Исследование уровня защиты и эффективности применения средств защиты корпоративных сетей
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
?ечивает безопасность канала связи между двумя (или более) сетями. Конфигурация этого типа лучше всего подходит для соединения территориально разделенных локальных сетей. Основное преимущество данной конфигурации заключается в том, что удаленные локальные сети в VPN прозрачны для конечного пользователя. Фактически шлюзы VPN являются для пользователей условными маршрутизаторами. Структуры сеть-сеть VPN могут быть использованы для связи внутренних сетей, как если бы они имели смежные каналы. Данные, передаваемые между сетями интранет, сохраняют конфиденциальность во время передачи. Эта схема применима также для внешних сетей (extranet) нескольких компаний, где каждая компания разделяет свои ресурсы только с партнерами по бизнесу.
Рисунок 2.5. Схема подключения сеть-сеть
2. Вариант Client/Server VPN, который обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда необходимо создать в одной физической, несколько логических сетей. Например, когда требуется разделить трафик между финансовым департаментом и отделом кадров, которые обращаются к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, которая действует на уровне выше канального.
Рисунок 2.6. Подключение к сети VPN двух стационарных компьютеров
3. Вариант Extranet VPN предназначен для тех сетей, куда подключаются так называемые пользователи со стороны, уровень доверия к которым намного ниже, чем к своим сотрудникам. Примером Extranet VPN является объединение сетей различных корпорация для ведения совместной деятельности.
4. Вариант Remote Access VPN, позволяющий реализовать защищенное взаимодействие между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который подключается к корпоративным ресурсам из дома (домашний пользователь) или через notebook (мобильный пользователь). Данный вариант отличается тем, что удаленный пользователь, как правило, не имеет статического адреса и
подключается к защищаемому ресурсу не через выделенное устройство VPN, а напрямую с собственного компьютера, где и устанавливается программное обеспечение, реализующее функции VPN. Простой способ обеспечить мобильным пользователям возможность соединения с корпоративной сетью дает виртуальная защищенная сеть, или структура, хост-сеть VPN. В конфигурации такого рода каждый хост независимо связывается с локальной сетью через шлюз VPN. Каждый хост аутентифицируется, и для него организуется VPN-туннель. Мобильный хост может быть присоединен любым способом, будь то коммутируемая линия (dial-up), соединение с локальной сетью или беспроводное соединение.
Структура хост-сеть оправдана в случае удаленного доступа. Мобильный пользователь может иметь программное обеспечение VPN на своем портативном компьютере и соединяться с внутренней вычислительной сетью через шлюз VPN. Эта схема VPN может быть использована и для сотрудников, работающих дома (со своего домашнего компьютера). Медленный, но уверенный рост использования цифровых и кабельных модемов делает привлекательной возможность работать из дома. VPN делает поток информационного обмена конфиденциальным и нечитаемым до того момента, когда он попадает в корпоративный шлюз VPN.
Рисунок 2.7. Подключение к сети VPN удаленного пользователя
2.4.2 Протоколы VPN
Широкое распространение VPN, построенных на основе глобальных сетей передачи данных, делает их уязвимыми по отношению к атакам потенциального нарушителя, поскольку такая конфигурация наследуют все уязвимости стека используемых протоколов. Наиболее актуально вопросы безопасности стоят для VPN, где в качестве транспортного протокола используется TCP/IP, так как сети такого типа часто используются в Internet для передачи конфиденциальных данных, пересылаемых в виде информационных пакетов по протоколам IP и/или IPX. Средства обеспечения информационной безопасности трансформируют IP-пакеты, встраивая их внутрь других пакетов (инкапсуляция), которые затем маршрутизируются через Internet. Таким образом, информационный поток трансформируется в другой информационный поток (туннелирование). При этом шифруются не только поля данных передаваемого IP пакета, но и адресная часть, и служебные поля данных.
Говоря о протоколах, используемых для передачи информации по сетям VPN, следует отметить, что основными в этих случаях являются четыре протокола: Layer 2 Forwarding Protocol (протокол трансляции канального уровня), Layer 2 Tunneling Protocol (протокол туннелирования канального уровня), Point-to-Point Tunneling Protocol (протокол туннелирования точка точка), а также протокол IP Security (IPSec), предложенный комитетом IETF.
В последнее время растет популярность технологии SSL VPN на базе протокола SSL\TLS, который используется для защиты соединений в WEB-броузерах.
Первые три спецификации известны под общим названием протоколов трансляции канального уровня, поскольку в соответствии с ними пакеты протоколов сетевого уровня (AppleTalk, IP и IPX) сначала инкапсулируются в другие пакеты протокола канального уровня (РРР), а уже затем передаются адресату по IP-сети. Хотя эти спецификации и претендуют на решение проблемы безопасности в сетях VPN, они не обеспечивают шифрования, аутентификации, проверки целостности каждого пе