17305

Класифікація і рішення для побудови віртуальних приватних мереж VPN

Лекция

Информатика, кибернетика и программирование

Лекція 16. Класифікація і рішення для побудови віртуальних приватних мереж VPN Класифікація VPN Різні автори порізному проводять класифікацію VPN. Найчастіше використовуються три наступні ознаки класифікації: робочий рівень моделі OSI; конфігурація структурного ...

Украинкский

2013-06-30

216 KB

7 чел.

Лекція 16.  Класифікація і рішення для побудови віртуальних приватних мереж VPN

Класифікація VPN

Різні автори по-різному проводять класифікацію VPN. Найчастіше використовуються три наступні ознаки класифікації:

  •  робочий рівень моделі OSI;
  •  конфігурація структурного технічного рішення;
  •  спосіб технічної реалізації.

Класифікація VPN по робочому рівню моделі OSI

Для технологій безпечної передачі даних по загальнодоступній (незахищеній) мережі застосовують узагальнену назву – захищений канал (secure channel). Термін «канал» підкреслює той факт, що захист даних забезпечується між двома вузлами мережі (хостами або шлюзами) уздовж деякого віртуального шляху, прокладеного в мережі з комутацією пакетів.

Захищений канал можна побудувати за допомогою системних засобів, реалізованих на різних рівнях моделі взаємодії відкритих систем 0S1 (рис. 1).

           Рисунок 1. Рівні протоколів захищеного каналу

Класифікація VPN по робочому рівню моделі OSI представляє значний інтерес, оскільки від вибраного рівня ОSI багато в чому залежить функціональність VPN і її сумісність з додатками ІС, а також з іншими засобами захисту.

По ознаці робочого рівня моделі OSI розрізняють наступні групи VPN:

  •  VPN другого (канального) рівня;
  •  VPN третього (мережевого) рівня;
  •  VPN п'ятого (сеансового) рівня.

Розглянемо детальніше групи VPN, що працюють на канальному, мережевому і сеансовому рівнях моделі OSI.

VPN канального рівня

Засоби VPN, використовувані на канальному рівні моделі OSI, дозволяють забезпечити інкапсуляцію різних видів трафіку третього рівня (і вищих рівнів) і побудову віртуальних тунелів типу «точка-точка» (від маршрутизатора до маршрутизатора або від персонального комп'ютера до шлюзу ЛОМ). До цієї групи відносяться VPN-продукти, які використовують протоколи L2F (Layer 2 Forwarding) і РРТР (Point-to-Point Tunneling Protocol), а також порівняно недавно затверджений стандарт L2TP (Layer 2 Tunneling Protocol), розроблений сумісно фірмами Cisco Systems і Microsoft.

Протокол захищеного каналу РРТР заснований на протоколі РРР, який широко використовується в з'єднаннях «точка-точка», наприклад при роботі по виділених лініях. Протокол РРТР забезпечує прозорість засобів захисту для додатків і служб прикладного рівня і не залежить від вживаного протоколу мережевого рівня. Зокрема, протокол РРТР може переносити пакети як в мережах IP, так і в мережах, що працюють на основі протоколів IPX, DECnet або NetBEUI. Проте, оскільки протокол РРР використовується далеко не у всіх мережах (у більшості локальних мереж на канальному рівні працює протокол Ethernet, а в глобальних – протоколи ATM, Frame Relay, то РРТР не можна вважати універсальним засобом. Дійсно, в різних частинах крупної складової мережі, взагалі кажучи, використовуються різні канальні протоколи, тому прокласти захищений канал через це  гетерогенне середовище за допомогою єдиного протоколу канального рівня неможливо.

Протокол L2TP, є, ймовірно, домінуючим рішенням при організації видаленого доступу до ЛОМ (оскільки базується в основному на ОС Windows). Тим часом, рішення другого рівня не набуде, ймовірно, таке ж значення для взаємодії ЛОМ, унаслідок недостатньої масштабованості при необхідності мати декілька тунелів із загальними кінцевими точками.

