Разное

Организация виртуальных частных сетей: Что такое виртуальные сети и как они работают? VPN, VLAN, VXLAN

Содержание

Что такое виртуальные сети и как они работают? VPN, VLAN, VXLAN

Автор Исхаков Максим На чтение 4 мин. Просмотров 887 Опубликовано Обновлено

Виртуальная сеть обеспечивает связь между несколькими компьютерами, виртуальными машинами (ВМ), виртуальными серверами или другими устройствами в различных офисах и центрах обработки данных. В то время как физическая сеть соединяет компьютеры через кабели и другое оборудование, виртуальная сеть расширяет эти возможности, используя программное обеспечение для подключения компьютеров и серверов через интернет. В ней используются виртуализированные версии традиционных сетевых инструментов, таких как коммутаторы и сетевые адаптеры, что обеспечивает более эффективную маршрутизацию и упрощает внесение изменений в конфигурацию сети.

Виртуальная сеть позволяет устройствам функционировать с теми же возможностями, что и традиционная физическая сеть. Это означает, что центры обработки данных могут распределяться по различным физическим местоположениям и предоставлять сетевым администраторам новые и более эффективные возможности, например, легко изменять сеть без необходимости переключения или покупки большего количества оборудования; большую гибкость в подготовке сети к конкретным потребностям и приложениям; и способность перемещать рабочие нагрузки по сетевой инфраструктуре без ущерба для служб, безопасности и доступности.

На видео: VLAN – Виртуальные локальные сети

Как работает виртуальная сеть?

Виртуальная сеть соединяет виртуальные машины и устройства, независимо от их местоположения, с помощью программного обеспечения. В физической сети, функции модели OSI (стек сетевых протоколов OSI/ISO) выполняются в пределах физических коммутаторов и маршрутизаторов. Кроме того, физические сетевые интерфейсные карты (NIC) и сетевые адаптеры используются для подключения компьютеров и серверов к сети. Виртуальная сеть переносит эти и другие действия на программное обеспечение. Программное приложение, называемое виртуальным коммутатором или vSwitch, управляет и направляет связь между существующей физической сетью и виртуальными частями сети, такими как виртуальные машины. А адаптер виртуальной сети позволяет компьютерам и виртуальным машинам подключаться к сети, в том числе позволяя всем машинам в локальной сети (LAN) подключаться к более крупной сети.

В физической сети, локальные сети создаются для подключения нескольких устройств к общим ресурсам, таким как сетевое хранилище, обычно через кабели Ethernet или Wi-Fi. Но виртуальная сеть создает возможность для виртуальных LAN (VLAN), где группировка настраивается с помощью программного обеспечения. Это означает, что компьютеры, подключенные к различным сетевым коммутаторам, могут вести себя так, как если бы все они были подключены к одному и тому же коммутатору, и, наоборот, компьютеры, совместно использующие кабели, могут храниться в отдельных сетях, а не физически подключаться к машинам с использованием кабельного оборудования и аппаратных средств.

Виртуальная сеть обеспечивает более централизованное управление и упрощенное сетевое управление. Разрозненные части сети могут быть доступны удаленно для необходимых обновлений и изменений, или даже тестирования, что делает сетевое управление проще. Виртуальная сеть является основой для облачных архитектур и приложений, так как она позволяет получать доступ, подключать, защищать и изменять облачные ресурсы.

Примеры виртуальных сетей:

1. Виртуальная сеть VPN

Одним из примеров виртуальной сети является виртуальная частная сеть VPN, которая создает безопасное соединение между одной сетью и другой через интернет. VPN позволяют пользователям подключаться к сетям, работая удаленно или дома, а также обычно используются для обхода интернет-цензуры и дают гарантии того, что история браузера не будет видна в публичных Wi-Fi сетях.

2. Виртуальная сеть VLAN

Еще одним примером виртуальной сети является виртуальная локальная сеть VLAN. VLAN – это подгруппа сети, которая объединяет несколько сетевых устройств в одну группу или домен и отделяет ее от остальных. VLAN повышают скорость и производительность сети за счет более эффективной маршрутизации трафика между этими подгруппами или доменами. Сети VLAN также обеспечивают значительно больший контроль над сетевыми устройствами и трафиком. Изоляция определенных данных в отдельной виртуальной локальной сети обеспечивает дополнительные преимущества в области безопасности, особенно для больших сетей, затрудняя несанкционированный мониторинг или вмешательство в сеть. В VLAN также нет необходимости прокладывать новые кабели или вносить большие изменения в сетевую инфраструктуру.

3. Виртуальная сеть VXLAN

Виртуальная расширяемая локальная сеть (VXLAN) – это еще один пример виртуальной сети. Помимо простого разделения сети на подгруппы, VXLAN могут виртуализировать всю сеть, обеспечивая крупномасштабные возможности. VXLAN значительно увеличивают пропускную способность и масштабируемость виртуальных сетей – это особенно важно для современных сложных архитектур облачных вычислений.

На видео: Подход компании Scaleway к фабрикам на основе VXLAN EVPN

НОУ ИНТУИТ | Лекция | Виртуализация сетей

Аннотация: В данной лекции будут рассмотрены следующие вопросы:
Определение виртуальной частной сети.
Цели и задачи построения виртуальных сетей.
Защита информации в виртуальных сетях.
Классификации виртуальных сетей.
Сравнение решения на основе виртуальной сети с решением на основе корпоративной частной сети.
Специфика построения VPN.
Преимущества VPN.
Протоколы построения виртуальных сетей.
Список материалов для самостоятельного изучения.

В предыдущей лекции была приведена классификация решений виртуализации. В рамках текущей лекции мы более подробно рассмотрим ключевые особенности виртуализации сетей.

В 1960-х инженерно — технический отдел американской телефонной компании разработал систему автоматического соединения абонентов АТС — Centrex. Данный факт можно считать началом истории виртуализации сетей, поскольку использовались уже существующие каналы связи, т.е. создавались виртуальные каналы передачи сигнала.

Виртуальной частной сетью (VPN — Virtual Private Network) называют обобщенную группу технологий, обеспечивающих возможность установления сетевых соединений поверх другой сети. Иными словами, VPN можно назвать имитацией сети, построенной на выделенных каналах связи.

Технически виртуальная сеть — это криптосистема, защищающая данные при передаче их по незащищенной сети. Т.е. потоки данных одной группы пользователей (предприятия), использующих VPN, в рамках одной публичной сети защищены от влияния иных потоков данных.

На базе одной физической сети может функционировать несколько виртуальных.

Структура VPN включает в себя: каналы связи, маршрутизаторы и защищенные протоколы. Локальные сети объединяются в виртуальную при помощи «виртуальных выделенных каналов», для создания которых применяется механизм туннелирования (пакеты локальной сети инкапсулируются в новые IP — пакеты инициатором туннеля, на обратном конце «туннеля» происходит обратный процесс).

Подключение нового пользователя к VPN осуществляется через VPN — сервер.

Цели и задачи виртуальных частных сетей

Основной целью виртуальной сети является максимально возможное обособление потока данных компании (определенной группы пользователей) от потока данных других пользователей общей сети.

Соответственно, глобальной задачей виртуальной сети является обеспечение указанной обособленности данных, которую можно разделить на следующие подзадачи, решаемые средствами VPN:

  • Конфиденциальность — гарантия того, что данные не будут просмотрены третьими лицами.
  • Целостность — обеспечение сохранности передаваемых данных.
  • Доступность — санкционированные пользователи должны иметь возможность подключения к VPN постоянно.

Защита информации в виртуальных частных сетях

Основной угрозой при использовании виртуальных частных сетей, очевидно, является несанкционированный доступ к данным, который можно разделить на два типа:

  • несанкционированной доступ в процессе передачи данных по открытой (общей) сети;
  • несанкционированный доступ к внутренним корпоративным сетям.

Основными функциями защиты информации при передаче данных по виртуальным сетям являются:

  • аутентификация;
  • шифрование;
  • авторизация.

Также отметим, что угрозу по перехвату пакетов по пути следования ряд специалистов считает преувеличенной. Пакеты проходят через маршрутизаторы и коммутаторы провайдеров, т.е. фактически не заходят в сети сторонних лиц и организаций. Таким образом, основная угроза перехвата исходит со стороны самих провайдеров. От входа во внутренние сети организаций и перехвата данных по пути существуют такие способы защиты, как межсетевые экраны, proxy — сервера и средства организации защищенного канала соответственно.

Классификация виртуальных сетей

Существует несколько различных вариантов классификации виртуальных сетей. Приведем наиболее распространенные из них.

Классификация по архитектуре:

  1. VPN с удаленным доступом.

    Данные сети предназначены для обеспечения защищенного удаленного доступа к корпоративным сетевым информационным ресурсам.

  2. Внутрикорпоративные VPN.

    Предназначены для объединения различных структурных подразделений компании, или групп предприятий в единую защищенную информационную сеть.

  3. Межкорпоративные VPN.

Данные сети предназначены для обеспечения взаимодействия с поставщиками, клиентами, партнерами и т.д.

Классификация по уровню ЭМВОС (Эталонная модель взаимодействия открытых систем, Open System Interconnection Basic Reference Model — OSI):

  1. VPN канального уровня.

    Данный тип обеспечивает инкапсуляцию трафика сетевого и более высоких уровней и построение виртуальных туннелей «точка — точка». На данном уровне используются протоколы L2F и PPTP (протоколы построения VPN будут рассмотрены в завершающей части данной лекции).

  2. VPN сетевого уровня.

    Данный тип осуществляет инкапсуляцию IP в IP. К протоколам данного уровня относят SKIPP и IPSec.

  3. VPN сеансового уровня.

Данный тип VPN использует подход под названием «посредник каналов» — трафик из защищенной сети ретранслируется в общедоступную для каждого программного интерфейса в отдельности. Часто используется протокол TLS для шифрования информации.

Классификация по способу реализации:

  1. Программно — аппаратное обеспечение.

    Реализация осуществляется на базе аппаратно — программного комплекса, обеспечивающего высокую производительность и защищенность.

  2. Программное решение.

    Обеспечение работы VPN осуществляется специальным ПО, установленным на ПК пользователя.

  3. Интегрированная реализация.

Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.

Сравнение с частными сетями

Для более наглядной иллюстрации основных отличий между виртуальной сетью и частной рассмотрим следующий пример.

Задача: организовать безопасные каналы связи в компании, имеющей несколько удаленных филиалов.

Решение на основе частной корпоративной сети.

Рис.
3.1.
Частная корпоративная сеть

В данном случае, филиалы связаны с центральным офисом посредством LAN, доступ в Интернет может осуществляться как через центральный офис, так и каждым филиалом самостоятельно.

Особенности подхода:

  • Скорость передачи данных. Фактически скорость будет ограничена возможностями локальной сети предприятия.
  • Безопасность. При должной организации можно минимизировать риск нежелательной утечки данных.
  • Стоимость решения. Поскольку предприятие использует собственные каналы передачи данных, нет необходимости в аренде таковых. С другой стороны, стоимость организации корпоративной сети может быть более, чем высока.

Решение на основе виртуальной частной сети.

Рис.
3.2.
Корпоративная сеть на основе VPN

В данном решении предприятие арендует каналы связи у провайдеров, центральный офис и филиалы объединены в виртуальную частную сеть.

Особенности решения, по сравнению с частной сетью:

  • Скорость передачи данных. Зависит от условий, предоставляемых поставщиком услуг связи (провайдером), сильно зависит от региональных особенностей.
  • Безопасность. Учитывая, что данные предприятия попадают в общедоступную сеть, то для обеспечения безопасности необходимо использовать различные средства и алгоритмы защиты информации (шифрование).
  • Стоимость. Необходимо оплачивать услуги провайдера, но нет затрат связанных с организацией корпоративной локальной сети.

Исходя из сравнения решений по параметрам Скорость/Безопасность/Стоимость, выгода от использования VPN, строго говоря, неочевидна. Но виртуальные сети обладают рядом иных преимуществ:

  1. Масштабируемость. В случае расширения штата, открытии нового филиала и т.п. не требуется затрат для обеспечения коммуникаций. Новые пользователи просто подключаются к уже организованной виртуальной сети предприятия.
  2. Гибкость и мобильность. Не имеет значения физическое местоположение пользователя сети. Для подключения к виртуальной сети предприятия достаточно наличия любого канала связи с внешним миром.

Исходя из всего вышеизложенного, можно выделить основные сценарии использования VPN:

  1. Организация удаленного доступа к корпоративным сетевым ресурсам через любую общедоступную сеть. Для реализации данного сценария обязательным является только наличие корпоративного VPN — сервера, к которому могут подключаться удаленные клиенты.
  2. Intranet VPN. Объединение территориально распределенных филиалов компании в единую сеть передачи данных. Для реализации сценария необходимо наличие VPN — сервера в каждом из связываемых организационных объединений.
  3. Extranet VPN. Предоставление клиентам и партнерам доступа к корпоративным сетевым ресурсам.

Таким образом, несмотря на ряд недостатков, можно утверждать, что виртуальная частная сеть, в ряде случаев, может оказаться более предпочтительной, чем частная корпоративная локальная сеть.

