Что такое vpn?

Базовые понятия и классификация VPN

Термин VPN (англ. «виртуальная частная сеть») обозначает группу технологий, которые обеспечивают сетевое соединение, или так называемую логическую сеть, функционирующую поверх какой-либо другой сети, как правило, Интернет.

Хотя передача данных в VPN производится по сетям с низким уровнем доверия, благодаря использованию криптографии, уровень доверия к VPN может быть сколь угодно высоким. Среди используемых средств криптографии стоит назвать шифрование, средства для защиты от изменений передаваемых сообщений, инфраструктуру открытых ключей и аутентификацию. В зависимости от конечного назначения, VPN реализует три вида соединения: сеть-сеть, узел-сеть и узел-узел.

Реализация и структура VPN

Применение средств криптографии позволяет использовать базовые сетевые протоколы (UDP, TCP и др.) в неизменном виде, и чаще всего для создания VPN применяется инкапсуляция протокола РРР в другой протокол, например, IP или Ethernet. При хорошем уровне реализации и применении специализированного ПО, VPN обеспечивает высокий уровень шифрования информации и подлинную анонимность в Интернете. Структурно VPN состоит из двух функциональных частей: «внутренней» сети (их может быть несколько) и «внешней» сети (обычно это Интернет). Удаленный пользователь подключается к VPN через сервер доступа, включенный как во «внутреннюю», так и во «внешнюю» сеть. При этом сервер потребует от пользователя пройти идентификацию, а затем аутентификацию, после чего он наделяется предусмотренными полномочиями в сети.

Классификация VPN

Существует несколько классификаций VPN по различным базовым параметрам.

По способу реализации

Программное решение. Для функционирования VPN используется ПК со специализированным ПО. Программно-аппаратное решение. Для реализации VPN используется комплекс специальных программно-аппаратных средств. За счет такого подхода обеспечиваются высокая производительность и защищенность.

Интегрированное решение. Реализацию VPN обеспечивает программно-аппаратный комплекс, попутно решающий задачи организации сетевого экрана, фильтрации трафика и т.д.

По степени защищенности

Доверительные. Реализуются при необходимости создания виртуальной подсети в составе большой сети. Передающая среда при этом считается доверительной, а проблемы безопасности — неактуальными. Защищенные. Это самый популярный вид VPN, с помощью которого создаются защищенные и надежные сети на базе ненадежных сетей, например, Интернета.

По назначению

Extranet VPN. Виртуальные сети, в которые могут подключаться «внешние» пользователи — клиенты или заказчики. Так как они пользуются меньшим доверием, нежели сотрудники компании, существует необходимость создания определенных правил, ограничивающих доступ «внешних» пользователей к конфиденциальной или коммерческой информации. Remote Access VPN. Реализуется для обеспечения защищенного канала между корпоративной сетью и пользователем, подключенным к защищенной сети извне, например, с домашнего ПК.

Internet VPN. Реализуется провайдерами для предоставления доступа клиентам, подключающимся по одному физическому каналу.

Intranet VPN. Объединяет в защищенную сеть ряд филиалов одной компании, распределенных географически, для обмена информацией по открытым каналам.

Client/Server VPN. Защищает данные, передаваемые между узлами корпоративной сети (но не сетями). Обычно реализуется для узлов, находящихся в одном сетевом сегменте, например, клиентской машиной и сервером. Этот вариант применяется для разделения одной физической сети на несколько логических.

По типу протокола

На рынке есть реализации VPN для сетей TCP/IP, AppleTalk и IPX. Однако наиболее актуальной считается тенденция перехода на TCP/IP, поэтому большинство решений поддерживает только его.

VPN — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений поверх другой сети.

Virtual Private Network.Этот термин определяет совокупность технологий, призванных обеспечить сетевые соединения поверх другой компьютерной сети. Выстраиваемая логическая сеть обеспечивает соединения узел-узел, сеть-сеть и узел-сеть.VPN можно представить как объединение сетей или компьютеров, соединенных в локальную сеть виртуальную сеть, которая выполняет функцию обеспечения секретности и целостности передаваемых данных.

Три буквы, аббревиатура...

VPN - virtual private network - технология, предназначенная для создания виртуальной частной сети в рамках другой сети, например интернет ил интранет.

virtual private network

Виртуальная частная сеть

VPN (Віртуальна приватна мережа, англ. Virtual Private Network) — це логічна мережа, створена поверх інших мереж, на базі загальнодоступних або віртуальних каналів інших мереж (Інтернет). Безпека передавання пакетів через загальнодоступні мережі може реалізуватися за допомогою шифрування, внаслідок чого створюється закритий для сторонніх канал обміну інформацією. VPN дозволяє об'єднати, наприклад, декілька географічно віддалених мереж організації в єдину мережу з використанням для зв'язку між ними непідконтрольних каналів.

