Сеть VPN

Если у компьютерного сообщества есть компьютеры, ноутбуки, кото­рые надо бы объ­единить в сеть, или присоединиться к филиалу, можно использовать VPN-сеть. VPN (виртуальная частная сеть) — название технологий, позволяющих обеспечить логическую сеть поверх другой сети. Уровень доверия к построенной логической сети может быть выше уровня доверия к базовым сетям благодаря использованию средств криптографии. Обычно VPN развёрты­вают на уровнях не выше сетевого, так как применение криптографии на этих уровнях по­зволяет использовать в неизменном виде транспортные протоколы TCP и UDP. Чаще всего для создания виртуальной сети используется инкапсуляция прото­кола PPP в какой-нибудь другой протокол — IP (такой способ использует реа­лизация PPTP — Point-to-Point Tunneling Protocol) или Ethernet (PPPoE). Технология VPN в последнее время ис­пользуется не только для создания собственно частных сетей, но и некоторыми провайде­рами для предоставления выхода в Интернет.

VPN состоит из двух частей: «внутренняя» сеть и «внешняя» сеть, по которой проходит соединение. Подключение удалённого пользователя к VPN производится посредством сер­вера доступа. После присоединения к сети, можно совершать над присоединенными к ней компьютерами следующие действия: проверка доступности; просмотр папок; отправка сообщения; копирование адреса; блокирование; установка метки.

По назначению VPN-сети можно разделить на:

- Intranet VPN. Используют для объединения в единую защищённую сеть нескольких распре­делённых филиалов одной организации, обменивающихся данными по откры­тым каналам связи.

- Remote Access VPN. Используют для создания защищённого канала между сегмен­том корпоратив­ной сети (центральным офисом) и одиночным пользователем, который подключается к корпоративным ресурсам с домашнего компьютера.

- Extranet VPN. Используют для сетей, к которым подключаются «внешние» заказ­чики или клиенты. Уровень доверия к ним ниже, чем к сотрудникам компании, поэтому требуется обеспечение защиты, ограничивающей доступ последних к конфиденциальной информации.

- Client/Server VPN. Обеспечивает защиту передаваемых данных между двумя узлами корпоративной сети. Особенность данного варианта в том, что VPN строится между уз­лами, находящимися в одном сегменте сети, например, между рабочей станцией и серве­ром. Такая необходимость возникает, если в одной физической сети необходимо соз­дать несколько логических сетей. Например, когда надо разделить трафик ме­жду финансовым департаментом и отделом кадров, обращающихся к серверам, находящимся в одном фи­зическом сегменте.

- Internet VPN. Используется для предоставления доступа к интернету провайдерами, если по одному физическому каналу подключаются несколько пользо­вателей. В последнее время очень популярной стала организация виртуальных частных сетей (VPN) через Интернет с возможностью организации удаленного доступа к любому ком­пьютеру в составе этой сети.

Большинство VPN решений поддержи­вает протокол TCP/IP. Традиционный подход к развертыванию виртуальной частной сети за­ключается в том, что в корпоратив­ной сети поднимается и конфигурируется VPN-сервер и удаленные пользователи заходят в корпоративную сеть по VPN-соединениям. Такой подход неприменим в случае, когда пользователю необходимо получить уда­ленный доступ к своему домашнему компьютеру.

Задача создания VPN-сети довольно просто ре­шаема. Например, для этой цели существует про­грамма Hamachi, которую можно свободно скачать из Интернета. Hamachi позволяет создать виртуальную частную сеть (VPN) через Интернет и объединить в ней несколько компьютеров. После соз­дания такой сети пользователи могут устанавливать VPN-сессии и работать в этой сети так же, как в обычной локальной сети с возможностью обмена файлами, удаленного адми­нистрирования компьютеров и т.д. Преимущество VPN-сети заключается в том, что она защи­щена от несанкционированного вмешательства и невидима из Интернета, хотя и су­ществует в нем. Программа Hamachi должна быть установлена на всех компьютерах, ко­торые предполагается объединить в виртуальную частную сеть. Соз­дав виртуальную сеть и присоединив к ней компьютеры, можно, воспользо­вавшись стандартными программами удаленного администрирования, полу­чить удаленный доступ к любому компьютеру вир­туальной сети, поскольку каждый компьютер такой сети имеет свой выделенный IP-адрес.

Популярным является следующий способ организации удалённого доступа к локаль­ной сети из глобальной сети:

Обеспечивается подключение снаружи к маршрутизатору, например по протоколу PPPoE, PPTP или L2TP (PPTP+IPSec).

Абоненту назначается свободный IP-адрес из локальной сети.

Маршрутизатор VPN добавляет proxyarp — запись на локальной сетевой карте для IP-адреса, который он выдал VPN-клиенту. После этого, если локальные компьютеры по­пытаются обратиться напрямую к выданному адресу, то они после ARP-запроса получат MAC-адрес локальной сетевой карты сервера и трафик пойдёт на сервер.

Шифрование — способ преобразования информации, применяемый для хранения важной информации в ненадёжных источниках или передачи её по незащищённым каналам связи.