Виртуальные частные сети (Virtual Private Network – VPN) получили широкое распространение в конце 90-х годов. В настоящее время они применяются главным образом в качестве альтернативы сетям удаленного доступа и международным сетям и являются одним из ярких применений криптографических средств защиты для обеспечения безопасности обмена информацией по общедоступным сетям передачи данных.
Основная причина появления и распространения VPN заключается в увеличении спроса на защищенный обмен информацией между филиалами компаний и фирм, расположенных по всему миру, с одной стороны, и в необходимости снижения затрат на пользование услугами связи – с другой. VPN обладают относительно низкой стоимостью: компаниям дешевле воспользоваться услугами провайдеров Internet по созданию и независимому сопровождению распределенных корпоративных сетей, чем тратить деньги на построение собственных глобальных сетей.
Проблема защиты данных, передаваемых по глобальным IP-сетям, возникла давно. Первые средства защиты появились практически сразу после того, как уязвимость IP-сетей дала о себе знать на практике. Характерными примерами разработок в этой области могут служить PGP/Web-of-Trust для шифрования сообщений электронной почты, Secure Sockets Layer (SSL) для защиты Web-трафика, Secure SHell (SSH) для защиты сеансов telnet и процедур передачи файлов.
Общим недостатком подобных широко распространенных решений является их "привязанность" к определенному типу приложений, а значит, неспособность удовлетворить тем разнообразным требованиям к системам сетевой защиты, которые предъявляют крупные корпорации или Internet-провайдеры. Самый радикальный способ преодолеть указанное ограничение сводится к тому, чтобы строить систему защиты не для отдельных классов приложений, а для сети в целом. Применительно к IP-сетям это означает, что системы защиты должны действовать на сетевом и канальном уровнях модели OSI. Воплощением этой концепции и стали виртуальные частные сети.
Виртуальная частная сеть – соединение, установленное между двумя или несколькими точками доступа в общедоступную часть Internet и защищенное от "прослушивания" и модификации с помощью криптографических средств шифрования и аутентификации.
Рис. 1. Структура виртуальной частной сети
Главная черта технологии VPN – использование сети Internet в качестве магистрали для передачи корпоративного IP-трафика. Сети VPN решают задачи подключения корпоративного пользователя к удаленной сети и соединения нескольких ЛВС. Структура VPN включает в себя (рис. 1):
каналы глобальной сети, служащие инфраструктурой для передачи информации;
защищенные протоколы, описывающие процедуры шифрования информации, алгоритмы аутентификации и обмена ключами;
шлюзы VPN – точки доступа в сеть, являющиеся границей между корпоративной и глобальной сетью и непосредственно реализующие обработку трафика.
Для объединения удаленных ЛВС в виртуальную сеть используются так называемые виртуальные выделенные каналы. Для организации подобных соединений применяется механизм туннелирования. Инициатор туннеля инкапсулирует пакеты локальной сети (в том числе пакеты немаршрутизируемых протоколов) в IP-пакеты, содержащие в заголовке адреса инициатора и терминатора туннеля. Терминатор туннеля извлекает исходный пакет. При этом решение проблемы конфиденциальности и целостности данных, которое не обеспечивается простым туннелированием, достигается применением шифрования.
Туннелирование – метод передачи данных, используемый в основном в VPN, который заключается в том, что IP-пакеты, передаваемые в общедоступную сеть, полностью шифруются и заключаются как данные в обычные IP-пакеты, которые соответствующим образом обрабатываются и расшифровываются получателем.
Возможность построения VPN на оборудовании и ПО различных производителей достигается внедрением некоторого стандартного механизма, реализующего, помимо совместимости с глобальной сетью, аутентификацию пользователей, шифрование данных, распространение и генерацию ключей. Наиболее распространенными являются следующие протоколы:
1. Internet Protocol Security (IPSec), разработанный рабочей группой IP Security Working Group в составе консорциума IETF. Этот протокол определяет методы идентификации при инициализации туннеля (протокол Authentication Header, AH), методы шифрования в конечных точках туннеля (протокол Encapsulated Security Payload, ESP) и механизмы обмена и управления ключами шифрования между этими точками (протокол Internet Key Exchange, IKE). Из недостатков этого протокола следует отметить его ориентированность исключительно на IP-протокол, поскольку он разрабатывался в рамках проекта новой версии протокола IPv6, но насущная необходимость в защите IP-трафика привела к решению дополнить существующий уже протокол IPv4 средствами защиты.
