Преимущества и недостатки технологии VPN. Для телефона iphone из магазина appstore стоит выбрать

Александр Шахлевич
Специалист отдела маркетинга компании "Информзащита"

О технологии виртуальных частных сетей VPN не писал еще только ленивый, да и в мире ИБ VPN уже стала де-факто стандартом построения защищенных каналов связи.

Плата за сохранность

Технология VPN отвечает основополагающим критериям сохранности информации: целостность, конфиденциальность, авторизованный доступ. При правильном выборе VPN обеспечивается масштабирование, то есть использование VPN не создаст проблем роста и поможет сохранить сделанные инвестиции в случае расширения бизнеса. Да и в сравнении с выделенными линиями и сетями на основе Frame Relay виртуальные частные сети не менее надежны в плане защиты информации, однако в 5-10, а иногда и в 20 раз дешевле.

Но у всего есть обратная сторона, и технология VPN не исключение. Одним из недостатков VPN является падение производительности сети, связанное с криптографической обработкой трафика, проходящего через VPN-устройство. Возникающие задержки можно разделить на три основных типа:

• задержки при установлении защищенного соединения между VPN-устройствами;
• задержки, связанные с зашифровыванием и расшифровыванием защищаемых данных, а также с преобразованиями, необходимыми для контроля их целостности;
• задержки, связанные с добавлением нового заголовка к передаваемым пакетам.

Давайте подробнее остановимся на каждом из обозначенных типов.

1. С учетом криптографической стойкости применяемых алгоритмов смена ключа возможна через достаточно длительный интервал времени. Поэтому при использовании средств построения VPN такие задержки практически не влияют на скорость обмена данными.
2. Задержки этого типа начинают сказываться на производительности каналов связи только при передаче данных по высокоскоростным линиям (от 100 Мбит/с). В остальных случаях быстродействие программной или аппаратной реализации выбранных алгоритмов шифрования и контроля целостности обычно достаточно велико, и в цепочке операций над пакетом "зашифровывание - передача в сеть" и "прием из сети - расшифровывание" время зашифровывания (расшифровывания) значительно меньше времени, необходимого для передачи данного пакета в сеть.
3. Здесь-то мы и сталкиваемся с основной проблемой, каковой является добавление дополнительного заголовка к каждому пакету, пропускаемому через VPN-устройство. Для примера можно рассмотреть систему управления, которая в реальном времени осуществляет обмен данными между удаленными станциями и центральным пунктом. Размер передаваемых данных не велик - не более 25 байт, что сопоставимо с размером данных в банковской сфере (платежные поручения) и IP-телефонии. Интенсивность передаваемых данных - 50-100 переменных в секунду. Взаимодействие между узлами осуществляется по каналам с пропускной способностью в 64 кбит/с. Пакет со значением одной переменной процесса имеет длину 25 байт (имя переменной - 16 байт, значение переменной - 8 байт, служебный заголовок - 1 байт). IP-протокол добавляет к длине пакета еще 24 байта (заголовок IP-пакета).

В случае использования каналов Frame Relay добавляется еще 10 байт FR-заголовка. Всего 59 байтов (472 бита). Таким образом, для нормальной работы необходима полоса пропускания, что хорошо вписывается в имеющиеся ограничения пропускной способности в 64 кбит/с.

Что мы получаем при использовании средств VPN? Для протокола IPSec и указанных параметров требуемая пропускная способность будет превышена на 6% (67,8 кбит/с). Для протокола, используемого в программно-аппаратном комплексе "Континент", дополнительный заголовок, добавляемый к каждому пакету, составляет всего 36 байт (или 26 - в зависимости от режима работы), что в данных условиях не вызовет задержек в работе (57 и 51 кбит/с соответственно). Для протокола SSL и тех же условий дополнительный заголовок составит 21 или 25 байт, в зависимости от алгоритма шифрования, это также не вызовет падения производительности.

Пример взят для наглядности, но чем больше объем передаваемых данных, тем больше вносимые задержки. Такое падение производительности сети не критично для большинства приложений и сервисов, но, например, губительно для передачи потокового аудио и видео. Вдобавок с развитием информационных технологий потребность в скоростной передаче трафика большого объема все возрастает, соответственно растут и требования как к самим каналам связи, так и к средствам их защиты.

