Защита информации в глобальной сети
нных сетей общего пользования (Public Switched Telephone Network - PSTN). В течение многих лет такие частные сети проектировались с учетом конкретных корпоративных требований, что в результате транслировалось в фирменные протоколы, поддерживающие фирменные же приложения (правда, в последнее время приобрели популярность протоколы Frame Relay и ATM). Выделенные каналы позволяют обеспечить надежную защиту конфиденциальной информации, однако оборотная сторона медали – это высокая стоимость эксплуатации и трудности при расширении сети, не говоря уже о возможности подключения к ней мобильного пользователя в непредусмотренной точке. В то же время для современного бизнеса характерны значительное рассредоточение и мобильность рабочей силы. Все больше пользователей нуждается в доступе к корпоративной информации посредством коммутируемых каналов, увеличивается также количество сотрудников, работающих на дому. Западные аналитики предсказывают, что к концу 1999 г. 80 % корпоративных пользователей будут иметь, по крайней мере, по одному портативному компьютеру (безусловно, проекция этого предсказания на Украину может вызвать только улыбку, но рано или поздно украинская экономика, изнасилованная прогрессом, вынуждена будет принять правила игры, диктуемые промышленно развитыми странами).
Далее, частные сети не в состоянии обеспечить такие же возможности для коммерческой деятельности, которые предоставляет Internet и IP-базированные приложения, к примеру, продвижение продукции, поддержка заказчиков или постоянная связь с поставщиками. Такое взаимодействие в режиме on-line требует объединения частных сетей, которые, как правило, используют разные протоколы и приложения, разные системы управления сетью и разных поставщиков услуг связи.
Таким образом, высокая стоимость, статичность и трудности, возникающие при необходимости объединить частные сети, базирующиеся на разных технологиях, вступают в противоречие с динамически развивающимся бизнесом, его стремлением к децентрализации и проявляющейся в последнее время тенденцией к слиянию компаний.
В то же время параллельно существуют лишенные этих недостатков сети передачи данных общего пользования и Internet, буквально окутавшая своей «паутиной» весь земной шар. Правда, они лишены и наиболее важного достоинства частных сетей – надежной защиты корпоративной информации. Технология виртуальных частных сетей и позволяет объединить гибкость, масштабируемость, низкую стоимость и доступность буквально в режиме «anytime anywhere» Internet и сетей общего пользования с безопасностью, характерной для частных сетей. По своей сути VPN являются частными сетями, которые для передачи трафика используют глобальные сети общего доступа (Internet, Frame Relay, ATM). Виртуальность же проявляется в том, что для корпоративного пользователя они представляются выделенными частными сетями. Рассмотрим основные требования, которые предъявляются к виртуальным частным сетям.
4.1. СОВМЕСТИМОСТЬ.
Проблемы совместимости не возникают, если VPN прямо используют службы Frame Relay и ATM, поскольку они довольно хорошо приспособлены для работы в мультипротокольной среде и пригодны как для IP-, так и для не IP–приложений. Все, что требуется в этом случае, так это наличие соответствующей сетевой инфраструктуры, покрывающей необходимый географический район. В качестве устройств доступа чаще всего используются Frame Relay Access Device (FRAD) или маршрутизаторы с интерфейсами Frame Relay и ATM. Многочисленные постоянные или коммутируемые виртуальные каналы могут работать (виртуально) с любой смесью протоколов и топологий. Дело осложняется, если VPN базируется на Internet. В этом случае требуется, чтобы приложения были совместимы с IP–протоколом. При условии выполнения этого требования для построения VPN можно использовать Internet «как она есть», предварительно обеспечив необходимый уровень безопасности. Но поскольку большинство частных сетей являются мультипротокольными или используют неофициальные, внутренние IP–адреса, то они не могут прямо, без соответствующей адаптации подключиться к Internet. Существует множество решений, обеспечивающих совместимость. Наиболее популярными являются следующие:
преобразование существующих протоколов (IPX, NetBEUI, AppleTalk или других) в IP–протокол с официальным адресом;
преобразование внутренних IP–адресов в официальные IP–адреса;
установка специальных IP–шлюзов на серверы;
использование виртуальной IP–маршрутизации;
использование универсальной техники туннелирования.
Первый способ, по крайней мере концептуально, понятен, поэтому остановимся вкратце на остальных.