VPN мережевого рівня

VPN-продукти мережевого рівня виконують інкапсуляцію IP в IP. Одним з широко відомих протоколів на цьому рівні був SKIP, який витісняється протоколом IPSec, призначеним для автентифікації, тунелювання і шифрування IP-пакетів. Стандартизований консорціумом Internet Engineering Task Force, протокол IPSec увібрав в себе всі кращі рішення по шифруванню пакетів і ввійшов як обов'язковий компонент в протокол IPv6.

Протокол IPSec передбачає стандартні методи ідентифікації користувачів або комп'ютерів при ініціації тунелю, стандартні способи використовування шифрування кінцевими точками тунелю, а також стандартні методи обміну і управління ключами шифрування між кінцевими точками.

IPSec стрімко завоював популярність і стал домінуючим методом VPN для взаємодії ЛОМ. Тим часом не слід забувати, що специфікація IPSec орієнтована на IP і, отже, не підходить для трафіку будь-яких інших протоколів мережевого рівня. Протокол IPSec може працювати спільно з L2TP;  в результаті ці два протоколи забезпечують надійнішу ідентифікацію, стандартизоване шифрування і цілісність даних. Тунель IPSec між двома локальними мережами може підтримувати безліч індивідуальних каналів передачі даних, внаслідок чого додатки даного типу одержують переваги з погляду масштабування в порівнянні з технологією другого рівня.

Кажучи про IPSec, необхідно згадати протокол IKE, що дозволяє захистити передавану інформацію від стороннього втручання. Він вирішує задачі безпечного управління і обміну криптографічними ключами між видаленими пристроями. Протокол IKE, заснований на алгоритмі шифрування відкритим ключем, автоматизує обмін ключами і встановлює захищене з'єднання, тоді як IPSec кодує і «підписує» пакети. Крім того, IKE дозволяє змінювати ключ для вже встановленого з'єднання, що підвищує конфіденційність передаваної інформації.

VPN сеансового рівня

Деякі VPN використовують інший підхід під назвою «посередники каналів» (circuit proxy). Цей метод функціонує над транспортним рівнем і ретранслює трафік із захищеної мережі в загальнодоступну мережу Internet для кожного сокета окремо. (Сокет IP ідентифікується комбінацією ТСР-з'єднання і конкретного порту або заданим портом UDP. Протокол IP не має п'ятого – сеансового – рівня, проте орієнтовані на сокети операції часто називають операціями сеансового рівня.)

Шифрування інформації, що передається іж ініціатором і термінатором тунеля, часто здійснюється за допомогою захисту транспортного рівня TLS. Для стандартизації автентифікованого проходу через МЕ консорціум IETF визначив протокол під назвою SOCKS, і в даний час цей протокол застосовується для стандартизованої реалізації посередників каналів.

У протоколі SOCKS клієнтський комп'ютер встановлює автентифікований сокет (або сеанс) з сервером, що виконує роль посередника (proxy). Цей посередник – єдиний спосіб зв'язку через МЕ. Посередник, у свою чергу, проводить будь-які операції, запрошувані клієнтом. Оскільки посереднику відомо про трафік на рівні сокета, він може здійснювати ретельний контроль, наприклад, блокувати конкретні додатки користувачів, якщо вони не мають необхідних повноважень. Для порівняння, віртуальні приватні мережі рівнів 2 і 3 звичайно просто відкривають або закривають канал для всього трафіку по автентифікованому тунелю. Це може представляти проблему, якщо користувач не до кінця довіряє мережі на іншому кінці тунелю.

