Организация корпоративных сетей на основе VPN: построение, управление, безопасность
VPN – это технология, которая позволяет устанавливать сетевые соединения поверх других сетей, таких как Интернет. Коммуникация между участниками виртуальной сети проходит по базовым каналам низкого уровня доверия. Однако, благодаря использованию средств шифрования, передача данных в VPN может быть защищена максимально надежно. В настоящее время VPN становится всё более популярной технологией за счет своей относительной доступности и легкости в настройке.
Корпоративные компьютерные сети играют важную роль в современных компаниях. Они обеспечивают быструю и безопасную передачу информации между компьютерами, находящимися внутри одного здания или на различных географических расстояниях.
Существует несколько способов построения корпоративных сетей. Ранее наиболее популярными были системы локальных сетей (LAN), которые объединяют ограниченное количество компьютеров внутри предприятия. Они обеспечивают самую быструю скорость работы и абсолютную безопасность информации, так как потоки данных не передаются в общий доступ. При этом стоит отметить, что использование структур такого типа является бесплатным. Однако, на минусы локальных сетей можно отнести их высокую стоимость и ограниченность в возможности подключения удаленных пользователей.
В настоящее время, достойной альтернативой корпоративным локальным сетям стали виртуальные частные сети (VPN), которые строятся поверх глобальных WAN сетей, охватывающих большое количество компьютеров и систем компьютеров по всему миру. VPN имеет неоспоримые достоинства как простота в постройке и настройке, низкая стоимость и возможность подключения большого числа пользователей из разных уголков мира. Самое главное - это безопасность передачи данных.
VPN активно вытесняет локальные сети с рынка. Согласно данным исследований, проведенных Forrester Research Inc. и Infonetics Research, затраты на использование и обслуживание VPN почти в три раза ниже, чем логистических структур, построенных по технологии LAN.
VPN (Virtual Private Network) – отличный вариант для компаний, имеющих множество филиалов, или для фирм, где сотрудники часто работают дистанционно из дома или в командировке. Он позволяет настроить соединение между компьютерами через Интернет без дополнительных финансовых затрат.
Если есть необходимость подключить новый офис или удаленного сотрудника, VPN легко масштабируется и делает это без дополнительных затрат на коммуникационное оборудование. Стоимость первоначальной организации виртуальной системы минимальна, и дальнейшие финансовые затраты сводятся только к оплате услуг провайдера Интернета.
Однако, использование VPN связано с определенными рисками и требует особой осторожности при передаче конфиденциальных данных, поскольку информация проходит через Всемирную сеть. Для обеспечения безопасности передаваемых файлов могут быть использованы специальные алгоритмы шифрования данных.
Существует еще один недостаток VPN: скорость обмена файлами заметно ниже, чем в частных аналогах. Однако, для передачи небольших объемов информации это может быть вполне достаточно.
Согласно сведениям исследовательской организации Forrester Research Inc., 41% предприятий отдают предпочтение офисным сетям из-за удобства удаленного доступа, 30% компаний ценят экономию денежных средств, а 20% — упрощение работы.
Варианты построения Virtual Private Network (VPN) для корпоративных сетей
Конфигурация VPN зависит от специфических потребностей и задач организации. Ниже представлены основные методы:
- Remote Access – создание безопасного канала между офисом и удаленным сотрудником, который через интернет подключается к ресурсам компании с домашнего компьютера. Этот метод наиболее прост в установке, однако он менее безопасен, чем другие варианты, поэтому его часто используют в организациях, где много удаленных сотрудников.
- Intranet – этот метод объединяет несколько филиалов компании в единую сеть. Передача данных происходит через открытые каналы. Этот метод подходит как для обычных филиалов, так и для мобильных офисов. Но следует учесть, что для этого метода требуется установить серверы в каждом подключаемом офисе.
- Extranet – этот метод предоставляет внешним пользователям, включая клиентов, ограниченный доступ к информации компании. Непредназначенные для абонентов файлы защищаются средствами шифрования данных. Этот метод подходит для организаций, которым необходимо предоставить своим клиентам доступ к определенным сведениям.
- Client/Server – этот метод позволяет обмениваться данными между несколькими узлами внутри одного сегмента. Он используется чаще всего для создания нескольких логических сетей (например, для различных отделов: финансового, кадрового и т.д.) в одной физической сети. Чтобы защитить данные во время обмена, используется шифрование.
