Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев
Главная страница / Архитектура отрасли

ЗАЩИЩЕННЫЕ ВИРТУАЛЬНЫЕ IP-СЕТИ

Не претендуя на рассмотрение в этой статье всех составляющих рынка информационной безопасности, остановимся подробнее на сегменте виртуальных частных сетей (VPN) – одном из решений обеспечения безопасной работы пользователей и ресурсов, подключенных к локальным и глобальным сетям, в частности к Интернету.

С развитием глобальной сетевой инфраструктуры территориальное расширение корпоративных сетей, подключение к ним удаленных пользователей и интеграция между участниками бизнес-процессов требуют создания распределенной сети. При этом основные задачи те же – обеспечение совместного доступа к распределенным корпоративным ресурсам и соответственно защита их от посягательств из внешних и внутренних сетей.

Изначально эти задачи решались посредством физического объединения сегментов сетей, с помощью технологии Frame Relay, применения технологии безопасной передачи данных в сетях общего пользования на базе протокола X.25. Настоящий бум вызвало более эффективное и менее затратное решение – технология виртуальных частных сетей. Эта технология – результат развития концепции безопасного соединения на базе X.25, но на качественно новых алгоритмах аутентификации, шифрования и передачи данных с применением более распространенных сетевых протоколов.

Принято считать, что основу технологии VPN составляет принцип туннелей (защищенных виртуальных каналов), «проложенных» в других сетях, в частности в Интернете, обеспечивающих связь не только между сетями, но и между удаленными пользователями и корпоративной сетью.

С помощью методики туннелирования пакеты данных транслируются через общедоступную сеть как по обычному двухточечному соединению. Между каждой парой «отправитель-получатель данных» устанавливается своеобразный туннель – защищенное соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого.

В VPN-сетях используют различные схемы шифрования и аутентификации, которые обеспечивают защиту данных.

Виртуальная частная сеть может быть развернута как на базе Интернета, так и с использованием инфраструктуры других транспортных

сетей: IP, Frame Relay или ATM.

Основная масса решений по VPN

разрабатывается для IP-сетей. Производители предлагают весьма разнообразный их перечень: от интегрированных многофункциональных и специализированных устройств до чисто программных решений.

Практика показывает, что свыше 80% различных атак и попыток доступа к информации предпринимается изнутри локальных сетей, потому такой подход к созданию виртуальных сетей становится неэффективным.

В настоящее время понятие VPN следует трактовать намного шире. О действительно защищенной виртуальной сети можно говорить только в том случае, когда в ней присутствуют, причем как равноправные объекты защиты, и отдельные компьютеры локальной сети, и удаленные пользователи, и защищенные организационными мерами выделенные фрагменты локальной сети (например, группы серверов), и небольшие локальные сети. Иными словами, локальные иединую среду для возможных злонамеренных действий.

Защита локальной сети только с помощью Firewall организации не позволит избавиться от возможных неприятностей внутри сети. Если вы планируете соединить свою сеть с другой локальной сетью при помощи туннельных средств VPN, надеясь избежать опасностей, которые может принести глобальная сеть, то тоже рискуете. Не исключено, что в вашу сеть может включиться удаленная неконтролируемая локальная сеть.

Вот почему важно иметь возможность устанавливать агентов VPN, перехватывающих весь сетевой трафик, на каждый компьютер, требующий защиты при его информационном взаимодействии с окружающей средой (независимо от места расположения). И напротив, компьютер, подключенный к локальной сети с открытыми ресурсами, может быть с помощью таких агентов легко изолирован от этой сети путем создания для потенциально опасной информации шифрованного туннеля до некоторого сервера - Proxy с таким же агентом, имеющего выход в Интернет. При этом одновременно блокируется любой другой трафик в локальную сеть.

Агенты VPN, перехватывающие весь сетевой трафик (независимо от создающего приложения), путем криптографических преобразований каждого IP-пакета индивидуализируют его и делают недоступным для любых других компьютеров. Исключение составляют компьютеры, которые обмениваются информацией между собой. Если обмен производится с каким-либо сервером, парольная информация становится недоступной. Значит, можно не беспокоиться о защищенности прикладной системы, возможности перехвата и подбора парольной информации, открывающей доступ к вашему почтовому ящику или ресурсам в базе данных.

Исходя из требуемых информационных связей VPN-агентам (независимо от приложений, сетевой операционной системы) несложно без каких-либо настроек сетевого оборудования создавать замкнутые или пересекающиеся группы пользователей. Причем не важно, где они находятся – в одной и той же, разных локальных сетях или непосредственно в глобальной сети (подключившись к Интернету через провайдера).

Такой подход обеспечивает еще одно очень важное свойство виртуальных сетей – независимость от сетевых администраторов. Ведь любая сеть чрезвычайно уязвима для их любых ошибочных или преднамеренных действий.

Главная страница / Архитектура отрасли