Мережі VPN з посередником каналу типа IPSec орієнтовані на протокол IP. Тим часом, якщо IPSec, по суті, поширює мережу IP на захищений тунель, то продукти на базі протоколу SOCKS розширюють її на всі додатки і кожен сокет окремо. На відміну від рішень рівня 3 (і 2), де створені тунелі функціонують однаково в обох напрямах, мережі VPN рівня 5 допускають незалежне управління передачею в кожному напрямку. Аналогічно протоколу IPSec і протоколам другого рівня, мережі VPN рівня 5 можна використовувати з іншими типами віртуальних приватних мереж, оскільки дані технології не є взаємовиключними.

Класифікація по архітектурі технічного рішення

По архітектурі технічного рішення прийнято виділяти три основні види віртуальних приватних мереж:

  •  VPN з видаленим доступом;
  •  внутрішньокорпоративні VPN;
  •  міжкорпоративні VPN.

Віртуальні приватні мережі VPN з видаленим доступом (Remote Access) призначені для забезпечення захищеного видаленого доступу до корпоративних інформаційних ресурсів мобільним і/або видаленим (home-office) співробітникам компанії. Принцип їх роботи полягає в наступному: користувачі встановлюють з'єднання з місцевою точкою доступу до глобальної мережі (POP), після чого їх виклики тунелюються через Internet. Потім всі виклики концентруються на відповідних вузлах і передаються в корпоративні мережі.

Внутрішньокорпоративні мережі VPN (intranet-VPN) призначені для забезпечення захищеної взаємодії між підрозділами усередині підприємства або між групою підприємств, об'єднаних корпоративними мережами зв'язку, включаючи виділені лінії.

Міжкорпоративні мережі VPN (extranet-VPN) забезпечують співробітникам підприємства захищений обмін інформацією із стратегічними партнерами по бізнесу, постачальниками, крупними замовниками, користувачами, клієнтами і т.д.

Extranet-VPN забезпечує прямий доступ з мережі однієї компанії до мережі іншої, тим самим сприяючи підвищенню надійності зв'язку, підтримуваного в ході ділової співпраці. У міжкорпоративних мережах велике значення надається контролю доступу за допомогою МЕ і автентифікації користувачів.

Слід зазначити, що останнім часом спостерігається тенденція до конвергенції різних конфігурацій і способів реалізацій VPN.

Класифікація за способом технічної реалізації

За способом технічної реалізації розрізняють наступні групи VPN:

  •  VPN на основі мережевої операційної системи;
  •  VPN на основі МЕ;
  •  VPN на основі маршрутизаторів;
  •  VPN на основі програмних рішень;
  •  VPN на основі спеціалізованих апаратних засобів з вбудованими шифропроцесорами.

VPN на основі мережевої ОС

Реалізацію VPN на основі мережевої ОС можна розглянути на прикладі операційної системи Windows NT. Для створення VPN компанія Microsoft пропонує протокол РРТР, інтегрований в мережеву операційну систему Windows NT. Таке рішення виглядає привабливо для організацій, що використовують Windows як корпоративну ОС. У мережах VPN, заснованих на Windows NT, використовується база даних клієнтів, що зберігається в контролері PDC (Primary Domain Controller). При підключенні до РРТР-серверу користувач авторизується по протоколах PAP, CHAP або MS CHAP. Для шифрування застосовується нестандартний фірмовий протокол Point-to-Point Encryption з 40-бітовим ключем, одержуваним при встановленні з'єднання.

Як достоїнство приведеної схеми слід зазначити, що вартість рішення на основі мережевої ОС значно нижче за вартість інших рішень.

Недосконалість такої системи – недостатня захищеність протоколу РРТР.

VPN на основі маршрутизаторів

Даний спосіб побудови VPN припускає застосування маршрутизаторів для створення захищених каналів. Оскільки вся інформація, що витікає з локальної мережі, проходить через маршрутизатор, то цілком природно покласти на нього і задачі шифрування.

