Vpn wan что такое

VPN: ещё раз просто о сложном

Вы сталкивались с ошибкой “Это видео не доступно для просмотра в Вашей стране”? Пробовали заходить на LinkedIn? Подобные ограничения можно обойти с помощью включения VPN на своем девайсе. В последнее время огромное количество людей было вынуждено перейти на дистанционный формат работы и многие работодатели обязали своих сотрудников пользоваться VPN для защищенного доступа к корпоративным сервисам. Сегодня мы постараемся разобраться в том, что такое VPN и как это работает.

Disclaimer: я искала на Хабре базовую статью о VPN, но нашла из базы только часть цикла «Сети для самых маленьких«. Это очень крутая работа, но она сразу не выпадает. Поэтому я решила обобщить все собранные мной определения, знания и структуры, а в начале дать ссылку на «Сети». Надеюсь, это поможет другим пользователям Хабра.

Ну и немного освежила тему — в нашем 2020 VPN многим пригодился.

Что такое VPN?

VPN – Virtual Private Network – виртуальная частная сеть.

Это совокупность технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет).

Расшифровка названия: сеть – объединение нескольких устройств каким-либо видом связи, позволяющее обмениваться информацией. Виртуальная – неосязаемая, не физическая, то есть не важно, по каким именно каналам связи она проложена. Физическая и логическая топологии могут как совпадать, так и отличаться. Частная – в эту сеть не может войти посторонний пользователь, там находятся только те, кому разрешили доступ. В частной сети надо маркировать участников и их трафик, чтобы отличить его от остальной, чужой информации. Также в такой сети обеспечивается защита данных криптографическими средствами, попросту говоря, шифруется.

Приведем еще одно определение: VPN – это сервис, позволяющий защитить приватные данные при пользовании Интернетом.

Зачем нужен VPN?

Для удаленной работы. Например, вы работаете из дома. По VPN вы можете получить доступ к сервисам и документации своей организации, при этом соединение будет более безопасным, данные будет сложно перехватить и расшифровать.

Чтобы объединить разные части одной компании. Офисы могут быть удалены друг от друга на любое расстояние.

Внутри компаний – для объединения и изоляции отделов.

При подключении к Wi-fi в кафе, метро и т.д., чтобы хакеры не могли украсть ваши данные. При пользовании публичной сетью безопасно, разве что просматривать сайты в браузере. А вот если использовать соц.сети, злоумышленник может не только перехватить вашу конфиденциальную информацию, но и использовать ее в своих целях, авторизовавшись в этой самой соц.сети от Вашего имени. Еще хуже, если ему удастся взломать почту. Тогда атаке подвергнутся все приложения, привязанные к этому почтовому ящику. Но самой неприятной может оказаться утечка данных вашей банковской карты, если вы решили перевести кому-то деньги, подключившись к бесплатному Wi-fi.

Для получения доступа к сайтам, которые заблокированы на определенной территории. Приведем пример: Teen Spirit снимает передачу “Орёл и Решка” и продает ее двум телеканалам: российской “Пятнице” и украинскому “Интеру”. Обычно телеканалы на следующий день после выхода премьеры по телевидению, выкладывают выпуск на свой ютуб-канал, чтобы те, кто не успел посмотреть передачу по телевизору, имели возможность сделать это в интернете и, конечно же, для того, чтобы заработать дополнительно на встроенной в ютуб рекламе. На Украине выпуски выходят на день раньше, чем в России. Соответственно, “Интер” выкладывает видео на ютуб, когда по “Пятнице” передачу еще не показали. Поэтому в России в этот день запрещен доступ к этому видео.

Для обеспечения анонимности. Нельзя вычислить, какие сайты вы посещали, каким браузером пользуетесь, где находитесь и т.д. Надобность скрыть свою геолокацию может может возникнуть в путешествиях. Например, в Турции запрещен YouTube и WhatsApp. Значит, просто так зайти в привычные соц.сети не получится, а с VPN это сделать вполне возможно.

Чтобы в браузере оставалась история поиска, на основе которой создается таргетированная реклама

Чтобы сэкономить, например, при покупке авиабилетов. Авиакомпании устанавливают разные цены на одни и те же билеты для покупателей из разных регионов. А VPN позволяет изменить информацию о геолокации.

