Возрастающий спрос клиентов на организацию виртуальных частных сетей повлек за собой появление различных технологий, предлагающих данный вид сервиса. В связи с протеканием процесса конвергенции эти решения должны соответствовать уровню требований, предъявляемых конвергентными сетями. В связи с тем, что в последние годы интерес к широкополосным услугам сильно возрос, большинство ведущих телекоммуникационных компаний стараются наиболее качественно предоставить весь спектр услуг. Росту телекоммуникационного рынка способствует развитие услуг передачи данных (в том числе услуг на базе технологий IP, включая широкополосный доступ и виртуальные частные сети) и голосовых услуг, на долю которых сегодня приходится около двух третей доходов отрасли.
Виртуальная сеть – это выделенная сеть на базе общедоступной сети, поддерживающая конфиденциальность передаваемой информации за счет использования туннелирования и других процедур защиты.
В основе технологии VPN лежит идея обеспечения доступа удаленных пользователей к корпоративным сетям, содержащим конфиденциальную информацию, через сети общего пользования. В качестве среды для создания VPN могут выступать сети Frame Relay, ATM, но наиболее популярны технологии VPN, рассчитанные на создание сетей VPN в среде Интернет.
Виртуальные частные сети могут гарантировать, что направляемый через Интернет трафик так же защищен, как и при передаче внутри локальной сети, при сохранении всех экономических преимуществ, которые можно получить, используя Интернет.
Проводя сравнение между частными и виртуальными частными сетями, следует выделить ряд несомненных преимуществ VPN:
• технология VPN позволяет значительно снизить расходы по поддержанию работоспособности сети: пользователь платит только абонентскую плату за аренду канала. Кстати, аренда каналов также не вызывает каких-либо затруднений вследствие широкомасштабности сети Интернет;
• удобство и легкость при организации и перестроении структуры сети.
Рассмотрим несколько основных разновидностей протоколов для построения VPN-туннеля:
- PPTP;
- L2TP;
- SSL (будет представлен технологией OpenVPN);
- SSTP;
- GRE.
Разновидность VPN
|
Характеристика
|
Преимущества
|
Недостатки
|
||
PPTP
(англ.
Point-to-Point
tunneling protocol)
|
Туннельный протокол типа точка-точка, изобретенный
Microsoft для организации VPN через сети коммутируемого доступа. Сервер и
рабочая станция используют виртуальную частную сеть и не обращают внимания на
то, насколько безопасной или доступной является глобальная сеть между ними. Для
защиты данных PPTP-траффика может быть использован протокол MPPE. Для
аутентификация клиентов могут использоваться различные механизмы, наиболее
безопасные из них — MSCHAPv2 и EAP-TLS
|
- клиент
PPTP встроен почти во все операционные системы, что позволяет использовать
его без необходимости установки дополнительного программного обеспечения;
- очень
прост в настройке;
- работает
быстро, т.к. использует меньше вычислительных ресурсов;
- использование
частного IP-адреса. Пространство IP-адресов частной сети не должно
координироваться с пространством глобальных (внешних) адресов;
- поддержка
множества протоколов (можно осуществлять доступ к частным сетям, использующим
различные комбинации TCP/IP или IPX).
|
- небезопасен
(уязвимый протокол аутентификации MS-CHAP v.2 все еще много где используется);
- слабая
устойчивость к атакам.
|
||
L2TP-IPsec
|
Протокол туннелирования 2 уровня (канального уровня). Объединяет протокол L2F
(Layer 2 Forwarding), разработанный компанией Cisco, и протокол PPTP
корпорации Microsoft. Позволяет организовывать VPN с заданными приоритетами
доступа, но сам по себе не обеспечивает шифрование и конфиденциаль-ность
трафика, проходящего через него. По этой причине, как правило, используется
протокол шифрования IPsec для обеспечения безопасности и конфиденциальности.
|
- очень
безопасен (не имеет никаких серьезных уязвимостей и считается очень
безопасным при использовании таких алгоритмов шифрования, как AES);
- легко
настраивается;
- доступен
в современных операционных системах;
- cоздание
туннелей в различных сетях. L2TP может
работать как в сетях IP, так и в
сетях ATM, Frame Relay и др.
|
- работает
медленнее, чем OpenVPN;
- может
потребоваться дополнительная настройка роутера (L2TP
использует UDP-порт 500,
который может быть заблокирован файрволлом, если вы находитесь за NAT);
-
алгоритмам, заложенным в предварительном варианте спецификаций, недостает
эффективности, поскольку идентификация пользователя на другом конце
соединения производится уже после того, как соединение установлено. А если
пользователь не прошел авторизацию на доступ к предоставляемым услугам,
соединение будет разорвано;
- применение
протоколов Internet Key Exchange (IKE) с заранее согласованными ключами требует
статических IP-адресов,
а это не позволяет работать по коммутируемым телефонным линиям.
|
||
OpenVPN
(SSL)
|
OpenVPN является новой технологией с открытым кодом,
которая использует библиотеку OpenSSL и протоколы SSLv3/TLSv1. Одним из его
главных преимуществ является то, что OpenVPN очень гибок в настройках.
|
- гибко настраивается
(может быть настроен на работу на любом порту, в том числе на 443 TCP-порту, что позволяет маскировать трафик внутри OpenVPN под обычный HTTPS и поэтому его трудно заблокировать);
- очень
безопасен (поддерживают множество криптографических алгоритмов, например,
AES, Blowfish, 3DES, CAST-128, Camelia и другие);
- может
работать сквозь файрволлы;
- высокая
переносимость между платформами – пакет работает на Windows
2000/XP/2003/Vista, Linux, Free/Net/OpenBSD, Mac OS X и Solaris;
- клиентские
хосты могут иметь статические и динамические IP-адреса;
- поддержка режимов маршрутизации (routed) и моста
(bridged), другими словами, нам под силу туннелировать как IP-пакеты, так и
Ethernet-фреймы.
|
-
необходимо программное обеспечение стороннего разработчика;
- не очень
неудобен в настройке (гибкость может сделать его неудобным в настройке. В
частности, при использовании типовой программной реализации OpenVPN необходимо
не только скачать и установить клиент, но и загрузить и установить дополнительные
конфигурационные файлы).