Приклад устаткування для VPN на маршрутизаторах – пристрої компанії Cisco Systems. Починаючи з версії програмного забезпечення IOS 11.3(3) Т маршрутизатори Cisco обслуговують протоколи L2TP і IPSec. Крім простого шифрування інформації Cisco реалізує і інші функції VPN, такі як ідентифікація при встановленні тунельного з'єднання і обмін ключами. Для підвищення продуктивності маршрутизатора може бути використаний додатковий модуль шифрування ESA (Encryption Service Adapter).

VPN на основі міжмережевих екранів

Міжмережеві екрани (МЕ) більшості виробників містять функції тунелювання і шифрування даних. У основі такого рішення лежить просте міркування: оскільки інформація проходить через МЕ, чом би її заразом не зашифрувати? До програмного забезпечення власне МЕ додається модуль шифрування.

До недоліків цього методу відносяться висока вартість рішення в перерахунку на одне робоче місце і залежність продуктивності від апаратного забезпечення, на якому працює МЕ. При використовуванні МЕ на базі ПК треба пам'ятати, що подібний варіант підходить тільки для невеликих мереж з обмеженим об'ємом інформації, що передається.

Як приклад рішення на основі МЕ можна назвати продукт Firewall-1 компанії Check Point Software Technologies.

VPN на основі програмного забезпечення

Для побудови мереж VPN також застосовуються програмні рішення. При реалізації подібних схем використовується спеціалізоване ПЗ, працююче на виділеному комп'ютері і в більшості випадків виконуюче функції proxy-серверу. Комп'ютер з таким програмним забезпеченням може бути розташований за МЕ.

Як один з прикладів програмних рішень можна вказати пакет AltaVista Tunnel 97 компанії Digital. При використовуванні цього ПЗ клієнт підключається до серверу Tunnel 97, реєструється на ньому і обмінюється ключами. Шифрування здійснюється на базі 56- або 128-бітових ключів шифру RC 4. Зашифровані пакети інкапсулюються в інші IP-пакети, які і відправляються на сервер. При роботі сервер Tunnel 97 перевіряє цілісність даних по алгоритму MD5. Крім того, щопівгодини система генерує нові ключі, що значно підвищує захищеність з'єднання.

Достоїнства пакету AltaVista Tunnel 97 простота установки і зручність управління. До недоліків цієї системи слід зарахувати нестандартну архітектуру (власний алгоритм обміну ключами) і низьку продуктивність.

VPN на основі спеціалізованих апаратних засобів з вбудованими шифропроцесорами

Варіант побудови VPN на спеціалізованих апаратних засобах може бути використаний в мережах, що вимагають високої продуктивності. Прикладом такого рішення служить продукт cIPro-VPN компанії Radguard. У цьому пристрої реалізоване апаратне шифрування інформації, що передається в потоці 100 Мбіт/с.

Продукт cIPro-VPN обслуговує протокол IPSec і механізм управління ключами ISAKMP/Oakley. Крім того, даний пристрій забезпечує трансляцію мережевих адрес і може бути обладнаний спеціальною платою, що виконує функції МЕ.

Недолік даного рішення – його висока вартість.

VPN-рішення для побудови захищених корпоративних мереж

Основні варіанти рішень

Потенційним клієнтам пропонується широкий спектр устаткування і ПЗ для створення віртуальних приватних мереж: від інтегрованих багатофункціональних і спеціалізованих пристроїв до чисто програмних продуктів.

Можна виділити три основні види VPN-рішень:

  •  інтегровані;
  •  спеціалізовані;
  •  програмні.

Розглянемо особливості кожного з перерахованих видів.

Інтегровані VPN-рішення включають функції МЕ, маршрутизації і комутації. Головна перевага такого підходу полягає в централізації управління компонентами. Для компаній, яким не потрібна висока продуктивність корпоративної мережі, а задача зниження витрат на мережеве устаткування є однією з пріоритетних, найефективнішим буде інтегроване рішення, що дозволяє зосередити всі функції в одному пристрої. При цьому все ж таки слід сказати, що чим більше функцій виконується одним пристроєм, тим частіше стають помітними втрати в продуктивності.