Как можно пользоваться VPN?

Итак, мы поняли, что VPN – полезный сервис, но как именно можно его включить? Если Вы работаете за компьютером и хотите посетить заблокированный сайт, используя браузер, то можно или установить специальную программу на ПК (так называемый VPN-клиент), или добавить расширение для браузера, или использовать встроенный в Opera VPN. Все эти способы просты в исполнении, но имеют некоторые недостатки. Так, VPN-клиент выдает случайный IP-адрес, то есть нет возможности выбрать страну. Еще один неудобство заключается в необходимости постоянного запуска программы, однако, существуют программы, которые запускаются одновременно с ОС. Теперь рассмотрим следующий способ – добавление расширения для браузера через Webstore. Нужно будет зарегистрироваться, после чего одним кликом можно выбрать страну, к VPN-серверу которой Вы хотите подключиться.

Использование VPN на смартфонах и айфонах реализуется через мобильные приложения. Самые популярные из них – это OpenVPN для Android и Cloak для iOS.

О плюсах VPN и о том, как его можно установить уже Вы прочитали. Самое время поговорить о минусах.

Чем приходится платить за безопасность в Интернете?

Низкая скорость интернета. На дополнительное шифрование требуется время. Также часто трафик проходит большее расстояние, что связано с удаленностью расположения VPN-сервера.

Периодический разрыв VPN-подключения, внезапный выход трафика в публичную сеть. Часто можно не заметить разрыв подключения и утечку данных, также VPN-соединение может не восстанавливаться автоматически, что не удобно. Во современных ОС на базе Windows предусмотрена функция VPN Reconnect. Если ее нет, то придется использовать особые программы или специальные настройки маршрутизации, которые контролируют VPN-соединение и в случае его разрыва сначала блокируют передаваемую информацию, закрывают приложения, потом обновляют VPN-подключение.

К сожалению, IPv6 почти никогда не поддерживается VPN. Следовательно, когда в публичной сети используется IPv6, и в интернет-ресурсе он также поддерживается, трафик пойдет по умолчанию по открытой IPv6 сети. Чтобы такого не произошло можно просто отключить IPv6 в ОС.

DNS-протечки: на практике часто DNS-запросы обрабатываются DNS-серверами публичной сети (а не виртуальной, защищенной). В случае их некорректного ответа можно получить поддельный адрес запрашиваемого домена. Так, ничего не подозревающие пользователи могут быть перенаправлены, например, на сайты мошеннических онлайн-банков. Также по DNS-серверам можно определить примерную геолокацию и интернет-провайдера пользователя.

Читайте также:  Lan drivers что за драйвер

Присутствуют также разнообразные юридические аспекты. Во-первых, это отличия в законодательстве разных государств. VPN-клиент и VPN-сервер часто находятся в разных странах. Также трафик может проходить через третью страну транзитом. Таким образом существует возможность сохранить себе копию передаваемых данных для дальнейшей расшифровки и изучения.

Существует не только вопрос что шифровать, но и как. Далеко не все криптографические средства разрешены. Из-за этого производители сетевого оборудования (в том числе для организаций VPN) при экспорте в другие страны вынуждены отключать в своей продукции ряд алгоритмов шифрования, а также уменьшать максимально возможную длину ключа.

Проблема кроется еще и в том, что сами мировые стандарты шифрования могут быть уязвимыми. Так, в 2013 году NIST (The National Institute of Standards and Technology – организация, утверждающая стандарты шифрования в США) обвинили в том, что он разрешил включить в новый стандарт уязвимую версию генератора псевдослучайных чисел. Это позволило сильно упростить расшифровку информации, защищенной с применением этого генератора. Более того, составителей стандартов нередко обвиняют в сознательном усложнении описаний стандартов.

А законно ли вообще использовать VPN в России? В России действует закон Яровой, направленный против терроризма и экстремизма. С другой стороны его можно рассматривать как шаг в сторону регулирования и контролирования интернета, потому что этот закон обязует операторов связи хранить всю информацию о деятельности в интернете . Но если провайдер не сохраняет логи, то штрафовать будут его, а не конечных пользователей. Поэтому сейчас существует довольно много VPN-провайдеров, в том числе и бесплатных.

