Embed Size (px)
DESCRIPTION
Virtual Private Networks Security
Citation preview
Икономически университет-Варна
Център за магистърско обучение
по дисциплината
Безопасност и защита на Microsoft мрежи и
приложения
Тема: Безопасност и защита на VPN-мрежи
Изготвил: Проверил:
Видилина Кръстева-ф.н 9335 доц.д-р Стефан Дражев
спец.Информатика
2
С Ъ Д Ъ Р Ж А Н И Е
Въведение ................................................................................................................................. 3
Същност на виртуалните частни мрежи ........................................................................... 4
Предимства на VPN ............................................................................................................. 10
Видове VPNs .......................................................................................................................... 13
Отдалечен достъп през Интернет ...................................................................................... 15
Свързване на мрежи през Интернет ................................................................................. 16
Свързването на компютри през Intranet ......................................................................... 17
Основни VPN изисквания................................................................................................... 18
VPN като алтернатива ........................................................................................................ 19
Мотивация при изграждането на VPN ............................................................................. 21
Основи на тунелирането ..................................................................................................... 24
Тунелни протоколи .............................................................................................................. 25
Протоколи за криптиране .................................................................................................. 27
Типове VPN мрежи ............................................................................................................... 27
Сигурност на VPN ................................................................................................................ 29
Заключение ............................................................................................................................ 31
Използвана литература ....................................................................................................... 32
3
“Virtual Private Networks (VPN) предлагат понижаване на разходите от 50 до 75%
като заменят по-скъпите наети линии и сървъри за отдалечен достъп, като в същото
време намаляват средствата нужни за оборудване и обучение; VPN помагат и за
поддържане гъвкавостта на корпоративната мрежа, позволявайки й да отговаря по-
бързо на промените в пазара и бизнес партньорствата.”
Dave Kosiur, “Building and Managing VPNs”.
Въведение
Интернет е най-великият инструмент за работа, който светът
познава.Той пренася думи и идеи през огромни разстояния само за няколко
милисекунди.За съжаление Internet също така прави Вашите компютри
достъпни за атака от почти всяко място на планетата.Всеки ден кракерите
на системите се възползват от уязвимите компютри, като ги превръща в
предаватели на нежелана поща, участници в разпределени denial-of-service
атаки или просто ги използват, за да скрият други противни дейности.
В условията на съвременния многонационален глобален пазар
необходимостта да поддържат все по-голям брой отдалечени и мобилни
служители се превръща в императив за компаниите. В основни линии това
се постига благодарение на CPE VPN (customer premise equipment virtual
private network) - частна мрежа за пренос на данни, която се възползва от
достъпната телекомуникационна инфраструктура и същевременно
поддържа поверителност на информацията благодарение на протоколи и
други процедури, свързани със сигурността. Системата от собствени или
наети линии може да се използва само от една фирма. Целта на CPE VPN е
да осигури на предприятията същите възможности като частните мрежи,
но на много по-ниски цени, като се използва достъпната инфраструктура.
Както телекомуникационните компании осигуряват обезопасени
споделени ресурси, свързани с телефонните обаждания, така CPE VPN
дава възможност за постигане на същото ниво на сигурност за обменените
данни.
Въпреки това все по-голям брой противници на виртуалните частни
мрежи изразяват мнението, че CPE VPN вече не е актуална технология.
4
Това се дължи на факта, че с наличното оборудване компаниите трябва да
могат напълно да конфигурират и подсигуряват своите VPN. В резултат на
това се реализират много високи оперативни разходи - предприятието
изисква от доставчика да изпрати свои инженери да се справят с техниката
на място.
Същност на виртуалните частни мрежи
От години гласа, информацията и почти всички софтуерно определени
мрежови услуги се наричат “виртуални частни мрежи” от телефонните
компании. Обаче сегашните поколения на тези мрежи са много по-
напреднала комбинация от проникване, криптиране, удостоверяване и
технологии за контролиране на достъпа и услуги. Частната виртуална
мрежа по същество е система, която позволява на две или повече частни
мрежи да бъде свързани помежду си чрез публично достъпна мрежа,
такава каквато е Интернет. В този смисъл, VPN са подобни на мрежите с
широка област (WAN), като те обикновено се състоят от криптиран тунел
от определен вид, но най-важната характеристика на VPN е, че
използването на публични е много по-евтино, отколкото да разчитат на
скъпи, частни наемни линии. Тези мрежи се базират на мрежи с ограничен
достъп които използват същите връзки и рутери, както и публичните
мрежи и те правят това без да жертват сигурността или възможностите.
Виртуалните частни мрежи могат да имат множество форми, в зависимост
от използваните различни комбинации от хардуерни и софтуерни
технологии. VPN използват комбинации от технологии за достъп,
включително Т1, frame relay, ISDN, ATM или обикновен достъп чрез
набиране. Тези мрежи могат да съществуват между индивидуални машини
и частна мрежа или отдалечени LAN и частна мрежа. В същото време VPN
имат същата сигурност и възможности за криптиране като частна мрежа, а
също така е много ефективно средство при обмяната на важна информация
за работници, работещи в отдалечени клонове, у дома или по пътя. По
5
такъв начин се осигурява сигурен пренос на информация между
продавачи, снабдители и бизнес партньори, които могат да са на голямо
разстояние помежду си (фиг. 1.).
Фиг.1Пренос на информацията
Виртуалната частна мрежа(Virtual Private Network - VPN) е разширение
на частна мрежа, която обхваща връзки през споделени или публични
мрежи като Интернет. VPN ви дава възможността да изпращате данни
между два компютъра през споделена или публична мрежа по начин, който
наподобява свойствата на Point-to-Point частна връзка. Акта на
конфигуриране и създаване на виртуална частна мрежа се нарича virtual
private networking.