Спеціалізовані VPN-рішення. Висока продуктивність – найголовніша перевага спеціалізованих VPN-пристроїв. Вища швидкодія подібних систем обумовлена тим, що шифрування в них здійснюється спеціалізованими мікросхемами.

Об'єм обчислень, які необхідно виконати при обробці VPN-пакету, в 50-100 разів перевищує той, який потрібен для обробки звичного пакету. Якщо в корпоративній мережі проводяться різні заходи, що вимагають обміну великим трафіком даних, то для ефективної обробки VPN-пакетів доцільно використовувати спеціалізовану апаратуру. Спеціалізовані VPN-пристрої забезпечують високий рівень безпеки, проте мають високу вартість.

Програмні VPN-рішення. VPN-продукти, реалізовані програмним способом, з погляду продуктивності поступаються спеціалізованим пристроям, проте мають достатню потужність для реалізації VPN-мереж. Слід зазначити, що у разі видаленого доступу вимоги до необхідної смуги пропускання невеликі. Тому чисто програмні продукти легко забезпечують продуктивність, достатню для видаленого доступу. Безперечними достоїнствами програмних продуктів є гнучкість і зручність в застосуванні, а також відносно невисока вартість.

Як правило, на практиці будують комбіновані VPN на базі існуючих рішень:

  •  мережевих операційних систем;
  •  маршрутизаторів;
  •  МЕ;
  •  спеціалізованого програмного забезпечення.

Побудова VPN на базі мережевих операційних систем

Побудова VPN на базі мережевої ОС – достатньо зручний і, головне, дешевий спосіб створення інфраструктури захищених віртуальних каналів. Сьогодні найбільше розповсюдження серед мережевих ОС, що дозволяють коштувати VPN штатними засобами самої ОС, одержала Windows NT. Дане рішення виявилося популярним, перш за все, завдяки загальній поширеності даної ОС.

Для побудови віртуальних захищених тунелів в IP-мережах Windows NT використовує розроблений фірмою Microsoft протокол РРТР, який є розширенням добре відомого протоколу РРР (Point-to-Point Protocol). Тунелювання трафіку відбувається за рахунок інкапсуляції і подальшого шифрування (криптоалгоритм RSA RC4 з ключем 40 біт) стандартних РРР-фреймів в IР-датаграми, які і передаються по відкритих IP-мережах. З погляду забезпечення безпеки з'єднання протокол РРТР успадковував практично всі якості протоколу РРР.

На думку фахівців, дане рішення є оптимальним для побудови VPN усередині локальних мереж або домена Windows NT, а також для побудови intranet- і extranet-VPN для невеликих компаній з метою захисту некритичної для їх бізнесу інформації. В той же час крупний бізнес навряд довірить свої секрети цьому рішенню, оскільки численні випробування VPN, побудованих на базі Windows NT, показали, що протокол РРТР достатньо уразливий з погляду безпеки. Зокрема, наголошуються:

  •  уразливість, пов'язана з реалізацією і застосуванням функції хешування паролів і протоколу автентифікації CHAP;
  •  уразливість протоколу шифрування в однорангових мережах (МРРЕ);
  •  відвертість для атак на етапі конфігурації з'єднання і атак типу «відмова в обслуговуванні»;
  •  недостатня опрацьованість питань забезпечення безпеки в даній ОС і ін.

Важливий і той факт, що через широку поширеність Windows NT пошуком додаткових уразливостей цієї ОС постійно зайняті тисячі комп'ютерних фахівців, які хоча і роблять це з різною метою, але інформацію про результати подібної роботи майже завжди можна знайти на численних сайтах хакерів в Internet.

Розуміючи недостатню захищеність протоколу РРТР, в своїй новій ОС – Windows 2000 – компанія Microsoft зробила ставку на реалізацію сучаснішого протоколу IPSec. Проте перші незалежні тести виявили серйозні проблеми з безпекою і цією ОС.

