Владимир Игнатов, эксперт по информационной безопасности
При использовании принципа гибридных схем виртуальная сеть самоорганизуется при изменении параметров как физической, так и виртуальной сети и обеспечивает прозрачную защиту трафика от источника до получателя сообщения независимо от инициатора соединения. Частные IP-адреса в общем случае не согласованы между собой и могут выделяться динамически. IP-адреса NAT-устройств также могут выделяться динамически провайдерами глобальных и территориальных сетей.
Peer to Peer (P2P) – технология построения сети распределенных равноправных узлов по принципу децентрализации.
Распределенная компьютерная сеть – сеть произвольной структуры, представляющая собой объединение глобальных, региональных и локальных вычислительных сетей, компьютеров индивидуальных или мобильных пользователей, подключенных к глобальной или территориальной сети. В состав локальных сетей могут входить различные выделенные фрагменты, отделенные маршрутизаторами (как проводные, так и беспроводные). Для организации взаимодействия используются NAT-устройства, осуществляющие преобразование частных адресов в адреса, маршрутизируемые через глобальные сети.
VPN от источника до получателя информации В современных условиях ставится задача защиты информации как от внешнего, так и внутреннего нарушителя. Один из важнейших аспектов этой задачи – обеспечить гарантированную защиту от доступа к передаваемой информации, ее модификации при взаимодействии двух компьютеров на любом участке распределенной компьютерной сети.
Решение такой задачи возможно только криптографическими методами.
Поскольку мы не оговариваем тип передаваемого трафика, то шифрование данных может производиться только на уровне трафика компьютера или подсети, а не отдельных приложений. То есть речь идет о технологиях VPN на уровне 3 с шифрованием IP-трафика.
Вместе с тем технология криптографических VPN обычно используется для создания туннелей через глобальную сеть между VPN-шлюзами (криптошлюзами) локальных сетей, или для обеспечения удаленного доступа пользователей через туннель с VPN-шлюзом в локальную сеть, или для обеспечения доступа по клиент-серверной технологии внутри маршрутизируемой сети. И практически нет решений, которые позволили бы установить точечное VPN-соединение извне с произвольным узлом внутри локальной сети. А именно это необходимо, чтобы обеспечить недоступность трафика в любой точке распределенной сети, в том числе внутри локальной сети. Особенно важным такой подход становится при использовании беспроводных фрагментов локальных сетей.
Требования к VPN
Что нужно для нормального функционирования подобной виртуальной сети?
1. Для прохождения через устройства NAT VPN-трафик должен быть инкапсулирован в UDP- или TCP-формат.
2. Каждый VPN-узел должен владеть информацией об IP-адресах других узлов в той сети, где эти узлы находятся (только IP-адрес может являться критерием для выбора ключа при создании VPN-соединения), о ближайших IP-адресах и портах доступа к этим узлам через устройства NAT или VPN-шлюзы.
3. Если VPN-узел расположен за динамическим устройством NAT, то должна поддерживаться постоянная возможность прохождения входящего VPN-трафика через устройство NAT от других VPN-узлов. 4. VPN-шлюз должен "знать", через какие VPN-шлюзы можно попасть на другие VPN-узлы. ............