- ограниченная
поддержка портативными устройствами.
|
||
SSTP (англ. Secure Socket Tunneling Protocol –
протокол безопасного туннелиро-вания сокетов)
|
Протокол VPN от Microsoft, основанный на SSL и
включённый в состав их ОС начиная с Windows 2008 и Windows Vista SP1.
Соединение проходит с помощью HTTPS по 443 порту. Для шифрования используется
SSL, для аутентификации — SSL и PPP.
|
- очень
безопасен (зависит от алгоритма шифрования, обычно используется очень стойкий
AES);
-
полностью интегрирован в Windows (начиная с Windows Vista SP1);
- имеет
поддержку Microsoft;
- может
работать сквозь файрволлы
|
- SSTP не
поддерживает VPN подключений от сайта к сайту;
- SSTP VPN
серверы, включая брандмауэр TMG, требуют привязки сертификатов веб сайта к
веб приемникам SSTP Web Listener;
- только
Windows Server 2008 и Windows Serv23er 2008 R2 могут работать в качестве
серверов SSTP VPN.
|
||
GRE(англ. Generic Routing Encapsulation -общая инкапсуля-ция маршрутов)
|
Протокол туннелирования сетевых пакетов,
разработанный компанией Cisco Systems. Протокол GRE обеспечивает механизм
инкапсуляции произвольных пакетов в произвольный транспортный протокол.
|
- позволяет
эффективно организовать туннель с низкими накладными расходами;
- работает
по принципу симметричного туннеля
точка-точка, а не сервер-мультиклиент;
- по
сравнению с чистым IPSec у GRE есть IP-интерфейсы, ввиду чего удобнее
управлять маршрутизацией;
- GRE
может пропускать как данные второго уровня, так и данные третьего уровня,
совмещая таким образом функциональность PPTP и L2TP
|
- протокол
не осуществляет шифрования (применяется в сочетании с протоколами
шифрования);
- проблема
бита DF ;
- GRE
является протоколом сетевого уровня и не использует порты, то работа
протокола GRE через межсетевой экран может быть затруднена;
- при
туннелировании IP через IP возникает зацикливание маршрутизации, так что
придется повозиться с настройкой протоколов маршрутизации (использовать для
физического и туннельного интерфейсов различные протоколы маршрутизации,
адресные подпространства, автономные системы или назначить туннельному интерфейсу
очень большую метрику или попросту использовать статическую маршрутизацию)
|
||
В традиционной маршрутизации операторами связи и поставщиками услуг были использованы различные методы для того, чтобы предоставить пользователю необходимый уровень качества обслуживания. Одним из результатов таких усилий является принятие соглашения о качестве обслуживания (Service Level Agreement, SLA), которое носит договорной характер и предоставляет гарантии клиентам за каждый уровень качества всех сервисов, которые они могут предложить. Подводя итоги, хочется сказать, что PPTP является наименее безопасным среди перечисленных решений. Несмотря на это очень подкупает его простота настройки и кроссплатформенность. L2TP/IPsec имеет те же преимущества, но в тоже время является более безопасным. Большим минусом работы протокола можно считать его работу на UDP, поэтому о контроле целостности данных не может быть и речи. С этим отлично справляется клиент OpenVPN, который отлично работает как на udp, так и на tcp. Несмотря на необходимость стороннего программного обеспечения во всех операционных системах и, сравнительно, более сложную настройку, OpenVPN является очень гибким, быстрым и очень безопасным протоколом. Стоит отметить протокол SSTP от Microsoft, основанный на SSL. Вся технология стабильна, хорошо документирована, отлично работает, но ограничена использованием только в системах Windows, начиная с Vista (обязательным условием использования данной технологии является наличие серверное части на платформе Windows Server начиная от 2008 ), что исключает кроссплатформенное использование.
В настоящее время существует огромное количество техник для построения корпоративных территориально распределенных сетей в разделяемой инфраструктуре сервис-провайдеров и операторов связи. В большинстве случаев применяются следующие технологий: IP-туннели с использованием технологий GRE или IPSec VPN; SSL, к которой относятся OpenVPN и SSL VPN (SSL/TLS VPN) для организации безопасных каналов связи; MPLS в сети оператора (L3 VPN) или VPN в сети BGP/MPLS; Metro Ethernet VPN в сети оператора (L2 VPN). Наиболее перспективная технология, используемая в Metro Ethernet VPN, - это VPN на базе MPLS (MPLS L2 VPN) или VPLS.
Подводя итог, можно сказать, что VPN на сегодняшний день – самое выгодное по соотношению цена/качество средство защищенного обмена информацией между двумя сетями или сетью и удаленным пользователем.
Сергей Дигтярь
Комментариев нет:
Отправить комментарий