НОУ ИНТУИТ | Лекция | Виртуализация сетей

Аннотация: В данной лекции будут рассмотрены следующие вопросы:
Определение виртуальной частной сети.
Цели и задачи построения виртуальных сетей.
Защита информации в виртуальных сетях.
Классификации виртуальных сетей.
Сравнение решения на основе виртуальной сети с решением на основе корпоративной частной сети.
Специфика построения VPN.
Преимущества VPN.
Протоколы построения виртуальных сетей.
Список материалов для самостоятельного изучения.

В предыдущей лекции была приведена классификация решений виртуализации. В рамках текущей лекции мы более подробно рассмотрим ключевые особенности виртуализации сетей.

В 1960-х инженерно — технический отдел американской телефонной компании разработал систему автоматического соединения абонентов АТС — Centrex. Данный факт можно считать началом истории виртуализации сетей, поскольку использовались уже существующие каналы связи, т.е. создавались виртуальные каналы передачи сигнала.

Виртуальной частной сетью (VPN — Virtual Private Network) называют обобщенную группу технологий, обеспечивающих возможность установления сетевых соединений поверх другой сети. Иными словами, VPN можно назвать имитацией сети, построенной на выделенных каналах связи.

Технически виртуальная сеть — это криптосистема, защищающая данные при передаче их по незащищенной сети. Т.е. потоки данных одной группы пользователей (предприятия), использующих VPN, в рамках одной публичной сети защищены от влияния иных потоков данных.

На базе одной физической сети может функционировать несколько виртуальных.

Структура VPN включает в себя: каналы связи, маршрутизаторы и защищенные протоколы. Локальные сети объединяются в виртуальную при помощи «виртуальных выделенных каналов», для создания которых применяется механизм туннелирования (пакеты локальной сети инкапсулируются в новые IP — пакеты инициатором туннеля, на обратном конце «туннеля» происходит обратный процесс).

Подключение нового пользователя к VPN осуществляется через VPN — сервер.

Цели и задачи виртуальных частных сетей

Основной целью виртуальной сети является максимально возможное обособление потока данных компании (определенной группы пользователей) от потока данных других пользователей общей сети.

Соответственно, глобальной задачей виртуальной сети является обеспечение указанной обособленности данных, которую можно разделить на следующие подзадачи, решаемые средствами VPN:

  • Конфиденциальность — гарантия того, что данные не будут просмотрены третьими лицами.
  • Целостность — обеспечение сохранности передаваемых данных.
  • Доступность — санкционированные пользователи должны иметь возможность подключения к VPN постоянно.

Защита информации в виртуальных частных сетях

Основной угрозой при использовании виртуальных частных сетей, очевидно, является несанкционированный доступ к данным, который можно разделить на два типа:

  • несанкционированной доступ в процессе передачи данных по открытой (общей) сети;
  • несанкционированный доступ к внутренним корпоративным сетям.

Основными функциями защиты информации при передаче данных по виртуальным сетям являются:

  • аутентификация;
  • шифрование;
  • авторизация.

Также отметим, что угрозу по перехвату пакетов по пути следования ряд специалистов считает преувеличенной. Пакеты проходят через маршрутизаторы и коммутаторы провайдеров, т.е. фактически не заходят в сети сторонних лиц и организаций. Таким образом, основная угроза перехвата исходит со стороны самих провайдеров. От входа во внутренние сети организаций и перехвата данных по пути существуют такие способы защиты, как межсетевые экраны, proxy — сервера и средства организации защищенного канала соответственно.

Классификация виртуальных сетей

Существует несколько различных вариантов классификации виртуальных сетей. Приведем наиболее распространенные из них.

Классификация по архитектуре:

  1. VPN с удаленным доступом.

    Данные сети предназначены для обеспечения защищенного удаленного доступа к корпоративным сетевым информационным ресурсам.

  2. Внутрикорпоративные VPN.

    Предназначены для объединения различных структурных подразделений компании, или групп предприятий в единую защищенную информационную сеть.

  3. Межкорпоративные VPN.

Данные сети предназначены для обеспечения взаимодействия с поставщиками, клиентами, партнерами и т.д.

Классификация по уровню ЭМВОС (Эталонная модель взаимодействия открытых систем, Open System Interconnection Basic Reference Model — OSI):

  1. VPN канального уровня.

    Данный тип обеспечивает инкапсуляцию трафика сетевого и более высоких уровней и построение виртуальных туннелей «точка — точка». На данном уровне используются протоколы L2F и PPTP (протоколы построения VPN будут рассмотрены в завершающей части данной лекции).

  2. VPN сетевого уровня.

    Данный тип осуществляет инкапсуляцию IP в IP. К протоколам данного уровня относят SKIPP и IPSec.

  3. VPN сеансового уровня.

Данный тип VPN использует подход под названием «посредник каналов» — трафик из защищенной сети ретранслируется в общедоступную для каждого программного интерфейса в отдельности. Часто используется протокол TLS для шифрования информации.

Классификация по способу реализации:

  1. Программно — аппаратное обеспечение.

    Реализация осуществляется на базе аппаратно — программного комплекса, обеспечивающего высокую производительность и защищенность.

  2. Программное решение.

    Обеспечение работы VPN осуществляется специальным ПО, установленным на ПК пользователя.

  3. Интегрированная реализация.

Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.

Сравнение с частными сетями

Для более наглядной иллюстрации основных отличий между виртуальной сетью и частной рассмотрим следующий пример.

Задача: организовать безопасные каналы связи в компании, имеющей несколько удаленных филиалов.

Решение на основе частной корпоративной сети.

Рис.
3.1.
Частная корпоративная сеть

В данном случае, филиалы связаны с центральным офисом посредством LAN, доступ в Интернет может осуществляться как через центральный офис, так и каждым филиалом самостоятельно.

Особенности подхода:

  • Скорость передачи данных. Фактически скорость будет ограничена возможностями локальной сети предприятия.
  • Безопасность. При должной организации можно минимизировать риск нежелательной утечки данных.
  • Стоимость решения. Поскольку предприятие использует собственные каналы передачи данных, нет необходимости в аренде таковых. С другой стороны, стоимость организации корпоративной сети может быть более, чем высока.

Решение на основе виртуальной частной сети.

Рис.
3.2.
Корпоративная сеть на основе VPN

В данном решении предприятие арендует каналы связи у провайдеров, центральный офис и филиалы объединены в виртуальную частную сеть.

Особенности решения, по сравнению с частной сетью:

  • Скорость передачи данных. Зависит от условий, предоставляемых поставщиком услуг связи (провайдером), сильно зависит от региональных особенностей.
  • Безопасность. Учитывая, что данные предприятия попадают в общедоступную сеть, то для обеспечения безопасности необходимо использовать различные средства и алгоритмы защиты информации (шифрование).
  • Стоимость. Необходимо оплачивать услуги провайдера, но нет затрат связанных с организацией корпоративной локальной сети.

Исходя из сравнения решений по параметрам Скорость/Безопасность/Стоимость, выгода от использования VPN, строго говоря, неочевидна. Но виртуальные сети обладают рядом иных преимуществ:

  1. Масштабируемость. В случае расширения штата, открытии нового филиала и т.п. не требуется затрат для обеспечения коммуникаций. Новые пользователи просто подключаются к уже организованной виртуальной сети предприятия.
  2. Гибкость и мобильность. Не имеет значения физическое местоположение пользователя сети. Для подключения к виртуальной сети предприятия достаточно наличия любого канала связи с внешним миром.

Исходя из всего вышеизложенного, можно выделить основные сценарии использования VPN:

  1. Организация удаленного доступа к корпоративным сетевым ресурсам через любую общедоступную сеть. Для реализации данного сценария обязательным является только наличие корпоративного VPN — сервера, к которому могут подключаться удаленные клиенты.
  2. Intranet VPN. Объединение территориально распределенных филиалов компании в единую сеть передачи данных. Для реализации сценария необходимо наличие VPN — сервера в каждом из связываемых организационных объединений.
  3. Extranet VPN. Предоставление клиентам и партнерам доступа к корпоративным сетевым ресурсам.

Таким образом, несмотря на ряд недостатков, можно утверждать, что виртуальная частная сеть, в ряде случаев, может оказаться более предпочтительной, чем частная корпоративная локальная сеть.

Что такое VPN сеть, какие у нее есть возможности и способы реализация

На сегодняшний день в общественных местах большим спросом пользуются бесплатные (открытые) сети Wi-Fi. Количество мобильных устройств c подключением к сети Интернет постоянно растет. С их помощью можно проверить почтовый ящик, узнать новости, пообщаться в социальных сетях. Но насколько это безопасно? Оказывается, что провести анализ незащищенного трафика, получить доступ к личным данным и даже установить контроль над чужим компьютером не так уж и сложно.

Чтобы предотвратить несанкционированный доступ, существует технология VPN, позволяющая повысить конфиденциальность и безопасность пользования Интернетом. VPN сеть представляет собой защищенную виртуальную частную сеть, организованную внутри или поверх публичной сетевой или телекоммуникационной инфраструктуры.

Что такое VPN

Virtual Private Network — виртуальная частная сеть. Частная — потому что предполагается такой уровень безопасности, какой был бы у отдельной сети, вообще не имеющей выхода в интернет. Виртуальная — потому что на самом деле трафик между участниками сети проходит по открытым интернет-каналам, но в зашифрованном виде. VPN-серверы используют для объединения удаленных сетей (офисов, региональных отделений), подключения удаленных сотрудников. Как бы далеко при этом не находились узлы или сотрудники, сеть они используют как если бы находились в соседних комнатах, вплоть до общих папок и принтеров.

Создать VPN-сервер можно с использованием встроенных средств даже домашней операционной системы, но функционал его будет ограничен.

Возможности виртуальной частной сети

Многие из тех, кто не сталкивался с хакерскими атаками, отслеживанием трафика или блокировкой доступа к тем или иным ресурсам, задаются вопросом, для чего нужен VPN. Следует четко понимать, что большинство провайдеров сегодня занимается логированием деятельности своих клиентов. Если вы хотите избежать регистрации информации о посещениях сайтов, соединение с сервером нужно зашифровать.

VPN формирует новую сеть, при подключении к которой IP-адрес пользователя заменяется на адрес нового сервера. Таким образом формируется искусственное защищенное соединение между ПК и VPN-сервером, передача данных по которому полностью зашифрована динамично изменяемыми кодами. Защита информации в новой сети осуществляется комплексно: коды невозможно взломать, несанкционированное подключение посторонних пользователей полностью исключено, а все входящие и исходящие пакеты постоянно проверяются на целостность.

Реализация VPN доступа

Виртуальная частная сеть представляет собой туннель, на входе которого расположен VPN клиент, установленный на пользовательском компьютере (или устройстве), на выходе — ВПН сервер (выходов у туннеля может быть несколько). VPN туннель отвечает за передачу информации между источником и приемником данных. Основное назначение — обеспечить конфиденциальность сессии.

Внутри туннеля средствами VPN реализуется технология, которая решает стратегически важные задачи информационной безопасности. Классификацию VPN технологии можно провести по 3-м основным способам: по способу ее реализации (аутентификация источника данных, туннелирование и шифрование IP-пакетов), по архитектуре технического решения, по рабочему уровню модели OSI. Как правило, VPN использует смешанные варианты, когда все три способа используются совместно.

На входе и выходе туннеля устанавливается аппаратно-программное обеспечение, которое обеспечивает высокую защиту передаваемой по выделенному частному каналу информации.

Чтобы подключиться к сети VPN нужно пройти процедуру идентификации и аутентификации. В случае успеха происходит авторизация пользователя с правом VPN доступа к работе в сети.

VPN-клиент и VPN-сервер. Внешние и локальные сети

ВПН сеть совмещает в себе внешнюю и внутреннюю конфигурацию.

Локальная (внутренняя) конфигурация позволяет объединять в себя достаточное множество отдельных компьютеров, которые могут работать с любыми сетевыми приложениями и иметь выход в Internet через один единственный IP-адрес.

Внешняя структура подразумевает выход за пределы локальной сети.

Любой удаленный пользователь может подключиться к ВПН серверу, как через произвольную другую внешнюю сеть, так и через внутреннюю, причем их может быть несколько и они могут быть логически не связаны между собой. Внешней сетью может быть и обычный Интернет.

Клиентами VPN сервера могут стать любые компьютеры под управлением Windows, Linux и BSD.

Как правило, установка VPN сервера и настройка VPN соединения производятся опытным администратором. Несмотря на кажущуюся простоту, простым пользователям не стоит проводить настройку VPN своими руками, так как они могут допустить ошибки и неточности, которые впоследствии скажутся на работоспособности и защищенности VPN соединения.

Примеры использования VPN

  • Объединение 2-х или более локальных сетей офисов одной организации, территориально удаленных друг от друга. Важно, чтобы в офисах было быстрое подключение к сети Интернет, так как доступ к сетевым ресурсам осуществляется через Всемирную сеть.
  • Подключение к офисной сети удаленных пользователей: сотрудников, находящихся в командировке, или внештатных работников.
  • Объединение типа компьютер-компьютер для обеспечения дополнительной безопасности. К примеру, протокол FTP без шифрования. Или можно использовать VPN для обхода файерволов, ограничивающих определенные типы трафика.

