КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Построение виртуальной частной сети
|
|
|
|
Средства защиты информации, дополняющие виртуальные частные сети
Современные VPN-сети строятся на основе международных стандартов протокола IPSec и достижений в области инфрастуктуры открытых ключей (Public Key Infrastructure, PKI или ИОК).
Ни одна криптозащита, построенная на открытой криптографии, не может существовать без ИОК, в задачу которой входит:
· создание и подпись сертификатов, что требует наличия иерархической системы нотариусов, так как пользователь VPN должен получать свой сертификат по месту работы, а не ездить за ним, например, в центральный офис или в какую-то иную организацию;
· передача сертификатов на электронный носитель пользователя (смарт-карта, e-token) и публикация их на сервере сертификатов с тем, чтобы любой участник VPN мог легко получить сертификат своего партнера;
· регистрация фактов компрометации и публикация "черных" списков отозванных сертификатов.
VPN должна взаимодействовать с системой ИОК в целом ряде точек (передача сертификата на подпись, получение сертификата и "черного" списка при установлении взаимодействия и т.п.). Очевидно, что это взаимодействие с чуждой по отношению к VPN системой может осуществляться только при условии полной поддержки международных стандартов, которым удовлетворяет большинство современных архитектур ИОК.
Следующим важным элементом интеграции систем является наличие криптоинтерфейса. Любая система, использующая криптооперации (VPN, защищенная почта, программы шифрования дисков и файлов, ИОК), должна получать криптосервис из сертифицированных соответствующими органами модулей, созданных специализирующимися в этом компаниями. Опасно доверяться поставщику VPN, создавшему свой собственный, никому не известный, но, как он утверждает, надежный алгоритм.
|
|
|
Обычно VPN различает только отдельные компьютеры, но не их пользователей. Корпоративный заказчик требует, чтобы VPN отличала отдельных пользователей и отдельные приложения. Пользователь должен получить одну и ту же конфигурацию VPN независимо от того, за каким компьютером он сидит. Все необходимые для этого данные (ключи, сертификаты, конфигурация) находятся на его смарт-карте, электронном ключе или дискете. Если корпорация использует так называемые серверы доступа (технология single-sign-on), то VPN должна работать совместно с такой системой, не подключая VPN тем пользователям, которые не прошли авторизацию в системе аутентификации.
Выбор решения для организации определяется тремя факторами: размером сети, техническими навыками, которыми обладают сотрудники организации, и объемом трафика, который планируется обрабатывать. Процесс шифрования данных требует существенных вычислительных ресурсов и может перегрузить компьютер, когда несколько VPN-соединений одновременно участвуют в передаче данных. В этом случае, чтобы разгрузить центральный процессор, возможно, придется установить специальные ускорительные платы.
Какой бы путь ни был выбран, все равно придется столкнуться с проблемой управления VPN-устройствами и поддержания согласованных правил безопасности для VPN и МЭ в масштабах всей организации. В этой области успех или неудача в очень значительной степени зависят от квалификации персонала ИТ-службы.
Варианты реализации
Производители предлагают разнообразные схемы организации VPN: на базе чисто аппаратных решений, программно-аппаратных комплексов, либо полностью программные реализации.
1. Программное решение для VPN — это, как правило, готовое приложение, которое устанавливается на подключенном к сети компьютере со стандартной ОС. Из соображений защиты и производительности для установки VPN-приложений лучше всего выделять отдельные машины, которые должны устанавливаться на всех концах соединения. Ряд производителей (Axent Technologies, Check Point Software Technologies и NetGuard) поставляет VPN-пакеты, которые легко интегрируются с программными МЭ и работают на различных ОС, включая Windows, Sun Solaris и Linux.
|
|
|
Поскольку для построения VPN на базе специализированного ПО требуется создание отдельной компьютерной системы, такие решения обычно сложнее для развертывания, чем аппаратные. Создание подобной системы предусматривает конфигурирование сервера для распознавания данного компьютера и его ОС, VPN-пакета, сетевых плат для каждого соединения и специальных плат для ускорения операций шифрования. С другой стороны, программные решения для VPN стоят относительно недорого.
2. В виде специализированного программно-аппаратного обеспечения, предназначенного именно для решения задач VPN. Такие устройства могут применяться в тех случаях, когда необходимо обеспечить защищенный доступ большого числа абонентов.
Аппаратные VPN-решения включают в себя все, что необходимо для соединения — компьютер, частную (как правило) ОС и специальное ПО. Ряд компаний, в том числе Cisco Systems, NetScreen и Sonic, предлагает целый спектр решений, которые могут масштабироваться в зависимости от количества одновременных VPN-соединений, с которыми предполагается работать и ожидаемого объема трафика. Примером такого решения является российский комплекс "Контииент-К".
Развертывать программно-аппаратные решения, безусловно, легче. Они включают в себя все, что необходимо для конкретных условий, поэтому время, за которое их можно запустить, исчисляется минутами или часами. Еще одним серьезным преимуществом этих VPN-решений является гораздо более высокая производительность и более высокая по сравнению с другими решениями защищенность. В них используются специальные печатные платы и ОС, оптимизированные под данную задачу и освобожденные от необходимости поддерживать какие-либо избыточные функции, которые содержатся в универсальных ОС.
К минусам можно отнести их высокую стоимость.
3. Интегрированные решения, в которых функции построения VPN реализуются наряду с функцией фильтрации сетевого трафика, обеспечения качества обслуживания или распределения полосы пропускания. Основные преимущества такого решения — централизованное управление всеми компонентами с единой консоли и более низкая стоимость в расчете на каждый компонент по сравнению с тем, когда такие компоненты приобретаются отдельно. Самым известным примером такого интегрированного решения является VPN-1 от компании Check Point Software, включающий в себя помимо VPN-модуля модуль, реализующий функции МЭ, модуль, отвечающий за балансировку нагрузки, распределение полосы пропускания и т.д.
|
|
|
|
|
|
|
Дата добавления: 2014-01-07; Просмотров: 780; Нарушение авторских прав?; Мы поможем в написании вашей работы!