Типы VPN, отличия между intranet vpn, remote access vpn и extranet vpn
ВПН

Разновидности виртуальных частных сетей VPN

В основе технологии VPN лежит идея обеспечения доступа удаленных пользователей к корпоративным сетям, содержащим конфиденциальную информацию, через сети общего пользования. Разберемся, чем отличается Intranet VPN и Remote Access VPN, а также рассмотрим другие виды технологии.

Преимущества VPN

VPN (англ. VirtualPrivateNetwork — виртуальная частная сеть) — это безопасное зашифрованное подключение пользователя к сети, с которым он может обходить локальные ограничения и сохранять конфиденциальность. VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.

Проводя сравнение между частными и виртуальными частными сетями, следует выделить несомненные преимущества VPN:

  1. Технология VPN позволяет значительно снизить расходы по поддержанию работоспособности сети. Пользователь платит только абонентскую плату за аренду канала. Аренда каналов также не вызывает каких-либо затруднений вследствие широкомасштабности сети Интернет
  2. Удобство и легкость при организации и перестроении структуры сети.

Существуют следующие требования к системам защиты информации (в том числе и VPN):

  • надежность — качество работы должно соответствовать ожиданиям, высокая готовность решения;
  • защита — решение должно обеспечивать высокий уровень безопасности и защиту от всех типов угроз;
  • простота — решение должно быть простым в установке, использовании и обслуживании;
  • надежный поставщик — решение должно пройти проверку рынком, достойная репутация компании-поставщика;
  • экономическая эффективность — решение должно приносить пользу.

Функции VPN по защите данных

Подключение любой корпоративной сети к публичной вызывает два типа угроз:

  • несанкционированный доступ к ресурсам локальной сети, полученный в результате входа в эту сеть;
  • несанкционированный доступ к данным при передаче трафика по публичной сети.

Для создания защищенного канала средства VPN используют процедуры шифрования, аутентификации и авторизации.

Шифрование

Методов шифрования много. Важно, чтобы на концах туннеля использовался один и тот же алгоритм шифрования. Кроме того, для успешного дешифрования данных источнику и получателю данных необходимо обменяться ключами шифрования. Следует отметить, что шифрование сообщений необходимо не всегда. Часто оно оказывается дорогостоящей процедурой. И требует дополнительных приставок для маршрутизаторов. Без них они не могут одновременно с шифрованием обеспечивать приемлемый уровень быстродействия.

Аутентификация

Под аутентификацией понимается определение пользователя или конечного устройства. Аутентификация позволяет устанавливать соединения только между легальными пользователями. Что предотвращает доступ к ресурсам сети несанкционированных пользователей. В процедуре участвуют две стороны. Одна доказывает свою аутентичность, а другая ее проверяет и принимает решение.

Авторизация

Авторизация подразумевает предоставление абонентам различных видов услуг. Каждому пользователю предоставляются определенные администратором права доступа. Эта процедура выполняется после процедуры аутентификации и позволяет контролировать доступ санкционированных пользователей к ресурсам сети.

Технологии создания виртуальных частных сетей

Среди технологий построения VPN можно назвать такие технологии, как: IPSec VPN, MPLS VPN, VPN на основе технологий туннелирования PPTP и L2TP. Во всех перечисленных случаях трафик посылается в сеть провайдера по протоколу IP. Это позволяет провайдеру оказывать не только услуги VPN, но и различные дополнительные сервисы.

На рисунке представлен общий вариант построения виртуальной частной сети на базе общедоступной сети провайдера. Сеть каждого клиента состоит из территориально распределенных офисов. Они связаны между туннелями, проложенными через сеть провайдера.

Общий вариант построения виртуальной частной сети

VPN простыми словами

Virtual Private Network или VPN – это дословно виртуальная частная сеть. Скорее всего, ты часто слышал слово VPN, когда хотели подменить страну в браузере телефона или компьютера. Запустил VPN, выбрал страну и готово.

Хотя VPN к странам, собственно говоря, никакого отношения не имеет. Дело обстоит немного по-другому.

Представь, что ты работаешь в офисе на компьютере. В этом офисе есть различное компьютерное оборудование с доступом по сети: компьютеры, сервера, принтеры, оборудование для видеоконференций.

Ситуация 1

Твой офис вырос, ты решил переехать на соседний этаж. Ты взял свой компьютер. Перенес его в другую комнату, подключил в другую сетевую розетку. И доступ ко всем серверам и компьютерам компании у тебя сохранился.

