МИНИСТЕРСТВО ПО РАЗВИТИЮ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И КОММУНИКАЦИЙ РЕСПУБЛИКИ УЗБЕКИСТАН НУКУСCКИЙ ФИЛИАЛ ТАШКЕНТСКОГО УНИВЕРСИТЕТА ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ИМЕНИ МУХАММАДА АЛХОРАЗМИЙ Кафедра «Информационная безопасность» Направление 5330300 - Информационная безопасность Допускается к защите Заведующий кафедрой Бердимбетов Т.Т. ___________ «_____» _____________ 2023 г. ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА на тему «Количественные оценки уровней опасностей и угроз в комплексной системе защиты информации и их зависимость от различных факторов» Выполнила: А.Б.Алланазаров Научный руководитель: К.Сеитназаров НУКУС 2023 г. МИНИСТЕРСТВО РАЗВИТИЯ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И КОММУНИКАЦИЙ РЕСПУБЛИКИ УЗБЕКИСТАН НУКУСCКИЙ ФИЛИАЛ ТАШКЕНТСКОГО УНИВЕРСИТЕТА ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ИМЕНИ МУХАММАДА АЛХОРАЗМИЙ ФАКУЛЬТЕТ ТЕЛЕКОММУНИКАЦИОННЫЕ ТЕХНОЛОГИИ И ПРОФЕССИОНАЛЬНОЕ ОБРАЗОВАНИЕ КАФЕДРА «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» УТВЕРЖДАЮ Зав. кафедрой ___________ «____» __________ 2022 г. ЗАДАНИЕ на выпускную квалификационную работу студентки Алланазаров Алишер Бекмуратовича по теме «Разработка проекта по созданию защищенной корпоративной сети с применением технологий VPN» Тема утверждена приказом НФ ТУИТ от «____» __________ 202__г. Срок сдачи законченной работы: «____» _____________ 202__ г. Исходные данные к работе: материалы дипломной практики, лекционные материалы, научные книги и материалы из интернета. Содержание расчётно-пояснительной записки: Введение Глава I. Обзор решение проблемы корпоративный сети с применением технологий VPN. Глава II. Организация корпоративный сети на основе VPN Глава III. Апробация разработанного программного комплекса. 4.1. Создание нагрузочной сети и подготовка сервера. Заключение Список использованных источников Дата выдачи задания «____» __________ 2023 Руководитель__________ Задание принял __________ 2 Консультанты по отдельным разделам выпускной работы Наименование Руководитель Подпись, дата главы (консультант) Задание выдал Задание получил Глава I К.Сеитназаров Глава II К.Сеитназаров Глава III К.Сеитназаров № График выполнения работы Наименование главы Подпись Срок руководителя выполнения (консультанта) 1. Обзор решение проблемы корпоративный сети с применением технологий VPN. 2. Организация корпоративный сети на основе VPN. 3. Результаты создания проекта корпоративный сети с применением 4. VPN технологий. Подготовка презентаций для защиты. Выпускник _______________ «____»__________2023 г. Руководитель _______________ 3 Аннотация На текущий момент использование VPN соединения является популярным среди пользователей сети Интернет. 2023 год показал необходимость создания корпоративной удаленной сети для организаций всех сфер. Технология VPN позволяет с помощью специальных программ объеденить отдельные компьютеры и локальные сети для защиты передаваемой информации. При соединении с сервером, находящимся в сети общего доступа, VPN технология формирует канал, защищающий информацию с помощью алгоритмов шифрования. Abstract Currently, the use of a VPN connection is popular among Internet users. 2023 showed the need to create a corporate remote network for organizations in all areas. VPN technology allows using special programs to unite individual computers and local networks to protect transmitted information. When connecting to a server located on a public network, VPN technology forms a channel that protects information using encryption algorithms. 4 Содержание ВВЕДЕНИЕ Глава 1. Обзор решение проблемы корпоративный сети с применением технологий VPN. 1.1 Понятие корпоративной сети. 1.2. Исследования корпоративной сети. 1.3. Актуальность создания проекта корпоративной сети на основе VPN. Глава 2. Организация корпоративный сети на основе VPN. 2.1. Различные сценарии использования корпоративной сети на основе VPN. 2.2. Преимущества и недостатки использования корпоративной сети с помощью VPN. 2.3. Безопасности корпоративной сети на базе VPN. Глава 3. Апробация разработанного программного комплекса. 3.1. Корпоративной сети и их топологий. 3.2. Программная часть корпоративной сети. 3.3. Физическая часть корпоративной сети. ЗАКЛЮЧЕНИЕ СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 5 Введение Создание защищенной корпоративной сети - это одна из основных задач, которые стоят перед компаниями в современном бизнесе. Как правило, корпоративная сеть включает в себя центральный сервер, локальные сети филиалов, а также удаленных пользователей. Для обеспечения безопасности передаваемой информации часто применяются технологии виртуальной частной сети (VPN). Основными задачами проекта являются. В соответствии с программой дисциплины «Защищенные корпоративные сети», раздел «Задачи по защите корпоративных сетей». Информация как результат обработки, передачи и хранения определяет действия людей, которые с ней работают и сложность технического и программного обеспечения, созданного человеком для защиты информации, так как последствия потери, подлога или хищения данных, хранящихся в вычислительных системах, а также нарушения работоспособности самих вычислительных средств могут быть очень высоки. Обеспечение безопасности данных в корпоративных вычислительных сетях также подчиняется общей концепции информационной безопасности. Это концепция гласит, что составляющими информационной безопасности являются три задачи: – обеспечение целостности информации; – обеспечение доступности информации; – обеспечение конфиденциальности. Целостность информации условно подразделяется на статическую и динамическую. Статическая целостность информации предполагает неизменность информационных объектов от их исходного состояния, определяемого автором или источником информации. Динамическая целостность информации включает вопросы корректного выполнения сложных действий с информационными потоками, например, анализ потока сообщений для выявления некорректных, контроль правильности передачи сообщений, подтверждение отдельных сообщений и др. Целостность является важнейшим аспектом информационной безопасности в тех случаях, когда информация используется для управления различными процессами, например, техническими, социальными и т.д. Так, ошибка в управляющей программе приведет к остановке управляемой системы, неправильная трактовка закона может привести к его нарушениям, точно так же неточный перевод инструкции по применению лекарственного препарата может нанести вред здоровью. Все эти примеры иллюстрируют нарушение целостности информации, что может привести к катастрофическим последствиям. Именно поэтому целостность информации выделяется в качестве одной из базовых составляющих информационной безопасности. Целостность – гарантия того, что информация сейчас существует в её исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений. 4 Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К 6 сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем в России связана с серьезными трудностями. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Вовторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные и технические проблемы. Конфиденциальная информация есть практически во всех организациях. Это может быть технология производства, программный продукт, анкетные данные сотрудников и др. Применительно к вычислительным системам в обязательном порядке конфиденциальными данными являются пароли для доступа к системе. Конфиденциальность – гарантия доступности конкретной информации только тому кругу лиц, для кого она предназначена. Доступность – это гарантия получения требуемой информации или информационной услуги пользователем за определенное время. Нарушение каждой из трех категорий приводит к нарушению информационной безопасности в целом. Так, нарушение доступности приводит к отказу в доступе к информации, нарушение целостности - к фальсификации информации и, наконец, нарушение конфиденциальности - к раскрытию информации. Выделение этих категорий в качестве базовых составляющих информационной безопасности обусловлено необходимостью реализации комплексного подхода при обеспечении режима информационной безопасности. Кроме этого, нарушение одной из этих категорий может привести к нарушению или полной бесполезности двух других. Например, хищение пароля для доступа к компьютеру (нарушение конфиденциальности) может привести к его блокировке, уничтожению данных (нарушение доступности информации) или фальсификации информации, содержащейся в памяти компьютера (нарушение целостности информации). Угрозы целостности и конфиденциальности информации, а также работоспособности вычислительных систем могут быть выполнены при постоянном участии человека либо выполняться “злоумышленными” программами без непосредственного участия человека. Задачи по защите от реализации угроз одинаковы независимо от их типа и включают следующие этапы: 1) преграждение несанкционированного доступа к корпоративным ресурсам; 2) невозможность несанкционированного использования компьютерных ресурсов, если доступ к ним все-таки осуществлен; 5 3) своевременное обнаружение факта несанкционированных действий и устранение причины, а также последствия их реализации. Способы решения перечисленных задач по защите от несанкционированных действий со стороны людей и компьютерных программ существенно отличаются друг от друга. 7 Глава 1. Обзор решение проблемы корпоративный сети с применением технологий VPN. 1.1 Понятие корпоративной сети В настоящее время ни у кого не вызывает удивления повсеместное использование компьютеров: в офисах крупных компаний, в высших и средних учебных заведениях, дома. Везде где есть электрическая розетка, можно увидеть компьютер. Но прогресс идет вперед, и несколько лет назад показалось недостаточным использовать ресурсы только того компьютера, который стоит перед Вами. Захотелось присоединить к этому компьютеру еще и ресурсы, скажем компьютера соседа. Вот так и появилась мысль об объединении нескольких компьютеров. То, что в итоге получилось, стало называться сетью в самом широком смысле этого слова, которое теперь ни у кого не вызывает удивления или непонимания. Количество задач решаемых в сети огромно. Деятельность многих организаций и учебных заведений основана на использовании сети, как в локальном, так и в глобальном масштабе. Корпоративная сеть - это сеть, главным назначением которой является обеспечение функционирования конкретного предприятия, владеющего данной сетью. Пользователями корпоративной сети являются только сотрудники данного предприятия. В отличие от сетей операторов связи, корпоративные сети, в общем случае, не оказывают услуг другим организациям или пользователям. В зависимости от масштаба предприятия, а также от сложности и многообразия решаемых задач различают сети отдела, сети кампуса и корпоративные сети (термин "корпоративные" в данной классификации приобретает узкое значение - сеть большого предприятия). Прежде чем обсуждать характерные особенности каждого из перечисленных типов сетей, остановимся на тех факторах, которые заставляют предприятия обзаводиться собственной компьютерной сетью. Если не вдаваться в подробности, то конечной целью использования компьютерных сетей на предприятии является повышение эффективности его работы, которое может выражаться, например, в увеличении прибыли. Действительно, если благодаря компьютеризации снизились затраты на производство уже существующего продукта, сократились сроки разработки новой модели или ускорилось обслуживание заказов потребителей - это означает, что данному предприятию в самом деле нужна была сеть. Концептуальным преимуществом сетей, которое вытекает из их принадлежности к распределенным системам, перед автономно работающими компьютерами является их способность выполнять параллельные вычисления. За счет этого в системе с несколькими обрабатывающими узлами в принципе можно достичь производительности, превышающей максимально возможную на данный момент производительность любого отдельного, сколь угодно мощного, процессора. Распределенные системы потенциально имеют лучшее соотношение производительность/стоимость, чем централизованные системы. 