В рубрику "Решения операторского класса" | К списку рубрик | К списку авторов | К списку публикаций
С.В. Назаров, заместитель генерального директора - коммерческий директор ОАО "ЦентрТелеком", к.т.н.
На сегодняшний день технология построения виртуальных частных сетей (VPN -Virtual Private Network) является одной из наиболее активно развивающихся и востребованных рынком технологий телекоммуникации. Что же обеспечивает такую популярность сетей VPN среди корпоративных пользователей, какие задачи решаются посредством построения корпоративных сетей связи?
Что нужно корпоративному пользователю?
Перед многими предприятиями и организациями в настоящее время стоит задача формирования единого защищенного информационного пространства, обеспечивающего полноценное взаимодействие сотрудников независимо от их местонахождения. При этом наиболее актуально данная задача стоит перед крупными корпорациями с широкой географией присутствия, большим количеством территориально удаленных друг от друга филиалов, структурных подразделений и рабочих мест.
В целях ускорения документооборота, повышения производительности труда и эффективности управленческой деятельности возникает необходимость своевременного обмена информацией, организации доступа к внутрикорпоративным ресурсам, базам данных, папкам, файлам и т.д. Особое значение придается обеспечению конфиденциальности, достоверности, подлинности, целостности информации при ее передаче и хранении.
Возможности виртуальных частных сетей
Посредством технологии VPN можно построить защищенную виртуальную частную сеть внутри любой другой открытой сети, к которой у пользователя нет доверия. Технология предназначена для объединения удаленных друг от друга локальных сетей или отдельных компьютеров в единую защищенную корпоративную сеть на основе существующей инфраструктуры некой открытой глобальной сети (в настоящее время на практике в подавляющем большинстве случаев используются ресурсы сети Интернет). Проще говоря, организуется прямое безопасное соединение (иногда его называют туннель) между различными территориально удаленными друг от друга структурными подразделениями, а также сотрудниками компании через общедоступную сеть Интернет. В результате любой пользователь сети Интернет в компании может иметь доступ к внутрикорпоративным ресурсам: создается как бы единый виртуальный офис. При этом возможна организация передачи трех типов трафика:
Реализация методов QoS (Quality of Service) позволяет обеспечить прио-ритезацию отдельных типов трафика (например, приоритет будет иметь запрос к базам данных). Возможна также минимизация уровня задержек для голосового трафика, выделение гарантированной полосы пропускания при передаче данных и многое другое.
Выбор потенциальным пользователем варианта организации VPN-сети на базе сети Интернет или на базе частной сети является одним из наиболее принципиальных решений. Первый вариант обеспечивает экономичность и повсеместную доступность организации соединения, а второй -возможность повышенного контроля и управления его качеством. Надежность защиты информации и в том и в другом случае одинакова и имеет высокий уровнь.
Когда вам нужна VPN?
Всегда ли целесообразно построение сети VPN для решения задач объединения удаленных ЛВС или отдельных пользователей в единое защищенное информационное пространство? Является ли это решение единственным и универсальным? Разумеется, нет: все зависит от конкретной ситуации.
Например, в случае если все подразделения компании находятся недалеко друг от друга, в пределах одного квартала или района города, наиболее простым решением была бы организация выделенной линии между удаленными офисами или локальными сетями. Можно рассмотреть также вариант аренды существующего канала у оператора связи: он будет вполне приемлемым в том случае, если все подразделения компании находятся в пределах одного населенного пункта и, конечно же, если подходящий канал связи вообще найдется. Однако такие решения нецелесообразны для тех корпораций, офисы которых располагаются на значительном расстоянии друг от друга: в разных городах или даже странах. Кроме того, эти варианты не в полной мере отвечают потребностям в надежной защите конфиденциальной информации (существует вероятность несанкционированного подключения к объединяющему сети кабелю и утечки информации).
Итак, в каких же случаях для корпоративного клиента оптимальным решением будет построение виртуальной частной сети (VPN)? Рассмотрим наиболее типичные ситуации.