Побудова VPN на базі маршрутизаторів

Сьогодні практично всі провідні виробники маршрутизаторів і інших мережевих пристроїв заявляють про підтримку в своїх продуктах різних VPN-протоколів. В Україні безумовним лідером на цьому ринку є компанія Cisco Systems, тому побудову корпоративних VPN доцільно продемонструвати на рішеннях саме цієї компанії.

Побудова VPN-каналів на базі маршрутизаторів компанії Cisco здійснюється засобами самої ОС починаючи з версії Cisco IOS 12.x. Якщо па прикордонні маршрутизатори Cisco інших відділень компанії встановлена дана ОС, то є можливість сформувати корпоративну VPN, що складається з сукупності віртуальних захищених тунелів типу «точка-точка» від одного маршрутизатора до іншого (рис. 1). Тут і далі як ілюстрації використовуються фірмові схеми побудови VPN, одержані з Web-сайтів виробників. Як правило, для шифрування даних в каналі за умовчанням застосовується криптоалгоритм DES з довжиною ключа 56 біт.

Порівняно недавно з'явився новий продукт компанії – Cisco VPN client, який дозволяє створювати захищені з'єднання «точка-точка» між робочими станціями (у тому числі і видаленими) і маршрутизаторами Cisco, що робить можливим побудову internet- і localnet-VPN.

Рисунок 1. Типова схема побудови корпоративної VPN на базі маршрутизаторів Cisco

Для організації VPN тунелю маршрутизатори компанії Cisco в даний час використовують протокол канального рівня L2TP (створений на базі фірмових протоколів L2F (Cisco Systems) і РРТР (Microsoft Co.)) і протокол мережевого рівня IPSec, розроблений асоціацією IETF.

Протокол L2TP забезпечує інкапсуляцію протоколів мережевого рівня (IP, IPX, NetBEUI і ін.) в пакети канального рівня (РРР), які і передаються по мережах, що підтримують доставку датаграм в каналах «точка-точка». Хоча цей протокол і претендує на рішення проблем безпеки в VPN, він ніяк не специфікує процедури шифрування, автентифікації (процедура автентифікації відбувається один раз на початку сесії) і перевірки цілісності кожного пакету, що передається по відкритій мережі, а також процедури управління криптографічними ключами. Основна перевага L2TP полягає в його незалежності від транспортного рівня, що дозволяє використовувати його в гетерогенних мережах. Достатньо важливою якістю L2TP є його підтримка в ОС Windows, завдяки чому у принципі можна будувати комбіновані VPN на базі продуктів Microsoft і Cisco. Проте «канальна природа» протоколу L2TP послужила причиною його істотного недоліку: для гарантованої передачі захищеного пакету через складові мережі всі проміжні маршрутизатори повинні підтримувати даний протокол, що, очевидно, вельми важко гарантувати. Мабуть, у зв'язку з цим компанія Cisco звернула погляд на просування сучаснішого VPN-протоколу - IPSec.

На сьогоднішній день IPSec – один з Internet-протоколів, що працюють, і досконалі, в плані безпеки. Зокрема, він забезпечує автентифікацію, перевірку цілісності і шифрування повідомлень на рівні кожного пакету (для управління криптографічними ключами IPSec використовує протокол IKE, що добре зарекомендував себе в своїй ранішній версії Oakley). Крім того, робота протоколу на мережевому рівні є однією із стратегічних переваг IPSec, оскільки VPN на його базі працюють повністю прозоро як для всіх без виключення додатків і мережевих сервісів, так і для мереж передачі даних канального рівня. Також IPSec дозволяє маршрутизувати зашифровані пакети мережам без додаткової настройки проміжних маршрутизаторів, оскільки зберігає стандартний IP-заголовок, прийнятий в IPv4. А той факт, що IPSec включений як невід'ємна частина в майбутній Internet-протокол IPv6, робить його ще привабливішим для організації корпоративних VPN.

