Jump to content

Photo

VPN Manager въпрос..


  • Please log in to reply
1 reply to this topic

#1 monkata

monkata
  • Member
  • 1 posts

Posted 18 August 2013 - 11:25 AM

Здравейте,колеги  :)
Не съм много запознат с тези VPN мрежи.Някой ще бъде ли така добър да сподели за какво иде реч,и още по-добре някой който използва тук VPN да каже какъв точно е бил ефекта при него?
Благодаря за вниманието  8)

#2 Guest_bulgarin6_*

Guest_bulgarin6_*
  • Guests

Posted 19 August 2013 - 02:32 PM

Що е то VPN?

Сред характерните черти на успешната комерсиална дейност в съвременния свят можем да посочим широкия териториален размах наред с високата степен на информираност. Производствените мощности се разполагат в близост до източниците на ресурси, а управлението – в бизнес центрове, търговски точки и обекти за предоставяне на услуги – по-близо до потребителя. В такива условия, пред IT отдела на фирмата стои задачата за обединяване на няколко географски разпръснати структури в една мрежа.

Всички знаят как да се направи мрежа в рамките на една сграда. Мнозина обаче ще се затруднят ако трябва да съединят няколко такива мрежи, когато разстоянието между тях достига десетки или даже стотици километри. Или пък да дадат достъп до мрежата на сътрудник, намиращ се в командировка. Започвайки от определена дестинация, проблемите нарастват пропорционално на разстоянието – прокарването на собствен кабел не е по възможностите на много фирми.

В тази ситуация изходът е в използването на Интернет. Днес във всеки град за съвсем разумни пари ще получите бърз достъп до Глобалната мрежа. Но използването на Интернет (или друга мрежа за общо ползване) може да реши проблема само отчасти. Първо, софтуерът на фирмата може да не работи през Интернет, например заради използването на протокол, различен от TCP/IP. Второ, даже ако програмите заработят, едва ли е разумно да се предават през обща мрежа данни, съдържащи търговски тайни в открит вид (а далеч не всеки софтуер изпълнява криптиране при информационния обмен).

И все пак, има решение. Разработени са технологии, позволяващи да се предават данни практически през всяка публична мрежа по такъв начин, че за участниците в информационния обмен това изглежда сякаш се използва частна защитена локална мрежа. Семейството такива технологии получи названието виртуална частна мрежа - VPN (Virtual Private Network).

Принцип на работа на VPN

Виртуалната частна мрежа лежи на три кита – тунелиране, криптиране и идентификация.

Тунелирането осигурява предаване на данни между две точки – краищата на тунела. По такъв начин, че за източника и приемника на данните цялата мрежова инфраструктура, лежаща между тях се оказва скрита. Транспортната среда на тунела подхваща пакетите от входа на тунела и без промени ги доставя до изхода. Изграждането на тунел е достатъчно, за да се свържат два мрежови възела по такъв начин, че от гледна точка на работещия на тях софтуер те изглеждат като свързани в една (локална) мрежа. Но не трябва да се забравя, че данните преминават през множество междинни възли (маршрутизатори) на публичната мрежа.

Това положение на нещата крие в себе си два проблема. Първият се заключава в това, че предаваната през тунела информация може да бъде прихваната от хакери. Ако тя е конфиденциална (номера на банкови сметки, финансови отчети или лична информация), напълно е реална заплахата от нейното компрометиране, което само по себе си е неприятно. Нещо повече, хакерът има възможност да модифицира предаваните през тунела данни така, че получателят да не може да ги провери за достоверност. Последствията могат да бъдат плачевни. Предвид казаното дотук стигаме до извода, че тунелът в чист вид става само за някои видове мрежови игри и не може да претендира за по-сериозно приложение.
За щастие, двата проблема се решават чрез съвременни средства за криптографска защита на информацията. За да се възпрепятства внасянето на нежелани промени в пакета с данни по пътя му през тунела, използва се методът на електронния цифров подпис (ЕЦП). Същността му се състои в това, че всеки предаван пакет е снабден с допълнителен блок с информация, който се изработва в съответствие с асиметричен криптиращ алгоритъм и е уникален за съдържанието на пакета и секретния ключ на ЕЦП на изпращача. Този информационен блок е ЕЦП на пакета и позволява да се направи идентификация на данните от получателя, на когото е известен ключът на електронния подпис на изпращача. Защитата на предаваните през тунела данни се постига чрез използване на силни алгоритми за кодиране.

