аутентифікації може знадобитися, щоб обидва сайти демонстрували знання певного загального секрету (під секретом мається на увазі деяка інформація, заздалегідь відома обом сайтам), або можуть знадобитися цифрові сертифікати.

Віртуальні приватні мережі забезпечують підтримку різних протоколів, особливо на прикладному рівні. Наприклад, віддалений користувач може використовувати протокол SMTP для зв'язку з поштовим сервером, одночасно використовуючи NetBIOS для з'єднання з файловим сервером. Обидва зазначених протоколу можуть працювати через один і той же цикл зв'язку або канал VPN

Мал. 1. Віртуальні приватні мережі підтримують безліч протоколів

VPN з'єднує два конкретних об'єкта, утворюючи таким чином унікальний канал зв'язку між двома абонентами. Кожна з кінцевих точок VPN може одноразово підтримувати кілька з'єднань VPN з іншими кінцевими точками, проте кожна з точок є окремою від інших, і трафік розділяється за допомогою шифрування.

Віртуальні приватні мережі, як правило, поділяються на два типи: призначені для користувача VPN і вузлові VPN. Різниця між ними полягає в методі використання, а не в способі відділення трафіку кожним з двох типів мереж. У решти даної лекції буде детально розповідатиметься про кожного з типів VPN.

Розгортання користувальницьких віртуальних приватних мереж

Призначені для користувача VPN є віртуальні приватні мережі, побудовані між окремою користувальницької системою і вузлом або мережею організації. Часто призначені для користувача VPN використовуються співробітниками, що знаходяться у відрядженні або працюють з дому. Сервер VPN може бути фаєрволом організації або бути окремим VPN-сервером. Користувач підключається до інтернету через телефонне підключення до локального постачальника послуг, через канал DSL або кабельний модем і ініціює VPN-з'єднання з вузлом організації через інтернет.

Вузол організації запитує у користувача аутентифікаційні дані і, в разі успішної аутентифікації, дозволяє користувачеві здійснити доступ до внутрішньої мережі організації, як якщо б користувач знаходився всередині вузла і фізично розташовувався всередині мережі. Очевидним є той факт, що швидкість підключення до мережі буде обмежуватися швидкістю підключення користувача до інтернету.

Призначені для користувача VPN дозволяють організаціям обмежувати доступ віддалених користувачів до систем або файлів. Це обмеження має базуватися на політиці організації і залежить від можливостей продукту VPN.

У той час як користувач має VPN-з'єднання з внутрішньою мережею організації, він також може з'єднуватися і працювати з інтернетом або виконувати інші дії як звичайний користувач інтернету. Мережа VPN підтримується окремим додатком на комп'ютері користувача.

Мал. 2. Конфігурація користувальницької VPN

Переваги для користувача VPN

Призначені для користувача VPN володіють двома основними перевагами:

• Співробітники, які у відрядженні, можуть здійснювати доступ до електронної пошти, файлів і внутрішніх систем в будь-який час без необхідності в здійсненні дорогих міжміських та міжнародних телефонних викликів для з'єднання з серверами.
• Співробітники, що працюють з дому, можуть здійснювати доступ до служб мережі, як і співробітники, що працюють в організації, без оренди дорогих виділених каналів.

Обидва ці переваги можна приписати до економії коштів. Економія може полягати у відмові від використання дорогих міжміських і міжнародних з'єднань, орендованих каналів зв'язку або у виконанні співробітниками завдань з адміністрування серверів, які приймають вхідні телефонні з'єднання. Домашні користувачі з DSL або кабельними модемами можуть домогтися збільшення швидкості при використанні ліній телефонного зв'язку зі швидкостями 56 Кбіт / с. Все більше готельних номерів обладнуються сполуками для доступу в мережу, тому для користувачів, що знаходяться в поїздці, створюються всі умови для високошвидкісного доступу в мережу.

