Надежные и безопасные сети

НОВОСТИ ОТ NOVELL
Интернет:http//www.novell.ru
FTP-сервер:ftp://ftp.novell.ru

Надежные и безопасные сети

Что такое Virtual Private Network (VPN)?
Если вы спросите дюжину людей, что такое VPN - то, вероятно, получите дюжину различных ответов. Базовое определение VPN неоднозначно. Тем не менее, вариант, который к настоящему моменту привлекает все большее внимание, и описан в этой статье. Это VPN как безопасный канал связи, называемый далее туннель через существующую сеть, которая имеет IP инфраструктуру. Перед посылкой данных через этот туннель, устройства VPN, создающие его, кодируют данные. Устройства VPN могут быть как аппаратными средствами (например, шлюзы или маршрутизаторы), программным обеспечением, так и firewall (включая компоненты VPN). Существующая IP- сеть, через которую прокладывается этот туннель, может быть частной корпоративной сетью, но обычно это общественная сеть Internet. В зависимости от решения, VPN может также соединять удаленных пользователей в корпоративную сеть.

VPN, связывающий несколько корпоративных сетей, обеспечивает большинство тех же преимуществ, как и частный WAN. Отраслевые офисы, связанные в VPN, могут иметь доступ к файлам и приложениям в корпоративной сети, не беспокоясь об ухудшении безопасности. Аналогично, VPN- соединение удаленных пользователей обеспечивает те же преимущества, которые вы можете получить, установив модемный пул или сервер удаленного доступа к корпоративной сети. Этот вариант позволяет удаленным пользователям получать доступ к файлам и приложениям, не опасаясь утечки информации во время передачи ее через общественную сеть Internet. Также этот вариант позволяет получить немалую экономию средств, как будет показано далее на примере, оплачивая лишь услуги местного провайдера Internet, а не междугородние телефонные переговоры, как при звонках на модемный пул или сервер удаленного доступа корпоративной сети.

Дешевле чем WAN
Хотя точное определение VPN меняется, одно остается неизменным - сохранение денег компании. В конце-концов, если вы используете VPN вместо WAN, вам не нужно арендовать дорогие выделенные линии. С VPN вы можете использовать ваше существующее соединение с Internet. При поддержке удаленных пользователей, присоединенных к VPN, единственная стоимость для удаленного доступа - $20 за месяц - ставка поставщика услуг Internet. Платя этот ежемесячный тариф, удаленные пользователи могут устанавливать частное соединение с корпоративной сетью, используя ближайший к ним сервера доступа к Internet.

Рассмотрим пример, который позволит нам увидеть издержки, связанные с двумя решениями удаленного доступа. Допустим, что компания имеет 75 удаленных пользователей, которые используют междугородний телефон, чтобы подключиться к корпоративной сети в течение 20 часов за месяц и при этом платит приблизительно $15000 в месяц за междугородние переговоры. А если эти удаленные пользователи будут применять местного провайдера Internet для установления VPN туннеля через Internet в свою корпоративную сеть, то компания должна будет платить приблизительно $4100 в месяц за доступ к Internet. На этом примере можно наглядно убедиться в экономии средств, которую получает компания при использовании VPN.

Так же безопасна, как и WAN
По высказыванию менеджера группы Novell по BorderManager A. E. Natarajan, VPN является даже более безопасным, чем частная выделенная линия, т.к. по выделенной линии ваши данные передаются в незакодированном виде и если кто-то подключится к этой линии, что является вполне возможным, вопреки всеобщему убеждению данные будут доступны подключившемуся. А при использовании VPN, даже если кто-нибудь перехватит передаваемые вами данные, он не сможет их прочитать и вынужден будет потратить немало техники, средств и времени на раскодирование и, как будет показано далее, с весьма плачевным результатом.

BorderManager VPN
не похожий ни на кого
Хотя большинство существующих решений VPN имеют возможность поддержки IPX, только одно из них было специально разработано для смешанных IPX- и IP сетей, работающих на IntranetWare или NetWare серверах: VPN компоненты, входящие в состав BorderManager. BorderManager включает в себя различные компоненты, которые помогают вам управлять доступом, обеспечивать безопасность и ускорять доступ пользователей к информации на границе - где сеть вашей компании соприкасается с другой сетью, к примеру, Internet.