По мнению западных аналитиков, пока лишь 5% пользователей, работающих, например, в финансовом секторе, нуждаются в таких высоких стандартах. Остальные 95% не столь серьезно относятся к проблемам со связью, а затраты большего количества времени на получение информации не приводят к колоссальным убыткам.

Модные тренды

Потребности бизнеса и подходы к построению ИБ сформировали к настоящему моменту два ключевых направления развития технологии VPN: это IPsec VPN и SSL VPN. Посмотрим, в чем основные плюсы и минусы каждой из них.

1. IPSec (IP Security) - это набор протоколов, решающих проблемы по шифрованию данных, их целостности и аутентификации. IPSec работает на сетевом уровне. Таким образом, защита данных будет прозрачна для сетевых приложений. В то время как SSL (Secure Socket Layer) - протокол уровня приложений, в основном используется для защищенного обмена информацией между удаленными приложениями (по большей части это обращение к Web-серверам), IPSec одинаково обращается с пакетами протоколов более высокого уровня, то есть аутенти-фицируются и шифруются, не обращая внимания на их содержание. А вот для работы SSL необходим надежный транспортный протокол (например, TCP). Надежность IPSec еще гарантируется тем, что информация о порте, с которым установлено соединение, также недоступна для злоумышленника.

2. IPSec поддерживает три вида установления соединения:

• Gateway-to-Gateway;
• Gateway-to-Host;
• Host-to-Host.

SSL поддерживает только соединение между двумя хостами или клиентом и сервером.

3. IPSec поддерживает цифровую подпись и использование Secret Key Algorithm, в то время как SSL - только цифровую подпись. И IPsec и SSL могут использовать PKI. Преимущество IPSec: для малых систем можно вместо PKI применять preshared keys, что заметно упрощает задачу. Методы, которые используются в SSL, идеально подходят для установления защищенного соединения между сервером и клиентом. Основное различие между способами аутентификации опять же заключается в том, что IPSec функционирует на сетевом уровне, что позволяет прослеживать адрес получателя и источника с тем же успехом, что и аутентификацию более высоких уровней. SSL же имеет доступ только к информации транспортного уровня и выше.

4. Среди недостатков IPSec - большой объем дополнительной информации, добавляемой к исходному пакету. В случае SSL этот размер значительно меньше.

5. Для сжатия IPSec применяется протокол IPComp. SSL в меньшей мере использует сжатие, и только OpenSSL поддерживает его полностью. В случае IPSec использование алгоритмов сжатия может приводить к разным результатам при применении их в разных условиях: производительность способна как увеличиваться, так и уменьшаться.

Результат зависит от соотношения скоростей шифрования, сжатия и скорости передачи данных.

Большинство алгоритмов шифрования работают быстрее алгоритмов сжатия. Следовательно, это будет приводить к замедлению работы. Но в случае низкой скорости передачи использование сжатия заметно увеличит производительность.

В качестве заключения

SSL очень быстро развивается в сегменте "клиент-сервер VPN" (по сравнению с IPSec), так как при небольших издержках предоставляет необходимый уровень защищенности информации. И хотя пока SSL пытается на равных конкурировать с IPSec, но с появлением и окончательной стандартизацией IPv6 ситуация должна измениться.

Что выбрать - решать только заказчику. Лидеры по производству средств защиты информации отлично справляются с развитием обоих направлений и способны предложить оптимальное решение, соответствующее индивидуальным потребностям конкретного клиента.

VPN является сетевой технологией, которая создает защищенную сеть внутри незащищенной, т.е. интернета. Причина, по которой интернет является небезопасным, очевидна: он открыт и не контролируется в строгом смысле. Любой человек, имеющий необходимые знания и инструменты может получить доступ к огромному количеству информации, проходящей через интернет. Очевидно, что последствия могут быть катастрофическими. Чтобы объяснить, рассмотрим два сценария:

Вот тут VPN и вступает в игру. Корпорации и их региональные отделения охватывают континенты, но при этом они должны общаться друг с другом. Расстояния становятся преградой, а интернет является единственным способом обойти эту проблему. С помощью VPN компании создают безопасную частную сеть, наложенную поверх незащищенной сети (интернет) и используют эти наложенные защищенные сети, чтобы общаться друг с другом с помощью зашифрованных сообщений.

Так, в простейшем виде, VPN создает безопасную сеть в интернете, которая используется предприятиями (и обычными пользователями) для шифрования связи, ограждая их тем самым от подслушивания, хотя сеть, в которой они путешествуют, является незащищенной.

Как работает VPN?

