2.2 Аналіз рішень для побудови віртуальних приватних
Сучасні технології побудови мереж дозволяють використовувати різні підходи для побудови VPN. Кожна конкретна реалізація повинна обиратись відповідно від особливостей діяльності підприємства та вимог щодо проектованого рішення. Основні вимоги, які маєть вплив при виборі аохітекрури віртуальної приватної мережі, це:
- готовність інформаційної структури підприємства до інсталяції та підтримки VPN. Адже впровадження віртуальної приватної мережі потребує не тільки технічних засобів для створення тунелів, а має вплив на такі показники роботи мережі як пропускна здатність, час відгуку від додатків, кількість одночасних сесій, підтримка з боку операційних систем та інші фактори;
- тип використовуваної системи безпеки. Один з найважливіших чинників, адже від визначає рівень моделі OSІ, на якому відбуватиметься шифрування трафіку. Від цього буде залежити алгоритм шифрування, а значить і тип використовуваного протоколу. Найбільш популярні на сьогодні типи мережних протоколів, які використовуються при побудові VPN це - PPTP, L2TP і IPSec.
- кількість потенційних користувачів у мережі з VPN. Визначає не тільки марштаб підприємства, для якого проектується система, а багато в чому залежить від способу доступу до інформаційних ресурсів компанії. Якщо компанія надає послуги та сервіси населенню (як у випадку із транспортною компанію замовника) то від VPN потребна висока маштабованість, та навпаки, якщо компаніє має єдиний центр розмішення ресурсів - то підвищуються вимоги до полоси пропускання каналів та надійності надання Інтернет послуг. [3]
Аналізуючи загальні підходи, які використовують при побудові корпоративних мереж на базі технології закриття трафіку (VPN-мережі), можна виділити наступні методи:
-
Архітектура на базі засобів операційної системи;
-
Архітектура із використанням брандмауерів
-
Архітектура на базі маршрутизаторів;
-
Архітектура на базі спеціалізованих апаратних засобів.
Дамо коротку характеристику кожному із даних підходів.
2.2.1 Архітектура на базі операційної системи
Для побудови VPN на базі мережевої ОС на даний час використовують засоби вбудовані в мережі операційні систем. Прикладом таких систем є Windows 2008/2012 компанії Microsoft, або вільно розповсюджувальні ОС сімейства Unix. Для створення VPN ці операційні системи використовують протокол PPTP і IPSec, які інтегровані в операційну систему. Використання данного типу побудови віртуальної приватної мерержі залежить в першу чергу від типу операційної системи, яка використовується в корпоративному середовищі.
2.2.2 Архітектура на базі брандмауерів
Брандмауери більшості виробників підтримують тунелірування і шифрування даних. Всі подібні продукти засновані на тому, що в процесі того як трафік проходить через брандмауер, він одразу проходить процедуру шифрування.
Брандмауер (Firewall) – це один з найважливіших компонентів будь-якої приватної віртуальної мережі. Місце розташування брандмауера в будь-якій віртуальній приватній мережі повинне вибиратися дуже ретельно. Існують різні думки щодо того, де повинен бути встановлений брандмауер – перед захисним шлюзом або за ним. Якщо особи, що мають доступ до мережі, користуються повною довірою, як це звично буває у всередині корпоративних мережах з декількома вузлами, брандмауер може бути встановлений з внутрішньої сторони захисного шлюзу. В цьому випадку пакети з даними розшифровуються, а потім проходять через брандмауер, перш ніж потрапити в кінцеву точку призначення.
У випадку з міжкорпоративною віртуальною мережею, коли існує цілком обгрунтоване побоювання спроб несанкціонованого доступу, брандмауер краще встановити із зовнішньої сторони захисного шлюзу. При цьому він повинен забезпечувати доступ до розташованого за ним захисного шлюзу тим користувачам, які мають на це право.
Рисунок 2.1 - VPN на базі брандмауера
В теперішній час реалізції побудови віртуальної приватної мережі на базі брандмауерів є найбільш розповсюдженими, через їх гнучність, а також підтримку більшістю операційних систем, в тому числі на сучасних маршрутизатрах.