VPN (англ. Virtual Private Network — виртуальная частная сеть[1]) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим или неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений). В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть. VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера. Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов, удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.

VPN представляет собой объединение отдельных машин или локальных сетей в виртуальной сети, которая обеспечивает целостность и безопасность передаваемых данных. Она обладает свойствами выделенной частной сети и позволяет передавать данные между двумя компьютерами через промежуточную сеть (internetwork), например Internet.

Аббревиатура VPN расшифровывается как Virtual Private Network – “виртуальная частная сеть”.

Суть этой технологии в том, что при подключении к VPN серверу при помощи специального программного обеспечения поверх общедоступной сети в уже установленном соединении организуется зашифрованный канал, обеспечивающий высокую защиту передаваемой по этому каналу информации за счёт применения специальных алгоритмов шифрования.

В общем случае VPN - это объединение локальных сетей или отдельных машин, подключенных к сети общего пользования, в единую виртуальную (наложенную) сеть, обеспечивающую секретность и целостность передаваемой по ней информации (прозрачно для пользователей).

Использование технологии VPN необходимо там, где требуется защита корпоративной сети от воздействия вирусов, злоумышленников, просто любопытных, а также от других угроз, являющихся результатом ошибок в конфигурировании или администрировании сети.

Виртуальные частные сети (VPN), создаваемые на базе арендуемых и коммутируемых каналов связи сетей общего пользования (и, в первую очередь, Интернет), являются отличной альтернативой изолированным корпоративным сетям, причем, альтернативой, обладающей рядом несомненных преимуществ:

низкая стоимость арендуемых каналов и коммуникационного оборудования развитая топология сети (широкий географический охват);

высокая надежность;

легкость масштабирования (подключения новых сетей или пользователей);

легкость изменения конфигурации;

контроль событий и действий пользователей.

Какими свойствами должна обладать VPN?

Можно выделить три фундаментальных свойства, превращающих наложенную корпоративную сеть, построенную на базе сети общего пользования, в виртуальную частную сеть:

шифрование

аутентификация

контроль доступа.

Только реализация всех этих трех свойств позволяет защитить пользовательские машины, серверы предприятия и данные, передаваемые по физически незащищенным каналам связи, от внешних нежелательных вторжений, утечки информации и несанкционированных действий.

Ниже приведены примеры реализации решений путем применения технологии VPN продуктного ряда "Застава".

На рис. 1 показан пример решения, позволяющий объединить территориально разнесенные ЛВС, удаленный сервер и удаленных клиентов

На рис. 2 приведен более сложный пример создания VPN сегментов. Цветом и, соответственно, цифрами выделены непересекающиеся VPN подсети с различными технологиями доступа к ресурсам. Таким образом, решается не только задача организации защищенных удаленных соединений, но и задача сегментирования ЛВС на информационно непересекающиеся подсети.

Віртуальна приватна мережа (Virtual Private Network) — це логічна мережа, створена поверх інших мереж, на базі загальнодоступних або віртуальних каналів інших мереж. VPN дозволяє об'єднати декілька географічно віддалених мереж в єдину мережу з використанням для зв'язку між ними непідконтрольних каналів.

VPN (англ. Virtual Private Network — виртуальная частная сеть[1]) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим или неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).

В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.

VPN-подключение удаленного доступа VPN-подключение удаленного доступа дает пользователям возможность работать дома или в дороге, получая доступ к серверу частной сети посредством инфраструктуры общедоступной сети, например Интернета. С точки зрения пользователя VPN-подключение представляет собой подключение типа «точка-точка» между клиентским компьютером и сервером организации. Реальная инфраструктура общей или публичной сети не имеет значения, поскольку данные передаются подобно тому, как если бы они передавались по выделенному частному каналу.

VPN-подключение типа «сеть-сеть»

VPN-подключение типа «сеть-сеть» (иногда называется VPN-подключением типа «маршрутизатор-маршрутизатор») предназначено для маршрутизации подключений между различными филиалами организации, а также между организациями через общедоступную сеть, обеспечивая при этом защиту подключений. Если сети соединены через Интернет, как показано на следующем рисунке, маршрутизатор с поддержкой VPN пересылает пакеты другому такому маршрутизатору через VPN-подключение. С точки зрения маршрутизаторов VPN-подключение на логическом уровне функционирует как выделенный канал уровня передачи данных.