Как работает VPN?

Соединение VPN – это, так называемый, “туннель” между компьютером пользователя и компьютером-сервером. Каждый узел шифрует данные до их попадания в “туннель”.

Вы подключаетесь к VPN, система идентифицирует вашу сеть и начинает аутентификацию (сравнивает введенный пароль с паролем в своей базе данных).

Далее сервер Вас авторизует, то есть предоставляет право на выполнение определенных действий: чтение почты, интернет-серфинг и т.д. После установления соединения весь трафик передается между вашим ПК и сервером в зашифрованном виде. Ваш ПК имеет IP-адрес, предоставленный интернет-провайдером. Этот IP блокирует доступ к некоторым сайтам. VPN сервер меняет ваш IP на свой. Уже с VPN-сервера все данные передаются к внешним ресурсам, которые вы запрашиваете. Теперь можно просматривать любые ресурсы и не быть отслеженным.

Однако, следует помнить, что не вся информация шифруется. У разных VPN-провайдеров могут отличаться такие характеристики как степень шифрования, сокрытие факта подключения к серверу, хранение логов (журнал, в который сохраняется информация о посещаемых сайтах, реальный IP адреси т.п.) и сотрудничество при выдаче информации третьим лицам.

Если VPN-провайдер вообще не записывает логи, то передавать третьим лицам просто нечего. А сокрытие факта подключения к серверу – уже более редкая услуга. При некорректном подключении или резком разрыве соединения может произойти утечка части данных. Решить проблему поможет технология Multihop VPN, которая предполагает соединение с сайтом сразу через несколько серверов.

Рассмотрим популярные VPN:

PPTP – Point-to-Point Tunneling Protocol

+ поддерживается всеми ОС

+ не требует много вычислительных мощностей

— плохая защищенность. Методы шифрования устарели, плохая архитектура, есть ошибки в реализации протокола от Microsoft. Нет шифрования по умолчанию, на взлом требуется менее суток.

Используется, когда защита данных не очень важна или когда нет других вариантов.

L2TP – Layer 2 Tunneling Protocol

+ более эффективен для построения виртуальных сетей

— более требователен к вычислительным ресурсам

— не предполагает шифрования по умолчанию

Работает совместно с другими протоколами, чаще всего IPSec.

Используется интернет-провайдерами и корпоративными пользователями.

IPSec – Internet Protocol Security – группа протоколов и стандартов для безопасных соединений.

— сложен в настройке (следовательно, снижение защиты, если настроить неправильно)

— требует много вычислительных ресурсов

+ этот недостаток компенсируется путем аппаратного ускорения алгоритма шифрования АЕС

Часто используется совместно с другими технологиями.

SSL – Secure Sockets Layer & TLS – Transport Layer Security – группа методов, включающая в себя протоколы SSL и TLS и другие методы защиты.

+ беспрепятственно пропускаются большинством публичных сетей

— довольно низкая производительность

— сложность в настройке, необходимость установки дополнительного ПО

используется на веб-сайтах, URL которых начинается с https (там еще виден зеленый замочек)

некоторые реализации: OpenVPN, Microsoft SSTP.

+ OpenVPN имеет открытый код, реализован практически для всех платформ, считается очень надежным.

Заключение

VPN – комплекс технологий, позволяющих создать логическую сеть поверх физической. Используется для обеспечения защиты трафика от перехвата злоумышленниками и безопасной деятельности в интернете. VPN открывает доступ к заблокированным ресурсам, так что многие готовы мириться с более низкой скоростью интернета и возможными логами программ. Хотя VPN использует довольно надежные алгоритмы шифрования, включение VPN-клиента на вашем ПК не гарантирует 100% сохранности конфиденциальной информации, поэтому следует внимательно отнестись к выбору VPN-провайдера.

Источник

Виртуализируя WAN, или Современная VPNология

Столкнувшись с ограничениями «старой доброй» VLAN, пользователи активно изучают возможности новых технологий VXLAN, NVGRE и STT, о которых «Журнал сетевых решений/LAN» подробно рассказывал в мартовском номере. Ну а что происходит с виртуализацией ресурсов в территориально распределенных сетях?