Проблеми, пов'язані з одними VPN

Правильне використання призначених для користувача VPN може знизити витрати організації, але призначені для користувача VPN не є вирішенням всіх можливих проблем. При їх використанні мають місце значні ризики, пов'язані з безпекою, і проблеми реалізації, з якими доводиться рахуватися.

Можливо, найбільшою проблемою безпеки при використанні VPN співробітником є ​​одночасне з'єднання з іншими сайтами інтернету. Як правило, програмне забезпечення VPN на комп'ютері користувача визначає, чи повинен трафік передаватися через VPN, або його необхідно відправити на будь-якій іншій сайт у відкритому вигляді. Якщо на комп'ютер користувача була проведена атака з використанням "троянського коня", можливо, що якийсь зовнішній нелегальний користувач використовує комп'ютер співробітника для підключення до внутрішньої мережі організації (див. Рис. 3). Атаки даного типу здійснюються досить складно, але вони абсолютно реальні.

Призначені для користувача VPN вимагають такого ж уваги до питань, пов'язаних з управлінням користувачами, як і внутрішні системи. У деяких випадках користувачі VPN можуть бути прив'язані до ідентифікаторів користувачів в домені Windows NT або Windows 2000 або до іншої системи централізованого управління користувачами. Ця можливість спрощує управління користувачами, однак адміністраторам як і раніше слід зберігати пильність і стежити за тим, яким користувачам потрібно віддалений VPN-доступ, а яким - ні.

Мал. 3. Використання "троянського коня" для проникнення у внутрішню мережу організації

Управління клієнтськими VPN

Управління клієнтськими VPN, головним чином, полягає в управлінні користувачами і їх комп'ютерами. При поділі співробітників необхідно виконувати відповідні процедури з управління користувачами.

Зрозуміло, на комп'ютерах користувачів повинні встановлюватися правильні версії програмного забезпечення VPN і реалізовуватися відповідні конфігурації. Якщо комп'ютери належать організації, це програмне забезпечення є стандартним компонентом для кожного комп'ютера. Якщо організація вирішує співробітникам використовувати VPN зі своїх домашніх комп'ютерів, їй знадобиться збільшити загальний рівень підтримки цих користувачів, так як різні комп'ютери і постачальники послуг інтернету можуть вимагати наявність різних конфігурацій.

Розгортання вузлових мереж VPN

Вузлові віртуальні приватні мережі використовуються організаціями для підключення до віддалених вузлів без застосування дорогих виділених каналів або для з'єднання двох різних організацій, між якими необхідна зв'язок для здійснення інформаційного обміну, пов'язаного з діяльністю цих організацій. Як правило, VPN з'єднує один міжмережевий екран або прикордонний маршрутизатор з іншим аналогічним пристроєм (див. Рис. 4).

Щоб ініціювати з'єднання, один з вузлів здійснює спробу передати трафік іншого вузла. Внаслідок цього на обох протилежних вузлах з'єднання VPN ініціюється VPN. Обидва кінцевих вузла визначають параметри з'єднання в залежності від політик, наявних на вузлах. Обидва сайти будуть аутентифицировать одне одного у вигляді деякого загального зумовленого секрету або за допомогою сертифіката з відкритим ключем. Деякі організації використовують вузлові VPN в якості резервних каналів зв'язку для орендованих каналів.

Мал. 4. міжвузловими з'єднання VPN, що проходить через інтернет

Переваги вузлових VPN

Як і в випадку з одними VPN, основною перевагою вузловий VPN є економічність. Організація з невеликими, віддаленими одна від одної офісами може створити віртуальну приватну мережу, що з'єднує всі віддалені офіси з центральним вузлом (або навіть один з одним) зі значно меншими витратами. Мережева інфраструктура також може бути застосована значно швидше, так як у віддалених офісах можуть використовуватися локальні ISP для каналів ISDN або DSL.

На базі політики організації можуть бути розроблені правила, що визначають, яким чином віддалені сайти будуть підключатися до центрального сайту або один до одного. Якщо вузлова VPN призначена для з'єднання двох організацій, то на доступ до внутрішніх мереж і комп'ютерних систем можуть накладатися суворі обмеження.

