VPN

VPN технология

VPN (англ. Virtual Private Network — виртуальная частная сеть^[1]) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).

В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.

Уровни реализации

Обычно VPN развёртывают на уровнях не выше сетевого, так как применение криптографии на этих уровнях позволяет использовать в неизменном виде транспортные протоколы (такие как TCP, UDP).

Пользователи Microsoft Windows обозначают термином VPN одну из реализаций виртуальной сети — PPTP, причём используемую зачастую не для создания частных сетей.

Чаще всего для создания виртуальной сети используется инкапсуляция протокола PPP в какой-нибудь другой протокол — IP (такой способ использует реализация PPTP — Point-to-Point Tunneling Protocol) или Ethernet (PPPoE) (хотя и они имеют различия). Технология VPN в последнее время используется не только для создания собственно частных сетей, но и некоторыми провайдерами «последней мили» на постсоветском пространстве для предоставления выхода в Интернет.

При должном уровне реализации и использовании специального программного обеспечения сеть VPN может обеспечить высокий уровень шифрования передаваемой информации. При правильной настройке всех компонентов технология VPN обеспечивает анонимность в Сети.

Структура VPN

VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера. Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов, удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.

Классификация VPN

Классификация VPN

Классифицировать VPN решения можно по нескольким основным параметрам:

По степени защищенности используемой среды

Защищённые

Наиболее распространённый вариант виртуальных частных сетей. С его помощью возможно создать надежную и защищенную сеть на основе ненадёжной сети, как правило, Интернета. Примером защищённых VPN являются: IPSec, OpenVPN и PPTP.

Доверительные

Используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Проблемы безопасности становятся неактуальными. Примерами подобных VPN решений являются: Multi-protocol label switching (MPLS) и L2TP (Layer 2 Tunnelling Protocol) (точнее будет сказать, что эти протоколы перекладывают задачу обеспечения безопасности на другие, например L2TP, как правило, используется в паре с IPSec).

По способу реализации

В виде специального программно-аппаратного обеспечения

Реализация VPN сети осуществляется при помощи специального комплекса программно-аппаратных средств. Такая реализация обеспечивает высокую производительность и, как правило, высокую степень защищённости.

В виде программного решения

Используют персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN.

Интегрированное решение

Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.

По назначению

Intranet VPN

Используют для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи.

Remote Access VPN

Используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера, корпоративного ноутбука, смартфона или интернет-киоскa.

Extranet VPN

Используют для сетей, к которым подключаются «внешние» пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации.

Internet VPN

Используется для предоставления доступа к интернету провайдерами, обычно если по одному физическому каналу подключаются несколько пользователей. Протокол PPPoE стал стандартом в ADSL-подключениях.

L2TP был широко распространён в середине 2000-х годов в домовых сетях: в те времена внутрисетевой трафик не оплачивался, а внешний стоил дорого. Это давало возможность контролировать расходы: когда VPN-соединение выключено, пользователь ничего не платит. В настоящее время (2012) проводной интернет дешёвый или безлимитный, а на стороне пользователя зачастую есть маршрутизатор, на котором включать-выключать интернет не так удобно, как на компьютере. Поэтому L2TP-доступ отходит в прошлое.

Client/Server VPN

Он обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например, между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физической сети необходимо создать несколько логических сетей. Например, когда надо разделить трафик между финансовым департаментом и отделом кадров, обращающихся к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, но вместо разделения трафика, используется его шифрование.

По типу протокола

Существуют реализации виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN решений поддерживает именно его. Адресация в нём чаще всего выбирается в соответствии со стандартом RFC5735, из диапазона Приватных сетей TCP/IP

По уровню сетевого протокола

По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI.

Примеры VPN

• IPSec (IP security) — часто используется поверх IPv4.
• PPTP (point-to-point tunneling protocol) — разрабатывался совместными усилиями нескольких компаний, включая Microsoft.
• PPPoE (PPP (Point-to-Point Protocol) over Ethernet)
• L2TP (Layer 2 Tunnelling Protocol) — используется в продуктах компаний Microsoft и Cisco.
• L2TPv3 (Layer 2 Tunnelling Protocol version 3).
• OpenVPN SSL VPN с открытым исходным кодом, поддерживает режимы PPP, bridge, point-to-point, multi-client server
• Hamachi — программа для создания одноранговой VPN-сети.

Многие крупные провайдеры предлагают свои услуги по организации VPN-сетей для бизнес-клиентов.

См. также

• Оверлейная сеть
• Dynamic Multipoint Virtual Private Network
• Hamachi
• Multi-link PPP daemon
• OpenVPN

Примечания

1. ↑ Устоявшийся термин; правильнее «виртуальная закрытая сеть». Слово private, в числе прочего, имеет значение «персональный», «секретный», «закрытый», и негосударственная (частная) собственность тут ни к чему.

Литература

• Иванов М. А. Криптографические методы защиты информации в компьютерных системах и сетях. — М.: КУДИЦ-ОБРАЗ, 2001. — 368 с.
• Кульгин М. Технологии корпоративных сетей. Энциклопедия. — СПб.: Питер, 2000. — 704 с.
• Олифер В. Г., Олифер Н. А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. — СПб.: Питер, 2001. — 672 с.
• Романец Ю. В.. Тимофеев П. А., Шаньгин В. Ф. Защита информации в компьютерных системах и сетях. 2-е изд. — М: Радио и связь, 2002. −328 с.
• Столлингс В. Основы защиты сетей. Приложения и стандарты = Network Security Essentials. Applications and Standards. — М.: «Вильямс», 2002. — С. 432. — ISBN 0-13-016093-8

Ссылки

• A Framework for IP Based Virtual Private Networks [Электронный документ] / B. Gleeson, A. Lin, J. Heinanen. — http://www.ietf.org/rfc/rfc2764.txt
• VPN и IPSec на пальцах [Электронный документ] / Dru Lavigne. — http://www.nestor.minsk.by/sr/2005/03/050315.html
• Сергей Петренко Защищенная виртуальная частная сеть: современный взгляд на защиту конфиденциальных данных // Мир Internet. — 2001. — № 2
• Маркус Файльнер Виртуальные частные сети нового поколения // LAN.- 2005.- № 11
• Алексей Лукацкий Неизвестная VPN // Компьютер Пресс.- 2001.- № 10 http://abn.ru/inf/compress/network4.shtml
• Александр Барсков, Говорим WAN, подразумеваем VPN / «Журнал сетевых решений/LAN», № 06, 2010 http://www.osp.ru/lan/2010/06/13002982/
• Рынок IP VPN в России // Обзор состояния рынка — http://www.russian-telecoms.net/index.php?option=com_content&view=article&id=25677:-2009-ip-vpn-2009-2012-&catid=42:-russian-telecoms&Itemid=60

Обзоры продуктов для построения VPN

• Джоул Снайдер VPN: поделенный рынок // Сети. — 1999.- № 11 http://www.citforum.ru/nets/articles/vpn.shtml
• Райан Норманн Выбираем протокол VPN // Windows IT Pro. — 2001. — № 7 http://www.osp.ru/win2000/2001/07/175027/
• Первый кирпич в стене VPN Обзор устройств VPN начального уровня [Электронный документ] / Валерий Лукин. — http://www.ixbt.com/comm/vpn1.shtml
• Обзор оборудования VPN [Электронный документ] — http://www.networkaccess.ru/articles/security/vpn_hardware/
• Pure hardware VPNs rule high-availability tests [Электронный документ] / Joel Snyder, Chris Elliott. — http://www.networkworld.com/reviews/2000/1211rev.html
• Особенности российского рынка VPN [Электронный документ] — http://www.cnews.ru/reviews/free/security2006/articles/vpnmarket/
• Отечественные средства построения виртуальных частных сетей [?] / И. Гвоздев, В. Зайчиков, Н. Мошак, М. Пеленицын, С. Селезнев, Д. Шепелявый

Обзоры рынка VPN

• Мировой рынок MPLS VPN по данным Inonetics Research http://www.infonetics.com/pr/2011/Ethernet-and-IP-MPLS-VPN-Services-Market-Highlights.asp
• Российский рынок MPLS VPN по данным Директ ИНФО http://www.directinfo.net/index.php?option=com_content&view=article&id=131%3A2010-07-06-13-57-09&catid=1%3A2008-11-27-09-05-45&Itemid=84&lang=ru

Для улучшения этой статьи желательно?: Переработать оформление в соответствии с правилами написания статей. Проставив сноски, внести более точные указания на источники. Викифицировать статью.