Виртуальные частные сети
Глава 6. Виртуальные частные сети
В организациях с несколькими филиалами они часто соединяются выделенными линиями для эффективной и защищённой передачи данных. Например, во многих организациях для соединения сетью одного офиса с остальными используются линии Frame Relay или ATM. Это решение может стоить слишком дорого, особенно для организаций среднего и малого бизнеса, желающих развиваться, но не имеющих средств на выделенные цифровые линии.
Для удовлетворения таких потребностей были разработаны Virtual Private Networks (Виртуальные частные сети) (VPN). Следуя тем же функциональным принципам, что и выделенные линии, VPN позволяют установить защищённое цифровое соединение между двумя участниками (или сетями) и создать глобальную сеть (Wide Area Network, WAN) из существующих локальных сетей (Local Area Networks, LAN). Отличие от Frame Relay или ATM состоит в транспортной среде. Трафик VPN передаётся поверх IP и использует в качестве транспортного уровня датаграммы, что позволяет ему спокойно проходить через Интернет. Многие бесплатные программные реализации VPN осуществляют шифрование по открытым стандартам, чтобы скрыть передаваемые данные.
Некоторые предприятия внедряют аппаратные решения VPN с целью усиления защиты, а другие используют программные или основанные на протоколах реализации. Аппаратные решения VPN выпускают различные производители, в том числе Cisco, Nortel, IBM и Checkpoint. Для Linux выпускается бесплатное программное решение FreeS/Wan, использующее стандартную реализацию протокола IPsec (Безопасность IP - Internet Protocol Security). Эти VPN решения, вне зависимости от того, аппаратные они или программные, действуют как специализированные маршрутизаторы, расположенные на концах IP-соединений между офисами.
Когда клиент передаёт пакет, он посылает его через маршрутизатор или шлюз, добавляющий заголовок проверки подлинности (Authentication Header, (AH) с информацией о маршрутизации и подлинности. Затем данные кодируются и вместе с инструкциями по декодированию и обработке становятся инкапсулированными защищенными полезными данными (Encapsulating Security Payload, ESP). Получающий маршрутизатор VPN отбрасывает информацию заголовка, расшифровывает данные и направляет пакет по назначению (компьютеру или сети). Если используется шифрование между сетями, узел, принимающий пакет в локальной сети, получает его расшифрованным и приступает к обработке. Процесс кодирования/декодирования в VPN-соединении между сетями прозрачен для локального узла.
С таким серьёзным уровнем защиты злоумышленник должен не только перехватить пакет., но и расшифровать его. Взломщики, реализовавшие атаку с посредником между сервером и клиентом, должны также иметь доступ к минимум одному из закрытых ключей, используемых в сеансе проверки подлинности. Так как в VPN применяются несколько уровней проверки подлинности и шифрования, VPN достаточно безопасны и эффективны для того, чтобы объединить множество удалённых узлов в единую интрасеть.
6.1. VPN и Red Hat Enterprise Linux
Пользователи и администраторы Red Hat Enterprise Linux могут реализовать программное решение для подключения к WAN самыми разными способами. Red Hat Enterprise Linux поддерживают реализацию VPN по стандарту защиты протокола Интернета (Internet Protocol SECurity, IPsec), который эффективно удовлетворяет потребности организации по подключению филиалов или удалённых пользователй.