VPN (Виртуальная частная сеть)
Аббревиатура VPN расшифровывается как Virtual Private Network – “виртуальная частная сеть”. Суть этой технологии в том, что при подключении к VPN серверу при помощи специального программного обеспечения поверх общедоступной сети в уже установленном соединении организуется зашифрованный канал, обеспечивающий высокую защиту передаваемой по этому каналу информации за счёт применения специальных алгоритмов шифрования.
В общем случае VPN – это объединение локальных сетей или отдельных машин, подключенных к сети общего пользования, в единую виртуальную (наложенную) сеть, обеспечивающую секретность и целостность передаваемой по ней информации (прозрачно для пользователей).
Использование технологии VPN необходимо там, где требуется защита корпоративной сети от воздействия вирусов, злоумышленников, просто любопытных, а также от других угроз, являющихся результатом ошибок в конфигурировании или администрировании сети.
Виртуальные частные сети (VPN), создаваемые на базе арендуемых и коммутируемых каналов связи сетей общего пользования (и, в первую очередь, Интернет), являются отличной альтернативой изолированным корпоративным сетям, причем, альтернативой, обладающей рядом несомненных преимуществ:
- низкая стоимость арендуемых каналов и коммуникационного оборудования
- развитая топология сети (широкий географический охват);
- высокая надежность;
- легкость масштабирования (подключения новых сетей или пользователей);
- легкость изменения конфигурации;
- контроль событий и действий пользователей.
Какими свойствами должна обладать VPN?
Можно выделить три фундаментальных свойства, превращающих наложенную корпоративную сеть, построенную на базе сети общего пользования, в виртуальную частную сеть:
- шифрование;
- аутентификация;
- контроль доступа.
Только реализация всех этих трех свойств позволяет защитить пользовательские машины, серверы предприятия и данные, передаваемые по физически незащищенным каналам связи, от внешних нежелательных вторжений, утечки информации и несанкционированных действий.
Сегодня технология VPN (Virtual Private Network – виртуальная частная сеть) завоевала всеобщее признание и любой администратор считает своим долгом организовать VPN-каналы для сотрудников, работающих вне офиса:
VPN отличается рядом экономических преимуществ по сравнению с другими методами удаленного доступа. Во-первых, пользователи могут обращаться к корпоративной сети, не устанавливая c ней коммутируемое соединение, таким образом, отпадает надобность в использовании модемов. Во-вторых, можно обойтись без выделенных линий.
Имея доступ в Интернет, любой пользователь может без проблем подключиться к сети офиса своей фирмы. Следует заметить, что общедоступность данных совсем не означает их незащищенность. Система безопасности VPN – это броня, которая защищает всю корпоративную информацию от несанкционированного доступа. Прежде всего, информация передается в зашифрованном виде. Прочитать полученные данные может лишь обладатель ключа к шифру. Наиболее часто используемым алгоритмом кодирования является Triple DES, который обеспечивает тройное шифрование (168 разрядов) с использованием трех разных ключей.
Подтверждение подлинности включает в себя проверку целостности данных и идентификацию пользователей, задействованных в VPN. Первая гарантирует, что данные дошли до адресата именно в том виде, в каком были посланы. Самые популярные алгоритмы проверки целостности данных – MD5 и SHA1. Далее система проверяет, не были ли изменены данные во время движения по сетям, по ошибке или злонамеренно. Таким образом, построение VPN предполагает создание защищенных от постороннего доступа туннелей между несколькими локальными сетями или удаленными пользователями.
Решения
Все продукты для создания VPN можно условно разделить на две категории – программные и аппаратные. Программное решение для VPN – как правило, готовое приложение, которое устанавливается на подключенном к сети компьютере со стандартной операционной системой. Из соображений защиты и производительности для установки VPN-приложений лучше всего выделять отдельные машины, которые должны устанавливаться на всех концах соединений. Ряд производителей, таких как компании Axent Technologies, Check Point Software Technologies и NetGuard, поставляют VPN-пакеты, которые легко интегрируются с программными межсетевыми экранами и работают на различных операционных системах, включая Windows NT/2000, Sun Solaris и Linux.
Для развертывания программные решения обычно сложнее, чем аппаратные. Создание подобной системы предусматривает конфигурирование сервера для распознавания данного компьютера и его операционной системы, VPN-пакета, сетевых плат для каждого соединения и специальных плат для ускорения операций шифрования. Такая работа сложна даже для опытных специалистов. С другой стороны, стоимость программных решений относительно ниже: в зависимости от размера сети можно приобрести VPN-пакет за 2-25 тыс. долл. (без стоимости оборудования, установки и обслуживания).
Аппаратные VPN-решения включают в себя все, что необходимо для соединения, – компьютер, частную (как правило) операционную систему и специальное программное обеспечение. Ряд компаний, в том числе Cisco Systems, NetScreen и Sonic, предлагают целый спектр решений, которые могут масштабироваться в зависимости от количества одновременных VPN-соединений, с которыми планируется работать, и ожидаемого объема трафика. Развертывать аппаратные решения значительно проще, и на их запуск требуется всего несколько часов. Еще одним серьезным преимуществом аппаратных VPN-решений является более высокая производительность. В них используются специальные печатные платы и операционные системы, оптимизированные под данную задачу и освобожденные от необходимости поддерживать другие функции. К минусам аппаратных решений относится их высокая стоимость. Диапазон цен – от 10 тыс. долл. за устройство для удаленного офиса до сотен тысяч долларов за VPN предприятия.