Скорее всего, твой компьютер обращается теперь к другому роутеру, но все роутеры вашей компании знают, как общаться друг с другом и обеспечивают тебе все преимущества нахождения в одной локальной сети. В результате у тебя нет проблем с доступом к любому оборудованию в корпоративной сети.

Ситуация 2

Началась пандемия и ты решил работать из дома. Ты забрал рабочий компьютер домой, но вот незадача, доступа к офисным серверам дома нет. Вроде бы логично, ведь они остались на офисе в другом конце города.  Когда ты перенес компьютер в первом случае, то доступ к офисным компьютерам у тебя сохранился. Когда ты перенес компьютер во втором случае, то доступа нет. Что поменялось?

В первом случае все компьютеры в твоем офисе (даже расположенные на разных этажах) находились в одной локальной сети. А во втором случае – нет. Твой компьютер дома не подключен к офисной локальной сети. Соответственно, у тебя нет доступа к внутренним ресурсам офисной сети.

В качестве устранения этой проблемы было предложено решение – виртуальная локальная сеть (VPN). У тебя в офисе на каждом этаже стояло по роутеру, которые пересылали между собой данные и обеспечивали работу локальной сети.

Следовательно, нам нужно создать два виртуальных роутера (в виде программ), один у тебя в офисе, второй – дома, которые так же будут пересылать между собой данные по интернету в зашифрованном виде. И такие программы есть: одна из них называется VPN-сервер, а вторая – VPN-клиент.

VPN-сервер настраивает системный администратор в офисе, а VPN-клиент сейчас есть в каждом компьютере и/или телефоне.

Ты запускаешь у себя на компьютере VPN-клиент и конектишься с его помощью к VPN-серверу. Таким образом компьютер теперь думает, что он находится внутри локальной сети, в которой расположен VPN-сервер.

Если ты теперь запустишь у себя браузер, то все данные от твоего браузера пойдут в твой локальный виртуальный роутер (VPN-клиент). Из него в виртуальный роутер компании (VPN-сервер), а затем уже дальше в мир через интернет-шлюз офиса твоей компании.

Внешний IP-адрес твоего компьютера теперь будет совпадать с публичным IP-адресом твоего офиса. Разумеется, если этот офис был, например, в Германии, то сервер, к которому обращался твой браузер, будет уверен, что ты в офисе в Германии.

Варианты архитектуры VPN

Существует множество разновидностей виртуальных частных сетей. Их спектр варьирует от провайдерских сетей, позволяющих управлять обслуживанием клиентов непосредственно на их площадях, до корпоративных сетей VPN, разворачиваемых и управляемых самими компаниями.

По наиболее распространенной классификации виртуальных защищенных сетей (классификация Check Point Software Technologies), существуют следующие виды VPN:

  • Remote Access VPN;
  • Intranet VPN;
  • Extranet VPN.
  • Internet VPN;
  • Client/server VPN.

Remote Access VPN

Используется для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем. Последний, работая дома, подключается к корпоративным ресурсам с домашнего компьютера, корпоративного ноутбука, смартфона или интернет-киоска .

VPN с удаленным доступом позволяют значительно сократить ежемесячные расходы на использование коммутируемых и выделенных линий. Принцип их работы прост: пользователи устанавливают соединения с местной точкой доступа к глобальной сети. После этого их вызовы туннелируются через Интернет, что избавляет от платы за междугородную и международную связь или выставления счетов владельцам бесплатных междугородных номеров. Затем все вызовы концентрируются на соответствующих узлах и передаются в корпоративные сети.

Преимущества перехода от частно управляемых dial networks к Remote Access VPN:

  • возможность использования местных dial-in numbers вместо междугородних позволяет значительно снизить затраты на междугородние телекоммуникации;
  • эффективная система установления подлинности удаленных и мобильных пользователей обеспечивает надежное проведение процедуры аутентификации;
  • высокая масштабируемость и простота развертывания для новых пользователей, добавляемых к сети;
  • сосредоточение внимания компании на основных корпоративных бизнес-целях вместо отвлечения на проблемы обеспечения работы сети.

Существенная экономия при использовании Remote Access VPN является мощным стимулом. Однако применение открытого Internet в качестве объединяющей магистрали для транспорта чувствительного корпоративного трафика становится все более масштабным. Это делает механизмы защиты информации жизненно важными элементами данной технологии.

Intranet VPN

Используется для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи.

Внутрикорпоративные сети VPN строятся с использованием Internet или разделяемых сетевых инфраструктур, предоставляемых сервис-провайдерами. Компании достаточно отказаться от использования дорогостоящих выделенных линий, заменив их более дешевой связью через Internet. Это существенно сокращает расходы на использование полосы пропускания, поскольку в Internet расстояние никак не влияет на стоимость соединения.