По данным, полученным исследовательской компанией Forrester Research, применение VPN позволяет снизить многие затраты, такие как закупка коммуникационного оборудования, оплата услуг Интернет-провайдера и другие. Кроме того, получить анонимный VPN доступ — значит получить безопасность, анонимность и свободу в Интернете.

Организация VPN-сервера через ИКС

В ИКС реализована возможность организации зашифрованного соединения, для которого существует специальный набор протоколов IP Security. Как уже объяснялось выше, оно создается при помощи VPN — технологии, позволяющей создать анонимный канал между несколькими персональными компьютерами. Для удобства пользователей ИКС соединение между ПК, располагающимися за NAT-firewall, может быть установлено по умолчанию, без изменения каких-либо настроек.

Организация зашифрованного канала в этой программе станет идеальным решением задачи обеспечения конфиденциальности. ИКС не требует указания себя в качестве шлюза при доступе к хосту внутри корпоративной сети, поддерживает широкий ряд протоколов для создания туннелей, а также обеспечивает максимальную простоту авторизации разных пользователей без необходимости ввода дополнительных данных. В нем также реализован достаточно удобный контроль доступа пользователей к частному соединению, увеличен спектр оборудования для повышения безопасности, установлена динамическая адресация клиентов и автоматизация создания маршрутов.

НОУ ИНТУИТ | Лекция | Виртуализация сетей

Аннотация: В данной лекции будут рассмотрены следующие вопросы:
Определение виртуальной частной сети.
Цели и задачи построения виртуальных сетей.
Защита информации в виртуальных сетях.
Классификации виртуальных сетей.
Сравнение решения на основе виртуальной сети с решением на основе корпоративной частной сети.
Специфика построения VPN.
Преимущества VPN.
Протоколы построения виртуальных сетей.
Список материалов для самостоятельного изучения.

В предыдущей лекции была приведена классификация решений виртуализации. В рамках текущей лекции мы более подробно рассмотрим ключевые особенности виртуализации сетей.

В 1960-х инженерно — технический отдел американской телефонной компании разработал систему автоматического соединения абонентов АТС — Centrex. Данный факт можно считать началом истории виртуализации сетей, поскольку использовались уже существующие каналы связи, т.е. создавались виртуальные каналы передачи сигнала.

Виртуальной частной сетью (VPN — Virtual Private Network) называют обобщенную группу технологий, обеспечивающих возможность установления сетевых соединений поверх другой сети. Иными словами, VPN можно назвать имитацией сети, построенной на выделенных каналах связи.

Технически виртуальная сеть — это криптосистема, защищающая данные при передаче их по незащищенной сети. Т.е. потоки данных одной группы пользователей (предприятия), использующих VPN, в рамках одной публичной сети защищены от влияния иных потоков данных.

На базе одной физической сети может функционировать несколько виртуальных.

Структура VPN включает в себя: каналы связи, маршрутизаторы и защищенные протоколы. Локальные сети объединяются в виртуальную при помощи «виртуальных выделенных каналов», для создания которых применяется механизм туннелирования (пакеты локальной сети инкапсулируются в новые IP — пакеты инициатором туннеля, на обратном конце «туннеля» происходит обратный процесс).

Подключение нового пользователя к VPN осуществляется через VPN — сервер.

Цели и задачи виртуальных частных сетей

Основной целью виртуальной сети является максимально возможное обособление потока данных компании (определенной группы пользователей) от потока данных других пользователей общей сети.

Соответственно, глобальной задачей виртуальной сети является обеспечение указанной обособленности данных, которую можно разделить на следующие подзадачи, решаемые средствами VPN:

  • Конфиденциальность — гарантия того, что данные не будут просмотрены третьими лицами.
  • Целостность — обеспечение сохранности передаваемых данных.
  • Доступность — санкционированные пользователи должны иметь возможность подключения к VPN постоянно.

Защита информации в виртуальных частных сетях

Основной угрозой при использовании виртуальных частных сетей, очевидно, является несанкционированный доступ к данным, который можно разделить на два типа:

  • несанкционированной доступ в процессе передачи данных по открытой (общей) сети;
  • несанкционированный доступ к внутренним корпоративным сетям.

Основными функциями защиты информации при передаче данных по виртуальным сетям являются:

  • аутентификация;
  • шифрование;
  • авторизация.

Также отметим, что угрозу по перехвату пакетов по пути следования ряд специалистов считает преувеличенной. Пакеты проходят через маршрутизаторы и коммутаторы провайдеров, т.е. фактически не заходят в сети сторонних лиц и организаций. Таким образом, основная угроза перехвата исходит со стороны самих провайдеров. От входа во внутренние сети организаций и перехвата данных по пути существуют такие способы защиты, как межсетевые экраны, proxy — сервера и средства организации защищенного канала соответственно.

Классификация виртуальных сетей

Существует несколько различных вариантов классификации виртуальных сетей. Приведем наиболее распространенные из них.

Классификация по архитектуре:

  1. VPN с удаленным доступом.

    Данные сети предназначены для обеспечения защищенного удаленного доступа к корпоративным сетевым информационным ресурсам.

  2. Внутрикорпоративные VPN.

    Предназначены для объединения различных структурных подразделений компании, или групп предприятий в единую защищенную информационную сеть.

  3. Межкорпоративные VPN.

Данные сети предназначены для обеспечения взаимодействия с поставщиками, клиентами, партнерами и т.д.

Классификация по уровню ЭМВОС (Эталонная модель взаимодействия открытых систем, Open System Interconnection Basic Reference Model — OSI):

  1. VPN канального уровня.

    Данный тип обеспечивает инкапсуляцию трафика сетевого и более высоких уровней и построение виртуальных туннелей «точка — точка». На данном уровне используются протоколы L2F и PPTP (протоколы построения VPN будут рассмотрены в завершающей части данной лекции).

  2. VPN сетевого уровня.

    Данный тип осуществляет инкапсуляцию IP в IP. К протоколам данного уровня относят SKIPP и IPSec.

  3. VPN сеансового уровня.

Данный тип VPN использует подход под названием «посредник каналов» — трафик из защищенной сети ретранслируется в общедоступную для каждого программного интерфейса в отдельности. Часто используется протокол TLS для шифрования информации.

Классификация по способу реализации:

  1. Программно — аппаратное обеспечение.

    Реализация осуществляется на базе аппаратно — программного комплекса, обеспечивающего высокую производительность и защищенность.

  2. Программное решение.

    Обеспечение работы VPN осуществляется специальным ПО, установленным на ПК пользователя.

  3. Интегрированная реализация.

Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.

Сравнение с частными сетями

Для более наглядной иллюстрации основных отличий между виртуальной сетью и частной рассмотрим следующий пример.

Задача: организовать безопасные каналы связи в компании, имеющей несколько удаленных филиалов.

Решение на основе частной корпоративной сети.

Рис.
3.1.
Частная корпоративная сеть

В данном случае, филиалы связаны с центральным офисом посредством LAN, доступ в Интернет может осуществляться как через центральный офис, так и каждым филиалом самостоятельно.

Особенности подхода:

  • Скорость передачи данных. Фактически скорость будет ограничена возможностями локальной сети предприятия.
  • Безопасность. При должной организации можно минимизировать риск нежелательной утечки данных.
  • Стоимость решения. Поскольку предприятие использует собственные каналы передачи данных, нет необходимости в аренде таковых. С другой стороны, стоимость организации корпоративной сети может быть более, чем высока.

Решение на основе виртуальной частной сети.

Рис.
3.2.
Корпоративная сеть на основе VPN

В данном решении предприятие арендует каналы связи у провайдеров, центральный офис и филиалы объединены в виртуальную частную сеть.

Особенности решения, по сравнению с частной сетью:

  • Скорость передачи данных. Зависит от условий, предоставляемых поставщиком услуг связи (провайдером), сильно зависит от региональных особенностей.
  • Безопасность. Учитывая, что данные предприятия попадают в общедоступную сеть, то для обеспечения безопасности необходимо использовать различные средства и алгоритмы защиты информации (шифрование).
  • Стоимость. Необходимо оплачивать услуги провайдера, но нет затрат связанных с организацией корпоративной локальной сети.

Исходя из сравнения решений по параметрам Скорость/Безопасность/Стоимость, выгода от использования VPN, строго говоря, неочевидна. Но виртуальные сети обладают рядом иных преимуществ:

  1. Масштабируемость. В случае расширения штата, открытии нового филиала и т.п. не требуется затрат для обеспечения коммуникаций. Новые пользователи просто подключаются к уже организованной виртуальной сети предприятия.
  2. Гибкость и мобильность. Не имеет значения физическое местоположение пользователя сети. Для подключения к виртуальной сети предприятия достаточно наличия любого канала связи с внешним миром.

Исходя из всего вышеизложенного, можно выделить основные сценарии использования VPN:

  1. Организация удаленного доступа к корпоративным сетевым ресурсам через любую общедоступную сеть. Для реализации данного сценария обязательным является только наличие корпоративного VPN — сервера, к которому могут подключаться удаленные клиенты.
  2. Intranet VPN. Объединение территориально распределенных филиалов компании в единую сеть передачи данных. Для реализации сценария необходимо наличие VPN — сервера в каждом из связываемых организационных объединений.
  3. Extranet VPN. Предоставление клиентам и партнерам доступа к корпоративным сетевым ресурсам.

Таким образом, несмотря на ряд недостатков, можно утверждать, что виртуальная частная сеть, в ряде случаев, может оказаться более предпочтительной, чем частная корпоративная локальная сеть.

Как Работают виртуальные частные сети

Содержание

Введение

Предварительные условия

     
Требования

     
Используемые компоненты

     
Условные обозначения

Общие сведения

Особенности VPN

Аналогия: каждая ЛВС как остров

Технологии VPN

Продукты для VPN

Дополнительные сведения


Данный документ охватывает основы виртуальных частных сетей (VPN), а именно: основные компоненты, технологии VPN, туннелирование и безопасность VPN.

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

За последние пару десятилетий в мире многое изменилось. Вместо простых деловых отношений с местными или региональными филиалами, многие компании сейчас вынуждены думать о глобальных рынках и логистике. Филиалы многих компаний распределены по всей стране и даже по всему миру. Однако все компании нуждаются в одном: способе поддержания быстрого, безопасного и надежного обмена информацией, независимо от местонахождения своих офисов.

До недавнего времени надежная связь означала использование выделенных линий для поддержания глобальной сети (WAN). Выделенные линии от цифровой сети связи с комплексными услугами (ISDN, поддерживает передачу данных со скоростью 144 кбит/с) до оптоволоконной линии связи Optical Carrier-3 (OC3, поддерживает передачу данных со скоростью 155 мбит/с) предоставляют компаниям способ расширения своих частных сетей за пределы своего географического региона. WAN имеет очевидные преимущества по сравнению с сетью общего пользования, например Интернетом, в отношении надежности, быстродействия и безопасности; однако поддержание WAN, особенно при использовании выделенных линий, может оказаться очень дорогостоящим (как правило стоимость зависит от расстояния между филиалами). Кроме того, выделенные линии не являются эффективным решением для организаций, сотрудники которых большую часть времени проводят в разъездах (например маркетинговый персонал) и часто могут испытывать потребность в удаленном подключении к корпоративной сети для доступа к конфиденциальным данным.

По мере распространения Интернета организации обратились к этой общедоступной сети как средству расширения своих собственных сетей. Сначала появились интрасети, спроектированные на основе узлов, для использования только сотрудниками компании. Теперь многие компании создают свои собственные виртуальные частные сети (VPN) для удовлетворения потребностей удаленных сотрудников и региональных отделений.

Типичная VPN может состоять из главной локальной сети (LAN), находящейся в главном офисе компании, других LAN, находящихся в удаленных офисах или производственных филиалах, и отдельных пользователей, подключающихся к сети на своем месте.

VPN — это частная сеть, использующая сеть общего пользования (как правило Интернет) для обмена данными между удаленными узлами и пользователями. Вместо использования специального реального соединения, например выделенной линии, VPN использует «виртуальные» соединения, маршрутизируемые через Интернет из частной сети компании к удаленному узлу или сотруднику.

Существуют сети VPN двух общих типов.

  • Удаленный доступ—Также называется виртуальной частной сетью удаленного доступа (VPDN), это соединение между пользователем и LAN, используемое компанией, сотрудникам которой требуется подключение к частной сети из различных удаленных мест. Как правило, корпорация при создании большой сети VPN удаленного доступа в некоторой форме предоставляет своим пользователям учетную запись удаленного подключения через Интернет с помощью поставщика услуг Интернета. После этого удаленные пользователи могут набрать номер 1-800 для выхода в Интернет и использовать свое клиентское ПО VPN для доступа к корпоративной сети. Наглядным примером компании, нуждающейся в сети VPN удаленного доступа, может служить большая фирма, в штате которой сотни торговых агентов, находящихся в разных местах. Сети VPN удаленного доступа обеспечивают безопасное соединение с шифрованием между частной сетью компании и удаленными пользователями через стороннего поставщика услуг.