Проблеми, пов'язані з вузловими VPN

Вузлові VPN розширюють периметр безпеки організації, додаючи нові віддалені вузли або навіть віддалені організації. Якщо рівень безпеки віддаленого вузла невеликий, VPN може дозволити зловмиснику отримати доступ до центрального вузла і інших частин внутрішньої мережі організації. Отже, необхідно застосовувати суворі політики і реалізовувати функції аудиту для забезпечення безпеки організації в цілому. У випадках, коли дві організації використовують вузлову VPN для з'єднання своїх мереж, дуже важливу роль відіграють політики безпеки, встановлені по обидві сторони з'єднання. У даній ситуації обидві організації повинні визначити, які дані можуть передаватися через VPN, а які - ні, і відповідним чином налаштувати політики на своїх міжмережевих екранах.

Аутентифікація вузлових VPN також є важливою умовою для забезпечення безпеки. При установці з'єднання можуть використовуватися довільні секрети, але один і той же загальний секрет не повинен використовуватися для більш ніж одного з'єднання VPN. Якщо передбачається використовувати сертифікати з відкритими ключами, необхідно створити процедури для підтримки зміни і відстеження терміну дії сертифікатів.

Як і в випадку з одними VPN, сервер VPN повинен підтримувати дешифрування і шифрування VPN-трафіку. Якщо рівень трафіку високий, сервер VPN може виявитися перевантаженим. Особливо це відноситься до ситуації, коли міжмережевий екран є VPN-сервером, і має місце інтернет-трафік великого обсягу.

Нарешті, необхідно обміркувати питання, пов'язані з адресацією. Якщо вузлова VPN використовується всередині однієї організації, в ній необхідна наявність однакової схеми адресації для всіх вузлів. В даному випадку адресація не представляє будь-якої складності. Якщо ж VPN використовується для з'єднання двох різних організацій, необхідно вжити заходів для попередження будь-яких конфліктів, пов'язаних з адресацією. На малюнку 5 відображена виникла конфліктна ситуація. Тут обидві організації використовують частини одного і того ж приватного адресного простору (мережа 10.1.1.x).

Мал. 5. Вузлова VPN може викликати конфлікти, пов'язані з адресацією

Очевидно, що схеми адресації будуть конфліктувати один з одним, і маршрутизація трафіку не працюватиме. В даному випадку кожна сторона з'єднання VPN повинна виконувати трансляцію мережевих адрес і переадресовувати системи іншої організації на їх власну схему адресації (див. Рис. 6).

Управління вузловими VPN

Мал. 6. Вузлова VPN використовує NAT для запобігання конфліктів адресації

При здійсненні контролю над маршрутизацією можуть знадобитися додаткові функції з управління. На маршрутизаторах внутрішніх мереж потрібно створити маршрути до віддалених сайтам. Ці маршрути, поряд з управлінням схемою адресації, повинні чітко документуватися щоб уникнути ненавмисного видалення маршрутів в процесі управління маршрутизатором.

Поняття стандартних технологій функціонування VPN

Мережа VPN складається з чотирьох ключових компонентів:

• Сервер VPN.
• Алгоритми шифрування.
• Система аутентифікації.
• Протокол VPN.

Ці компоненти реалізують відповідність вимогам з безпеки, продуктивності і здатності до взаємодії. Те, наскільки правильно реалізована архітектура VPN, залежить від правильності визначення вимог. Визначення вимог повинно включати в себе наступні аспекти.

Кількість часу, протягом якого необхідно забезпечувати захист інформації.

• Число одночасних з'єднань користувачів.
• Очікувані типи з'єднань користувачів (співробітники, що працюють з дому або знаходяться в поїздці).
• Число з'єднань з віддаленим сервером.
• Типи мереж VPN, яким знадобиться з'єднання.
• Очікуваний обсяг вхідного і вихідного трафіку на віддалених вузлах.
• Політика безпеки, яка визначає налаштування безпеки.