За да наподоби point-to-point връзка, данните са инкапсулирани или
обвити с обвивка, която осигурява маршрутизираща информация
позволяваща на данните да прекосяват споделени или публични мрежи и
да достигат своята крайна точка. За да наподобят частни връзки,
изпратените данни са криптирани за по-голяма поверителност. Пакетите,
които са прихванати през споделената или публична мрежа е невъзможно
да бъдат декодирани без декодиращия ключ (encrypted key). Частта от
6
връзката, в която частните данни са капсулирани е известна като тунел.
Частта от връзката, в която данните са криптирани, е известна като
виртуална частна мрежа.
Фиг.2
VPN връзките позволяват на потребителите да си работят от вкъщи или
на път, да се свързват по сигурен начин към отдалечен сървър,
използвайки маршрутизиращата инфраструктура осигурена от публична
мрежа (като Интернет). От преспективата на потребителя, VPN връзката е
point-to-point връзка с потребителските компютри и сървъра на
организацията. И така VPN технологията дава възможност на една
корпорация да свърже отделни нейни филиали или да се свърже с
компютрите на други корпорации през публични мрежи(като Интернет)
като твърди, че това са едни сигурни комуникации.
VPN връзките през Интернет логично работят като wide area
network(WAN) връзки между обектите. И в двата случая, сигурната
комуникация през мрежата се явява пред потребителя като частна
комуникация – въпреки факта, че комуникацията се осъществява през
публична мрежа - оттук идва и името виртуална частна мрежа.
VPN технологията е проектирана към решаване на въпросите
обхващащи сегашните бизнес тенденции към увеличаване на
телекомуникативността, където служителите трябва да са способни да се
свързват към централните ресурси и да бъдат способни да комуникират
един с друг.
7
Виртуалните частни мрежи използват известни мрежови технологии и
протоколи. Клиента изпраща поток от криптирани Point-to-Point Protocol
(PPТP) пакети на отдалечен сървър или рутер, вместо да използва поделена
линия (както е случая със WAN) и пакетите се предават чрез тунел по
ограничена мрежа. Общата идея за използването на този метод е, че
компанията намалява телекомуникационните такси които се дължат при
свързване на отдалечени потребители и клонове със щаб-квартирата. Тъй
като компаниите вече не трябва да инвестират сами в действителна
инфраструктура, те могат да намалят техните операционни разходи чрез
използване на мрежови услуги от доставчици на услуги.Обикновено
организация, която иска да изгради мрежа с широка област трябва да
осигури скъпи публични линии, за да свърже заедно своите офиси. Само
големи компании могат да си позволят да закупят тези линии
безпроблемно, така че повечето организации “наемат” техните линии и
плащат месечна такса, която понякога достига до хиляди долари, за
привилегията да използват кабели, които никой друг не може да се свърже.
Организацията обикновено инсталира наемна линия WAN, за да поддържа
intranet на дълги разстояния. Освен файловото поделяне и електронната
поща, тези WAN осигуряват достъп до intranet страници и системи за
видео конференции. VPN могат да поддържат същите intranet / extranet
услуги както WAN, но те също са известни със своите възможности да
поддържат услуги по отдалечен достъп. Напоследък много организации са
увеличили мобилността на своите работници, позволявайки им да
телекомуникират. Работниците също продължават да пътуват и се
сблъскват с нарастващата нужда да останат “включени” в мрежата на
компанията. Наемните линии не поддържат добре подвижни работници,
защото линиите се провалят в опита си да осигурят подвижност и широка
работна площ. Компании, които не използват VPN трябва да използват
secure dial-up услуги в такъв случай.VPN не винаги означава
8
комуникационна изолация, а по-скоро контролирана сегментация на
комуникациите за общност от интереси чрез поделена инфраструктура.
Най-общата и формална характеристика на VPN и може би най-
недвусмислено и стриктно определение е:
Виртуалната частна мрежа е комуникационно оборудване, при което
достъпа се контролира за да се допуснат равни връзки само вътре в
определената общност от интереси.
По-простичко, по-точно и много по-неформално определение е, че
виртуалните частни мрежи са частни мрежи, конструирани в публична
мрежова инфраструктура, такава, каквато е и глобалния Интернет.Също
така трябва да се обърне внимание, че докато VPN може да се
конструирани да задоволяват голям брой бизнес нужди или технически
изисквания, изчерпателното VPN решение осигурява поддръжка за dial-in
достъп, свързване на множество отдалечени сайтове чрез наемни линии,
възможността на VPN доставчика на услуги да “хоства” множество услуги
за клиенти на тези мрежи (например уеб хостинг), и способността да
поддържа не само intra-, но също така и inter-VPN връзки, включително и
връзки с гобалния Интернет.
Долната фигура (фиг. 3.) илюстрира решения за отдалечен достъп с
VPN. Отдалечено разклонение (клиент), желаещ да се включи в мрежата на
компанията се обажда на локалния сървър, който е включен в публичната
мрежа. VPN клиента установява връзка със VPN сървъра, поддържан от
сайта на компанията. Веднъж, след като е установена връзката,
отдалечения клиент може да комуникира с мрежата на компанията също
толкова сигурно по публичната мрежа, колкото и по вътрешната LAN
мрежа. Просто разширение на архитектурата на разширен достъп на VPN,
показано по-горе, позволява на цялата отдалечена мрежа (за разлика от
просто един отдалечен клиент) да се свързва с местната мрежа. За разлика
от връзката клиент-сървър, връзката сървър-сървър на VPN свързва две
9
мрежи във форма на разширен интранет или екстранет. Потребителите на
интранет могат също да използват VPN технологията, за да осъществяват
контролиран достъп на индивидуални subnets по частна мрежа. В този
режим, VPN клиенти се свързват с VPN сървър, който играе ролята на
врата към компютрите зад него във subnet. Важно е да се отбележи, че
употребата на този тип VPN не включва ISPs или public network cabling.
Обаче, се дава преимущество на сигурността и удобството при
използването на VPN технологията.
Фиг.3 Отдалечен достъп с VPN
Веднъж, след като компанията се свърже със VPN сървър, тя може да
използва същите приложения, които по принцип използва, за да се свърже
с Интернет или може да поръча или наеме подходящите устройства в
зависимост от обхвата на мрежата. По нататък това може да бъде
използвано за свързване на LAN в различни сайтове или да дава на
потребителите, клиентите и консултантите достъп до корпоративните
ресурси (фиг. 4.). Често VPN се използват за отдалечени работници като
продавачи, за надомни работници или хора с разширено работно време.
10
Фиг.4
Предимства на VPN
Фиг.5 Предимства на VPN
Сигурност - VPNs предоставят най-високото ниво на сигурност
чрез използване на съвременни, стандартизирани протоколи за
сигурност, като Triple Data Encryption Standard (3DES) за
криптиране и IP Security Protocol (IPSec) за тунелиране, както и
11
множество автентикиращи методи, които предпазват данните от
неоторизиран достъп и злоупотреби. Традиционният отдалечен
достъп и WAN технологиите като remote dial и Frame Relay
предоставят изолиране на трафика, но не и сигурност на
предаването. Използвайки криптиране и автентикация, VPNs
предоставят повишена мрежова сигурност в „несигурния мрежов
свят”.
По – ниски разходи – VPNs позволяват на компаниите да
използват рентабилния thirdparty интернет транспорт за свързване
на отдалечени офиси и потребители към техните главни
корпоративни офиси. Не се налага използването на скъпи наети
или Frame Relay линии. С появяването на рентабилните,
високоскоростни технологии като DSL, компаниите могат да
използват VPNs за намаляване на разходите за WAN връзки, като
едновременно с това увеличават честотната лента към
отдалечените офиси. VPNs за отдалечен достъп могат да бъдат
използвани за свързване на отдалечени потребители към техните
корпоративни мрежи чрез локални ISPs. VPNs намаляват
разходите и за IT персонал, тъй като изискванията за сигурността
са стандартизирани, използва се лесно управляемо и скалируемо
VPN оборудване, а някои от задачите за поддръжка могат да се
изпълняват от доставчика.
Скалируемост - VPNs дават възможност на корпорациите да
използват лесно достъпната Интернет инфраструктура чрез ISPs,
както и утройства, позволяващи лесно добавяне на нови
потребители. Поради тази причина, корпорациите са в състояние
да увеличават значително производителността си без добавяне на
допълнителна инфраструктура.
12
Увелиена производителност - Чрез предоставяне на по-бърза и
по-надеждна връзка между мобилни служители, отдалечени
офиси, extranet партньори и корпоративни мрежи, VPNs
несъмнено подобряват нивата на производителност в компаниите.
На служителите се предоставя по-добра възможност за
отдалечена работа – сценарий, който позволява на компаниите да
използват по-малко работно пространство.
Има 3 основни VPN технологии: доверена – trusted VPN, сигурна –
secure VPN, смесена – hybrid VPN.
Важно е да се отбележи, че сигурните и доверените VPNs не са
технически
свързани и могат да съществуват съвместно. Преди Интернет да стане
почти всеобхватен, една VPN се състои от една или повече линии (circuits),
наети от даден доставчик. Всяка наета линия играе ролята на единична
жица в мрежа, която е контролирана от клиента. Понякога доставчикът
помага при управлението на клиентската мрежа, но основната идея е
клиентът да използва наетите линии по същия начин, по който използва
физическите кабели в собствената си локална мрежа. Единственото ниво
на сигурност при тези VPNs е гаранцията на доставчика, че никой друг
освен клиента не може да използва същите линии. Това позволява на
клиентите да имат собствено IP адресиране и собствена политика по
сигурността. Една наета линия преминава през един или повече
комуникационни switch-а, всеки от които може да бъде изложен на някой,
който иска да наблюдава мрежовия трафик. VPN клиентът вярва (trust) на
VPN доставчика, че поддържа цялостта на линиите и използва най-добрите
достъпни бизнес практики за предотвратяване на подслушването на
трафика. Тези VPNs се наричат доверени (trusted) VPNs.
С увеличаване на популярността на Интернет като корпоративно
средство за комуникации, сигурността става много по-належащ проблем
13
както за доставчици, така и за клиенти. Осъзнавайки че доверените VPNs
не предлагат реална сигурност, доставчиците започват създаването на
протоколи, които биха позволили криптирането на данните в края на една
мрежа или в първоначалния компютър, пренасянето им като всички други
данни и дешифрирането им при достигане на предназначеното място. Този
криптиран трафик играе ролята на тунел между двете мрежи: дори и ако
един нарушител успее да види трафика, той не може да го прочете и не
може да го промени без това да остане незабелязано при получаването.
Мрежите, конструирани чрез използване на криптиране се наричат сигурни
(secure) VPNs.
Напоследък, доставчиците започват да предлагат нов вид доверени
VPNs, които този път използват Интернет вместо телефонните системи
като основа за комуникациите. Този нов вид доверени VPNs все още не
предлагат сигурност, но предоставят на клиентите начин за лесно
създаване на мрежови сегменти за WANs. В добавка, доверените VPN
сегменти могат да бъдат контролирани от едно място и често се доставят с
гарантирано качество на услугата (QoS) от доставчика. Сигурна VPN може
да функционира като част от доверена VPN, създавайки трети тип VPN -
хибридни (hybrid) VPNs. Сигурните части на хибридна VPN могат да
бъдат контролирани от клиента (например чрез използване на сигурно
VPN оборудване по различните местоположения) или от доставчика, който
предоставя доверената част на хибридната VPN. Понякога цялата
хибридна VPN е осигурена от сигурна VPN, но обикновено се осигурява
само част от хибридната VPN.
Видове VPNs
VPNs се делят на три основни категории: за отдалечен достъп (remote
access), intranets и extranets. VPNs за отдалечен достъп свързват мобилните
служители, отдалечените потребители и офиси към корпоративния WAN и
14
изчислителните ресурси посредством минимален трафик.Intranet VPN
свързва фиксирани местоположения, клонове и офиси в enterprise WAN.
Extranet разширява ограничения достъп до корпоративните изчислителни
ресурси към бизнес партньори като доставчици или клиенти, позволявайки
достъп до споделена информация.Често на VPNs се гледа от две
перспективи – от функционална и от технологична гледна точка.
Функционалната набляга повече на целите и намеренията на VPN, докато
технологичната изтъква специфичните технологии, използвани за
имлементиране на VPN.
От функционална гледна точка VPNs често се класифицират на VPNs за
отдалечен достъп и site-to-site VPNs. Терминът отдалечен достъп се отнася
за имплементации на VPN, в които отделните отдалечени потребители, или
т.нар. мобилни служители, осъществяват достъп до корпоративната мрежа
чрез техните PC-та. Те могат да използват традиционни dial-in конекции
към местен ISP, след което да инициират тунел към корпоративната мрежа.
Алтернативна възможност е да се инициира тунел чрез високоскоростна
среда, като Ethernet, достъпна в много хотели. Относително съвременна
разновидност е безжичната VPN за отдалечен достъп, при която мобилния
служител осъществява достъп до корпоративната мрежа чрез безжична
конекция посредством PDA. Във всички случаи софтуерът на PC или PDA
предоставят сигурна конекция, често наричана тунел, към корпоративната
мрежа. Отделните служители трябва да се автентикират преди да им бъде
предоставен достъп до мрежата. Site-to-site VPN засяга имплементации, в
които мрежата на едно местоположение се свързва с мрежата на друго чрез
VPN. Мрежовите устройства се автентикират едно друго, след което
установяват VPN връзка между отдалечените места. Тези устройства
изпълняват ролята на шлюзове, безопасно предаващи трафика,
предназначен за отдалеченото местоположение. Рутерите или защитните
стени с VPN поддръжка и VPN концентраторите предоставят тази
15
функционалност. Site-to-site VPNs могат да бъдат разделени на intranet
(конекции между местоположения, които са част от една и съща компания;
като такива достъпът между тях е по-малко ограничителен) и extranet
VPNs (конекции между компания и нейните бизнес партньори; достъпът
между отделните местоположения трябва да е добре контролиран и от
двете страни). Разликата между двата вида VPNs (за отдалечен достъп и
site-to-site) ще става все по-неясна с по-широкото навлизане на нови
устройство като хардуерни VPN клиенти. Тези устройства изглеждат
сякаш са единично устройство, свързано към мрежата, въпреки че е
възможно да има цяла мрежа с няколко устройства зад тях.
Отдалечен достъп през Интернет
VPNs осигурява отдалечен достъп до ресурси на организацията през
публичен Интернет. Фигура 6 показва VPN връзка използвана да свърже
отдалечен клиент към Интранет на организацията. Това е известно като
отдалечен достъп на VPN връзка.
Фигура 6: Използване на VPN връзка да свърже отдалечен клиент към Intranet на
организация.
По-добре отколкото да прави отдалечени телефонни връзки до
организацията или outsourced network access server(NAS), потребителят
16
набира локален ISP. Използвайки връзката към локален ISP, VPN клиентът
създава VPN връзка между отдалечения компютър и сървъра на
организацията през Интернет.
Свързване на мрежи през Интернет
Има два метода за използването на VPNs за свързването на локални
мрежи към отдалечен обект:
Използвайки посветени линии за свързването на офис към LAN
на организацията.
Например, по-добре от използването на скъпи, далеко-дистантни
кабелни връзки между браншовия офис и корпоративния хъб, е и двата
рутъра на браншовия офис и корпоративния хъб рутер да използват
локална посветена електрическа мрежа и локален ISP за свързване към
Интернет. VPN софтуерът използва локалните ISP връзки и Интернет за да
създаде виртуална частна мрежа между рутъра на браншовия офис и
корпоративния хъб рутер.
Използването на dial-up линия за да свърже браншовия офис към
Интернет. VPN клиентът използва връзката към локалния ISP за
да създаде VPN връзка между рутъра на браншовия офис и
корпоративния хъб рутер през Интернет.
Фиг.7 Използването на VPN връзка за свързването на два отдалечени обекта
17
И в двата случая, устройствата, които свързват браншовия офис и
корпоративните офиси към Интернет, са локални. Корпоративния хъб
рутер, който играе ролята на VPN сървър трябва да бъде свързан към
локален ISP с посветена линия. Този VPN сървър трябва да е активен 24
часа в денонощието за идващ VPN трафик.
Свързването на компютри през Intranet
Данните, които се съхраняват в някои вътрешни отдели на
организацията, може да бъдат толкова важни и поверителни, че тези LAN
мрежи да бъдат отделени от останалите мрежи на организацията. Въпреки,
че това предпазва поверителната информация на отдела, това създава и
проблеми с достъпността на тези потребители, които не са във физически
контакт с отделната LAN мрежа.
Фиг.8 Използване на VPN връзка за свързване към защитена или скрита мрежа
VPNs позволява на LAN-a на отдела да бъде физически свързан към
мрежата на организацията, но е отделен посредством VPN сървър. VPN
сървърът не изпълнява ролята на рутър между мрежата на организацията и
LAN-a на отдела. Рутър щеше да свърже двете мрежи, като позволи на
всеки достъп до поверителната мрежа. При използването на VPN сървър,
администраторът на мрежата може да осигури, че само тези потребители
на мрежата на организацията, които имат подходящи акредитивни писма
могат да установят VPN връзка със сървъра и да придобият достъп до
защитените ресурси на отдела. В допълнение, всички комуникации през
VPN могат да бъдат криптирани за поверителност на данните. Тези
18
потребители, които нямат подходящи акредитивни писма не могат да
видят LAN-a на отдела.
Основни VPN изисквания
Типично, когато се разгръща отдалечено мрежово решение, е
необходимо за предприятията да се улесни контролирания достъп до
ресурсите и информацията на организацията. Решението трябва да
позволява на отдалечен клиент да се свърже към LAN ресурсите, и
решението трябва да позволява отдалечени офиси да се свързват един с
друг, да споделят ресурси и информация(router-to-router връзка). В
допълнение, решението трябва да осигурява цялостта и неделимостта на
данните като те прекосяват Интернет.
Същата грижа важи и за случая, когато поверителна информация
прекосява мрежата на организацията.
Затова VPN решението трябва да осигури най-малко всички от
следните изисквания:
Автентикация на потребителя. Решението трябва да проверява
идентичността на VPN клиента и да ограничава VPN достъпа
само на упълномощени потребители.
Управление на адресите. Решението трябва да назначава VPN
клиентите на адрес в Интранет и да осигурява, че използваните в
Интранет адреси се съхраняват като частни.
Криптиране на данните. Данни трябва да бъдат пренасяни
криптирани през публични мрежи.
Управление на ключовете. Решението трябва да генерира и
обновява декриптиращи ключове за криптираните данни.
Интернет VPN решението базирано на Point-to-Point Tunneling Protocol
(PPTP) или Layer Two Tunneling Protocol с Internet Protocol сигурност
(L2TP/IPSec) отговаря на всички тези основни изисквания и взима
предимство на обширния достъп до Интернет. Други решения, включващи
19
IPSec tunnel mode, отговарят само на някои от тези изисквания, но остават
полезни за специални ситуации.
VPN като алтернатива
Алтернативата на използването на Интернет като VPN в днешно време
е да се наемат поредици или подобни комуникационни услуги от
оператори на публични мрежи (в повечето случаи това е местната
телекомуникационна компания) и да се създаде напълно частна мрежа.
Това е пластово обединение, което ни позволява да му дадем името
“напълно частно” като тези публични комуникационни услуги са (в най-
ниските слоеве на протоколната верига) отново отделни случаи на
виртуални частни комуникационни системи, конструирани на върха на
системата за общ пренос. Разбира се това не е без прецедент и трябва да се
отбележи, че множеството от ранните опити в предаването на информация
и много от сегашните архитектури за пренос не се приемат като разгърнат
модел на повсеместен публичен достъп.Обаче тази алтернатива има
асоциирана цена, в това, че клиента сега трябва да управлява мрежата и
всичките й асоциирани елементи, да инвестира капитал в
инфраструктурата за сменяне на мрежата, да наеме обучен персонал, да
поеме пълна отговорност за провизионирането и поддържането на
съществуването на мрежовите услуги. Такова разширено използване на
транспортни услуги, оборудване и персонал често е трудно да се оправдае
за множество малки и средни по размер организации и докато
функционалността на частната мрежова система е изискуема, изразеното
желание е да се намалят цените на услугите чрез употребата на поделени
транспортни услуги, оборудване и мениджмънт. Има няколко сценария,
които могат да послужат на тези нужди, вариращи от outsourcing на
мениджмънта на елементите за обмен по мрежата (менажирани мрежови
услуги) до outsourcing на компоненти от капиталовото оборудване (наемни
мрежови услуги), до outsourcing на мениджмънта, оборудването и
20
транспортните елементи към доставчика на услуги изцяло.
В примера, илюстриран по-долу (фиг.9), сайтовете от Мрежа “А” са
установили виртуална частна мрежа – VPN (отразени с червени линии)
през основната мрежа на доставчика на услуги, където Мрежа “В” е
напълно незапозната с нейното съществуване. И двете мрежи “А” и “В”
могат хармонично да съществуват заедно на една и съща основна мрежова
инфраструктура.
Фиг.9 Мрежова инфраструктура
Това в същност е най-общия тип на VPN – такъв, в който има географско
разделени подмрежи, които принадлежат на общ административен домейн,
свързан от поделена инфраструктура извън техния административен
контрол (такъв като глобалния Интернет или единична основна мрежа на
доставчик на услуги). Принципната мотивация при изграждането на
виртуална частна мрежа от такъв тип е може би множеството от
комуникации между устройства в общността на VPN могат да са
неустойчиви по природа (отново, решение за нивото на изискваната
21
поверителност почива единствено на рисковия анализ, провеждан от
администратора на VPN), все още общата стойност на комуникационната
система не оправдава инвестицията във напълно частна комуникационна
система, която използва дискретно предавани елементи.
Мотивация при изграждането на VPN
Има няколко мотивации за изграждането на виртуална частна мрежа, но
общото между всички тях е, че те всички споделят изискването за
“виртуализиране” в определена степен при комуникациите на
организацията – в друг смисъл, правят част (или може би всички) от
комуникациите в основата си “невидими” за външни наблюдатели, докато
се възползват от преимуществата на общата комуникационна
инфраструктура.
Основната мотивация за VPN лежи в икономиката на комуникациите.
Комуникационните системи днес проявяват типичните характеристики на
компоненти с висока и фиксирана цена и компоненти с малко варираща
цена, които се променят с транспортните възможности на системата. Вътре
в тази икономическа среда е много финансово атрактивно да свържеш
определен брой дискретни комуникационни услуги във обща
комуникационна платформа с висок капацитет, като по този начин се
позволява на компонентите с висока фиксирана цена да бъдат
амортизирани от голямо количество клиенти. Възможно е група от
виртуални мрежи, включени във единична съвместна физическа
комуникационна инсталация да бъде по-евтина за опериране отколкото
еквивалентна група от малки физически дискретни комуникационни
инсталации, всяка от които да обслужва единичен мрежов клиент.
Втората мотивация за VPN е тази на комуникационната поверителност,
където характеристиките и целостта на комуникационните услуги в една
затворена среда е изолирано от всички други среди, които поделят обща
22
основна платформа. Това ниво на поверителност зависи до голяма степен
от рисковата оценка, извършена от определена организация – ако
изискването за поверителност е ниско, тогава простата абстракция за
дискретност и мрежовата неизвестност могат да служат на целта. Обаче,
ако изискването за поверителност е високо, тогава има отговарящо
изискване за голяма сигурност на достъпа и потенциално голяма
сигурност, прилагана на преданата информация през общата мрежа.
Една от най-привлекателните страни на виртуалните частни мрежи е
потенциалното спестяване от цените. Използването на Интернет за
дистрибуция на мрежови услуги на дълги разстояния означава, че
компаниите не трябва повече да поръчват скъпи наемни линия за свързват
офисите на поделенията или тези на партньорите си, тъй като VPN има
нужда само да използва относително къса публична връзка. В организация,
в която има голям риск, това може да направи огромни разлики в цените.
Когато организация прибавя компании към своята мрежа, броят на
наемните линии, които са необходими, нараства показателно. В
традиционна WAN това може да ограничи гъвкавостта на прираста, като от
друга страна VPN избягват този проблем чрез включване във почти всяка
една възможна универсална мрежа.
Виртуалните частни мрежи могат в последствие да намалят цените чрез
редуциране на таксите за разговори на дълго разстояние, тъй като
клиентите могат да получат достъп чрез включване към най-близката точка
на доставчика на услуги. Докато в някои случаи това може да изисква
провеждането на разговор на дълго разстояние или използването на
услугата 800, то обикновено един градски разговор е достатъчен. Това
може драматично да намали телекомуникационните такси за предприятия
с множество международни сайтове, понякога в рамките на хиляди долари
на човек всеки месец.
23
Трети начин, по който VPN могат да се отразят в намаляване на
разходите е чрез намаляване на товара на компанията по поддръжката. С
такъв тип мрежа, доставчика на услуги трябва да поддържа dial-up достъп,
вместо организацията, която го използва. Теоретично, доставчика на
обществени услуги може да намали стойността на поддръжката, защото
тази стойност се поделя между голяма база от клиенти.
Компаниите се възползват от гъвкавостта, която идва със VPN, тъй като
по принцип те не изискват дългосрочни договори, както е в случая с
повечето услуги с информация. Това позволява на компаниите лесно да
преминат към по-ниско платени услуги, ако е такова желанието им.
Компаниите могат обикновено да установят високоскоростна връзка с
Интернет и да я конфигурират в много по-кратък срок, отколкото е нужно
при подобни услуги за пренос на данни. В някои чуждестранни държави
понякога е нужна цяла година, за да се наеме линия. За някои индустрии,
каквито са строителството или застраховането, това може да породи
критични различия в операциите на компанията и финансовото й здраве.
VPN технологиите се считат също така за забележително сигурни. От
представянето на IPSec, защитата на информация при VPN се е превърнала
в стандарт сред доставчиците на услуги. Информацията, която е изпратена
по виртуална частна мрежа е поверителна и изисква авторизация, за да
бъде получена или препратена. Потребителите могат да авторизират
пакети, за да установят валидността на информацията и обикновено
непокътнатостта на информацията е гарантирана.
Компаниите могат също да изберат да построя extranet приложение във
VPN, за да могат да използват контрола за достъп и услугите по
авторизация, за да отказват или да дават достъп до специфична
информация на клиенти, търговски партньори или бизнес сътрудници.
Това може да помогне за изграждането на лоялност на потребителите, тъй
като потребителите, на които е даден достъп на по-високи нива ще бъдат
24
по-малко склонни да преминат към друг бизнес партньор. Същата
технология може и да бъде използвана вътрешно да раздели групите от
работници на сегментирани групи с различни нива на достъп. Това
решение е по-просто и по-икономично, отколкото традиционните методи,
използвани от IT специалистите.
Основи на тунелирането
Тунелирането е метод на използване на мрежовата инфраструктура за
трансфер на данни за една мрежа през друга мрежа. За да бъдат пренесени
данните могат да бъдат рамки или пакети на друг протокол. Вместо да
изпрати пакета, така както оригинално е произведен, тунелния протокол го
инкапсулира в допълнителни рамки(header). Допълнителните header-и
осигуряват маршрутизираща информация, така че капсулираните данни
могат да прекосяват посредническите мрежи.
Капсулираните пакети тогава се маршрутизират между крайните точки
на тунела през мрежата. Логическият път, през който капсулираните
пакети пътуват през мрежата се нарича тунел. Когато капсулираните
пакети достигнат мрежата, която е нейно предназначение, пакетът се
декапсулира и се предава нататък към неговото финално предназначение.
Тунелирането включва целия този процес (капсулиране, предаване и
декапсулация на пакетите).
Фиг.10 Тунелирането
25
Транзитната мрежа, през която преминават пакетите, може да бъде
всяка мрежа – Интернет е публична мрежа и е най-широко известния
световен пример. Има много примери на тунели, които пренасят данни
през мрежите на дадена организация. И докато Интернет осигурява една от
най-широките и ценово-ефективните мрежи, споменаването на Интернет в
този доклад може да бъде заменено с всяка публична или частна мрежа,
която да играе ролята на транзитна мрежа.
VPN протоколи
В тази част ще разгледаме трите типа протоколи, използвани във
виртуалните частни мрежи:
Тунелен протокол – Понякога представян като VPN протoкол,
той се използва за изграждане на тунела.
Протокол за криптиране – Понякога означаван като протокол за
сигyрност, той се използва за сигурност на данните.
Мрежов/транспортен протокол – Понякога означаван като LAN
протокол, той се използва за комуникация по частна мрежа.
Тунелни протоколи
Тунелният или тунелиращият протокол капсулира данните така, че
хедърите на оригиналния протокол се обвиват вътре в капсулиращите
хедъри. В следващите секции ше разгледаме следните тунелни протоколи:
Point-to-Point Tunneling Protocol(PPTP)
Layer 2 Forwarding(L2F)
Layer Two Tunneling Protocol (L2TP)
IPSec
Secure Shell(SSH) и Secure Shell2(SSH2)
Crypto IP Encapsulation протокол (CIPE)
26
Point-toPoint Tuneling Protocol(PPTP) - PPTP на Microsoft е установен
стандарт, който реално представлява разширение на протокола за връзка
PPP, който се използва за създаването на WAN връзка с отдалечен достъп.
Ето как работи той:
PPTP kaпсулира PPP фрейма, който може да бъде IP, IPX или
NetBEUI пакет, във вътрешността на Generic Routing
Encapsulation(GRE) хедър.
Данните в оригиналната дейтаграма обикновено са криптирани,
за да не може да бъдат прочетени от неоторизирани лица. VPN
мрежите на Microsoft използват протокола MPPE(описан по-
надолу) заедно с PPTP за осигуряване на сигурни комуникации.
Фиг.8 структурата на PPTP пакет, съдържащ IP-datаgram
Forwarding(L2F) - Cisco разработи технологията L2F през 1996 г. и
включи в нея своя софтуер IOS. Като алтернатива на PPTP, L2F има
възможност да използва АТМ и Frame Relay протоколи за тунелиране.
Макар че PPTP изисква IP, за да работи, L2F не изисква. В допълнение L2F
осигурява автентикация на крайните точки на тунела.
Tunneling Protocol(L2TP) - Microsoft и Cisco koмбинираха
възможностите на PPTP и L2F и създадоха L2TP. L2TP капсулира данните
за изпращане по IP, както прави това и PPTP. Ho L2TP може също да
капсулира данни за изпращане по Asynchronous Transfer Mode (АТМ),
Frame Relay и X.25. По този начин той може да бъде използван за
27
изграждане на тунел през Интернет, или може да бъде използван по
конкретна WAN медия без необходимост от IP. L2TP е документиран в
RFC 2661.
Предимства на виртуалните частни мрежи пред dialup достъпа:
VPN мрежите спстяват разходит за мждуградските разговори,
когатоотдалечените потребители се намират изжън областта за
набиране налокални номера.
VPN мрежите изискват по-малко телефонни линии за
осигуряване наотдалечен достъп до множество потребители
едновременно.
VPN мрежите изискват по-малко хардуерно оборудване,
например банкиот модеми.
VPN мрежите, базирани на ISP, редуцират цените за
администриране и обучение.
Недостатъци на виртуалните частни мрежи пред dialup достъпа:
VPN мрежите изискват и двата края на връзката да имат
Интернетвръзка. Това е проблем, ако един от двата края има
ненадежднаИнтернет връзка.
Производителността при VPN мрежите често е по-ниска от тази
приdialup връзката. Това зависи от типа на реализицията на VPN
и от типана Интернет връзките. Добавянето на VPN слой влияе
напроизводителността до известна степен.
Протоколи за криптиране
След изграждането на тунела данните трябва да бъдат криптирани, за
да може връзката да бъде считана за сигурна. Протоколите, използвани за
криптиране на данни, са следните:
МРРЕ
IPSec
VPNd криптиране
SSH криптиране
Типове VPN мрежи
Софтуерно-базирани VPN
28
Софтуерно-базираните VPN мрежи включват използването на
тунелните протоколи. Тази категория може да бъде разделена
допълнително на продукти на независими производители и VPN софтуер
поддържан от операционната система. Предимството на последните е
тяхната цена, тъй като не изискват допълнително заплащане и са
достатъчни за нуждите на голяма част от организациите.
VPN софтуерните продукти на независимите производители
обикновено предлагат долълнителни възможности и разширяват
използваемостта на VPN, като често осигуряват повече опции за сигурност
и в някои случаи по-лесно реализиране. Някои софтуерно-базираните VPN
мрежи позволяват да се предават данни в тунела на базата на протокола
или IP адреса.Продуктите на независимите производители включват
Safeguard VPN, Checkpoint SVN(Secure Virtual Networking) и NetMAX VPN
Suite за Linux.Софтуерно VPN решение за Linux, което е безплатно, е
FreeS/Wan,използва IPSec.