Технология VPN представляет собой сложную систему, содержащую множественные аутентификации, защищенные протоколы, коды, которые становятся недействительными по истечении определенного времени, и пр. Но вот некоторые общие представления о принципе работы данной технологии.

• На самом базовом уровне: рассмотрим два компьютера, находящихся в разных международных отделениях компании, между которыми нужно установить безопасную связь через интернет.
• Каждый из этих компьютеров называется VPN-клиент.
• На обоих компьютерах осуществляется вход с помощью учетных данных (имя пользователя и пароль) в VPN-клиент, тем самым подтверждая подлинность. Подлинность учетных данных согласовывается с закрытым ключом, который хранится на сервере VPN .
• Когда оба компьютера прошли проверку подлинности, все их коммуникации шифруются / дешифруются, прежде чем быть отправленными / полученными через интернет.
• Таким образом обеспечивается безопасность в небезопасном интернете. Единственным средством для расшифровки (обычно клавиши) являются пользователи, которые общаются, а именно отправитель и получатель.
• Всякий раз, когда любой новый пользователь хочет подключиться к уже существующей VPN, он заходит через клиент VPN, используя безопасную аутентификацию (временной ключ, пароль или PIN-код). PIN зависит от времени в том смысле, что он становится недействительным через определенный срок (скажем, минуты).

Хотя VPN используется преимущественно глобальными корпорациями, бесплатное программное обеспечение, как Comodo EasyVPN и Softether VPN, позволит вам создать свой собственный VPN для общения с друзьями, семьей или кем-либо еще.

Какова польза VPN для интернет-пользователей?

• Конфиденциальность пользователя: пользователь регистрируется в интернете, с помощью VPN все данные в / из ПК идут через защищенный слой. Например, вы загружаете файл. При отсутствии VPN любой желающий может узнать, где вы зарегистрированы и кто ваш провайдер (через IP). Но с VPN шансы существенно снижаются, так как все ваши данные зашифрованы и ваш IP либо маскируется, либо скремблируется..
• Любитель видео: напрмер, вы любите смотреть видео на VEVO. Но он не доступен в вашей стране. Использование VPN-скремблирования вашего IP позволяет предоставить IP, который соответствует стране, где доступен этот видеохостинг.

Недостаток VPN

Основной недостаток VPN это то, что соединение, находясь в открытой сети, становится потенциально уязвимым. И хотя зафиксированные случаи взлома VPN крайне редки, надо понимать, что требуется дополнительная , например, при помощи технологий. Также надо отметить, что по всей видимости, АНБ США имеет возможность подобраться к вашей информации, используя прочие уязвимости ПК.

Как защититься в сети?

Перебежчик Сноуден как-то сказал после публикации первого документа: «Криптография работает. Правильно реализованные сильные криптосистемы - одна из вещей, на которые вы можете положиться". Видимо, все так и есть, несмотря на сегодняшние громкие информационные разоблачения и дразнящие заявления об « криптоаналитических возможностях» сделаных James Clapper, директором национальной разведки. Да, возможности эти есть, но эти возможности используют ослабленную криптографию.

Сноуден продолжил очень важной фразой: «К сожалению, безопасность на конечных узлах настолько слаба, что АНБ может ее обойти». Логично.

Вообще говоря, под уязвимыми конечными узлами подразумевается софт, который вы используете, компьютер, который вы используете, и локальную сеть, которую вы используете. Если АНБ может изменить криптоалгоритм или подсадить вам с кейлоггером, вся криптография становится бесполезной. Если хотите оставаться защищенным от АНБ, вы должны быть по максимуму уверенным, что криптография работает без помех.

Итак, краткие советы по обеспечению собственной безопасности в сети интернет:

1) Прячьтесь в сети. Используйет скрытые сервисы. Используйте для анонимности. Да, пользователи Тора под прицелом АНБ, но для них это работает. Чем менее вы заметны, тем в большей безопасности.

2) Шифруйте свои коммуникации. Используйте TLS. Используйте . Еще раз, несмотря на то, что АНБ держит под прицелом зашифрованные соединения, и у него есть эксплойты против этих протоколов, вы защищены больше, чем без шифрования.

