Виртуальные частные сети (VPN) представляют собой подключения типа «точка-точка» в частной или публичной сети, например в Интернете. VPN-клиент использует для виртуального обращения на виртуальный порт VPN-сервера специальные протоколы на основе TCP/IP, которые называются туннельными протоколами. При обычной реализации VPN клиент инициирует по Интернету виртуальное подключение типа «точка-точка» к серверу удаленного доступа. Сервер удаленного доступа отвечает на вызов, выполняет проверку подлинности вызывающей стороны и передает данные между VPN-клиентом и частной сетью организации.
Для эмуляции канала типа «точка-точка» к данным добавляется заголовок (выполняется инкапсуляция). Этот заголовок содержит сведения маршрутизации, которые обеспечивают прохождение данных по общей или публичной сети до конечного пункта. Для эмуляции частного канала и сохранения конфиденциальности передаваемые данные шифруются. Пакеты, перехваченные в общей или публичной сети, невозможно расшифровать без ключей шифрования. Такой канал, по которому частные данные передаются в инкапсулированном и зашифрованном виде, и называется VPN-подключением.
VPN-подключение
Существует два типа VPN-подключений:
- VPN-подключение удаленного доступа;
- VPN-подключение типа «сеть-сеть».
VPN-подключение удаленного доступа
VPN-подключение удаленного доступа дает пользователям возможность работать дома или в дороге, получая доступ к серверу частной сети с помощью инфраструктуры публичной сети, например Интернета. С точки зрения пользователя, VPN-подключение представляет собой подключение типа «точка-точка» между компьютером (VPN-клиентом) и сервером организации. Реальная инфраструктура общей или публичной сети не имеет значения, поскольку данные передаются подобно тому, как если бы они передавались по выделенному частному каналу.
VPN-подключение типа «сеть-сеть»
VPN-подключения типа «сеть-сеть» (также называются VPN-подключения типа «маршрутизатор-маршрутизатор») позволяют организациям устанавливать маршрутизируемые подключения между отдельным офисами (или между другими организациями) по публичной сети, при этом обеспечивая безопасность связи. Маршрутизируемое VPN-подключение по Интернету логически подобно выделенному каналу глобальной сети (WAN). В случае, когда сети соединены по Интернету, как показано на следующем рисунке, маршрутизатор переадресует пакеты другому маршрутизатору через VPN-подключение. С точки зрения маршрутизаторов VPN-подключение работает как канал уровня передачи данных.
VPN-подключение типа «сеть-сеть» связывает два сегмента частной сети. VPN-сервер обеспечивает маршрутизируемое подключение к сети, к которой прикреплен VPN-сервер. Вызывающий маршрутизатор (VPN-клиент) проходит проверку подлинности на отвечающем маршрутизаторе (VPN-сервере) и, в целях взаимной проверки подлинности, отвечающий маршрутизатор проходит проверку подлинности на вызывающем маршрутизаторе. При VPN-подключении типа «сеть-сеть» пакеты, отсылаемые с любого из маршрутизаторов через VPN-подключение, обычно формируются не на маршрутизаторах.
VPN-подключение двух удаленных узлов через Интернет
Свойства VPN-подключений
VPN-подключения, использующие протоколы PPTP, L2TP/IPsec и SSTP, имеют следующие свойства.
- Инкапсуляция
- Проверка подлинности
- Шифрование данных
Инкапсуляция
VPN-технология обеспечивает инкапсуляцию частных данных с заголовком, содержащим сведения маршрутизации для передачи этих данных по транзитной сети. Примеры инкапсуляции см. в разделе Туннельные протоколы VPN.
Проверка подлинности
Существует три различные формы проверки подлинности для VPN-подключений.
- Проверка подлинности на уровне пользователя по протоколу PPP
Для установления VPN-подключения VPN-сервер выполняет проверку подлинности VPN-клиента, пытающегося установить подключение, на уровне пользователя по протоколу PPP и проверяет, имеет ли VPN-клиент требуемую авторизацию. При взаимной проверке подлинности VPN-клиент также выполняет проверку подлинности VPN-сервера, что гарантирует защиту от компьютеров, выдающих себя за VPN-серверы.
- Проверка подлинности на уровне компьютера по протоколу IKE
Для установления сопоставления безопасности IPsec VPN-клиент и VPN-сервер используют протокол IKE для обмена сертификатами компьютеров или предварительным ключом. В обоих случая VPN-клиент и VPN-сервер выполняют взаимную проверку подлинности на уровне компьютера. Настоятельно рекомендуется выбирать проверку подлинности по сертификату компьютера из-за большей безопасности этого метода. Проверка подлинности на уровне компьютера выполняется только для подключений L2TP/IPsec.
- Проверка подлинности источника данных и обеспечение целостности данных
Чтобы убедиться в том, что источником отправленных по VPN-подключению данных является другая сторона VPN-подключения и что они переданы в неизменном виде, данные содержат контрольную сумму шифрования, основанную на ключе шифрования, который известен только отправителю и получателю. Проверка подлинности источника данных и обеспечение целостности данных доступны только для подключений L2TP/IPsec.
Шифрование данных
Для обеспечения конфиденциальности данных при передаче по общей или публичной транзитной сети они шифруются отправителем и расшифровываются получателем. Успешность процессов шифрования и расшифровки гарантируется в том случае, когда отправитель и получатель используют общий ключ шифрования.
Содержание перехваченных пакетов, отправленных по VPN-подключению в транзитной сети, понятно только владельцам общего ключа. Длина ключа шифрования - это важный параметр безопасности. Для определения ключа шифрования можно использовать вычислительную технику. Однако при возрастании размера ключей шифрования использование подобной техники требует большей вычислительной мощности и большего времени для выполнения этих вычислений. Поэтому для гарантии конфиденциальности данных рекомендуется использовать наибольший возможный ключ.