8 Еще одно очевидное и важное достоинство распределенных систем - это их более высокая отказоустойчивость. Под отказоустойчивостью следует понимать способность системы выполнять свои функции (может быть, не в полном объеме) при отказах отдельных элементов аппаратуры и неполной доступности данных. Основой повышенной отказоустойчивости распределенных систем является избыточность. Избыточность обрабатывающих узлов (процессоров в многопроцессорных системах или компьютеров в сетях) позволяет при отказе одного узла переназначать приписанные ему задачи на другие узлы. С этой целью в распределенной системе могут быть предусмотрены процедуры динамической или статической реконфигурации. В вычислительных сетях некоторые наборы данных могут дублироваться на внешних запоминающих устройствах нескольких компьютеров сети, так что при отказе одного из них данные остаются доступными. Использование территориально распределенных вычислительных систем больше соответствует распределенному характеру прикладных задач в некоторых предметных областях, таких как автоматизация технологических процессов, банковская деятельность и т. п. Во всех этих случаях имеются рассредоточенные по некоторой территории отдельные потребители информации - сотрудники, организации или технологические установки. Эти потребители автономно решают свои задачи, поэтому следовало бы предоставлять им собственные вычислительные средства, но в то же время, поскольку решаемые ими задачи логически тесно взаимосвязаны, их вычислительные средства должны быть объединены в общую систему. Оптимальным решением в такой ситуации является использование вычислительной сети. Для пользователя распределенные системы дают еще и такие преимущества, как возможность совместного использования данных и устройств, а также возможность гибкого распределения работ по всей системе. Такое разделение дорогостоящих периферийных устройств - таких как дисковые массивы большой емкости, цветные принтеры, графопостроители, модемы, оптические диски - во многих случаях является основной причиной развертывания сети на предприятии. Пользователь современной вычислительной сети работает за своим компьютером, часто не отдавая себе отчета в том, что он пользуется данными другого мощного компьютера, находящегося за сотни километров от него. Он отправляет электронную почту через модем, подключенный к коммуникационному серверу, общему для нескольких отделов его предприятия. У пользователя создается впечатление, что эти ресурсы подключены непосредственно к его компьютеру или же "почти" подключены, так как для работы с ними нужны незначительные дополнительные действия по сравнению с использованием действительно собственных ресурсов. В последнее время стал преобладать другой побудительный мотив развертывания сетей, гораздо более важный в современных условиях, чем 9 экономия средств за счет разделения между сотрудниками корпорации дорогой аппаратуры или программ. Этим мотивом стало стремление обеспечить сотрудникам оперативный доступ к обширной корпоративной информации. В условиях жесткой конкурентной борьбы в любом секторе рынка выигрывает, в конечном счете, та компания, сотрудники которой могут быстро и правильно ответить на любой вопрос клиента - о возможностях их продукции, об условиях ее применения, о решении различных проблем и т. п. На крупном предприятии даже хороший менеджер вряд ли знает все характеристики каждого из выпускаемых продуктов, тем более что их номенклатура может обновляться каждый квартал, если не месяц. Поэтому очень важно, чтобы менеджер имел возможность со своего компьютера, подключенного к корпоративной сети, скажем, в Магадане, передать вопрос клиента на сервер, расположенный в центральном отделении предприятия в Новосибирске, и оперативно получить ответ, удовлетворяющий клиента. В таком случае клиент не обратится в другую компанию, а будет пользоваться услугами данного менеджера и впредь. Использование сети приводит к совершенствованию коммуникаций между сотрудниками предприятия, а также его клиентами и поставщиками. Сети снижают потребность предприятий в других формах передачи информации, таких как телефон или обычная почта. Зачастую именно возможность организации электронной почты является одной из причин развертывания на предприятии вычислительной сети. Все большее распространение получают новые технологии, которые позволяют передавать по сетевым каналам связи не только компьютерные данные, но и голосовую и видеоинформацию. Корпоративная сеть, которая интегрирует данные и мультимедийную информацию, может использоваться для организации аудиои видеоконференций, кроме того, на ее основе может быть создана собственная внутренняя телефонная сеть. Преимущества, которые дает использование сетей: • Интегральное преимущество - повышение эффективности работы предприятия. • Способность выполнять параллельные вычисления, за счет чего может быть повышена производительность и отказоустойчивость. • Большее соответствие распределенному характеру некоторых прикладных задач. • Возможность совместного использования данных и устройств. • Возможность гибкого распределения работ по всей системе. • Оперативный доступ к обширной корпоративной информации. • Совершенствование коммуникаций. Недостатки: • Сложность разработки системного и прикладного программного обеспечения для распределенных систем. • Проблемы с производительностью и надежностью передачи данных по сети. 10 • Проблема обеспечения безопасности. Конечно, при использовании вычислительных сетей возникают и проблемы, связанные в основном с организацией эффективного взаимодействия отдельных частей распределенной системы. Во-первых, это неполадки в программном обеспечении: операционных системах и приложениях. Программирование для распределенных систем принципиально отличается от программирования для централизованных систем. Так, сетевая операционная система, выполняя в общем случае все функции по управлению локальными ресурсами компьютера, сверх того решает многочисленные задачи, связанные с предоставлением сетевых услуг. Разработка сетевых приложений осложняется из-за необходимости организовать совместную работу их частей, выполняющихся на разных машинах. Массу хлопот доставляет и обеспечение совместимости программного обеспечения, устанавливаемого в узлах сети. Во-вторых, много проблем связано с транспортировкой сообщений по каналам связи между компьютерами. Основные задачи здесь - обеспечение надежности (чтобы передаваемые данные не терялись и не искажались) и производительности (чтобы обмен данными происходил с приемлемыми задержками). В структуре общих затрат на вычислительную сеть расходы на решение "транспортных вопросов" составляют существенную часть, в то время как в централизованных системах эти проблемы полностью отсутствуют. В-третьих, это вопросы, связанные с обеспечением безопасности, которые гораздо сложнее решать в вычислительной сети, чем в автономно работающем компьютере. В некоторых случаях, когда безопасность особенно важна, от использования сети лучше отказаться. Можно приводить еще много "за" и "против", но главным доказательством эффективности использования сетей является бесспорный факт их повсеместного распространения. Сегодня трудно найти предприятие, на котором нет хотя бы односегментной сети персональных компьютеров; все больше и больше появляется сетей с сотнями рабочих станций и десятками серверов, некоторые крупные организации обзаводятся частными глобальными сетями, объединяющими их филиалы, удаленные на тысячи километров. В каждом конкретном случае для создания сети были свои основания, но верно и общее утверждение: что-то в этих сетях все-таки есть. 11 Выводы Корпоративная вычислительная сеть - это совокупность компьютеров, соединенных линиями связи. Линии связи образованы кабелями, сетевыми адаптерами и другими коммуникационными устройствами. Все сетевое оборудование работает под управлением системного и прикладного программного обеспечения. Основная цель вычислительной сети - обеспечить её пользователям потенциальную возможность совместного использования ресурсов всех компьютеров. В стеке TCP/IP используются три типа адресов: локальные (называемые также аппаратными), IP-адреса и символьные доменные имена. Все эти типы адресов присваиваются узлам составной сети независимодруг от друга.IP-адрес имеет длину 4 байта и состоит из номера сети и номера узла. Для определения границы, отделяющей номер сети от номера узла,реализуются два подхода. Первый основан на понятии класса адреса, второй - на использовании масок. Класс адреса определяется значениями нескольких первых бит адреса. В адресах класса А под номер сети отводится один байт, а остальные три байта - под номер узла, поэтому они используются в самых больших сетях. Для небольших сетей больше подходят адреса класса С, в которых номер сети занимает три байта, а для нумерации узлов может быть использован только один байт. Промежуточное положение занимают адреса класса В. Другой способ определения, какая часть адреса является номером сети, а какая номером узла, основан на использовании маски. Маска - это число, которое используется в паре с IP-адресом; двоичная запись маски 24 содержит единицы в тех разрядах, которые в IP-адресе должны интерпретироваться как номер сети.В стеке TCP/IP применяется доменная система символьных имен, которая имеет иерархическую древовидную структуру, допускающую использование в имени произвольного количества составных частей.Совокупность имен, у которых несколько старших составных частей совпадают, образуют домен имен. Доменные имена назначаются централизованно, если сеть является частью Internet, в противном случае - локально. Соответствие между доменными именами и IP-адресами может устанавливаться как средствами локального хоста с использованием файла hosts, так и с помощью централизованной службы DNS, основанной на распределенной базе отображений «доменное имя - IP-адрес». 12 1.2. Исследования корпоративной сети Исследование корпоративной сети является важным процессом в области сетевых технологий и информационной безопасности. Оно направлено на анализ инфраструктуры корпоративной сети, устройств, программного обеспечения и передаваемых по сети данных для выявления существующих проблем и потенциальных уязвимостей, а также для оптимизации работы сети и повышения ее безопасности. Исследование корпоративной сети может включать в себя такие процессы, как сбор информации о сетевых устройствах и их настройках, сканирование портов и сервисов, анализ трафика и протоколов, проверку систем аутентификации и авторизации, а также тестирование на проникновение и другие методы. Основной целью исследования корпоративной сети является выявление уязвимостей и проблем в работе сети, которые могут привести к нарушению безопасности и утечке конфиденциальных данных. Это позволяет принять меры по устранению выявленных проблем и повысить уровень безопасности сети. Кроме того, исследование корпоративной сети может помочь оптимизировать работу сети и улучшить качество обслуживания пользователей. Это может быть достигнуто путем выявления проблем производительности, оптимизации настроек сетевых устройств и протоколов, а также распределения нагрузки на сеть. Таким образом, исследование корпоративной сети является важным инструментом для повышения безопасности и оптимизации работы корпоративных сетей. Оно может быть проведено как внутренними сотрудниками компании, так и внешними специалистами с использованием различных инструментов и методик. Сети отделов - это сети, которые используются сравнительно небольшой группой сотрудников, работающих в одном отделе предприятия. Эти сотрудники решают некоторые общие задачи, например ведут бухгалтерский учет или занимаются маркетингом. Считается, что отдел может насчитывать до 100-150 сотрудников. Главной целью сети отдела является разделение локальных ресурсов, таких как приложения, данные, лазерные принтеры и модемы. Обычно сети отделов имеют один или два файловых сервера, не более тридцати пользователей (рис. 1) и не разделяются на подсети. В этих сетях локализуется большая часть трафика предприятия. Сети отделов обычно создаются на основе какой-либо одной сетевой технологии - Ethernet, Token Ring. В такой сети чаще всего используется один или, максимум, два типа операционных систем. Небольшое количество пользователей позволяет применять в сетях отделов одноранговые сетевые ОС, например Windows 98. 