Виртуальная частная сеть

VPN (англ. Virtual Private Network — виртуальная частная сеть) — логическая сеть, создаваемая поверх другой сети, например Интернет. Несмотря на то, что коммуникации осуществляются по публичным сетям с использованием небезопасных протоколов, за счёт шифрования создаются закрытые от посторонних каналы обмена информацией. VPN позволяет объединить, например, несколько офисов организации в единую сеть с использованием для связи между ними неподконтрольных каналов.

Пользователи Microsoft Windows обозначают термином VPN одну из реализаций виртуальной сети — не для создания частных сетей.

Чаще всего для создания виртуальной сети используется инкапсуляция протокола PPP в какой-нибудь другой протокол — Ethernet (провайдерами «последней мили» для предоставления выхода в Интернет.

При должном уровне реализации и использовании специального программного обеспечения сеть VPN может обеспечить высокий уровень шифрования передаваемой информации. При правильной настройке всех компонентов технология VPN обеспечивает анонимность в Сети.

Структура VPN

VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера. Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов, удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.

Классификация VPN

Классификация VPN

Классифицировать VPN решения можно по нескольким основным параметрам:

По типу используемой среды

• Защищённые

Наиболее распространённый вариант виртуальных частных сетей. C его помощью возможно создать надежную и защищенную подсеть на основе ненадёжной сети, как правило, Интернета. Примером защищённых VPN являются: IPSec, PPTP.

• Доверительные

Используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Вопросы обеспечения безопасности становятся неактуальными. Примерами подобных VPN решении являются: Multi-protocol label switching (L2TP (Layer 2 Tunnelling Protocol). (точнее сказать, что эти протоколы перекладывают задачу обеспечения безопасности на другие, например L2TP, как правило, используется в паре с IPSec).

По способу реализации

• В виде специального программно-аппаратного обеспечения

Реализация VPN сети осуществляется при помощи специального комплекса программно-аппаратных средств. Такая реализация обеспечивает высокую производительность и, как правило, высокую степень защищённости.

• В виде программного решения

Используют персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN.

• Интегрированное решение

Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.

По назначению

• Intranet VPN

Используют для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи.

• Remote Access VPN

Используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера, корпоративнoго ноутбука, смартфона или интернет-киоскa.

• Extranet VPN

Используют для сетей, к которым подключаются «внешние» пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации.

• Internet VPN

Используется для предоставления доступа к интернету провайдерами.

• Client/Server VPN

Он обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например, между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физической сети необходимо создать несколько логических сетей. Например, когда надо разделить трафик между финансовым департаментом и отделом кадров, обращающихся к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, но вместо разделения трафика, используется его шифрование.

По типу протокола

Существуют реализации виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN решений поддерживает именно его.

По уровню сетевого протокола

По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI.

Примеры VPN

• IPSec (IP security) — часто используется поверх IPv4.
• Microsoft.
• Cisco.
• L2TPv3 (Layer 2 Tunnelling Protocol version 3).

Многие крупные провайдеры предлагают свои услуги по организации VPN-сетей для бизнес-клиентов.