3) Предположим, что ваш компьютер можно взломать, тогда это потребует от АНБ работы и риска - возможно они не захотят этим заниматься. Если у вас есть что-то по-настоящему важное, используйте «воздушный барьер». Когда вы находитесь в зоне риска, целесообразно купить новый компьютер, который никогда не подключался к интернету. Тем самым вы изначально не дадите возможность связать ваши секретные данные с вашей сетевой историей, что осложнит задачу расследования. Далее, если надо передать файл, целесообразно шифровать его на этом защищенном компьютере, а затем перенести его на свой сетевой компьютер с помощью флешки. Чтобы расшифровать что-то - надо делать все в обратном порядке.

4) Относитесь с подозрением к коммерческим продуктам для шифрования, особенно от крупных производителей. Большинство криптопродуктов от крупных вендоров из США имеют бэкдоры для АНБ, и многие иностранные, наверное, тоже. Разумно предположить, что иностранные криптопрограммы имеют также бэкдоры для иностранных спецслужб. Системы работающие с оригинальными ключами уязвимы для АНБ.

5) Старайтесь использовать широко распространенную криптографию, которая совместима с другими реализациями. К примеру, для АНБ сложнее установить бэкдор в TLS, чем в BitLocker, потому что реализация TLS от любого производителя должна быть совместима с другими реализациями TLS от других производителей, в то время как BitLocker должен быть совместим только сам с собой, давая АНБ больше простора для изменений. И, поскольку Bitlocker проприетарный, намного меньше шансов, что об этих изменениях станет кому-то известно. Используйте симметричные алгоритмы поверх алгоритмов с публичными ключами.

Целесообразно знать и использовать технологии GPG, Silent Circle, Tails, OTR, TrueCrypt, BleachBit. Да, большинство этих вещей сложны для типичного интернет пользователя. АНБ превратило интернет в огромную контролируемую платформу, но они не волшебники. Они ограничены теми же экономическими реалиями, что и мы, и наша лучшая защита, сделать их контроль настолько дорогим, насколько это возможно.

Верьте в математику и сетевые алгоритмы шифрования. Шифрование - ваш друг. Используйте его, делайте все, что бы удостовериться, что ничего не скомпрометировано.

Оставьте свой комментарий!

Преимущества vpn

Что такое VPN?

VPN или «виртуальная частная сеть» определяется как межсетевое соединение локальной сети, которое использует безопасные (зашифрованные) способы соединения, обычно через Интернет. Это означает, что VPN расширяет частную сеть через общедоступную сеть (в нашем случае Интернет), которая позволяет пользователям отправлять и получать конфиденциальные данные, как если бы их компьютеры напрямую подключались к одной и той же частной локальной сети (локальной сети), хотя они физически не были в той же сети.

Эта информация может быть легко понята, если мы покажем вам пример из реальной ситуации. Предположим, вам нужно изменить большой объем информации со своим коллегой / другом, а программа, которую вы должны использовать для этой передачи данных, требует, чтобы ваши компьютеры были подключены к одной и той же сети.

К сожалению, ваш друг / коллега далеко от вашего компьютера. Самое простое решение для вас - настроить VPN-доступ к вашей сети, чтобы ваш друг / коллега подключился к вашей сети через VPN. Таким образом, технически вы оба подключены к одной локальной сети, и обмен информацией можно сделать очень легко. Другими словами, VPN помогает вам притворяться, что находитесь в локальной сети, даже если вы оба подключены к Интернету в разных местах.

Чтобы продолжить работу с функциями VPN, мы поговорим об интернет-трафике. Когда вы используете свою локальную сеть для доступа к различным службам в Интернете, источником ваших сетевых ресурсов является ваша собственная локальная сеть (LAN). Однако, если вы подключены к VPN, и весь ваш трафик проходит через него, вы увидите внешний мир как часть локальной сети VPN.

Кроме того, ваш провайдер интернет-услуг (Internet Service Provider) увидит только одну ссылку: ту, которая установлена ​​между вами и службой VPN, которую вы используете, и, конечно, она полностью зашифрована. Вот почему ваш интернет-провайдер не сможет увидеть, что вы делаете в сети VPN.

Однако: если вы используете VPN, чей сервер находится в вашей стране, в котором также используется тот же интернет-провайдер, то вполне возможно, что поставщики онлайн-услуг смогут видеть ваш сетевой трафик. Однако он не сможете сделать вывод, что он принадлежит вам напрямую, поскольку источником этого трафика является VPN-сервер, а не ваш компьютер.

Как подключиться к VPN?

Вы сможете подключиться к VPN несколькими способами, но общая идея - подтвердить вашу личность. Самый простой способ установить это безопасное соединение - это войти в систему непосредственно с сервером с именем пользователя и паролем.