При розробці системи також може виявитися корисним вказати додаткові вимоги, пов'язані з місцем розташування співробітників, які перебувають в поїздці (маються на увазі вузли в інших організаціях або в номерах готелів), а також типи служб, які будуть працювати через VPN.

сервер VPN

Сервер VPN є комп'ютер, який виступає в ролі кінцевого вузла з'єднання VPN. Даний сервер повинен володіти характеристиками, достатніми для підтримки очікуваної навантаження. Велика частина виробників програмного забезпечення VPN повинна надавати рекомендації з приводу продуктивності процесора і конфігурації пам'яті, в залежності від числа одноразових VPN-з'єднань. Слід забезпечити наявність системи з відповідними параметрами, а також подбати про її подальшої модернізації.

VPN-сервер повинен бути розташований в мережі. Сервер може бути фаєрволом або прикордонним маршрутизатором (див. Рис. 7), що спрощує розміщення VPN-сервера. В якості альтернативи сервер може бути і окремою системою. У цьому випадку сервер повинен бути розташований в виділеної демілітаризованій зоні (DMZ) (див. Рис. 8). В ідеальному випадку демілітаризована зона VPN повинна містити тільки VPN-сервер і бути окремою від DMZ інтернету, що містить веб-сервери і поштові сервери організації. Причиною є те, що VPN-сервер дозволяє доступ до внутрішніх систем авторизованим користувачам і, отже, повинен розглядатися як об'єкт з більшим ступенем довіри, ніж поштові та веб-сервери, доступ до яких може бути здійснений особами, які користуються довірою. Демілітаризована зона VPN захищається набором правил брандмауера і дозволяє передачу лише того трафіку, який вимагає VPN.

Мал. 7. Архітектура мережі VPN, в якій міжмережевий екран є VPN-сервером

Мал. 8. Архітектура мережі VPN для окремого сервера VPN

Правила політики брандмауера для демілітаризованої зони VPN визначені в табл. 1. Тут містяться правила, необхідні для демілітаризованої зони інтернету і демілітаризованої зони VPN.

Правила 1, 2 і 3 відносяться до демілітаризованої зони VPN. Правило 1 дозволяє клієнтам VPN здійснювати доступ до сервера VPN з використанням будь-якої служби, необхідної програмним забезпеченням VPN. Правило 2 дозволяє VPN-серверу здійснювати маршрутизацію цих сполук у внутрішню мережу. Правило 3 виключає з'єднання демілітаризованої зони інтернету з демілітаризованою зоною VPN, ізолюючи демілітаризовану зону VPN від систем в DMZ інтернету, що користуються меншою довірою.

Таблиця 1. Правила політики брандмауера, що включають демілітаризовану зону VPN

алгоритми шифрування

Алгоритм шифрування, використовуваний в VPN, повинен бути стандартним потужним алгоритмом шифрування. Виникає питання: яка ж система шифрування найкраща? Взагалі, всі стандартні і потужні алгоритми можуть ефективно використовуватися при побудові VPN. Різні виробники віддають перевагу різним алгоритмам, в залежності від обмежень реалізації продукту, аспектів, пов'язаних з ліцензуванням, і переваг по програмуванню. Купуючи програмний пакет VPN, слід вислухати коментарі фахівців і переконатися в тому, що виробник використовує потужний алгоритм шифрування.

Слід зауважити, що вибір алгоритму не має принципового значення, якщо він буде стандартним і в достатній мірі потужним. Набагато більше впливає на загальний рівень безпеки реалізація системи. Неправильно реалізована система може зробити марним найпотужніший алгоритм шифрування. Прийнявши до уваги сказане вище, давайте вивчимо ризики, пов'язані з використанням VPN. Для того щоб отримати доступ до інформації, переданої через VPN, зловмисник повинен:

• захопити весь сеанс з'єднання, т. е. розмістити пристрій прослуховування між протилежними кінцями з'єднання в тому місці, через яке повинен передаватися весь трафік VPN;
• використовувати великі обчислювальні потужності і велика кількість часу для перехоплення ключа за допомогою грубої сили і для дешифрування трафіку.

