Исследование уровня защиты и эффективности применения средств защиты корпоративных сетей
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
nbsp;
2.4.1 Варианты реализации VPN
Широкое распространение глобальных сетей передачи данных предоставляет возможность объединять территориально разбросанные локальные сети организаций для создания так называемых частных виртуальных сетей (VPN). Глобальные сети в этом случае выступают как транспортный компонент, объединяющий локальные сети в единую информационно-вычислительную систему. Создание VPN велось и до стремительного роста глобальных сетей, однако для их объединения служили выделенные каналы передачи данных, что приводило:
- к высокой стоимости аренды выделенных каналов связи;
- к жесткой привязанности к местоположению. Например, в случае переезда офиса компании с развернутым сегментом локальной сети, связанным выделенным каналом с общей сетью предприятия, возникали дополнительные проблемы с последующим подключением локальной и общей сетей.
Рисунок 2.4. Территориально-распределенная КИС основанная на технологии VPN.
Использование коммутируемых каналов глобальных сетей передачи данных позволило добиться гибкости, масштабируемости и универсальности при построении VPN. Кроме того, расширение Internet позволило многим компаниям перевести часть персонала на домашний режим работы. В этом случае сотрудник имеет постоянную связь с фирмой в рамках, например, системы электронного документооборота, при этом проблемы связи его с сетью офиса решаются посредством провайдеров.
Необходимость в обеспечении безопасности сетей на основе протокола IP постоянно возрастает. В современном, сильно связанном мире бизнеса при наличии Интернета, интрасетей, дочерних отделений и удаленного доступа критически важная информация постоянно перемещается через границы сетей. Задача сетевых администраторов и других специалистов информационных служб состоит в том, чтобы этот трафик не допускал:
- модификацию данных во время их передачи по каналам,
- перехват, просмотр или копирование,
- доступ к данным со стороны неавторизованных пользователей.
Указанные проблемы известны как обеспечение целостности данных, конфиденциальности и аутентификации. Кроме того, необходима защита от воспроизведения информации.
Для решения проблемы передачи информации через открытые каналы интернет используют VPN решения. VPN- это объединение ряда локальных сетей, подключенных к сети общего назначения, в единую виртуальную (логически выделенную) сеть. VPN средства организовывают защищенный туннель между двумя точками средствами криптографии. При этом они предоставляют широкие возможности по выборам алгоритмов аутентификации, шифрования и проверки целостности потока данных [27].
При использовании VPN ресурсы компании могут быть легко консолидированы и употреблены с большей эффективностью. По причине того, что VPN может работать по сети интернет, у компании не возникнет значительных затрат связанных с покупкой дополнительного оборудования и арендой линий связи. Использование выделенных (арендованных) линий связи может привести к повышению издержек до сотен тысяч долларов, а такие затраты весьма сложно оправдать.
К тому же главным достоинством VPN является возможность обеспечения безопасности множества коммуникационных потоков посредством одного механизма. При VPN- соединении web, e-mail, ftp, интернет-видеоконференции и любые другие потоки данных, использующие протокол TCP/IP, защищены от любопытных глаз. Более конкретно потоки информации защищены от нежелательных получателей с использованием криптографических методов.
С помощью VPN можно избежать ряда угроз. VPN обеспечивает целостность и конфиденциальность данных путем шифрования а также их аутентификацию при помощи использования специальных протоколов и схем аутентификации.
Также средства VPN за счет скрытия информации относящейся к транспорту IP пакетов защищены от ряда сетевых атак, таких как IP-spoofing и hijacking, также они защищены от атак типа man-in-the-middle [28].
Конечно в реализации самого ПО для создания VPN или его аппаратной реализации могут быть уязвимости но как правило на практике используются проверенные временем решения известных разработчиков, которые выпускают постоянные обновления и заплатки для своих продуктов.
Основные требования, которые должны выполнять решения VPN, следующие :
- Аутентификация пользователя. Средство должно аутентифицировать удаленного VPN-клиента и предоставлять доступ только авторизованным пользователям. Оно также должно обеспечивать политику аудита для просмотра активности пользователей: кто, когда и на сколько подключался.
- Управление IP адресами. Средство VPN должно выдавать адреса из подсети и давать гарантию что эти адреса не раскроются.
- Шифрование данных. Данные передаваемые по публичным сетям должны быть нечитаемыми.
- Управление ключевой информацией. VPN-средство должно генерировать ключи для шифрования и обновлять их с определенной периодичностью.
Можно выделить четыре основных варианта построения сети VPN, которые используются при создании корпоративных VPN сетей:
1. Вариант Intranet VPN, который позволяет объединить в единую защищенную сеть несколько распределенных филиалов одной организации, взаимодействующих по открытым каналам связи. Именно этот вариант получил широкое распространение во всем мире, и именно его в первую очередь реализуют компании-разработчики. Этот вариант представляет собой топологию сеть-сеть. В этой конфигурации каждый шлюз расположен на конце сети и обес?/p>