Виртуализация сетевых ресурсов сегодня «в тренде». Столкнувшись с ограничениями «старой доброй» VLAN, пользователи активно изучают возможности новых технологий VXLAN, NVGRE и STT, о которых «Журнал сетевых решений/LAN» подробно рассказывал в мартовском номере. Ну а что происходит с виртуализацией ресурсов в территориально распределенных сетях?

Виртуализация канальных ресурсов территориально распределенных сетей (WAN) началась давным-давно, с появлением технологий Frame Relay и АТМ. Они позволяли предоставлять корпоративным пользователям аналог частной сети (выделенный ресурс) на основе сети общего пользования оператора связи (разделяемый ресурс), в чем, собственно говоря, и состоит суть построения виртуальных частных сетей (VPN). Однако сегодня Frame Relay и АТМ ушли в прошлое, а в мире распределенных сетей правят бал Ethernet и IP. Современные технологии VPN позволяют вне зависимости от расстояния между узлами эмулировать коммутатор Ethernet (L2 VPN) или маршрутизируемую IP-сеть (L3 VPN).

Стремительный рост рынка услуг VPN начался с появлением технологии MPLS. В России первые услуги VPN на базе этой технологии начали предоставлять в 2001 году такие компании, как «Раском», «Транстелеком», Orange Business Services и Telia Sonera. Через пару лет к этому перечню присоединился «РТКомм», а в 2005 году услуги на базе собственной сети MPLS начал предоставлять и «Ростелеком».

Согласно данным, которые приводит Orange Business Services, объем российского рынка услуг VPN в 2012 году составил около 25 млрд рублей, а его годовой прирост — 19%. Наибольшим спросом у заказчиков пользуются услуги IP VPN, на которые приходится 85% рынка. Доля услуг L2 (Ethernet) VPN — 15%, но, по прогнозу, в ближайшие годы спрос на этот тип виртуальных частных сетей будет расти быстрее, чем на IP VPN. Согласно приведенным данным, в период с 2011 по 2016 год средний темп роста рынка услуг L2 VPN составит 26%, а услуг IP VPN — 16% (см. Рисунок 1).

Читайте также:  Обновления драйвера wifi на ноутбуке
Рисунок 1. Объем рынка услуг Ethernet и IP VPN в 2009–2011 годах и прогноз до 2016 года (млн руб.).

L2 VPN, ИЛИ РАСПРЕДЕЛЕННЫЙ ETHERNET

В категорию L2 VPN входит широкий набор сервисов: от эмуляции выделенных каналов точка – точка (E-Line) до организации многоточечных соединений и эмуляции функций коммутатора Ethernet (E-LAN, VPLS). Технологии L2 VPN «прозрачны» для протоколов вышележащих уровней, поэтому позволяют передавать, например, трафик IPv4 или IPv6 независимо от того, какую версию протокола IP использует оператор. Их «низкоуровневость» положительно проявляет себя и в тех случаях, когда необходимо передавать трафик SNA, NetBIOS, SPX/IPX. Однако сейчас, в период всеобщей «айпизации», эти возможности требуются все реже. Пройдет еще какое-то время, и новое поколение сетевых специалистов вообще, наверное, не будет знать, что были времена, когда в сетях «господствовали» ОС NetWare и протоколы SPX/IPX.

Сервисы L2 VPN обычно используются для построения корпоративных сетей в рамках одного города (или города и ближайших окрестностей), поэтому часто это понятие воспринимается почти как синоним термина Metro Ethernet. Для таких сервисов характерны большие скорости каналов при меньшей (по сравнению с L3 VPN) стоимости соединения. Достоинствами L2 VPN являются также поддержка кадров увеличенного размера (jumbo frame), относительная простота и дешевизна оборудования клиента, устанавливаемого на границе с провайдером (L2).

Рост популярности сервисов L2 VPN во многом связан с потребностями отказоустойчивых территориально распределенных ЦОД: для «путешествий» виртуальных машин требуется прямое подключение между узлами на уровне L2. Такие сервисы, по сути, позволяют растянуть домен L2. Это хорошо отлаженные решения, но часто требующие сложной настройки. В частности, при подключении ЦОД к сети сервис-провайдера в нескольких точках — а это крайне желательно для повышения отказоустойчивости — требуется задействовать дополнительные механизмы, чтобы обеспечить оптимальную загрузку соединений и исключить возникновение «петель коммутации».