У вас также есть возможность установить специальное программное обеспечение, которое позволит вам создать безопасное соединение.

Виртуальная частная сеть (VPN) позволяет удаленным пользователям безопасно подключаться к частному серверу из любого места. Например, сотрудники, работающие на дороге или работающие дома, могут использовать VPN для безопасного подключения к офисной сети со своих ноутбуков. И крупные компании с офисами, охватывающими несколько мест, используют VPN для обеспечения безопасной и универсальной сети для всех офисных сайтов.

Коммерческие услуги VPN позволяют людям, которые хотят замаскировать свои места или защищать свои передачи, подключаются к Интернету через частные серверы.

Цель VPN

VPN могут подключать несколько сайтов на огромных расстояниях, подобно глобальной сети (WAN).

Тем не менее VPN используются для расширения Intranets - крупных частных сетей - по всему миру и обеспечивают доступ к более широкой базе пользователей. Учебные заведения, такие как университеты, используют VPN для подключения кампусов и студентов к университетским машинам.

Чтобы предоставить пользователю доступ к частной сети, пользователи должны сначала пройти аутентификацию, используя уникальный идентификатор и пароль через удаленный портал.Коммерческое программное обеспечение VPN часто регистрирует пользователя автоматически.

VPN иногда используется через браузерное программное обеспечение (), которое требует от пользователя входа в систему. Затем программное обеспечение отображает настольные или сетевые файлы удаленного компьютера, к которым можно получить доступ через браузер. Другое клиентское программное обеспечение VPN шифрует и направляет весь интернет-трафик через службу VPN.

Протоколы VPN

Благодаря защищенному характеру VPN, они используют ряд протоколов, которые шифруют трафик данных.Это особенно важно, поскольку данные передаются по сети общего пользования между двумя удаленными точками.

Протоколы, используемые VPN, включают в себя IP-безопасность (IPSec), уровень защищенных сокетов (SSL), безопасность транспортного уровня (TLS), протокол туннелирования «точка-точка» (PPTP) и протокол туннелирования второго уровня (L2TP).

В обоих местах используется метод аутентификации «рукопожатие». Чтобы успешно инициировать это соединение, подключающему компьютеру необходимо предоставить ключ, соответствующий требуемым параметрам для принимающего местоположения.

Преимущества VPN

Виртуальные частные сети традиционно являются очень недорогим экономичным способом создания частной сети.Использование Интернета в качестве канала связи между сайтами довольно распространено, что снижает стоимость таких услуг. VPN - идеальный выбор для корпораций, нуждающихся в гибкости.

Недостатки VPN

Проблемы с производительностью могут быть общими, часто в зависимости от местоположения удаленного клиента, обращающегося к частной сети. Потеря данных может произойти из-за риска передачи данных по нескольким сетям общего пользования. Для борьбы с этим многие поставщики VPN предлагают гарантированное качество обслуживания (QoS), чтобы гарантировать, что при передаче данных не будет потеряно данных.

Также имейте в виду, что некоторые бесплатные приложения для Android могут отслеживать пользователей и заражать их телефоны. Вы определенно должны опасаться бесплатных приложений для Android и не забудьте проверить отзывы пользователей, перед тем как качать бесплатные, так и платные приложения.

Процесс обмена данными в VPN

Назначение VPN - предоставить пользователям защищенное соединение к внутренней сети из-за пределов ее периметра, например, через интернет-провайдера. Основное преимущество VPN состоит в том, что пока программное обеспечение его поддерживает, пользователь может подключаться к внутренней сети через любое внешнее соединение. Это означает, что высокоскоростные устройства, например, ADSL, могут обеспечивать соединение с внутренней сетью и функционировать с полной нагрузкой. Это особенно удобно для пользователей, постоянно работающих на дому.

Существует два основных типа VPN. Первое решение основано на специальном оборудовании; на сервере и клиенте устанавливается специальное программное обеспечение, обеспечивающее защищенное соединение. Второй тип решения - это управляемый VPN. В этом сценарии некоторый провайдер предоставляет пользователям возможность дозвона на свой модемный пул, а затем устанавливать защищенное соединение с вашей внутренней сетью. Преимущество этого метода состоит в том, что все управление VPN перекладывается на другую компанию. Недостатком является то, что как правило эти решения ограничиваются модемными соединениями, что зачастую сводит на нет преимущества технологии VPN.

