Распределенные корпоративные сети могут создаваться на базе отдельных компьютеров или локальных вычислительных сетей (ЛВС) посредством соединения их через специально проложенные каналы связи, через каналы связи общего пользования и через открытые компьютерные сети типа Интернет.
Корпоративные сети на базе Интернет наиболее привлекательны, т.к. обладают рядом преимуществ: относительно малой стоимостью; высокой пропускной способностью; высокой масштабируемостью (размеры сети не ограничиваются каналами передачи данных). Но при этих преимуществах имеется серьезная проблема – обеспечение безопасности информации. В этих сетях необходимо защищать информацию в процессе передачи ее по открытым каналам связи, а также обеспечивать защиту ЛВС и отдельных компьютеров от несанкционированного допуска со стороны внешней среды (пользователей Интернет).
Защита информации при передаче ее по открытым каналам связи требует: аутентификации взаимодействующих сторон; шифрования информации; подтверждения подлинности и целостности доставленной информации; защите от повтора, задержки и удаления сообщений; защите от отрицательных фактов отправления и приема сообщений.
ЛВС и отдельные компьютеры, объединенные через открытую глобальную сеть в единую компьютерную сеть, обеспечивающую защищенность передаваемой и хранимой информации, называются виртуальной частной сетью (Vitual Private Network-VPN). Открытая глобальная сеть может быть основой огромного числа виртуальных частных сетей (рис.6.1).
Рис. 6.1. Пример VPN.
Защита информации при передаче по открытым каналам основана на создании защищенных виртуальных каналов связи, криптозащищенных туннелей или туннелей VPN. Каждый туннель VPN – соединение, проведенное через открытую сеть, по которому передаются криптографически защищенные пакеты сообщений (рис.6.2, маршрут ЛВС-1—1—2—3—9—8—ЛВС-2).
Защищенные виртуальные каналы могут прокладываться (рис.6.3): от каждого компьютера ЛВС-1 до каждого компьютера ЛВС-2, если внутри ЛВС нужно также обеспечит защиту; от пограничного маршрутизатора или МСЭ ЛВС-1 до пограничного маршрутизатора или МСЭ ЛВС-2; от провайдера Интернет ЛВС-1 до провайдера Интернет ЛВС-2(если можно быть уверенным, в том что в проводных каналах опасность несанкционированного доступа гораздо меньше, чем в каналах с разделением пакетов).
Рис.6.2. Образование туннеля VPN
Рис.6.3. Возможные каналы VPN.
Создание защищенного туннеля выполняют компоненты виртуальной сети, функционирующие в узлах, между которыми создается туннель. Эти узлы называются инициатор и терминатор туннеля. Инициатор инкапсулирует (встраивает) пакеты в новый пакет, содержащий в качестве адреса отправителя – адрес инициатора, адреса получателя – адрес терминатора; вложенный пакет полностью шифруется и подписывается ЭЦП. Терминатор получив пакет извлекает из него зашифрованный пакет, расшифровывает его и отправляет конечному адресату в ЛВС. Инициатор и терминатор должны использовать одинаковые криптопротоколы и поддерживать протокол безопасного распределения ключей.