Существуют и решения, разработанные специально для межсоединения сетей ЦОД на уровне L2, — например, технология Overlay Transport Virtualization (OTV), реализованная в коммутаторах Cisco Nexus. Она функционирует поверх сетей IP, используя все преимущества маршрутизации на уровне L3: хорошую масштабируемость, высокую отказоустойчивость, подключение в нескольких точках, передачу трафика по множеству путей и пр. (подробнее см. статью автора «На магистралях интерЦОД» в ноябрьском номере «Журнала сетевых решений/LAN» за 2010 год).

L2 ИЛИ L3 VPN

Если в случае покупки услуг L2 VPN предприятию придется самому заботиться о маршрутизации трафика между своими узлами, то в системах L3 VPN эту задачу решает сервис-провайдер. Главное предназначение L3 VPN — соединение площадок, находящихся в разных городах, на большом удалении друг от друга. Эти услуги, как правило, характеризуются большей стоимостью подключения (поскольку задействуется маршрутизатор, а не коммутатор), высокой арендной платой и небольшой пропускной способностью (обычно до 2 Мбит/с). Цена может значительно возрастать в зависимости от расстояния между точками подключения.

Важным достоинством L3 VPN является поддержка функций QoS и инжиниринга трафика, что позволяет гарантировать требуемый уровень качества для сервисов IP-телефонии и видео-конференц-связи. Их недостаток — непрозрачность для услуг Ethernet, отсутствие поддержки кадров Ethernet увеличенного размера, а также более высокая стоимость по сравнению с сервисами Metro Ethernet.

Заметим, что технология MPLS может применяться для организации и L2, и L3 VPN. Уровень услуги VPN определяется не уровнем используемой для нее технологии (MPLS вообще сложно отнести к какому-то определенному уровню модели OSI, скорее это технология L2,5), а «потребительскими свойствами»: если сеть оператора маршрутизирует клиентский трафик, значит, это L3, если эмулирует соединения канального уровня (или функции коммутатора Ethernet) — L2. При этом для формирования L2 VPN могут применяться и другие технологии, например 802.1ad Provider Bridging или 802.1ah Provider Backbone Bridges.

Решения 802.1ad Provider Bridging, известные также под множеством других названий (vMAN, Q-in-Q, Tag Stacking, VLAN Stacking), позволяют добавлять в кадр Ethernet второй тег 802.1Q VLAN. Сервис-провайдер может игнорировать внутренние теги VLAN, установленные оборудованием клиента, — для пересылки трафика достаточно внешних тегов. Эта технология снимает ограничение в 4096 идентификаторов VLAN, имеющее место в классической технологии Ethernet, что существенно повышает масштабируемость сервисов. Решения 802.1ah Provider Backbone Bridges (PBB) предусматривают добавление в кадр второго МАС-адреса, при этом МАС-адреса конечного оборудования оказываются скрыты от магистральных коммутаторов. PBB предоставляет до 16 млн идентификаторов сервисов.

С ПРОВАЙДЕРОМ ИЛИ БЕЗ?

Реализация рассмотренных выше вариантов сетей VPN невозможна без участия оборудования сервис-провайдера, поскольку только оно может, например, обеспечить необходимую пересылку потоков по меткам MPLS. По сути, в этом случае технология VPN неразрывно связана с услугой VPN, предоставляемой оператором. Но далеко не все компании готовы вступать в столь серьезные, и, соответственно, требующие немалых затрат «отношения» с операторами. Многие, особенно небольшие, компании довольствуются обычным Интернетом, через который сами организуют закрытые каналы. В таком сценарии наибольшей популярностью пользуется протокол IPsec, который также позволяет формировать L3 VPN.

Чтобы установить защищенное соединение IPsec, оба участника сеанса должны иметь возможность быстро согласовать параметры безопасности, такие как алгоритмы аутентификации и ключи, для чего используют стандарт Internet Key Exchange (IKE). В качестве алгоритмов шифрования могут применяться 56- или 168-разрядные варианты DES либо Advanced Encryption Standard (AES). Работая на сетевом уровне, IPsec, как и другие рассмотренные выше технологии, не требует какой-либо модификации процедур вышележащих уровней и приложений. В сетях IPsec VPN можно дополнительно задействовать различные механизмы защиты (например, для аутентификации, проверки целостности, дополнительного шифрования и пр.), что придает данному решению высокую степень гибкости.