13 Рис 1. Пример сети масштаба отдела. Задачи управления сетью на уровне отдела относительно просты: добавление новых пользователей, устранение простых отказов, инсталляция новых узлов и установка новых версий программного обеспечения. Такой сетью может управлять сотрудник, посвящающий выполнению обязанностей администратора только часть своего времени. Чаще всего администратор сети отдела не имеет специальной подготовки, но является тем человеком в отделе, который лучше всех разбирается в компьютерах, и само собой получается так, что он и занимается администрированием сети. Существует и другой тип сетей, близкий к сетям отделов, - сети рабочих групп. К таким сетям относят совсем небольшие сети, включающие до 10-20 компьютеров. Характеристики сетей рабочих групп практически не отличаются от описанных выше характеристик сетей отделов. Такие свойства, как простота сети и однородность, здесь проявляются в наибольшей степени, в то время как сети отделов могут приближаться в некоторых случаях к следующему по масштабу типу сетей - сетям кампусов. Сети корпусов получили свое название от английского слова campus студенческий городок. Именно на территории университетских городков часто возникала необходимость в объединении нескольких мелких сетей в одну большую. Сейчас это название не связывают со студенческими городками, а используют для обозначения сетей любых предприятий и организаций. Сети корпуса объединяют множество сетей различных отделов одного предприятия в пределах отдельного здания или одной территории, покрывающей площадь в несколько квадратных километров. При этом глобальные соединения в сетях кампусов не используются. Службы такой сети включают взаимодействие между сетями отделов, доступ к общим базам данных предприятия, доступ к общим факс-серверам, высокоскоростным модемам и высокоскоростным принтерам. В результате сотрудники каждого отдела предприятия получают доступ к некоторым файлам и ресурсам сетей 14 других отделов. Сети кампусов обеспечивают доступ к корпоративным базам данных независимо от того, на каких типах компьютеров они располагаются. Рис.2. Пример сети корпуса. 15 Кроме того, исследование корпоративной сети также может включать анализ соответствия сети стандартам безопасности и законодательным требованиям. Например, в некоторых отраслях, таких как финансы, здравоохранение и правоохранительные органы, есть строгие требования к безопасности и конфиденциальности данных, которые должны соблюдаться. В процессе исследования корпоративной сети могут быть использованы различные инструменты и программы, такие как средства сканирования уязвимостей, снифферы для анализа трафика, программы для аудита безопасности и многие другие. Они позволяют выявлять и анализировать различные аспекты работы сети, такие как доступность сервисов, настройки устройств, используемые протоколы и многое другое. Одним из важных аспектов исследования корпоративной сети является также тестирование на проникновение (penetration testing). Это процесс, в ходе которого проводятся специальные атаки на сеть с целью выявления уязвимостей и оценки уровня защиты сети от внешних атак. Тестирование на проникновение помогает определить, насколько безопасна сеть компании и какие меры можно принять для ее улучшения. Важно отметить, что исследование корпоративной сети должно проводиться в соответствии с правилами и политиками компании и с согласия ее руководства. Также необходимо учитывать законодательные требования и обязательства по защите конфиденциальности данных, которые могут быть переданы по сети. 16 Выводы. Исходя из проведенного исследования корпоративной сети, можно сделать вывод о том, что эффективность работы и безопасность данных являются двумя важнейшими аспектами, которые необходимо учитывать при настройке и защите корпоративной сети. Для обеспечения безопасности корпоративной сети необходимо использовать различные методы защиты, такие как фаерволы, антивирусное программное обеспечение и виртуальные частные сети. Кроме того, необходимо обучать сотрудников правилам безопасности и контролировать их действия в сети. Таким образом, исследование корпоративной сети позволяет определить наиболее эффективные методы ее настройки и защиты, которые позволят обеспечить безопасность данных и повысить эффективность работы организации. Однако, необходимо постоянно отслеживать изменения в технологиях и методах атак на корпоративные сети, чтобы обеспечить их надежную защиту. 17 1.3. Актуальность создания проекта корпоративной сети на основе VPN. Хроника появления технологии виртуальных частных сетей VPN связана с возникновением услуги CENTREX с целью телефонных сетей. Centrex – это единое наименование метода, который дает услугу деловой взаимосвязи подобным абонентам, которые относятся нескольким фирмам и вместе применяют спецоборудование одной учрежденческой станции PBX (Private Branch Exchange). К главному преимуществу услуги Centrex относится в таком случае, то, что компания и фирма при формировании выделенной корпоративной сети бережет существенные ресурсы, которые нужны на приобретение, установку и использование своей станции. Не взирая на применение с целью взаимосвязи абонентов между собою сервис Centrex применяют ресурсы и спецоборудование сети единого использования, сами абоненты некоторые закрытые категории пользователей CUG (Closed Users Group), которые урезаны доступом извне, и с целью которых в станции сети реализуются виртуальные PBX.. Для уменьшения подобных ограничений в услуге Centrex была сформирована теория виртуальной частной сети VPN, которая группировала CUG, которые собирали 1 корпоративную сеть и были удаленно друг от друга. Средства сети VPN распределяются по нескольким станциям местной сети, которые оснащенны функциями услуги Centrex и обладающие в области собственного обслуживания 1 либо ряд CUG. При этом в станцию вводятся как PBX, которые напрямую относятся собственнику сети VPN, так и линии обыкновенных личных абонентов. Преимущества VPN: Плюсы технологии виртуальных сетей VPN достаточно широки и многие Компании начинают строить свою стратегию построения корпоративных сетей с учетом использования технологии Интернет в качестве главного средства для передачи информации, даже такой, которая будет являться очень уязвимой. При правильном выборе технологии VPN: − имеем защищенные каналы связи по цене сравнимой с ценой доступа в сеть Интернет, что является на порядок дешевле выделенных линий связи; − установка сети VPN не требует изменения топологии существующих сетей, а так же переписывания приложений, обучения пользователей – все это обеспечит значительную экономию; − обеспечивается масштабирование за счет сохранения ранее вложенных инвестиций; − независимость от криптографии и использование модулей криптографии любых производителей в соответствии с национальными стандартами той или иной страны; − открытые интерфейсы позволят интегрировать созданную сеть с другими программными продуктами и бизнес-приложениями. Недостатки VPN. 18 К минусу технологии относится сравнительно низкая надежность сети. Если сравнивать с выделенными линиями и сетями на основе технолгии Frame Relay, то виртуальные частные сети менее надежны, но в 5-10, а иногда и в 20 раз дешевле. Услуга виртуальных каналов сети VPN предоставляется и поддерживается обычно внешними операторами, что создает проблему со скоростью внесения изменений в базы доступа, а так же в настройки межсетевых экранов, а также с восстановлением вышедшего из строя оборудования. На сегодняшний день данная проблема решена путем указания в договорах максимального времени на устранение неполадок и внесения изменений. Обычно такое время составляет порядка нескольких часов, но иногда встречаются провайдеры, которые гарантируют устранение неполадок в течение одних суток. Еще один существенный недостаток - это отсутствие у потребителей удобных средств управления сетью VPN. В последнее время уже разрабатываются новые типы оборудования, которое позволит автоматизировать управление сети VPN. Среди таких лидеров данного процесса лидирует Компания Indus River Networks Inc., дочерняя компания MCI WorldCom и Novell. По словам аналитиков Forester Research, сети VPN должны контролироваться самими пользователями, а управляться компаниями-операторами, ну а задачей разработчиков программного обеспечения стоит решить данную проблему. Рост пандемии COVID-19 вызвал множество проблем, которые даже эксперты не ожидали увидеть, а скорость, с которой компании почти мгновенно перешли на цифровую платформу, выдвинула на первый план множество техноло- 68 гических потребностей, которые ранее игнорировались. Перед пандемией корпоративный VPN был роскошью, предоставляемой удаленным работникам и руководству высшего звена, которое составляло лишь небольшую часть персонал. Согласно исследованию OpenVPN, проведенному в 2019 году, 24 % компаний не обновляли свою политику безопасности удаленной работы более года, а 44 % говорят, что их ИТ-отдел не руководил планом политики безопасности удаленной работы. На текущий момент VPN предоставляет сотрудникам возможность работать удаленно, защищая при этом их личную информацию, включая их физическое местоположении и IP-адрес. Стоит отметить, что мир удаленной работы никуда не денется после пандемии. Организациям необходимо оценить текущую инфраструктуру безопасности на предмет слабых мест, которые остались без внимания во время внезапного перехода к удаленному доступу и начать планировать долгосрочную стратегию удаленной безопасности. Если раньше VPN были новаторскими технологическими решениями, то теперь они стали необходимыми инструментам. На базовом уровне VPN защищают вашу конфиденциальность в Интернете, поэтому вас нельзя преследовать или дискриминировать в зависимости от местоположения. VPN работают на уровне операционной системы, поэтому они перенаправляют весь трафик через 19 другие серверы. Материалы VPN позволяет удаленным устройствам, например, ноутбукам, работать так, как будто они находятся в одной локальной сети. Многие устройства VPN-маршрутизатора могут поддерживать десятки туннелей одновременно с использованием простых инструментов настройки, гарантируя всем сотрудникам доступ к данным компании, независимо от того, где они находятся. Для настройки корпоративной сети понадобится VPNклиент, VPN-сервер, VPN-маршрутизатор. Многие маршрутизаторы поставляются со встроенными клиентами VPN. Маршрутизатор должен подходить к требованиям безопасности. Двумя наиболее важными областями являются: шифрование и защита паролем. Необходимо выбрать наиболее безопасное шифрование, которое поддерживает маршрутизатор. После чего изменить пароль маршрутизатора. Несмотря на то, что смена пароля является банальным и обязательным во всех сферах IT, многие пренебрегают этим способом защиты. Далее из программного обеспечения роутера предоставляется доступ пользователям. Результаты Виртуальные частные сети защищают предприятия и пользователей, а также их конфиденциальные данные. Вот другие причины, по которым ваш бизнес может получить выгоду от VPN: удобство, лучшая безопасность, легкое администрирование. VPN – это удобный способ предоставить сотрудникам, в том числе удаленным, легкий доступ к вашей бизнес-сети без необходимости физического присутствия при сохранении безопасности частных сетей и бизнес-ресурсов. 