Организация прямых соединений между структурными подразделениями
В современных условиях глобализации экономики, развития междугородных и международных связей многие предприятия и организации укрупняются, расширяют сферу своей деятельности, ищут новые рынки сбыта. В результате создается некая корпоративная структура с головным управляющим офисом в одном городе и рядом филиалов, структурных подразделений в других городах или странах. Такая организационная структура часто характерна для крупных банков и прочих финансовых организаций, страховых компаний, промышленных предприятий, предприятий топливно-энергетического комплекса, торговых сетей, государственных структур и т.д. Руководство подобного предприятия для организации эффективного управления, повышения производительности труда, безусловно, заинтересовано в создании единого документооборота между своими удаленными офисами, единого информационного пространства. Организация защищенного прямого соединения между удаленными структурными подразделениями, локальными сетями, работниками может быть обеспечена посредством построения виртуальной частной сети.
Удаленный доступ в корпоративную сеть
Рассмотрим другую ситуацию: компания может не иметь территориально распределенной филиальной сети (она даже не обязательно может быть крупной), но специфика ее деятельности такова, что сотрудники постоянно находятся в разъездах, командировках. Предположим, что при этом есть необходимость постоянного обмена информацией между сотрудником и корпоративным офисом (доступ к корпоративной базе данных, отчетности и т.д.). В таком случае для передачи данных в локальную корпоративную сеть можно организовать так называемую точку удаленного доступа: сотрудник посредством модема по специально выделенному для этих целей номеру подключается к сети и передает или получает информацию. Нужно отметить, что этот процесс является длительным, в зависимости от объема передаваемых данных может занимать несколько часов, предполагает значительные затраты на услуги междугородной и международной связи.
Технология VPN в подобной ситуации предлагает пользователю следующую альтернативу. На персональном компьютере сотрудника компании устанавливается специальное программное обеспечение, которое позволяет после осуществления доступа к сети Интернет через местного оператора соединиться с VPN-шлюзом локальной корпоративной сети и передать требуемую информацию с временного удаленного места нахождения (это может быть гостиничный номер, автомобиль и т.д.).
Организация доступа к отдельным сегментам защищенной сети
У корпорации может возникнуть потребность в конфиденциальном обмене информацией не только между своими сотрудниками: существуют еще партнеры, поставщики, заказчики и прочее деловое окружение. В целях повышения эффективности взаимоотношений со своим внешним окружением, оперативности принятия решений, заключения договоров фирма может принять решение о предоставлении доступа для своего делового партнера к части своих информационных ресурсов. Следовательно, возникает еще одна область применения сетей VPN, а именно организация доступа к отдельным сегментам защищенной сети. Например, своим потенциальным заказчикам корпорация может предоставить информацию о разработке нового продукта, поставщикам -о росте производственных мощностей и масштабов производства, аудиторам -финансовую отчетность и т.д.
Что дает пользователю организация сети VPN?
Защита конфиденциальной информации
Самое главное преимущество данной технологии - это надежная защита конфиденциальной информации. Ни для кого не секрет, что в современных условиях ведения бизнеса именно достоверная и своевременная информация является важнейшим ресурсом (она же может быть объектом промышленного шпионажа и конкурентной борьбы). Между удаленными подразделениями и сотрудниками корпорации может передаваться бухгал-
терская, маркетинговая информация, данные о стратегических намерениях, перспективных планах, договоры, конфиденциальная переписка, информация о контрагентах и т.д. Последствия утечки такой важной информации могут быть непредсказуемыми и обернуться серьезными убытками для фирмы. Несмотря на то что сведения при использовании технологии VPN передаются через открытую глобальную сеть Интернет, прямое соединение (или туннель) надежно защищено: украсть информацию или несанкционированно подключиться к сети практически невозможно. Это обеспечивается рядом алгоритмов шифрования, проверки целостности данных и идентификации пользователя, о которых еще будет упоминаться далее. Кроме того, у корпоративного пользователя также есть возможность контроля доступа к защищаемой сети и централизованного управления ее безопасностью.