  • Сеть-сеть—Используя специализированное оборудование и крупномасштабное шифрование, компания может объединить множество фиксированных узлов через сеть общего пользования, например Интернет. Каждому узлу требуется только локальное подключение к той же общедоступной сети — это позволяет не тратить средства на протяженные частные выделенные линии. Сети VLAN типа «сеть-сеть» можно еще разделить на интрасети и экстрасети. Сеть VLAN типа «сеть-сеть», проложенную между офисами одной компании, называют интрасетью VPN, а проложенную для соединения компании со своим партнером или клиентом, называют экстрасетью VPN.

Эффективно спроектированная сеть VLAN может обеспечить компании значительные преимущества. Например:

  • Расширение взаимодействия между различными географическими регионами

  • Уменьшение эксплуатационных расходов по сравнению с традиционными WAN

  • Сокращение транзитного времени и дорожных расходов для удаленных пользователей

  • Повышение производительности

  • Упрощение топологии сети

  • Обеспечение возможности взаимодействия через глобальную сеть

  • Обеспечение поддержки удаленных сотрудников

  • Более быстрая отдача на инвестиции (ROI) по сравнению с традиционной WAN

Возможности, которые должна предоставлять эффективно спроектированная VPN Сеть VPN должна обладать следующим:

  • Безопасность

  • Надежность

  • Масштабируемость

  • Управление сетью

  • Управление политиками

Представьте, что вы живете на острове посреди огромного океана. Вокруг вас разбросаны тысячи других островов, одни из них находятся ближе другие дальше. Обычный способ перемещения — это воспользоваться переправой между вашим островом и тем островом, куда нужно попасть. Перемещение переправой означает, что у вас практически отсутствует секретность. Все что вы делаете может увидеть кто-либо другой.

Проведем следующую аналогию: каждый остров представляет частную LAN, а океан — это Интернет. Перемещение переправой аналогично подключению к веб-серверу или другому устройству через Интернет. Вы не контролируете провода и маршрутизаторы, составляющие Интернет, это подобно отсутствию контроля над другими людьми, находящимися на средстве переправы. Это оставляет вас беззащитным перед проблемами с безопасностью при попытке установить соединение между двумя частными сетями, используя общий ресурс.

Ваш остров решает навести мост с другим островом, чтобы появился более легкий, безопасный и прямой путь для перемещения людей между островами. Наведение и содержание моста — дорогостоящая процедура, даже если эти острова находятся на очень близком расстоянии один от другого. Однако потребность в надежном и безопасном пути настолько велика, что вы решаетесь на этот шаг. Ваш остров хотел бы соединиться со вторым островом, который находится гораздо дальше первого, но вы решаете, что это слишком дорого.

Возникновение такой ситуации очень вероятно при использовании выделенной линии. Мосты (выделенные линии) отделены от океана (Интернет) и при этом они способны соединять острова (LAN). Многие компании выбрали этот путь из-за потребности в безопасной и надежной связи между своими удаленными офисами. Однако, если офисы находятся на очень большом расстоянии один от другого, стоимость может оказаться чрезмерно высокой — это подобно ситуации, когда нужно возводить очень длинный мост.

Какое место VPN занимает в этой аналогии? Каждому обитателю таких островов можно предоставить свою собственную небольшую подводную лодку, обладающую следующими свойствами.

  • Быстрота.

  • Легкое управление в нужном направлении.

  • Полная невидимость для остальных средств переправы и подводных лодок.

  • Надежность.

  • После приобретения первой подводной лодки, стоимость приобретения дополнительных субмарин становится небольшой.

Хотя они плавают в океане вместе с остальными лодками, обитатели двух островов могут перемещаться туда и обратно в любое время, сохраняя секретность и безопасность. Именно в этом и заключается сущность функционирования VPN. Каждый удаленный пользователь вашей сети может взаимодействовать безопасным и надежным способом, используя Интернет в качестве среды для подключения к частной LAN. VPN гораздо легче расширяется добавлением новых пользователей и различных расположений чем выделенная линия. На самом деле, масштабируемость — это основное преимущество VPN в сравнении с типичными выделенными линиями. В отличие от выделенных линий, где стоимость возрастает прямо пропорционально протяженности соединения, географическое расположение каждого офиса имеет меньшее значение при создании VPN.

В эффективно спроектированной VPN используются несколько методов обеспечения безопасности соединения и данных.

  • Секретность данных — Вероятно, это наиболее важная особенность любой реализации VPN. Поскольку ваши личные данные передаются через сеть общего пользования, секретность данных крайне необходима и может быть обеспечена шифрованием этих данных. Этот процесс подразумевает шифрование всех данных, отправляемых одним компьютером другому в такой форме, что только другой компьютер способен будет их расшифровать.

    Большинство сетей VPN используют один из следующих протоколов для шифрования.

    • IPsec — Набор протоколов (IPsec) для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, предоставляет средства повышения безопасности, такие как алгоритмы более устойчивого шифрования и более полную аутентификацию. IPsec имеет два режима шифрования: транспортный и туннельный. В туннельном режиме шифруются заголовок и полезные данные каждого пакета, а в транспортном — только полезные данные. Преимуществами этого протокола могут воспользоваться только системы, совместимые с IPsec. Кроме того все устройства должны использовать один общий ключ или сертификат и иметь сходным образом настроенные политики безопасности.

      Пользователям сети VPN удаленного доступа некоторые пакеты ПО сторонних разработчиков обеспечивают подключение и шифрование на ПК пользователей. IPsec поддерживает шифрование с 56-битным ключом (DES) или с 168-битным ключом (тройной DES).

    • PPTP/MPPE — Протокол туннелирования между узлами (PPTP) был создан консорциумом PPTP Forum таких компаний как US Robotics, Microsoft, 3COM, Ascend и ECI Telematics. PPTP поддерживает многопротокольные VPN с шифрованием 40-битным и 128-битным ключом, используя протокол шифрования данных от Microsoft (MPPE). Важно помнить, что протокол PPTP сам по себе не обеспечивает шифрование данных.

    • L2TP/IPsec — Как правило, его называют протоколом L2TP через IPsec. Он обеспечивает безопасность протокола IPsec при туннелировании по сетевому протоколу туннелирования канального уровня (L2TP). L2TP — это продукт совместной работы членов PPTP forum, Cisco и инженерной группы по развитию Интернета (IETF). Используется, главным образом, для сетей VPN удаленного доступа с ОС Windows 2000, поскольку ОС Windows 2000 предоставляет собственного клиента IPsec и L2TP. Поставщик услуг Интернета также обеспечивает подключения L2TP для удаленных пользователей, а затем шифрует этот трафик с помощью IPsec между своей точкой доступа и сервером сети удаленного офиса.

  • Целостность данных — При том, что очень важно осуществлять шифрование данных при передаче через сеть общего пользования, не менее важно проверять их неизменность в процессе передачи. Например, IPsec имеет механизм гарантирования того, что зашифрованная часть пакета или пакет целиком (заголовок и данные) не были изменены. В случае обнаружения изменения, пакет отбрасывается. Целостность данных также может включать аутентификацию удаленного узла.

  • Аутентификация источника данных — Очень важно проверять удостоверение источника отправленных данных. Это обязательно для защиты от целого ряда атак, использующих подделку удостоверения отправителя.

  • Защита от повторений пакетов — Это способность обнаруживать и отбрасывать повторно передаваемые пакеты, которая помогает предотвратить спуфинг.

  • Туннелирование данных/конфиденциальность потока трафика — Туннелирование — это процесс инкапсуляции целого пакета внутрь другого пакета и отправка его по сети. Туннелирование данных полезно в случаях, когда желательно скрывать удостоверение устройства, являющегося источником трафика. Например, одно устройство, использующее IPsec, инкапсулирует трафик, принадлежащий нескольким узлам, расположенным после него, и добавляет свой собственный заголовок в верхнюю часть имеющихся пакетов. Шифрованием исходного пакета и заголовка (и маршрутизацией пакета на основании дополнительного заголовка 3-го уровня, добавленного в верхнюю часть), устройство туннелирования эффективно скрывает фактический источник пакета. Только доверенный узел способен определить действительный источник после отделения дополнительного заголовка и расшифровки исходного заголовка. Как отмечено в документе RFC 2401 , «…раскрытие внешних характеристик связи также может стать проблемой при определенных обстоятельствах. Конфиденциальность потока трафика — это сервис, который призван решать упомянутую выше проблему путем маскирования адресов источника и назначения, длины сообщения и активности информационного обмена. В контексте IPsec использование ESP в туннельном режиме, особенно на шлюзе безопасности, может обеспечить некоторый уровень конфиденциальности потока трафика.»

    Все перечисленные здесь протоколы шифрования также используют туннелирование как средство передачи шифрованных данных через сеть общего пользования. Важно понимать, что туннелирование само по себе не обеспечивает безопасность данных. Исходный пакет просто инкапсулируется внутри другого протокола и, по-прежнему, может быть виден с помощью устройства захвата пакетов, если не зашифрован. Однако это уже упомянуто здесь, поскольку является неотъемлемой частью функционирования VPN.

    Для туннелирования требуются три разных протокола.

    • Протокол Passenger — Передаваемые исходные данные (IPX, NetBeui, IP).

    • Протокол инкапсуляции — Протокол (GRE, IPsec, L2F, PPTP, L2TP) инкапсулирующий исходные данные.

    • Транспортный протокол — Протокол, используемый сетью, через которую передаются данные.

    Исходный пакет (протокол Passenger) инкапсулируется внутри протокола инкапсуляции, который затем помещается внутрь заголовка транспортного протокола (обычно IP) для передачи через сеть общего пользования. Обратите внимание, что протокол инкапсуляции также во многих случаях осуществляет шифрование данных. Такие протоколы как IPX и NetBeui, которые обычно не передаются через Интернет, можно надежно и безопасно передавать.

    Для VLAN типа «сеть-сеть» протоколом инкапсуляции служит как правило IPsec или протокол туннелирования сетевых пакетов (GRE). GRE содержит сведения о типе инкапсулируемого пакета и данные о соединении между клиентом и сервером.

    Для сетей VPN удаленного доступа туннелирование, как правило, осуществляются с помощью протокола точка-точка (PPP). Часть стека TCP/IP, PPP является транспортом для других протоколов IP при обмене данными через сеть между узлом и удаленной системой. Туннелирование PPP будет использовать один из следующих протоколов: PPTP, L2TP или протокол эстафетной передачи на втором уровне Cisco (Layer 2 Forwarding, L2F).

  • AAA — Протокол AAA (аутентификации, авторизации и учета) используется для более безопасного доступа в среде VPN удаленного доступа. Без аутентификации пользователя любое лицо, имеющее доступ к ноутбуку или ПК с предварительно настроенным ПО клиента VPN может установить безопасное подключение к удаленной сети. Однако при использовании аутентификации пользователя, чтобы установить соединение требуется ввести действительные пароль и имя пользователя. Пароли и имена пользователя могут храниться в самом оконечном устройстве VPN или на внешнем сервере ААА, который может обеспечивать аутентификацию для целого ряда баз данных, например Windows NT, Novell, LDAP и др.

    Когда запрос установки туннеля исходит от удаленного клиента, устройство VPN запрашивает пароль и имя пользователя. Затем эти данные могут пройти аутентификацию локально или будут отправлены внешнему серверу ААА, который проверит:

    • Удостоверение пользователя (Аутентификация)

    • Права пользователя (Авторизация)

    • Фактические действия пользователя (Учет)

    Данные учета особенно полезны для отслеживания действий клиента с целью аудита безопасности, биллинга или составления отчетности.

  • Неподдельность — Очень полезная функция при передаче определенных данных, например относящихся к финансовым операциям. Она полезна для предотвращения ситуаций, когда одна сторона отказывается признавать участие в операции. Почти аналогично тому, как банк требует поставить подпись прежде чем заплатить по чеку, неподдельность функционирует путем присоединения цифровой подписи к отправляемому сообщению, исключая возможность отказа отправителя от участия в операции.

Существует целый ряд протоколов, которые можно использовать для создания решения VPN. Все эти протоколы предоставляют некоторый поднабор сервисов, перечисленных в данном документе. Выбор протокола определяется желаемым набором сервисов. Например, одна организация может быть удовлетворена передачей данных открытым текстом, но очень заинтересована в сохранении их целостности, тогда как для другой организации исключительно важным является сохранение конфиденциальности данных. В этом случае их выбор протоколов может отличаться. Дополнительную информацию о доступных протоколах и их сравнительных достоинствах см. в Выбор подходящего VPN-решения

В зависимости от типа VPN (удаленный доступ или «сеть-сеть») потребуются определенные компоненты для создания VPN. К ним относятся:

  • Клиентское ПО настольной системы для каждого удаленного пользователя

  • Специализированное оборудование, например концентратор Cisco VPN Concentrator или брандмауэр Cisco Secure PIX Firewall

  • Специализированный VPN-сервер для служб удаленного доступа

  • Сервер доступа к сети (NAS), используемый поставщиком услуг для доступа удаленных пользователей к виртуальной частной сети (VPN)

  • Центр управления политиками и частной сетью

Поскольку нет общепринятого стандарта для реализации VPN, многие компании разрабатывают собственные решения «под ключ». Например, Cisco предлагает несколько решений VPN, включая:

  • Концентратор VPN Concentrator — Используя самые передовые существующие методы аутентификации и шифрования, концентраторы Cisco VPN сконструированы специально для создания VPN удаленного доступа и типа «сеть-сеть» и являются оптимальным решением для развертывания, когда требуется одно устройство для работы с очень большим числом VPN-туннелей. VPN Concentrator специально разработан, чтобы удовлетворить потребность в специализированном устройстве для VPN удаленного доступа. Эти концентраторы обеспечивают высокую доступность, производительность и масштабируемость и включают компоненты, называемые модулями Scalable Encryption Processing (SEP), которые позволяют пользователям легко повышать производительность и пропускную способность. Эти концентраторы предлагаются в моделях, подходящих как небольшим компаниям с числом удаленных пользователей не более 100, так и крупным коммерческим организациям с числом удаленных пользователей до 10000 одновременно работающих в сети.

