VPN (Virtual Private Network) - віртуальна приватна мережа - технологія організації в мережі з передачею пакетів захищеного виділеного каналу зв'язку. Розглянь основне призначення VPN. У сучасному світі, існує безліч великих підприємств і організацій, які мають широку мережу філій не тільки в сусідніх містах, а й в інших країнах і навіть континентах. Природно, що в таких підприємствах зазвичай існує своя корпоративна телекомунікаційна мережа, яка дозволяє обмінюватися службовою інформацією і координувати роботу співробітників. При цьому не кожна компанія може дозволити собі будівництво власної мережі, тому що це зажадає значних тимчасових і фінансових витрат. У такій ситуації, коли обсяги переданої інформації не великі, а відстань між об'єктами істотно виникає бажання використовувати мережу Інтернет. Однак в такому випадку передаються дані стають схильні до промислового шпигунства, а витік внутрішньої інформації може спричинити втрату конкурентоспроможності і серйозних фінансових втрат. Технологія VPN дозволяє вирішити проблему передачі захищеної інформації по загальнодоступних мереж всесвітньої павутини за рахунок організації захищеного з'єднання.
Принцип дії VPN
Мережа VPN, для того щоб вона виконувала всі свої функції належним чином, повинна мати такими особливостями:
1. Безпека - мережа повинна бути стійка до впливів ззовні
2. Отказоустойчивость - мережа можна швидко відновити в разі пошкодження, або є шляхи резервування
3. Масштабованість - до мережі можна підключати нових учасників / мережі без перерви в роботі мережі.
Якщо зазначені вище принципи дотримані, то мережу VPN дозволяє отримати наступні переваги:
1. Інформація, передана по мережі захищена від зчитування і зовнішнього впливу
2. Учасники з'єднання можуть перебувати в будь-якій точці світу, головне щоб у них був доступ до Інтернет
3. Спрощена мережева топологія
4. Підвищена продуктивність
5. Істотне зниження витрат на інфраструктуру мережі
6. Низький час розгортання мережі навіть для найвіддаленіших об'єктів
Існує кілька механізмів організації VPN з'єднань: міжмережевий екран (Firewall), шифрування, використання протоколу IPSec, застосування на мережі спеціального сервера AAA. Розглянемо докладніше кожен з цих методів.
Міжмережевий екран або Firewall являє собою стінку (бар'єр), який обмежує мережу користувача від решти публічної мережі. Він перегороджує доступ ззовні для користувачів, які не мають на це право, а дозволяє лише за заздалегідь встановленим списку. Таким чином, Firewall дозволяє розмежовувати доступ і тим самим створювати віртуальну мережу з іншими користувачами і мережами, у яких на вхід в загальнодоступну мережу також варто подібний захист. Міжмережевий екран може бути організований програмно - у вигляді ПО встановленого на прикордонному маршрутизаторе або ПК користувача, або апаратно у вигляді окремого елемента мережі. Зазвичай Firewall використовується спільно з іншими засобами захисту.
Шифрування - це ще один спосіб організації VPN, при якому всі учасники інформаційного обміну мають ключем і програмним засобом, який дозволяє зашифрувати передану у віртуальній мережі інформацію. Для підвищення безпеки застосовуються різні складні алгоритми шифрування, постійна зміна ключів, кілька ступенів шифрування. Однак такий спосіб створення VPN зазвичай використовується для мереж, де передаються невеликі обсяги даних.
Використання протоколу Internet Protocol Security (IPSec) також дозволяє організовувати VPN з численними настройками і великим числом елементів в мережі. По-суті, IPSec - це різновид широко поширеного протоколу IP ( Internet Protocol ), Що передбачає процедуру шифрування заголовка пакета і переданої інформації, а також описує політику розподілу ключів шифрування між учасниками VPN. Залежно від конкретної реалізації дані можуть шифруватися між роутером і ПК, роутером і роутером, Firewall і роутером, роутером і сервером. Головна вимога для нормального функціонування VPN за допомогою IPSec - це підтримка прикордонних пристроїв мережі даного протоколу. Останнім часом більшість виробників передбачають підтримку IPSec свого мережевого обладнання.
Ще один спосіб створення VPN - це установка спеціального сервера, який отримав назву AAA Server. ААА - це authentication, authorization and accounting, тобто учасники VPN перед тим як отримати доступ в мережу повинні пройти процедури аутентифікації, авторизації і для нього повинен бути створений акаунт. Таким чином, всіх учасників VPN можна розділити з прав доступу і забезпечити максимально тонке налаштування мережі. Разом з тим цей спосіб найбільш витратний, тому що вимагає установку окремого пристрою та підтримання його роботи, проте у великих мережах це виявляється виправданим.
Таким чином, не залежно від способу організації VPN - це ефективний спосіб створення захищеної телекомунікаційної мережі, що не вимагає інвестування значних фінансових коштів і надає всі переваги виділеної незалежної мережі.