Однако при всех своих преимуществах, IPsec не свободен и от недостатков. Для шифрования/дешифрования трафика требуется немалая процессорная мощность на конечных точках (шлюзах). Большое число конфигурационных опций не только делают IPsec очень гибким, но и повышают сложность развертывания и обслуживания соответствующих систем. Возможны проблемы с прохождением трафиком IPsec межсетевых экранов, которые могут блокировать используемые этим механизмом протокольные порты UDP. В отличие от технологии SSL, о которой речь пойдет дальше, для формирования туннеля IPsec на компьютере должен быть установлен соответствующий программный клиент, что повышает стоимость решения и усложняет процедуры администрирования.

Как уже отмечалось, при использовании IPsec компаниям достаточно только подключения к Интернету — никаких дополнительных услуг от оператора не требуется. Однако в мире существует немало примеров, когда оператор помогает заказчикам строить сети IPsec, беря на себя заботу по инсталляции и настройке конечных шлюзов IPsec, получению лицензий на использование шифрования, подключению по IPsec узлов к имеющейся корпоративной сети VPN (например, MPLS) и пр. В России подобные услуги под названием Internet VPN с марта 2013 года начала предоставлять компания Orange Business Services.

Читайте также:  Какие пароли от wifi на телефоне

Основной вариант предоставления услуги подразумевает подключение по закрытому каналу через Интернет до специальных шлюзов, установленных в ЦОД компании Orange, через которые (шлюзы) осуществляется выход в корпоративную сеть VPN. Использование технологии DMVPN позволяет также устанавливать прямые VPN-соединения в обход этих шлюзов (см. Рисунок 2). Поскольку для пользования услугой достаточно любого подключения к Интернету, специалисты Orange рекомендуют использовать ее только для передачи данных. Хотя очевидно, что при наличии широкого канала доступа ничто не мешает «гонять» по нему также голос и видео.

Рисунок 2. Примеры подключения офисов с использованием услуги Internet VPN.

Как рассказывают представители компании, ей пришлось пройти непростой путь получения лицензии на инсталляцию шифровального оборудования, необходимого для предоставления услуги Internet VPN. В настоящий момент услуга предусматривает установку у заказчика устройства Cisco 881 или 1941, но уже в скором будущем планируется расширить функциональность услуги и сделать возможным подключение не только удаленных офисов, но и отдельных пользователей, в том числе с помощью смартфонов и планшетов популярных платформ Apple, Android и Microsoft. В качестве типовых примеров применения услуги Internet VPN представители Orange называют подключение небольших офисов в тех случаях, когда затраты на «последнюю милю» не позволяют задействовать услугу Business VPN, организацию временного решения на срок строительства «последней мили» или резервное подключение офиса.

SSL: КОГДА КЛИЕНТ НЕ НУЖЕН

В качестве основной альтернативы IPsec при построении собственных сетей VPN — без обращения к специальным механизмам провайдеров — служит протокол защищенных сокетов (Secure Sockets Layer, SSL). Его первая версия — от Netscape — появилась еще в 1994 году. Спустя два года вышел усовершенствованный вариант SSL 3.0, ставший основой протокола Transport Layer Security (TLS, IETF RFC 2246, 1999 год). SSL VPN позволяет работать через защищенное соединение с помощью обычного браузера, а механизм безопасного транспорта SSL/HTTPS — стандартный компонент популярных браузеров (подробнее про SSL см. статью Сергея Орлова «Виртуальные частные сети: от IPSec к SSL» в мартовском номере «Журнала сетевых решений/LAN» за 2008 год).

Технология SSL VPN предусматривает различные модели доступа: как без клиентского ПО, так и с применением клиента в виде загружаемого после аутентификации апплета Java/ActiveX. Возможность работы без установки клиента делает ее оптимальным вариантом для безопасного доступа с самых разнообразных устройств: ноутбуков, планшетов, смартфонов и пр.

