Лекція 15. Технологія захисту інформації на базі захищених віртуальних приватних мереж
Концепція побудови захищених віртуальних приватних мереж – VPN
У основі концепції побудови захищених віртуальних приватних мереж – VPN лежить достатньо проста ідея: якщо в глобальній мережі є два вузли, які хочуть обмінятися інформацією, то для забезпечення конфіденційності і цілісності інформації, що передається по відкритих мережах, між ними необхідно побудувати віртуальний тунель, доступ до якого повинен бути надзвичайно утруднений всім можливим активним і пасивним зовнішнім спостерігачам. Термін «віртуальний» вказує на те, що з'єднання між двома вузлами мережі не є постійним (жорстким) і існує тільки під час проходження трафіка по мережі.
Переваги, отримувані компанією при формуванні таких віртуальних тунелів, полягають, перш за все, в значній економії фінансових коштів, оскільки в даній ситуації компанія може відмовитися від побудови або оренди дорогих виділених каналів зв'язку для створення власних intranet/extranet мереж і використати для цього дешеві Internet-канали, надійність і швидкість передачі яких в більшості своїй сьогодні вже не поступаються виділеним лініям. Очевидна економічна ефективність від впровадження VPN-технології активно стимулює підприємства до швидкого її впровадження. Про це, зокрема, свідчать авторитетні західні аналітики. Так, наприклад, відомий аналітик – компанія Gartner Group вважає, що в 2008 році більше 95% компаній, що використовують Internet в корпоративних цілях, перейдуть на VPN.
Функції і компоненти мережі
Захищеною віртуальною мережею VPN називають об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передачі інформації в єдину віртуальну корпоративну мережу, що забезпечує безпеку циркулюючих даних.
При підключенні корпоративної локальної мережі до відкритої мережі виникають загрози безпеки двох основних типів:
НСД до корпоративних даних в процесі їх передачі по відкритій мережі;
НСД до внутрішніх ресурсів корпоративної локальної мережі, одержуваний зловмисником в результаті несанкціонованого входу в цю мережу.
Забезпечення безпеки інформаційної взаємодії локальних мереж і окремих комп'ютерів через відкриті мережі, зокрема через Internet, можливе при ефективному рішенні задач захисту:
інформації в процесі її передачі по відкритих каналах зв'язку;
підключених до відкритих каналів зв'язку локальних мереж і окремих комп'ютерів від несанкціонованих дій з боку зовнішнього середовища.
Захист інформації в процесі передачі по відкритих каналах зв'язку заснований на виконанні наступних основних функцій:
автентифікації взаємодіючих сторін;
криптографічному закритті (шифруванні) даних, що передаються;
перевірці достовірності і цілісності доставленої інформації.
Для цих функцій характерний взаємозв'язок. Їх реалізація заснована на використовуванні криптографічних методів захисту інформації, ефективність якої забезпечується за рахунок сумісного використовування симетричних і асиметричних криптографічних систем.
Для захисту локальних мереж і окремих комп'ютерів від несанкціонованих дій з боку зовнішнього середовища звичайно використовують міжмережеві екрани (МЕ, брандмауери), що підтримують безпеку інформаційної взаємодії шляхом фільтрації двостороннього потоку повідомлень, а також виконанні функцій посередництва при обміні інформацією. МЕ розташовують на стику між локальною і відкритою мережею. Для захисту окремого видаленого комп'ютера, підключеного до відкритої мережі, програмне забезпечення МЕ встановлюють на цьому ж комп'ютері, і такий МЕ називається персональним.
Віртуальна приватна мережа VPN формується на основі каналів зв'язку відкритої мережі. Відкрите зовнішнє середовище передачі інформації можна розділити на середовище швидкісної передачі даних, для якого використовується мережа Internet, і повільніші загальнодоступні канали зв'язку, для яких звичайно застосовуються канали телефонної мережі. Ефективність віртуальної приватної мережі VPN визначається ступенем захищеност...