Зловмиснику набагато простіше використовувати наявну вразливість на комп'ютері користувача або вкрасти портативний комп'ютер, наприклад, в аеропорту. Якщо інформація не представляє собою особливої ​​важливості, в VPN можна використовувати будь-який широко поширений, потужний алгоритм шифрування.

система аутентифікації

Третім компонентом архітектури VPN є система аутентифікації. Як вже говорилося раніше, система аутентифікації VPN повинна бути двухфакторной. Користувачі можуть проходити аутентифікацію з використанням того, що вони знають, того, що у них є або за допомогою даних про те, ким вони є. При використанні для користувача VPN віддається перевага перших двох варіантів.

Доброю комбінацією засобів аутентифікації є смарт-карти в парі з персональним ідентифікаційним номером або паролем. Виробники програмного забезпечення, як правило, надають організаціям на вибір кілька систем аутентифікації. В даному переліку присутні провідні виробники смарт-карт.

протокол VPN

Протокол VPN визначає, яким чином система VPN взаємодіє з іншими системами в інтернеті, а також рівень захищеності трафіку. Якщо розглянута організація використовує VPN тільки для внутрішнього інформаційного обміну, питання про взаємодію можна залишити без уваги. Однак якщо організація використовує VPN для з'єднання з іншими організаціями, власні протоколи використовувати, швидше за все, не вдасться. У розмові про алгоритм шифрування було згадано, що зовнішні навколишні фактори можуть чинити більший вплив на безпеку системи, ніж алгоритм шифрування. Протокол VPN впливає на загальний рівень безпеки системи. Причиною цього є той факт, що протокол VPN використовується для обміну ключами шифрування між двома кінцевими вузлами. Якщо цей обмін не захищений, зловмисник може перехопити ключі і потім розшифрувати трафік, звівши нанівець всі переваги VPN.

При з'єднанні рекомендується використовувати стандартні протоколи. В даний час стандартним протоколом для VPN є IPSec. Цей протокол є доповненням до IP, що здійснює інкапсуляцію і шифрування заголовка TCP і корисної інформації, що міститься в пакеті. IPSec також підтримує обмін ключами, віддалену аутентифікацію сайтів і узгодження алгоритмів (як алгоритму шифрування, так і хеш-функції). IPSec використовує UDP-порт 500 для початкового узгодження, після чого використовується IP-протокол 50 для всього трафіку. Для правильного функціонування VPN ці протоколи повинні бути дозволені.

Типи систем VPN

Тепер, після обговорення функціонування мереж VPN, давайте розглянемо безпосереднє застосування VPN всередині організації. Крім питань, пов'язаних з політикою і управлінням, організації потрібно вибрати тип купується системи VPN. На момент написання даної книги можна виділити три типи VPN-будівників:

• апаратні системи;
• програмні системи;
• веб-системи.

апаратні системи

Апаратні системи VPN, як правило, базуються на апаратній платформі, яку використовують як VPN-сервера. На цій платформі виконується програмне забезпечення виробника, а також, можливо, деяке спеціальне програмне забезпечення, призначене для поліпшення можливостей шифрування. У більшості випадків для побудови VPN на системі віддаленого користувача необхідна наявність відповідного програмного забезпечення. Апаратні платформи також можуть використовуватися для побудови міжвузлових VPN, хоча це залежить від виробника обладнання.

Апаратна система VPN має дві переваги.

• ШВИДКІСТЬ. Устаткування, як правило, оптимізовано для підтримки VPN, за допомогою чого забезпечується перевага в швидкості в порівнянні з комп'ютерними системами загального призначення. За рахунок цього досягається можливість підтримки більшого числа одночасних VPN-з'єднань.
• Безпека. Якщо апаратна платформа спеціально розроблена для застосування VPN, з її системи вилучені всі зайві програми і процеси. За рахунок цього знижується ступінь схильності атакам в порівнянні з комп'ютерною системою загального призначення, в якій працюють інші процеси. Це не означає, що комп'ютер загального призначення не може бути належним чином захищена. Як правило, використання комп'ютера загального призначення вимагає додаткових зусиль по налаштуванню безпеки.

програмні системи

Програмні VPN працюють на комп'ютерних системах загального призначення. Вони можуть бути встановлені на виділеній для VPN системі або спільно з іншим програмним забезпеченням, таким як міжмережевий екран. При завантаженні програмного забезпечення необхідно забезпечити достатню потужність апаратної платформи для підтримки VPN. Так як VPN-продукт встановлюється на комп'ютери, наявні в організації, керівництво організації повинно подбати про відповідність комп'ютерів пропонованим вимогам.

Програмні VPN-системи можуть використовуватися таким же чином, як і апаратні системи. Існує програмне забезпечення для підтримки користувальницьких і вузлових VPN.

Веб-системи

Головним недоліком більшості призначених для користувача систем VPN є потреба в установці програмного забезпечення на систему-клієнт. Безперечно, що програмне забезпечення, яке встановлювалося на клієнтські системи, збільшувало обсяг робіт з управління призначеними для користувача VPN. Більш того, клієнтське програмне забезпечення в багатьох випадках не працювало належним чином з деякими додатками, завантаженими на комп'ютер-клієнт. Ця обставина підвищувало вартість підтримки і призводило до того, що багато організацій стали встановлювати на спеціально виділені комп'ютери тільки програмне забезпечення VPN.

Зазначені проблеми призвели до того, що деякі виробники VPN стали розглядати веб-браузери як VPN-клієнтів і реалізовувати цей підхід на практиці. Він полягає в тому, що користувач за допомогою браузера підключається до VPN через SSL. SSL забезпечує шифрування трафіку, а підтвердження автентичності користувача виконується за допомогою засобів аутентифікації, вбудованих в систему. Для надання користувачеві необхідних послуг використовується кілька різних механізмів. Серед них можна виділити додаткові компоненти браузера та віртуальні машини Java.

У той час як вартість підтримки та обслуговування безсумнівно нижче, на момент написання цієї книги жодна з бескліентних систем VPN не забезпечує повну функціональність. Цим мереж VPN притаманні обмеження, які полягають в наборі використовуваних додатків і методі підключення користувачів до внутрішніх систем. Організаціям слід розглядати варіант використання таких систем, так як це знижує витрати на обслуговування, проте необхідно враховувати безпосередні вимоги користувачів і узгодити їх з обмеженнями, які є в системах.

Визначення відмінностей між типами VPN

На підприємстві прийнято рішення використовувати VPN, в результаті чого встановлено VPN-будівник. Необхідно скласти оціночний звіт про методи шифрування, протоколах тунелювання і аспектах безпеки, пов'язаних з додатками, які можуть використовувати VPN, такими як засоби передачі голосу та відео через служби IP (відеоконференції, вдосконалені і змінені функції PBX) і засоби віддаленого зберігання / резервування і відновлення . Чи обов'язково шифрування даних в кожному з випадків?

Для кожного з додатків слід з'ясувати наступне.

1. Який тип VPN краще використовувати для додатка - міжвузловими або призначену для користувача VPN?
2. Де розташовані кінцеві вузли VPN? Які небезпеки можуть піддаватися ці кінцеві вузли?
3. Накладають чи кінцеві вузли або користувачі програми будь-які додаткові вимоги до механізму аутентифікації, пов'язаному з VPN?
4. Визначте відповідні додатком механізми аутентифікації.
5. Відстежите інформацію під час передачі. Чи є вона відкритою для перехоплення або прослуховування? Якщо так, визначте, чи забезпечує використовуваний механізм шифрування належний рівень захисту інформації.