  • Маршрутизатор с поддержкой VPN и оптимизированный для VPN — Все маршрутизаторы Cisco, на которых выполняется ПО Cisco IOS®, поддерживают сети IPsec VPN. Единственное требование состоит в том, что на маршрутизаторе должен выполняться образ ПО Cisco IOS с соответствующим набором функций. Решение VPN Cisco IOS полностью поддерживает удаленный доступ, требования сети VPN к интрасети и экстрасети. Это означает, что маршрутизаторы Cisco эффективно работают как при подключении к удаленному узлу, на котором выполняется ПО клиента VPN, так и при подключении к другому устройству VPN, например маршрутизатору, брандмауэру PIX Firewall или концентратору VPN Concentrator. Маршрутизаторы с поддержкой VPN подходят для сетей VPN с умеренными требованиями к шифрованию и туннелированию и предоставляют сервисы VPN полностью через функции ПО Cisco IOS. К маршрутизаторам с поддержкой VPN относятся модели Cisco серий 1000, 1600, 2500, 4000, 4500 и 4700.

    Маршрутизаторы Cisco оптимизированные для VPN обеспечивают масштабируемость, маршрутизацию, безопасность и качество обслуживания (QoS). Маршрутизаторы функционируют на основе ПО Cisco IOS, при этом имеется подходящее устройство для каждой ситуации: от решения доступа для SOHO через центральный сервер объединения VPN до решений для крупных коммерческих организаций. Маршрутизаторы, оптимизированные для VPN, сконструированы для удовлетворения высоких требований к шифрованию и туннелированию и часто используют дополнительные устройства, например криптоплаты, чтобы обеспечить высокую производительность. К маршрутизаторам оптимизированным для VPN относятся модели Cisco серий 800, 1700, 2600, 3600, 7200 и 7500.

  • Брандмауэр Cisco Secure PIX Firewall — Брандмауэр Private Internet eXchange (PIX) сочетает динамическую трансляцию сетевых адресов, прокси-сервер, фильтрацию пакетов, брандмауэр и возможности VPN в одном устройстве. Вместо использования ПО Cisco IOS, это устройство имеет высоко рациональную ОС, в которой вместо способности работать со множеством протоколов реализована высокая отказоустойчивость и производительность за счет сосредоточенности на протоколе IP. Как и маршрутизаторы Cisco, все модели брандмауэра PIX поддерживают IPsec VPN. Все что требуется для включения функции VPN — это удовлетворение требований лицензирования.

  • Клиенты Cisco VPN — Компания Cisco предлагает аппаратные и программные клиенты VPN. Клиент Cisco VPN (ПО) поставляется вместе с концентратором Cisco VPN серии 3000 без дополнительной платы. Этот программный клиент можно установить на узле, используемом для безопасного подключения к концентратору центрального узла (или к любому другому устройству VPN, например маршрутизатору или брандмауэру). Аппаратный клиент VPN 3002 — это еще один способ развертывания программного клиента VPN на каждом ПК, обеспечивающий связность VPN для целого ряда устройств.

Выбор устройства для создания решения VPN в итоге определяется задачей проектирования и зависит от целого ряда факторов, включая требуемую пропускную способность и количество пользователей. Например, на удаленном узле с несколькими пользователями позади PIX 501 можно рассмотреть настройку имеющегося брандмауэра PIX в качестве конечной точки IPsec VPN при условии достаточности пропускной способности 3DES брандмауэра 501 (приблизительно 3 Мбит/с) и ограничения количества VPN узлов значением 5. С другой стороны на центральном узле, функционирующем в качестве конечной точки VPN для большого числа VPN-туннелей, целесообразным будет использование маршрутизатора, оптимизированного для VPN, или концентратора VPN. Выбор теперь зависит от типа («сеть-сеть» или удаленный доступ) и количества настроенных VPN-туннелей. Широкий перечень устройств Cisco, поддерживающих VPN, обеспечивает проектировщикам сети большую гибкость и высокую отказоустойчивость решения для удовлетворения потребности в каждом решении.



Прокладываем виртуальные сети / Хабр

С тех пор как интернет ( вернее ARPAnet ) был маленькой американской сеткой утекло много киселя. Сейчас сеть большое небезопасное место, где защита своих данных является одним из приоритетных направлений. О том как же меньше бояться я и расскажу в этом маленьком опусе.

1. Предположим…

Мы имеем два чудных рабочих места, одно находится в офисе на работе, а другое дома. И у нас стоит задача как же удобно забирать файлы с работы домой и с дома на работу. Таскать на компакт диске? Неудобно. Носить на флешке? Замучаешься копировать каждый раз. А вдруг неизвестно, какие файлы понадобятся сегодня? Таскать все сразу? Не вариант. Тем более на дворе 21й век, интернет как никогда скоростной, а безлимитные тарифы есть почти в каждом городе ( ну если сейчас нет, то в обозримом будущем точно будут ). Так что же сделать? Объединить компьютеры в локальную сеть и спокойно копировать файлы, подключаться к удаленному рабочему столу и даже играть в игры ( ну мало ли, вдруг кому захочется ).

2. Что…

С помощью бесплатной программы OpenVPN мы объединим два наших компьютера (а может и больше) в единую виртуальную сеть. Все передаваемые данные будут надежно зашифрованы с помощью Blowfish с ключем до 448 бит ( взлом с текущими мощностями компьютеров просто нереален ).
OpenVPN лучше ставить вместе с GUI. Скачать все это чудо можно с оффициального сайта OpenVPN GUI.

3. Как…

Итак у нас есть два компьютера. Один из них имеет внешний IP-адрес ( ну скорее всего домашний, ибо в офисах чаще сидят за фаерволами), а другой скрыт за NAT’ом. Ясное дело, что к тому компьютеру, который скрыт за NAT’ом подключится будет проблематично, тем более если захочется скачать с него файлы. Потому сервером OpenVPN мы выберем домашний компьютер, а в качестве клиента будет выступать наш офисный ПК. Итак приступим.

4. Установка

Установка OpenVPN простая и не требует особых знаний. Next next next finish. Собственно настройка гораздо интереснее.

5. Техническое описание задачи

Подготовка к действу закончена. Теперь самое время описать технически как же все это будет действовать.
Имеем:
Домашний компьютер А с внешним адресом $HOMEIP;
Офисный компьютер Б закрытый фаерволом и не имеющий внешнего адреса;
Необходимо:
Офисный компьютер Б должен подключаться к компьютеру А по протоколу TCP на порт 12345. Виртуальная сеть будет иметь адрес 10.0.1.0/24, где 10.0.1.1 домашний компьютер, а 10.0.1.2 — офисный. Авторизация должна проходить по сертификатам без использования паролей.

6. Сервер

OpenVPN по умолчанию устанавливается в C:\Program Files\OpenVPN. Запускаем консоль (cmd.exe и переходим в каталог C:\Program Files\OpenVPN\easy-rsa и выполняем там init-config.bat.

C:\Program Files\OpenVPN\easy-rsa>init-config.bat

C:\Program Files\OpenVPN\easy-rsa>copy vars.bat.sample vars.bat

Скопировано файлов: 1.

C:\Program Files\OpenVPN\easy-rsa>copy openssl.cnf.sample openssl.cnf

Скопировано файлов: 1.

Теперь откроем конфигурационный файл vars.bat и приведем его к следующему виду:
@echo off

set HOME=%ProgramFiles%\OpenVPN\easy-rsa

set KEY_CONFIG=openssl.cnf

set KEY_DIR=keys

set KEY_SIZE=2048

set KEY_COUNTRY=RU

set KEY_PROVINCE=MSK

set KEY_CITY=Moskow

set KEY_ORG=Kremlin

set [email protected]


Здесь:
KEY_DIR — каталог где будут храниться ключи;
KEY_SIZE — длина RSA-ключа используемого для подписи;
KEY_COUNTRY — код страны;
KEY_PROVINCE — код региона ( провинции, области и тд)
KEY_CITY — город;
KEY_ORG — организация;
KEY_EMAIL — адрес электронной почты;

Теперь для генерации необходимых ключей и сертификатов последовательно запустим команды:
vars.bat

clean-all.bat

build-ca.bat

build-dh.bat

build-key-server.bat homepc


В результате в консоли получится нечто вроде этого:
C:\Program Files\OpenVPN\easy-rsa>vars

C:\Program Files\OpenVPN\easy-rsa>clean-all.bat

Скопировано файлов: 1.

Скопировано файлов: 1.

C:\Program Files\OpenVPN\easy-rsa>build-ca.bat

Loading ‘screen’ into random state — done

Generating a 2048 bit RSA private key

…+++

………………..+++

writing new private key to ‘keys\ca.key’

——

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter ‘.’, the field will be left blank.

——

Country Name (2 letter code) [RU]:

State or Province Name (full name) [MSK]:

Locality Name (eg, city) [Moskow]:

Organization Name (eg, company) [Kremlin]:

Organizational Unit Name (eg, section) []:

Common Name (eg, your name or your server’s hostname) []:server

Email Address [[email protected]]:

C:\Program Files\OpenVPN\easy-rsa>build-dh.bat

Loading ‘screen’ into random state — done

Generating DH parameters, 2048 bit long safe prime, generator 2

This is going to take a long time

………..+……..++*

C:\Program Files\OpenVPN\easy-rsa>build-key-server.bat homepc

Loading ‘screen’ into random state — done

Generating a 2048 bit RSA private key

…………………………………………………..+++

…………………..+++

writing new private key to ‘keys\homepc.key’

——

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter ‘.’, the field will be left blank.

——

Country Name (2 letter code) [RU]:

State or Province Name (full name) [MSK]:

Locality Name (eg, city) [Moskow]:

Organization Name (eg, company) [Kremlin]:

Organizational Unit Name (eg, section) []:

Common Name (eg, your name or your server’s hostname) []:homepc

Email Address [[email protected]]:

Please enter the following ‘extra’ attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

Using configuration from openssl.cnf

Loading ‘screen’ into random state — done

Check that the request matches the signature

Signature ok

The Subject’s Distinguished Name is as follows

countryName :PRINTABLE:’RU’

stateOrProvinceName :PRINTABLE:’MSK’

localityName :PRINTABLE:’Moskow’

organizationName :PRINTABLE:’Kremlin’

commonName :PRINTABLE:’homepc’

emailAddress :IA5STRING:’[email protected]

Certificate is to be certified until Aug 11 12:51:16 2018 GMT (3650 days)

Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y

Write out database with 1 new entries

Data Base Updated

C:\Program Files\OpenVPN\easy-rsa>

Генерация ключей для сервера закончена. Скопируем следующие файлы ca.crt, homepc.key, homepc.crt и dh3048.pem из каталога OpenVPN\easy-rsa\keys в каталог OpenVPN\config\. Потом создаем конфиг сервера OpenVPN\config\server.ovpn ( если у вас Vista, то сначала создайте конфиг например на рабочем столе, а потом скопируйте в каталог config ). В него забиваем следующее:
############################

#в данном режиме демон OpenVPN принимает несколько подключений

mode server

#использовать TLS

tls-server

#используемый протокол, udp или tcp-server

proto tcp-server

#используемый тип виртуального адаптера,TUN - туннель, TAP - сеть

dev tap

#порт на котором слушаем подключение

port 12345

#файл корневого сертификата

ca ca.crt

#сертификат сервера

cert homepc.crt

#ключ сервера

key homepc.key

#файл ключа Диффи-Хелмана

dh dh3048.pem

#настраиваем интерфейс

ifconfig 10.0.1.1 255.255.255.0

#уровень отладки, 3 нам вполне хватит

verb 3

#длина ключа шифрования, 256 нам хватит

keysize 256

#используемый алгоритм шифрования, blowfish

cipher BF-CBC

#использовать сжатие данных

comp-lzo


Сохраняем, после чего жмем на него правой кнопкой мыши, и выбираем запуск с помощью OpenVPN ( ну или открыть с помощью OpenVPN, если конфиг имеет расширение txt). Сервер запустится и будет готов обслуживать подключения.

7. Клиент.

Для работы клиенты мы сгенерируем один файл содержащий необходимые нам ключи и сертификаты. Для этого в консоли сервера ( например после генерации его ключей ) выполняем команды vars.bat и затем build-key-pkcs12.bar officepc. Получим что-то вроде этого:
C:\Program Files\OpenVPN\easy-rsa>build-key-pkcs12.bat officepc

Loading 'screen' into random state - done

Generating a 2048 bit RSA private key

................................................................................

