Основы методологии виртуальных частных сетей

Виртуальная частная сеть (VPN) – это подключение, установленное по суще­ствующей общедоступной инфраструктуре и использующее технологии шифрования и аутентификации для обеспечения безопасности содер­жания передаваемых пакетов. Виртуальная частная сеть создает виртуальный сегмент между любыми двумя точками доступа к сети. Она может проходить через общедоступную инфраструктуру локальной сети (local area network – LAN), подключе­ния глобальной сети (wide-area network – WAN) или Интернет.

Основной концепцией виртуальных частных сетей является защита шифровани­ем канала связи. Связь можно защитить шифрованием на различных уровнях сете­вой модели взаимодействия открытых систем OSI, а именно:

· прикладном (7-й уровень);

· транспортном (4-й уровень);

· сетевом (3-й уровень);

· канальном (2-й уровень).

На уровне приложения шифрование можно применять при помощи программ, подобных пакету Pretty Good Privacy (PGP), или через каналы типа Secure Shell (SSH). Кроме того, удаленные односеансовые программы, подобные pcAnywhere, и многосеансовые программы, подобные Terminal Server, могут применять шифрова­ние для зашиты удаленных соединений. Большинство этих программ работает на участке сети от узла до узла, что означает, что они предлагают защиту только для со­держательной части (payload) пакета, а не всего пакета в целом. Исключение состав­ляет протокол SSH, который может использовать режим port-forwarding для созда­ния туннеля.

На транспортном уровне сетевой модели для защиты содержимого пакетов конк­ретного сеанса связи между двумя сторонами можно использовать протоколы, ана­логичные протоколу защищенных сокетов (Secure Sockets Layer – SSL). Обычно такой метод используется при соединениях, установленных посредством web-браузера. При этом вновь защищается только содержательная часть передаваемых пакетов, а IP-пакеты, которые несут эту информацию, доступны для просмотра. Протокол защищенных сокетов (SSL) также может использоваться для организации туннеля при других типах соединения.

На сетевом уровне протоколы, подобные IPSec, не только зашифровывают содер­жательную часть пакета, но они также зашифровывают информацию самого прото­кола TCP/IP. Хотя информация об IP-адресах сторон, шифрующих и расшифровы­вающих пакет, необходима для облегчения надлежащей маршрутизации, высоко­уровневая информация, включая транспортные протоколы и связанные порты, может быть полностью скрыта. Информация об IP-адресе получателя может также быть скрыта, если шлюзовое устройство такое, как маршрутизатор, брандмауэр или концентратор, выполняет шифрование, используя концепцию, называемую туннелированием (tunneling).