69 Связь с VPNсоединением обеспечивает более высокий уровень безопасности по сравнению с другими методами удаленной связи, закрывая частные сети для людей, не имеющих авторизованного доступа. Фактические географические местоположения пользователей защищены и не доступны для публичных или общих сетей, таких как Интернет. С помощью гибких программных инструментов VPN легко добавлять новых пользователей или группы пользователей. Это хорошо для предприятий, которые растут быстрее, чем их бюджеты, поскольку это означает, что вы можете часто расширять сетевую площадь без добавления новых компонентов или создания сложных сетевых конфигураций . Непременным атрибутом корпоративной сети является высокая степень неоднородности (гетерогенности) - нельзя удовлетворить потребности тысяч пользователей с помощью однотипных программных и аппаратных средств. В корпоративной сети обязательно будут использоваться различные типы компьютеров - от мэйнфреймов до персоналок, несколько типов операционных систем и множество различных приложений. Неоднородные части корпоративной сети должны работать как единое целое, предоставляя пользователям по возможности удобный и простой доступ ко всем необходимым ресурсам. Сети предприятий (корпоративные сети) объединяют большое количество компьютеров на всех территориях отдельного предприятия. Для корпоративной сети характерны: 20 • масштабность - тысячи пользовательских компьютеров, сотни серверов, огромные объемы хранимых и передаваемых по линиям связи данных, множество разнообразных приложений; • высокая степень гетерогенности - различные типы компьютеров, коммуникационного оборудования, операционных систем и приложений; • использование глобальных связей - сети филиалов соединяются с помощью телекоммуникационных средств, в том числе телефонных каналов, радиоканалов, спутниковой связи. Появление корпоративных сетей - это хорошая иллюстрация известного постулата о переходе количества в качество. При объединении отдельных сетей крупного предприятия, имеющего филиалы в разных городах и даже странах, в единую сеть многие количественные характеристики объединенной сети переходят некоторый критический порог, за которым начинается новое качество. В этих условиях существующие методы и подходы к решению традиционных задач сетей меньших масштабов для корпоративных сетей оказались непригодными. На первый план вышли такие задачи и проблемы, которые в сетях рабочих групп, отделов и даже кампусов либо имели второстепенное значение, либо вообще не проявлялись. Примером может служить простейшая (для небольших сетей) задача - ведение учетных данных о пользователях сети. Наиболее простой способ ее решения - поместить учетные данные каждого пользователя в локальную базу учетных данных каждого компьютера, к ресурсам которого пользователь должен иметь доступ. При попытке доступа эти данные извлекаются из локальной учетной базы, и на их основе предоставляется или не предоставляется доступ. В небольшой сети, состоящей из 5-10 компьютеров и примерно такого же количества пользователей, такой способ работает очень хорошо. Но если в сети насчитывается несколько тысяч пользователей, каждому из которых нужен доступ к нескольким десяткам серверов, то, очевидно, это решение становится крайне неэффективным. Администратор должен повторить несколько десятков раз (по числу серверов) операцию занесения учетных данных каждого пользователя. Сам пользователь также вынужден повторять процедуру логического входа каждый раз, когда ему нужен доступ к ресурсам нового сервера. Хорошее решение этой проблемы для крупной сети - использовать централизованную справочную службу, в базе данных которой хранятся учетные записи всех пользователей сети. Администратор один раз выполняет операцию занесения данных пользователя в эту базу, а пользователь один раз выполняет процедуру логического входа, причем не в отдельный сервер, а в сеть целиком. При переходе от более простого типа сетей к более сложному - от сетей отдела к корпоративной сети - территория охвата увеличивается, поддерживать связи компьютеров становится все сложнее. По мере увеличения масштабов сети повышаются требования к ее надежности, производительности и функциональным возможностям. По сети циркулирует все возрастающее количество данных, и необходимо обеспечивать их безопасность и 21 защищенность наряду с доступностью. Все это приводит к тому, что корпоративные сети строятся на основе наиболее мощного и разнообразного оборудования и программного обеспечения. VPN (Virtual Private Network - виртуальная частная сеть) – в настоящее время одна из наиболее стремительно развивающихся и актуальных концепций построения корпоративных сетей. Внутри каждой общественной сети возможно создать защищенную виртуальную частную сеть, если защищенную информацию с помощью технологии VPN, передавать по незащищенным каналам связи. Передаваемая информация по VPN-каналам станет никак не доступна иным пользователям общественной сети. При помощи данной технологии сведения остаются секретными, как-будто они не выходят за границы своей вычислительной сети. Технология VPN обязана гарантировать: - защиту информации, передаваемой по сетям т.е. целостность, конфиденциальность и подлинность; - контроль над доступом ко всем ресурсам данной корпоративной сети; - безопасный доступ работников организации к сетям общего пользования; - централизованное управление политикой безопасности корпоративной сети. Корпоративные сети на основе технологии виртуальных частных сетей (VPN) подразделяются : По способу реализации: • - В виде особого программно-аппаратного обеспечения. • Реализация сети с технологией VPN осуществляется с помощью специального программно-аппаратного комплекса средств. Подобная реализация гарантирует значительную эффективность и, как правило, значительный уровень защищённости. • - В виде программного решения. • Применяются индивидуальный пк с особым программным обеспечением, гарантирующие функциональность VPN. • - Интегральное решение. • Функциональность технологии VPN гарантирует комплекс, решающий также проблемы фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания. 22 Интегриро ванное решение Сетевой программ ноаппаратно е решение программ ное решение Канальн ый По Способу реализаци и Транспо ртныый По уровню работы, относительн о модели ISO/OSI Классификация VPN По степени защищенн ости По типу протокола: Internet VPN. TCP/IP Доверит ельные Защище нные По назначению Remote Access VPN AppleTalk Extranet VPN. IPX Рис. 3. – Классификация VPN. По назначению: • Интернет VPN. Используются с целью организации в общую защищённую сеть нескольких распределённых филиалов одной компании, передающие сведения по открытым каналам связи. • Remote Access VPN: Применяют с целью формирования защищённого канала среди сегментом корпоративной сети т.е. между филиалами и центральным офисом организации, и единичным пользователем, который подключается к ресурсам организации с домашнего персонального компьютера, ноутбука, телефона и т.п. • -Extranet VPN. Необходим для подключения внешних пользователей, степень доверия к которым меньше, чем у работников данной организации. В связи с этим необходимо соблюдение требуемых правил, и создание рубежей защиты. • -Internet VPN. Применяется для предоставления доступа к сети интернет провайдерами, как правило в случаи если по 1-му физическому каналу подсоединяется ряд пользователей. В ADSL- подключениях стал стандартом протокол PPPoE. Протокол L2TP обширно распространялся в домовых сетях в 2000-х годах: в этот период локальный трафик никак не оплачивался, а внешний обходился недешево. Это предоставляло 23 возможность осуществлять контроль расходов: если VPN-соединение отключено, пользователь ничего никак не выплачивал. • -Client/Server VPN. Он гарантирует защиту передаваемых сведений между двумя точками корпоративной сети. Отличительная черта этого вида в том, что виртуальные частные сети строятся между узлами, находящимися в одном секторе сети, к примеру, меж сервером и рабочей станцией. Подобная потребность весьма зачастую появляется в тех случаях, если в физической сети нужно сформировать ряд логических сетей. К примеру, если необходимо поделить трафик между экономическим департаментом и кадровым отделом, обращающихся к серверам, расположенным в одном физическом секторе. Этот вариант очень схож с технологией VLAN, однако взамен разделения трафика, применяется его кодирование. По типу протокола: Существуют реализации VPN под TCP/IP, IPX и AppleTalk. Однако в настоящее время прослеживается направленность к общему переходу на протокол TCP/IP, и безусловно большинство VPN решений поддерживает непосредственно его. В данном протоколе адресация зачастую избирается в соответствии со стандартом RFC5735. По уровню сетевого протокола: По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI. 24 Выводы Однако, создание корпоративной сети на основе VPN требует учета множества факторов, таких как уровень защищенности сети, тип используемых протоколов и соответствующих им технологий, а также совместимость с существующими информационными системами компании. Кроме того, необходимо учитывать возможные угрозы и риски, связанные с использованием корпоративной сети, и разрабатывать соответствующие меры по их предотвращению.В данном исследовании было проведено обзорное исследование корпоративных сетей на основе VPN, а также рассмотрены основные принципы и методы создания безопасной и эффективной корпоративной сети. Были рассмотрены различные сценарии использования корпоративной сети на основе VPN, в том числе для удаленного доступа к ресурсам компании и для обеспечения безопасной коммуникации между сотрудниками.Выводы данного исследования позволяют сделать вывод о том, что создание корпоративной сети на основе VPN является необходимым условием для обеспечения безопасного обмена информацией и эффективной организации труда в условиях современной информационной экономики. Однако, для обеспечения надежной защиты корпоративной сети необходимо учитывать множество факторов и применять соответствующие методы и технологии. В данном исследовании были рассмотрены основные принципы и методы создания безопасной и эффективной корпоративной сети на основе VPN, что позволяет сделать вывод о ее актуальности и необходимости в современном бизнесе. 25 Глава 2. Организация корпоративный сети на основе VPN 2.1 Различные сценарии использования корпоративной сети на основе VPN. Организация корпоративной сети на основе VPN (Virtual Private Network) является важным аспектом современной информационной технологии, предоставляющим удаленным сотрудникам и офисам доступ к централизованным ресурсам организации с помощью безопасного и защищенного канала связи. Это особенно важно для современных компаний, работающих в условиях глобализации и распределенных бизнес-моделей. Для создания корпоративной сети на основе VPN необходимо провести подробное планирование, выбрать наиболее подходящую технологию VPN, установить сервер VPN и настроить его для работы с выбранной технологией, а также настроить клиентские устройства для подключения к сети. Кроме того, необходимо обеспечить безопасность и защиту данных, используя систему аутентификации, контроля доступа, шифрования и другие меры безопасности. Организация корпоративной VPN-сети позволяет компаниям обеспечить надежный и безопасный доступ к централизованным ресурсам организации, улучшить производительность работы удаленных сотрудников и обеспечить безопасность передаваемых данных. Таким образом, создание корпоративной VPN-сети является важным шагом для повышения эффективности работы компаний в условиях удаленной работы и распределенных офисов Для того, чтобы понять работу VPN нужно получить представление о протоколах, или наборе правил в непрофессиональных терминах, используемых VPN для обеспечения безопасной персональной сети. SSL (Secure Socket Layer): этот протокол использует 3-полосный метод рукопожатия для обеспечения надлежащей аутентификации между клиентскими и серверными машинами. Процесс аутентификации основан на криптографии, где для инициализации соединения используются сертификаты, которые ведут себя как