Туннелирование и виртуальные частные сети VPN
5.3.1. Что такое "виртуальная частная сеть"?
Термин "виртуальная частная сеть" - VPN (Virtual Private Network) - используется для обозначения разных технологий. Однако во всех этих технологиях есть нечто общее и детали, отличающие их друг от друга.
Общим является следующее.
Под виртуальной частной сетью понимают потоки данных одного предприятия, которые существуют в публичной сети с коммутацией пакетов и в достаточной степени защищены от влияния потоков данных других пользователей этой публичной сети.
Другими словами, виртуальная частная сеть - это некоторая имитация сети, построенной на выделенных каналах. Если публичная сеть предоставляет такой сервис, то в ней одновременно сосуществуют несколько виртуальных корпоративных сетей, разделяющих общие комму- таторы и физические каналы связи.
Потоки данных отдельного предприятия образуют виртуальные каналы частной сети.
А вот защищенность от потоков данных других предприятий трактуется по-разному.
Обычно ее понимают в двух отношениях - в отношении параметров пропускной способности и в отношении конфиденциальности данных.
Пропускная способность VPN
Конечно, каждое предприятие хотело бы, чтобы виртуальные каналы как можно больше были похожи на реальные выделенные линии, пропускная способность которых всегда в распоряжении пользователей предприятия. Отсюда вытекают следующие требования к VPN:
- пользователям должны предоставляться некоторые гарантии качества обслуживания в виртуальных каналах VPN - средняя пропускная способность, максимально допустимый уровень пульсации, уровни задержек кадров;
- пользователи должны иметь инструменты для контроля действительных параметров пропускной способности виртуальных каналов.
Сегодня для различных типов сетей с коммутацией пакетов существуют различные возможности получения гарантий качества обслуживания.
Конфиденциальность
Возможность несанкционированного доступа к данным, передающимся по публичной сети очень волнует сетевых администраторов, привыкшим к использованию выделенных каналов или телефонных сетей для передачи корпоративных данных.
Наличие огромного числа хакеров в Internet действительно представляет постоянную угрозу для корпоративных серверов, к данным которых можно хотя бы попробовать подступиться из любого домашнего компьютера, оставаясь при этом анонимным.
В то же время угрозы перехвата пакетов по пути следования по публичной сети передачи данных многие специалисты считают преувеличенными. Действительно, пакеты идут только через коммутаторы и маршрутизаторы провайдеров публичных сетей, а в сети посторонних организаций и частных лиц не заходят. И провайдерами публичных сетей с коммутацией пакетов выступают чаще всего те же организации, которые предоставляют традиционные виды телекоммуникационных сервисов - выделенные каналы и телефонные сети. Таким образом, угроза по перехвату пакетов по пути следования исходит скорее от самих провайдеров, сотрудников которых могут подкупить конкуренты.
От двух типов угроз - входа во внутренние серверы предприятия и перехвата данных по пути - существуют соответствующие средства защиты, описанные в разделе 4 - firewall'ы и proxy-серверы для отражения угроз первого вида, и средства образования защищенного канала для второго.
