Skip navigation
IDG.bg PC World Computerworld CIO CFO Networkworld Business How Кариерна зона
вход регистрация бюлетини

Затворените мрежи на отворения свят

Networkworld България - брой 2, 2007 г. / Съдържание
2054 прочитания, 0

Виртуалните частни мрежи (Virtual Private Networks, VPN) дават възможност за разширяване на границите на локалните мрежи без купуване или наем на отделени канали за връзка Добре известен е фактът, че компаниите използват VPN, за да гарантират на отдалечените и мобилни служители-потребители средства за достъп до корпоративната мрежа, като в същото време обединят географски разпръснатите си офиси. При това те могат да използват приложения, чиято работа се основава на взаимодействието с вътрешните сървъри. Традиционно при изграждането на VPN се залага на два основни подхода. Първият е свързан с наемането на частни канали за връзка от телеком компания, на която се има доверие (този метод се нарича „доверена VPN”). Вторият подход е основан на преноса на шифрован трафик през общодостъпен Интернет („защитена VPN”). При организация на защитена частна мрежа върху доверената или при комбинация на два типа защитени VPN (основани на протоколите за шифриране IPSec и SSL) в рамките на един шлюз, получената инфраструктура пък се нарича „хибридна VPN”. Доверени мрежи С времето доверените VPN еволюираха от „чисто” наемане на каналите за връзка от телеком операторите към аренда на частни IP-мрежи от доставчиците на Интернет услуги. Сред водещите технологии за организиране на доверени VPN над IP са ATM, Frame Relay и Multiprotocol Label Switching (MPLS). При това ATM и Frame Relay работят на второ ниво на еталонния модел OSI, а MPLS пренася някои особености на мрежата с комутация на каналите в мрежата от пакетната комутация и действа на ниво 2,5 (между нивото за пренос на данни и мрежовото). Все по-често големите компании и доставчиците на услуги използват MPLS вместо ATM и Frame Relay при изграждането на доверени VPN. Защитени частни мрежи Мрежите от дадената категория се базират на използването на IPSec протоколите с шифриране, IPSec в тунелите L2TP (Layer 2 Tunneling Protocol), SSL 3.0 или TLS (Transport Layer Security) с шифриране, L2F (Layer Two Forwarding) или PPTP (Point-to-Point Tunneling Protocol). Нека разгледаме всеки от тези варианти. IPSec („сигурно IP”) е стандарт за шифриране и/или автентификация на IP пакети на мрежово ниво. Той включва набор от криптирани алгоритми, които имат две цели — да защитават мрежовите пакети и да обменят ключове за шифриране. В началото на 90-те години някои експерти в сферата на защитата препоръчваха IPSec като сполучлив вариант за организация на защитени VPN. IPSec се поддържа от Windows XP, 2000, 2003 и Vista, Linux 2.6 и по-новите версии, Mac OS X, NetBSD, FreeBSD, OpenBSD, Solaris, AIX, HP-UX и VxWorks. Много разработчици предлагат VPN-сървъри и клиенти на базата на IPSec. Microsoft включи PPTP клиенти във всички версии на своята операционна система, като започнем от Windows 95 OSR2. Освен това PPTP-клиентите се използват в Linux, Mac OS X, PalmOS и устройствата с Window Mobile 2003. Разработчиците от Редмънд въведоха PPTP-сървъри във всички свои сървърни продукти, като започнем от Windows NT 4.0. Технологията PPTP доби голяма популярност, особено в Windows системите, т.к. бе широко разпространена и безплатна, а съответстващите продукти не изискваха сложна настройка. Проблемът е там, че в продуктите на Microsoft този протокол невинаги е сигурен. През 1998 г. двама щатски експерти - Брус Шнайър и специалистът от организацията L0pht Heavy Industries с псевдоним Mudge, откриха уязвимост в Microsoft PPTP и публикуваха данни за нея. Корпорацията бързо запълни пробойните, пускайки MS-CHAPv2 и MPPE. През 1999 г. Шнайър и Mudge публикуваха резултати от друг анализ, които потвърждаваха наличието на промени, но подчертаваха, че сигурността на Microsoft PPTP продължава да зависи от това, доколко е защитена паролата на всеки потребител. Microsoft реши и този проблем, подсилвайки системната политика за устойчивост на паролите в своите ОС, но експертите продължиха да препоръчват като по-сигурен протокола IPSec за изграждане на защитени VPN. В разработения от Cisco