2. Point-to-Point Tunneling Protocol (PPTP), разработанный компаниями Ascend Communications и 3Com и дополненный компанией Cisco Systems (Layer-2 Tunneling Protocol – L2TP). Он является расширением протокола канального уровня PPP, используемого, в частности, для передачи IP-пакетов при доступе в Internet по коммутируемому соединению. Достоинством данного протокола является то, что он работает на втором уровне ЭМВОС и не привязан жестко к протоколу IP, его поддержка встроена во многие продукты в том числе ОС Windows NT. Однако имеются и недостатки в виде меньших, по сравнению с IPSec, функциональных возможностей (например, PPTP не определяет метод шифрования).
С технической точки зрения в одной сети можно одновременно задействовать оба протокола, правда, скорее для обеспечения избыточности средств информационной защиты. Выбор PPTP оправдан в тех случаях, когда первостепенной является задача транспортировки трафика, отличного от IP. Если же главным требованием остается высокая гибкость и масштабируемость, предпочтение стоит отдать архитектуре IPSec.
Существуют различные варианты построения VPN. При выборе решения необходимо учитывать факторы производительности уже имеющихся средств, которые могут быть задействованы при построении VPN (например, маршрутизатора или брандмауэра) и объем денежных средств, выделенных на решение задачи. Опыт показывает, что для построения VPN лучше использовать специализированное оборудование, однако при ограниченных средствах можно обратить внимание на чисто программное решение.
Виртуальные частные сети можно строить на базе:
- сетевой операционной системы;
- маршрутизаторов;
- брандмауэров;
- специализированного программного обеспечения;
- специализированного оборудования.
Рассмотрим коротко перечисленные способы.
Брандмауэры большинства производителей поддерживают туннелирование и шифрование данных. В основе лежит простое соображение: поскольку трафик проходит через брандмауэр, то почему бы его заодно не зашифровать. К программному обеспечению собственно брандмауэра добавляется модуль шифрования. Недостатком данного метода можно назвать зависимость производительности от аппаратного обеспечения, на котором работает брандмауэр. При использовании брандмауэров на базе ПК надо помнить, что подобное решение подходит только для небольших сетей с небольшим объемом передаваемой информации.
Аналогичный принцип использует другой способ построения VPN, предполагающий применение для создания защищенных каналов маршрутизаторов. Поскольку вся информация, исходящая из локальной сети, проходит через маршрутизатор, то целесообразно возложить на него и задачи шифрования.
Наиболее экономичным является подход к построению VPN, основанный на чисто программных решениях. При его реализации используется специализированное ПО, работающее на выделенном компьютере и в большинстве случаев выполняющее функции proxy-сервера. Компьютер с таким программным обеспечением может быть расположен за брандмауэром.
Решения на базе сетевой ОС рассмотрим на примере операционных систем Microsoft.
Для создания VPN в ОС Windows NT 4.0 Server Microsoft использует протокол PPTP, интегрированный в службу удаленного доступа RAS. В работе VPN на базе Windows NT используется база пользователей, хранящаяся в контроллере домена (PDC). При подключении к PPTP-серверу пользователь авторизуется по протоколам PAP, CHAP или MS-CHAP. Передаваемые пакеты инкапсулируются в пакеты GRE/PPTP. Для шифрования используется нестандартный протокол Microsoft Point-to-Point Encryption c 40- или 128-битным ключом, получаемым в момент установки соединения.
В новейшей ОС Windows 2000 Server Microsoft реализовала семейство протоколов IPSec, также использующее для авторизации сведения из базы данных пользователей Active Directory и структуры политики безопасности. Данное решение очень привлекательно для организаций, использующих Windows в качестве корпоративной ОС. Необходимо отметить, что стоимость такого решения значительно ниже стоимости прочих решений.
Вариант построения VPN на специальных устройствах, являющийся наиболее дорогостоящим, может быть использован в сетях, требующих высокой производительности.