Литература

• Иванов М. А. Криптографические методы защиты информации в компьютерных системах и сетях. — М.: КУДИЦ-ОБРАЗ, 2001. — 368 с.
• Кульгин М. Технологии корпоративных сетей. Энциклопедия. — СПб.: Питер, 2000. — 704 с.
• Олифер В. Г., Олифер Н. А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. — СПб.: Питер, 2001. — 672 с.
• Романец Ю. В.. Тимофеев П. А., Шаньгин В. Ф. Защита информации в компьютерных системах и сетях. 2-е изд. — М: Радио и связь, 2002. −328 с.
• Столлингс В. Основы защиты сетей. Приложения и стандарты = Network Security Essentials. Applications and Standards. — М.: «Вильямс», 2002. — С. 432. — ISBN 0-13-016093-8
• Продукты для виртуальных частных сетей [Электронный документ] — http://www.citforum.ru/nets/articles/vpn_tab.shtml
• Анита Карве Реальные виртуальные возможности // LAN. — 1999.- № 7-8 http://www.osp.ru/lan/1999/07-08/107.htm
• Linux’s answer to MS-PPTP [Электронный документ] / Peter Gutmann. — http://www.cs.auckland.ac.nz/~pgut001/pubs/linux_vpn.txt
• Джоул Снайдер VPN: поделенный рынок // Сети. — 1999.- № 11 http://www.citforum.ru/nets/articles/vpn.shtml
• VPN Primer [Электронный документ] — www.xserves.com/downloads/anexgate/VPNPrimer.pdf
• PKI или PGP? [Электронный документ] / Наталья Сергеева. — http://www.citforum.ru/security/cryptography/pki_pgp/
• IPSec — протокол защиты сетевого трафика на IP-уровне [Электронный документ] / Станислав Коротыгин. — http://www.ixbt.com/comm/ipsecure.shtml
• OpenVPN FAQ [Электронный документ] — http://openvpn.net/faq.html
• Назначение и структура алгоритмов шифрования [Электронный документ] / Панасенко Сергей. — http://www.ixbt.com/soft/alg-encryption.shtml
• О современной криптографии [Электронный документ] / В. М. Сидельников. — http://www.citforum.ru/security/cryptography/crypto/
• Введение в криптографию / Под ред. В. В. Ященко. — М.: МЦНМО, 2000. — 288 с http://www.citforum.ru/security/cryptography/yaschenko/
• Подводные камни безопасности в криптографии [Электронный документ] / Bruce Schneier. — http://www.citforum.ru/security/cryptography/pitfalls.shtml
• IPSec: панацея или вынужденная мера? [Электронный документ] / Евгений Патий. — http://citforum.ru/security/articles/ipsec_standard/
• VPN и IPSec на пальцах [Электронный документ] / Dru Lavigne. — http://www.nestor.minsk.by/sr/2005/03/050315.html
• A Framework for IP Based Virtual Private Networks [Электронный документ] / B. Gleeson, A. Lin, J. Heinanen. — http://www.ietf.org/rfc/rfc2764.txt
• OpenVPN and the SSL VPN Revolution [Электронный документ] / Charlie Hosner. — http://www.sans.org/rr/whitepapers/vpns/1459.php
• Маркус Файльнер Виртуальные частные сети нового поколения // LAN.- 2005.- № 11
• Что такое SSL [Электронный документ] / Максим Дрогайцев. — http://www.ods.com.ua/win/rus/security/ssl.html
• Cryptanalysis of Microsoft’s PPTP Authentication Extensions (MS-CHAPv2) [Электронный документ] / Bruce Schneier. — http://www.schneier.com/paper-pptpv2.html
• Point to Point Tunneling Protocol (PPTP) Technical Specifications [Электронный документ] / Kory Hamzeh, Gurdeep Singh Pall, William Verthein, Jeff Taarud, W. Andrew Little. — http://infodeli.3com.com/infodeli/tools/remote/general/pptp/pptp.htm
• Райан Норманн Выбираем протокол VPN // Windows IT Pro. — 2001. — № 7 http://www.osp.ru/win2000/2001/07/010.htm
• MPLS: новый порядок в сетях IP? [Электронный документ] / Том Нолле. — http://www.emanual.ru/get/3651/
• Layer Two Tunneling Protocol «L2TP» [Электронный документ] / W. Townsley, A. Valencia, A. Rubens. — http://www.ietf.org/rfc/rfc2661.txt
• Алексей Лукацкий Неизвестная VPN // Компьютер Пресс.- 2001.- № 10 http://abn.ru/inf/compress/network4.shtml
• Первый кирпич в стене VPN Обзор устройств VPN начального уровня [Электронный документ] / Валерий Лукин. — http://www.ixbt.com/comm/vpn1.shtml
• Обзор оборудования VPN [Электронный документ] — http://www.networkaccess.ru/articles/security/vpn_hardware/
• Pure hardware VPNs rule high-availability tests [Электронный документ] / Joel Snyder, Chris Elliott. — http://www.networkworld.com/reviews/2000/1211rev.html
• VPN : Type of VPN [Электронный документ] — http://www.vpn-guide.com/type_of_vpn.htm
• KAME FAQ [Электронный документ] — http://orange.kame.net/dev/cvsweb2.cgi/kame/FAQ?rev=HEAD&content-type=text/x-cvsweb-markup
• Особенности российского рынка VPN [Электронный документ] — http://www.cnews.ru/reviews/free/security2006/articles/vpnmarket/
• Отечественные средства построения виртуальных частных сетей [?] / И. Гвоздев, В. Зайчиков, Н. Мошак, М. Пеленицын, С. Селезнев, Д. Шепелявый
• Сергей Петренко Защищенная виртуальная частная сеть: современный взгляд на защиту конфиденциальных данных // Мир Internet. — 2001. — № 2

См. также

• Оверлейная сеть
• Multi-link PPP daemon

Ссылки

• Настройка VPN в Linux
• Пример настройки OpenVPN
• Настройка L2TP VPN в Windows (рус.)
• Настройка VPN в MS Windows (рус.) (англ.)