захищаються сегментів мережі;
ідентифікацію та аутентифікацію користувачів мережевих об'єктів;
централізоване управління політикою корпоративної мережевої безпеки та налаштуваннями VPN-мережі [2].
1.3 Способи створення захищених віртуальних каналів
Будь-який з двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевої або проміжної точці захищається потоку повідомлень. Відповідно можливі різні способи утворення захищеного віртуального, приклад захищений віртуального каналу зображений на малюнку 1.1.
Варіант, коли кінцеві точки захищеного тунелю збігаються з кінцевими точками захищається потоку повідомлень, є з точки зору безпеки кращим. У цьому випадку забезпечується повна захищеність каналу вздовж усього шляху прямування пакетів повідомлень. Однак такий варіант веде до децентралізації управління та надмірності ресурсних витрат. Потрібна установка засобів створення захищених тунелів на кожне клієнтське комп'ютер локальної мережі, що ускладнює централізоване управління доступом до комп'ютерних ресурсів та економічно не завжди виправдано. У великій мережі окреме адміністрування кожного клієнтського комп'ютера з метою конфігурування в ньому засобів захисту є досить трудомісткою процедурою.
Малюнок 1.1 - Захищений віртуальний канал
Тому, якщо відсутня необхідність захисту трафіку всередині локальної мережі, що входить у віртуальну мережу, то в якості кінцевої точки захищеного тунелю доцільно вибрати брандмауер або прикордонний маршрутизатор цієї локальної мережі. У разі ж, коли всередині локальної мережі потік повідомлень також повинен бути захищений, то в якості кінцевої точки тунелю в цій мережі повинен виступати комп'ютер, який представляє одну із сторін захищеної взаємодії. При доступі до локальної мережі віддаленого користувача комп'ютер цього користувача також повинен бути кінцевою точкою захищеного віртуального каналу [3].
Поширений також варіант, що характеризується більш низькою безпекою, але більш високим зручністю застосування. Згідно даномуу варіанту Робочі станції і сервери локальної мережі, а також віддалені комп'ютери не беруть участь у створенні захищеного тунелю, який прокладається тільки всередині публічної мережі з комутацією пакетів, наприклад, всередині Internet. Як кінцевих точок такого тунелю найчастіше виступають провайдери Internet або прикордонні маршрутизатори (брандмауери) локальної мережі. При віддаленому доступі до локальної мережі тунель створюється між сервером віддаленого доступу провайдера Internet, а також прикордонним провайдером Internet або маршрутизатором (брандмауером) локальної мережі. При об'єднанні локальних мереж тунель формуватися тільки між прикордонними провайдерами Internet або маршрутизаторами (брандмауерами) локальної мережі.
Аргументацією на користь описаного варіанти створення віртуальних мереж виступає той факт, що уразливими для зловмисників більшою мірою є мережі з комутацією пакетів, такі, як Internet, а не канали телефонної мережі або виділені канали зв'язку. Віртуальні мережі, побудовані за цим варіантом, мають гарну масштабованість і керованістю. Для клієнтських комп'ютерів і серверів локальної мережі, що входить у віртуальну мережу, захищені тунелі повністю прозорі і програмне забезпечення цих вузлів залишається без змін. Однак через те, що частина захищається трафіку проходить в незахищеному вигляді по публічним каналах зв'язку, даний варіант істотно знижує безпеку інформаційної взаємодії. Крім того, велика частина роботи по створенню захищених тунелів лягає на провайдерів, яким необхідно довіряти і платити.
Створення захищеного тунелю виконують компоненти віртуальної мережі, що функціонують на вузлах, між якими формується тунель. Ці компоненти прийнято називати ініціатором і термінатором тунелю. Ініціатор тунелю інкапсулює (вбудовує) пакети в новий пакет, що містить поряд з вихідними даними новий заголовок з інформацією про відправника та одержувача. Хоча всі передані по тунелю пакети є пакетами IP, інкапсуліруемие пакети можуть належати до протоколу будь-якого типу, включаючи пакети немаршрутізіруемих протоколів, таких, як NetBEUI. Маршрут між ініціатором і термінатором тунелю визначає звичайна Маршрутизовані мережу IP, яка може бути і мережею, відмінної від Internet. Термінатор тунелю виконує процес, зворотний інкапсуляції - він видаляє нові заголовки і направляє кожен вихідний пакет в локальний стек протоколів або адресату в локальній мережі. Сама по собі інкапсуляція ніяк не впливає на захищеність пакетів повідомлень, переданих по тунелю VPN. Але завдяки інкапсуляції з'являється можливість повної криптографічного захисту інкапсуліруемих пакетів. Конфіденційність інкапсуліруемих пакетів ...