Преобразование внутренних IP-адресов в официальные необходимо в том случае, когда частная сеть базируется на IP-протоколе. Для внутренней адресации обычно используются адреса класса В, которые лежат в диапазоне 192.168.0.0 - 192.168.255.255, что позволяет идентифицировать 65536 узлов. Преобразование адресов для всей корпоративной сети не является необходимым, так как официальные IP-адреса могут сосуществовать с внутренними в коммутаторах и маршрутизаторах сети предприятия. Другими словами, сервер с официальным IP-адресом по-прежнему доступен клиенту частной сети через локальную инфраструктуру. Наиболее часто используют технику разделения небольшого блока официальных адресов многими пользователями. Она подобна разделению пула модемов, поскольку также опирается на предположение, что не все пользователи одновременно нуждаются в доступе к Internet. Здесь существуют два индустриальных стандарта: протокол динамической конфигурации хостов (Dynamic Host Configuration Protocol - DHCP) и трансляция сетевых адресов (Network Adress Translation - NAT), подходы которых слегка различаются. DHCP «сдает» узлу адрес в аренду на время, определяемое администратором сети, тогда как NAT транслирует внутренний IP-адрес в официальный динамически, на время сеанса связи с Internet.
Другим способом сделать частную сеть совместимой с Internet является установка IP–шлюза. Шлюз транслирует не IP–протоколы в IP-протоколы и наоборот. Большинство сетевых операционных систем, использующих нативные протоколы, имеют программное обеспечение для IP–шлюза.
Сущность виртуальной IP–маршрутизации заключается в расширении частных маршрутных таблиц и адресного пространства на инфраструктуру (маршрутизаторы и коммутаторы) Internet–провайдера. Виртуальный IP–маршрутизатор является логической частью физического IP–маршрутизатора, принадлежащего и функционирующего у сервис-провайдера. Каждый виртуальный маршрутизатор обслуживает определенную группу пользователей.
Однако, пожалуй, самым лучшим способом обеспечить совместимость можно с помощью методов туннелирования. Эти методы наряду с различной техникой инкапсуляции уже давно используются для передачи по общей магистрали мультипротокольного потока пакетов. В настоящее время эта испытанная технология оптимизирована для Internet–базированных VPN.
Основными компонентами туннеля являются:
инициатор туннеля;
маршрутизируемая сеть;
туннельный коммутатор (опционально);
один или более туннельных терминаторов.
Туннелирование должно выполняться на обоих концах сквозного канала. Туннель должен начинаться туннельным инициатором и завершаться туннельным терминатором. Инициализация и завершение туннельных операций может выполняться различными сетевыми устройствами и программным обеспечением. Например, туннель может быть инициирован компьютером удаленного пользователя, на котором установлены модем и необходимое для VPN программное обеспечение, фронтальным маршрутизатором филиала корпорации или концентратором доступа к сети у сервис-провайдера.
Для передачи по Internet пакетов, отличных от IP сетевых протоколов, они со стороны источника инкапсулируются в IP–пакеты. Наиболее часто применяемый метод создания VPN–туннелей заключается в инкапсуляции не IP–пакета в пакет PPP (Point-to-Point Protocol) с последующей инкапсуляцией в IP–пакет. Напомним, что PPP–протокол используется для соединения типа точка-точка, например, для связи клиента с сервером. Процесс IP–инкапсуляции включает добавление стандартного IP–заголовка к оригинальному пакету, который затем рассматривается как полезная информация. Соответствующий процесс на другом конце туннеля удаляет IP–заголовок, оставляя неизменным оригинальный пакет. Протокол PPP обеспечивает сервис на уровне 2 эталонной модели OSI, поэтому такой подход называется туннелирование на уровне 2 (L2 Tunneling Protocol – L2TP). Сегодня довольно широкое распространение получил протокол Point-to-Point Tunneling Protocol, разработанный компаниями 3Com и Microsoft, который поставляется вместе с операционными системами Windows 95 и Windows NT .
Поскольку технология туннелирования достаточно проста, она является и наиболее приемлемой в отношении стоимости.
4.2. БЕЗОПАСНОСТЬ.
Обеспечение необходимого уровня безопасности часто является основным пунктом при рассмотрении корпорацией возможности использования Internet–базированных VPN. Многие IT–менеджеры привыкли к изначально присущей частным сетям защите конфиденциальной информации и рассматривают Internet как слишком «общедоступную» для использования ее в качестве частной сети. Однако при условии принятия необходимых мер Internet–базированные виртуальные частные сети могут стать более безопасными, чем VPN, базирующиеся на PSTN. Если пользоваться английской терминологией, то существуют три «Р», реализация которых в совокупности обеспечивает полную защиту информации. Это:
Protection - защита ресурсов с помощью брандмауэров (firewall);
| |  скачать работу |
Защита информации в глобальной сети |
