Network_mobile.jpg

За 30 лет своего существования публичный интернет проник во все сферы деятельности человека, начиная от образования и науки и заканчивая экономикой и бизнесом. Большинство компаний использует интернет для передачи каких-либо данных, в том числе и приватных (банковские реквизиты, отчеты и т.д.), и для них вопрос конфиденциальности таких данных стоит на первом месте. Раньше вопрос приватности решался покупкой выделенного канала связи, однако это решение было и является достаточно дорогим и поэтому недоступным для малого бизнеса. Поэтому появилась идея создания защищенной сети, работающей как единое целое через небезопасную интернет-среду, что в итоге привело к созданию VPN (Virtual Private Network — виртуальная частная сеть). VPN работают «поверх» публичных соединений, при этом скрывая содержимое коммуникации — это получается и достаточно дешево, и очень функционально.

Принцип работы VPN

Виртуальная частная сеть основана на трех базовых принципах: туннелирование, шифрование и аутентификация. Туннелирование обеспечивает передачу пакетов между сетевыми узлами отправителя и получателя так, что с точки зрения работающего на них программного обеспечения они выглядят подключенными к одной (локальной) сети. Однако при этом пакет данных проходит через множество узлов открытой публичной сети, поэтому для защиты данных используется электронная цифровая подпись (ЭЦП) — это дополнительный блок информации, передающийся вместе с пакетом информации и который вырабатывается в соответствии с асимметричным криптографическим алгоритмом и уникален для содержимого пакета и секретного ключа ЭЦП отправителя. Этот блок информации является ЭЦП пакета и позволяет выполнить аутентификацию данных получателем, которому известен открытый ключ ЭЦП отправителя, что и обеспечивает защищенность данных.

Способов шифрования данных существует достаточно много, разберем основные два.

IPsec
Site-to-site-ipsec-example.png

IPsec — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP. Позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети интернет. 

Как и стандартный VPN, IPSec является довольно гибким и хорошо настраиваемым средством, которое можно использовать для подсоединения двух сетей (или одиночного компьютера) к корпоративной сети. Трафик, передающийся по VPN такого типа, шифруется и защищается паролем для защиты от внесения изменений на пути от отправителя к адресату. Однако, хотя IPsec описывают как стандартизированную технологию, некоторые ее реализации могут быть не особенно совместимыми. Поэтому IPSec — хороший выбор для компаний, у которых есть ресурсы на IT-персонал, способный поддерживать такие соединения.

SSL VPN


SSL (Secure Sockets Layer — уровень защищённых cокетов) — криптографический протокол, который позволяет обеспечить более безопасную связь. Он использует асимметричную криптографию для аутентификации ключей обмена, симметричное шифрование для сохранения конфиденциальности, коды аутентификации сообщений для целостности сообщений. Изначально виртуальные частные сети на основе SSL разрабатывались как дополнительная и альтернативная технология удалённого доступа на основе IPsec VPN. Однако, такие факторы, как достаточная надёжность и дешевизна, сделали эту технологию привлекательной для организации VPN. 

SSL VPN соединяет одиночный компьютер с шлюзом в корпоративной сети. Поскольку в случае SSL VPN в качестве интерфейса используется браузер пользователя, чаще всего ему не нужно устанавливать дополнительный софт. Это, в свою очередь, упрощает установку и поддержку, а также позволяет устанавливать соединение с компьютерами, работающими под разными операционными системами.

Минусом здесь является тот факт, что, несмотря на возможность работы через браузер, VPN соединения через SSL можно использовать только с приложениями, работающими с HTML/HTTP. Это ограничение можно обойти, установив на клиентский компьютер специальные приложения, но это будет ограничивать гибкость, так что выгоднее, возможно, будет использование IPSec VPN.

Мобильный VPN

Достаточно часто бывает так, что работники компании должны передавать конфиденциальную информацию, находясь за пределами офиса — для этого был разработан mVPN. Главное его отличие от обычного VPN в том, что конечная точка, из которой устанавливается соединение, не является неподвижной, поэтому mVPN должен уметь восстанавливать защищенное соединение при переходе клиента из оодной сети в другую. Для этого используется протокол IPsec, с помощью которого происходит шифрование данных внутри VPN-канала. Это позволяет защитить соединение между удаленным компьютером и основным шлюзом в главном офисе компании.

VPN и облака

img-cloud-vpn1.png

С развитием облачных технологий появилась возможность создать VPN в облаке — это позволяет отказаться от сервера в организации, вся настройка может проходить удаленно. К тому же обычно плата за облачные сервера идет почасовая, и в любой момент времени можно прекратить использование сервера и платить только за место на диске (удобно для компаний, которые работают, например, 8-10 часов в день). Так же облачный сервер легко масштабировать — снижать или увеличивать количество ресурсов сервера при уменьшении или росте числа пользователей. 

VPN дает возможность миллионам людей и компаний во всем мире безопасно передавать информацию. Поэтому очевидно, что эта технология в обозримом будущем продолжит играть столь же значимую роль. Тем не менее, изменения в рабочем процессе многих компаний и все более глубокое проникновение облачных технологий, возможно, приведут к появлению новой облачной разновидности — VPN 2.0. Вполне может быть, что мы наблюдаем зарождение этого процесса уже сейчас.