По този начин, тандемът „тунелиране+идентификация+криптиране“ позволява да се предават данни между две точки чрез мрежа за общо ползване, имитирайки работата на локална мрежа. С други думи, разгледаните средства позволяват да се изгради виртуална частна мрежа. Допълнителен приятен ефект на VPN връзката е възможността (и даже необходимостта) за използване на системата за адресация, приета в локалната мрежа.

Реализирането на VPN на практика изглежда по следния начин. В локалната мрежа на офиса на фирмата се инсталира VPN сървър. Отдалеченият потребител (или маршрутизатор, ако се осъществява между връзка между два офиса) с използване на клиентски софтуер инициира процедура за връзка със сървъра. Извършва се идентификация на потребителя – първата фаза при установяване на VPN връзка. При потвърждаване на пълномощията настъпва втората фаза – между клиента и сървъра се изпълнява съгласуване на детайлите за осигуряване на безопасност. След това се образува VPN съединение, осигуряващо обмен на информация между клиента и сървъра във форма, когато всеки пакет с данни минава през процедура за криптиране/декриптиране и проверка на целостта – идентификация на данните.

За да се осъществи съвместимост на различните реализации на VPN, приети са стандарти, най-разпространените от които са протоколите PPTP и L2TP. Тези два стандарта осигуряват сходно ниво на функционалност, но тъй като L2TP използва протокола UDP за създаване на тунел, той може да работи чрез мрежите ATM (Asynchroneus Transfer Mode), Frame Relay и X.25. Освен това, L2TP предлага по-висока защитеност на връзката чрез използване на протокола за безопасност IPSec.
Средства за реализация на VPN

Когато пристъпваме към изграждане на VPN, преди всичко трябва да се определят средствата, които ще бъдат отделени за реализация на проекта. VPN може да бъде организирана както с помощта на софтуер (комерсиален или безплатен), така и с помощта на хардуерни средства, каквито има много на пазара.

Когато голяма фирма трябва безопасно да свърже няколко офиса (по схемата route-to-route) и да даде възможност за отдалечена работа (remote access) с ресурсите на локалната мрежа на своите служители, за предпочитане е оборудването на Cisco като най-мощен и гъвкав вариант. Ако фирмата сега се развива и се налага да включи към главния офис само едно регионално представителство, може да се ограничи с маршрутизаторите-защитни стени на ZyXEL или D-Link. Това решение е значително по-евтино и не предявява високи изисквания към професионализма на системните администратори, както е при настройката на маршрутизаторите на Cisco. Двете компании предоставят подробна документация, описваща както възможностите на своите продукти, така и процедурите по тяхната настройка с варианти за използване. Трябва да отбележим, че хардуерните средства по правило са комплексни решения и предлагат цял набор от технологии, които улесняват интеграцията на изчислителните устройства чрез VPN и увеличават нивото на безопасност.

Когато говорим за програмна реализация на VPN, трябва да си спомним, че операционните системи на Microsoft имат вградена поддръжка на виртуални частни мрежи по протоколите PPTP или L2TP. Ако изграждането на VPN сървър на базата на сървърна операционна система на този производител може да предизвика спорове и дискусии, наличието на интегриран VPN клиент безспорно е удобство и позволява да се организират отдалечени работни места на служителите с минимални разходи. Ако във фирмата се използва друга операционна система или по някаква причина вградените средства са незадоволителни, може да се обърне внимание на кросплатформената реализация на VPN сървър OpenVPN (http://openvpn.net/).