С помощью VPN-подключений можно соединить две частные сети. VPN-сервер обеспечивает маршрутизируемое подключение к сети, к которой присоединен VPN-сервер. Вызывающий маршрутизатор проходит проверку подлинности на отвечающем маршрутизаторе, и в целях взаимной проверки подлинности отвечающий маршрутизатор проходит проверку подлинности на вызывающем маршрутизаторе. При VPN-подключении типа «сеть-сеть» пакеты, отправляемые с любого из маршрутизаторов через VPN-подключение, обычно формируются не на маршрутизаторах.

VPN-подключение между двумя удаленными сайтами через Интернет Виртуальная частная сеть (VPN), соединяющая удаленные сайты через Интернет

Свойства VPN-подключений Инкапсуляция. Обеспечивается инкапсуляция частных данных с использованием заголовка, содержащего сведения о маршрутизации для передачи этих данных по транзитной сети. Примеры инкапсуляции см. на странице Туннельные протоколы VPN (страница может быть на английском языке) (

Проверка подлинности. Существует три различные формы проверки подлинности для VPN-подключений:

Проверка подлинности на уровне пользователя по протоколу PPP. Для установления VPN-подключения VPN-сервер выполняет проверку подлинности VPN-клиента, пытающегося установить подключение, на уровне пользователя по протоколу PPP и проверяет, имеет ли VPN-клиент соответствующие разрешения на доступ. При взаимной проверке подлинности VPN-клиент также выполняет проверку подлинности VPN-сервера, что гарантирует защиту от компьютеров, выдающих себя за VPN-серверы.

Проверка подлинности на уровне компьютера по протоколу IKE. Чтобы установить сопоставление безопасности IPSec, VPN-клиент и VPN-сервер используют протокол IKE для обмена сертификатами компьютеров или предварительным ключом. В обоих случая VPN-клиент и VPN-сервер выполняют взаимную проверку подлинности на уровне компьютера. Проверка подлинности на основе сертификата компьютера является одним из самых надежных способов и рекомендуется к применению. При проверке подлинности на уровне компьютера используются подключения по протоколам L2TP/IPSec или IKE версии 2.

Проверка подлинности источника данных и обеспечение целостности данных. Чтобы убедиться в том, что источником отправленных по VPN-подключению данных является другая сторона VPN-подключения и что они переданы в неизмененном виде, в данные включается контрольная сумма шифрования, основанная на ключе шифрования, который известен только отправителю и получателю. Функции проверки подлинности источника данных и обеспечения целостности данных доступны для подключений по протоколам L2TP/IPSec и IKE версии 2.

Шифрование данных. Для обеспечения конфиденциальности данных при передаче по общей или публичной транзитной сети они шифруются отправителем и расшифровываются получателем. Успешность процессов шифрования и расшифровки гарантируется в том случае, когда отправитель и получатель используют общий ключ шифрования.

Содержание перехваченных пакетов, отправленных по VPN-подключению в транзитной сети, понятно только владельцам общего ключа. Одним из важнейших параметров безопасности является длина ключа шифрования. Для определения ключа шифрования можно использовать различные методики вычислений. Однако при возрастании размера ключа шифрования использование подобных методик требует большей вычислительной мощности и большего времени для выполнения этих вычислений. Поэтому для обеспечения конфиденциальности данных рекомендуется использовать ключ максимально возможной длины.

Виртуальные частные сети (VPN) представляют собой подключения типа «точка-точка» в частной или публичной сети, например в Интернете. VPN-клиент использует для виртуального обращения на виртуальный порт VPN-сервера специальные протоколы на основе TCP/IP, которые называются туннельными протоколами. При обычной реализации VPN клиент инициирует по Интернету виртуальное подключение типа «точка-точка» к серверу удаленного доступа. Сервер удаленного доступа отвечает на вызов, выполняет проверку подлинности вызывающей стороны и передает данные между VPN-клиентом и частной сетью организации.

Для эмуляции канала типа «точка-точка» к данным добавляется заголовок (выполняется инкапсуляция). Этот заголовок содержит сведения маршрутизации, которые обеспечивают прохождение данных по общей или публичной сети до конечного пункта. Для эмуляции частного канала и сохранения конфиденциальности передаваемые данные шифруются. Пакеты, перехваченные в общей или публичной сети, невозможно расшифровать без ключей шифрования. Такой канал, по которому частные данные передаются в инкапсулированном и зашифрованном виде, и называется VPN-подключением. Существует два типа VPN-подключений: VPN-подключение удаленного доступа; VPN-подключение типа «сеть-сеть». VPN-подключение удаленного доступа

VPN-подключение удаленного доступа дает пользователям возможность работать дома или в дороге, получая доступ к серверу частной сети с помощью инфраструктуры публичной сети, например Интернета. С точки зрения пользователя, VPN-подключение представляет собой подключение типа «точка-точка» между компьютером (VPN-клиентом) и сервером организации. Реальная инфраструктура общей или публичной сети не имеет значения, поскольку данные передаются подобно тому, как если бы они передавались по выделенному частному каналу. VPN-подключение типа «сеть-сеть»

VPN-подключения типа «сеть-сеть» (также называются VPN-подключения типа «маршрутизатор-маршрутизатор») позволяют организациям устанавливать маршрутизируемые подключения между отдельным офисами (или между другими организациями) по публичной сети, при этом обеспечивая безопасность связи. Маршрутизируемое VPN-подключение по Интернету логически подобно выделенному каналу глобальной сети (WAN). В случае, когда сети соединены по Интернету, как показано на следующем рисунке, маршрутизатор переадресует пакеты другому маршрутизатору через VPN-подключение. С точки зрения маршрутизаторов VPN-подключение работает как канал уровня передачи данных.

VPN-подключение типа «сеть-сеть» связывает два сегмента частной сети. VPN-сервер обеспечивает маршрутизируемое подключение к сети, к которой прикреплен VPN-сервер. Вызывающий маршрутизатор (VPN-клиент) проходит проверку подлинности на отвечающем маршрутизаторе (VPN-сервере) и, в целях взаимной проверки подлинности, отвечающий маршрутизатор проходит проверку подлинности на вызывающем маршрутизаторе. При VPN-подключении типа «сеть-сеть» пакеты, отсылаемые с любого из маршрутизаторов через VPN-подключение, обычно формируются не на маршрутизаторах. VPN-подключения, использующие протоколы PPTP, L2TP/IPsec и SSTP, имеют следующие свойства. Инкапсуляция Проверка подлинности Шифрование данных. Инкапсуляция

VPN-технология обеспечивает инкапсуляцию частных данных с заголовком, содержащим сведения маршрутизации для передачи этих данных по транзитной сети. Примеры инкапсуляции см. в разделе Туннельные протоколы VPN. Проверка подлинности

Существует три различные формы проверки подлинности для VPN-подключений.

Проверка подлинности на уровне пользователя по протоколу PPP

Для установления VPN-подключения VPN-сервер выполняет проверку подлинности VPN-клиента, пытающегося установить подключение, на уровне пользователя по протоколу PPP и проверяет, имеет ли VPN-клиент требуемую авторизацию. При взаимной проверке подлинности VPN-клиент также выполняет проверку подлинности VPN-сервера, что гарантирует защиту от компьютеров, выдающих себя за VPN-серверы.

Проверка подлинности на уровне компьютера по протоколу IKE

Для установления сопоставления безопасности IPsec VPN-клиент и VPN-сервер используют протокол IKE для обмена сертификатами компьютеров или предварительным ключом. В обоих случая VPN-клиент и VPN-сервер выполняют взаимную проверку подлинности на уровне компьютера. Настоятельно рекомендуется выбирать проверку подлинности по сертификату компьютера из-за большей безопасности этого метода. Проверка подлинности на уровне компьютера выполняется только для подключений L2TP/IPsec.

Проверка подлинности источника данных и обеспечение целостности данных

Чтобы убедиться в том, что источником отправленных по VPN-подключению данных является другая сторона VPN-подключения и что они переданы в неизменном виде, данные содержат контрольную сумму шифрования, основанную на ключе шифрования, который известен только отправителю и получателю. Проверка подлинности источника данных и обеспечение целостности данных доступны только для подключений L2TP/IPsec.

Шифрование данных

Для обеспечения конфиденциальности данных при передаче по общей или публичной транзитной сети они шифруются отправителем и расшифровываются получателем. Успешность процессов шифрования и расшифровки гарантируется в том случае, когда отправитель и получатель используют общий ключ шифрования.

Содержание перехваченных пакетов, отправленных по VPN-подключению в транзитной сети, понятно только владельцам общего ключа. Длина ключа шифрования - это важный параметр безопасности. Для определения ключа шифрования можно использовать вычислительную технику. Однако при возрастании размера ключей шифрования использование подобной техники требует большей вычислительной мощности и большего времени для выполнения этих вычислений. Поэтому для гарантии конфиденциальности данных рекомендуется использовать наибольший возможный ключ.

виртуальная частная сеть

Виртуальная частная сеть.