Подписаться  на наше издание быстро и дешевле чем где-либо Вы можете прямо сейчас! Подписаться! 

 


В связи с постоянным и неизбежным прогрессом в области телекоммуникационных и информационных технологий — и, соответственно, с ростом требований к скорости, безопасности и надежности в каналах передачи данных — DSL-доступ на основе VPN-маршрутизаторов видится очень выгодным и перспективным решением.


Офисная работа и интернет на сегодня тесно связаны — и в ряде случаев даже неразделимы. Однако "голый" интернет или свободный незащищенный открытый доступ во внешний мир — практически верная дорога к краху компании и многочисленным проблемам, связанным с внешними атаками и воздействием назойливых хакеров-террористов.


Это одна сторона медали, а теперь о другой.


Очень часто инфраструктура фирмы или предприятия широко распределена и выходит за рамки одного здания, даже района или города. Как получить безопасный оперативный доступ к корпоративной сети и ее ресурсам? А если вы внештатный сотрудник и компания из экономических соображений не может выделить вам АРМ? Или, скажем, вы в командировке и нужно получить доступ к базе данных, забрать какой-либо документ или мультимедийное приложение? Возникает вопрос: как решить эти задачи эффективно и безопасно — причем альтернатива должна быть не только удобной для вас, но и приемлемой для руководства фирмы.


Оказывается, все не так сложно, и решение проблемы существует — это безопасный удаленный DSL-доступ в офисную сеть и использование всех ее возможностей и ресурсов, включая интернет.


Для решения поставленной задачи необходимо обеспечить стабильное, скоростное и, самое главное, надежное с точки зрения безопасности соединение, которое позволило бы после аутентификации беспрепятственно входить в локальную сеть, получать доступ к ее ресурсам, а также работать в интернет.


Таким образом четко вырисовываются две основные цели — безопасный доступ в локальную сеть и в интернет — цели взаимосвязанные и равно актуальные. Рассмотрим несколько технических реализаций удаленного доступа, чтобы найти среди них оптимальный.

 

Доступ через обычный МЭ


Первый вариант основывается на установке на двух концах сети DSL-модемов. Что ж, проблема вроде бы решена — вы можете достучаться до вашего офиса и беспрепятственно бороздить просторы Сети. Однако не следует забывать, что доступ при помощи модема потенциально опасен и может свести на нет всю систему защиты. Попросту говоря — это открытая дверь для злоумышленников, позволяющая им успешно проникнуть на удаленный компьютер, даже не выходя из дома. Стоит ли говорить, что через интернет такой "доброжелатель" может получить пароли, адреса серверов (а иногда и их содержимое), незаконно скопировать ценную информацию, вторгнуться на удаленный компьютер и получить несанкционированный доступ к личным данным.

 


Словом, без межсетевого экрана (firewall) в этом случае просто не обойтись. И после получения данных через модем обязательно следует подвергнуть их "тесту на вшивость", чем, собственно, и займется межсетевой экран. Вырисовывается следующая схема-реализация: удаленный компьютер c firewall’ом — DSL-модем (рис).

 

Межсетевой экран — это мощный программный комплекс, размещающий ресурсы владельцев и защищающий их от доступа из внешней сети.
Владелец компьютера, подключенного в интернету, устанавливает межсетевой экран, чтобы предотвратить получение посторонними конфиденциальных данных, а также для контроля за внешними ресурсами, к которым имеют доступ другие пользователи данного компьютера (предположим, вы понимаете, что некоторые сетевые службы небезопасны с точки зрения компьютерной защиты информации — но ведь другие члены вашей семьи могут быть не в курсе).

 

Так как другого пути в сеть, кроме как через модем и межсетевой экран нет, то при помощи проверки и оценки подключений обеспечивается выполнение политики доступа к компьютеру. Межсетевой экран в нашем случае является программой, установленной на персональном компьютере специально для того, чтобы защищать компьютер от протоколов и служб, которые злоумышленники могли бы использовать для выполнения незаконных действий из внешнего мира (интернет-сети). Межсетевой экран устанавливается на компьютере таким образом, чтобы не допускать входящих запросов, которые могли бы получить доступ к ресурсам частного компьютера в обход firewall’а.


