CC BY
9УДК 004.056.5
АНАЛИТИЧЕСКИЙ ОБЗОР МЕТОДОВ РЕАЛИЗАЦИИ ПОДСИСТЕМ УДАЛЕННОГО ДОСТУПА К ЗАЩИЩЕННОЙ КОРПОРАТИВНОЙ СЕТИ С ПРИМЕНЕНИЕМ ТЕХНОЛОГИЙ VPN
СЕРГЕЙ ВЛАДИМИРОВИЧ КОРЯКИН
Старший преподаватель, Институт информационных технологий КГТУ им. И.Раззакова Научный сотрудник, Институт машиноведения автоматики и геомеханики НАН КР
КУРМАНОВ ДЖАНБУЛАТ ТЕМУРОВИЧ
Студент гр. ИБ-2-22, Институт информационных технологий КГТУ им. И.Раззакова
ИЛЬЯ ВЛАДИМИРОВИЧ ЯКИМЧУК
Старший преподаватель, Институт информационных технологий КГТУ им. И.Раззакова
ТАТЬЯНА НИКОЛАЕВНА МАРЧЕНКО
Старший преподаватель, Институт информационных технологий КГТУ им. И.Раззакова
Аннотация. Данная работа посвящена принципам разработки подсистем защищенной корпоративной сети (ЗКС) с применением технологи VPN для защиты от угроз ИБ. С этой целью в рамках статьи разобраны теоретические основы технологии и проведён детальный обзор современных инструментов VPN, их функциональные возможности и принципы работы. Проведен сравнительный анализ наиболее популярных решений на рынке, чтобы выявить их сильные и слабые стороны. В ходе анализа рассмотрены такие аспекты, как скорость соединения, надёжность защиты, удобство использования и стоимость услуг.
При обзоре инструментария представлен сравнительный анализ характеристик различных технологий и инструментов, показаны их преимущества и недостатки. На основе полученных данных формулируются рекомендации по выбору наиболее подходящих инструментов для построения систем защиты информации с применением технологий VPN. Кроме того, в работе подробно разобраны и сами аспекты использования VPN. Рассмотрены потенциальные недостатки, такие как снижение скорости интернет-соединения и возможные сложности в настройке и дальнейшей эксплуатации.
В заключительной части исследования даны рекомендации по выбору наиболее подходящей технологии VPN в зависимости от конкретных потребностей пользователя и условий использования. Эти рекомендации помогут пользователям принять обоснованное решение и выбрать наиболее эффективное и безопасное решение для защиты корпоративной сети с использованием VPN.
Ключевые слова: VPN; туннелирование; безопасность; корпоративная сеть; шифрование; масштабируемость, политика ИБ, защита данных, систему удаленного доступа.
Современные корпоративные сети часто включают узлы, распределенные по различным географическим точкам. Чтобы объединить их в единую сеть, необходимо использовать технологии, обеспечивающие безопасную передачу трафика. Одной из наиболее популярных и распространённых концепций является создание виртуальных частных сетей (VPN), которые позволяют эффективно и безопасно передавать данные в открытых сетях. В данной работе рассматриваются различные технологии, концепции построения и протоколы VPN. Объектом исследования является методы реализации удаленного доступа пользователей к корпоративной сети. Целью работы является разработка
рекомендаций при подготовке проекта по созданию защищенной корпоративной сети с применением технологии VPN.
На сегодняшний день считается, что VPN-технологии позволяют шифровать данные, передаваемые через интернет, создавая таким образом безопасный канал связи между удаленными узлами корпоративной сети. Это особенно важно в условиях растущего количества киберугроз, где защита конфиденциальной и коммерческой информации играет ключевую роль. Надежность и безопасность VPN обеспечиваются за счет использования современных криптографических протоколов и методов аутентификации. В рамках данной работы подготавливаются рекомендации по выбору и настройке VPN-решений, что позволит организациям более эффективно подойти к вопросу защиты как передаваемых данных, так и в целом используемых ресурсов. Применение разработанных инструментов и методов обеспечит высокий уровень безопасности и надежности корпоративной сети, способствуя ее стабильной и безопасной работе.
В настоящее время, все большее количество компаний в современных условиях встают на путь цифровой трансформации и отдают предпочтение удаленным рабочим средам, но, несмотря на преимущества такого подхода, есть здесь и существенный минус -утечки данных случаются все чаще. Работа в большинстве сфер деятельности человечества -от добычи и производства до сферы услуг в настоящее время немыслима без интернета, и, тем не менее, многие компании совершенно не готовы к защите своих ресурсов от взлома и не осознают, насколько ценные данные могут попасть в руки злоумышленников в результате утечки. Даже в случае осознания рисков значительная доля компаний не рассматривает вопросы защиты информации, считая их дорогостоящим и не обязательным дополнением к большому списку забот.
А, тем временем, мировая статистика компьютерных атак демонстрирует тенденцию к росту. Кроме того сегодня, наряду с увеличением числа преступлений, возрастает и сложность самих несанкционированных проникновений. Согласно данным компании Kaspersky, наиболее подверженными кибернападениям оказались крупные предприятия и объекты инфраструктуры. Наибольший урон несут ИТ-предприятия, розничная торговля и компании финансового сектора. Однако, положительная тенденция в области киберзащищённости наблюдается в банковском секторе: снижается число мошеннических действий с электронными деньгами. По данным Центрального банка РФ в первом квартале 2023 года было отражено 2,7 миллиона атак (на 27% по сравнению с предыдущим годом), успешными стали 252100 операций, которые злоумышленникам удалось провести без разрешения владельцев счетов.[1]
За первые 5 месяцев 2023 года произошла 261 тысяча успешных атак, что почти на треть (27,5%) превысило показатели 2022 года. Чаще всего для реализации преступлений используется интернет, а в текущем году с целью незаконного проникновения всё чаще применяются мобильной сети. Стратегия проникновений меняется во всём мире. Причина тому - новые технологии и рост профессионализма хакеров. Например, взломщики активно используют ChatGPT, с помощью которого создают вызывающие доверие фишинговые письма. Вместе с этим растёт популярность киберразведки, которая особенно необходима на публичных сервисах. И первое место среди компьютерных атак занимают кражи персональных данных. Понятие ИТ-безопасности в наши дни затрагивает как компании, так и физические лица. Поскольку доступ к новым технологиям наряду с преимуществами несёт и ряд опасностей, в том числе связанных с утечкой конфиденциальных данных. Поэтому предотвратить кражу информации возможно, применяя специальные технологии и предоставляя населению доступ к знаниям, которые позволяют избежать ошибок и финансовых потерь.
Считается, что, перечень мероприятий по защите бизнеса от кибератак совсем не ограничивается сложными и дорогостоящими решениями. К удобным и зачастую бесплатным средствам можно отнести класс ПО для организации корпоративного VPN-
ОФ "Международный научно-исследовательский центр "Endless Light in Science"
сервиса. Корпоративная VPN - это виртуальная частная сеть, созданная специально для бизнеса. Эта технология обеспечивает безопасный доступ сотрудников к корпоративным сетям (интранету) и позволяет создавать уникальные сетевые ресурсы, которыми могут пользоваться сотрудники из географически удаленных офисов. Основная цель корпоративной VPN - предотвращение утечки конфиденциальных данных и корпоративного трафика во всемирную паутину (где их смогут перехватить злоумышленники).
Сегодня VPN-соединение считается одним из лучших методов, обеспечивающих качественную веб-безопасность. Виртуальная частная сеть позволяет пользователю получить высокий уровень безопасности, дистанционное управление, возможность делиться файлами и различными материалами, не опасаясь за их сохранность. Основа VPN, принцип туннелирования
VPN (англ. virtual private network — «виртуальная частная сеть») — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений поверх чьей-либо другой сети [2]. То есть VPN-соединение всегда состоит из канала типа точка-точка, также известного под названием туннель. Туннель создается в незащищенной сети, в качестве которой чаще всего выступает Интернет. Соединение точка-точка подразумевает, что оно всегда устанавливается между двумя компьютерами или роутерами, которые называются узлами или peers. Каждый peer отвечает за шифрование данных до того, как они попадут в туннель и расшифровку этих данных после того, как они туннель покинут
[3].
Туннелирование в компьютерных сетях - процесс, в ходе которого создаётся логическое соединение между двумя конечными точками посредством инкапсуляции различных протоколов. Туннелирование представляет собой метод построения сетей, при котором один сетевой протокол инкапсулируется в другой. От обычных многоуровневых сетевых моделей (таких как OSI или TCP/IP) туннелирование отличается тем, что в качестве туннеля используется протокол более высокого, чем инкапсулируемый, уровня, либо протокол того же уровня. [4]
Рисунок 1 Стандартный IP пакет
Рисунок 2 Туннельный IP пакет
На рисунках 1 и 2 показаны стандартные и туннельные IP пакеты. Суть туннелирования, как показано, состоит в том, чтобы «упаковать» передаваемую порцию данных, вместе со служебными полями, в область полезной нагрузки пакета несущего протокола. Туннелирование может применяться на сетевом и на прикладном уровнях. Комбинация туннелирования и шифрования позволяет реализовать закрытые виртуальные частные сети (VPN). Туннелирование обычно применяется для согласования транспортных протоколов либо для создания защищённого соединения между узлами сети [5]. Обзор современных инструментов и технологий, используемых при решении задачи создания защищенной корпоративной сети с применением технологий VPN
На сегодняшний день существует множество вариантов решений и методов применения технологии VPN для решения задач обеспечения защиты информации передаваемой в корпоративных сетях от угроз ИБ.
На рисунке 3 систематизированы варианты технологии VPN, которые доступны для настройки в корпоративной сети, где технологии VPN распределены по уровню предоставляемых клиенту каналов в соответствии с моделью OSI. [6]
Рисунок 3. Варианты применения технологии VPN в соответствии с OSI.
Средства VPN, используемые на канальном уровне модели OSI, позволяют обеспечить инкапсуляцию различных видов трафика третьего уровня (и более высоких уровней) и построение виртуальных туннелей типа точка-точка (от маршрутизатора к маршрутизатору или от персонального компьютера к шлюзу ЛВС). Протокол L2TP остаётся, вероятно, единственным решением для организации удаленного доступа к ЛВС (поскольку базируется в основном на ОС Windows). Протоколы L2F (Layer 2 Forwarding) и PPTP (Point-to-Point Tunneling Protocol), также относящиеся к данной группе, на сегодняшний день устарели и не рекомендуются к использованию в современных сетях.
VPN-продукты сетевого уровня выполняют инкапсуляцию IP в IP. Одним из широко известных протоколов на этом уровне является протокол IPSec (IP Security), предназначенный для аутентификации, туннелирования и шифрования IP-пакетов. Стандартизованный консорциумом Internet Engineering Task Force (IETF) протокол IPSec вобрал в себя все лучшие решения по шифрованию пакетов и входит в качестве обязательного компонента в протокол IPv6.
Одним из первых протоколов VPN, разработанных Microsoft, является PPTP. Использует GRE (Generic Routing Encapsulation) для туннелирования и PPP (Point-to-Point Protocol) для аутентификации и шифрования данных. Ввиду возраста, менее безопасен по сравнению с более современными протоколами.
Протоколы L2TPv2 и L2TPv3 объединяют характеристики PPTP и L2F (Layer 2 Forwarding Protocol). Используются для создания VPN, но сами по себе не обеспечивает шифрование, поэтому часто используется в сочетании с IPsec.
GRE - протокол, разработанный Cisco Systems, представляет собой протокол туннелирования, который инкапсулирует различные типы пакетов, таких как IP, CLNP, IPX, AppleTalk и др., в GRE-пакеты для их передачи через IP-сети. Также часто используется в сочетании с IPsec для обеспечения безопасности [7].
SSL/TLS: Протоколы обеспечения безопасности на уровне транспортного слоя. Используются для защиты данных при передаче между клиентом и сервером. Основные протоколы для реализации SSL VPN, которые обеспечивают защищенное соединение через веб-браузер.
IP-in-IP: Метод инкапсуляции одного IP-пакета в другой. Используется для туннелирования трафика через IP-сети. Может применяться для создания простых VPN-соединений, но не обеспечивает шифрования и безопасности данных.
Протокол IPSec, как мы видим, может работать совместно с другими протоколами, в результате чего обеспечивается более надежная идентификация, стандартизованное шифрование и целостность данных. Туннель IPSec между двумя локальными сетями может поддерживать множество индивидуальных каналов передачи данных, в результате чего приложения данного типа получают преимущества с точки зрения масштабирования по сравнению с технологией второго уровня. [8].
Рисунок 4. Разделение пользовательских VPN по IGP
На рисунке 4 подставлена обобщенная структурная схема вариантов реализации VPN-ов относительно возможности пропуска технологии пропуска трафика мультикаст и работы протоколов маршрутизации. Из представленной схемы, IGP Aware VPN (VPN с осведомленностью о IGP) означает, что VPN взаимодействует с внутренними протоколами маршрутизации. В таких VPN, информация о маршрутах IGP может быть передана через VPN туннель, что позволяет динамическому маршрутизатору обновлять маршруты и обмениваться маршрутной информацией. IGP Not Aware VPN (VPN без осведомленности о IGP) означает, что VPN туннель не передает информацию о маршрутах IGP. Вместо этого, такие VPN туннели обычно используют статическую маршрутизацию или взаимодействуют только на уровне внешнего шлюза (EGP, Exterior Gateway Protocols), такого как BGP.
Если же рассматривать в целом различные протоколы VPN в контексте преемственности и исторического развития технологий, то можно получить следующие данные, которые помогут в определении необходимого проекту способа организации корпоративной сети:
SSTP (Secure Socket Tunneling Protocol) — еще один протокол от Microsoft, который впервые появился в Windows Vista. Его изначально рассматривали как преемника PPTP и L2TP, поэтому SSTP можно найти в более поздних версиях Windows. По уровню безопасности он практически не уступает OpenVPN и способен обходить межсетевые экраны. SSTP использует SSL-протокол, инкапсулирует пакеты данных по HTTPS и поддерживает шифрование AES-256. Дополнительно может подключаться к TCP-порту 443, что делает его трудноблокируемым протоколом. Сам протокол подвержен TCP meltdown, когда один протокол накладывается поверх другого. Например, более медленное внешнее соединение заставляет верхний уровень ставить в очередь больше повторных передач, чем способен обработать нижний уровень. Это приводит к задержкам и проблемам с передачей данных. Относительно скорости SSTP работает быстрее других протоколов. Однако он требует большей пропускной способности и мощного процессора.
L2TP (Layer 2 Tunneling Protocol) появился в 1999 году как преемник PPTP. Для этого Microsoft и Cisco объединили два протокола — PPTP и L2F (Layer 2 Forwarding). Однако L2TP не шифрует данные, поэтому эту функцию выполняет IPSec. L2TP обеспечивает нулевую защиту, поскольку не может защитить полезную нагрузку данных. IPSec же поддерживает шифр AES-256 и, как правило, считается безопасным. Поэтому L2TP инкапсулирует часть трафика, как обычное PPTP-соединение, а вторую обеспечивает IPSec. L2TP/IPSec использует только три порта (UDP 500/4500 и ESP IP Protocol 50), поэтому брандмауэры смогут довольно просто его заблокировать. По сравнению с другими
протоколами, у L2TP/IPsec средняя скорость передачи данных. Однако эта связка довольно ресурсоемкая, поэтому требует хорошее интернет-соединение и неплохие вычислительные мощности.
IPsec/IKEv2 (Internet Key Exchange) разработан Microsoft и Cisco в качестве преемника IKEvl. Как и предыдущий протокол, IKEv2 использует IPSec для шифрования. Протокол популярен среди мобильных пользователей, поскольку отлично справляется с установкой повторного соединения. Несмотря на то, что его разработала компания Microsoft, есть версия IKEv2 с открытым исходным кодом. Протокол поддерживает несколько алгоритмов шифрования с 256-разрядными ключами: AES, Camellia, 3DES и ChaCha20. А также функцию MOBIKE, которая позволяет пользователям не терять соединение при переключении сетей, и процесс аутентификации на основе сертификатов. Но у протокола есть недостаток: IKEv2 подвержен атаке «человек посередине» из-за IPSec. IKEv2 работает через UDP-протокол, что обеспечивает низкую задержку и высокую скорость. Эффективный обмен сообщениями типа «запрос-ответ» также играет важную роль. Кроме того, IKEv2 менее требователен к процессору, чем OpenVPN.
OpenVPN (Open-Source Virtual Private Network) — золотой стандарт в области VPN-протоколов. У него высокая скорость подключения и совместимость с большинством портов. Работает протокол на всех основных платформах, включая Windows, macOS, Linux, Android и iOS. Также есть большое комьюнити, в котором разрабатывают собственные решения на базе OpenVPN. С точки зрения безопасности OpenVPN опирается на библиотеку OpenSSL и поддерживает разные алгоритмы шифрования: AES, Blowfish и другие. У него есть несколько портов, поэтому VPN-трафик можно замаскировать под обычный браузер. В плане скорости протокол занимает промежуточное место. Он быстрее, чем L2TP/IPSec, но медленнее, чем PPTP и WireGuard. Однако скорость всегда зависит от устройства и параметров конфигурации. К примеру, его можно увеличить за счет функции раздельного туннелирования или уменьшить с помощью двойного шифрования.
Протокол WireGuard появился в 2018 году и успел завоевать большую популярность. Он использует шифр ChaCha20, описанный в RFC 7539, и имеет около четырех тысяч строк кода, что значительно упрощает и ускоряет аудит безопасности. Основной минус: он не умеет динамически назначать IP-адреса пользователям, подключенным к серверу. Поэтому статический IP должен храниться на том же сервере. WireGuard — самый быстрый по сравнению с другими VPN-протоколами, поскольку не использует туннелирование по TCP в принципе. Linux-системы обеспечивают наилучшую работу протокола с помощью интеграции в модуль ядра.
Компании ExpressTechnologies разработала протокол LightWay в качестве аналога Wireguard, но с упором на безопасность и высокую скорость. Его используют как сервис ExpressVPN. При создании протокола разработчики использовали библиотеку wolfSSL — ее часто можно найти в системах умных домов. Сам по себе LightWay неплохой вариант с точки зрения безопасности. Он передает ключи шифрования через алгоритм Диффи-Хеллмана с применением эллиптических кривых (ECDH) и использует динамическую выдачу IP-адресов для приватности пользователей. В протоколе всего две тысячи строк кода, что облегчает специалистам аудит безопасности. А для любителей «покопаться» есть открытый исходный код. Lightway занимает лидирующие позиции по скорости передачи данных. В большинстве случае — через UDP вместе с DTLS-протоколом для безопасной передачи датаграмм. При этом можно его использовать в связке TCP и TLS.
SoftEther — многопротокольная VPN-система с открытым исходным кодом. Она поддерживает разные протоколы: SSL, L2TP/IPsec, OpenVPN, MSST и другие. Среди основных функций SoftEther VPN — обход NAT. Его удобно использовать для запуска VPN-серверов на компьютерах с шлюзами, маршрутизаторами и межсетевыми экранами, так как SoftEther VPN имеет своеобразно модульную структуру и состоит из трех основных элементов. Во-первых, VPN-сервер для запросов VPN-клиентов, который принимает
ОФ "Международный научно-исследовательский центр "Endless Light in Science"
внушительное количество VPN-протоколов, включая OpenVPN, L2TP, L2TPv3, IPSec и SSTP. Далее, VPN-клиент для подключения VPN-сервера, при этом необязательно использовать клиент от SoftEther, чтобы подключиться к VPN, — это можно сделать с помощью других клиентов и протоколов. Однако, нужно учитывать, что использование ПО от разработчика дает определенные преимущества и удобства. И, наконец, ПО SoftEther VPN bridge, которое поддерживает функциональность для пользователей или компаний, позволяя создавать «мост» между сетями для связки сервера и клиентской части [9].
Другая категория VPN, о котором следует упомянуть - предоставляемые провайдерами частные сети, которые, в свою очередь, также делятся на разные типы, представленные на Рисунке 5 [6].
Site-to-Site это виртуальные частные сети типа «сеть-сеть», также известные как «маршрутизатор-маршрутизатор», обеспечивают безопасное сетевое подключение между устройствами, расположенными в разных географических точках. Виртуальные частные сети Site-to-Site устанавливают безопасное соединение между двумя или более сетями через Интернет, обеспечивая безопасную передачу данных.
Рисунок 5. Разделение провайдерских VPN
Кратко пройдемся по Site-to-Site VPN. Здесь также как и в случае с доступными для настройки пользователями присутствует разделение по уровням модели OSI. Виртуальные частные сети на физическом уровне обеспечивают транспортировку данных, используя технологии оптических каналов и волоконно-оптических сетей с использованием GMPLS, расширения MPLS, предназначенного для поддержки не только пакетной коммутации, но и коммутации на уровне оптических каналов, временных интервалов и пространственных каналов. На канальном уровне (Data Link Layer) VPN позволяет соединять сетевые сегменты через общую инфраструктуру. В свою очередь делиться на Point-to-Point (P2P), представляющий собой одно из самых простых и прямых VPN соединений, где каждый туннель соединяет два конца, обеспечивая безопасный канал передачи данных между ними, и Multipoint-to-Multipoint (MP2MP), где каждый узел может соединяться с несколькими другими узлами, позволяющий, таким образом, создавать более сложные и гибкие топологии сети.
Технология Point-to-Point (P2P) представлены L2TPv3 (Протокол туннелирования L2, который поддерживает передачу множества типов трафика через IP-сети. Поддержка различных канальных протоколов, таких как Ethernet, Frame Relay и ATM. Соединение сетевых сегментов, предоставление услуг Ethernet и других канальных протоколов поверх IP-
сетей) и Draft Martini AToM, являющийся стандартом для транспортировки данных канального уровня поверх MPLS-сетей, поддерживающий различные канальные протоколы (Ethernet, Frame Relay, ATM) поверх MPLS и позволяющий организовать соединение удаленных сетевых сегментов через предоставление услуг L2 поверх MPLS. [10] Технологии Multipoint-to-Multipoint (MP2MP) делятся на:
• VPLS - технология, которая позволяет создавать виртуальные частные LAN поверх MPLS-сетей. Поддержка мульти-точечных соединений на канальном уровне. Соединение удаленных офисов и филиалов, поддержка виртуальных локальных сетей (VLAN);
• IPLS - вариант VPLS, который работает только с IP-трафиком. Поддержка мульти-точечных соединений на сетевом уровне. Соединение удаленных сетевых сегментов с поддержкой IP-трафика;
• QinQ - используется для создания VPN на основе VLAN. Это позволяет провайдерам предоставлять клиентам услуги VPN с поддержкой множественных VLAN, обеспечивая изоляцию и сегментацию трафика каждого клиента;
L3 VPN - виртуальные частные сети уровня 3 работают на сетевом уровне (Network Layer) и используют протоколы маршрутизации для передачи данных между различными сетевыми сегментами, в частности BGP/MPLS - технология для создания VPN на основе MPLS и протокола BGP. В таких сетях MPLS используется для маршрутизации и изоляции трафика различных клиентов, а также создания масштабируемых и защищенных корпоративных VPN для соединения офисов и филиалов. [11]
В рамках предоставляемых провайдером услуг ещё необходимо рассмотреть и Remote Access, это такой VPN удаленного доступа, также известные как VPN «клиент-сайт», позволяющие удаленным пользователям безопасно подключаться к сети организации и обеспечивающие зашифрованный доступ к ресурсам через Интернет. Пользователи могут легко получить доступ к сети и ее ресурсам, установив VPN-клиент на свое устройство и подключившись к VPN-серверу через Интернет. Remote Access VPN делится на два режима: обязательный (обязательный режим с наличием NAS) и добровольный (добровольный режим без NAS).
Обязательный режим с наличием Network Access Server (NAS) предполагает использование специализированного сервера для управления доступом и аутентификации пользователей. NAS сервер, управляет подключением VPN. Он принимает запросы на подключение от клиентов, проверяет их учетные данные и предоставляет доступ к сети. Технологии данного режима это PPTP, L2TPv2/v3, L2F. Добровольный же режим (без NAS) позволяет клиентам напрямую подключаться к сети без использования централизованного сервера доступа. Клиентское устройство само инициирует соединение с VPN-сервером компании. Представлен технологиями PPTP, L2TPv2/v3 и IPSec.
Также стоит добавить в список провайдерских VPN технологию DMVPN, которая является весьма хорошим решением при масштабируемости VPN сети. DMVPN (англ. Dynamic Multipoint Virtual Private Network — динамическая многоточечная виртуальная частная сеть) — технология для создания виртуальных частных сетей, разработанная Cisco Systems. Является дальнейшим развитием VPN, и основывается на совместной работе протоколов разрешения шлюза NHRP, протокола туннелирования mGRE, шифрования IPSec и протоколов динамической маршрутизации: OSPF, ODR, RIP, EIGRP, BGP. DMVPN использует архитектуру Hub-and-Spoke (Hub - центральное устройство, через которое проходят все VPN-соединения, а Spokes - удаленные устройства, подключающиеся к центральному узлу и друг к другу по мере необходимости. [9]
Для анализа является оценка функциональности, безопасности, производительности, а также удобства использования различных инструментов, проведем сравнительный анализ различных VPN, которые были рассмотрены ранее. В таблице 1 представлены основные
характеристики рассматриваемых протоколов "УР^ Она включает в себя такие параметры, как безопасность/шифрование, стабильность подключения, поддержка различных устройств и совместимость с операционными системами. Эта информация поможет понять, какой VPN лучше всего подходит для ваших нужд. [12]
Таблица 1. Характеристики VPN-протоколов.
Протокол Безопасность, шифрование Стабильность подключения Совместимость с устройствами
Lightway Высокая, ECDH + wolffSSL Средняя Большинство ОС, т.к. внедрен в ExpressVPN
OpenVPN Высокая, 160/256-бит, TLS с DES, RC2, DESX, BF, CAST, AES Высокая Широкая поддержка ПК и мобильных устройств. Надежные алгоритмы шифрования. Требуется ПО сторонних производителей
PPTP Низкая, 128-бит, MPPE с RSA RC4 Высокая Уверенная поддержка Windows ПК. Слабая безопасность. Полезен для контента с географическими ограничениями
SSTP Высокая, AES 256-бит Средняя Уверенная поддержка Windows. Работает на некоторых дистрибутивах Linux
IPsec/L2TP Высокая, 256-бит, AES или 3DES через IPSec Средняя Поддержка разных устройств и платформ
IPsec/IKEv2 Высокая, 256-бит, Blowfish, Camellia, 3DES, ChaCha20, AES Высокая Ограниченная поддержка платформ, за исключением Windows. Подходит для мобильных устройств
WireGuard Высокая, ChaCha20, Curve25519, HKDF, BLAKE2, SipHash24 Средняя Поддерживает весь спектр ОС
SoftEther Высокая, 256-бит, можно использовать другие протоколы поверх Высокая Поддержка нескольких десктопных и мобильных ОС. Нет нативных операционных систем. Подходит для
мобильных устройств
По результатам анализа данных, представленных в таблице 1 была проведена оценка уровня безопасности протоколов, используемых в различных вариантах реализации технологии "УР^ Протоколы были разделены на 4 категории уровня безопасности: совсем небезопасен, несколько безопасен, безопасен, высокий уровень безопасности. На основании этого сформирована Таблица 2. Данные, представленные в таблице, могут помочь специалистам выбрать протокол, который обеспечит максимальную защиту информации, обрабатываемой в корпоративной сети.
Таблица 2. Степень безопасности VPN-протоколов.
Совсем Несколько Высокий уровень
Безопасен
небезопасен небезопасен безопасности
PPTP Ь2ТР/ГР8ее IKEv2/IPSec OpenVPN
— устаревший, — легко взломать + считается безопасным в совокупности с AES + быстрый + хорошо работает на мобильных + высокая скорость + крайне универсален + открытый
- уязвим для атак устройствах исходный код
человек посередине - закрытый исходный код
ББТР WireGuard
— уязвим для атаки + открытый
«человек исходный код
посередине» на ББЬУЗ + высокая скорость и безопасность
— имеет закрытый
исходный код
SoftEther
+ высокая скорость — требуется ручная
настройка
Рассмотрим преимущества и недостатки современных технологий и инструментов при решении задачи создания защищенной корпоративной сети с применением технологий VPN. Если мы возьмем стандартный VPN, к примеру GRE, то у данного протокола есть недостаток в виде масштабируемости. Рассмотрим на примере иллюстраций, проблемы данного протокола при соединении Full-Mesh. [13]
Рисунок 6. Стандартный GRE с 3 маршрутизаторами Full-Mesh.
На рисунке 6 представлена типовая структурная схема GRE с 3 маршрутизаторами Full-Mesh в котором используются по 2 виртуальных туннеля на каждом узле. Указанная схема организации VPN может являться наиболее оптимальной для использования, с одним недостатком — проблема масштабирования. При использовании в структурной схеме 5 маршрутизаторов и более возникает необходимость использовать гораздо большее количество туннелей для получения полносвязной топологии. Типичная проблема со сложностью m*(m-1)/2. [14]
Если же не использовать Full-Mesh, а обратиться к топологии Hub-and-Spoke с одной центральной точкой, то появляется другая проблема - трафик между любыми филиалами будет проходить через центральный узел рисунок 7.
Обе проблемы позволяет решить DMVPN. Выбирается центральная точка Hub (или несколько). Она будет сервером, к которому будут подключаться клиенты (Spoke) и получать всю необходимую информацию. Это информация необходима для создания динамических туннелей напрямую друг с другом при необходимости. Это позволяет сохранять преимущества централизованного управления, предоставляемого топологией Hub-and-Spoke, и одновременно уменьшает нагрузку на центральный узел, избегая необходимости Full-Mesh и сложностей, связанных с ним.
Таким образом, можно говорить о том, что у каждого VPN-протокола есть свои преимущества и недостатки с точки зрения безопасности, скорости передачи данных и простоты использования. Соответственно каждый вариант реализации технологии VPN как правило лучше использовать для определенного типа задач, например:
- Обеспечение безопасности. OpenVPN защищает данные пользователей и поддерживает быструю скорость работы. Однако с последним бывают проблемы.
- Улучшение пользовательского опыта. WireGuard, как и OpenVPN, подходит для повседневной работы с VPN.
- Организация кроссплатформенности. Способность IKEv2/IPSec к быстрому подключению делает его отличным решением для мобильных телефонов.
- Кастомизация VPN. L2TP/IPSec подходит для ручной настройки VPN. Он обеспечивает относительную безопасность и скорость, но уступает более новым решениям.
- Разработка собственных решений. PPTP прост в настройке, поэтому его стоит рассмотреть, если хотите запустить домашний VPN-сервер. SoftEther поддерживает другие варианты протоколов и открыт для различных экспериментов.
- Ускорение работы VPN. Lightway отличается высокой скоростью и имеет самую маленькую кодовую базу среди всех VPN-протоколов.
Далее перейдём к рассмотрению преимуществ и недостатков конкретных протоколов VPN. В Таблице 1 были рассмотрены лишь их характеристики, в которых могут не быть описаны определенные особенности данного протокола.
Рисунок 7 Стандартный GRE с 5 маршрутизаторами Full-Mesh.
Таблица 3. Преимущества и недостатки технологий и протоколов VPN.
Преимущества Недостатки
Протокол/1ехнология
OpenVPN - Высокая безопасность - Настройка может быть
- Гибкость сложной для некоторых
- Открытый исходный код платформ
WireGuard - Простота - Молодой протокол, требует
- Высокая скорость - Современные технологии дальнейшего аудита безопасности
IKEv2/IPSec - Простота - Сложность настройки,
- Высокая скорость - Современные технологии некоторые реализации могут быть менее безопасными
L2TP/IPSec - Широкая поддержка - Может иметь проблемы с
- Использует IPSec для высокими скоростями
шифрования данных передачи данных
PPTP - Простота настройки - Высокая скорость - Устаревший и не безопасный протокол
Lightway - Высокая скорость - Недостаточная поддержка,
- Безопасность так как новый протокол
SSTP - Хорошая совместимость с - Проприетарный протокол,
Windows - Безопасность ограниченная поддержка на других платформах
Softether - Гибкость - Сложность настройки, не
- Высокая так широко поддерживается,
производительность как другие решения
GRE - Простота настройки - Масштабируемость - Не обеспечивает шифрования данных по умолчанию, требуется IPSec
DMVPN - Динамическое создание - Сложность настройки,
VPN - Масштабируемость зависимость от поддержки сетевого оборудования
Таким образом, исходя из указанного выше следует, что, при построении систем защиты информации с использованием технологий VPN, следует учитывать несколько ключевых аспектов, таких как: безопасность, производительность, удобство использования и совместимость с существующей инфраструктурой. Рассмотрим преимущества основных подходов в реализации технологии VPN [15].
Пользовательский VPN более подходит для индивидуального использования, где важна гибкость и доступ к глобальному контенту. Очень полезен для защиты конфиденциальных данных при использовании общественных Wi-Fi сетей (например, в кафе, аэропортах), а также для обхода географических ограничений при доступе к контенту. Подходит для пользователей, требующих гибкости и возможности переключения серверов для получения лучшей производительности или для доступа к контенту, недоступному в определённых регионах. Кроме того, обычно имеет более низкую стоимость, особенно при выборе бесплатных или недорогих услуг VPN. Полезен для частных пользователей или небольших групп, где важна экономия средств. [16]
Провайдерский VPN может предоставить более высокий уровень защиты и безопасности, так как часто используется бизнесами или корпорациями. Полезен для предприятий и организаций, где требуется строгая политика безопасности и контроль доступа. Данный тип VPN может быть легко масштабируемым, что делает его подходящим для больших сетей и высоконагруженных сред. Полезен для крупных компаний или
ОФ "Международный научно-исследовательский центр "Endless Light in Science"
организаций, которым нужен надёжный и масштабируемый способ защиты информации. Обычно включает в себя техническую поддержку и мониторинг, что помогает быстро реагировать на потенциальные угрозы. Полезен для компаний, не имеющих достаточных ресурсов или экспертизы для поддержания собственного VPN. Провайдерский VPN лучше всего подходит для организаций, где важны безопасность, масштабируемость и техническая поддержка.
Если у вас есть возможность, самостоятельное развёртывание VPN может дать большую гибкость и контроль над вашей системой защиты. Однако это требует определённых знаний в области сетевой безопасности и управления серверами. Если вы не хотите заниматься самостоятельным развёртыванием, существуют VPN-сервисы, которые предлагают удобство использования и готовую инфраструктуру, но при этом требуют доверия к третьей стороне. Выбор между самостоятельным развёртыванием и использованием VPN-сервиса зависит от ваших конкретных потребностей в безопасности, ресурсах и уровне удобства, который вы хотите получить. [17]
При отсутствии квалифицированных специалистов, рекомендуется использование существующих VPN-сервисов, которые предлагают удобство использования и готовую инфраструктуру, но при этом требуют доверия к третьей стороне и соответствующего документального подтверждена (сертификат соответствия) для исполнения требований, указанных в политике ИБ.
Таким образом при выборе технологии VPN для защиты информации важно учитывать несколько ключевых аспектов:
• Безопасность: VPN должен обеспечивать высокий уровень защиты данных. Рекомендуется использовать протоколы с сильным шифрованием и высоким уровнем защиты.
• Производительность: VPN не должен сильно замедлять скорость передачи данных.
• Простота управления и настройки: для построения системы защиты информации важно выбирать технологии, которые можно легко настроить и управлять.
• Поддержка: убедитесь, что выбранная технология имеет активное сообщество поддержки и регулярные обновления безопасности. [18]
На рисунке 8 предоставлена в обобщенном виде блок схема рекомендаций по выбору конкретных реализаций технологии VPN с учетом конкретных требований и критериев, предъявляемых к системам данного типа.
Рисунок 8. Схема рекомендаций по использованию конкретных VPN
У каждого VPN-протокола есть свои преимущества и недостатки с точки зрения безопасности, скорости и простоты использования. Рассмотрим, для каких задач их лучше использовать.
- Обеспечение безопасности. OpenVPN защищает данные пользователей и поддерживает быструю скорость работы. Однако с последним бывают проблемы.
- Улучшение пользовательского опыта. WireGuard, как и OpenVPN, подходит для повседневной работы с VPN.
- Организация кроссплатформенности. Способность IKEv2/IPSec к быстрому подключению делает его отличным решением для мобильных телефонов.
- Кастомизация VPN. L2TP/IPSec подходит для ручной настройки VPN. Он обеспечивает относительную безопасность и скорость, но уступает более новым решениям.
- Разработка собственных решений. PPTP прост в настройке, поэтому его стоит рассмотреть, если хотите запустить домашний VPN-сервер. SoftEther поддерживает другие варианты протоколов и открыт для различных экспериментов.
- Ускорение работы VPN. Lightway отличается высокой скоростью и имеет самую маленькую кодовую базу среди всех VPN-протоколов.
Выбор конкретной технологии VPN зависит от конкретных потребностей и требований вашей организации. Важно учитывать такие факторы, как масштаб сети, требования к безопасности, поддержка устройств и операционных систем, а также удобство использования. И не стоит пренебрегать цифровой гигиеной каждого пользователя в отдельности - это может внести значительные корректировки в проект организации подключения к корпоративной сети. Но независимо от выбора, правильно настроенные и поддерживаемые технологии VPN являются фундаментом безопасности и надежности вашей информационной инфраструктуры.
Попытавшись разобраться в вопросе поконкретнее и проведя некоторое время за изысканиями наиболее эффективных технологий, рекомендации выглядят следующим образом:
Для корпоративных сетей отлично подходят IKEv2, характеризующийся высокой безопасностью и скоростью, IPSec/L2TP за надёжность и безопасность, плюс весьма часто используемое решение для удаленного доступа сотрудников к корпоративным ресурсам или DMVPN - динамическое построение туннелей экономит ресурсы.
Для обычных пользователей бесспорно хорошим выбором будет OpenVPN, обеспечивающий высокую безопасность и гибкость для обеспечения приватности и обхода интернет-цензуры. Простота настройки и высокая производительность WireGuard делают его подходящим как для домашних пользователей, так и для малых офисов. Lightway разработан для высокой скорости и надежности и хорошо подходит для пользователей, которым важна скорость и безопасность при обычном интернет-серфинге и потоковом видео.
Провайдерами для специализированных нужд активно используется при маршрутизации трафика L3MPLS, так как отлично подходит для масштабируемых корпоративных сетей и провайдерских сетей. L2MPLS же подходит для сетей, требующих высокой производительности и низкой задержки.
Следует отметить, что наиболее эффективным является комбинированный подход, когда применяется использование разных протоколов в зависимости от конкретных потребностей. Например, использовать WireGuard для мобильных сотрудников, а IPsec или DMVPN для меж офисных соединений.
Таким образом можно говорить о том, что выбор конкретной технологии VPN зависит от конкретных потребностей и требований вашей организации. Важно учитывать такие факторы, как масштаб сети, требования к безопасности, поддержка устройств и операционных систем, а также удобство использования. Независимо от выбора, правильно настроенные и поддерживаемые технологии VPN являются фундаментом безопасности и надежности вашей информационной инфраструктуры [19].
ОФ "Международный научно-исследовательский центр "Endless Light in Science"
В заключение следует отметить, что успешная реализация проекта по разработке защищенной сети с VPN не только повысит уровень безопасности, но и улучшит общую эффективность и производительность корпоративной сети. Внедрение передовых технологий и методов позволит создать гибкую, масштабируемую и надежную инфраструктуру, которая будет эффективно поддерживать бизнес/технологические-процессы компании в будущем.
ЛИТЕРАТУРА
1. Анна Савина, Киберпреступления в России: тенденции 2023 года // Cloud Networks Аналитика, опубликовано 07.08.2023 г. URL:https://cloudnetworks.ru/analitika/kiberprestupleniya-v-rossii-tendentsii-2023-goda/ (дата обращения 15.06.2024).
2. Дарья Глущенкова, F.A.C.C.T. опубликовала отчет о киберпреступности в России и СНГ: сколько утечек произошло в 2023-м и кто из хакеров самый «жадный»// Сетевое издание «Московские новости»: Киберпанк, 23 февраля 2024 г. URL:https://www.mn.ru/smart/f-a-s-s-t-opublikovala-otchet-o-kiberprestupnosti-v-rossii-i-sng-skol-ko-utechek-proizoshlo-v-2023-m-i-kto-iz-hakerov-samyj-zhadnyj (дата обращения 15.06.2024).
3. Dru Lavigne (перевод by techtonik), VPN и IPSec на пальцах // Сетевые решения. Статья была опубликована в номере 03 за 2005 год в рубрике технологии. URL: https://nestor.minsk.by/sr/2005/03/050315.html (дата обращения 16.06.2024)
4. VPN // Материал из Википедии — свободной энциклопедии, страница в последний раз была отредактирована 7 июня 2024 в 14:08. URL:https://ru.wikipedia.org/wiki/VPN (дата обращения 16.06.2024).
5. Туннелирование (компьютерные сети) // Материал из Википедии — свободной энциклопедии, страница в последний раз была отредактирована 11 октября 2023 в 19:30. URL:https://ru.wikipedia.org/wiki/Туннелирование_(компьютерные_сети) (дата обращения 16.06.2024).
6. Вадим Семёнов, Типы VPN соединений. Масштабирование VPN // Linkmeup, опубликовано 12 декабря 2014 г. URL:https://linkmeup.ru/blog/772/ (дата обращения 17.06.2024).
7. Intranet and Extranet VPN Business Scenarios // Cisco Systems Support, Обновлено 3 августа 2007, URL: https://www.cisco.com/c/en/us/td/docs/security/vpn_modules/misc/Archive_-6342/6342cmbo.html#wp1057710 (дата обращения 17.06.2024).
8. Пользователь @catnip_grower, Разбираемся в VPN протоколах // «Хабр», Блог компании Digital Security Информационная безопасность, опубликовано 8 мая 2020 г. URL:https://habr.com/ru/companies/dsec/articles/499718/ (дата обращения 17.06.2024).
9. Андрей Салита, Что такое VPN-протоколы и какие они бывают // Академия Selectel Обзоры, опубликовано 16 ноября 2023 г., URL:https://selectel.ru/blog/vpn-protocols/ (дата обращения 17.06.2024).
10. Канальный уровень // Материал из Википедии — свободной энциклопедии, страница в последний раз была отредактирована 24 декабря 2023 в 08:51. URL:https://ru.wikipedia.org/wiki/Канальный_уровень (дата обращения 17.06.2024).
11. Протоколы сетевого уровня // Материал из Википедии — свободной энциклопедии, страница в последний раз была отредактирована 12 июля 2016 в 12:52. URL:https://ru.wikipedia.org/w/index.php?title=Протоколы_сетевого_уровня&stable=1 (дата обращения 17.06.2024)
12. Пользователь Тибо, Сравнение Site-to-Site VPN и VPN с удаленным доступом // Proxyium Бесплатный веб-прокси, 5 минут на чтение, URL:https://proxyium.com/ru/blog/comparing-site-to-site-vpns-and-remote-access-vpns (дата обращения 18.06.2024).
13. Марат Сибгатулин, Сети для самых маленьких. Часть седьмая. VPN // Linkmeup, опубликовано 27 февраля 2013, URL:https://linkmeup.ru/blog/1197/ (дата обращения 18.06.2024).
14. Bryakin I.V., Bochkarev I.V., Khramshin V.R., Koryakin S.V.. DEVICE FOR DATA COMMUNICATION ALONG POWER LINES. В сборнике: Proceedings - 2020 International Ural Conference on Electrical Power Engineering, UralCon 2020. 2020. С. 7-12. EDN: MVSQMF
15. Корякин СВ. О ПОСТРОЕНИИ МОДУЛЬНЫХ ПЛАТФОРМ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ ПОД УПРАВЛЕНИЕМ ЭКСПЕРТНЫХ СИСТЕМ. Вестник Кыргызско-Российского Славянского университета. 2022. Т. 22. № 4. С. 68-73.
16. Брякин И.В., Бочкарев И.В., Корякин СВ. АДАПТЕР-ТРАНСИВЕР ДЛЯ ВЧ-АППАРАТУРЫ PLC-ТЕХНОЛОГИЙ. Вестник Южно-Уральского государственного университета. Серия: Энергетика. 2020. Т. 20. № 3. С. 97-109.
17. Корякин СВ. СОВРЕМЕННЫЕ ТЕНДЕНЦИИ РАЗВИТИЯ СИСТЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. Проблемы автоматики и управления. 2017. № 2 (33). С. 82-91.
18. Корякин С В., Корякина Ю.С.. ОБЛАЧНАЯ СИСТЕМА МЕЖСЕТЕВЫХ ЭКРА-НОВ. Вестник Кыргызско-Российского Славянского университета. 2023. Т. 23. № 4. С. 67-78.
19. Брякин И.В., Корякин С В.. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В СИСТЕМАХ РЕАЛЬНОГО ВРЕМЕНИ. Проблемы автоматики и управления. 2017. № 2 (33). С. 116129.