Безопасность данных несет в себе несколько аспектов, таких как шифрование, подтверждение подлинности и контроль доступа. Самыми распространенными алгоритмами кодирования считаются DES, Triple DES и AES.
В нашей эпохе существуют специальные протоколы для обеспечения безопасности данных. Они объединяют информацию в единый компонент и создают туннель для передачи данных, при этом производят шифрование информации внутри туннеля. Наиболее часто используемыми наборами протоколов являются:
PPTP (Point-to-Point Tunneling Protocol) - туннельный протокол, который обеспечивает сохранение подлинности, сжатие и шифрование данных. Корпорация Microsoft использует протокол MPPE для шифрования при использовании PPTP. Дополнительно, данные могут передаваться в открытом виде. GRE и IP заголовки используются для инкапсуляции данных.
L2TP (Layer Two Tunneling Protocol) - протокол, объединяющий PPTP и L2F, обеспечивает более надежную защиту данных, чем PPTP. Шифрование осуществляется при помощи IPSec (IP-security) или 3DES. Для обеспечения максимальной безопасности передачи данных необходимо использовать второй вариант, но это сказывается на скорости соединения и нагрузке на процессор.
Для подтверждения подлинности и целостности информации используются алгоритмы MD5 и SHA1 для проверки документов и объектов. Для идентификации объектов используются как традиционные логины и пароли, так и клиентские сертификаты и сервера подтверждения подлинности.
Как построить VPN: основные шаги
Построить сеть, которая полностью отвечает требованиям предприятия, могут только настоящие профессионалы. Поэтому первым шагом для потенциального заказчика будет выбор надежного провайдера и составление технического задания.
В большинстве случаев, провайдеры предоставляют своим клиентам всё необходимое оборудование на время действия договора оказания услуг. Однако, если заказчик хочет, он может купить необходимую технику самостоятельно. Если он решит пойти по этому пути, ему потребуется стандартное сетевое оборудование, а также специальный шлюз Virtual Private Network Gateway. Этот шлюз необходим для создания туннелей, защиты данных, контроля трафика и, в некоторых случаях, для централизованного управления. Существует множество производителей таких шлюзов, известными из которых являются: Assured Digital, Cisco, Intel, Avaya, Red Creek Communications, Net Screen Technologies, 3com, Nokia, Intrusion, Watch Guard Technologies, Sonic Wall, eSoft и другие. Стоимость шлюза для малых офисов в среднем составляет 700-2500 долларов.
Как использовать и управлять корпоративной сетью на базе VPN
Внутренняя сеть офиса является удобным и простым решением не только для компаний с множеством филиалов и удаленных сотрудников, но и для малых компаний, которые хотят иметь легкоуправляемую, гибкую и достаточно дешевую сеть. VPN технология позволяет увеличивать размеры сети без необходимости дополнительного расширения инфраструктуры. К тому же, пользователь может реализовывать эти функции самостоятельно, без помощи провайдера. Добавление новых пользователей занимает всего несколько минут.
Управление сетью на основе VPN не составляет труда для обычного пользователя, так как большинство функций, связанных с администрированием, автоматизированы. Провайдер устанавливает необходимое ПО на сервер клиентской фирмы и генерирует ключи шифрования, создавая базу объектов и субъектов VPN. Затем эта база передается заказчику.
Для подключения к сети пользователь должен просто вставить ключ-карту в компьютер для идентификации и получения доступа. Если в процессе работы возникнут какие-либо проблемы, то заказчику, соответствующие условиям контракта, следует обратиться за помощью к провайдеру.
Поэтому VPN является подходящим решением для средних и крупных компаний, где специалисты работают удаленно, а также для компаний, имеющих филиалы в разных городах и странах. Кроме того, у таких компаний обычно есть:
- постоянно меняющиеся структурные подразделения и круг сотрудников, которые нуждаются в доступе к конфиденциальной информации (следовательно, для них важна гибкость и легкая конфигурация структуры);
- абоненты, которым нужно предоставить доступ к данным различного уровня (включая сотрудников, клиентов и поставщиков);
- несколько логических сетей в рамках одной физической структуры (например, если требуется создать собственную систему для каждого подразделения предприятия).
Фото: freepik.com