Помимо этого, у SSL есть еще масса преимуществ. Как отмечают специалисты компании Stonesoft, разработчика комплексного решения SSL, сертифицированного ФСБ и ФСТЭК России, — даже при использовании специального клиента SSL, как правило, потребность в каких-то его настройках не требуется. Кроме того, при применении SSL не возникает проблем с системами NAT и межсетевыми экранами: протокольный порт для SSL, 443, как правило, везде открыт. Доступ можно организовать через портал: после аутентификации пользователь попадает на страницу корпоративного портала и работает с разрешенными приложениями в соответствии со своими правами, что позволяет реализовать строгую политику безопасности при максимальном удобстве для пользователя.

НОВОЕ СЛОВО: ПРОГРАММНО ОПРЕДЕЛЯЕМЫЕ VPN

Одним из важных шагов в деле развития технологий и услуг VPN может стать использование преимуществ концепции так называемых программно определяемых сетей SDN (подробнее про SDN см. статью автора «SDN: кому и зачем это надо?» в декабрьском номере «Журнала сетевых решений/LAN» за 2012 год). По крайней мере одна компания, Nuage Networks (принадлежит Alcatel-Lucent), уже разработала и реализует идею Software Defined VPN (SD-VPN), обещая представить соответствующие коммерческие продукты в ближайшее время.

Согласно концепции SD-VPN (см. Рисунок 3), конечная точка предоставления сервиса переносится с пограничного маршрутизатора провайдера (Provider Edge, PE) на виртуализированное устройство CPE с простыми функциями по пересылке трафика. Оба элемента программируются внешним контроллером сетевых сервисов, который взаимодействует с другими контроллерами для формирования масштабируемой федерации VPN. Чтобы гарантировать предоставление сервисов из конца в конец (end-to-end), будет обеспечена бесшовная связность между традиционными сетями MPLS VPN и сетями SD-VPN.

Рисунок 3. Сравнение традиционных (MPLS VPN) и программно определяемых сетей VPN (SD-VPN).

Как отмечают специалисты Nuage Networks, сервис-провайдеры могут поддерживать высокопроизводительные соединения MPLS VPN между региональными офисами и ЦОД, а для оперативного подключения новых офисов в режиме по требованию — задействовать соединения SD-VPN (особенно там, где во главу угла ставятся простота эксплуатации и невысокая стоимость). При этом можно будет использовать массово выпускаемые и простые (значит, недорогие) устройства CPE, а использование основанных на политиках триггерных механизмов значительно сократит время внедрения VPN, равно как и эксплуатационные расходы. Кроме того, сервис-провайдеры смогут быстро повысить доход от продажи дополнительных сервисов путем оперативного добавления «продвинутых» функций к имеющимся сетевым сервисам. При этом для дополнительных сервисов будут использоваться вычислительные платформы общего назначения, а не дорогостоящие специализированные устройства.

Технология SD-VPN даст преимущества и в том случае, когда предприятие предпочитает строить собственные сети VPN, а не приобретать сервисы VPN у операторов. При использовании традиционных подходов, например на базе IPsec, чтобы обеспечить связность «каждый с каждым», сетевые отделы предприятий вынуждены вручную организовывать туннели между узлами. При добавлении нового узла необходимо проложить туннели ко всем другим узлам. Все это сложные процедуры, на которые требуется много времени. В случае использования SD-VPN организация дополнительных туннелей происходит автоматически. Полная связность — между всеми узлами, а также для доступа к публичным, частным и гибридным облакам — обеспечивается изначально. При добавлении в корпоративную сеть новых узлов связи динамически обновляются (см. Рисунок 4).

Рисунок 4. Сравнение традиционных VPN и SDVPN при использовании предприятиями в режиме самообслуживания (DIY).

Как видим, мир технологий и реализаций VPN весьма многообразен. Единого решения, оптимального для всех ситуаций, конечно, нет — более того, сочетание нескольких технологий часто становится наилучшим вариантом. Для обеспечения безопасности при доступе с мобильных устройств удобен SSL, а для «инфраструктурных проектов», когда необходимо обеспечить взаимодействие между офисами, всегда можно подобрать вариант L2 или L3 VPN. Если разработчики выполнят свои обещания, SD-VPN позволит повысить гибкость и автоматизировать процессы развертывания и обслуживания VPN. Будем ждать появления коммерческих продуктов и их внедрения.

Источник