.......+++

...+++

writing new private key to 'keys\officepc.key'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [RU]:

State or Province Name (full name) [MSK]:

Locality Name (eg, city) [Moskow]:

Organization Name (eg, company) [Kremlin]:

Organizational Unit Name (eg, section) []:

Common Name (eg, your name or your server's hostname) []:officepc

Email Address [[email protected]]:

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

Using configuration from openssl.cnf

Loading 'screen' into random state - done

DEBUG[load_index]: unique_subject = "yes"

Check that the request matches the signature

Signature ok

The Subject's Distinguished Name is as follows

countryName :PRINTABLE:'RU'

stateOrProvinceName :PRINTABLE:'MSK'

localityName :PRINTABLE:'Moskow'

organizationName :PRINTABLE:'Kremlin'

commonName :PRINTABLE:'officepc'

emailAddress :IA5STRING:'[email protected]'

Certificate is to be certified until Aug 11 13:17:22 2018 GMT (3650 days)

Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y

Write out database with 1 new entries

Data Base Updated

Loading 'screen' into random state - done

Enter Export Password:

Verifying - Enter Export Password:

C:\Program Files\OpenVPN\easy-rsa>


Примечение! Не обязательно вводить пароль на последнем этапе генерации. Лично я просто нажал Enter.
Теперь копируем файл officepc.p12 из каталога OpenVPN\easy-rsa\keys в каталог OpenVPN\config НАХОДЯЩИЙСЯ НА МАШИНЕ КЛИЕНТА. И создаем конфиг на машине клиента, например client.ovpn, с таким содержимым:
#используемый тип устройства туннеля

dev tap

#использовать TLS

tls-client

#адрес домашнего ПК

remote $HOMEIP 12345

#протокол подключения

proto tcp-client

#настраиваем интерфейс

ifconfig 10.0.1.2 255.255.255.0

#использовать сжатие

comp-lzo

#уровень отладки

verb 3

#сертификат для подключения

pkcs12 cert.p12

#использовать сжатие

comp-lzo

#длина ключа

keysize 256

#используемое шифрование

cipher BF-CBC

Все. Настройка окончена. Запускаем конфигурационный файл на клиенте ( открыть с помощью OpenVPN ). Наша виртуальная сеть готова.
P.S. Ежели чего не сказал, или какие моменты непонятны дополню и расширю пост. Милости просим)

VPN — виртуальные частные сети

Последнее обновление , понедельник, 12 ноября 2012 г., 12:44 , автор: Jean-François Pillou.

  • Концепция виртуальных частных сетей
  • Работа VPN
  • Протоколы туннелирования
  • Протокол PPTP
  • Протокол L2TP
  • Протокол IPSec

Концепция виртуальных частных сетей

Локальные сети (LAN) — это внутренние сети организаций, то есть соединения между машинами, принадлежащими определенной организации.Эти сети все чаще подключаются к Интернету с помощью соединительного оборудования. Очень часто компаниям необходимо общаться через Интернет с дочерними предприятиями, клиентами или даже сотрудниками, которые могут быть географически удаленными.

Однако данные, передаваемые через Интернет, намного более уязвимы, чем когда они передаются по внутренней сети организации, поскольку выбранный путь не определен заранее, что означает, что данные должны проходить через инфраструктуру общедоступной сети, принадлежащую разные сущности.По этой причине не исключено, что где-то на линии любопытный пользователь может прослушать сеть или даже перехватить этот сигнал. Следовательно, информация, которая является конфиденциальной для организации или бизнеса, не должна отправляться в таких условиях.

Первое решение для удовлетворения этой потребности в безопасной связи включает соединение удаленных сетей с использованием выделенных линий. Однако, поскольку большинство предприятий не могут связать две удаленные локальные сети с помощью выделенной линии, иногда необходимо использовать Интернет в качестве среды передачи.

Хороший компромисс предполагает использование Интернета в качестве среды передачи с протоколом туннелирования , что означает, что данные инкапсулируются перед отправкой в ​​зашифрованном виде. Термин Virtual Private Network ( VPN для краткости) используется для обозначения сети, искусственно созданной таким образом.

Эта сеть называется виртуальной , потому что она связывает две «физические» сети (локальные сети) с использованием ненадежного соединения (Интернет), и частных , потому что только компьютеры, которые принадлежат к локальной сети на одном конце VPN или другой могут «видеть» данные.

Таким образом, система VPN может обеспечить безопасное соединение с меньшими затратами, поскольку все, что требуется, — это оборудование на обоих концах. С другой стороны, он не может гарантировать качество обслуживания, сравнимое с арендованной линией, поскольку физическая сеть является общедоступной и, следовательно, не гарантируется.

Работа VPN

Виртуальная частная сеть использует протокол, называемый протоколом туннелирования ; то есть протокол, который шифрует данные, которые проходят от одного конца VPN до другого.

Слово «туннель» используется для обозначения того факта, что между моментом, когда данные поступают в VPN и когда они уходят, они зашифрованы и поэтому непонятны никому, не находящемуся на обоих концах VPN, как если бы данные были путешествие по туннелю. В двухмашинной сети VPN клиент VPN является частью, которая шифрует и дешифрует данные на стороне пользователя, а сервер VPN (или чаще всего сервер удаленного доступа ) является элементом, который расшифровывает данные о конце организации.

Таким образом, всякий раз, когда пользователю необходимо получить доступ к виртуальной частной сети, его / ее запрос передается в незашифрованном виде в систему шлюза, которая подключается к удаленной сети, используя инфраструктуру общедоступной сети в качестве посредника, а затем передает запрос в зашифрованный способ. Затем удаленный компьютер предоставляет данные серверу VPN в своей сети, который отправляет зашифрованный ответ. Когда клиент VPN пользователя получает данные, они расшифровываются и, наконец, отправляются пользователю.

Протоколы туннелирования

Основными протоколами туннелирования являются:

  • PPTP ( Point-to-Point Tunneling Protocol ) — это протокол уровня 2, разработанный Microsoft, 3Com, Ascend, US Robotics и ECI Telematics.
  • L2F ( Layer Two Forwarding ) — это протокол уровня 2, разработанный Cisco, Northern Telecom и Shiva. Сейчас он почти устарел.
  • L2TP ( Layer Two Tunneling Protocol ), результат работы IETF (RFC 2661), объединяет функции PPTP и L2F .Это протокол уровня 2, основанный на PPP.
  • IPSec — это протокол уровня 3, созданный IETF, который может отправлять зашифрованные данные для IP-сетей.

Протокол PPTP

Принцип PPTP ( Point to Point Tunneling Protocol ) включает создание кадров с протоколом PPP и их инкапсуляцию с использованием дейтаграммы IP.

Таким образом, при таком соединении удаленные машины в двух локальных сетях соединяются с помощью соединения точка-точка (включая систему аутентификации / шифрования), и пакет отправляется в рамках дейтаграммы IP.

Таким образом, данные локальной сети (а также адреса машин, найденные в заголовке сообщения) инкапсулируются в сообщение PPP, которое само инкапсулируется в сообщении IP.

Протокол L2TP

L2TP — это стандартный протокол туннелирования (стандартизированный в RFC), очень похожий на PPTP. L2TP инкапсулирует кадры PPP, которые сами инкапсулируют другие протоколы (например, IP, IPX или NetBIOS).

Протокол IPSec

IPSec — это протокол, определенный IETF, который используется для обеспечения безопасности передачи данных на сетевом уровне.На самом деле это протокол, который улучшает безопасность протокола IP, чтобы гарантировать конфиденциальность, целостность и аутентификацию отправляемых данных.

IPSec основан на трех модулях:

  • Заголовок IP-аутентификации ( AH ), который включает целостность, аутентификацию и защиту от атак повторного воспроизведения на пакеты.
  • Encapsulating Security Payload ( ESP ), который определяет шифрование пакетов.ESP обеспечивает конфиденциальность, целостность, аутентификацию и защиту от атак повторного воспроизведения.
  • Security Association ( SA ), которая определяет обмен ключами и параметры безопасности. SA включают всю информацию о том, как обрабатывать IP-пакеты (протоколы AH и / или ESP, туннельный или транспортный режим, алгоритмы безопасности, используемые протоколами, используемые ключи и т. Д.). Обмен ключами осуществляется вручную или с обменом. протокол IKE (большую часть времени), который позволяет обеим сторонам слышать друг друга.

.

Как работают виртуальные частные сети

В этом документе рассматриваются основы VPN, такие как основные компоненты VPN, технологии, туннелирование и безопасность VPN.

Требования

Для этого документа нет особых требований.

Используемые компоненты

Этот документ не ограничивается конкретными версиями программного и аппаратного обеспечения.

Условные обозначения

См. Раздел Условные обозначения технических советов Cisco для получения дополнительной информации об условных обозначениях в документе.

Мир сильно изменился за последние пару десятилетий. Вместо того чтобы просто заниматься местными или региональными проблемами, многие компании теперь должны думать о глобальных рынках и логистике. У многих компаний есть предприятия по всей стране или даже по всему миру. Но есть одна вещь, которая нужна всем компаниям: способ поддерживать быструю, безопасную и надежную связь, где бы ни находились их офисы.

До недавнего времени надежная связь означала использование выделенных линий для обслуживания глобальной сети (WAN).Арендованные линии, начиная от цифровой сети с интегрированными услугами (ISDN, которая работает со скоростью 144 Кбит / с) и заканчивая оптоволоконным кабелем Optical Carrier-3 (OC3, который работает со скоростью 155 Мбит / с), предоставляют компании возможность расширить свою частную сеть за пределы непосредственного географического района . WAN имеет очевидные преимущества перед общедоступной сетью, такой как Интернет, когда дело касается надежности, производительности и безопасности; но поддержание глобальной сети, особенно при использовании выделенных линий, может стать довольно дорогостоящим (оно часто возрастает по мере увеличения расстояния между офисами).Кроме того, арендованные линии не являются жизнеспособным решением для организаций, часть сотрудников которых очень мобильна (как в случае с персоналом по маркетингу) и часто может нуждаться в удаленном подключении к корпоративной сети и доступе к конфиденциальным данным.

По мере роста популярности Интернета компании обращаются к нему как к средству расширения своих сетей. Сначала появились интранеты — сайты, предназначенные только для сотрудников компании. Сейчас многие компании создают свои собственные виртуальные частные сети (VPN) для удовлетворения потребностей удаленных сотрудников и удаленных офисов.

Типичная VPN может иметь основную локальную сеть (LAN) в корпоративной штаб-квартире компании, другие локальные сети в удаленных офисах или объектах, а также отдельных пользователей, которые подключаются извне.

VPN — это частная сеть, которая использует общедоступную сеть (обычно Интернет) для соединения удаленных сайтов или пользователей. Вместо использования выделенного реального соединения, такого как выделенная линия, VPN использует «виртуальные» соединения, маршрутизируемые через Интернет из частной сети компании к удаленному сайту или сотруднику.

Существует два распространенных типа VPN.

  • Удаленный доступ — Также называется виртуальной частной коммутируемой сетью (VPDN), это соединение пользователя с локальной сетью, используемое компанией, у которой есть сотрудники, которым необходимо подключиться к частной сети из различных удаленных мест. . Как правило, корпорация, желающая создать крупную виртуальную частную сеть с удаленным доступом, предоставляет своим пользователям учетную запись удаленного доступа в той или иной форме, используя поставщика услуг Интернета (ISP). После этого удаленные сотрудники могут набрать номер 1-800 для выхода в Интернет и использовать свое клиентское программное обеспечение VPN для доступа к корпоративной сети.Хорошим примером компании, которая нуждается в VPN с удаленным доступом, может служить крупная фирма с сотнями продавцов на местах. VPN с удаленным доступом обеспечивают безопасные зашифрованные соединения между частной сетью компании и удаленными пользователями через стороннего поставщика услуг.

  • Site-to-Site — с помощью специального оборудования и крупномасштабного шифрования компания может соединить несколько фиксированных сайтов через общедоступную сеть, такую ​​как Интернет. Каждому сайту требуется только локальное подключение к одной и той же общедоступной сети, что позволяет сэкономить деньги на длинных частных выделенных линиях.Виртуальные частные сети типа «сеть-сеть» можно разделить на интрасети и экстрасети. VPN типа «сеть-сеть», построенная между офисами одной и той же компании, называется VPN для интрасети, а VPN, созданная для подключения компании к ее партнеру или клиенту, называется VPN-экстрасетью.

Хорошо спроектированная VPN может принести большую пользу компании. Например, может:

  • Расширение географической связи

  • Снижение эксплуатационных расходов по сравнению с традиционными глобальными сетями

  • Сократить время доставки и командировочные расходы для удаленных пользователей

  • Повышение производительности

  • Упростить топологию сети

  • Обеспечение глобальных сетевых возможностей

  • Обеспечение поддержки надомных сотрудников

  • Обеспечивает более быструю окупаемость инвестиций (ROI), чем традиционный WAN

Какие функции необходимы хорошо спроектированной VPN? Он должен включать следующие элементы:

  • Безопасность

  • Надежность

  • Масштабируемость

  • Управление сетью

  • Управление политиками

Представьте, что вы живете на острове в огромном океане.Вокруг вас тысячи других островов, одни очень близко, а другие подальше. Обычный способ путешествовать — сесть на паром с вашего острова на любой остров, который вы хотите посетить. Путешествие на пароме означает, что у вас почти нет уединения. Все, что вы делаете, может увидеть кто-то другой.

