ОРГАНИЗАЦИЯ ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЕЙ

5.1. Задачи, решаемые VPN

Защищенные компьютерные сети на сегодняшний день применяют тех- нологию защиты информации, включающую в себя как элементы межсетевого экранирования, так и механизмы криптографической защиты сетевого трафи- ка. Такая технология получила название VPN — Virtual Private Network (вир- туальная частная сеть). В литературе (см. [2]) встречаются различные опреде- ления виртуальной частной сети. Мы будем использовать следующее. VPN — это технология, объединяющая доверенные сети, узлы и пользователей через открытые сети, к которым нет доверия. Основная идея данного определения приведена на схеме (рис. 5.1).

Рис. 5.1. Схема VPN

Предположим, имеются две локальных сети (LAN-1 и LAN-2, рис. 5.1), принадлежащие одной организации (например, головной офис и филиал). Обе эти локальные сети объединены при помощи иной сети, в большинстве случа- ев для этого используется Интернет. С точки зрения пользователей соедине- ния могут устанавливаться между любыми узлами этих локальных сетей. На самом же деле реальные соединения устанавливаются через посредников, не- ких «черных ящиков», устанавливаемых на входе в каждую из них. Задача этих «черных ящиков» так обработать идущий между ними сетевой трафик, чтобы злоумышленник или просто внешний наблюдатель не мог совершить с

передаваемой информацией какого-либо действия, приводящего к ущербу. А именно, не должен нарушить конфиденциальность, целостность и  подлин- ность информации. Иными словами, передаваемая информация, включая ад- реса ее получателя и отправителя, должна быть зашифрована и криптографи- чески подписана. Кроме того, задача «черных ящиков» — защищать сами ло- кальные сети от несанкционированного доступа к ним из глобальной сети. Та- ким образом, внешний наблюдатель должен увидеть в сети лишь зашифро- ванный обмен информацией между двумя «черными ящиками» и ничего бо- лее.

Таким образом, можно сформулировать, что VPN призвана решать сле-

дующие задачи:

?  обеспечивать защиту (конфиденциальность, целостность, подлинность) передаваемой по сетям информации1. Как указывалось выше, данная задача решается  применением  криптографического  метода  защиты  передаваемой информации;

?  выполнять защиту внутренних сегментов сети от НСД извне. Решение за- дачи возможно благодаря встроенным в VPN-системы функциям межсетевого экранирования, а также криптографическим механизмам, запрещающим не- зашифрованный сетевой трафик;

?  обеспечивать идентификацию и аутентификацию пользователей. Данная задача возникает вследствие того, что, как сказано в определении VPN, в сети

должны взаимодействовать лишь доверенные узлы, доверие к которым воз-

можно после прохождения процедур идентификации и аутентификации.

Отдельно стоящей задачей, решаемой VPN, является экономия финан-

совых ресурсов организации, когда для обеспечения защищенной связи с фи-

лиалами применяются не защищенные выделенные каналы связи, а Интернет.

Сформулируем ряд требований, которые предъявляются к программно-

аппаратным комплексам, реализующим VPN:

?  масштабируемость, т. е. возможность со временем подключать новые ло-

кальные сети без необходимости изменения структуры имеющейся VPN;

?  интегрируемость,  т. е.  возможность  внедрения  VPN-системы  в  имею-

щуюся технологию обмена информацией;

?  легальность и  стойкость используемых крипоалгоритмов, т. е. система должна иметь соответствующий сертификат, позволяющий ее использовать на

территории Российской Федерации с целью защиты информации ограничен-

ного доступа;

?  пропускная способность сети, т. е. система не должна существенно уве-

личивать объем передаваемого трафика, а также уменьшать скорость его пе-

редачи;

1 Заметим, что классическую задачу защиты информации в виде обеспечения ее доступно-

сти технология VPN самостоятельно решать не может.

?  унифицируемость, т. е. возможность устанавливать защищенные соеди-

нения с коллегами по бизнесу, у которых уже установлена иная VPN-система;

?  общая совокупная стоимость, т. е. затраты на приобретение, развертыва- ние и обслуживание системы не должны превосходить стоимость самой ин- формации, особенно если речь идет о защите коммерческой тайны.

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий