Виртуализация сетей

В предыдущей лекции была приведена классификация решений виртуализации. В рамках текущей лекции мы более подробно рассмотрим ключевые особенности виртуализации сетей.

В 1960-х инженерно - технический отдел американской телефонной компании разработал систему автоматического соединения абонентов АТС - Centrex. Данный факт можно считать началом истории виртуализации сетей, поскольку использовались уже существующие каналы связи, т.е. создавались виртуальные каналы передачи сигнала.

Виртуальной частной сетью (VPN - Virtual Private Network) называют обобщенную группу технологий, обеспечивающих возможность установления сетевых соединений поверх другой сети. Иными словами, VPN можно назвать имитацией сети, построенной на выделенных каналах связи.

Технически виртуальная сеть - это криптосистема, защищающая данные при передаче их по незащищенной сети. Т.е. потоки данных одной группы пользователей (предприятия), использующих VPN, в рамках одной публичной сети защищены от влияния иных потоков данных.

На базе одной физической сети может функционировать несколько виртуальных.

Структура VPN включает в себя: каналы связи, маршрутизаторы и защищенные протоколы. Локальные сети объединяются в виртуальную при помощи "виртуальных выделенных каналов", для создания которых применяется механизм туннелирования (пакеты локальной сети инкапсулируются в новые IP - пакеты инициатором туннеля, на обратном конце "туннеля" происходит обратный процесс).

Подключение нового пользователя к VPN осуществляется через VPN - сервер.

Цели и задачи виртуальных частных сетей

Основной целью виртуальной сети является максимально возможное обособление потока данных компании (определенной группы пользователей) от потока данных других пользователей общей сети.

Соответственно, глобальной задачей виртуальной сети является обеспечение указанной обособленности данных, которую можно разделить на следующие подзадачи, решаемые средствами VPN:

• Конфиденциальность - гарантия того, что данные не будут просмотрены третьими лицами.
• Целостность - обеспечение сохранности передаваемых данных.
• Доступность - санкционированные пользователи должны иметь возможность подключения к VPN постоянно.

Защита информации в виртуальных частных сетях

Основной угрозой при использовании виртуальных частных сетей, очевидно, является несанкционированный доступ к данным, который можно разделить на два типа:

• несанкционированной доступ в процессе передачи данных по открытой (общей) сети;
• несанкционированный доступ к внутренним корпоративным сетям.

Основными функциями защиты информации при передаче данных по виртуальным сетям являются:

• аутентификация;
• шифрование;
• авторизация.

Также отметим, что угрозу по перехвату пакетов по пути следования ряд специалистов считает преувеличенной. Пакеты проходят через маршрутизаторы и коммутаторы провайдеров, т.е. фактически не заходят в сети сторонних лиц и организаций. Таким образом, основная угроза перехвата исходит со стороны самих провайдеров. От входа во внутренние сети организаций и перехвата данных по пути существуют такие способы защиты, как межсетевые экраны, proxy - сервера и средства организации защищенного канала соответственно.

Классификация виртуальных сетей

Существует несколько различных вариантов классификации виртуальных сетей. Приведем наиболее распространенные из них.

Классификация по архитектуре:

1. VPN с удаленным доступом.

   Данные сети предназначены для обеспечения защищенного удаленного доступа к корпоративным сетевым информационным ресурсам.
2. Внутрикорпоративные VPN.

   Предназначены для объединения различных структурных подразделений компании, или групп предприятий в единую защищенную информационную сеть.
3. Межкорпоративные VPN.

Данные сети предназначены для обеспечения взаимодействия с поставщиками, клиентами, партнерами и т.д.

Классификация по уровню ЭМВОС (Эталонная модель взаимодействия открытых систем, Open System Interconnection Basic Reference Model - OSI):

1. VPN канального уровня.

   Данный тип обеспечивает инкапсуляцию трафика сетевого и более высоких уровней и построение виртуальных туннелей "точка - точка". На данном уровне используются протоколы L2F и PPTP (протоколы построения VPN будут рассмотрены в завершающей части данной лекции).
2. VPN сетевого уровня.

   Данный тип осуществляет инкапсуляцию IP в IP. К протоколам данного уровня относят SKIPP и IPSec.
3. VPN сеансового уровня.

Данный тип VPN использует подход под названием "посредник каналов" - трафик из защищенной сети ретранслируется в общедоступную для каждого программного интерфейса в отдельности. Часто используется протокол TLS для шифрования информации.

Классификация по способу реализации:

1. Программно - аппаратное обеспечение.

   Реализация осуществляется на базе аппаратно - программного комплекса, обеспечивающего высокую производительность и защищенность.
2. Программное решение.

   Обеспечение работы VPN осуществляется специальным ПО, установленным на ПК пользователя.
3. Интегрированная реализация.

Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.

Сравнение с частными сетями

Для более наглядной иллюстрации основных отличий между виртуальной сетью и частной рассмотрим следующий пример.

Задача: организовать безопасные каналы связи в компании, имеющей несколько удаленных филиалов.

Решение на основе частной корпоративной сети.

Рис. 3.1. Частная корпоративная сеть

В данном случае, филиалы связаны с центральным офисом посредством LAN, доступ в Интернет может осуществляться как через центральный офис, так и каждым филиалом самостоятельно.

Особенности подхода:

• Скорость передачи данных. Фактически скорость будет ограничена возможностями локальной сети предприятия.
• Безопасность. При должной организации можно минимизировать риск нежелательной утечки данных.
• Стоимость решения. Поскольку предприятие использует собственные каналы передачи данных, нет необходимости в аренде таковых. С другой стороны, стоимость организации корпоративной сети может быть более, чем высока.

Решение на основе виртуальной частной сети.

Рис. 3.2. Корпоративная сеть на основе VPN

В данном решении предприятие арендует каналы связи у провайдеров, центральный офис и филиалы объединены в виртуальную частную сеть.

Особенности решения, по сравнению с частной сетью:

• Скорость передачи данных. Зависит от условий, предоставляемых поставщиком услуг связи (провайдером), сильно зависит от региональных особенностей.
• Безопасность. Учитывая, что данные предприятия попадают в общедоступную сеть, то для обеспечения безопасности необходимо использовать различные средства и алгоритмы защиты информации (шифрование).
• Стоимость. Необходимо оплачивать услуги провайдера, но нет затрат связанных с организацией корпоративной локальной сети.

Исходя из сравнения решений по параметрам Скорость/Безопасность/Стоимость, выгода от использования VPN, строго говоря, неочевидна. Но виртуальные сети обладают рядом иных преимуществ:

1. Масштабируемость. В случае расширения штата, открытии нового филиала и т.п. не требуется затрат для обеспечения коммуникаций. Новые пользователи просто подключаются к уже организованной виртуальной сети предприятия.
2. Гибкость и мобильность. Не имеет значения физическое местоположение пользователя сети. Для подключения к виртуальной сети предприятия достаточно наличия любого канала связи с внешним миром.

Исходя из всего вышеизложенного, можно выделить основные сценарии использования VPN:

1. Организация удаленного доступа к корпоративным сетевым ресурсам через любую общедоступную сеть. Для реализации данного сценария обязательным является только наличие корпоративного VPN - сервера, к которому могут подключаться удаленные клиенты.
2. Intranet VPN. Объединение территориально распределенных филиалов компании в единую сеть передачи данных. Для реализации сценария необходимо наличие VPN - сервера в каждом из связываемых организационных объединений.
3. Extranet VPN. Предоставление клиентам и партнерам доступа к корпоративным сетевым ресурсам.

Таким образом, несмотря на ряд недостатков, можно утверждать, что виртуальная частная сеть, в ряде случаев, может оказаться более предпочтительной, чем частная корпоративная локальная сеть.