Предположим, что каждый остров представляет собой частную локальную сеть, а океан — это Интернет. Когда вы путешествуете на пароме, это похоже на подключение к веб-серверу или другому устройству через Интернет.У вас нет контроля над проводами и маршрутизаторами, из которых состоит Интернет, точно так же, как вы не можете контролировать других людей на пароме. Это оставляет вас уязвимым для проблем безопасности, если вы попытаетесь подключиться между двумя частными сетями с использованием общедоступного ресурса.

Ваш остров решает построить мост на другой остров, чтобы люди могли перемещаться между ними более простым, безопасным и прямым путем. Строить и поддерживать мост стоит дорого, хотя остров, с которым вы соединяетесь, находится очень близко.Но потребность в надежном, безопасном пути настолько велика, что вы все равно это делаете. Ваш остров хотел бы соединиться со вторым островом, который находится намного дальше, но вы решили, что это слишком дорого.

Эта ситуация очень похожа на выделенную линию. Мосты (выделенные линии) отделены от океана (Интернет), но они могут соединять острова (LAN). Многие компании выбрали этот путь из-за необходимости обеспечения безопасности и надежности при подключении своих удаленных офисов.Однако, если офисы расположены очень далеко друг от друга, стоимость может быть непомерно высокой — точно так же, как попытка построить мост на большом расстоянии.

Итак, как VPN вписывается в эту аналогию? Мы могли бы подарить каждому жителю наших островов свою небольшую подводную лодку с такими свойствами.

  • Быстро.

  • Легко брать с собой куда угодно.

  • Он способен полностью скрыть вас от любых других лодок или подводных лодок.

  • Надежно.

  • Добавление дополнительных подводных лодок к вашему флоту после покупки первой стоит недорого.

Хотя они путешествуют по океану вместе с другими транспортными средствами, жители двух наших островов могут путешествовать туда и обратно, когда захотят, с конфиденциальностью и безопасностью. По сути, так работает VPN. Каждый удаленный член вашей сети может безопасно и надежно общаться, используя Интернет в качестве среды для подключения к частной локальной сети.VPN может расти, чтобы вместить больше пользователей и в разных местах, гораздо проще, чем выделенная линия. Фактически, масштабируемость — главное преимущество VPN перед типичными выделенными линиями. В отличие от выделенных линий, стоимость которых возрастает пропорционально расстояниям, географическое расположение каждого офиса имеет мало значения при создании VPN.

Хорошо спроектированная VPN использует несколько методов для обеспечения безопасности вашего соединения и данных.

  • Конфиденциальность данных — Это, пожалуй, самая важная услуга, предоставляемая любой реализацией VPN.Поскольку ваши личные данные передаются по общедоступной сети, конфиденциальность данных имеет жизненно важное значение и может быть обеспечена путем шифрования данных. Это процесс принятия всех данных, которые один компьютер отправляет другому, и кодирования их в форму, которую сможет декодировать только другой компьютер.

    Большинство VPN используют один из этих протоколов для обеспечения шифрования.

    • IPsec — Протокол безопасности Интернет-протокола (IPsec) обеспечивает расширенные функции безопасности, такие как более надежные алгоритмы шифрования и более полную аутентификацию.IPsec имеет два режима шифрования: туннельный и транспортный. В туннельном режиме шифруются заголовок и полезная нагрузка каждого пакета, в то время как в транспортном режиме шифруется только полезная нагрузка. Только системы, совместимые с IPsec, могут использовать этот протокол. Кроме того, все устройства должны использовать общий ключ или сертификат и иметь очень похожие политики безопасности.

      Для пользователей VPN с удаленным доступом некоторые формы сторонних пакетов программного обеспечения обеспечивают соединение и шифрование на ПК пользователей. IPsec поддерживает 56-битное (одиночный DES) или 168-битное (тройное DES) шифрование.

    • PPTP / MPPE —PPTP был создан PPTP Forum, консорциумом, в который входят US Robotics, Microsoft, 3COM, Ascend и ECI Telematics. PPTP поддерживает многопротокольные сети VPN с 40-битным и 128-битным шифрованием с использованием протокола Microsoft Point-to-Point Encryption (MPPE). Важно отметить, что PPTP сам по себе не обеспечивает шифрование данных.

    • L2TP / IPsec — обычно называемый L2TP поверх IPsec, он обеспечивает безопасность протокола IPsec через туннелирование протокола туннелирования уровня 2 (L2TP).L2TP является продуктом партнерства между участниками форума PPTP, Cisco и Инженерной группой Интернета (IETF). В основном используется для виртуальных частных сетей удаленного доступа в операционных системах Windows 2000, поскольку Windows 2000 предоставляет собственный клиент IPsec и L2TP. Интернет-провайдеры также могут предоставлять L2TP-соединения для пользователей с телефонным подключением, а затем шифровать этот трафик с помощью IPsec между своей точкой доступа и сетевым сервером удаленного офиса.

  • Целостность данных —Хотя важно, чтобы ваши данные были зашифрованы в общедоступной сети, не менее важно убедиться, что они не были изменены во время передачи.Например, IPsec имеет механизм, гарантирующий, что зашифрованная часть пакета или весь заголовок и часть данных пакета не были подделаны. Если обнаружено вмешательство, пакет отбрасывается. Целостность данных также может включать аутентификацию удаленного узла.

  • Аутентификация источника данных — Чрезвычайно важно проверить подлинность источника отправляемых данных. Это необходимо для защиты от ряда атак, зависящих от подделки личности отправителя.

  • Anti Replay — Это способность обнаруживать и отклонять повторно воспроизводимые пакеты и помогает предотвратить спуфинг.

  • Туннелирование данных / Конфиденциальность потока трафика —Туннелирование — это процесс инкапсуляции всего пакета в другой пакет и его отправки по сети. Туннелирование данных полезно в тех случаях, когда желательно скрыть идентификационные данные устройства, отправляющего трафик. Например, одно устройство, использующее IPsec, инкапсулирует трафик, принадлежащий нескольким хостам, находящимся за ним, и добавляет свой собственный заголовок поверх существующих пакетов.Путем шифрования исходного пакета и заголовка (и маршрутизации пакета на основе добавленного сверху дополнительного заголовка уровня 3) устройство туннелирования эффективно скрывает фактический источник пакета. Только доверенный партнер может определить истинный источник после того, как он удалит дополнительный заголовок и расшифрует исходный заголовок. Как отмечено в RFC 2401, «… раскрытие внешних характеристик связи также может быть проблемой при некоторых обстоятельствах. Конфиденциальность потока трафика — это услуга, которая решает эту последнюю проблему путем сокрытия адресов источника и получателя, длины сообщения или частоты общение.В контексте IPsec использование ESP в туннельном режиме, особенно на шлюзе безопасности, может обеспечить некоторый уровень конфиденциальности потока трафика ».

    Все перечисленные здесь протоколы шифрования также используют туннелирование как средство для передачи зашифрованных данных по общедоступной сети. . Важно понимать, что туннелирование само по себе не обеспечивает безопасность данных. Исходный пакет просто инкапсулируется внутри другого протокола и может быть видимым устройством захвата пакетов, если не зашифрован.Однако здесь он упоминается, поскольку является неотъемлемой частью функционирования VPN.

    Для туннелирования требуется три разных протокола.

    • Пассажирский протокол — Исходные данные (IPX, NetBeui, IP), которые передаются.

    • Протокол инкапсуляции — протокол (GRE, IPsec, L2F, PPTP, L2TP), который оборачивается вокруг исходных данных.

    • Carrier protocol — протокол, используемый сетью, по которой передается информация.

    Исходный пакет (протокол пассажира) инкапсулируется внутри протокола инкапсуляции, который затем помещается в заголовок протокола оператора связи (обычно IP) для передачи по общедоступной сети. Обратите внимание, что протокол инкапсуляции также довольно часто выполняет шифрование данных. Такие протоколы, как IPX и NetBeui, которые обычно не передаются через Интернет, могут передаваться безопасно и надежно.

    Для VPN типа «сеть-сеть» протокол инкапсуляции обычно — IPsec или Generic Routing Encapsulation (GRE).GRE включает информацию о том, какой тип пакета вы инкапсулируете, и информацию о соединении между клиентом и сервером.

    Для виртуальных частных сетей удаленного доступа туннелирование обычно выполняется с использованием протокола точка-точка (PPP). Являясь частью стека TCP / IP, PPP является носителем других IP-протоколов при обмене данными по сети между главным компьютером и удаленной системой. При туннелировании PPP будет использоваться один из протоколов PPTP, L2TP или Cisco Layer 2 Forwarding (L2F).

  • AAA —Аутентификация, авторизация и учет используются для более безопасного доступа в среде VPN с удаленным доступом.Без аутентификации пользователя любой, кто сидит за ноутбуком / ПК с предварительно настроенным программным обеспечением VPN-клиента, может установить безопасное соединение с удаленной сетью. Однако при аутентификации пользователя необходимо ввести действительное имя пользователя и пароль, прежде чем соединение будет завершено. Имена пользователей и пароли могут храниться на самом оконечном устройстве VPN или на внешнем сервере AAA, который может обеспечивать аутентификацию для множества других баз данных, таких как Windows NT, Novell, LDAP и т. Д.

    Когда запрос на установление туннеля приходит от клиента удаленного доступа, устройство VPN запрашивает имя пользователя и пароль.Затем его можно аутентифицировать локально или отправить на внешний сервер AAA, который проверяет:

    • Кто вы (аутентификация)

    • Что вам разрешено (авторизация)

    • Чем вы занимаетесь (бухгалтерский учет)

    Учетная информация особенно полезна для отслеживания использования клиентов в целях аудита безопасности, выставления счетов или отчетности.

  • Невозможность отказа. —При передаче определенных данных, особенно связанных с финансовыми транзакциями, отказ от авторства является весьма желательной функцией.Это помогает предотвратить ситуации, когда одна сторона отрицает свое участие в транзакции. Подобно тому, как банку требуется ваша подпись перед тем, как оплатить чек, отказ от авторства работает путем прикрепления цифровой подписи к отправляемому сообщению, что исключает возможность отказа отправителя от участия в транзакции.

Существует ряд протоколов, которые можно использовать для создания решения VPN. Все эти протоколы предоставляют некоторое подмножество услуг, перечисленных в этом документе.Выбор протокола зависит от желаемого набора услуг. Например, для организации может быть комфортно, что данные передаются в виде открытого текста, но она чрезвычайно озабочена поддержанием их целостности, в то время как для другой организации сохранение конфиденциальности данных может оказаться абсолютно необходимым. Таким образом, их выбор протоколов может быть другим. Для получения дополнительной информации о доступных протоколах и их относительной силе см. Какое решение VPN вам подходит?

В зависимости от типа VPN (удаленный доступ или сеть-сеть) вам необходимо установить определенные компоненты для создания вашей VPN.Сюда могут входить:

  • Настольный программный клиент для каждого удаленного пользователя

  • Выделенное оборудование, такое как Cisco VPN Concentrator или межсетевой экран Cisco Secure PIX

  • Выделенный сервер VPN для коммутируемого доступа

  • Сервер доступа к сети (NAS), используемый поставщиком услуг для доступа удаленных пользователей через VPN

  • Частная сеть и центр управления политиками

Поскольку общепринятого стандарта для реализации VPN не существует, многие компании самостоятельно разработали готовые решения.Например, Cisco предлагает несколько решений VPN, в том числе:

  • Концентратор VPN — Концентраторы Cisco VPN, объединяющие самые передовые доступные методы шифрования и аутентификации, созданы специально для создания VPN с удаленным доступом или типа «сеть-сеть» и идеально развертываются там, где требуется, чтобы одно устройство обрабатывать очень большое количество VPN-туннелей. Концентратор VPN был специально разработан для удовлетворения требований к специализированному устройству VPN с удаленным доступом.Концентраторы обеспечивают высокую доступность, высокую производительность и масштабируемость и включают компоненты, называемые модулями масштабируемой обработки шифрования (SEP), которые позволяют пользователям легко увеличивать емкость и пропускную способность. Концентраторы предлагаются в моделях, подходящих для малых предприятий со 100 или менее пользователями удаленного доступа для крупных корпоративных организаций с до 10 000 удаленных пользователей одновременно.

  • Маршрутизатор с поддержкой VPN / маршрутизатор, оптимизированный для VPN — Все маршрутизаторы Cisco, на которых работает программное обеспечение Cisco IOS®, поддерживают сети IPsec VPN.Единственное требование — на маршрутизаторе должен быть запущен образ Cisco IOS с соответствующим набором функций. Решение Cisco IOS VPN полностью поддерживает требования удаленного доступа, интрасети и экстрасети VPN. Это означает, что маршрутизаторы Cisco могут работать одинаково хорошо при подключении к удаленному узлу, на котором запущено программное обеспечение клиента VPN, или при подключении к другому устройству VPN, например, маршрутизатору, межсетевому экрану PIX или концентратору VPN. Маршрутизаторы с поддержкой VPN подходят для сетей VPN с умеренными требованиями к шифрованию и туннелированию и предоставляют услуги VPN полностью с помощью функций программного обеспечения Cisco IOS.Примеры маршрутизаторов с поддержкой VPN включают серии Cisco 1000, Cisco 1600, Cisco 2500, Cisco 4000, Cisco 4500 и Cisco 4700.