Хардуерно-базирани VPN
Хардуерно-базирани VPN мрежи се проивеждат от компании като
Shiva,3Com и VPNet Technologies, Cisco, IBM, Notrel. Поддръжката на VPN
е вградена в маршрутизаторите на Cisco, както и в маршрутизаторите на
други компании. NTS Tunnel-Builder осигурява сигурни VPN комуникации
за Windows, NetWare и Macintosh. Такива производители като Raptor
Systems предлагат VPN мрежи, базирани на такива защитни стени, които
са компинирани със средства за сигурност.Хардуерно-базираните VPN
мрежи могат да се разделят на две групи:
Базирани на маршрутизатори- Базираните на маршрутизатори VPN
решения предствляват маршрутизатори с възможност за криптиране.
Те предлагат по-добра производителност на мрежата и като цяло са
по - лесни за инсталиране и използване.
29
Базирани на защитна стена- Базираните на защитна стена VPN
решения осигуряват допълнителни мерки за сигурност, силна
автентикация и детайлно логване. Базираната VPN на защитна стена
може също да извършва преобразуване на адреси.
Производителността може да бъде проблем, макар че в някои
реализации хардуерните криптиращи процесори решават този
проблем.
Сигурност на VPN
Firewall продукти за VPN, каквито са NetScreen, Watchguard или
NetFortress често са относително прости, plug-and-play решения за мрежова
сигурност. Системата може да бъде свързана с толкова много LAN мрежи,
колкото е нужно, ключовете се обменят между две единици и VPN е
завършена. Обаче, тези решения могат да имат голяма цена и правилния
избор ще зависи от уникалните мрежови нужди и необходимостта от
сигурност на компанията или компаниите, които използват тази мрежа.
Общо казано, ако вече притежавате подходящото оборудва и Интернет
връзка, решение от типа “извън кутията” не е необходимо.
Всички виртуални частни мрежи изискват конфигурация на устройство
за достъп, което е или софтуерно или хардуерно базирано, за да се настрои
канал за сигурност. Произволен потребител не може просто да се свърже
към даден VPN, тъй като е необходима определена информация, която да
осигури на отдалечен потребител достъп до мрежата. Когато се използва
заедно със строга авторизация, виртуалната частна мрежа може да
предотврати успешното проникване на нарушители в мрежата, дори ако те
успеят някак си да се включат към някоя от сесиите на мрежата.
Повечето VPN използват IPSec технологии, развиващата се структура
от протоколи, която се е превърнала в стандарт за повечето продавачи.
IPSec е полезно, защото е съвместимо с повечето различен VPN хардуер и
софтуер и е най-популярен за мрежи с клиенти, които ползват отдалечен
30
достъп. IPSec изисква от клиентите много малко познание, защото
авторизацията не е потребителско базирана, което означава, че не се
изисква специален знак (какъвто е Secure ID или Crypto Card). Вместо това
сигурността идва от IP адреса на работната станция или нейния
сертификат, който установява идентичността на потребителя и осигурява
идентичността на мрежата. Даден IPSec тунел основно играе ролята на
мрежов слой, който предпазва всичките пакети от информация, които
преминават, независимо от приложението.
Сигурността на VPN има три компонента:
- Автентикация
- Авторизация
- Криптиране
Автентикация
Автентикацията на VPN клиента включва проверката за истинност на
самоличността на машината и на потребителя, който инициира VPN
връзката. Автентикацията мойе да бъде осъществена на нивото на
машината. Например, когато една VPN връзка, базирана на Windows 2000,
използва IPSec за L2TP VPN сертификатите на машините се обменят като
част от изграждането на IPSec асоциация за сигурност.Потребителят може
да бъде автентициран с помоща на един от няколкото метода за
автентикация, като Extensible Authentication Protocol (EAP),Challenge
Handshake Authentication Protocol (CHAP), Shiva PAP(SPAP).
Авторизация
Авторизацията означава зададените ограничения, на базата на които на
едни от потребителите се предоставя достъп до VPN, а на други се отказва.
Криптиране
За защита на данните във VPN мрежи могат да бъдат използвани най-
различни технологии за криптиране. Много VPN реализации позволяват
31
потребителя да избере метода за криптиране, който трябва да бъде
използван. Криптирането осигурява сигурност на данни, които пътуват по
VPN. Повечето модерни VPN използват определен вид криптираща
система за да преобразуват информацията в шифрован текст, който след
това се декриптира в текст, възможен за четене от получателя.
Типа на възможното криптиране силно вариран. Има две основни
криптографски системи: симетрична и асиметрична. Симетричната
криптография по-принцип е по-бърза за разгръщане и често се използва за
обмен на големи пратки от информация между две групи, които се
познават и използват един и същ частен ключ за достъп до информацията.
Асиметричната система е много по-сложна и изисква двойка от ключове,
които са математически свързани – един публичен и един частен – за да
може да се получи достъп до информацията. Този метод често се използва
за малки, по-важни пратки от информация или по време на процеса по
идентифициране.
Заключение
Виртуалните частни мрежи са много мощен и основен инструмент,
който може да бъде използван да криптира цялата комуникация между
участващите компютри. VPN може да бъде използван, за да подобри
поверителността и сигурността на протоколите, които не са криптирани
(или не са сигурно криптирани) по подразбиране.
32
Използвана литература
1.Dave Kosiur, Building & Managing Virtual Private Networks, WILEY,
1998
2.Steven Brown, Implement Virtual Private Networks, Osborne, 1999
3. Dennis Fowler, Virtual Private Networks: Making the Right Connection
(The Morgan Kaufmann Series in Networking), Morgan Kaufmann Publishers,
INC, 1999
4. Microsoft, White Paper: “Microsoft Privacy Protected Network Access:
Virtual Private Networking and Intranet Security”
5.Matthew D. Wilson, “VPN Howto”.