Але IPSec властиві і деякі недоліки: підтримка тільки стека TCP/IP і досить великий об'єм службової інформації, який може викликати істотне зниження швидкості обміну даними на низькошвидкісних каналах зв'язку, а такими поки, на жаль, можна сміливо назвати більшість існуючих каналів.

У разі побудови VPN на базі маршрутизаторів необхідно пам'ятати ще і про те, що сам по собі такий підхід не вирішує проблему забезпечення загальної інформаційної безпеки компанії, оскільки всі внутрішні інформаційні ресурси все одно залишаються відкритими для атак ззовні. Для захисту цих ресурсів, як правило, застосовуються МЕ, які розташовуються за прикордонними маршрутизаторами, а отже, на каналі від маршрутизатора до МЕ і далі вся конфіденційна інформація йде в «відкритому» вигляді. Це, зокрема, означає, що маршрутизатор необхідно ставити якомога «ближче» до МЕ, бажано в загальному приміщенні, що охороняється.

Один з істотних недоліків побудови VPN на базі маршрутизаторів полягає у тому, що рішення єдиної задачі захисту інформаційних ресурсів компанії від атак ззовні розподіляється по декількох функціонально незалежних пристроях (наприклад, маршрутизатор і МЕ). Такий підхід може привести до серйозних організаційних і технічних проблем у випадках, наприклад, визначення відповідальності за порушення інформаційної безпеки мережі.

Побудова VPN на базі  міжмережевих екранів

Ряд фахівців з інформаційної безпеки вважає, що побудова VPN на базі МЕ є єдиним оптимальним варіантом з погляду забезпечення комплексної безпеки корпоративної інформаційної системи від атак з відкритих мереж. Дійсно, об'єднання функцій МЕ і VPN-шлюзу в одній точці під контролем єдиної системи управління і аудиту - не тільки технічно грамотне, але і зручне для адміністрування рішення. Як приклад розглянемо типову схему побудови корпоративної VPN на базі популярного програмного продукту Checkpoint Firewall-1/VPN-1 компанії Checkpoint Software Technologies.

Дана компанія є одним з лідерів у області виробництва продуктів комплексного забезпечення інформаційної безпеки при роботі з Internet. МЕ Checkpoint Firewall-1 дозволяє в рамках єдиного комплексу побудувати глибокоешелонований рубіж оборони для корпоративних інформаційних ресурсів. До складу такого комплексу входить як сам Checkpoint FW-1, так і набір продуктів для побудови корпоративної VPN: Checkpoint VPN-1, засоби виявлення вторгнень RealSecure, засоби управління смугою пропускання Flood Gate і т.д. (рис. 2).

Підсистема побудови VPN на базі CheckPoint FW-1 включає програмні продукти VPN-1:

  •  Gateway і VPN-1 Appliance, призначені для побудови intranet-VPN;
  •  VPN-1 SecureServer – для захисту виділених серверів;
  •  VPN-1 SecuRemote і VPN-1 SecureClient – для побудови internet/externet/ localnet-VPN.

Для шифрування трафіку в каналах CheckPoint Firewall-1 використовує відомі криптоалгоритми DES, CAST, IDEA, FWZ і ін.

Весь ряд продуктів Checkpoint VPN-1 реалізований на базі відкритих стандартів (IPSec), має розвинену систему автентифікації користувачів, підтримує взаємодію із зовнішніми системами розподілу відкритих ключів (PKI), дозволяє будувати централізовані системи управління і аудиту і т.д. Тому недивно, що продукція даної компанії займає 52% світового ринку VPN, згідно останньому дослідженню Dataquest.

