Руководство по VPN
Все, что вам нужно знать о Виртуальных Частных Сетях и их роли в IT-безопасности.
VPN (виртуальные частные сети) предназначены для обеспечения безопасной связи между филиалами предприятий, деловыми партнерами, а также между мобильными работниками и корпоративными ИТ-ресурсами.
Технология VPN использует сеть общего назначения — Интернет, и это делает технологию более экономной и рентабельной, чем использование телефонных сетей благодаря сниженным расходам на телефонную или выделенную линию. Для организации VPN обычно устанавливают специальный шлюз — сетевое устройство, которое управляет VPN соединениями. Шлюз должен включать программное обеспечение VPN, установленное на сервере или другом специализированном устройстве, организующем VPN.
VPN-функциональность также может быть встроена в брандмауэры или в устройства безопасности, такие, как UTM-устройство(унифицированное управление защитой от угроз). Такие устройства могут включать в себя брандмауэр, IDS (Intrusion Detection System — Системы обнаружения вторжения) и IPS (Intrusion Prevention System — Системы предупреждения вторжений) в дополнение к VPN.
Существует возможность управлять своими VPN шлюзами из дома/офиса или возложить эту обязанность на третью сторону, например, на провайдера решений в сфере управляемых средств защиты сетей. Многочисленные провайдеры могут поддерживать VPN, а также другое оборудование, включая межсетевые экраны, IDS’ы и IPS’ы.
Как работает VPN
VPN предназначен для создания безопасных каналов связи через публичные сети, такие как Интернет. Как они это делают — зависит от типа протокола, который используется.
Протокол IPsec создает защищенный туннель между двумя точками. Такое VPN соединение типа точка-точка может, например, связать центральный офис компании с филиалом. IPsec VPN обеспечивает соединение как возможность предоставления доступа удаленных клиентов к корпоративным сетям.
IPsec обеспечивает аутентификацию и другие службы безопасности. Протокол безопасности часто используется в сочетании с Triple DES шифрованием.
Организовывая IPsec VPN, необходимо установить клиентское программное обеспечение на устройствах, которые требуют доступа к сети. VPN клиент инициирует создание туннеля между удаленным компьютером и корпоративной сетью.
Несмотря на то, что IPsec используется достаточно долго, VPN на основе SSL (Secure Sockets Layer) протокола стал более применим в последние годы. SSL шифрование широко используется для защиты данных, передаваемых через Интернет, при этом отпадает потребность в клиентском программном обеспечении. SSL VPN позволяет пользователям получать доступ к удаленным ресурсам с любого веб-браузера, который поддерживает SSL.
Отсутствие VPN клиента облегчает управление, так как программное обеспечение, необходимое для этого, не должно быть загружено и не должно периодически обновляться на каждом устройстве, которое необходимо присоединить к сети. Впрочем, некоторые SSL VPN решения могут требовать применения клиентского программного обеспечения для работы с приложениями, которые не поддерживают использование 80 порта.
SSL VPN используются, в основном, для удаленного доступа, а IPsec VPN для создания LAN-to-LAN соединений.
Преимущества VPN
Ключевым моментом при использовании VPN является использование существующей инфраструктуры сети Интернет и, соответственно, низкие расходы на организацию связи. VPN выступает в качестве надежного средства коммуникации для организаций с филиалами и мобильными пользователями.
VPN позволяет сотрудникам получать доступ к корпоративным приложениям из дома или любого другого места, если их обычные рабочие места недоступны.
Затраты на VPN
Начальный уровень VPN устройств ориентирован на малый бизнес исходя из стоимости в $500 — $1000. Enterprise-класс устройств, как правило стоит от $10000 и может достигать $30000.
Покупатели, делающие выбор в пользу технологии VPN через UTM устройства могут заплатить от $700 до $800 за небольшие бизнес-ориентированные решения и $10000 и выше за Enterprise решения UTM.
VPN технология является достаточно развитой, и основные последние разработки касаются повышения управляемости. Одно из направлений развитий технологии — протокол MOBIKE (IKEv2 Mobility and Multihoming Protocol). MOBIKE, который опирается на IKEv2 протоколе управления ключами, позволяет пользователям обеспечить безопасные VPN соединения, независимо от того, как они перемещаются от одной сети к другой. В 2007 году появились аппаратные VPN-решения, использующие MOBIKE технологии.
19 сентября 2008 14:24 | Статьи
30 сентября, 2008 в 20:09
Увлекательно! Только не могу понять как часто обновляется блог?
4 июня, 2009 в 13:57
[…] Руководство по VPN […]
18 июля, 2011 в 8:03
[…] пользователей и их портативные устройства на корпоративный VPN. Однако, учитывая рост облачных сервисов, последние […]
21 июля, 2017 в 9:11
Обалдеть, какая интересная статья, добавлю в закладки, перечитаю еще раз на свежую голову. Автору спасибо за неожиданный взгляд на эту тему.