May 10th, 2012 
admin
5.1. Задачи, решаемые VPN
Защищенные компьютерные сети на сегодняшний день применяют тех- нологию защиты информации, включающую в себя как элементы межсетевого экранирования, так и механизмы криптографической защиты сетевого трафи- ка. Такая технология получила название VPN — Virtual Private Network (вир- туальная частная сеть). В литературе (см. [2]) встречаются различные опреде- ления виртуальной частной сети. Мы будем использовать следующее. VPN — это технология, объединяющая доверенные сети, узлы и пользователей через открытые сети, к которым нет доверия. Основная идея данного определения приведена на схеме (рис. 5.1).
Рис. 5.1. Схема VPN
Предположим, имеются две локальных сети (LAN-1 и LAN-2, рис. 5.1), принадлежащие одной организации (например, головной офис и филиал). Обе эти локальные сети объединены при помощи иной сети, в большинстве случа- ев для этого используется Интернет. С точки зрения пользователей соедине- ния могут устанавливаться между любыми узлами этих локальных сетей. На самом же деле реальные соединения устанавливаются через посредников, не- ких «черных ящиков», устанавливаемых на входе в каждую из них. Задача этих «черных ящиков» так обработать идущий между ними сетевой трафик, чтобы злоумышленник или просто внешний наблюдатель не мог совершить с
передаваемой информацией какого-либо действия, приводящего к ущербу. А именно, не должен нарушить конфиденциальность, целостность и подлин- ность информации. Иными словами, передаваемая информация, включая ад- реса ее получателя и отправителя, должна быть зашифрована и криптографи- чески подписана. Кроме того, задача «черных ящиков» — защищать сами ло- кальные сети от несанкционированного доступа к ним из глобальной сети. Та- ким образом, внешний наблюдатель должен увидеть в сети лишь зашифро- ванный обмен информацией между двумя «черными ящиками» и ничего бо- лее.
Таким образом, можно сформулировать, что VPN призвана решать сле-
дующие задачи:
? обеспечивать защиту (конфиденциальность, целостность, подлинность) передаваемой по сетям информации1. Как указывалось выше, данная задача решается применением криптографического метода защиты передаваемой информации;
? выполнять защиту внутренних сегментов сети от НСД извне. Решение за- дачи возможно благодаря встроенным в VPN-системы функциям межсетевого экранирования, а также криптографическим механизмам, запрещающим не- зашифрованный сетевой трафик;
? обеспечивать идентификацию и аутентификацию пользователей. Данная задача возникает вследствие того, что, как сказано в определении VPN, в сети
должны взаимодействовать лишь доверенные узлы, доверие к которым воз-
можно после прохождения процедур идентификации и аутентификации.
Отдельно стоящей задачей, решаемой VPN, является экономия финан-
совых ресурсов организации, когда для обеспечения защищенной связи с фи-
лиалами применяются не защищенные выделенные каналы связи, а Интернет.
Сформулируем ряд требований, которые предъявляются к программно-
аппаратным комплексам, реализующим VPN:
? масштабируемость, т. е. возможность со временем подключать новые ло-
кальные сети без необходимости изменения структуры имеющейся VPN;
? интегрируемость, т. е. возможность внедрения VPN-системы в имею-
щуюся технологию обмена информацией;
? легальность и стойкость используемых крипоалгоритмов, т. е. система должна иметь соответствующий сертификат, позволяющий ее использовать на
территории Российской Федерации с целью защиты информации ограничен-
ного доступа;
? пропускная способность сети, т. е. система не должна существенно уве-
личивать объем передаваемого трафика, а также уменьшать скорость его пе-
редачи;
1 Заметим, что классическую задачу защиты информации в виде обеспечения ее доступно-
сти технология VPN самостоятельно решать не может.
? унифицируемость, т. е. возможность устанавливать защищенные соеди-
нения с коллегами по бизнесу, у которых уже установлена иная VPN-система;
? общая совокупная стоимость, т. е. затраты на приобретение, развертыва- ние и обслуживание системы не должны превосходить стоимость самой ин- формации, особенно если речь идет о защите коммерческой тайны.
Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс
Опубликовано в рубрике