Выбор решения зависит от размера сети и объема трафика. Не надо забывать, что шифрование требует существенных вычислительных ресурсов и может перегружать компьютер, когда несколько VPN-соединений одновременно участвуют в передаче данных
Объединение информационных структур и телефонных сетей удаленных офисов на основе технологий VPN и VoIP
Динамично-развивающийся бизнес всегда стремится увеличить свое присутствие на рынке, выйти за рамки одной географической области, создать свои представительства в регионах.
Одним из критичных факторов здесь является оперативность обмена информацией, простота доступа к данным.
Компания может получить неоспоримое конкурентное преимущество, используя новейшие технологии передачи данных и голоса для построения конвергентной, единой корпоративной сети.
Мы предлагаем комплексное законченное решение по объединению информационных структур и телефонных сетей удаленных офисов на основе технологий VPN и VoIP.
Решение и описание технологии
Стоимость трафика Интернет снижается с каждым днем, уже не имеет смысла использовать дорогостоящие выделенные каналы связи, которые ставят компании в зависимость от одного оператора.
Технология VPN создает виртуальные каналы связи через общедоступные сети, так называемые «VPN-туннели». Трафик, проходящий через туннели, связывающие удаленные офисы, шифруется. Злоумышленник, перехвативший шифрованную информацию, не сможет просмотреть ее, так как не имеет ключа для расшифровки.
Для пользователей VPN-туннели абсолютно прозрачны. К примеру, сотрудник представительства в Санкт-Петербурге получает доступ к данными, находящимся в Москве также просто, как и к данным у себя в офисе.
Частые и продолжительные звонки между центральным офисом и представительствами приводят к большим и неоптимизированным расходам на междугородную связь.
Технология Voice-over-IP (VoIP) позволяет передать голосовой трафик по сетям Интернет, минуя дорогостоящих традиционных операторов. Voice-enabled-шлюзы CISCO позволяют вставить голосовые пакеты c офисных АТС в общий IP-трафик, передаваемый между офисами компании.
Преимущества использования технологий VPN и VoIP
С помощью технологии VPN можно связать в единую локальную сеть все удаленные офисы компании, обеспечив легкий способ доступа к данным в сочетании с безопасностью.
Кроме сокращения расходов на междугородние переговоры внедряется и набор по коротким номерам. Все удаленные офисы компании вписываются в общую корпоративную телефонную сеть.
В полностью конвергентном решении с использованием голосовых шлюзов CISCO в связке с офисными АТС появляется возможность совершать телефонные звонки с помощью VoIP не только между офисами, но и между телефонными сетями данных городов.
Схема подключения в корпоративную сеть
Преимущества технологии VPN
VPN служит для организации прямого, безопасного соединения через общедоступный Интернет между клиентами (обычно конечным пользователем и корпоративным офисом) или между двумя ЛВС. Благодаря VPN удаленные пользователи могут обращаться к серверам предприятия и связываться с различными офисами своей компании. VPN может применяться как базовая архитектура обеспечения безопасности для экстрасети.
Для VPN не нужны выделенные линии, поэтому пользоваться ею может каждый, кто располагает доступом к Интернету. После того как соединение установлено, сотрудникам может предоставляться доступ ко всем ресурсам сети – так, словно они присутствуют в офисе. Самое большое достоинство технологии заключается в том, что, несмотря на общедоступную инфраструктуру, прямое соединение VPN, иногда именуемое “туннелем”, защищено столь надежно, что украсть данные или получить несанкционированный доступ к территориально-распределенной сети становится очень трудно.
Сети VPN обладают рядом экономических преимуществ перед другими методами дистанционного доступа. Пользователи VPN могут обращаться к корпоративной сети, не устанавливая коммутируемое соединение, что позволяет сократить численность модемов или вообще отказаться от них. Можно обойтись и без выделенных линий, соединяющих удаленные офисы. Кроме того, повышается производительность труда, так как сотрудники могут пользоваться самыми быстрыми линиями связи, имеющимися в их распоряжении, вместо того чтобы тратить время на установление коммутируемого соединения через банк модемов. В результате, расходы компаний на организацию VPN окупаются уже через шесть – девять месяцев.
Преимущества технологии вызвали бум на рынке средств VPN. По данным недавнего обследования, проведенного журналом CIO Insight, свыше 56% компаний с числом сотрудников до 1000 человек и 70% более крупных предприятий уже располагают VPN или инсталлируют их.
Проекты, завершенные в данной области
- Создание системы защищенного канала сбора информации датчиков газораспределительных пунктов (Трест “Ухтамежрайгаз” ОАО “Комигаз”)
Оборудование: GPRS, Cisco, IPSEC.
Решённая задача: Создание системы защищенного канала сбора информации датчиков газораспределительных пунктов.
Сервисы: СКС.
- Объединение офисов ИП Сазонов А.Ю.
Оборудование: Cisco, IPSEC.
Решённая задача: Объединено 6 филиалов.
Сервисы: СКС.
- Объединение офисов ИП Гольдштейн Г.Д.
Оборудование: Cisco, Dlink.
Решённая задача: Объединено 3 филиала.
Сервисы: Программные клиенты для мобильных сотрудников.