Возможность глобального применения
Важным преимуществом технологии является возможность ее применения практически в любой точке земного шара: достаточно организовать доступ к глобальной сети Интернет. При этом географическая удаленность структурных подразделений лишь незначительно влияет на скорость обмена данными между ними и не является препятствием для построения виртуальной частной сети. Отсутствует также и ограничение по количеству объединяемых удаленных пользователей и ЛВС. Таким образом, обеспечивается масштабируемость сети, широкая география присутствия и мобильность пользователей, возможность гибкого графика работы сотрудников. Кроме того, у корпоративного пользователя появляется возможность упростить топологию своих сетей.
Экономичность
Еще одним преимуществом сетей VPN является их экономичность. Применение данной технологии позволяет корпоративному пользователю избежать значительных затрат на организацию выделенных линий, на аренду каналов между удаленными пользователями, на покупку модемов, а также на услуги междугородной и международной связи. Повышение производительности труда сотрудников за счет возможности передачи разных видов трафика по разным виртуальным каналам также положительно сказывается на финансовом состоянии компании. Некоторые аналитики полагают, что построение сети VPN окупает себя через 6-9 месяцев.
Оцените ситуацию реально...
Однако руководству компании, планирующей организацию частной виртуальной сети, не следует заблуждаться относительно дешевизны такого проекта: нужно реально оценивать его стоимость. Технология VPN действительно предлагает более экономичное решение по сравнению с другими способами объединения удаленных локальных сетей, но не нужно забывать о неизбежных затратах на закупку соответствующего оборудования, специального программного обеспечения, оплату увеличившегося потребления Интернет-трафика и т.д.
Стоимость проекта во многом определяется количеством требуемых туннелей. Замечу, что для любой компании при построении сети VPN было бы неплохо реально оценить свои потребности в таких каналах на перспективу. Экономия на начальном этапе организации виртуальной сети может в дальнейшем повлечь за собой значительные затраты при возникновении потребности в наращивании ресурсов VPN.
Кто будет "строить" виртуальные туннели?
При планировании организации сети VPN руководству корпорации предстоит решить еще один важный вопрос: обращаться ли за помощью к сторонним организациям или заниматься этим самостоятельно. С одной стороны, любая компания, закупив соответствующее оборудование и программное обеспечение, силами своих сотрудников может самостоятельно организовать требуемые виртуальные туннели. Следует отметить, что организация и поддержка VPN-сети требует вложения денежных средств, найма и содержания высококвалифицированного технического персонала -это не всегда рентабельно для небольших фирм. У крупных корпораций виртуальные сети бывают слишком масштабны для того, чтобы самостоятельно обеспечить надежные механизмы защиты информации, идентификации пользователей и т.д.
Для того чтобы реализовать максимально полное использование преимуществ технологии построения виртуальных частных сетей, пользователь зачастую обращается за помощью к операторам связи (сервис-провайдерам), поставщикам оборудования или программного обеспечения, то есть прибегает к услугам аутсорсинга. Корпоративный пользователь при этом, как правило, самостоятельно определяет политику безопасности своей VPN-сети и порядок работы в ней для удаленных пользователей, а компания-провайдер, в свою очередь, обеспечивает их выполнение, то есть берет на себя вопросы организации сети и управления устройствами.
Выгоды и преимущества для обеих сторон очевидны. Для корпоративного пользователя это может быть экономия средств на организацию и поддержку высокотехнологичных VPN-сетей, оперативность развертывания этих сетей и их масштабируемость, а также гарантии качества обслуживания с заданными параметрами предоставления услуги (как результат заключения SLA-соглашения). Сервис-провайдер тоже не останется в убытке: для него создание VPN-сети на базе собственных ресурсов и накопленного опыта сетевых решений не потребует значительных затрат времени и денег, однако позволит привлечь новых клиентов, завоевать новые сегменты рынка, оперативно развернуть дополнительные услуги и в результате получить дополнительную прибыль. Таким образом, посредством аутсорсинга может быть обеспечено взаимовыгодное долговременное стратегическое сотрудничество пользователя сети VPN и сервис-провайдера.
Аппаратно-программное обеспечение
Для создания и поддержки прямого соединения (туннеля) между удаленными пользователями или сетями применяются специальные протоколы (см. врезку). Следует отметить, что технология VPN предусматривает использование широкого набора различных протоколов на различных уровнях стека TCP/IP.