VPN использует несколько разных технологий защиты пакетов. Целью VPN является создание защищенного туннеля между удаленным компьютером и внутренней сетью. Туннель передает и кодирует трафик через незащищенный мир Интернет. Это означает, что два сайта ВУЗа могут использовать VPN для связи друг с другом. Логически это работает как WAN-связь между сайтами.

Вы также можете использовать комбинацию Службы Удаленного Доступа (RAS) и VPN для осуществления безопасной связи между кампусами, как показано на рисунке:

Удаленный пользователь дозванивается на RAS

1. RAS аутентифицирует пользователя.

2. Удаленный пользователь запрашивает файл с кампуса В и этот запрос посылается на сервер VPN.

3. Сервер VPN отправляет запрос через межсетевой экран и далее через Интернет на удаленный кампус.

4. Сервер VPN в удаленном кампусе получает запрос и устанавливает защищенный канал между кампусами А и В.

После установления туннеля, файл пересылается с кампуса В в кампус А через сервер VPN, а затем удаленному пользователю.

Защищенные протоколы обмена информацией PPTP

PPTP обеспечивает безопасность инкапсуляцией кадра PPP в датаграмму IP, передаваемую между сетями. PPTP может использоваться в схемах LAN-to-LAN и WAN-to-WAN. PPTP использует такой же механизм аутентификации, что и PPP. В нем могут использоваться CHAP, Microsoft CHAP (MS-CHAP), PAP, Shiva PAP (SPAP), и Extensible Authentication Protocol (EAP). PPTP может шифровать трафик IP, IPX или NetBEUI. Туннели устанавливаются, когда оба конца договариваются о параметрах соединения. Сюда включается согласование адресов, параметры сжатия, тип шифрования. Сам туннель управляется посредством протокола управления туннелем.

PPTP включает много полезных функций. Среди них сжатие и шифрование данных, разнообразие методов аутентификации. PPTP доступен во всех текущих платформах Windows.

L2TP PPTP был (и остается) хорошей идеей, но вытесняется другими технологиями. Протокол Layer 2 Tunneling Protocol (L2TP) является комбинацией протоколов PPTP и L2F, предложенный компанией Cisco.

Оба протокола очень сходны по функциям, поэтому IETF предложила объединить их в один. В результате появился L2TP, описанный в RFC 2661. L2TP использует достоинства как PPTP, так и L2F.

L2TP инкапсулирует кадры как сообщения UDP и передает их по сети IP. Эти сообщения используются для управления и передачи данных Для шифрования используется IPSec. Как и PPTP, L2TP использует методы те же аутентификации, что и PPP. L2TP также подразумевает существование межсетевого пространства между клиентом L2TP и сервером L2TP. Поскольку управлением туннелем L2TP производится по тому же UDP-соединению, что и передача данных, оба типа пакетов имеют одинаковую структуру. Стандартный порт L2TP для сервера и клиента в Windows 2000 - 1701 UDP.

Что же в результате выбрать? Если для PPTP необходима межсетевая среда на базе IP, то L2TP нуждается в соединении "точка-точка". Это означает, что L2TP может использоваться поверх IP, Frame Relay, X.25, ATM. L2TP позволяет иметь несколько туннелей. PPTP ограничен одним туннелем. L2TP разрешает аутентификацию туннеля Layer 2, а PPTP - нет. Однако, это преимущество игнорируется, если вы используете IPSec, поскольку в этом случае туннель аутентифицируется независимо от Layer 2. И наконец, размер пакета L2TP на 2 байта меньше за счет сжатия заголовка пакета.

IPSec (сокращение от IP Security) - набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPSec также включает в себя протоколы для защищённого обмена ключами в сети Интернет.

IPSec является неотъемлемой частью IPv6 - интернет-протокола следующего поколения, и необязательным расширением существующей версии интернет-протокола IPv4. Первоначально протоколы IPSec были определены в RFC с номерами от 1825 до 1827, принятые в 1995 году. В 1998 году были приняты новые редакции стандартов (RFC с 2401 по 2412), несовместимые с RFC 1825-1827. В 2005 году была принята третья редакция, незначительно отличающаяся от предыдущей.