криптографические ключи (открытый и закрытый, приватный), уже хранящиеся на стороне клиента и сервера. IPSec (IP Security): этот протокол может работать в транспортном режиме или режиме туннелирования, так что он может выполнять свою работу по обеспечению безопасности VPN-соединения. Эти два режима отличаются тем, что транспортный режим шифрует только полезную нагрузку в данных, т. е. только сообщение, присутствующее в данных. Режим туннелирования шифрует все передаваемые данные. PPTP (Point-to-Point Transfer Protocol): он соединяет пользователя, находящегося в некотором удаленном месте, с частным сервером в сети VPN, а также использует режим туннелирования для своих операций. Низкие эксплуатационные расходы и простая работа делают PPTP широко принятым протоколом VPN. Дальнейшая заслуга принадлежит встроенной поддержке, предоставляемой Microsoft Windows. L2TP (Layer Two Tunnelling Protocol): он облегчает туннелирование данных между двумя географическими узлами через сеть VPN, часто 26 используемую в сочетании с протоколом IPSec, который дополнительно способствует уровню безопасности связи. Когда вы подключаетесь к публичной сети, например, к бесплатным сетям Wi-Fi в аэропортах, вы можете предположить, что все ваши данные проходят через большой туннель вместе с данными других пользователей. Таким образом, любой, кто хочет шпионить за вами, может легко выделить ваши пакеты данных из сети. Когда на сцене появляется VPN, он предоставляет вам секретный туннель внутри этого большого туннеля. И все ваши данные превращаются в набор бессмысленных символов, так что никто не может их распознать. Аутентификация: на этом этапе пакеты данных сначала инкапсулируются, в основном завернутые в другой пакет вместе с некоторыми заголовками и другими прикрепленнымиданными. Все это скрывает идентичность пакетов данных. Теперь ваше устройство инициирует соединение, отправив запрос приветствия на VPN-сервер, который отвечает с подтверждением и запрашивает учетные данные пользователя, чтобы уточнить подлинность пользователя. Туннелирование: после завершения этапа аутентификации создается воображаемый туннель, который обеспечивает прямое соединение точка-точка через интернет. Мы можем посылать любые данные, которые захотим, через этот туннель. Шифрование: после того, как мы успешно создали туннель, можно передавать любую информацию, в виде пакетов, зашифрованных перед отправкой через туннель. VPN-соединение используется для предоставления прямого доступа к корпоративной сети пользователю, который не находится в географическом охвате сети. Логично, что удаленный пользователь подключен точно так же, как обычный пользователь, который использует сеть в корпоративном помещении.VPN также используется для обеспечения однородной сетевой среды для корпоративной фирмы, имеющей свои офисы в разных частях мира. Таким образом, создается непрерывный обмен ресурсами в обход географических барьеров.Другие виды использования включают доступ к тем услугам в интернете, которые недоступны в конкретной стране или регионе, доступ к цензурному контенту или если пользователь хочет только оставаться анонимным в интернете. Различные сценарии использования корпоративной сети на основе VPN - это аспект, который является важным при разработке стратегии использования VPN для корпоративных целей. Существует несколько сценариев использования VPN, которые включают: Работа из удаленного офиса: Данный сценарий используется для обеспечения доступа к ресурсам компании для сотрудников, которые находятся в удаленных офисах, расположенных на значительном расстоянии от главного офиса. Он позволяет сотрудникам подключаться к корпоративной сети через VPN, используя 27 общедоступный Интернет. Это позволяет им иметь доступ к ресурсам компании, таким как электронная почта, базы данных и документы. Удаленная работа: Данный сценарий используется для обеспечения возможности удаленной работы сотрудников из дома или другого места, когда доступ к корпоративной сети необходим для выполнения работы. Он позволяет сотрудникам подключаться к VPN-сети, что дает им возможность иметь доступ к ресурсам компании, не выходя из дома. Подключение к облачным сервисам: Данный сценарий используется для обеспечения безопасного подключения к облачным сервисам через VPN, что повышает безопасность передачи данных и защиту конфиденциальности. Этот сценарий особенно важен для компаний, использующих облачные сервисы для хранения и обработки данных. В целом, выбор сценария использования VPN зависит от конкретных потребностей и целей компании, а также от типа и масштаба предоставляемых услуг. Управление ресурсами, управление доступом и управление безопасностью являются ключевыми аспектами при разработке стратегии использования VPN для корпоративных целей. Определение компьютерной сети - это два или более компьютеров, которые соединены между собой таким образом, что между ними может передаваться информация. Примерами компьютерных сетей являются ваш WiFi дома, Интернет, два ноутбука, соединенные кабелем Ethernet и т.д. Чтобы компьютерные сети работали хорошо, необходимо согласовать строгие для корректной передачи и приема данных должны быть согласованы строгие стандарты. Это здесь на помощь приходят сетевые протоколы, которые представляют собой наборы правил и соглашений о том, как компьютеры взаимодействуют в определенной сети. Типичные аспекты сетевых протоколов являются формат сообщения (в частности, формат заголовка), данные кодирование, разрешенные сообщения и ожидаемые ответы, инициализация и завершение сеанса и синхронизация связи. IP Security - это стандартный протокол, который работает с протоколом IP. Он построен с использованием различных возможностями и протоколами. Множество RFC определяют, как он должен выглядеть, как его должен быть реализован и как его использовать. RFC - это коллекция документов, созданных различными целевыми группами инженеров Интернета или IETF и интернет-сообществом. RFC четко и подробно описывают каждый протокол, который использует IPSec, и дают IPSec спецификации. Например, IPSec, указанный в RFC 4301, создает границу между защищенной и незащищенной частями сети. Пакеты, проходящие через эту границу, обрабатываются поразному. Пакеты, в зависимости от того, как настроен IPSec, могут проходить беспрепятственно, отбрасываться или обрабатываться различными службами. Большим преимуществом IPSec является то, что он работает на сетевом уровне и работает как с IPv4, так и с IPv6, что это означает, что все существующие приложения могут использовать преимущества IPSec без изменений. 28 Ipsec отличается от традиционных приложений, таких как SSH, которые работают на прикладном уровне. IPSec был разработан для повышения безопасности IP-коммуникаций. IPSec можно использовать в соединении "точка-точка" между двумя компьютерами для обеспечения безопасности связи. безопасность связи. IPSec также может обеспечить безопасную связь между соединяющимся клиентом и VPN-сервером. IPSec - это не протокол, а скорее набор протоколов. который работает с несколькими протоколами для выполнения своих целей конфиденциальность, целостность и аутентификация. Я должен прояснить тот момент, что туннели IPSec помогают только для защиты одноадресного трафикано не могут быть использованы для защиты многоадресных или широковещательных пакетов. L2TP использует два различных типа пакетов - управляющие и пакеты данных. Это самый простой понять, как они используются для описания того, каким образом соединение L2TP устанавливается и используется после того, как оно установлено. Все начинается с LAC устройства, это может быть программное обеспечение LAC клиента или LAC-устройство провайдера. Затем он посылает пакет Start-Control-Connection-Request (SCCRQ) пакеты в LNS. Это сообщение содержит имя хоста, версию протокола, ID туннеля, возможности и Message Type Attribute Value Pair (AVP, форма значения ID). В дополнение к этому в дополнение к этим информационным полям, есть дополнительные поля, которые являются необязательными. В этом сообщении LNS отвечает сообщением Start-Control-Connection-Reply указывающим на то, что LNS одобрила параметры, которые были отправлены вместе с сообщением Когда эти два сообщения отправлены, LAC отвечает сообщением Start-ControlConnection Connected (SCCCN). Когда это сообщение получено, туннель L2TP будет создан. A сессия, таким образом, может быть получена как от LAC, так и от LNS. Разница между ними заключается в том, что LNS делает пакет вызова, включающий больше параметров, чем если бы соединение было установлено с LAC. Вторым шагом в установлении сеанса это когда пакет Incoming-Call-Reply (ICRP) и соответствующий пакет Outgoing-Call-Reply (OCRP) отправляются в ответ на запросы. Оба эти пакета содержат одни и те же данные, тип сообщения и выделенный идентификатор сессии. После этих сообщений следуют Incoming-Call-Connected (ICCN) или эквивалентный ему Outgoing-Call-Connected (OCCN) пакет, который сообщает, что все параметры были утверждены и что сеансовое соединение теперь установлено. В этих сообщениях есть только три обязательных поля тип сообщения, скорость соединения и тип инрамнинга. Все сообщения передаются по отдельному каналу в туннеле и используются для настройки и поддержания туннеля с различными сессиями. Для каждого туннеля L2TP существует канал управления и одна или несколько сессий. Между LAC и LNS может быть установлено больше туннелей L2TP. может быть установлено несколько туннелей L2TP. И LAC, и LNS должны иметь таблицу порядковых номеров, в которой они отслеживают, какие пакеты они получают. отслеживают, какие пакеты они получают, и таким образом 29 могут видеть, если какой-либо пакет не получен и затем запросить повторную передачу потерянного пакета. Заголовок аутентификации (AH) не обеспечивает конфиденциальность данных. Он обеспечивает целостность без подключения, аутентификацию данных и дополнительную защиту от повторного воспроизведения. Поскольку он не обеспечивает конфиденциальность данных, он имеет гораздо более простой заголовок, чем ESP. AH идентифицируется по значению 51 в IPзаголовке. В транспортном режиме IP-пакет не претерпевает существенных изменений. AH следует за оригинальным заголовком IP-пакета. После AH, TCP и данные составляют остальную часть пакета. пакета. В туннельном режиме пакет вообще не изменяется. Скорее, добавляется новый IP-заголовок добавляется к пакету, за ним следует AH и остальная часть пакета. 30 Вывод. Вывод: Корпоративная сеть является неотъемлемой частью современного бизнеса, которая обеспечивает эффективную работу между различными отделами компании и быстрый обмен информацией. Однако, безопасность корпоративной сети является одним из главных приоритетов для компании, так как неправильная настройка и защита сети могут привести к возможным угрозам и потерям данных. Поэтому, для обеспечения безопасности корпоративной сети необходимо правильно ее настроить и защитить.Исходя из проведенного исследования корпоративной сети, можно сделать вывод о том, что эффективность работы и безопасность данных являются двумя важнейшими аспектами, которые необходимо учитывать при настройке и защите корпоративной сети. Для обеспечения безопасности корпоративной сети необходимо использовать различные методы защиты, такие как фаерволы, антивирусное программное обеспечение и виртуальные частные сети. Кроме того, необходимо обучать сотрудников правилам безопасности и контролировать их действия в сети. Таким образом, исследование корпоративной сети позволяет определить наиболее эффективные методы ее настройки и защиты, которые позволят обеспечить безопасность данных и повысить эффективность работы организации. Однако, необходимо постоянно отслеживать изменения в технологиях и методах атак на корпоративные сети, чтобы обеспечить их надежную защиту.Создание корпоративной сети на основе VPN является актуальной задачей в современном бизнесе в связи с растущей потребностью в безопасном обмене информацией между сотрудниками и подразделениями компании. Корпоративная сеть, обеспечивающая удаленный доступ к ресурсам компании, является неотъемлемой частью организации труда в условиях современной информационной экономики.