Для объединения нескольких локальных сетей в одну обычно рекомендуется установка специального аппаратного обеспечения, обеспечивающего поддержку всех требуемых протоколов. Самое простое и уже готовое решение в данном случае - это VPN-шлюзы, требующие минимальной настройки при подключении к локальным сетям. Такой шлюз может выполнять функции создания туннелей, обеспечения защиты данных, контроля передаваемого трафика, а также централизованного управления. Следует помнить о том, что потребуется как минимум по одному VPN-шлюзу на каждую локальную сеть.
Аппаратные устройства должны быть обеспечены специальным программным обеспечением. В том случае если мы имеем дело с объединением не локальных сетей, а отдельных пользователей, специальные программы, реализующие все функции VPN, могут быть установлены на персональных компьютерах пользователей. Инсталляция программного обеспечения происходит на базе стандартных операционных систем, таких, как Windows, Linux, NetWare.
Защита информации
В числе важнейших вопросов при организации сети VPN специалисты называют обеспечение защиты информации. Существуют различные мнения по поводу того, какие варианты защиты конфиденциальных данных являются наиболее надежными.
Шифрование данных
Одним из механизмов защиты информации является шифрование данных. Наиболее часто администраторы сетей выбирают алгоритмы шифрования DES, Triple DES и AES. Однако стандарт DES (Data Encryption Standard) постепенно утрачивает свои позиции: его ключ в 56 разрядов уже не является серьезным препятствием для взлома сети опытным специалистом и получения доступа к конфиденциальным данным. Более надежен алгоритм Triple DES, который обеспечивает тройное шифрование за счет применения трех различных ключей (168 разрядов). На смену DES приходит новый улучшенный стандарт криптографической обработки данных AES (Advanced Encryption Standard). Он сочетает в себе повышенный уровень зашиты информации и высокую скорость ее шифрования и дешифрования. Ключи AES содержат в себе 128 разрядов, но стандарт может поддерживать и более длинные ключи в 192 и 256 разрядов. Обычно в VPN-шлюзах реализована поддержка определенного набора стандартов шифрования, и это нужно учитывать при выборе аппаратных устройств.
Проверка целостности и подлинности данных
В сетях VPN предусмотрены также механизмы проверки целостности и подлинности передаваемых данных, что гарантирует получение информации именно в том виде, в котором ее отправляли, без потерь и подмен. Для этих целей в настоящее время применяются широко распространенные алгоритмы MD5 и SHA1 (Secure Hash Algorithm).
Идентификация пользователей
Процедура идентификации пользователей предназначена для обеспечения санкционированного доступа к внутренним ресурсам корпоративного пользователя, ограниченного заранее определенным кругом лиц. Идентификация может осуществляться с применением различных технологических решений: например, парольная защита, система сертификатов и специальных серверов для их проверки, имущественная или биометрическая идентификация. Для каждой конкретной виртуальной сети принимается свое решение.
Оптимистичные прогнозы
Рыночные аналитики рисуют неплохую перспективу для дальнейшего развития и совершенствования услуг VPN в корпоративном секторе. Оптимистично смотреть в будущее позволяют такие рыночные тенденции, как глобализация экономики, укрупнение бизнеса, расширение корпоративных контактов и связей, развитие беспроводных технологий и т.д. При этом ожидается, что акцент будет смещаться на построение виртуальных частных сетей на базе IP-технологий (вместо Frame Relay и ATM).
Решение построения VPN-сетей подходит для объединения локальных сетей клиентов самых различных сфер и масштабов деятельности. Описанные выше преимущества технологии, а именно: безопасность, гибкость, масштабируемость, управляемость, гарантированные параметры качества - делают сети VPN весьма привлекательными для пользователей и не теряющими своей актуальности. Многие специалисты считают, что доля данной технологии на рынке связи в ближайшие годы значительно возрастет, в том числе за счет появления сегмента домашних пользователей (впрочем, ожидается, что этот сегмент будет расти медленными темпами).
Опубликовано: Журнал "Технологии и средства связи" #3, 2006
Посещений: 13337
Статьи по теме
Автор
| |||
В рубрику "Решения операторского класса" | К списку рубрик | К списку авторов | К списку публикаций