2. 2
VPN (англ. Virtual Private Network - виртуальная
частная сеть)
-технология, позволяющая обеспечить одно или
несколько сетевых соединений (логическую сеть)
поверх другой сети (например Интернет). То есть,
другими словами, технология позволяет
объединить удаленные компьютеры в единую сеть,
используя только Интернет соединение без
необходимости прокладывать кабель, в этом
случае все пользователи работают так, как будто
их компьютеры находятся в пределах единой
локальной сети.
VPN может обеспечивать соединения трёх видов:
узел-узел
узел-сеть
сеть-сеть
2
3. 3
Подключение удалённого пользователя к VPN производится
посредством сервера доступа, который подключён как к внутренней,
так и к внешней (общедоступной) сети
При подключении удалённого пользователя сервер доступа требует
прохождения процесса идентификации, а затем аутентификации
После успешного прохождения обоих процессов, удалённый
пользователь наделяется полномочиями для работы в сети, то есть
происходит процесс авторизации.
VPN
«внутренняя» сеть (может
быть несколько)
«внешняя» сеть (по ней
проходит
инкапсулированное
соединение)
3
4. 4
полная независимость от взаимного расположение
офисов и сотрудников предприятия;
получение защищенного канала связи по цене доступа
в Интернет, что в несколько раз дешевле выделенных
линий, что связано с затратами на кабель,
сетеобразующее оборудование и их обслуживание;
при установке VPN между несколькими сетями не
требуется изменять топологию сетей, что также
обеспечивает значительную экономию;
обеспечивается масштабирование, поскольку VPN не
создает проблем сети;
полная защищенность канала;
открытые интерфейсы позволяют интегрировать вашу
сеть с другими программными продуктами и бизнес-
приложениями.
4
5. 5
сравнительно низкая надежность. В сравнении с
выделенными линиями виртуальные частные сети
менее надежны, однако в 5-10, а иногда и в 20 раз
дешевле.
увеличение потребляемого Интернет трафика. Это
связано с непосредственной реализацией VPN –
все данные передаются через Интернет.
возможные простои в работе. В силу того, что
услуга VPN предоставляется и поддерживается
внешним оператором, могут возникать проблемы
со скоростью соединения и простоями в работе,
связанными с возможными техническими
проблемами провайдера.
5
6. 6
Протоколы и программные решения, реализующие
возможности VPN:
• Спецификация IPsec (IP security)
• Набор протоколов на базе PPP
– PPTP (point-to-point tunneling protocol)
– L2TP (Layer 2 Tunnelling Protocol)
– PPPoE (PPP over Ethernet)
• Набор решений на основе SSL
– OpenVPN
– SSL VPN via web
– SSTP
• SSH-туннелирование
6
7. 7
IPSec (IP security) — часто используется поверх IPv4.
PPTP (point-to-point tunneling protocol) — разрабатывался
совместными усилиями нескольких компаний,
включая Microsoft.
PPPoE (PPP (Point-to-Point Protocol) over Ethernet)
L2TP (Layer 2 Tunnelling Protocol) — используется в
продуктах компаний Microsoft и Cisco.
L2TPv3 (Layer 2 Tunnelling Protocol version 3).
OpenVPN SSL VPN с открытым исходным кодом,
поддерживает режимы PPP, bridge, point-to-point, multi-
client server
Hamachi — программа для создания одноранговой VPN-
сети.
Многие крупные провайдеры предлагают свои услуги по
организации VPN-сетей для бизнес-клиентов 7
8. 8
на базе оборудования установленного на
территории заказчика (Customer Premises
Equipment, CPE)
средствами собственной инфраструктуры
провайдера (network-based VPN) –
(аутсорсинг услуг VPN, провайдерская схема)
Аутсорсинг VPN дает возможность
провайдерам, кроме оказания основного
набора услуг, предоставление
дополнительных централизованных сервисов
(контроль за работой сети, аутсорсинг
приложений)
9. 9
IPSec позволяет строить защищенные логические
соединения – туннели.
Логическое соединение IPSec:
•Относится к определенному классу трафика (селектор
– IP-адрес отправителя и получателя, порты
отправителя и получателя)
•Определяет процедуру обработки для защиты данного
класса трафика (обеспечение целостности или
конфиденциальности, туннельный режим или
транспортный) и криптографический материал
•Не фиксирует маршрут
•Требует предварительного конфигурирования
10. 10
Трафик пользователей передается по общей
инфраструктуре
Трафик разных VPN не изолируется, в
таблицах маршрутизации содержится
информация о чужих сетях
Различные VPN не могут иметь независимое
адресное пространство (даже при наличии
NAT)
Магистральная разделяемая сеть не
защищена от атак типа DoS
Моделирование изолированности трафика
отдельных VPN достигается за счет
шифрования
Степень безопасности IP VPN
на основе IPSec