Однако, создание корпоративной сети на основе VPN требует учета множества факторов, таких как уровень защищенности сети, тип используемых протоколов и соответствующих им технологий, а также совместимость с существующими информационными системами компании. Кроме того, необходимо учитывать возможные угрозы и риски, связанные с использованием корпоративной сети, и разрабатывать соответствующие меры по их предотвращению.В данном исследовании было проведено обзорное исследование корпоративных сетей на основе VPN, а также рассмотрены основные принципы и методы создания безопасной и эффективной корпоративной сети. Были рассмотрены различные сценарии использования корпоративной сети на основе VPN, в том числе для удаленного доступа к ресурсам компании и для обеспечения безопасной коммуникации между сотрудниками.Выводы данного исследования позволяют сделать вывод о том, что создание корпоративной сети на основе VPN является необходимым условием для обеспечения безопасного обмена информацией и эффективной организации труда в условиях современной информационной экономики. Однако, для обеспечения надежной защиты корпоративной сети необходимо учитывать множество факторов и применять соответствующие методы и 31 технологии. В данном исследовании были рассмотрены основные принципы и методы создания безопасной и эффективной корпоративной сети на основе VPN, что позволяет сделать вывод о ее актуальности и необходимости в современном бизнесе. 32 2.3. Безопасности корпоративной сети на базе VPN. Частные лица и организации используют VPN для обеспечения конфиденциальности и безопасности, но обычно по разным причинам. Частные лица обычно используют VPN, иногда называемые приватными или потребительскими VPN, для шифрования своего личного веб-трафика или доступа к контенту и услугам, зависящим от местоположения. Помимо шифрования веб-трафика, компании обычно используют корпоративные VPN для создания частной сети общих ресурсов, устройств и услуг, к которым сотрудники могут получить безопасный доступ, работая в офисе или удаленно. Конфиденциальные (потребительские) VPN. Конфиденциальные VPN направлены на сохранение конфиденциальности и анонимности в Интернете. Это достигается путем маршрутизации зашифрованного веб-трафика через прокси-сервер, расположенный в определенном географическом месте. Это скрывает исходный IP-адрес пользователя, что помогает обеспечить конфиденциальность. Потребители часто предпочитают использовать VPN для доступа к контенту или услугам, которые недоступны в их физическом местоположении. В других случаях потребительские VPN используются для обхода ограничений брандмауэра локальной сети или интернет-провайдеров (ISP). Потребительские VPN также помогают пользователям предотвратить отслеживание или мониторинг их действий в Интернете со стороны провайдера или веб-сайтов, которые они посещают. Корпоративные VPN. Корпоративные VPN, напротив, предоставляют сотрудникам доступ к внутренней сети организации или облачным ресурсам. Их часто называют VPN удаленного доступа, и их основная цель - обеспечить сотрудникам безопасный доступ к таким вещам, как базы данных компании, приложения, файлы и документы для выполнения повседневной работы. Корпоративные VPN также могут использоваться для создания безопасных и зашифрованных соединений между офисами организации, даже в нескольких местах, через публичный интернет - для совместного использования и доступа к ресурсам компании. Этот тип VPN называется VPN site-to-site. При удаленном доступе и сети siteto-site сетевые ресурсы и данные организации защищены от посторонних, а значит, и от несанкционированного доступа. Убрав эти различия, перейдем к главному вопросу: какие функции безопасности следует учитывать при выборе корпоративной VPN. Когда речь заходит об оценке основных возможностей VPN в области безопасности, необходимо учитывать три момента: Простота развертывания и настройки, управление идентификацией и SSO, поддерживаемые протоколы и шифрование, а также множество других более мелких, но все же важных функций. Корпоративные VPN могут помочь защитить ваши данные, но только в том случае, если они правильно настроены. Этот процесс может быть запутанным, трудоемким и чреватым ошибками, поэтому поиск VPN-решения, которое легко настроить и развернуть на устройствах, должен быть одним из 33 главных приоритетов. Вот несколько распространенных проблемных областей. Размещение и обслуживание VPN-сервера (или шлюза) может быть сложной задачей, если вы хотите развернуть самостоятельный экземпляр как часть вашей локальной инфраструктуры, поскольку для того, чтобы все работало должным образом, может потребоваться определенный уровень технической экспертизы и знания Linux и сетевых технологий. Кроме того, в зависимости от того, используете ли вы облачный или самостоятельный экземпляр, может возникнуть проблема внедрения VPN для обеспечения безопасной связи между несколькими офисами или инфраструктурами. Другой распространенной проблемой является загрузка и установка клиента или пакета программного обеспечения на каждое устройство в вашей сети. В некоторых решениях может потребоваться сначала войти в систему с каждого устройства, прежде чем загружать клиент для каждой платформы. Альтернативным подходом является обмен отдельными ссылками для каждого клиента с каждым сотрудником, что не является приятным опытом для всех, особенно для новых сотрудников. Вы также должны знать, что некоторые VPN-решения могут быть простыми в развертывании и не требовать специальных навыков, но другие решения (особенно самостоятельные) могут потребовать большего опыта, например, базовых навыков работы с Linux CLI. Если вы планируете начать с более простой реализации, а затем в будущем модернизировать ее, вы должны быть уверены, что ваша команда обладает достаточным опытом для этого. Еще одним решающим фактором является возможность работы на любом устройстве и операционной системе, которые вам необходимы, а это могут быть Windows, Linux, macOS, iOS, Android, FreeBSD и даже сетевые хранилища (NAS). Не каждая VPN предлагает поддержку всех платформ.Как и все системы, VPN безопасна лишь настолько, насколько она способна обеспечить доступ к ней только авторизованных пользователей. Использование принципов управления идентификацией и доступом (IAM), таких как единая регистрация (SSO), имеет решающее значение.Некоторые корпоративные VPN интегрируют SSO с поставщиками идентификационных данных (IdP), такими как Okta, Google, Microsoft AD и OneLogin, для аутентификации и регистрации пользователей. Если ваша существующая инфраструктура управления идентификацией включает любого из этих провайдеров, ваша организация должна быть простой. Однако следует помнить, что не все VPN поддерживают SSO для мобильных устройств, и в этом случае пользователи могут использовать VPN только на поддерживаемых настольных системах. Если ваш IdP не поддерживается VPN, вы всегда можете поискать VPN, который интегрируется с IdP, совместимыми с OpenID Connect (OIDC). Кроме того, некоторые VPN позволяют осуществлять клиентский вход на основе сертификатов, когда ваши пользователи могут использовать сертификаты для аутентификации клиента и сервера, обеспечивая безопасное и проверяемое соединение.VPN-решение может использовать аутентификацию путем присвоения уникального сетевого идентификатора каждому устройству, 34 подключающемуся к виртуальной сети. Этот сетевой идентификатор может использоваться для идентификации устройства и определения того, к чему оно имеет доступ в сети. Когда устройство подключается к сети, оно должно передать идентификатор сети, чтобы подключиться, после чего идентификатор сети проверяется по списку авторизованных устройств, который ведет сетевой контроллер провайдера. Если устройство авторизовано, ему предоставляется доступ к сети и присваивается IP-адрес. Вам также следует ознакомиться с типами протоколов и шифрования, которые использует VPN. Некоторые из основных поддерживаемых протоколов и методов шифрования, используемых многими VPN, включают Secure Sockets Layer (SSL) и Transport Layer Security (TLS) для шифрования связи между клиентом и сервером. Протокол IPsec используется для установления безопасной связи через IP-сети, которые могут быть уязвимы для распространенных атак, если не настроены должным образом. Такие решения также могут использовать современные варианты Advanced Encryption Standard (AES) для шифрования данных, которые являются безопасными и практически непробиваемыми по сравнению с более ранними версиями.Другие VPN могут использовать проприетарные решения. OpenVPN, например, использует собственный протокол с открытым исходным кодом с применением библиотеки OpenSSL для шифрования и аутентификации, которая считается одной из самых безопасных библиотек. Он также использует SSL и TLS для шифрования соединений между клиентом и сервером и стандарт шифрования AES для шифрования данных в состоянии покоя и при передаче. ZeroTier также использует свой собственный протокол виртуальных сетей, который разработан для обеспечения высокой безопасности и эффективности, поскольку он использует комбинацию шифрования AES-256, криптографии с эллиптическими кривыми и совершенной прямой секретности (PFS) для защиты данных при передаче. Ключи шифрования автоматически и безопасно обмениваются между устройствами при их подключении к сети, поэтому нет необходимости в ручной настройке. 35 2.2. Преимущества и недостатки использования корпоративной сети с помощью VPN. Люди живут в мире, где существует огромная угроза их безопасности в Интернете. Чтобы ограничить эту угрозу, вы можете задуматься о лучших способах защиты своих данных и личной информации. И тут на помощь приходит VPN. VPN быстро становятся жизненно важным инструментом для обеспечения безопасности и конфиденциальности в Интернете. Хотите ли вы смотреть веб-контент с учетом региона или создавать безопасные удаленные рабочие установки, VPN может оказаться очень полезным. В этой статье мы обсудим плюсы и минусы VPN, чтобы вы могли решить, подходит ли она вам. Они могут обеспечить безопасность интернет-соединения, обойти цензуру и позволить пользователям получить доступ к контенту с региональной блокировкой. Но в чем же их недостаток? В этой статье мы рассмотрим некоторые отличительные особенности VPN, которые работают как преимущества и недостатки (с решениями). Давайте начнем с преимуществ. Устранение дросселирования пропускной способности. Медленное потоковое вещание, низкая скорость торрентов и задержки в видеоиграх распространенные симптомы дросселирования провайдера. Это руководство объясняет, как VPN может избавить ваш интернет от дросселирования. Неэтичное дросселирование пропускной способности происходит, когда скорость вашего интернета намеренно замедляется провайдером или кем-то другим, кто может контролировать производительность вашей сети WiFi. Это иногда происходит, когда вы посещаете определенные веб-сайты или занимаетесь определенной деятельностью в Интернете. Например, если вы пользуетесь цифровой услугой VPN, мобильный трафик с вашего устройства может быть зашифрован. Благодаря шифрованию другие люди не могут видеть веб-сайты, которые вы посещаете. Поскольку дросселирование пропускной способности иногда может быть вызвано веб-сайтами, которые вы используете, или видом деятельности, которым вы занимаетесь, если ваш провайдер не видит данные, поступающие на ваше устройство, он не может ограничивать их в этих случаях. Однако они все же могут ограничить передачу ваших данных в определенное время суток, чтобы освободить пропускную способность для других пользователей. VPN шифрует весь интернет-трафик с устройства и направляет его через сервер в выбранное пользователем место. Шифрование не позволяет вашему провайдеру и другим пользователям сети видеть содержимое вашего веб-трафика, а сервер скрывает, где этот трафик находится. VPN