Vpn. 
Организация комплексной защиты информации в корпоративной сети

Нередко возникают ситуации, когда нужно объединить сразу несколько локальных сетей, которые находятся на очень удаленном расстоянии друг от друга (например, в разных концах города), а также обеспечение подключения отдельных пользователей и обеспечения их соответствующими мерами безопасности от взлома. Именно для решения этой проблемы и была создана «технология виртуальных сетей» («Virtual Private Network» или VPN) [1]. Таким образом, эта технология сегодня является ключевым звеном в организации различных сетей. Её уникальность заключается в том, что она формирует специальный канал в уже доступной сети. Этот канал называется тоннелем, и он позволяет обеспечить высокий уровень защиты передаваемой через него информации при помощи протокола PPTP. Информация передаётся от абонента к провайдеру и имеет почти стопроцентный уровень защиты от несанкционированного доступа к лицевому счету абонента. Данный канал носит название «защищенный канал». Этот термин широко употребляется при использовании технологии виртуальных сетей. Защищенный канал получил своё название не случайно — его назначение заключается в обеспечении максимальной конфиденциальности сведений, которые по нему передаются, а также ограничении доступа к ним. Сетевой протокол виртуальной сети служит лишь базой, на основе которой создаётся специальное соединение.

Для создания протокола виртуальной частной сети используется механизм туннелирования, который позволяет осуществлять безопасный обмен информацией во время использования крупных локальных сетей. Туннелирование происходит между двумя специальными устройствами на точках входа в локальную сеть.

Эта технология сегодня является одной из самых надежных и безопасных возможностей организации защищенного подключения пользователя. При использовании этой технологии, для повышения уровня защиты, также используется шифрование информации. Таким образом, информация шифруется при отправлении, а достигнув конечной точки назначения — происходит процесс дешифрации. Подобные меры защиты позволяют обеспечить безопасность особо важных данных.

Говоря о протоколах, используемых для передачи информации по сетям VPN, следует отметить, что основными в этих случаях являются четыре протокола: Layer 2 Forwarding Protocol (протокол трансляции канального уровня), Layer 2 Tunneling Protocol (протокол туннелирования канального уровня), Point-to-Point Tunneling Protocol (протокол туннелирования точка точка), а также протокол IP Security (IPSec). В последнее время растет популярность технологии SSL VPN, на базе протокола SSLTLS, который используется для защиты соединений в WEB-браузерах [9].

Первые три спецификации известны под общим названием протоколов трансляции канального уровня, поскольку в соответствии с ними пакеты протоколов сетевого уровня (AppleTalk, IP и IPX) сначала инкапсулируются в другие пакеты протокола канального уровня (РРР), а уже затем передаются адресату по IP-сети [1]. Хотя эти спецификации и претендуют на решение проблемы безопасности в сетях VPN, они не обеспечивают шифрования, аутентификации, проверки целостности каждого передаваемого пакета, а также средств управления ключами. На сегодняшний день наиболее современным решением защиты сетей VPN является спецификация IPSec. Поэтому в случае использования первых трех спецификаций для обеспечения безопасности информации при передаче в рамках VPN необходимо применение дополнительных средств ее защиты.

Виртуальные частные сети на основе протокола SSL (Secure Sockets Layer) предназначены для безопасного предоставления корпоративных сетевых услуг любому авторизованному пользователю, который получает возможность удаленного доступа к корпоративным ресурсам из любой точки мира, где имеется Интернет и стандартный веб-браузер. Использование веб-браузера и встроенных систем шифрования SSL обеспечивает доступ к корпоративной сети с любых удаленных устройств, например, через домашние ПК, интернет-киоски или беспроводные устройства Wi-Fi, то есть из любой точки, включая и те, где установка клиентского программного обеспечения VPN и создание соединений VPN с протоколом IPSec сопряжены с большими трудностями. Администраторы могут настраивать параметры доступа к веб-сайтам и корпоративным приложениям индивидуально для каждого пользователя. Кроме того, поскольку корпоративные межсетевые экраны, поддерживают соединения по протоколу SSL, дополнительная настройка сети не требуется. В результате технология SSL VPN позволяет легко обходить межсетевой экран и обеспечивать доступ из любой точки.

Все продукты для создания VPN можно условно разделить на две категории: программные и аппаратные. Программное решение для VPN — это готовое приложение, которое устанавливается на подключенном к сети отдельном компьютере. Ряд производителей поставляют VPN-пакеты, которые легко интегрируются с программными межсетевыми экранами и работают на различных операционных системах. Поскольку для построения VPN на базе специализированного программного обеспечения требуется создание отдельной компьютерной системы, такие решения обычно сложнее для развертывания, чем аппаратные. Создание подобной системы предусматривает конфигурирование сервера для распознавания данного компьютера и его операционной системы, VPN-пакета, сетевых плат для каждого соединения и специальных плат для ускорения операций шифрования. Такая работа, в ряде случаев, может оказаться затруднительной даже для опытных специалистов. С другой стороны, программные решения для VPN стоят относительно недорого. В отличие от них аппаратные VPN-решения включают в себя все, что необходимо для соединения — компьютер, частную операционную систему и специальное программное обеспечение. Развертывать аппаратные решения проще. Они включают в себя все, что необходимо для конкретных условий, поэтому время, за которое их можно запустить, исчисляется минутами или часами. Еще одним серьезным преимуществом аппаратных VPN решений является гораздо более высокая производительность. К минусам аппаратных VPN решений можно отнести их высокую стоимость. Еще один недостаток таких решений состоит в том, что управляются они отдельно от других решений по безопасности, что усложняет задачу администрирования инфраструктуры безопасности, особенно при условии нехватки сотрудников отдела защиты информации.

Существуют также интегрированные решения, в которых функции построения VPN реализуются наряду с функцией фильтрации сетевого трафика, обеспечения качества обслуживания или распределения полосы пропускания. Основное преимущество такого решения — централизованное управление всеми компонентами с единой консоли. Выбор VPN решения определяется тремя факторами: размер сети, технические навыки, которыми обладают сотрудники организации, и объем трафика, который планируется обрабатывать.

Средства VPN позволяют осуществлять безопасную передачу данных по открытым каналам связи, при этом обеспечивая надежную криптографическую защиту данных от всевозможных угроз. При этом уровень защищенности при использовании VPN средств зависит от правильности их настройки, что требует определенного квалификационного уровня системного администратора и знание технологии VPN и используемых протоколов.