При използване на оборудване или софтуер на различните производители трябва да се разбере дали устройствата поддържат еднакви протоколи за VPN. В противен случай тяхното съвместно функциониране ще е или невъзможно, или неефективно заради необходимостта от прилагане на множество протоколи, което съществено намалява информационната безопасност.

Протоколите PPTP и L2TP с IPSec

Мрежовата технология PPTP (Point-to-Point Tunneling Protocol) е развитие на протокола за отдалечен достъп PPP (Point-to-Point Protocol). PPTP, който се отнася към стека протоколи TCP/IP, беше създаден за организиране на работата на многопротоколни мрежи чрез Интернет. За функционирането на PPTP е необходимо да се направят две TCP връзки – за управление на VPN съединението и за предаване на данни. Конфиденциалността на предаваната информация се осигурява чрез криптиране по схемата RC4 с ключ до 128 бита.

Подобрена версия на протокола PPTP е индустриалният стандарт L2TP (Layer Two Tunneling Protocol), представляващ комбинация от технологиите PPTP и L2F (Layer Two Forwarding). Транспортна среда за протокола L2TP е UDP. Криптирането на данните се осигурява от средства, предлагани от протокола за безопасност IPSec. Достъпни са следните методи за криптиране - DES (Data Encryption Standard) с 56-битов ключ и 3DES (Triple DES) с три 56-битови ключа. Освен това, IPSec предоставя механизъм за съгласуване на ключовете IKE (Internet Key Exchange), идентификацията Kerberos и други технологии за информационна безопасност.

Хардуерни устройства за VPN

Тъй като цената на хардуерните средства за организиране на VPN е приемлива даже за малките фирми, а при експлоатация те са по-удобни и надеждни, отколкото софтуерните средства, има смисъл да обърнем внимание на някои от тях. Точка за достъп за няколко VPN връзки например може да се създаде на базата на VPN маршрутизатора DI-804HV/DI-808HV (позволява да се организират до 40 връзки) на D-Link или защитната стена ZyWALL (от 1 до 100 връзки в зависимост от модификацията) на ZyXEL.

Конфигурирането на двете устройства може да бъде извършено през мрежов интерфейс, а продуктите на ZyXEL позволяват достъп до ZyNOS (мрежова операционна система на ZyXEL) в режим на команден ред по протокола Telnet, което дава възможност за по-прецизна настройка на връзката. Интересни и относително евтини решения за обединяване на локалните мрежи в използването на ADSL модема-маршрутизатор-защитна стена ZyXEL Prestige P661H. Това устройство позволява да се организират две VPN съединения, но освен това може да служи за мост между три IP подмрежи, разделящи обща Ethernet среда (с възможност за филтрация на трафика между тях), да насочва IP трафикът в съответствие с таблицата на статичните маршрути, да реализира фирмената технология Any-IP, позволяваща той да се използва като шлюз по подразбиране за компютрите, конфигурирани за работа в друга мрежа.

При настройка на описаните устройства трябва внимателно да се зададат параметрите на VPN връзката, тъй като в случай даже на малка грешка тунелът няма да се образува. Например, предопределените ключове (Preshared Key) трябва да са еднакви и в двата края на тунела, за една и съща VPN не могат да се различават механизмите за съгласуване на ключовете (Manual или IKE) и алгоритмите за криптиране и идентификация.

Когато избирате параметрите на тунела, трябва внимателно да се запознаете с възможните варианти за реализация, за да получите функционалността, която искате. Така например, протоколът AH (Authentication Header) на SA (Security Association) осигурява само идентификация на предаваните данни без те да се криптират. За да се получи пълна защита следва да се избере протоколът ESP (Encapsulating Security Payload).

Posted Image