Протоколы IPSec работают на сетевом уровне (слой 3 модели OSI). Другие широко распространённые защищённые протоколы сети Интернет, такие как SSL и TLS, работают на транспортном уровне (слои OSI 4 - 7). Это делает IPSec более гибким, поскольку IPSec может использоваться для защиты любых протоколов базирующихся на TCP и UDP. В то же время увеличивается его сложность из-за невозможности использовать протокол TCP (слой OSI 4) для обеспечения надёжной передачи данных.

IPsec-протоколы можно разделить на два класса: протоколы, отвечающие за защиту потока передаваемых пакетов и протоколы обмена криптографическими ключами. На настоящий момент определён только один протокол обмена криптографическими ключами - IKE (Internet Key Exchange). Два протокола обеспечивающие защиту передаваемого потока - ESP (Encapsulating Security Payload - инкапсуляция зашифрованных данных) обеспечивает целостность и конфиденциальность передаваемых данных, в то время как AH (Authentication Header - аутентифицирующий заголовок) гарантирует только целостность потока (передаваемые данные не шифруются).

Протоколы защиты передаваемого потока могут работать в двух режимах - в транспортном режиме, и в режиме туннелирования. При работе в транспортном режиме IPSec работает только с информацией транспортного уровня, в режиме туннелирования - с целыми IP-пакетами.

IPsec-трафик может маршрутизироваться по тем же правилам, что и остальные IP-протоколы, но, так как маршрутизатор не всегда может извлечь информацию характерную для протоколов транспортного уровня, то прохождение IPSec через NAT-шлюзы невозможно. Для решения этой проблемы IETF определила способ инкапсуляции ESP в UDP получивший название NAT-T (NAT traversal).

IPSec можно рассматривать как границу между внутренней (защищённой) и внешней (незащищённой) сетью. Эта граница может быть реализована как на отдельном хосте, так и на шлюзе, защищающем локальную сеть. Заголовок любого пакета, проходящего через границу, анализируется на соответствие политикам безопасности, то есть критериям, заданным администратором. Пакет может быть либо передан дальше без изменений, либо уничтожен, либо обработан с помощью протоколов защиты данных. Для защиты данных создаются так называемые SA (Security Associations) - безопасные соединения, представляющие собой виртуальные однонаправленные каналы для передачи данных. Для двунаправленной связи требуется два SA.

Преимущества и недостатки технологии VPN

Преимущества VPN очевидны. Предоставив пользователям возможность соединяться через Интернет, масштабируемость достигается в основном увеличением пропускной способности канала связи, когда сеть становится перегруженной. VPN помогает сэкономить на телефонных расходах, поскольку вам не требуется иметь дело с пулом модемов. Кроме того, VPN позволяют получить доступ к сетевым ресурсам, которые в обычной ситуации администраторы вынуждены выносить на внешнее соединение.

Итак, VPN обеспечивает:

Ш Защищенные каналы связи по цене доступа в Интернет, что в несколько раз дешевле выделенных линий;

Ш При установке VPN не требуется изменять топологию сетей, переписывать приложения, обучать пользователей - все это значительная экономия;

Ш обеспечивается масштабирование, поскольку VPN не создает проблем роста и сохраняет сделанные инвестиции;

Ш Независимость от криптографии и можете использовать модули криптографии любых производителей в соответствии с национальными стандартами той или иной страны;

Ш открытые интерфейсы позволяют интегрировать вашу сеть с другими программными продуктами и бизнес-приложениями.

К недостаткам VPN можно отнести сравнительно низкую надежность. В сравнении с выделенными линиями и сетями на основе Frame relay виртуальные частные сети менее надежны, однако в 5-10, а иногда и в 20 раз дешевле. По мнению аналитиков, это не остановит VPN, это не существенно для большинства пользователей.

В силу того, что услуга VPN предоставляется и поддерживается внешним оператором, могут возникать проблемы со скоростью внесения изменений в базы доступа, в настройки firewall, а также с восстановлением сломанного оборудования. В настоящее время проблема решается указанием в договорах максимального времени на устранение неполадок и внесение изменений. Обычно это время составляет несколько часов, но встречаются провайдеры, гарантирующие устранение неполадок в течение суток.

Еще один существенный недостаток - у потребителей нет удобных средств управления VPN. Хотя в последнее время разрабатывается оборудование, позволяющее автоматизировать управление VPN. Среди лидеров этого процесса - компания Indus River Networks Inc., дочерняя компания MCI WorldCom и Novell. В перспективе VPN сеть должна контролироваться пользователями, управляться компаниями-операторами, а задача разработчиков программного обеспечения - решить эту проблему.