Технология VPN виртуални частни мрежи, сигурността на информацията
Задачата на изпълнение на корпоративната мрежа на компанията в рамките на една сграда може да бъде решен сравнително лесно. Въпреки това, днес инфраструктура на компанията е географски отдалечени офиси на компанията. Изпълнение на сигурна корпоративна мрежа в този случай задачата е по-сложна план. В такива случаи често използват защитен сървър за VPN.
създаване на виртуална сигурна концепция VPN мрежи
Концепцията за създаването на виртуална VPN мрежи на една проста идея - ако има глобална мрежа от 2 възли за обмен на данни между тях трябва да се създаде виртуален криптиран тунел за изпълнение на целостта и поверителността на пренос на данни през отворени мрежи.
Основната концепция на мрежата и VPN функции
Ако има комуникация между корпоративните LAN и интернет има заплахи за информационната сигурност са два вида:
- неоторизиран достъп до мрежови ресурси през входа
- неоторизиран достъп до информация за транзитно преминаване през отворения интернет
Сигурността на данните по време на предаване по открити канали се основава на прилагането на виртуални частни мрежи VPN. Виртуална VPN защитена мрежа се нарича Ethernet връзка и индивидуални компютри чрез обществена мрежа в един виртуален корпоративна мрежа. А VPN позволява използване на VPN тунели създават връзки между офиси, офиси и отдалечени потребители, докато безопасно пренасящи данни (Фигура 1).
VPN тунел е връзка, простираща се през отворена мрежа, където транспортирал криптографски защитена пакети от данни. Декларация когато предаване на VPN тунел се осъществява на следните цели:
- криптографски криптиране на данните, които се транспортират
- Потребителите удостоверяване VLAN
- проверка на целостта и автентичността на данните предавани
VPN-Client е софтуер или хардуер, система, в която на базата на персонален компютър. Неговата мрежа софтуер се променя за изпълнението на криптиране на трафика и удостоверяване.
VPN сървър - може да бъде и софтуер или хардуер, система, която изпълнява функциите на сървъра. Той прилага за защита на сървъри от неоторизиран достъп от други мрежи, както и организирането на виртуална мрежа между клиенти, сървъри и шлюзове.
VPN Gateway Security - устройство за мрежа, която е свързана с две мрежи и внедрява удостоверяване и шифроване функции за различни хостове, които са зад него.
Същността на тунела е за капсулиране (опаковка) данни на новия пакет. долен слой протокол пакет се поставя в областта протокол пакети данни от по-висока или на същото ниво (Фигура 2). Самият процес на капсулиране, не предпазва от изкривяване или неоторизиран достъп, тя дава възможност за защита на поверителността на капсулираните данни.
Ако пристигането на пакета в крайната си точка на виртуален канал се екстрахира пакет вътрешен източник се декриптира и използва по-нататък на вътрешната мрежа (фиг.3).
Опции за създаване на виртуални частни канали
Когато създадете VPN, има две популярни начини (Фигура 4):
- виртуален сигурен канал между локални мрежи (LAN към LAN канал)
- виртуален сигурен канал между локалната мрежа и (канал клиент-LAN) на възела
Първият метод на свързвания позволява да замени скъпите наети линии между отделните възли и да се създаде постоянна работна сигурни канали между тях. Тук портал за сигурност действа като посредник между локалната мрежа и тунела. Много предприятия изпълняват оглед VPN, за да се предотврати или да Frame Relay.
Втората схема е необходимо да се свържете с мобилна или отдалечени потребители. инициира създаването на клиента на тунела.
От гледна точка на сигурността на информацията най-добрият вариант е защитен тунел между крайните точки на връзката. Въпреки това, тази опция води до децентрализацията на управлението на ресурсите и излишък за VPN трябва да се постави върху всеки компютър в мрежата. Ако в локалната мрежа, която е виртуален не изисква защита на трафик, а след това като крайна точка с защитна стена или маршрутизатор в същата мрежа може да бъде страничен LAN.
Методи за осигуряването на безопасност на VPN
За изпълнение на сигурността на информацията в транспортирани виртуални частни мрежи, трябва да се реши следния проблем на сигурността на мрежата:
- взаимна автентикация на потребителите, когато се свързвате
- изпълнение неприкосновеността на личния живот, автентичността и целостта на данните, които се транспортират
- контрол на достъпа
- периметър мрежова сигурност и откриване на проникване
- управление на мрежовата сигурност
VPN-решения за защитени мрежи
Класификация на VPN
Въз основа на глобалния интернет може да се прилага на почти всички видове трафик. Има различни схеми за VPN класификация. Най-честата схема класификация има три качества:
- оперативно ниво на модела OSI
- техническата архитектура VPN решения
- VPN метод изпълнение технология
Secure канал - канал между два мрежови възли по даден виртуален път. Такъв канал може да бъде създаден с помощта на системата на базата методи в различни нива OSI модел (Фигура 5).
Може да забележите, че VPN са на достатъчно ниски нива. Причината е, че по-ниската стека внедри сигурни методи на канала, толкова по-лесно е да ги прилагат прозрачни за приложения. за предаване на данни и мрежови слой зависимостта на приложения от протоколи за сигурност изчезва. Ако бъдат приложени, за да се защити информацията протокол от по-горните нива, процесът на защита не зависи от мрежова технология, която може да се счита за плюс. Въпреки това, приложението започва да зависи от конкретния протокол за сигурност.
VPN слоя на връзката. Методи за такива нива на трафика позволяват капсулиране на третия слой (и по-висока) тунела и да се създаде виртуална точка до точка. Те включват VPN продукти на основата на L2F протокол, PPTP, L2TP.
VPN мрежа слой. VPN продукти такова ниво прилагат IP капсулиране IP. Например използва IPSec протокол.
VPN сесия слой. Някои VPN прилагане на подхода "Канал посредници", като метод за работа на транспортния слой и релета трафик от защитената мрежа към обществената мрежа, интернет отделно за всеки контакт.
Класификация на VPN архитектура технически решения
- в рамките на VPN - необходим за прилагане на сигурна работа между отделите в компанията
- са необходими за изпълнението на сигурен отдалечен достъп до корпоративните информационни ресурси - VPN за отдалечен достъп
- междуфирмени VPN - задължително между отделни части на бизнеса е разпръсната в географско
метод VPN класификация на техническото изпълнение
- Въз основа VPN маршрутизатори - задачи за защита падат на рутер устройство
- Въз основа VPN защитна стена - задачи за сигурност да паднат на защитна стена устройство
- VPN-базирани софтуерни решения - използва софтуер, който печели в гъвкавост и конфигурация, но губи в качеството
- VPN на базата на специализирани хардуерни устройства - устройства, където криптиране се изпълнява от специални индивидуални чипове, реализира висока производителност за големи пари
- Тристепенна признание TCP - SYN и ACK флагове
- VLANs и приоритизиране на трафика
- технология банкомат
- Организация гръбнак
- FDDI мрежи
- DTE DCE устройство за свързване и синхронизация
- излъчване на съобщения
- Relay мрежа Frame