Достоинства Intranet VPN:

  • применение мощных криптографических протоколов шифрования данных для защиты конфиденциальной информации;
  • надежность функционирования при выполнении таких критических приложений, как системы автоматизированной продажи и системы управления базами данных;
  • гибкость управления эффективным размещением быстро возрастающего числа новых пользователей, новых офисов и новых программных приложений.

Построение Intranet VPN, использующее Internet, является самым рентабельным способом реализации VPN-технологии. Однако в Internet уровни сервиса вообще не гарантируются. Компании, которым требуются гарантированные уровни сервиса, должны рассмотреть возможность развертывания своих VPN с использованием разделяемых сетевых инфраструктур, предоставляемых сервис-провайдерами.

Extranet VPN

Предназначен для сетей, к которым подключаются так называемые пользователи “со стороны” (партнеры, заказчики, клиенты и т.д.), уровень доверия к которым намного ниже, чем к своим сотрудникам. Технология обеспечивает прямой доступ из сети одной компании к сети другой компании и, таким образом, способствует повышению надежности связи, поддерживаемой в ходе делового сотрудничества.

Сети Extranet VPN в целом похожи на внутрикорпоративные виртуальные частные сети с той лишь разницей, что проблема защиты информации является для них более острой. Для Extranet VPN характерно использование стандартизированных VPN-продуктов, гарантирующих способность к взаимодействию с различными VPN-решениями, которые деловые партнеры могли бы применять в своих сетях.

Когда несколько компаний принимают решение работать вместе и открывают друг для друга свои сети, они должны позаботиться о том, чтобы их новые партнеры имели доступ только к определенной информации. При этом конфиденциальная информация должна быть надежно защищена от несанкционированного использования. Именно поэтому в межкорпоративных сетях большое значение придается контролю доступа из открытой сети посредством МЭ. Важна и аутентификация пользователей, призванная гарантировать, что доступ к информации получают только те, кому он действительно разрешен. Вместе с тем, развернутая система защиты от несанкционированного доступа не должна привлекать к себе внимания.

Соединения Extranet VPN развертываются, используя те же архитектуру и протоколы, которые применяются при реализации Intranet VPN и Remote AccessVPN. Основное различие заключается в том, что разрешение доступа, которое дается пользователям Extranet VPN, связано с сетью их партнера.

Иногда в отдельную группу выделяют локальный вариант сети VPN (Localnet VPN). Локальная сеть Localnet VPN обеспечивает защиту информационных потоков, циркулирующих внутри локальных сетей компании (как правило, Центрального офиса), от НСД со стороны «излишне любопытных» сотрудников самой компании. В настоящее время наблюдается тенденция к конвергенции различных способов реализаций VPN.

Internet VPN

Используется провайдерами для предоставления доступа к интернету, обычно если по одному физическому каналу подключаются несколько пользователей. Протокол PPPoE стал стандартом в ADSL-подключениях.

L2TP был широко распространен в середине 2000-х годов в домовых сетях: в те времена внутрисетевой трафик не оплачивался, а внешний стоил дорого. Это давало возможность контролировать расходы: когда VPN-соединение выключено, пользователь ничего не платит.

В настоящее время проводной интернет дешевый или безлимитный, а на стороне пользователя зачастую есть маршрутизатор, на котором включать-выключать интернет не так удобно, как на компьютере. Поэтому L2TP-доступ отходит в прошлое.

Client/server VPN

Тоже популярный вариант. Он обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например, между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физической сети необходимо создать несколько логических сетей.

Например, когда надо разделить трафик между финансовым департаментом и отделом кадров, обращающихся к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, но вместо разделения трафика используется его шифрование.

OpenVPN

OpenVPN — это бесплатная программа, которая реализует технологию виртуальной частной сети (VPN). Она поддерживает два популярных режима работы: клиент-сервер и точка-точка, когда нужно объединить две большие сети.

Она поддерживает хороший уровень шифрования трафика между своими участниками, а также позволяет устанавливать соединения между компьютерами, находящимися за NAT и сетевым экраном, без необходимости изменения их настроек.

Для обеспечения безопасности управляющего канала и потока данных OpenVPN использует библиотеку OpenSSL. Это позволяет задействовать весь набор алгоритмов шифрования, доступных в данной библиотеке.

Также может использоваться пакетная аутентификация HMAC для обеспечения большей безопасности и аппаратное ускорение для улучшения производительности шифрования. Эта библиотека использует OpenSSL, а точнее, протоколы SSLv3/TLSv1.2.

Есть реализации этой программы под все популярные операционные системы: Solaris, OpenBSD, FreeBSD, NetBSD, GNU/Linux, Apple Mac OS X, QNX, Microsoft Windows, Android, iOS.

OpenVPN предлагает пользователю несколько видов аутентификации:

  1. Предустановленный ключ — самый простой метод.
  2. Сертификатная аутентификация — наиболее гибкий в настройках метод.
  3. С помощью логина и пароля — может использоваться без создания клиентского сертификата (серверный сертификат все равно нужен)

Техническая информация

OpenVPN проводит все сетевые операции через TCP- или UDP-транспорт. В общем случае предпочтительным является UDP, потому что через туннель проходит трафик сетевого уровня и выше по OSI. Если используется TUN-соединение, или трафик канального уровня и выше, если используется TAP.

Это значит, что OpenVPN для клиента выступает протоколом канального или даже физического уровня. А значит, надежность передачи данных может обеспечиваться вышестоящими по OSI уровнями, если это необходимо.

Именно поэтому протокол UDP по своей концепции наиболее близок к OpenVPN, так как он, как и протоколы канального и физического уровней, не обеспечивает надежности соединения, передавая эту инициативу более высоким уровням. Если же настроить туннель на работу по ТСР, сервер в типичном случае будет получать ТСР-сегменты OpenVPN, которые содержат другие ТСР-сегменты от клиента.

Также, что не маловажно, OpenVPN может работать через большую часть прокси-серверов, включая HTTP, SOCKS, через NAT и сетевые фильтры. Сервер может быть настроен на назначение сетевых настроек клиенту. Например, IP-адрес, настройки маршрутизации и параметры соединения.

Виды VPN по способу реализации

Программное решение

Используется персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN.

Программное решение для VPN – это, как правило, готовое приложение, которое устанавливается на подключенном к сети компьютере. С одной стороны, программное решение относительно недорого. С другой стороны, создание подобной системы предусматривает конфигурирование сервера для распознавания данного компьютера, VPN-пакета, сетевых плат для каждого соединения и специальных плат для ускорения операций шифрования.  Стоит отметить, что это может быть затруднительным даже для опытных специалистов.

Аппаратное решение

Аппаратные VPN-решения включают в себя все, что необходимо для соединения – компьютер, частную (как правило) операционную систему и специальное программное обеспечение. Развертывать аппаратные решения значительно легче, но зато стоимость их достаточно высокая и позволить их себе приобрести может не каждая организация.

Интегрированное решение

Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.

Существуют также интегрированные решения, в которых функции построения VPN реализуются наряду с функцией фильтрации сетевого трафика, обеспечения качества обслуживания и др. К данному виду решений можно отнести рассматриваемый в рамках данного учебного курса программно-аппаратный комплекс ViPNet.

Стоит отметить, что выбор решения определяется тремя факторами:

  • размером сети;
  • техническими навыками сотрудников организации;
  • объемом трафика, который планируется обрабатывать.

Типы протоколов VPN

SSL и TLS

SSL (Secure Sockets Layer) и TLS (Transport Layer Security) создают VPN-соединение. В котором веб-браузер выступает в роли клиента, а доступ пользователей запрещён к определённым приложениям, а не ко всей сети. Сайты интернет-магазинов обычно используют протоколы SSL и TLS. Веб-браузеры легко переключаются на SSL, и от пользователя почти не требуется никаких действий, поскольку веб-браузеры интегрированы с SSL и TLS. SSL-соединения имеют «https» вначале URL-адреса вместо «http».

Протокол туннелирования точка-точка (PPTP)

PPTP или протокол туннелирования точка-точка создаёт туннель и ограничивает пакет данных. Протокол Point-to-Point Protocol (PPP) используется для шифрования данных между соединениями. PPTP — один из наиболее широко используемых протоколов VPN, который используется с самого раннего выпуска Windows. PPTP также используется на Mac и Linux, кроме Windows.

Протокол туннелирования уровня 2 (L2TP)

L2TP или протокол туннелирования уровня 2 — это протокол туннелирования, который часто комбинируется с другим протоколом безопасности VPN. Таким как IPSec, для установления высокозащищенного соединения VPN. L2TP создаёт туннель между двумя точками подключения L2TP, а протокол IPSec шифрует данные и поддерживает безопасную связь между туннелем.

Безопасность интернет-протокола (IPSec)

Безопасность интернет-протокола, известная как IPSec, используется для защиты интернет-связи по IP-сети. IPSec защищает связь по интернет-протоколу, проверяя сеанс, и шифрует каждый пакет данных во время соединения.

IPSec работает в 2 режимах:

  1. Транспортный режим.
  2. Туннельный режим.

Работа транспортного режима заключается в шифровании сообщения в пакете данных, а в режиме туннелирования шифруется весь пакет данных. IPSec также может использоваться с другими протоколами безопасности для улучшения системы безопасности.

Secure Shell (SSH)

Secure Shell или SSH создаёт туннель VPN, через который происходит передача данных, а также обеспечивает шифрование туннеля. SSH-соединения генерируются SSH-клиентом, и данные передаются с локального порта на удалённый сервер через зашифрованный туннель.

Виды VPN по степени защищённости используемой среды

Защищённые

Наиболее распространённый вариант виртуальных частных сетей. С его помощью возможно создать надежную и защищённую сеть на основе ненадёжной сети, как правило, Интернета. Примером защищённых VPN являются: IPSec , OpenVPN и PPTP .

Доверительные

Используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Проблемы безопасности становятся неактуальными. Примерами подобных решений VPN являются: Multi-protocol label switching (MPLS ) и L2TP (Layer 2 Tunnelling Protocol) (точнее будет сказать, что эти протоколы перекладывают задачу обеспечения безопасности на другие, например L2TP, как правило, используется в паре с IPSec).

VPN-соединение на маршрутизаторах

С ростом популярности VPN-технологий многие пользователи стали активно настраивать VPN-соединение на маршрутизаторах ради увеличения безопасности в сети. VPN-соединение, сконфигурированное на маршрутизаторе, шифрует сетевой трафик всех подсоединённых устройств, в том числе и тех, которые не поддерживают VPN-технологий.

Многие маршрутизаторы поддерживают VPN-соединение и имеют встроенный VPN-клиент. Существуют маршрутизаторы, для которых требуется программное обеспечение с открытым исходным кодом, такое как DD-WRT , OpenWrt и Tomato , для того чтобы поддерживать протокол OpenVPN .

Site-to-Site VPN

Site-to-Site VPN также называется Router-to-Router VPN и обычно используется в крупных компаниях. Компании или организации с филиалами в разных местах используют Site-to-Site VPN для подключения к сети одного офиса к сети другого офиса.

  1. VPN на основе интрасети: когда несколько офисов одной компании подключены с использованием типа Site-to-Site VPN, это называется VPN на основе интрасети.
  2. VPN на основе экстрасети: когда компании используют тип VPN типа «сеть-сеть» для подключения к офису другой компании, это называется VPN на основе экстрасети.

По сути, Site-to-Site VPN создаёт воображаемый мост между сетями в географически удалённых офисах. Соединяет их через интернет и поддерживает безопасную и конфиденциальную связь между сетями. В VPN типа «сеть-сеть» один маршрутизатор действует как клиент VPN, а другой маршрутизатор — как сервер VPN, поскольку это основано на связи между маршрутизаторами. Когда аутентификация подтверждается только между двумя маршрутизаторами, начинается связь.

VPN с удалённым доступом

VPN с удалённым доступом позволяет пользователю подключаться к частной сети и получать удалённый доступ ко всем её службам и ресурсам. Соединение между пользователем и частной сетью происходит через интернет, и соединение является безопасным и частным. VPN с удалённым доступом полезен как для домашних, так и для бизнес-пользователей.

Сотрудник компании, находясь внерабочего места, использует VPN для подключения к частной сети своей компании и удалённого доступа к файлам и ресурсам в частной сети. Частные или домашние пользователи VPN в основном используют службы VPN для обхода региональных ограничений в интернете и доступа к заблокированным веб-сайтам. Пользователи, осведомленные о безопасности в интернете. Также используют службы VPN для повышения своей безопасности и конфиденциальности в интернете.

Уязвимости

Использование технологии WebRTC , которая по умолчанию включена в каждом браузере, позволяет третьей стороне определить реальный публичный IP-адрес устройства, работающего через VPN. Это является прямой угрозой для конфиденциальности, поскольку зная настоящий IP-адрес пользователя, можно однозначно идентифицировать его в сети. Для предотвращения утечки адреса рекомендуется либо полностью отключить WebRTC в настройках браузера, либо установить специальное дополнение.

VPN уязвимы для атаки, называемой дактилоскопией трафика веб-сайта. Очень кратко: это пассивная атака перехвата; хотя противник только наблюдает зашифрованный трафик с VPN, он всё ещё может догадаться, какой веб-сайт посещается, потому что все веб-сайты имеют определенные шаблоны трафика. Содержание передачи по-прежнему скрыто, но к какому веб-сайту он подключается, больше не является секретом.

 

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: