1137 подписчиков

Технология построения защищенного VPN-соединения

5 июня 20205 июн 2020

357

7 мин

Технология VPN была разработана для предоставления удаленным пользователям и филиалам доступа к корпоративным приложениям и ресурсам. Для обеспечения безопасности соединение с частной сетью устанавливается с использованием зашифрованного многоуровневого протокола туннелирования, а пользователи VPN для получения доступа используют методы аутентификации, включая пароли или сертификаты. В других приложениях пользователи Интернета могут защищать свои соединения с помощью VPN, чтобы обойти географические ограничения и цензуру или подключиться к прокси-серверам, чтобы защитить личные и геоданные, остаться анонимным. Некоторые веб-сайты блокируют доступ к технологии VPN, чтобы предотвратить обход их географических ограничений, и многие провайдеры VPN разрабатывают стратегии для преодоления этих препятствий.

VPN создается путем установления виртуального соединения типа «точка-точка» через использование выделенных каналов или с помощью туннельных протоколов по существующим сетям. VPN, доступная из общедоступного Интернета, может предоставить некоторые преимущества глобальной сети (WAN), при этом ресурсы, доступные в частной сети, доступны удаленно. Виртуальные частные сети не могут делать онлайн-подключения полностью анонимными, но они могут повысить конфиденциальность и безопасность. Чтобы предотвратить раскрытие частной информации, VPN обычно разрешают только аутентифицированный удаленный доступ с использованием туннельных протоколов и методов шифрования.

Сегодня точки зрения топологии существуют две основные категории VPN-соединений: клиент-сайт (или удаленный доступ) и сайт-сайт (или шлюз-шлюз). Разница между заключается в том, что VPN-соединение первого типа характеризуется однопользовательскими подключениями. В отличие от этого, VPN типа «сеть-сеть» работают с удаленными соединениями между целыми сетями. Для работы VPN, помимо сети, в которой будут транспортироваться данные (обычно это Интернет) необходимы VPN-шлюз и VPN-клиент.

VPN-шлюз обеспечивает и поддерживает доступ к другой конечной точке как в концепции «клиент-сайт», так и «сайт-сайт». VPN-клиент используется для поиска доступа, предоставляемого VPN-шлюзом, для установления соединения, создания безопасного туннеля для данных трафика пользователей и корпораций. Иными словами, это структура типа «клиент-сервер» (VPN-шлюз - это сервер, а VPN-клиент - это клиент). При работе в компании с клиентской базой в удаленных регионах сотруднику необходим доступ к внутренним системам управления и каталогам корпоративной сети. Чтобы сделать возможным такой сценарий, обеспечивающий безопасность при передаче корпоративных данных, желательно установить структуру с VPN-шлюзом в офисе компании и VPN-клиентом, установленным на устройстве, используемом для удаленного доступа. Этот тип связи использует сертификат, созданный через шлюз VPN с датой истечения срока действия и учетными данными доступа для повышения безопасности связи.

Таким образом, при подключении «клиент-сайт»

🚦VPN-шлюз устанавливается в головном офисе компании;

🚦 VPN-клиент устанавливается на устройстве, используемом удаленным сотрудников (ноутбук, мобильный телефон и т. д.),

🚦 используются VPN-приложения типа Site-to-Site.

Другой сценарий, который может быть применен к структуре защищенной связи с использованием VPN - это сценарий для компаний, которым необходимо соединить бизнес-подразделения (головной офис и филиал) с несколькими пользователями в разных местах, при этом отсутствует прямое проводное подключение между сетями. Для обеспечения прозрачного и безопасного обмена данными между такими сетями рекомендуется использовать VPN-туннель типа «сеть-сеть», подключенный к корпоративным сетям с использованием ресурсов VPN. В таком случае в филиале должен быть настроен VPN-клиент в локальной сети с сертификатом, сгенерированным в шлюзе VPN головного офиса, и учетными данными для доступа.

Таким образом, это безопасное соединение, закрытое VPN-туннелем, становится доступным для всей сети без необходимости для каждого пользователя или устройства настраивать VPN-клиента индивидуально для трафика между сетями. При подключении «сайт-сайт» VPN-шлюз устанавливается в головном офисе, VPN-клиент устанавливается в филиале.

Ограничением традиционных VPN является то, что они являются двухточечными соединениями и не всегда поддерживают широковещательные домены; поэтому связь, программное обеспечение и сети, основанные на уровне два, и широковещательные пакеты, такие как NetBIOS, используемые в сетях Windows, могут не поддерживаться в полной мере, как в локальной сети. Модели VPN, такие как протокол виртуальной частной локальной сети (VPLS) и протоколы туннелирования уровня два, предназначены для преодоления этого ограничения. Знание типов VPN-соединений позволяет реализовать высокий уровень безопасности доступа к корпоративным данным.

Сети, которые соединяют инфраструктуру, в которой хранятся конфиденциальные данные, нужно изолировать от интернета, чтобы обеспечить их безопасность, с помощью диапазона IP-адресов, которые недоступны через интернет. Безопасность усиливается путем ограничений на доступ к этим сетям, так что доступ может получить только определенный трафик от авторизованных внешних устройств. Благодаря достижениям в области криптографии, вычислительных технологий и повсеместного распространения интернета стало возможным шифровать трафик данных и передавать его через интернет на сервер, расположенный в частной сети.

Защищенный туннель создает виртуальный канал, который расширяет частную сеть через общедоступную сеть. Сеть такого типа, которая использует публичные сети для обеспечения подключения к частной сети, называется виртуальной частной сетью (VPN).

VPN может использовать большое число технологий обеспечения безопасности трафика, таких как безопасность протокола Интернета (IPsec), безопасность транспортного уровня (SSL/TLS), безопасность транспортного уровня дейтаграмм (DTLS), безопасного подключения устройств или сетей через публичные сети. Та же технология, которая используется для создания виртуального соединения между сетями, может также использоваться для подключения устройств пользователя к частной сети. Обычное использование VPN заключается в предоставлении удаленным сотрудникам безопасного доступа через Интернет к ИТ-службам их компании. Сотрудники используют VPN-клиенты, установленные на корпоративных ноутбуках или мобильных устройствах, для подключения к VPN-серверу, который находится в частной сети компании. Вариант использования удаленного доступа не ограничивается доступом для сотрудников.

Любое устройство, подключенное к Интернету, может использовать VPN для подключения к частной сети. Устройства могут варьироваться от обычных вычислительных устройств, таких как ноутбуки, до специализированных промышленных датчиков или бытовой электроники, такой как умные телевизоры. Другим преимуществом безопасности, предоставляемым VPN, является шифрование данных, которое защищает от перехвата и потери данных. Это особенно важно при подключении через ненадежные бесплатные точки доступа Wi-Fi. Мошенники могут использовать точки доступа Wi-Fi, которые имитируют законную точку доступа для похищения учетных данных и другой конфиденциальной информации пользователей. Использование VPN обеспечивает сквозное шифрование трафика, сохраняя конфиденциальность всей информации и делает пользователя невосприимчивым к угрозе сетей Wi-Fi с поддержкой роуминга.

Правильно реализованная VPN позволяет только доверенным устройствам получать доступ к частной сети и реализует строгий контроль доступа для обеспечения доступа с наименьшими привилегиями. Эти меры уменьшают количество векторов атак, доступных хакеру.

Решения VPN также обеспечивают взаимную аутентификацию, при которой и VPN-сервер, и подключающееся устройство аутентифицируют друг друга. В случае успеха пользователь, получающий доступ к сети, аутентифицируется с использованием имени пользователя или пароля, а также с использованием другой формы аутентификации (токен безопасности через мобильный телефон или смарт-карту). Как только устройство и пользователь аутентифицированы, сервер VPN может применять правила доступа, так что пользователь получает доступ только к подмножеству систем или услуг, к которым у пользователя есть права доступа.

При наличии всех этих средств защиты хорошо реализованное решение VPN защищает периметр частной сети.