Net Secure
Сетевая безопасность

Статьи раздела

все статьи

  • Безопасность сетей - методы хакерских атак (Часть 3)
    2008-12-02 15:08:33

  • Безопасность сетей - методы хакерских атак (Часть 2)
    2008-12-02 15:09:38

  • Безопасность сетей - категории атак
    2008-12-02 15:10:38

  • Безопасность сетей - методы хакерских атак
    2008-12-09 00:00:00

  • Понятие " Информационная безопасность".
    2010-12-01 12:26:14

  • Роль Политики безопасности
    2011-01-26 11:16:37

  • Службы информационной безопасности
    2011-04-12 11:04:12

  • Политика безопасности Часть 1
    2011-04-12 14:06:24

  • Политика безопасности Часть 2
    2011-04-12 14:18:19

  • Политика безопасности Часть 3
    2011-04-12 14:29:55

  • Управление рисками
    2011-08-16 16:10:41

  • Обеспечение информационной безопасности - Оценка стоимости
    2011-12-08 08:58:42

  • Обеспечение информационной безопасности - Физическая безопасность
    2011-12-08 09:11:31

  • Обеспечение информационной безопасности - Разработка политики и реализация
    2011-12-08 09:30:18

  • Обеспечение информационной безопасности - Проведение аудита
    2011-12-08 09:44:48

  • Рекомендации по обеспечению сетевой безопасности - Административная безопасность
    2011-12-09 10:55:22

  • Рекомендации по обеспечению сетевой безопасности - Техническая безопасность
    2011-12-09 11:57:07

  • Рекомендации по обеспечению сетевой безопасности - Использование стандарта ISO 17799
    2011-12-09 12:04:25

  • Межсетевые экраны
    2011-12-14 12:46:22

  • Виртуальные частные сети
    2011-12-23 11:42:00

  • Развертывание узловых сетей VPN
    2011-12-23 11:54:23

  • Понятие стандартных технологий функционирования VPN
    2011-12-23 12:10:56

  • Типы систем VPN
    2011-12-23 12:22:24

  • Trusteer Rapport на страже безопасности систем ДБО
    2012-08-28 13:05:56

  • Новости


    Все новости

    Aтака WannaCry больше всего затронула Windows 7

    | 2017-05-23 12:09:00 |

    Исследователи безопасности сообщают о том, что большинство компьютеров, пострадавших от эпидемии WannaCry,...


    Эксплоиты для Android используют уязвимость Dirty COW

    | 2016-10-26 09:44:24 |

    Dirty COW – уязвимость ядра Linux, была публично раскрыта на прошлой неделе. Эксперты предупреждают,...


    Что ожидать в 2016 году - Лаборатория Касперского

    | 2015-12-16 13:07:13 |

    В уходящем 2015 году произошло немало значимых киберсобытий, некоторые из которых получили по-настоящему...


    ESET NOD32 защитит информационную систему компании «СТС Медиа»

    | 2015-10-16 13:36:04 |

    Международная компания ESET объявляет о начале сотрудничества с «СТС Медиа», ведущей независимой медиакомпанией...


    Компания SAP оперативно закрыла критичную уязвимость в SAP HANA

    | 2015-10-16 13:27:05 |

    Компания Digital Security, предупреждает о выявлении опасных уязвимостей в SAP HANA, инновационном...


     

    Развертывание узловых сетей VPN | 2011-12-23 11:54:23

    Узловые виртуальные частные сети используются организациями для подключения к удаленным узлам без применения дорогостоящих выделенных каналов или для соединения двух различных организаций, между которыми необходима связь для осуществления информационного обмена, связанного с деятельностью этих организаций. Как правило, VPN соединяет один межсетевой экран или пограничный маршрутизатор с другим аналогичным устройством .

    Чтобы инициировать соединение, один из узлов осуществляет попытку передать трафик другому узлу. Вследствие этого на обоих противоположных узлах соединения VPN инициируется VPN. Оба конечных узла определяют параметры соединения в зависимости от политик, имеющихся на узлах. Оба сайта будут аутентифицировать друг друга посредством некоторого общего предопределенного секрета либо с помощью сертификата с открытым ключом. Некоторые организации используют узловые VPN в качестве резервных каналов связи для арендуемых каналов.

    Внимание!