по-стар протокол L2TP са обединени принципите на L2F и PPTP, свързани с организацията на протокола от второ ниво. Той осигурява канализиране на данните, но не поддържа услуги за защита и аутентификация на потребителите. L2TP позволява транслации на PPP сесиите за връзка в своя канал. Cisco реализира L2TP в своите маршрутизатори, но са налични и още няколко реализации на протокола L2TP за Linux с отворен код. В L2TP/IPSec тунелът L2TP е обединен със сигурен IPSec канал, което дава възможност за по-лесна и надеждна защита на съобщенията с ключово съдържание (IKE), отколкото чрез „чист” IPSec. От 2002 г. насам Microsoft предлага безплатен VPN-клиент L2TP/IPSec за Windows 98, ME и NT, а освен това доставя същия продукт в комплект с Windows XP, 2000, 2003 и Vista. В Windows Server 2003 и Windows 2000 Server са включени сървърите L2TP/IPSec. SSL и TLS протоколите са предназначени за защита на преноса на данни на 4то ниво на модела OSI. Версиите SSL 3.0 и TLS 1.0 активно се използват с HTTP в протокола HTTPS, който гарантира защитен достъп до уеб приложенията. SSL/TLS обаче могат да се използват и за създаване на VPN тунел. Такъв е случаят с OpenVPN - програмен клиент на VPN с отворен код за платформите на Linux, xBSD, Mac OS X, Pocket PC, Windows 2000, XP, 2003 и Vista, в които за шифриране на данни и канали за управление се използва SSL. Накратко, сървъри и клиенти на SSL VPN се предлагат от няколко разработчици. Предимства и рискове на VPN Виртуалните частни мрежи дават шанс за изтриване на всякакви географски пречки пред бизнеса. Те позволяват на служителите на компаниите да работят ефективно и от дома си, на пътуващите в командировки – винаги да са във връзка с офиса, а на самите компании – сигурно да се оперират със своите доставчици и партньори. Обикновено е доста по-евтино да имаш VPN, отколкото да наемаш отделени линии за връзка. Без съмнение, използването на VPN може да предизвика появата на потенциални рискове в системата на корпоративна информационна сигурност. Работата е там, че всяка VPN усложнява изграждането на пълноценен защитен периметър от мрежата и администраторът е принуден да осигурява изпълнение на политиките за защита на компютрите, базирани в локалната мрежа и включвани дистанционно към нея. Едновременното използване на две VPN от бизнес партньори може да отвори локалната мрежа на една компания за друга, което също крие в себе си потенциална заплаха. А използваните с VPN програми за дистанционно управление на компютри (например, PC Anywhere, GoToMyPC или VNC) си остава подстъп за вредоносните програми на дистанционния компютър, който не е включен към частна мрежа. Надеждност, мащабируемост и производителност Защитените VPN са базирани на шифроването, а някои криптографски функции изискват трудоемки изчисления и затова масовото използване на VPN връзки може съществено да увеличи натоварването на сървъра. Администраторите обикновено управляват натоварването, като ограничават количеството на едновременни включвания до ниво, на което сървърът може да работи нормално. Ако броят на потребителите, които се опитват безопасно да се включат към корпоративните ресурси, нарасне рязко, то в определен момент свободните портове на VPN ще се изчерпат. Затова администраторите пускат ключови бизнес приложения без да използват VPN. В крайна сметка изборът между IPSec и SSL/TLS за всеки отделен случай не е лесен. В реалните приложения за дистанционен достъп администраторите управляват набор от протоколи, търсейки оптималното съотношение между производителността и сигурността. Така клиентите могат да се закачат към приложния интерфейс, базиран на уеб технологии, чрез междумрежов екран с помощта на браузър с протоколите SSL/TLS. Желателно е уеб сървърът да е включен към сървъра на приложенията на базата на IPSec, а сървъра на приложенията да е свързан със сървъра за бази данни и чрез още един междумрежов екран чрез SSL. Мащабируемостта на VPN може да се подобри с използването на специално отделен за целта сървър.

(03.05.2007)

КОМЕНТАРИ

Трябва да сте регистриран потребител, за да коментирате статията
"Затворените мрежи на отворения свят"



    

© Ай Си Ти Медиа ЕООД 1997 - 2012 съгласно общи условия за ползване