Компоненты VPN, входящие в BorderManager, позволяет вам создавать до 256 безопасных туннелей на один сервер. Например, вы можете создать защищенный туннель через Internet между вашей корпоративной сетью и удаленным офисом (РИСУНОК 1) или внутри вашей корпоративной сети между отделами, которым необходимо обмениваться секретной информацией.

Следующая версия BorderManager будет включать программное обеспечение для клиента, которое позволит начинать туннель прямо на рабочей станции клиента, что будет особенно удобно для мобильных пользователей. Также она будет поддерживать IPSec стандарт и протокол ключами доступа. В результате, BorderManager VPN сможет соперничать с другими VPN, которые также поддерживают IPSec стандарт и протокол управления ключами доступа. Кроме того, будущая версия BorderManager будет поддерживать ISAKMP/Oakley ключевой протокол управления.

Master Slave
BorderManager VPN использует несимметричную схему: один BorderManager VPN сервер обычно является сервером в корпоративной сети, т.е. Master сервером. Все другие BorderManager VPN серверы являются Slave серверами.

Master сервер устанавливает параметры конфигурации VPN и выступает ответственным за синхронизацию информации необходимой для работы туннеля, как, например, информация о маршрутизации по всем серверам BorderManager VPN или ключи кодирования.

Администратор Master сервера для управления VPN использует утилиту Novell NetWare администратор (NWADMIN). Фактически, утилита NWADMIN является единственным инструментом администрирования для всех вопросов управления VPN (за исключением задания конфигурации Master сервера, которое осуществляется с его консоли). С помощью этой утилиты вы как администратор Master сервера можете сконфигурировать BorderManager VPN в топологию mesh (сеть) или star (звезда), что в первом случае дает возможность всем Slave серверам обмениваться данными друг с другом (удобно для объединения разделенных офисов в корпоративную сеть) и во втором случае Slave серверы могут обмениваться только с Master сервером (полезно при подключении к вашей корпоративной сети сетей ваших партнеров и дистрибьюторов).

Администратор Master сервера также может сконфигурировать его автоматически, корректировать информацию о маршрутизации или использовать статическую маршрутизацию. Если вы конфигурируете BorderManager VPN, чтобы автоматически корректировать информацию о маршрутизации, он будет самостоятельно корректировать таблицы маршрутизации на всех BorderManager серверах в вашей VPN всякий раз, когда вы или другой администратор VPN делаете какие-либо изменения. Например, если вы добавили новую сеть к вашей существующей сети, BorderManager автоматически добавит новую необходимую информацию о маршрутизации к таблицам маршрутизации на всех BorderManager серверах в вашей VPN. На сегодняшний день BorderManager VPN - единственный вариант построения VPN с автоматической корректировкой таблиц маршрутизации. Все другие решения VPN требуют от вас вручную конфигурировать таблицы статического роутинга, что является довольно скучным занятием, часто приводящим к ошибкам оператора. Тем не менее, иногда для уменьшения объема передаваемой информации через ваш туннель и, тем самым, повышая полосу пропускания вашего канала, вы можете выбрать статическую маршрутизацию и вручную сконфигурировать статические маршруты для BorderManager VPN.

Механизмы безопасности
BorderManager VPN использует различные алгоритмы шифрации, чтобы установить туннель через Internet, включая Rivest, Shamir, Adleman алгоритм (RSA) для аутентификации и Diffie-Hellman алгоритма для получения общего секрета. Для кодирования данных BorderManager VPN использует Rivest Code 2 (RC2) алгоритм с 128-битовым ключом, который применяется в пределах Соединенных Штатов Америки и Канады, и 40-битным ключом, распространяемым в других странах.

Поскольку RC2 - симметричный алгоритм, один и тот же ключ используется, когда данные кодируются и когда декодируются. Алгоритм RC2 со 128-битным ключом является чрезвычайно надежным - хотя теоретически возможно его подобрать, но практически это является абсолютно нереализуемым. При использовании 40-битного ключа алгоритм также безопасен, хотя этот ключ проще подобрать, нежели 128-битный, но это также потребует от злоумышленника немалых затрат времени, техники, и ресурсов.

(Продолжение следует)

Дмитрий Смоликов Сергей Полехин

КОМПЬЮТЕР-ИНФОРМ