Виртуальные частные сети (Virtual Private Networks, VPN) позволяют расширять границы локальных сетей без приобретения или аренды выделенных каналов связи.
Компании применяют VPN, чтобы обеспечить удаленным и мобильным пользователям средства доступа к корпоративной сети и объединить географически распределенные подразделения. При этом можно пользоваться приложениями, работа которых основана на взаимодействии с внутренними серверами.
При построении VPN задействуют два основных подхода. Первый заключается в аренде частных каналов связи у телекоммуникационной компании, которой можно доверять (этот способ называется «доверенная VPN»). Второй основан на передаче зашифрованного трафика через общедоступную Internet («защищенная VPN»). В случае организации защищенной частной сети поверх доверенной либо комбинации двух типов защищенных VPN (основанных на протоколах шифрования IPSec и SSL) в рамках одного шлюза получающаяся инфраструктура называется «гибридной VPN».
Доверенные сети
С течением времени доверенные VPN эволюционировали от «чистой» аренды каналов связи у телекоммуникационных операторов к аренде частных IP-сетей у провайдеров услуг Internet. Ведущими технологиями, используемыми для организации доверенных VPN поверх IP, являются ATM, Frame Relay и Multiprotocol Label Switching (MPLS). При этом ATM и Frame Relay работают на 2-ом уровне эталонной модели OSI, а MPLS эмулирует некоторые особенности сети с коммутацией каналов в сети с пакетной коммутацией и действует на уровне 2,5 (промежуточном между уровнем передачи данных и сетевым). MPLS все чаще замещает ATM и Frame Relay при построении доверенных VPN крупными компаниями и сервис-провайдерами.
Защищенные частные сети
Сети данной категории основаны на использовании протоколов IPSec с шифрованием, IPSec внутри туннелей L2TP (Layer 2 Tunneling Protocol), SSL 3.0 или TLS (Transport Layer Security) с шифрованием, L2F (Layer Two Forwarding) или PPTP (Point-to-Point Tunneling Protocol). Рассмотрим каждый из этих вариантов.
IPSec («безопасный IP») является стандартом шифрования и/или аутентификации IP-пакетов на сетевом уровне. Он включает в себя набор криптоалгоритмов, служащих для двух целей — защиты сетевых пакетов и обмена ключами шифрования. Некоторые эксперты в области защиты, такие как Брюс Шнайер, с конца 1990-х годов рекомендовали IPSec к применению как предпочтительный вариант организации защищенных VPN. IPSec поддерживается системами Windows XP, 2000, 2003 и Vista, Linux 2.6 и более новыми версиями, Mac OS X, NetBSD, FreeBSD, OpenBSD, Solaris, AIX, HP-UX и VxWorks. Многие разработчики предлагают VPN-серверы и клиенты на базе IPSec.
Microsoft включила клиенты PPTP во все версии своей ОС, начиная с Windows 95 OSR2. Кроме того, PPTP-клиенты используются в Linux, Mac OS X, PalmOS и устройствах под управлением Window Mobile 2003. Разработчики из Редмонда ввели PPTP-серверы в состав всех своих серверных продуктов, начиная с Windows NT 4.0. Технология PPTP стала очень популярной, особенно в Windows-системах, поскольку она была широко распространена, бесплатна, а соответствующие продукты не требовали сложной настройки. Однако в реализациях Microsoft этот протокол не всегда оказывался безопасным.
В 1998 году Брюс Шнайер с помощью сотрудника организации L0pht Heavy Industries, действующего под псевдонимом Mudge, нашел уязвимости Microsoft PPTP и опубликовал соответствующие данные. Корпорация быстро устранила «дыры», выпустив MS-CHAPv2 и MPPE. В 1999 году Шнайер и Mudge опубликовали результаты анализа, подтверждающие такие усовершенствования, но подчеркнули, что безопасность Microsoft PPTP продолжает зависеть от защищенности пароля каждого пользователя. Microsoft сняла и эту проблему, усилив системную политику стойкости паролей в своих ОС, однако эксперты продолжали рекомендовать для построения защищенных VPN протокол IPSec — как более безопасный.
