Удалённый доступ к частной сети через Интернет с помощь технологии VPN
| Категория реферата: Рефераты по информатике, программированию
| Теги реферата: налоги в россии, отчет по практике
| Добавил(а) на сайт: Chupalov.
Предыдущая страница реферата | 1 2 3 4 5 | Следующая страница реферата
Как видно из описания, VPN-агенты создают каналы между защищаемыми
сетями, которые обычно называют “туннелями”. И действительно, они “прорыты”
через Интернет от одной сети к другой; циркулирующая внутри информация
спрятана от чужих глаз.
[pic]
Рис.3 Туннелирование и фильтрация
Кроме того, все пакеты “фильтруются” в соответствии с настройками.
Таким образом, все действия VPN-агентов можно свести к двум механизмам:
созданию туннелей и фильтрации проходящих пакетов.
Совокупность правил создания туннелей, которая называется “политикой безопасности”, записывается в настройках VPN-агентов. IP-пакеты направляются в тот или иной туннель или отбрасываются после того, как будут проверены:
. IP-адрес источника (для исходящего пакета - адрес конкретного компьютера защищаемой сети);
. IP-адрес назначения;
. протокол более высокого уровня, которому принадлежит данный пакет
(например, TCP или UDP);
. номер порта, с которого или на который отправлена информация
(например, 1080).
1.6 Практическое применение
Относительно применения, можно выделить четыре основных варианта построения сети VPN, которые используются во всем мире.
. Вариант «Intrenet VPN», который позволяет объединить в единую защищенную сеть несколько распределенных филиалов одной организации, взаимодействующих по открытым каналам связи. Именно этот вариант получил широкое распространение во всем мире, и именно его в первую очередь реализуют компании-разработчики.
. Вариант «Client/Server VPN», который обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда необходимо создать в одной физической, несколько логических сетей. Например, когда требуется разделить трафик между финансовым департаментом и отделом кадров, которые обращаются к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, которая действует на уровне выше канального.
. Вариант «Extranet VPN» предназначен для тех сетей, куда подключаются так называемые пользователи со стороны, уровень доверия к которым намного ниже, чем к своим сотрудникам.
. Вариант «Remote Access VPN», позволяющий реализовать защищенное взаимодействие между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который подключается к корпоративным ресурсам из дома (домашний пользователь) или через notebook (мобильный пользователь). Данный вариант отличается тем, что удаленный пользователь, как правило, не имеет «статического» адреса и подключается к защищаемому ресурсу не через выделенное устройство
VPN, а напрямую с собственного компьютера, где и устанавливается программное обеспечение, реализующее функции VPN. Этим вариантом мы и воспользуемся.
1.7 Безопасность
Естественно, никакая компания не хотела бы открыто передавать в
Интернет финансовую или другую конфиденциальную информацию. Каналы VPN
защищены мощными алгоритмами шифрования, заложенными в стандарты протокола
безопасности IРsec. IPSec (Internet Protocol Security - стандарт, выбранный
международным сообществом, группой IETF - Internet Engineering Task Force)
создает основы безопасности для Интернет-протокола (IP), незащищенность
которого долгое время являлась притчей во языцех. Протокол Ipsec
обеспечивает защиту на сетевом уровне и требует поддержки стандарта Ipsec
только от общающихся между собой устройств по обе стороны соединения. Все
остальные устройства, расположенные между ними, просто обеспечивают трафик
IP-пакетов.
Способ взаимодействия лиц, использующих технологию Ipsec, принято
определять термином "защищенная ассоциация" - Security Association (SA).
Защищенная ассоциация функционирует на основе соглашения, заключенного
сторонами, которые пользуются средствами Ipsec для защиты передаваемой друг
другу информации. Это соглашение регулирует несколько параметров: IP-адреса
отправителя и получателя, криптографический алгоритм, порядок обмена
ключами, размеры ключей, срок службы ключей, алгоритм
аутентификации.
Другие стандарты включают протокол PPTP (Point to Point Tunneling
Protocol), развиваемый Microsoft, L2F (Layer 2 Forwarding), развиваемый
Cisco, - оба для удаленного доступа. Microsoft и Cisco работают совместно с
IETF, чтобы соединить эти протоколы в единый стандарт L2P2 (Layer 2
Tunneling Protocol) с целью использования IPSec для туннельной
аутентификации, защиты частной собственности и проверки целостности.
Проблема состоит в том, чтобы обеспечить приемлемое быстродействие сети при обмене шифрованной информацией. Алгоритмы кодирования требуют значительных вычислительных ресурсов процессора, иногда в 100 раз больших, чем при обычной IP-маршрутизации. Чтобы добиться необходимой производительности, надо позаботиться об адекватном повышении быстродействия, как серверов, так и клиентских ПК. Кроме того, есть специальные шлюзы с особыми схемами, которые заметно ускоряют шифрование.
IT-менеджер может выбирать конфигурацию виртуальной частной сети в
зависимости от конкретных потребностей. Например, работающему на дому
сотруднику может быть предоставлен ограниченный доступ к сети, а менеджеру
удаленного офиса или руководителю компании - широкие права доступа. Один
проект может ограничиваться лишь минимальным (56-разрядным) шифрованием при
работе через виртуальную сеть, а финансовая и плановая информация компании
требует более мощных средств шифрования - 168-разрядных.
1.8 Защита от внешних и внутренних атак
К сожалению, приходится отметить, что средства построения VPN не
являются полноценными средствами обнаружения и блокирования атак. Они могут
предотвратить ряд несанкционированных действий, но далеко не все
возможности, которые могут использовать хакеры для проникновения в
корпоративную сеть. Они не могут обнаружить вирусы и атаки типа "отказ в
обслуживании" (это делают антивирусные системы и средства обнаружения
атак), они не могут фильтровать данные по различным признакам (это делают
межсетевые экраны) и т.д. На это мне можно возразить, что эти опасности не
страшны, так как VPN не примет незашифрованный трафик и отвергнет его.
Однако на практике это не так. Во-первых, в большинстве случае средство
построения VPN используется для защиты лишь части трафика, например, направленного в удаленный филиал. Остальной трафик (например, к публичным
Web-серверам) проходит через VPN-устройство без обработки. А во-вторых, перед лицом статистики склоняют головы даже самые отъявленные скептики. А
статистика утверждает, что до 80% всех инцидентов, связанных с
информационной безопасностью, происходит по вине авторизованных
пользователей, имеющих санкционированный доступ в корпоративную сеть. Из
чего следует вывод, что атака или вирус будут зашифрованы наравне с
безобидным трафиком.
1.9 Производительность
Производительность сети — это достаточно важный параметр, и на любые средства, способствующие его снижению, в любой организации смотрят с подозрением. Не являются исключением и средства построения VPN, которые создают дополнительные задержки, связанные с обработкой трафика, проходящего через VPN-устройство. Все задержки, возникающие при криптографической обработке трафика, можно разделить на три типа:
. Задержки при установлении защищенного соединения между VPN- устройствами.
. Задержки, связанные с зашифровыванием и расшифровыванием защищаемых данных, а также с преобразованиями, необходимыми для контроля их целостности.
Рекомендуем скачать другие рефераты по теме: рефераты бесплатно скачать, реферат значение.
Категории:
Предыдущая страница реферата | 1 2 3 4 5 | Следующая страница реферата