Следует отметить, что межсетевой экран может быть реализован как сетевой сервис на сетевом уровне (экранирующий маршрутизатор) — это так называемый пакетный фильтр, на основании анализа полей заголовков пакетов и заранее заданной системы правил принимающий решение о запрете или разрешении передачи данных. Во многих современных моделях маршрутизаторов предусмотрена функция анализа порта источника поступления данных, что позволяет связывать с каждым портом несколько правил — и таким образом фильтровать пакеты как на входе, так и на выходе.


В любом случае вариантов немало. Это и экранирующий шлюз, и экранирующий транспорт, и производные от них гибридные варианты. Впрочем, наша цель не в охвате всех путей реализации удаленного доступа, а в сопоставлении наиболее приемлемых, эффективных и экономически выгодных из них при достаточном уровне безопасности на стороне пользователя.


Доступ через VPN-маршрутизатор


Исходя из этих целей, мы подходим ко второму варианту реализации удаленного доступа, на котором хотелось остановиться и детально разобраться.


Схема доступа очень близка к методу, описанному выше. И это не случайно, так как вариантов много, но на самом деле все ключевые нюансы крутятся вокруг цепочки: удаленный компьютер — firewall — DSL-модем. Вопрос лишь в том, как будет реализован этот firewall?


Таким образом мы подошли к другой реализации безопасного доступа. Она опирается на технологию VPN (Virtual Private Network — виртуальная частная сеть). Сегодня эта технология завоевала всеобщее признание и стала необходимым инструментом для работы с корпоративной сетью вне офиса.

 


VPN позволяет передавать данные через интернет или другие IP-сети, используя механизм инкапсуляции пакетов, или "туннелирования".

 

Туннелирование, или инкапсуляция — способ передачи информации через промежуточную сеть. Такой информацией могут быть кадры (или пакеты) другого протокола. При инкапсуляции кадр не передается в исходно-сгенерированном узлом-отправителем виде, а снабжается дополнительным заголовком, содержащим информацию о маршруте. Эта информация позволяет инкапсулированным пакетам проходить через промежуточную сеть (Internet). На конце туннеля кадры деинкапсулируются и передаются получателю.

 

Имея доступ к интернету, любой пользователь может без проблем подключиться к сети своего офиса. Следует заметить, что общедоступность информации в данном случае вовсе не означает их незащищенность. Система безопасности VPN — это прочный фундамент, который защищает всю корпоративную информацию от несанкционированного доступа.


Главным является условие, согласно которому информация передается по зашифрованному каналу. Кроме того, обеспечивается подтверждение подлинности, что включает проверку целостности данных и идентификацию пользователей, задействованных в VPN. Проверка целостности гарантирует, что данные дошли до адресата именно в том виде, в котором были отправлены. Далее система проверяет, не были ли изменены данные во время движения по сетям — по ошибке или злонамеренно.


Таким образом, построение VPN предполагает создание защищенных от постороннего доступа туннелей между несколькими локальными сетями или удаленными пользователями.


Одним из наиболее распространенных интернет-протоколов для построения VPN сегодня является протокол IPSec (IP Security). Он обеспечивает аутентификацию, проверку целостности и шифрование сообщений на уровне каждого пакета. Для управления криптографическими ключами IPSec использует протокол IKE. Пожалуй, ключевым преимуществом IPSec состоит в том, что это протокол сетевого уровня. VPN, построенные на его базе, работают абсолютно прозрачно для всех приложений, сетевых сервисов, а также для сетей передачи данных канального уровня. IPSec позволяет маршрутизировать зашифрованные пакеты сетям без дополнительной настройки промежуточных маршрутизаторов, поскольку он сохраняет стандартный IP-заголовок.

 

IKE — Internet Key Exchange — протокол обмена интернет-ключами. Он предусматривает три метода аутентификации для защиты данных и каналов связи и позволяет кодировать заголовки и содержимое пакетов с помощью ключа, обеспечивая таким образом практически абсолютную безопасность линии связи.
В соответствии с протоколом IKE пакеты шифруются с помощью секретного ключа, заранее известного обеим сторонам, или с помощью стандартного открытого ключа. Кроме того, IKE поддерживает использование цифровых сертификатов, создаваемых такими специализированными организациями, как VeriSign, и обеспечивающих еще более высокий уровень защиты.

 

Для построения VPN необходимо, чтобы на обоих концах линии связи работали программы шифрования исходящего и дешифрования входящего трафиков. Они могут функционировать как на специализированных аппаратных устройствах, так и на ПК с такими операционными системами, как Windows, Linux или NetWare.


Управление доступом, аутентификация и шифрование — важнейшие элементы защищенного соединения.


Для технической реализации VPN достаточно будет поставить на разных концах линии два VPN-маршрутизатора, выполняющих функции по формированию туннелей, защите информации, контролю трафика.


Вырисовывается довольно простая и при этом очень гибкая схема удаленного подключения сотрудника к офисной сети: удаленный компьютер — VPN-маршрутизатор — DSL-модем (на рис.). На концах линии связи — два DSL-модема, а в роли стражей порядка и выступают VPN-маршрутизаторы, которые в состоянии надежно и эффективно поддерживать безопасность доступа, надежность передачи и достаточную скорость, невзирая на время, необходимое на шифрование и дешифрацию трафика (что, впрочем, не будет сильно отражаться на скорости передачи данных).


Чтобы получить выигрыш, порой необходимо чем-то жертвовать — таковы законы жизни. Впрочем, в нашем случае выигрываем в главном (конфиденциальности и безопасности), хотя и несколько проигрываем в скорости. Игра стоит свеч.


Модемы могут быть также и встроенными в маршрутизатор — суть не в этом. Главное, что сотрудник фирмы на должном уровне безопасности и надежности получает возможность быстрого и оперативного доступа к корпоративной сети — без необходимости принимать во внимание огромное множество потенциальных рисков. К тому же такое решение довольно экономично, а его реализация не потребует больших усилий.


В настоящее время VPN-маршрутизаторы занимают достойное место на рынке сетевого оборудование. Многие производители устройств данного класса, такие как Zyxel, Planet и пр., представляют оснащенные всеми необходимыми функциями устройства, которые обеспечивают высокий уровень надежности и станут эффективным и экономически оправданным решением для удаленного доступа в офис.


Понятно, что потенциальным пользователям интересна объективная оценка функциональности и производительности таких систем, чтобы определиться с выбором оптимального устройства. Поэтому в одном из ближайших номеров будут опубликованы результаты тестирования VPN-маршрутизаторов ведущих производителей.

2005.11.30
19.03.2009
В IV квартале 2008 г. украинский рынок серверов по сравнению с аналогичным периодом прошлого года сократился в денежном выражении на 34% – до $30 млн (в ценах для конечных пользователей), а за весь календарный год – более чем на 5%, до 132 млн долл.


12.03.2009
4 марта в Киеве компания Telco провела конференцию "Инновационные телекоммуникации", посвященную новым эффективным телекоммуникационным технологиям для решения задач современного бизнеса.


05.03.2009
25 февраля в Киеве компания IBM, при информационной поддержке "1С" и Canonical, провела конференцию "Как сохранить деньги в условиях кризиса?"


26.02.2009
18-19 февраля в Киеве прошел юбилейный съезд ИТ-директоров Украины. Участниками данного мероприятия стали ИТ-директора, ИТ-менеджеры, поставщики ИТ-решений из Киева, Николаева, Днепропетровска, Чернигова и других городов Украины...


19.02.2009
10 февраля в Киеве состоялась пресс-конференция, посвященная итогам деятельности компании "DiaWest – Комп’ютерний світ" в 2008 году.


12.02.2009
С 5 февраля 2009 г. в Киеве начали работу учебные курсы по использованию услуг "электронного предприятия/ учреждения" на базе сети информационно-маркетинговых центров (ИМЦ).


04.02.2009
29 января 2009 года в редакции еженедельника "Computer World/Украина" состоялось награждение победителей акции "Оформи подписку – получи приз!".


29.01.2009
22 января в Киеве компания "МУК" и представительство компании Cisco в Украине провели семинар для партнеров "Обзор продуктов и решений Cisco Small Business"

 

 
 
Copyright © 1997-2008 ИД "Комиздат".