    При работе с данной конфигурацией необходимо обеспечивать правильную настройку маршрутизации. Кроме того, физический канал связи, используемый для VPN, обязательно должен отличаться от канала, используемого арендуемым соединением. Может оказаться так, что оба соединения осуществляются через один и тот же физический канал связи, вследствие чего не будет обеспечиваться должный уровень избыточности.

     

    Межузловое соединение VPN, проходящее через интернет

    Рис. 11.4.  Межузловое соединение VPN, проходящее через интернет

    Преимущества узловых VPN

    Как и в случае с пользовательскими VPN, основным преимуществом узловой VPN является экономичность. Организация с небольшими, удаленными друг от друга офисами может создать виртуальную частную сеть, соединяющую все удаленные офисы с центральным узлом (или даже друг с другом) со значительно меньшими затратами. Сетевая инфраструктура также может быть применена значительно быстрее, так как в удаленных офисах могут использоваться локальные ISP для каналов ISDN или DSL.

    На базе политики организации могут быть разработаны правила, определяющие, каким образом удаленные сайты будут подключаться к центральному сайту или друг к другу. Если узловая VPN предназначена для соединения двух организаций, то на доступ ко внутренним сетям и компьютерным системам могут налагаться строгие ограничения.

    Проблемы, связанные с узловыми VPN

    Узловые VPN расширяют периметр безопасности организации, добавляя новые удаленные узлы или даже удаленные организации. Если уровень безопасности удаленного узла невелик, VPN может позволить злоумышленнику получить доступ к центральному узлу и другим частям внутренней сети организации. Следовательно, необходимо применять строгие политики и реализовывать функции аудита для обеспечения безопасности организации в целом. В случаях, когда две организации используют узловую VPN для соединения своих сетей, очень важную роль играют политики безопасности, установленные по обе стороны соединения. В данной ситуации обе организации должны определить, какие данные могут передаваться через VPN, а какие - нет, и соответствующим образом настроить политики на своих межсетевых экранах.

    Аутентификация узловых VPN также является важным условием для обеспечения безопасности. При установке соединения могут использоваться произвольные секреты, но один и тот же общий секрет не должен использоваться для более чем одного соединения VPN. Если предполагается использовать сертификаты с открытыми ключами, необходимо создать процедуры для поддержки изменения и отслеживания срока действия сертификатов.

    Как и в случае с пользовательскими VPN, сервер VPN должен поддерживать дешифрование и шифрование VPN-трафика. Если уровень трафика высок, сервер VPN может оказаться перегруженным. В особенности это относится к ситуации, когда межсетевой экран является VPN-сервером, и имеет место интернет-трафик большого объема.

    Наконец, необходимо обдумать вопросы, связанные с адресацией. Если узловая VPN используется внутри одной организации, в ней необходимо наличие одинаковой схемы адресации для всех узлов. В данном случае адресация не представляет какой-либо сложности. Если же VPN используется для соединения двух различных организаций, необходимо предпринять меры для предупреждения любых конфликтов, связанных с адресацией. На рисунке 11.5 отражена возникшая конфликтная ситуация. Здесь обе организации используют части одного и того же частного адресного пространства (сеть 10.1.1.x).

     

    Узловая VPN может вызывать конфликты, связанные с адресацией

    Рис. 11.5.  Узловая VPN может вызывать конфликты, связанные с адресацией

    Очевидно, что схемы адресации будут конфликтовать друг с другом, и маршрутизация трафика не будет функционировать. В данном случае каждая сторона соединения VPN должна выполнять трансляцию сетевых адресов и переадресовывать системы другой организации на их собственную схему адресации.

    Управление узловыми VPN

     

    Узловая VPN использует NAT для предотвращения конфликтов адресации

    Рис. 11.6.  Узловая VPN использует NAT для предотвращения конфликтов адресации

    При осуществлении контроля над маршрутизацией могут понадобиться дополнительные функции по управлению. На маршрутизаторах внутренних сетей потребуется создать маршруты к удаленным сайтам. Эти маршруты, наряду с управлением схемой адресации, должны четко документироваться во избежание непреднамеренного удаления маршрутов в процессе управления маршрутизатором.


    Распечатать данную страницу




    Всего просмотров этой страницы: 3580. Сегодня: 2
    Главная | Cтатистика | | Новости | Ссылки
    © 2011 NSecure.RU All Rights Reserved