Глава 6. Виртуальные частные сети

В организациях с несколькими филиалами они часто соединяются выделенными линиями для эффективной и защищённой передачи данных. Например, во многих организациях для соединения сетью одного офиса с остальными используются линии Frame Relay или ATM. Это решение может стоить слишком дорого, особенно для организаций среднего и малого бизнеса, желающих развиваться, но не имеющих средств на выделенные цифровые линии.

Инженеры нашли эффективное по цене решение этой проблемы в виртуальных частных сетях (Virtual Private Networks — VPN). Следуя тем же функциональным принципам, что и выделенные линии, VPN позволяют установить защищённое цифровое соединение между двумя участниками (или сетями) и создать глобальную сеть (WAN - Wide Area Network) из существующих локальных. Отличие от Frame Relay или ATM состоит в транспортной среде. Трафик VPN передаётся поверх IP и использует в качестве транспортного уровня датаграммы (UDP), что позволяет ему безопасно проходить через Интернет. Многие бесплатные программные реализации VPN осуществляют шифрование по открытым стандартам, чтобы скрыть передаваемые данные.

Некоторые предприятия внедряют аппаратные решения VPN с целью усиления защиты, а другие используют программные или основанные на протоколах реализации. Аппаратные решения VPN выпускают различные производители, в том числе Cisco, Nortel, IBM и Checkpoint. Для Linux выпускается бесплатное программное решение FreeS/Wan, использующее стандартную реализацию протокола IPsec (Безопасность IP - Internet Protocol Security). Эти VPN решения действуют как специализированные маршрутизаторы, расположенные на концах IP соединений между офисами.

Когда клиент передаёт пакет, он посылает его через маршрутизатор или шлюз, добавляющий заголовок проверки подлинности (Authentication Header — AH) с информацией о маршрутизации и подлинности. Затем данные кодируются и вместе с инструкциями по декодированию и обработке становятся инкапсулированными защищенными полезными данными (Encapsulating Security Payload — ESP). Получающий маршрутизатор VPN отбрасывает информацию заголовка и направляет пакет по назначению (компьютеру или сети). Если используется шифрование между сетями, узел, принимающий пакет в локальной сети, получает его расшифрованным и приступает к обработке. Процесс кодирования/декодирования в VPN-соединении между сетями прозрачен для локального узла.

С такой сильной защитой взломщик должен не только перехватить пакет, но и расшифровать его (что, в большинстве VPN означает взлом 168-битного шифра стандарта 3DES). Взломщики, реализовавшие атаку с посредником между сервером и клиентом, должны также получить ключи, которыми обменивались стороны при проверке подлинности. VPN — защищённое и эффективное средство соединения удаленных узлов для организации интранет-сетей.

6.1. VPN и Red Hat Enterprise Linux

Пользователи и администраторы Red Hat Enterprise Linux могут реализовать программное решение для соединения и защиты WAN самыми разными способами. Однако в настоящее время Red Hat Enterprise Linux поддерживает два варианта реализации VPN-соединений. Вы можете реализовать аналогичное решение, способное безопасно заменить VPN, образовав туннель между двумя удалёнными узлами с помощью OpenSSH. Это решение может стать альтернативой Telnet, rsh и другим средствам связи удалённых узлов, но не удовлетворит полностью все требования удалённых работников и филиалов. Двумя поддерживаемыми решениями, включёнными в Red Hat Enterprise Linux и более соответствующими понятию VPN, являются инкапсуляция IP с шифрованием (Crypto IP Encapsulation — CIPE) и защита протокола Интернета (Internet Protocol Security — IPsec).