Tarmoqlarda ma'lumotlarni uzatishda "tunnel" tushunchasi

Paketlarni filtrlash VPN agentlarining muhim xususiyatlaridan biridir. Paketlarni filtrlash VPN agenti sozlamalariga muvofiq amalga oshiriladi, ular birgalikda virtual xususiy tarmoqning xavfsizlik siyosatini shakllantiradi. Virtual xususiy tarmoqlar xavfsizligini oshirish uchun tunnellar uchida xavfsizlik devorlarini (filtrlarni) joylashtirish maqsadga muvofiqdir.

VPN agentlari VPN shlyuzlari vazifasini bajaradi. VPN Security Gateway - bu ikkita tarmoqqa ulanadigan tarmoq qurilmasi - global va mahalliy va uning orqasidagi tarmoq xostlari uchun shifrlash va autentifikatsiya funktsiyalarini bajaradi. VPN shlyuzi alohida apparat qurilmasi sifatida amalga oshirilishi mumkin dasturiy ta'minot echimishuningdek, VPN funktsiyalari bilan to'ldirilgan xavfsizlik devori yoki yo'riqnoma.

Security Gateway-ning VPN tarmog'iga ulanishi uning orqasidagi tarmoq foydalanuvchilari uchun ijaraga olingan liniya bo'lib ko'rinadi, aslida esa bu ochiq paketli tarmoq. Tashqi tarmoqdagi Security Gateway-ning VPN-manzili kiruvchi tunnellangan paketning manzilini belgilaydi. Ichki manzil shlyuz orqasidagi uy egasining manzili. VPN Security Gateway yo'riqnoma, xavfsizlik devori va hk.

Tunnel qilishning o'ziga xos xususiyati shundaki, ushbu texnologiya nafaqat uning ma'lumotlar maydonini, balki butun sarlavha bilan birga asl paketini shifrlashga imkon beradi. Asl paket sarlavha bilan birga to'liq shifrlangan va bu shifrlangan paket ochiq sarlavhali boshqa, tashqi paketga joylashtirilgan. Ma'lumotlarni "xavfli" tarmoq orqali tashish uchun, ochiq maydonlar tashqi paketning sarlavhasi va tashqi paket xavfsiz kanalning so'nggi nuqtasiga etib kelganida, ichki paket undan olinadi, parolini ochadi va uning sarlavhasi himoya qilishni talab qilmaydigan tarmoq orqali aniq matnda qo'shimcha uzatish uchun ishlatiladi.

Xavfsizlikni talab qilinadigan darajada ta'minlash, ko'pincha korporatsiya Internetga asoslangan VPN-dan foydalanishni o'ylashda muhim ahamiyatga ega. Ko'pgina IT-menejerlar xususiy tarmoqlarda maxfiy ma'lumotlarni tabiiy ravishda himoya qilishga odatlanib qolgan va Internetni xususiy tarmoq sifatida foydalanish uchun juda "ochiq" deb hisoblashadi. Agar siz inglizcha terminologiyadan foydalansangiz, unda uchta "R" mavjud bo'lib, ularning bajarilishi birgalikda ma'lumotlarning to'liq himoyasini ta'minlaydi. Bu:

Himoya - xavfsizlik devorlari (xavfsizlik devori) yordamida resurslarni himoya qilish;

Proof - paketning identifikatsiyasini (yaxlitligini) tekshirish va jo'natuvchining autentifikatsiyasi (kirish huquqini tasdiqlash);

Maxfiylik - maxfiy ma'lumotlarni shifrlash yordamida himoya qilish.
Uchala "Ps" har qanday korporativ tarmoq, shu jumladan VPN uchun bir xil ahamiyatga ega. Faqatgina xususiy tarmoqlarda juda oddiy parollardan foydalanish resurslarni va ma'lumotlarning maxfiyligini himoya qilish uchun etarli. Ammo xususiy tarmoq umumiy tarmoqqa ulangandan so'ng, uchta Psning hech biri kerakli himoya bilan ta'minlay olmaydi. Shuning uchun har qanday VPN xavfsizlik devorlari uning umumiy tarmoq bilan o'zaro aloqador barcha nuqtalarida o'rnatilishi va paketlar shifrlangan va tasdiqlangan bo'lishi kerak.

Xavfsizlik devorlari har qanday VPN-ning ajralmas qismidir. Ular faqat ishonchli foydalanuvchilar uchun vakolatli trafikka ruxsat berishadi va qolgan hamma narsani bloklashadi. Boshqacha qilib aytganda, noma'lum yoki ishonchsiz foydalanuvchilarning barcha kirish urinishlari kesib o'tiladi. Ushbu himoya shakli har bir sayt va foydalanuvchi uchun ta'minlanishi kerak, chunki uning etishmasligi hamma joyda emas degani emas. Virtual xususiy tarmoqlar xavfsizligini ta'minlash uchun maxsus protokollardan foydalaniladi. Ushbu protokollar xostlarga ma'lumotlarning maxfiyligi va yaxlitligini saqlash va foydalanuvchining autentifikatsiyasi uchun foydalanish uchun shifrlash va raqamli imzo usullarini "kelishib olish" imkonini beradi.

Microsoft Point-to-Point Encryption (MPPE) PPP paketlarini tunnelga yo'naltirishdan oldin mijozlar mashinasida shifrlaydi. Shifrlash seansi protokol yordamida tunnel terminatori bilan aloqa o'rnatish paytida ishga tushiriladi
PPP.

Secure IP (IPSec) protokollari Internet Engineering Task Force (IETF) tomonidan ishlab chiqilgan bir qator dastlabki standartlardir. Guruh ikkita protokolni taklif qildi: Autentifikatsiya Header (AH) va Encapsulating Security Payload (ESP). AH sarlavhaga raqamli imzo qo'shadi, bu foydalanuvchini tasdiqlaydi va tranzitdagi har qanday o'zgarishlarni kuzatib, ma'lumotlar yaxlitligini ta'minlaydi. Ushbu protokol faqat ma'lumotlarni himoya qiladi, IP-paketning manzil qismini o'zgarmagan holda qoldiradi. Aksincha, ESP butun paketni (Tunnel Mode) yoki faqat ma'lumotlarni (Transport Mode) shifrlashi mumkin. Ushbu protokollar alohida yoki birgalikda ishlatiladi.

Xavfsizlikni boshqarish uchun parollar (autentifikatsiya) va kirish huquqlarini (avtorizatsiya) o'z ichiga olgan foydalanuvchi profillari ma'lumotlar bazasi bo'lgan sanoat standarti RADIUS (Remote Authentication Dial-In User Service) ishlatiladi.

Xavfsizlik vositalari keltirilgan misollar bilan cheklanib qolmaydi. Ko'pgina yo'riqnoma va xavfsizlik devori ishlab chiqaruvchilari o'zlarining echimlarini taklif qilishadi. Ular orasida Ascend, CheckPoint va Cisco mavjud.

Mavjudligi uchta muhim o'lchovni o'z ichiga oladi: xizmat ko'rsatish muddati, ishlab chiqarish va kechikish vaqti. Xizmatni taqdim etish vaqti xizmat ko'rsatuvchi provayder bilan tuzilgan shartnomaning mavzusi bo'lib, qolgan ikkita komponent xizmat ko'rsatish sifatining elementlariga (Xizmat ko'rsatish sifati - QoS) tegishli. Zamonaviy texnologiyalar transport deyarli barcha mavjud dasturlarning talablariga javob beradigan VPN yaratishga imkon beradi.

Tarmoq ma'murlari har doim korporativ tarmoqni, shu jumladan telekommunikatsiya kompaniyasining qismini oxiridan oxirigacha boshqarish imkoniyatiga ega bo'lishni xohlashadi. Ma'lum bo'lishicha, VPN-lar bu borada oddiy xususiy tarmoqlarga qaraganda ko'proq imkoniyatlarni taqdim etadi. Odatda xususiy tarmoqlar chegaradan-chegaraga boshqariladi; xizmat ko'rsatuvchi provayder tarmoqni korporativ tarmoqning oldingi yo'riqchilarigacha boshqaradi, abonent esa haqiqiy korporativ tarmoqni WAN kirish qurilmalariga qadar boshqaradi. VPN texnologiyasi provayderga ham, abonentga ham butun tarmoqni boshqarish tizimini, ham uning korporativ qismini, ham umumiy tarmoqning tarmoq infratuzilmasini taqdim etish orqali ushbu "ta'sir doiralari" ning bo'linishidan qochadi. Korxona tarmoq ma'muri tarmoqni kuzatib borish va qayta sozlash, old kirish moslamalarini boshqarish va real vaqtda tarmoq holatini aniqlash qobiliyatiga ega.

VPN arxitekturasining uchta modeli mavjud: qaram, mustaqil va gibrid, dastlabki ikkita alternativaning kombinatsiyasi sifatida. Muayyan modelga mansubligi VPN uchun to'rtta asosiy talablar bajarilishi bilan belgilanadi. Agar sizning WAN xizmat ko'rsatuvchi provayderingiz to'liq VPN echimini taqdim etsa, ya'ni. tunnel, xavfsizlik, ishlash va boshqaruvni ta'minlaydi, arxitekturani unga bog'liq qiladi. Bunday holda, barcha VPN jarayonlari foydalanuvchi uchun shaffof bo'lib, u faqat o'zining shaxsiy trafigi - IP, IPX yoki NetBEUI paketlarini ko'radi. Abonentga bog'liq bo'lgan arxitekturaning afzalligi shundaki, u VPN va xususiy o'rtasida faqat xavfsizlik devorini qo'shib, mavjud tarmoq infratuzilmasidan "boricha" foydalanishi mumkin.

Mustaqil arxitektura tashkilot o'z uskunasiga barcha texnologik talablarni taqdim etganda, faqatgina transport funktsiyalarini xizmat ko'rsatuvchi provayderga topshirganda amalga oshiriladi. Ushbu arxitektura qimmatroq, ammo foydalanuvchiga barcha operatsiyalarni to'liq boshqarish imkonini beradi.

Gibrid arxitektura tashkilotga bog'liq va tashkilotga bog'liq bo'lmagan (mos ravishda xizmat ko'rsatuvchi) saytlarni o'z ichiga oladi.

VPN korporativ foydalanuvchilar uchun qanday narxlarni va'da qiladi? Birinchidan, sanoat tahlilchilarining hisob-kitoblariga ko'ra, bu barcha telekommunikatsiyalar turlari uchun xarajatlarning 30 dan 80% gacha pasayishi. Shuningdek, bu deyarli hamma joyda korporatsiya yoki boshqa tashkilotlar tarmoqlariga kirish; bu etkazib beruvchilar va mijozlar bilan xavfsiz aloqalarni amalga oshirish; bu PSTN tarmoqlarida mavjud bo'lmagan yaxshilangan va kengaytirilgan xizmat va boshqa ko'p narsalar. Mutaxassislar virtual xususiy tarmoqlarni tarmoq kommunikatsiyalarining yangi avlodi deb bilishadi va ko'plab tahlilchilar VPN-lar tez orada ijaraga olingan liniyalar asosida xususiy tarmoqlarning aksariyatini almashtiradi deb hisoblashadi.