2.2.1 Пользовательская схема

Предприятие самостоятельно защищает данные, передаваемые по публичной сети, размещая VPN-шлюзы и VPN-клиенты в своей сети и на своей территории (рис. 2.1). Такую схему иногда называют пользовательской. Оборудование VPN физически находится в помещении предприятия.

Предприятие берет на себя полностью задачу обеспечения безопасности, а у провайдера только получает гарантированную (или негарантированную) пропускную способность. Локальные сети предприятия защищаются чаще всего с помощью VPN-шлюзов. В условиях, когда услуги провайдера по поддержанию VPN не используются, такое решение наиболее экономично, так как один шлюз защищает сразу все узлы корпоративной сети, расположенной позади него.

При образовании защищенных каналов между шлюзами различных локальных сетей одного и того же предприятия, технология VPN используется для реализации услуг интрасетей. В результате образуются защищенные интрасети. При прокладке каналов VPN между шлюзами разных предприятий формируется защищенная экстрасеть. Администратор локальной сети должен так настроить VPN-шлюз, чтобы он поддерживал установление защищенных каналов только с определенными шлюзами своего предприятия (в рамках интрасети), и тех предприятий, с которыми оно обменивается конфиденциальной информацией (в рамках экстрасети).

Рис.2.1. Организация VPNс помощью средств предприятия.

В целом схема, при которой все оборудование VPN размещается на территории предприятия, с точки зрения администратора предприятия обладает рядом как достоинств, так и недостатков.

Достоинства:

• прежде всего, это полный контроль администратора предприятия над ситуацией по защите корпоративной сети: выбор протоколов защищенного канала, настройка VPN на взаимодействие только с определенными абонентами или сетями, выбор стратегии смены паролей и т. п. Предприятие остается физическим владельцем устройств, которые содержат наиболее важную информацию о безопасности (такую, как пароли, ключи и т. д.);

• полный контроль над распределением пропускной способности защищенного канала для приложений. В том случае, когда провайдер предоставляет гарантии качества транспортного обслуживания, помещение пользователя является единственным местом для задания приоритетов исходящего трафика (поскольку у провайдера при получении зашифрованных пакетов не остается никаких признаков, на основании которых он мог бы осуществлять дифференцированное обслуживание). В этом случае VPN можно реализовать с использованием транспортных услуг многих провайдеров, не привязываясь к какому-нибудь определенному — главное, чтобы они предоставляли гарантии по пропускной способности канала и задержкам пакетов;

• безопасность реализуется "из-конца-в-конец": от места расположения пользователя до места назначения. Данные защищаются еще до выхода из помещения пользователя. Это свойство не всегда принимается во внимание, так как телефонные каналы и выделенные линии, которые используются для доступа к сети провайдера услуг Internet, чаще всего считаются вполне защищенными и без шифрования данных. Однако при передаче очень важных конфиденциальных данных такая защита может оказаться необходимой.

Недостатки:

• высокая стоимость VPN-устройств, а также их обслуживания;

• низкая степень масштабируемости VPN из-за децентрализованности применяемой схемы. При расширении VPN необходимо приобретать, устанавливать и конфигурировать новый VPN-шлюз в каждом вновь подключаемом филиале, а в каждом новом удаленном компьютере — клиентское программное обеспечение VPN. При использовании услуг провайдера все защищенные каналы проходят через несколько его шлюзов. Поэтому подключение нового филиала или удаленного пользователя требует гораздо меньших материальных и административных затрат, так как сводится в основном к внесению небольших изменений в конфигурационные настройки существующих шлюзов.