Из самого названия — виртуальная частная сеть — следует, что она каким-то образом воспроизводит свойства реальной частной сети.
Без всяких натяжек назвать сеть частной можно только в том случае, если предприятие единолично владеет и управляет всей сетевой инфраструктурой — кабелями, кроссовым оборудованием, каналообразующей аппаратурой, коммутаторами, маршрутизаторами и другим коммуникационным оборудованием.
Виртуальная частная сеть представляет собой своего рода «сеть в сети», то есть сервис, создающий у пользователей иллюзию существования их частной сети внутри публичной сети.
Основными задачами технологии VPN являются обеспечение в публичной сети гарантированного качества обслуживания для потоков пользовательских данных, а также защита их от возможного НСД или разрушения.
Виртуальной частной сетью (Virtual Private Network – VPN) называют объединение локальных сетей через открытую внешнюю среду (глобальную сеть) в единую корпоративную сеть, обеспечивающую безопасное циркулирование данных.
Сущность технологии VPN заключается в следующем (рисунок 6.1):
Рисунок 6.1 - СхемаVPN-сети
На все компьютеры, имеющие выход в Интернет (вместо Интернета может быть и любая другая сеть общего пользования), устанавливается VPN-агенты, которые обрабатывают IP-пакеты, передаваемые по вычислительным сетям.
VPN-агенты автоматически шифруют всю исходящую информацию (и соответственно расшифровывают всю входящую). Они также следят за её целостностью с помощью электронной цифровой подписи (ЭЦП) или имитовставок (криптографическая контрольная сумма, рассчитанная с использованием ключа шифрования).
Перед отправкой IP-пакета VPN-агент действует следующим образом.
- анализируется IP-адрес получателя пакета, в зависимости от этого адреса выбирается алгоритм защиты данного пакета. Если же в настройках VPN-агента такого получателя нет, то информация не отправляется.
- Генерирует и добавляет в пакет ЭЦП отправителя или имитовставку.
- Шифрует пакет (целиком, включая заголовок).
- Проводит инкапсуляцию, т.е. формирует новый заголовок, где указывает адрес вовсе не получателя, а его VPN-агента. Эта полезная дополнительная функция позволяет представить обмен между двумя сетями как обмен между двумя компьютерами, на которых установлены VPN-агенты. Всякая полезная для злоумышленника информация, например, внутренние IP-адреса, ему уже не доступна.
При получении IP-пакета выполняются обратные действия.
- Заголовок содержит сведения о VPN-агенте отправителя. Если таковой не входит в список разрешённых в настройках, то информация просто отбрасывается.
- Согласно настройкам выбираются криптографические алгоритмы и ЭЦП, а также необходимые ключи, после чего пакет расшифровывается и проверяется его целостность, пакеты с нарушенной целостностью (ЭЦП не верна) также отбрасываются.
- После всех обратных преобразований пакет в его исходном виде отправляется настоящему адресату по локальной сети.
Все перечисленные операции выполняются автоматически, работа VPN-агентов является незаметной для пользователей. VPN-агент может находиться непосредственно на защищаемом компьютере (что особенно полезно для мобильных пользователей). В этом случае он защищает обмен данными только одного компьютера, на котором он установлен.
6.1 Понятие "туннеля" при передаче данных в сетях
Для передачи данных VPN-агенты создают виртуальные каналы между защищаемыми локальными сетями или компьютерами (такой канал называется "туннелем", а технология его создания называется "туннелированием"). Вся информация передается по туннелю в зашифрованном виде.
Рисунок 6.2.
Одной из обязательных функций VPN-агентов является фильтрация пакетов. Фильтрация пакетов реализуется в соответствии с настройками VPN-агента, совокупность которых образует политику безопасности виртуальной частной сети. Для повышения защищенности виртуальных частных сетей на концах туннелей целесообразно располагать межсетевые экраны (фильтры).
VPN-агенты выполняют роль VPN-шлюзов. VPN шлюз безопасности представляет собой сетевое устройство, подключаемое к двум сетям – глобальной и локальной и выполняющее функции шифрования и аутентификации для хостов, расположенной за ним сети. Шлюз VPN может быть реализован в виде отдельного аппаратного устройства, отдельного программного решения, а также в виде брандмауэра или маршрутизатора, дополненных функциями VPN.
Сетевое соединение VPN шлюза безопасности представляется пользователям расположенной за ним сети как выделенная линия, хотя на самом деле представляет собой открытую сеть с коммутацией пакетов. Адрес VPN шлюза безопасности со стороны внешней сети определяет адрес входящего туннелируемого пакета. Внутренний адрес представляет собой адрес хоста позади шлюза. VPN шлюз безопасности может функционировать в составе маршрутизатора, межсетевого экрана и т.п.
Особенностью тунелирования является то, что эта технология позволяет зашифровать исходный пакет целиком, вместе с заголовком, а не только его поле данных. Исходный пакет зашифровывают полностью вместе с заголовком, и этот зашифрованный пакет помещают в другой, внешний пакет с открытым заголовком. Для транспортировки данных по «опасной» сети используются открытые поля заголовка внешнего пакета, а при прибытии внешнего пакета в конечную точку защищённого канала из него извлекают внутренний пакет, расшифровывают и используют его заголовок для дальнейшей передачи уже в открытом виде по сети, не требующей защиты.
Рисунок 6.3 – Организация туннеляVPN
При этом для внешних пакетов используются адреса пограничных маршрутизаторов (VPN-шлюзов), установленных в этих двух точках, а внутренние адреса конечных узлов содержатся во внутренних пакетах в защищённом виде (рисунок 6.4).
Рисунок 6.4 – Туннелирование пакетов
6.2 Архитектура VPN-сетей
По архитектуре принято выделять три основных вида VPN: