Раздел: Документация

0 ... 59 60 61 62 63 64 65 ... 125

УСТАНОВКА ЗАЩИЩЕННЫХ СОЕДИНЕНИЙ В INTERNET 187

Сервер

Сервер

Сервер

Брандмауэр

VPN

Брандмауэр

Рабочая станция

Рабочая станция

Рабочая станция

Рис. 10.1. Типичная виртуальная частная сеть образуется двумя брандмауэрами

Microsoft Windows включают в себя программное обеспечение VPN, основанное на протоколе РРТР, который будет описан ниже. С помощью РРТР клиент имеет возможность присоединиться к Internet через обычного провайдера, а затем с помощью клиентского программного обеспечения РРТР подключиться к серверу RAS корпоративной сети и установить защищенный канал VPN.

Некоторые провайдеры предоставляют еще одну услугу, полезную для мобильных пользователей. Удаленный пользователь дозванивается до провайдера, который после соответствующей аутентификации формирует для пользователя канал VPN с удаленным сайтом. Преимущество этого метода состоит в том, что для создания VPN пользователю не нужно настраивать клиентское программное обеспечение. К недостаткам такого подхода относится то, что в каждой из точек доступа должны существовать модемные входы провайдера; работа через провайдера означает, что в его руки передается часть функций по обеспечению безопасности.

Что может VPN

Виртуальные частные сети обеспечивают установку защищенных соединений в широком географическом пространстве. Основные сферы применения VPN в бизнесе:

О подключение дочерних предприятий или удаленных офисов к головному

предприятию или офису; О обеспечение удаленной работы сотрудников из дома или вне компании;

---

О создание защищенных каналов связи с деловыми партнерами; О уменьшение расходов на телекоммуникации.

Подключение дочерних предприятий по выделенной линии обходится достаточно дорого. Намного дешевле возможно окажется создание частного канала связи с удаленными предприятиями через существующее Internet-соединение в сочетании с хорошим брандмауэром, поддерживающим VPN. Если ряд ваших сотрудников регулярно подключаются к сети из дома или будучи в командировке, то защиту таких подключений также удобно осуществлять посредством VPN. Поскольку реализовать VPN удается и при подключении по коммутируемой линии к провайдеру, вы сможете выбросить большую часть модемных пулов, а вместо них установить у внешних пользователей клиентское программное обеспечение VPN. Вместо того, чтобы оплачивать большое число телефонных линий для модемного пула, лучше организовать единственное широкополосное подключение к Internet.

--—N

Windows NT и Windows 2000 также содержат клиентов VPN, которые могут функционировать совместно с Remote Access Services. Более подробная информация о клиентском программном обеспечении VPN Windows имеется в главе 21.

Для обмена деловой информацией круглосуточно работают факсы и службы экспресс-доставки. Немедленная же передача данных осуществляется при необходимости через сеть. Бизнес-партнеры, возможно, обнаружат, что технология VPN позволяет легко устанавливать защищенный канал связи между двумя сетями. Поскольку для создания VPN такого типа служит межсетевой экран, вы можете быть уверены, что ваша сеть останется надежно защищенной. Формирование VPN для временной работы с бизнес-партнером также часто обходится намного дешевле, чем использование выделенной линии.

Недостатки VPN

Хотя VPN обладают рядом преимуществ перед выделенными при установке глобальными соединениями, есть несколько вещей, о которых не следует забывать, взвешивая доводы за и против данной технологии. Во-первых, сеть Internet устроена так, что IP-пакет обычно проходит множество быстрых и медленных промежуточных отрезков, поэтому скорость канала VPN будет ограничиваться самым медленным отрезком маршрута, по которому проложен его трафик.

Во-вторых, в процессе работы через Internet невозможно управлять всей аппаратурой, передающей сетевые пакеты. Отказ оборудования в любой точке маршрута нередко приводит к задержке или даже отказу сети. При наличии выделенной линии полезно оговорить в контракте высокий уровень поддержки и быстрое устранение проблем. В случае использования Internet нельзя получить подобные гарантии.

Когда удаленные пользователи работают через локальных провайдеров модемного доступа, следует проверять качество предоставляемого провайдером сервиса.

---

Если в рабочее время пользователь не может дозвониться провайдеру, поскольку все телефонные линии заняты, ему придется по-прежнему связываться с модемным пулом компании. VPN можно считать эффективным недорогим методом подключения удаленных пользователей к сети (в сравнении со стоимостью поддержки модемного пула), однако так бывает не всегда. При большом числе удаленных пользователей иногда оказывается дешевле иметь модемный пул, чем платить за подключение всех пользователей к провайдеру.

В оставшейся части главы мы рассмотрим два важных стандартных протокола, предназначенных для создания VPN.

Набор протоколов IPSec

На протяжении этой книги неоднократно отмечалось, что при разработке набора протоколов TCP/IP защите информации не уделялось особого внимания. В следующем поколении IP - IPv6 - предусмотрены встроенные механизмы защиты. Но текущая версия IPv4 их не имеет. Поэтому для выполнения функций по обеспечению безопасности был выпущен новый стандарт IPSec. Этот протокол войдет в стандарт IPv6, но он также может быть реализован и поверх IPv4.

Более подробную информацию о протоколе IP нового поколения — IPv6 — вы найдете в главе 21.

IPSec используется все большим числом производителей брандмауэров для замены прежних собственных методов шифрования. Существует несколько причин, по которым следует ожидать, что в ближайшем будущем протокол IPSec будет широко распространен в Internet:

О IPSec стандартизован. Кроме документов RFC, определяющих архитектуру и основные компоненты IPSec, для стандартизации криптографических алгоритмов и других протоколов, применяемых IPSec, было создано множество разных документов;

О IPSec прозрачен для пользователя и текущего поколения маршрутизаторов, связывающих Internet воедино. IPSec функционирует на сетевом уровне, поэтому для работы с ним не нужно модифицировать приложения или физическую структуру сети;

О IPSec обладает гибкостью. Его можно совмещать с широким спектром криптографических методов.

IPSec - это не один протокол. Как и TCP/IP, он, скорее, представляет собой набор связанных протоколов. IPSec образован тремя следующими основными компонентами:

О протокол обмена ключами Internet (Internet Key Exchange, IKE). Предназначен для первоначального этапа установки соединения, чтобы стороны

0 ... 59 60 61 62 63 64 65 ... 125