показує, що для побудови VPN найкраще використовувати спеціалізоване обладнання, однак якщо є обмеження в коштах, то можна звернути увагу на чисто програмне рішення. Розглянемо деякі варіанти побудови VPN.на базі брандмауерів. Брандмауери більшості виробників підтримують туннелирование і шифрування даних .. Все подібні продукти засновані на тому, що трафік, що проходить через брандмауер шифрується. До програмного забезпечення власне брандмауера додається модуль шифрування. Недоліком цього методу можна назвати залежність продуктивності від апаратного забезпечення, на якому працює брандмауер. При використанні брандмауерів на базі ПК треба пам'ятати, що подібне рішення можна застосовувати тільки для невеликих мереж з невеликим обсягом переданої інформації. На малюнку 1.5 схематично представлена ??схема побудови VPN на базі брандмауерів.
Малюнок 1.5 - Схема побудови VPN на базі брандмауерів
на базі маршрутизаторів. Іншим способом побудови VPN є застосування для створення захищених каналів маршрутизаторів (малюнок 1.6). Так як вся інформація, що виходить з локальної мережі, проходить через маршрутизатор, то доцільно покласти на цей маршрутизатор і завдання шифрування.
Прикладом обладнання для побудови VPN на маршрутизаторах є обладнання компанії Cisco Systems. Починаючи з версії програмного забезпечення IOS 11.3, маршрутизатори Cisco підтримують протоколи L2TP і IPSec. Крім простого шифрування інформації, що проходить Cisco підтримує й інші функції VPN, такі як ідентифікація при встановленні тунельного з'єднання і обмін ключами.
Для підвищення продуктивності маршрутизатора може бути використаний додатковий модуль шифрування ESA. Крім того, компанія Cisco System випустила спеціалізований пристрій для VPN, яке так і називається VPN Access Router (маршрутизатор доступу до VPN), призначене для установки в компаніях малого і середнього розміру, а також у відділеннях великих організацій.
Малюнок 1.6 - VPN на базі маршрутизаторів
на базі програмного забезпечення. Наступним підходом до побудови VPN є чисто програмні рішення. При реалізації такого рішення використовується спеціалізоване програмне забезпечення, яке працює на виділеному комп'ютері, і в більшості випадків виконує роль proxy-сервера. Комп'ютер з таким програмним забезпеченням може бути розташований за брандмауером.
Як приклад такого рішення можна виступає програмне забезпечення AltaVista Tunnel компанії Digital. При використанні даного програмного забезпечення клієнт підключається до сервера Tunnel, аутентифицирующей на ньому і обмінюється ключами. Шифрація проводиться на базі 56 або 128 бітових ключів, отриманих у процесі встановлення з'єднання. Далі, зашифровані пакети інкапсулюються в інші IP-пакети, які в свою чергу відправляються на сервер. Крім того, дане програмне забезпечення кожні 30 хвилин генерує нові ключі, що значно підвищує захищеність з'єднання.
Позитивними якостями AltaVista Tunnel є простота установки і зручність управління. Мінусами даної системи можна вважати нестандартну архітектуру (власний алгоритм обміну ключами) і низьку проізводітельность.на базі мережевої ОС. Рішення на базі мережевої ОС ми розглянемо на прикладі системи Windows NT компанії Microsoft. Для створення VPN Microsoft використовує протокол PPTP, який інтегрований в систему Windows NT. Дане рішення дуже привабливо для організацій використовують Windows як корпоративної операційної системи. Необхідно відзначити, що вартість такого рішення значно нижче вартості інших рішень. У роботі VPN на базі Windows NT використовується база користувачів NT, що зберігається на Primary Domain Controller (PDC). При підключенні до PPTP-серверу користувач аутентифицирующей по протоколах PAP, CHAP або MS-CHAP. Передані пакети інкапсулюються в пакети GRE/PPTP. Для шифрування пакетів використовується нестандартний протокол від Microsoft Point-to-Point Encryption c 40 або 128 бітовим ключем, отриманим в момент встановлення з'єднання. Недоліками даної системи є відсутність перевірки цілісності даних і Нево?? можность зміни ключів під час з'єднання. Позитивними моментами є легкість інтеграції з Windows і низька стоімость.на базі апаратних засобів представлений на малюнку 1.7. Варіант побудови VPN на спеціальних пристроях може бути використаний в мережах, що вимагають високої продуктивності. Прикладом такого рішення служить продукт c IPro-VPN компанії Radguard. Даний продукт використовує апаратне шифрування переданої інформації, здатне пропускати потік в 100 Мбіт/с. IPro-VPN підтримує протокол IPSec і механізм управління ключами ISAKMP/Oakley. Крім іншого, даний пристрій підтримує засоби трансляції мережевих адрес і може бути доповнено спеціальною платою, додаються функції брандмауера.
Малюнок 1.7 - VPN на базі ...