В разработанном Cisco Systems более старом протоколе L2TP объединены принципы L2F и PPTP, связанные с организацией протокола второго уровня. Он обеспечивает туннелирование данных, но не поддерживает услуги защиты и аутентификации пользователей. L2TP позволяет транслировать сеансы связи PPP внутри своего туннеля. Cisco реализовала L2TP в собственных маршрутизаторах, но имеются еще и несколько реализаций протокола L2TP для систем Linux с открытым кодом.
В L2TP/IPSec туннель L2TP объединен с безопасным каналом IPSec, что позволяет защищать сообщения с ключевой информацией (IKE) проще и надежнее, чем с помощью «чистого» IPSec. Корпорация Microsoft с 2002 года предлагает бесплатный VPN-клиент L2TP/IPSec для Windows 98, ME и NT, а кроме того, поставляет тот же продукт в комплекте с Windows XP, 2000, 2003 и Vista. В состав Windows Server 2003 и Windows 2000 Server включены серверы L2TP/IPSec.
Протоколы SSL и TLS предназначены для защиты передачи данных на 4-ом уровне модели OSI. Версии SSL 3.0 и TLS 1.0 активно используются вместе с HTTP в протоколе HTTPS, обеспечивающем защищенный доступ к Web-приложениям. Однако SSL/TLS могут применяться и для создания VPN-туннеля. К примеру, OpenVPN является программным клиентом VPN с открытым кодом для платформ Linux, xBSD, Mac OS X, Pocket PC, Windows 2000, XP, 2003 и Vista, в которых для шифрования данных и каналов управления задействуется SSL. Вообще серверы и клиенты SSL VPN предлагаются несколькими разработчиками.
Преимущества и риски VPN
Виртуальные частные сети помогают «стирать» любые географические барьеры для бизнеса. Они позволяют сотрудникам компаний эффективно работать на дому, командировочным — всегда находиться на связи с офисом, а самим фирмам — безопасно подключаться к поставщикам и партнерам. Обычно гораздо дешевле владеть VPN, а не арендовать выделенные линии связи.
Правда, использование VPN может привести к появлению потенциальных рисков в системе корпоративной информационной безопасности. Дело в том, что любая VPN усложняет построение полноценного защитного периметра сети. Администратору приходится обеспечивать выполнение политик защиты на компьютерах, размещенных в локальной сети и подключаемых к ней удаленно.
Одновременное использование партнерами по бизнесу двух VPN может открыть локальную сеть одной компании для другой, что тоже таит в себе потенциальную угрозу. А применяемое совместно с VPN программное обеспечение удаленного управления ПК (например, PC Anywhere, GoToMyPC или VNC) порой предоставляет лазейки вредоносному ПО, которое находится на удаленном компьютере, не подключенном к частной сети.
Надежность, масштабируемость и производительность
Защищенные VPN основаны на шифровании, а некоторые крипто?графические функции требуют мощных вычислений, поэтому массовое использование VPN-соединений может существенно увеличить нагрузку на сервер. Администраторы обычно управляют нагрузкой, ограничивая количество одновременных подключений до того уровня, который сервер способен нормально обрабатывать.
Если число пользователей, пытающихся безопасно подключиться к корпоративным ресурсам, резко растет, то в какой-то момент свободных портов VPN может не оказаться. Это дает администраторам основание для запуска ключевых бизнес-приложений без использования VPN.
Принять решение в пользу IPSec или SSL/TLS в каждом конкретном случае довольно трудно.
В реальных приложениях удаленного доступа администраторы управляют набором протоколов, добиваясь оптимального соотношения производительности и безопасности. В частности, клиенты могут подключаться к прикладному интерфейсу, базирующемуся на Web-технологиях, через межсетевой экран при помощи браузера, который оснащен протоколами SSL/TLS. Web-сервер желательно подключать к серверу приложений на основе IPSec, а сервер приложений соединять с сервером базы данных еще через один межсетевой экран с использованием SSL.
Масштабируемость VPN можно улучшить за счет применения специально выделенного сервера.