Рисунок 2. Типова схема побудови корпоративної VPN на базі CheckPoint FW-2/VPN-1


 

А также другие работы, которые могут Вас заинтересовать

44562. Усугубление проблем безопасности при удаленном доступе. Защитные экраны - firewallы и proxy-серверы 31.5 KB
  Однако использование общественных сетей (речь в основном идет об Internet) еще более усугубляет ситуацию, хотя бы потому, что в такой сети для доступа к корпоративным данным в распоряжении злоумышленника имеются более разнообразные и удобные средства, чем выход в чистое поле с анализатором протоколов.
44563. Пакетная фильтрация. Использование маршрутизаторов в качестве firewall 29.5 KB
  Пропуск во внутреннюю сеть пакетов сетевого уровня или кадров канального уровня по адресам MCадреса IPадреса IPXадреса или номерам портов TCP соответствующих приложениям.
44564. Сервисы-посредники (Proxy-services) 30 KB
  Для того чтобы обратиться к удаленному сервису клиент-пользователь внутренней сети устанавливает логическое соединение с сервисом-посредником работающим на межсетевом экране. Сервис-посредник устанавливает отдельное соединение с настоящим сервисом работающим на сервере внешней сети получает от него ответ и передает по назначению клиенту пользователю защищенной сети.
44565. Критерии выбора корпоративной ОС 31 KB
  Среди основных требований которым должна отвечать корпоративная ОС можно указать следующие: функциональная полнота разнообразие поддерживаемых сервисов; производительность запросы к серверам должны обрабатываться с преемлемым уровнем задержек; масштабируемость характеристики производительности сетевой ОС должны сохраняться неизменными в широком диапазоне изменения параметров системы то есть сеть должна хорошо работать и тогда когда число пользователей и рабочих станций измеряется тысячами число серверов сотнями объемы...
44566. Функционал КИС как определяющий фактор выбора ее структуры 35.5 KB
  Очевидно что в состав КИС должны войти средства для документационного обеспечения управления информационной поддержки предметных областей коммуникационное программное обеспечение средства организации коллективной работы сотрудников и другие вспомогательные технологические продукты. Из этого в частности следует что обязательным требованием к КИС является интеграция большого числа программных продуктов. Наполнение предметной части КИС может существенно изменяться в зависимости от профиля деятельности предприятия включая например...
44567. Создание инфосистем на основе системы автоматизации деловых процессов 36 KB
  Из зарубежных систем это в первую очередь ction Workflow фирмы ction Techologies и продукт фирмы Stffwre Inc. Работа workflowсистем как правило основывается на том что большая часть деловых процессов представляет собой периодически повторяемую отрегулированную последовательность действий выполнение заданий которая может быть легко формализована. Таким образом без всякого программирования можно за считанные минуты получить реально работающее workflowприложение. В некоторых workflowсистемах создание информационных моделей деловых...
44568. Основные компоненты и типы ЛВС 44.5 KB
  ЛВС имеют модульную организацию. Компоненты ЛВС Выделяется два основных типа ЛВС: одноранговые peertopeer ЛВС и ЛВС на основе сервера server bsed. Выбор типа ЛВС зависит от: размеров предприятия; необходимого уровня безопасности; объема сетевого трафика; финансовых затрат; уровня доступности сетевой административной поддержки.
44569. Одноранговые сети. Рабочая группа 45.5 KB
  Все пользователи решают сами какие данные и ресурсы каталоги принтеры факсмодемы на своем компьютере сделать общедоступными по сети Одноранговая сеть Рабочая группа – это небольшой коллектив объединенный общей целью и интересами. Эти сети относительно просты.
44570. Сети на основе сервера 70.5 KB
  Поэтому большинство сетей используют выделенные серверы Выделенными называются такие серверы которые функционируют только как сервер исключая функции РС или клиента. Круг задач которые выполняют серверы многообразен и сложен. Чтобы приспособиться к возрастающим потребностям пользователей серверы в ЛВС стали специализированными. Так например в операционной системе Windows NT Server существуют различные типы серверов: Файлсерверы и принтсерверы.