также маскируют тип интернет-трафика; например, у вашего провайдера нет возможности отличить VPN-трафик от веб-браузера или менеджера BitTorrent. Обход геоограничений. Сегодня большинство крупных потоковых сервисов, спортивных и игровых сайтов заблокированы по регионам. Это означает, что они доступны только для пользователей из определенных стран. Кроме того, некоторые страны (например, Китай) ограничивают доступ к различным сервисам, 36 некоторые из которых чрезвычайно популярны в других странах. К счастью, существует простой способ обойти гео-блокировку: подключиться к виртуальной частной сети (VPN). VPN работает путем маршрутизации вашего трафика через сервер в другой стране. Это скрывает ваш фактический IP-адрес и заменяет его временным IP-адресом, привязанным к конкретной стране. В результате большинство платформ с географическими ограничениями не могут отличить пользователя VPN от того, кто действительно находится в нужном месте. В качестве дополнительного преимущества VPN шифрует ваш трафик таким образом. Хорошая VPN скроет ваш IP-адрес, зашифрует ваши действия в браузере и позволит вам разблокировать сайты, подвергающиеся цензуре в вашем регионе. Да, при работе в Интернете с VPN расходуется больше мобильных данных, чем без VPN. Согласно различным тестам использования данных VPN, было установлено, что VPN увеличивает потребление данных на 5%-20%. Кроме того, шифруя ваши данные и скрывая ваш трафик от нежелательного наблюдения, VPN увеличивает количество используемой вами полосы пропускания. Для мобильных пользователей VPN это означает, что при использовании VPN, когда вы подключены к мобильным данным, а не к WiFi, вы потребляете данные быстрее, чем при использовании VPN. Это происходит потому, что VPN шифруют файлы во время передачи, и этот процесс создает накладные расходы. По большинству оценок, шифрование увеличивает расход данных примерно на 1015%. Расчет довольно прост. Допустим, вы загружаете большой видеофайл высокой четкости, содержащий 2 ГБ данных. При обычном публичном подключении расход данных составит ровно 2 ГБ. Однако при использовании VPN, которая шифрует ваши данные за вас, использование данных увеличивается. Поскольку 2 ГБ - это 2048 МБ данных, технически вы передаете более 2348 МБ. Некоторые веб-сайты и онлайн-сервисы блокируют VPN. Как правило, веб-сайты определяют местонахождение и отслеживают пользователей на основе их IP-адресов. Отслеживание IP-адресов - это простой способ повысить безопасность аккаунта, создать целевую рекламу и показывать пользователям различный контент в зависимости от их страны. Эта практика отслеживания IP-адресов является одной из основных причин, по которой люди используют VPN-сервис, но именно поэтому так легко заблокировать VPN-доступ к вебсайту. VPN-сервисы имеют ограниченное количество IP-адресов. А поскольку большинство VPN-серверов используют IPv4 (устаревший протокол IPадресации), создать уникальный IP-адрес довольно сложно, и группа абонентов часто использует один и тот же IP-адрес в течение нескольких месяцев или лет. Существует множество примеров блокировки веб-сайтов в определенных регионах - мера, принятая как частными компаниями, так и правительством. В то время как правительства блокируют сайты, которые, по их мнению, противоречат культуре и нормам их страны, компании делают это для соблюдения региональных законов и в экономических целях. 37 Ниже перечислены некоторые минусы VPN: VPN иногда стоит дорого: Из-за высокого качества услуг, некоторые VPN стоят дорого, например, $12/месяц. Но обычные VPN стоят менее $5/месяц. Передача данных через интернет становится медленной: Если вы используете VPN через медленный интернет, то просмотр веб-сайтов становится медленным. Это происходит из-за маршрутизации веб-трафика от провайдера к VPN и от VPN к провайдеру. Из-за большого расстояния ваше интернет-соединение становится медленным. Не все устройства поддерживают VPN: Некоторые операционные системы и устройства не имеют программного обеспечения VPN. Поэтому им приходится настраивать VPNсоединение вручную. Например, Linux, Boxee Box и Chromebook не поддерживают программное обеспечение VPN. Также некоторые смартфоны и игровые консоли не поддерживают программное обеспечение VPN. Бесплатные VPN имеют проблемы с безопасностью: Если вы используете бесплатный VPN, то ваши данные могут быть переданы сторонним компаниям. Кроме того, бесплатные VPN не умеют делать шифрование, и хакеры могут легко атаковать ваше устройство/компьютер. Кроме того, при использовании бесплатных VPN вы будете получать много рекламы. Некоторые недорогие или бесплатные VPN предоставляют вам VPN в ограниченных странах и могут часто скидывать вас с сервера. Примеры виртуальных частных сетей (VPN) Ниже приведены некоторые примеры название VPN: ExpressVPN NordVPN IPVanish Hotspot Shield CyberGhost TunnelBear WindScribe VyprVPN Вывод. В данной работе были рассмотрены преимущества и недостатки использования корпоративной сети на основе VPN. Как показало исследование, такая сеть является необходимым условием для обеспечения безопасного обмена информацией и эффективной организации труда в условиях современной информационной экономики.Среди преимуществ можно выделить возможность удаленного доступа к ресурсам компании, обеспечение безопасной коммуникации между сотрудниками и повышение эффективности работы. Кроме того, такая сеть позволяет снизить затраты на оборудование и настройку инфраструктуры, а также улучшить качество предоставляемых услуг.Однако, использование корпоративной сети на основе VPN имеет и некоторые недостатки. Среди них можно выделить возможность хакерских атак и утечки конфиденциальной информации, а также снижение 38 производительности при работе с большим объемом данных.Для обеспечения безопасности корпоративной сети на основе VPN необходимо использовать различные методы защиты, такие как фаерволы, антивирусное программное обеспечение и виртуальные частные сети. Кроме того, необходимо обучать сотрудников правилам безопасности и контролировать их действия в сети.Таким образом, использование корпоративной сети на основе VPN является актуальной задачей в современном бизнесе, и, несмотря на некоторые недостатки, позволяет обеспечить безопасный обмен информацией и повысить эффективность работы организации. Для обеспечения безопасности необходимо использовать соответствующие методы и технологии, а также постоянно отслеживать изменения в технологиях и методах атак на корпоративные сети. 39 2.3. Безопасности корпоративной сети на базе VPN. Подобные сети можно построить несколькими способами. До недавнего времени наиболее популярными оставались системы Local Area Network (LAN), которые объединяли между собой ограниченное количество компьютеров. Они могли гарантировать максимальную скорость обмена файлами и абсолютно безопасность информации, т.к. ее потоки не попадают в общий доступ. Использование подобной структуры абсолютно бесплатно. Недостатком подобной сети является невозможность подключения удаленного пользователя. Достойная альтернатива виртуальной сети — Virtual Private Network (VPN), принцип которых базируется на построении поверх глобальных сетей WAN (Wide Area Network). Коммуникации внутри виртуальной сети проводится посредством базовых каналов с низким доверием, а использование средств шифрования дает возможность гарантировать максимальный уровень безопасности передачи данных. Именно за счет своей простоты и дешевизны технология набирает все большую популярность. Неоспоримым их преимуществом является их простота, следовательно, минимальная стоимость построения, возможность подключения большого количества абонентов, которые находятся в различных точках мира и безопасность передачи информации. За счет своей экономичности и гибкости сети VPN активно используются и вытесняют из лидирующих позиций LAN. В это нет ничего удивительного, т.к. по независимым подсчетам, стоимость обслуживания VPN в три раза ниже, чем использование логистических структур, которые построены по технологии LAN. VPN без проблем масштабируется, поэтому станет идеальным решением для компаний, которые имеют большое количество филиалов – подключение нового сотрудника не требует дополнительных затрат на коммуникации. В этой время первоначальная организация виртуальной системы требует минимум финансовых вложений – они сводятся к оплате услуг провайдера интернета. Если говорить о недостатках, то необходимо отметить, что документы проходят через Всемирную паутину, хотя и по зашифрованным каналам. Необходимо позаботится о том, чтобы настройка была выполнена профессионалом, и важные документы не попали третьим лицам. При использовании VPN относительно низкая скорость передачи файлов, если сравнивать с частными аналогами. Но для корпоративной сети, где чаще передаются документы по несколько мегабайт – вполне достаточно. Архитектура корпоративной сети: варианты построения VPN: Зависимо от конкретных задач и особенностей работы фирмы, Virtual Private Network может быть по различным моделям: Intranet – идеальное решение, если нужно объединить несколько филиалов и организаций. Передача данных осуществляется исключительно по открытым каналам. Может использоваться для обычных филиалов компании и для мобильных офисов. Необходимо понимать, что подобный вариант предусматривает установку сервера в каждом подключаемом офисе. 40 Remote Access – создание защищенного канала между удаленным пользователем и офисом, который подключается к ресурсам предприятий домашнего ПК при помощи интернета. Такие системы являются максимально простыми в построении, но не такими безопасными, как большинство аналогов. Они используются компаниями, где большое количество удаленных сотрудников. Extranet – доступ к информации предоставляется клиенту или другим внешним пользовйателям. В это время их возможности по использованию системы являются заметно ограниченными. Не предназначенные для абонентов файлы надежно защищают специальные средства шифрования. Идеальный вариант для фирм, где нужно гарантировать клиенту доступ к определенным сведениям. Client/Server – такой вариант позволяет обмениваться данными между узлами внутри единого сегмента. Пользуется высоким уровнем популярности в организациях, где нужно в рамках одной сети создать несколько логических сетей. Чтобы защитить трафик от третьих лиц, используется шифрование. Самыми известными алгоритмами кодирования считаются AES, DES и Triple DES. Беспрецедентную безопасность обеспечивают специальные проколы, которые группируют данные и создают туннель, шифруя данные внутри образного туннеля. Мы подробно рассмотрели виды протоколов в материале «Какие бывают типы VPN, и чем они отличаются?», а сейчас рассмотрим с вами наиболее широко используемые протоколы для корпоративных сетей на базе VPN: PPTP (Point-to-Point Tunneling Protocol) – это туннельный протокол, который обеспечивает сохранение подлинности, шифрование и сжатие информации. Корпорация Microsoft предлагает для протокола PPTP применять для шифрования метод MPPE. Помимо этого, информация может передавать в открытом, не зашифрованном виде. Инкапсуляция проводится посредством добавление заголовков IP и GRE. L2TP (Layer Two Tunneling Protocol) – этот протокол появился благодаря объединению L2F и PPTP. Может гарантировать максимальную защиту файлов. Шифрование осуществляется посредством протокола 3DES и IPSec. Максимальная безопасность данных гарантирует первым вариантом, но снижается скорость работы сети и повышается нагрузка на центральный процессор. Подтверждение подлинности нужно для того, чтобы информация дошла к адресату в первоначальном виде. Операция выполняется посредством различных алгоритмов SHA1 и MD5, включая проверку целостности документов и идентификацию объектов. Идентификация проводится посредством традиционных операций введения логина и пароля, а при помощи более надежных и эффективных средств – серверы проверки и сертификаты. 