    Маршрутизаторы Cisco, оптимизированные для VPN, обеспечивают масштабируемость, маршрутизацию, безопасность и качество обслуживания (QoS). Маршрутизаторы основаны на программном обеспечении Cisco IOS, и есть устройство, подходящее для любой ситуации, от доступа к малому / домашнему офису (SOHO) через объединение VPN на центральном узле до потребностей крупного предприятия. Маршрутизаторы, оптимизированные для VPN, разработаны с учетом высоких требований к шифрованию и туннелированию и часто используют дополнительное оборудование, такое как карты шифрования, для достижения высокой производительности.Примеры оптимизированных для VPN маршрутизаторов включают серии Cisco 800, Cisco 1700, Cisco 2600, Cisco 3600, Cisco7200 и Cisco7500.

  • Межсетевой экран Cisco Secure PIX — Межсетевой экран Private Internet eXchange (PIX) объединяет динамическое преобразование сетевых адресов, прокси-сервер, фильтрацию пакетов, межсетевой экран и возможности VPN в одном устройстве. Вместо программного обеспечения Cisco IOS в этом устройстве используется оптимизированная операционная система, в которой способность обрабатывать различные протоколы отличается исключительной надежностью и производительностью, уделяя особое внимание IP.Как и маршрутизаторы Cisco, все модели межсетевых экранов PIX поддерживают IPsec VPN. Все, что требуется, — это выполнение требований лицензирования для включения функции VPN.

  • Cisco VPN-клиенты — Cisco предлагает как аппаратные, так и программные VPN-клиенты. Клиент Cisco VPN (программное обеспечение) поставляется в комплекте с концентратором Cisco VPN серии 3000 без дополнительных затрат. Этот программный клиент может быть установлен на главном компьютере и использоваться для безопасного подключения к концентратору центрального сайта (или к любому другому устройству VPN, например маршрутизатору или межсетевому экрану).Аппаратный клиент VPN 3002 является альтернативой развертыванию программного обеспечения VPN-клиента на каждом компьютере и обеспечивает возможность подключения по VPN к ряду устройств.

Выбор устройств, которые вы будете использовать для создания решения VPN, в конечном итоге является проблемой проектирования, которая зависит от ряда факторов, включая желаемую пропускную способность и количество пользователей. Например, на удаленном сайте с небольшим количеством пользователей за PIX 501 вы можете рассмотреть возможность настройки существующего PIX в качестве конечной точки IPsec VPN, при условии, что вы принимаете пропускную способность 3DES 501 примерно 3 Мбит / с и ограничение максимум 5 Пары VPN.С другой стороны, на центральном сайте, выступающем в качестве конечной точки VPN для большого количества туннелей VPN, вероятно, будет хорошей идеей использовать маршрутизатор, оптимизированный для VPN, или концентратор VPN. Теперь выбор будет зависеть от типа (LAN-to-LAN или удаленный доступ) и количества настраиваемых VPN-туннелей. Широкий спектр устройств Cisco, поддерживающих VPN, предоставляет разработчикам сетей высокую гибкость и надежное решение для удовлетворения любых проектных требований.

.

Виртуальная частная сеть — Простая английская Википедия, бесплатная энциклопедия

Типичный сценарий использования VPN: подключение разных офисов, возможность подключения пользователей с удаленных сайтов

Виртуальная частная сеть или VPN — это набор технологий, которые используются для связывания компьютеров для создания частной сети. Другая сеть используется для передачи зашифрованных данных. Сеть оператора связи будет видеть пакеты данных, которые она маршрутизирует. Для пользователей VPN это будет выглядеть так, как будто компьютеры были напрямую подключены друг к другу.

Модель VPN может гарантировать следующее:

  • Конфиденциальность: сеть оператора связи будет маршрутизировать данные, но не сможет их расшифровать.
  • Аутентификация отправителя: люди должны аутентифицировать себя, чтобы иметь возможность использовать сеть.
  • Целостность сообщения: сообщения, передаваемые по сети, не могут быть легко изменены, пока они находятся в транспорте. Когда сообщение было изменено, это можно обнаружить.

В бизнес-контексте VPN часто используются для подключения различных офисов или для того, чтобы люди, работающие за пределами корпоративной сети, могли получить доступ к ее ресурсам.Люди могут использовать свой компьютер для подключения к своей рабочей сети и просмотра рабочих веб-сайтов, которые нельзя увидеть в обычном Интернете. [источник ? ]

Точно так же процесс шифрования позволяет VPN обеспечивать анонимность, скрывая пользователя и усложняя его отслеживание. В результате VPN помогает сделать онлайн-действия в сети анонимными и неразборчивыми.

VPN часто используется для доступа к веб-сайтам, заблокированным в некоторых странах, например в Китае. [1] Многие люди также используют VPN для защиты своей интернет-активности при использовании общедоступной сети Wi-Fi.

VPN также можно использовать для подключения корпоративных офисов к более крупным филиалам, также известный как VPN типа «сеть-сеть». Это связано с тем, что прямое сетевое соединение между физически удаленными офисами нецелесообразно.
Общие протоколы VPN включают OpenVPN, Cisco AnyConnect и IPsec.

  • Удаленные сотрудники, подключающиеся к сети компании (удаленная работа)
  • Соединение нескольких офисов компании через Интернет (межсайтовый VPN)
  • Подключение к собственной домашней сети из удаленного места
  • Обход цензуры и брандмауэров
  • Скачивание файлов или анонимный просмотр веб-страниц
  • Защита связи в общедоступной сети Wi-Fi

.

О виртуальной частной сети (VPN) | Информационные системы и технологии


Зачем нужен VPN?

На компьютеры вне кампуса распространяются различные сетевые ограничения:

  • Сетевые пограничные политики uWaterloo предотвращают определенный сетевой трафик с высоким риском, такой как обмен файлами Windows (получение доступа к вашему «сетевому диску») и протоколы Unix / Linux X-Windows.
  • Некоторые веб-сайты и другие сетевые ресурсы доступны только для компьютеров uWaterloo.
  • В кампусе есть определенные компьютерные системы, использующие «частные адреса», использование которых в кампусе ограничено.
  • Потребительские интернет-провайдеры (ISP) иногда вводят ограничения на тип передаваемого трафика или устанавливают ограничения (например, размер сообщения электронной почты).

VPN-соединение обходит эти ограничения, заставляя клиента выглядеть так, как если бы он находился в университетском городке. VPN предоставляет частный адрес в сети Ватерлоо в подсети 172.16.36.0 / 22.

Вернуться к началу


Преимущества VPN

Наиболее очевидное преимущество VPN состоит в том, что она позволяет пользователям за пределами кампуса подключаться к сетевым ресурсам, таким как сетевые диски.

Простота использования

После запуска VPN-соединения оно работает в фоновом режиме для управления всем трафиком между компьютером за пределами кампуса и ресурсами кампуса. Нет необходимости запускать специальные программы для передачи файлов или другое программное обеспечение, чтобы получить доступ к ресурсам кампуса.Только трафик, предназначенный для Университета Ватерлоо, проходит через «туннель» VPN кампуса. Трафик с вашего компьютера на другие интернет-сайты не проходит через нашу VPN.

Безопасность подключения

VPN-подключения зашифрованы сквозным шифрованием с использованием того же шифрования Secure Sockets Layer (SSL) / Transport Layer Security (TLS), которое используют защищенные веб-сайты. Это означает, что электронная почта, совместное использование файлов, просмотр веб-страниц, календари — все данные между компьютерами за пределами кампуса и внутри кампуса зашифрованы и защищены.

Улучшенная стратегия ИТ-безопасности для всего кампуса

Благодаря сети VPN в кампусе ИТ-менеджеры в кампусе теперь могут более активно защищать свои услуги. В частности, веб-сайты, предоставляющие конфиденциальные услуги, могут быть ограничены только адресами кампуса, а доступ за пределами кампуса может быть предоставлен через аутентифицированное VPN-соединение.


Использование VPN

Доступ к веб-сайтам кампуса

Если вам нужен только доступ к веб-сайтам кампуса, использовать VPN можно без установки какого-либо программного обеспечения на домашний компьютер.Вы можете использовать веб-сайт VPN для доступа к другим веб-сайтам.

Доступ к сетевым ресурсам кампуса

Большинству пользователей потребуется установить клиентское программное обеспечение VPN, чтобы получить доступ ко всем сетевым ресурсам кампуса. В этом случае вы должны запустить клиентское программное обеспечение Cisco AnyConnect, а затем сделать то, что вам нужно сделать, чтобы получить доступ к ресурсу. Например, вы должны запустить VPN-клиент перед запуском лицензионного программного обеспечения на своем портативном компьютере, которому необходимо подключиться к университетскому серверу лицензий, или перед запуском клиента удаленного рабочего стола.

Краткий обзор настроек

Если у вас уже установлен клиент Cisco VPN, вы можете использовать следующие настройки для подключения:

  • Сервер / подключение к адресу: cn-vpn.uwaterloo.ca
  • Имя пользователя: WatIAM ID
  • Пароль: Пароль WatIAM

Руководства по установке

Руководства находятся в базе знаний Confluence

Общие операционные системы
Мобильные устройства


Доступ к ресурсам на основе подписки через VPN

Библиотека UWaterloo и некоторые академические отделы имеют подписку на электронные журналы и другие онлайн-ресурсы.В большинстве случаев доступ к этим ресурсам ограничен IP-адресами на территории кампуса.

Технология VPN не может напрямую обойти эту практику. При использовании VPN из дома или в другом месте трафик на веб-сайт электронного ресурса (например, веб-сайт журнала) не будет отправляться через VPN, поскольку ресурс находится за пределами кампуса. Вместо этого клиент VPN отправляет запросы «обычным» способом для системы вне кампуса. Это будет похоже на адрес, который не является IP-адресом UWaterloo, и поэтому доступ обычно не предоставляется автоматически, как это было бы для компьютера в кампусе.

К счастью, в библиотеке UWaterloo есть веб-страница портала, которую пользователи VPN могут использовать для доступа к большинству ресурсов подписки и лицензионных / ограниченных ресурсов. Оттуда вы можете получить доступ ко всем ресурсам на основе подписки, которые доступны для библиотеки.

Вернуться к началу


В чем разница между VPN и «удаленным рабочим столом»?

Многие люди уже подключаются к сетевым ресурсам университетского городка с помощью удаленного рабочего стола (RDP) для подключения к своей рабочей станции в университетском городке за пределами кампуса.

  • RDP работает, передавая видео (а иногда и звуковые) сигналы из системы на территории кампуса в систему за пределами кампуса, а затем передавая сигналы клавиатуры и мыши из системы за пределами кампуса в систему на территории кампуса.
  • RDP обеспечивает некоторую безопасность, но с помощью VPN весь поток трафика шифруется в той же степени, что и безопасный веб-сайт (шифрование «https» или SSL / TLS).
  • RDP — это продукт на базе Windows для подключения к компьютерам Windows и терминальным серверам.Существуют клиенты для пользователей Mac или Linux, которые также могут подключаться к компьютерам с Windows.

RDP теперь заблокирован на границе кампуса. Когда вам нужно использовать RDP, сначала просто устанавливается соединение VPN с использованием клиента Cisco AnyConnect (полученного с веб-сайта VPN в кампусе), а затем устанавливается соединение RDP, как и раньше. Инструкции по получению и установке клиента Cisco AnyConnect приведены ниже.

Вернуться к началу


Технические детали для обслуживающего персонала

Клиентские модификации

  • Клиент AnyConnect устанавливается как сетевое псевдоустройство, т.е.г. «Адаптер виртуального минипорта Cisco AnyConnect VPN для Windows x64» для 64-разрядной версии Windows 7.
  • Псевдоустройству клиента будет назначен адрес в диапазоне 172.16.36.0/22.
  • DNS-именем, связанным с динамическим IP-адресом, будет IP-адрес .dynamic.uwaterloo.ca, например 172-16-36-55.dynamic.uwaterloo.ca .
  • Используется модель маршрутизации с разделенным туннелем. Трафик на 129.97.0.0/16, 172.16.0.0/12, fd74: 6b6a: 8eca :: / 47 и 2620: 101: f000 :: / 47 будет маршрутизироваться через VPN-соединение, а весь остальной трафик будет использовать клиентский нормальный маршрут по умолчанию.
  • VPN-сервер не будет направлять любой трафик, не связанный с Ватерлоо (т.е. сети назначения 129.97.0.0/16, 172.16.0.0/12, fd74: 6b6a: 8eca :: / 47 и 2620: 101: f000 :: / 47), на адрес за пределами кампуса. Типичный пользовательский сценарий заключается в том, что после запуска VPN они могут попасть на адреса кампуса, но не куда-либо еще. В этой ситуации сбой, вероятно, связан с настройкой маршрутизации на стороне клиента.
  • Количество переходов маршрутизации к адресу в кампусе, вероятно, будет уменьшено, хотя первый переход может занять больше времени.

Наверх

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *