CC BY
42
УДК 004.771
СПОСОБЫ ОРГАНИЗАЦИИ VPN-СЕТЕЙ НА БАЗЕ ТЕХНОЛОГИЙ СОВРЕМЕННЫХ ГЛОБАЛЬНЫХ СЕТЕЙ
© 2022 В. В. Гордиенко1, В. М. Довгаль2, Л. С. Крыжевич3
1 кандидат технических наук, доцент кафедры информационной безопасности
e-mail: vika.gordienko.1973@mail.ru 2доктор технических наук, профессор кафедры ПО и АИС е-mail: dovgalvm.prof@yandex.ru 3кандидат технических наук, доцент кафедры информационной безопасности
e-mail: lennywood@mail.ru
Курский государственный университет
В статье рассматриваются оптимальные методы и варианты построения VPN-соединения, которые позволят использовать данные для улучшения безопасности передаваемой информации через локальную сеть, ограничив возможность утечки или хищения информации, транспортируемой через сеть. Предлагается методика с использованием нескольких вариантов построения соединений, выбор варианта зависит от фактора производительности метода построения VPN. Объектом исследования в статье является изучение методов организации VPN-сети на основе технологий глобальной сети.
Ключевые слова: сервер, маршрутизатор, трафик, туннелирование, аутентификация, шифрование, брандмауэр, локальная сеть, дешифрование.
WAYS TO ORGANIZE VPN NETWORKS BASED ON MODERN GLOBAL NETWORK TECHNOLOGIES
© 2022 V. V. Gordienko1, V. M. Dovgal2, L. S. Kryzhevich3
1Candidate of Technical Sciences, Associate Professor e-mail: vika.gordienko.1973@mail.ru 2Doctor of Technical Sciences, Professor e-mail: dovgalvm.prof@yandex.ru 3Candidate of Technical Sciences, Associate Professor e-mail: lennywood@mail.ru
Kursk State University
The article discusses the best methods and options for building a VPN connection that will allow using data to improve the security of information transmitted over a local network, limiting the possibility of leakage or theft of information transported through the network. A technique is proposed using several options for constructing connections, the choice of option depends on the performance factor of the VPN construction method. The object of research in the article is the study of methods for organizing a VPN network based on global network technologies.
Keywords: Server, router, traffic, tunneling, authentication, encryption, firewall, local network, decryption.
В настоящее время работа в удаленном режиме приобретает огромную популярность, интерес вызван потребностью в безопасном использовании доступа для
географически удаленных информационных сетей. Кроме того, эта же задача актуальна для предприятий и отделов осуществляющих функции по линии автоматизации. Практически любая компьютерная сеть нуждается в оснащении сервером VPN, он наделит абонентов, которые территориально разобщены, возможностью использовать ресурс индивидуальной частной сети при пользовании общедоступной сети. К тому же сервер VPN позволяет использовать данные для увеличения фактора безопасности при передаче информации по средствам локальной сети, при этом минимизировать риски возможной утечки или кражи информации, проходящей по сети [1]. Объектом исследования в статье, является изучение средств по организации VPN-сети, в основе которой лежит технология глобальной сети. Не каждая организация и предприятие имеет собственные физические каналы доступа, необходимые для безопасной удаленной работы. При этом одной из особенностей технологии VPN, является соединение любых имеющихся у предприятия подразделений и филиалов, при этом обеспечивая безопасность при использовании сети и сократить финансовые затраты.
Виртуальная частная сеть (VPN - Virtual Private Network) создана на базе обычной сети Интернет. В результате передачи информации транспортируемой через сеть интернета имеются недостатки, основным из них является то, что существует угроза нарушения конфиденциальности и целостности передаваемых данных. Использование VPN гарантирует, что направляемый по сетям трафик надежен для пользователей. Кроме того, виртуальная сеть существенно ограничивает экономические затраты, по сравнению с затратами, необходимыми для содержания собственной сети огромного масштаба [2].
Основной задачей при использовании метода VPN, является то, что защищенный массив управленческой информации при передаче проходит по открытым сетям, которые подлежат защите по средствам надежной криптографической технологии при использовании Интернета, таким же способом, какой характерен и при передаче данных в недрах локальных сетей.
Отличительным свойством метода VPN является то, что при формировании удаленного доступа исключается использование телефонных линий и осуществляется он через Интернет, что исключает сложность использования таких технологий и обеспечивает малые экономические затраты. Для работы в удаленном доступе частной сети при использовании технологии VPN необходимы подключение к сети Интернет и IP-адрес. Пользователь, будучи территориально отделенным от других абонентов, может пользоваться сетью, если знает IP-адрес, логин и пароль. Цель метода VPN - простой доступ к ресурсам сети, в которой сотрудник может осуществлять любую из разновидностей работ по оптимизации документопотока, при этом целостность документа не пострадает от модификации, независимо от того, на каком расстоянии находятся получатели. По этой причине VPN достаточно популярен среди организаций, использующих дистанционную работу в офисах, и у тех, кому необходимо совместное использование разрозненных сетей. Использование VPN исключает возможность оплаты отдельных WAN-соединений, так как трафик, проходящий по сетям, производится через Интернет.
Существуют несколько вариантов по созданию VPN, при этом выбор способа зависит от нужной производительности и самой технологии построения VPN. К примеру, при перегруженности маршрутизатора и осуществлении работы на пределе мощностей процессора, добавления туннелей для VPN, а также работы алгоритма шифрования, произойдет остановка сети в связи с тем, что этот маршрутизатор не справляется с трафиком, тем более не справится и с VPN.
Рассмотрим способы построения VPN. Виртуальная частная сеть основывается на использовании методик характерных для функционирования системы безопасности в информационных сетях.
Технология туннелирования обладает возможностью обеспечения передачи данных внутри двух точек, которые являются окончаниями одного тоннеля, а вся инфраструктура сети, находящаяся между точками, скрыта и для отправителя и для того, кто является приемником данных.
Устройство транспортной среды туннеля построено таким образом, что сегменты применяемого протокола сети собираются у входной точки туннеля и в неизменном виде направляются на выход. Туннель построен так, что при соединении двух узлов сети установленное на них программное обеспечение создает впечатление подключения к одной локальной сети. Здесь надо принять во внимание, что информация на пути транспортировки проходит сквозь маршрутизаторы публичной сети, которые являются промежуточными узлами на путях следования данных. Еще одним важным гарантом является процедура шифрования, при помощи которой обеспечивается невозможность использования данных другими лицами при транспортировке их через Интернет. В современных условиях поддерживаются две методики криптографической защиты. При функционировании работы с протоколом шифрования Microsoft Point-to-Point Encryption учитывается, что этот протокол имеет совместимость только с MSCHAP (версии 1 и 2), а EAP-TLS наделен способностью автоматически выбрать ключевую длину шифрования при совместимости параметров сервера и связи клиента. MPPE имеет функционал по работе с ключами длиною от 40, 56 и до 128 бит. Операционные системы, устроенные по устаревшему образцу Windows, осуществляются при поддержке шифрования с длиной ключа всего в 40 бит, здесь рекомендуется выбор минимального количества длины ключа. Алгоритм шифрования после принятия каждого сегмента информации сам изменит сумму длины ключа шифрования. Протокол MMPE рекомендуется для каналов связи вида (точка-точка), где при каждом этапе передачи пакета выполняется сокращение угрозы возможной утраты данных. В данном случае длина ключа для следующего пакета зависит от результата дешифрации предыдущего пакета. В связи с тем что пакеты данных приходят на адрес получателя не в той последовательности, в которой они отсылались, то построение такой виртуальной сети через сеть общего доступа не возможно. Именно из этой концепции вытекает правило, в соответствии с которым PPTP может менять длину ключа при шифрования, где при работе алгоритма присваивается каждому очередному поступающему пакету порядковый номер, после чего использует замену ключа шифрования порядковым номерам пакетов. Это позволяет выполнить дешифрацию независимо от принятых ранее пакетов [3]. Эти два протокола реализуются как в Microsoft Windows, так и вне ее среды, но алгоритмы работы VPN имеют отличия.
Таким образом, соединением нескольких методов туннелирования, аутентификации и шифрования обеспечивается пересылка данных между двух точек в сети общего пользования при сохранении особенностей работы локальной сети. Другими словами, такой способ дает возможность построения виртуальной частной сети [4].
Большим достоинством VPN-соединения является обеспеченность безопасного использования системы адресации, применяемой в локальной сети.
Осуществление работы виртуальной частной сети при практической реализации выглядит таким образом. На рабочем месте устанавливается сервер VPN, осуществляющий деятельность в локальной вычислительной сети, при этом пользователь или маршрутизатор, используя программное обеспечение VPN,
выполняет действие по соединению с сервером. Далее следует этап аутентификации пользователя, эта операция является начальной фазой установления работы VPN-соединения. После удостоверения подлинности система переходит на другой этап и включает в себя согласование частей по обеспечению безопасного соединения между клиентом и сервером. В результате происходит VPN-соединение, обеспечивается способ шифрования или дешифрования каждого из пакетов поступающих данных, здесь же происходит анализ целостности данных и проверка аутентификации [5].
Недостатки при применении сети VPN заключаются в отсутствии необходимого стандарта для осуществлении процедуры аутентификации и проблемах с обменом преобразуемых данных. Такие стандарты находятся в стадии разработки.
Рассмотрим некоторые варианты построения VPN.
1. VPN, строящийся на базе работы брандмауэра
Большинство производителей брандмауэров способны поддерживать технологии туннелирования и шифрования. Все решения имеют в основе то, что поток данных, который проходит через брандмауэр, должен быть зашифрованным. В программное обеспечение брандмауэра добавляется модуль алгоритма шифрования. Недостатком данного способа является зависимость от производительности аппаратного обеспечения, на основе которого осуществляется работа брандмауэра. Работа с применением брандмауэра на базе ПК предполагает, что подобные решения характерны для некрупных сетей с небольшим объемом передаваемой информации.
Примером такого решения можно назвать на FireWall-1 от компании Check Point Software Technologies. В этой методике FairWall-1 может использоваться для производства VPN с использованием стандартных подходов, основанных на IPSec. Поток информации, который проходит в брандмауэр, подвергается дешифрованию, после чего к нему применяются стандартные этапы по управлению доступом. Fire Wall-1 может функционировать с операционными системами Solaris и Windows.
2. Построение VPN при помощи маршрутизаторов
Следующим вариантом работы VPN является технология, основанная на применении маршрутизаторов, целью чего является создание защищенного трафика. Так как поток информации проходит по локальной сети, то трафик проходит через маршрутизатор, а все алгоритмы шифрования выполняются самим маршрутизатором. В связи с тем что все данные исходят из локальной сети, процессы их шифрования возлагаются на сам маршрутзатор [2]. Применение этого способа обеспечивается оборудованием, предназначенным для формирования VPN на основе маршрутизатора, - системы, предоставленные компанией Cisco Systems. Кроме процесса шифрования данных решения, Cisco способно поддерживать и другие свойства VPN, процедуру обмена ключами и идентификацию данных при установлении туннелированного соединения.
Для обеспечения функционирования VPN Cisco использует туннелирование с применением процедуры шифрования различных по составу IP-потоков. При этом туннель устанавливается на основе адреса источника и абонента, а также при использовании номеров порта TCP (UDP) и установленного сервисного обеспечения QoS. Для качества и повышения производительности используется отдельный модульный образец шифрования ESA (Encryption Service Adapter )[6].
Кроме того, компания Cisco System производит специальный аппаратный механизм для VPN - Cisco VPN Access Router, на деле являющийся маршрутизатором, способным поддерживать доступ к VPN; это устройство предназначено для функционирования в компаниях, ведущих малый и средний бизнес, а также в некоторых отдельных подразделениях на крупных предприятиях.
3. VPN с построением на базе программного обеспечения
В основе функционирования этого варианта методики VPN лежит программное обеспечение. В этом случае программное обеспечение устанавливается на специально выделенном ПК и играет роль прокси-сервера. Аппаратное средство, обладающее такими программными решениями, может располагаться в брандмауэре.
Примером такого способа выступает ПО под названием AltaVista Tunnel от компании Digital. При работе с ним клиенту надлежит подключить сервер Tunnel, затем система произведет процедуру аутентификации, при этом обмен ключами установиться автоматически. Шифрование производится на основе 56 или 128 битных ключей, получаемых при установлении соединения. Данные ключи подвергаются изменению через каждую половину часа. Затем пакеты проходят через криптографический алгоритм, запускается инкапсуляция в IP-пакеты, в результате они помещаются на сервер. В процессе данной операции Tunnel, выполненный при помощи алгоритма MD5, проверяет целостность данных. Кроме того, программное обеспечение выполняет генерацию ключей каждые 30 минут, что обеспечивает максимальную защиту от угроз при соединении [7].
Положительным фактором при работе Alta Vista Tunnel является простота при установке и удобная система управления. К недостаткам можно отнести нестандартную архитектуру данного варианте реализации функционала своего алгоритма при обмене ключами и невысокую производительность.
4. Построение VPN, основанное на применении аппаратных средств
Эта технология при организации VPN предназначается для использования в тех сетях, которые обладают высокой производительностью и требуют при работе подключения отдельных устройств. Примером является продукт cIPro-VPN, предлагаемый компанией Radguard. При работе применяется процедура аппаратного шифрования передаваемых пакетов данных, При этом для продукта характерна большая пропускная способность потока в 100 Мбит /1 с. Кроме того, cI P ro-VPN поддерживается при использовании протокола IPSec и алгоритма, управляющего ключами ISAKMP / Oakley. Данное устройство поддерживает трансляцию сетевых адресов и дополнено отдельной встроенной платой, которая добавляет функцию брандмауэра [3].
5. Технология VPN, основой которой является сетевая операционная система
Этот метод описывается примером работы в системе Windows
от компании Microsoft. Для установления VPN Microsoft использует сетевой протокол PPTP, который интегрирован в Windows. Такой вариант предназначен для сетей, использующих Windows в качестве корпоративной операционной системы. VPN на базе Windows строится таким образом, что пользовательская база хранится на Primary Domain Controller, при подключении к PPTP-серверу информация подвергается аутентитификации по протоколам PAP2, CHAP или MS-CHAP. Затем данные инкапсулируются в GRE / PPTP. При прохождении данных через алгоритм шифрования применяется нестандартный протокол от Microsoft Point-to-Point Encryption, при этом используется 128 битный ключ, полученный в момент установки соединения. Недостаткам такой системы является невозможность сменить ключи и проверить целостность данных. К положительным критериям можно отнести низкую стоимость продукта и хорошую совместимость с Windows [6].
По назначению реализации VPN-сети могут быть классифицированы следующим образом [4].
- Intranet VPN. Используется, с целью объединения в единую защищаемую сеть нескольких географически удаленных или разрозненных филиалов на одном
предприятии, которые должны обмениваться информацией через открытый канал связи.
- Remote Access VPN. Необходим при создании соединений в среде сегмента корпоративной сети для соединения с главным офисом или филиалом, одиночный пользователь защищаемого канала, находящийся территориально удаленно от организации, осуществляет трудовую деятельность по корпоративной сети с удаленного компьютера.
- Extranet VPN. Используется для связи с внешними пользователями (клиентами) и заказчиками, которые не имеют допуска к конфиденциальной информации организации. Для формирования такого соединения требуется реализация границ защиты, которые смогли бы предотвратить либо ограничить доступ к секретной информации.
Таким образом, в статье были рассмотрены общие технологии построения VPN-подключения к сетям передачи потоковой информации, организации распределённой сети и безопасного удалённого доступа. При этом схемы дистанционной работы с удаленным режимом отличаются по типовым разграничениям служб для поддержания дистанционной взаимосвязи клиента. В большинстве случаев используется удаленный доступ к массиву данных, базам данных, принтерам в той же степени, в которой пользователь обычно работает в локальной сети. Этот вариант называется режимом удаленного узла remote node, при работе с которым в удаленном доступе образуется обменный процесс с центральной сетью сообщениями по электронной почте. При его реализации существует возможность в автоматическом режиме получать по запросу корпоративную информацию из баз данных.
Особую роль среди всех видов удаленного доступа к компьютерной системе играет метод, в ходе которого пользователю обеспечена возможность работать в удаленном режиме, при этом управляя терминалом при локальном подключении. Пользователю предоставляется возможность запустить программу по выполнению задач на удаленной компьютерной системе и произвести контроль выполнения такой программы.
Библиографический список
1. Ажмухамедов, И. М. Основы организационно-правового обеспечения информационной безопасности : учебное пособие / И. М. Ажмухамедов, О. М. Князева. - Санкт-Петербург : Интермедия, 2017. - 264 c. -
2. Алексеев, В. А. Маршрутизация и защита сетевого трафика в сетях TCP/IP: методические указания к проведению лабораторных работ по курсу «Сетевые технологии» / В. А. Алексеев. - Липецк : Липецкий государственный технический университет, ЭБС АСВ, 2013. - 35 c.
3. Винокуров, В. М. Сети связи и системы коммутации : учебное пособие / В. М. Винокуров. - Томск : Томский государственный университет систем управления и радиоэлектроники, 2012. - 304 c.
4. Дронов, В. Ю. Международные и отечественные стандарты по информационной безопасности : учебно-методическое пособие / В. Ю. Дронов. -Новосибирск : Новосибирский государственный технический университет, 2016. - 34 c.
5. Лисицин, А. Л. Особенности автоматизации управления современными сложными системами с использованием систем логического управления / А. Л. Лисицин, И. В. Зотов // Известия Юго-Западного государственного университета. Серия: Управление, вычислительная техника, информатика. Медицинское приборостроение. - 2016. - №. 2. - С. 35.
6. Чистилина, Е. В. Основные направления финансовой политики РФ на современном этапе развития экономики / Е. В. Чистилина // Проблемы и перспективы развития государственного и муниципального управления. - 2016. - С. 120-122.