41 Необходимости для построения VPN. Только профессионалы могут создать сеть, которая будет соответствовать всем потребностям предприятия, поэтому первое, что должен сделать потенциальный заказчик – подготовить ТЗ. В большинстве случаев провайдеры могут предоставить все необходимое оборудование на срок действия договора, но если есть желание, заказчику может купить технику и самостоятельно. В этом случае нужно купить стандартное сетевое оборудование и специально предназначенный шлюз Virtual Private Network Gateway. Именно этот шлюз необходим для защиты данных, формирования туннелей, контроля трафика, а в некоторых случаях и централизованного управления. Вывод Как видите, корпоративные сети на базе Virtual Private Network (VPN) – это оптимальное решение, которое актуально для компаний различного уровня, которые имеют в своем штате специалистов, работающих удаленно в других городах и странах. Помимо этого, такие системы являются просто незаменимым в организациях, где часто меняются круг лиц с доступом к конфиденциальной информации, есть абоненты, которым нужно предоставлять доступ различного уровня и есть необходимость создавать несколько логических сетей в рамках одной физической структуры. Но помните, что настройка должна осуществляться только профессионалом. Только в этом случае вы сможете гарантировать безопасность и защищенность всех данных. 42 Глава 3. Результаты создания проекта корпоративный сети с применением VPN технологий. 3.1.Корпоративной сети и их топологий. Компьютерная сеть – это объединение определенного числа компьютеров с помощью линий связи так, чтобы пользователи, работающие на них, могли совместно использовать общие информационные ресурсы, а также обмениваться информацией друг с другом, неприбегая к промежуточным носителям информации. Объединение компьютеров, расположенных друг от друга на расстоянии в десятки и сотни метров, называется локальной сетью (ЛС) или LAN (local area network). ЛС обычно включает десятки и сотни компьютеров, территориально расположенных в пределах одного учреждения, организации, предприятия. Создание ЛС позволяет решить ряд задач: – объединить большое число ПК при одновременном увеличении объемов хранимой и передаваемой информации; – повысить эффективность использования компьютерной техники и надежность всей системы обработки информации; – существенно упростить доступ к большим информационным фондам учреждения. Объединение компьютеров, расположенных друг от друга на расстоянии в десятки, сотни и тысячи километров, называется глобальной сетью WAN (от англ. Wide Area Network). В этом случае создается единое информационное пространство, охватывающее разные учреждения, министерства, государства и даже континенты. Благодаря глобальным сетям могут быть решены проблемы: – снижения объема обычной почтовой переписки, передачи не только текстовой, но и графической, звуковой информации; – достижения высокой оперативности обмена информацией на большие расстояния; – обеспечения доступа пользователей к большим ведомственным, государственным и международным информационным ресурсам. В последнее время стали широко развиваться так называемые корпоративные сети, которые сочетают в себе принципы построения локальных и глобальных сетей. Работа пользователя в любой компьютерной сети поддерживается соответствующим аппаратным и программным обеспечением, с помощью которых сеть должна быть реализована на физическом и логическом уровнях. Физический уровень – организация линий связи между отдельными узлами компьютерной сети. Логический уровень определяет правило взаимодействия компьютеров в сети. Существует два основных типа локальных сетей. Первый тип – одноранговая, или равноправная, сеть (рис. 4). 43 Рис. 4. Одноранговая локальная сеть. Рис. 1. Одноранговая локальная сеть Одноранговая сеть является наиболее простой и дешевой в создании. Тем не менее она способна обеспечить своих пользователей всем необходимым для получения доступа к нужной информации, в том числе к Интернету. Главной особенностью такой сети является то, что каждый ее участник – рабочая станция – имеет одинаковые права и выступает в роли администратора своего компьютера. Это означает, что только он может контролировать доступ к своему компьютеру и только он может создавать общие ресурсы и определять правила доступа к ним. С одной стороны, это делает сеть очень простой в создании, с другой – администрирование такой сети вызывает достаточно много проблем, особенно если количество участников сети превышает 25–30. Вторая разновидность ЛС – сеть с выделенным сервером, или сеть «клиент-сервер» (рис. 5), – наиболее востребованный тип сети, основными показателями которой являются высокие скорость передачи данных и уровень безопасности. Компьютер, обеспечивающий работу локальной сети и предоставляющий ресурсы другим, называется сервером, а обращающийся к файловым или принтерным ресурсам других – клиентом, рабочей станцией называется ПК, включенный в сеть, за которым работает пользователь. Кроме рабочих станций, в сети могут быть компьютеры, к работе на которых пользователи не допускаются. Эти компьютеры только обеспечивают работу ЛС. На сервере должна быть установлена система пользователями и ресурсами сети. Данный компьютер в идеале должен отвечать только за обслуживание сети, и никакие другие задачи выполнять на нем не следует. Этот сервер называется контроллер 44 домена. Он является наиболее важным объектом сети, поскольку от него зависит работоспособность всей сети. Именно поэтому данный сервер обязательно подключают к системе бесперебойного питания. Кроме того, в сети, как правило, присутствует дублирующей сервер, который называется вторичным контроллером домена. Рис. 5. Локальная сеть типа «клиент-сервер» Топология сети Под топологией (компоновкой, конфигурацией, структурой) компьютерной сети обычно понимается физическое расположение компьютеров сети друг относительно друга и способ соединения их линиями связи. Важно отметить, что понятие топологии относится прежде всего к локальным сетям, в которых структуру связей можно легко проследить. В глобальных сетях структура связей обычно скрыта от пользователей и не слишком важна, так как каждый сеанс связи может производиться по собственному пути. Топология определяет требования к оборудованию, тип используемого кабеля, допустимые и наиболее удобные методы управления обменом, надежность работы, возможности расширения сети. И хотя выбирать топологию пользователю сети приходится нечасто, знать об особенностях основных топологий, их достоинствах и недостатках надо. Существует три базовые топологии сети: 1. Шина (bus) – все компьютеры параллельно подключаются к одной линии связи. Информация от каждого компьютера одновременно передается всем остальным компьютерам (рис. 6). 45 Рис. 6. Сетевая топология «шина» Топология «шина» (или, как ее еще называют, общая шина) предполагает идентичность сетевого оборудования компьютеров, а также равноправие всех абонентов по доступу к сети. Компьютеры в шине могут передавать данные только по очереди, так как линия связи в данном случае единственная. Если несколько компьютеров будут передавать информацию одновременно, она исказится в результате наложения (конфликта, коллизии). В топологии «шина» отсутствует явно выраженный центральный абонент, через которого передается вся информация, это увеличивает ее надежность. Добавление новых абонентов в шину довольно просто и обычно возможно даже во время работы сети. Важное преимущество шины состоит в том, что при отказе любого из компьютеров сети исправные машины смогут нормально продолжать обмен. 2. Звезда (star) – каждый компьютер подключается отдельным кабелем к общему устройству (рис. 7), которым может быть как центральный компьютер, выполняющий роль сервера (активная или истинная звезда), так и концентратор, который находится в центре сети (пассивная звезда). Рис. 7. Сетевая топология «звезда» 3. Кольцо (ring) – компьютеры последовательно объединены в кольцо. Передача информации в кольце всегда производится в одном направлении. Каждый из компьютеров передает информацию только одному компьютеру, следующему в цепочке за ним, а получает информацию только от предыдущего в цепочке компьютера (рис. 8). 46 Рис. 8. Сетевая топология «кольцо» Кольцо – это топология, в которой каждый компьютер соединен линиями связи с двумя другими: от одного он получает информацию, а другому передает. Важная особенность кольца состоит в том, что каждый компьютер ретранслирует (восстанавливает, усиливает) приходящий к нему сигнал, то есть выступает в роли репитера. Четко выделенного центра при кольцевой топологии нет, все компьютеры могут быть одинаковыми и равноправными. Кольцевая топология обычно обладает высокой устойчивостью к перегрузкам, обеспечивает уверенную работу с большими потоками передаваемой по сети информации, так как в ней, как правило, нет конфликтов (в отличие от шины), а также отсутствует центральный абонент (в отличие от звезды), который может быть перегружен большими потоками информации. Кроме трех рассмотренных базовых топологий нередко применяется сетевая топология «дерево (tree)», которую можно рассматривать как комбинацию нескольких звезд, причем, как и в случае звезды, дерево может быть активным, или истинным, и пассивным. При активном дереве в центрах объединения нескольких линий связи находятся центральные компьютеры, а при пассивном – концентраторы. Довольно часто применяются комбинированные топологии, среди которых наиболее распространены звездно-шинная и звездно-кольцевая. Аппаратное обеспечение сетей Сетевые карты – это контроллеры, подключаемые в слоты расширения материнской платы компьютера, предназначенные для передачи сигналов в сеть и приема сигналов из сети. Сетевое оборудование – устройства, необходимые для работы компьютерной сети. Шлюз (gateway) – это устройство (маршрутизатор) или программа для соединения компьютерных сетей, использующих разные протоколы. Шлюзы предназначены для соединения в одну систему двух абсолютно различных типов сетей. Мост (Bridge) – устройство сети, которое соединяет два отдельных сегмента, ограниченных своей физической длиной, и передает трафик между 47 ними. Мосты также усиливают и конвертируют сигналы для кабеля другого типа. Концентраторы (Hub) – это центральные устройства кабельной системы или сети физической топологии «звезда», которые при получении пакета на один из своих портов пересылают его на все остальные. В результате получается сеть с логической структурой общей шины. Повторители (Repeater) – устройства сети, которые усиливают и заново формируют форму входящего аналогового сигнала сети на расстояние другого сегмента. Повторитель действует на электрическом уровне для соединения двух сегментов. Коммутаторы (Switch) – управляемые программным обеспечением центральные устройства кабельной системы, сокращающие сетевой трафик за счет того, что пришедший пакет анализируется для выяснения адреса его получателя и соответственно передается только ему. Маршрутизаторы (Router) – стандартные устройства сети, работающие на сетевом уровне и позволяющие переадресовывать и маршрутизировать пакеты из одной сети в другую, а также фильтровать широковещательные сообщения. Мультиплексоры – это устройства центрального офиса, которые поддерживают несколько сотен цифровых абонентских линий. Межсетевые экраны (firewall, брандмауэры) – это сетевые устройства, реализующие контроль за поступающей в локальную сеть и выходящей из нее информацией и обеспечивающие защиту локальной сети посредством фильтрации информации. Канал передачи данных – это средства двухстороннего обмена данными, которые включают в себя линии связи и аппаратуру передачи (приема) данных. Каналы передачи данных связывают между собой источники информации и приемники информации. Для построения сети обычно используют один из трех проводников: витую пару, коаксиальный кабель, оптоволоконный кабель. В настоящее время витая пара – наиболее распространенный сетевой проводник, состоящий из 8 медных проводников, перевитых друг с другом для уменьшения электромагнитных помех. Длина сегмента из такого провода – до 100 метров. Вывод. 48