VPN – типы подключения и проверка безопасности

Технология виртуальной частной сети (VPN) позволяет создавать защищенное безопасное соединение в потенциально опасном сегменте общедоступной сети, такой как Интернет. Разработка технологии велась для предоставления удаленным пользователям доступа к приложениям корпоративной сети, однако ее развитие дало возможность объединять в одну сеть филиалы компании. Рассмотрим основные способы организации VPN в корпоративной сети и с использованием сети оператора связи.

Плюсы и минусы использования VPN

Основным преимуществом использования VPN является обеспечение необходимого уровня сетевой безопасности при удаленном доступе к информационным системам через публичную сеть. Когда сетевое оборудование не может обеспечить приватность передачи данных, VPN позволяет зашифровать трафик внутри защищенного канала.

Еще одним плюсом можно назвать стоимость решения: в то время как прокладка частной сети между удаленными офисами может стоить сотни тысяч рублей, цена за использование VPN-решения начинается с нуля, тем более это актуально для подключения к корпоративной сети отдельных сотрудников, работающих «в поле».

К минусу можно отнести ограниченную производительность решения VPN: на нее влияет скорость доступа к сети Интернет, типы протоколов, которые использует интернет-провайдер, и способ шифрования. Также на производительности могут сказываться и другие факторы.

Протоколы VPN

Существует несколько протоколов для безопасного уделенного доступа и шифрования передаваемых корпоративных данных:

• IP security (IPsec);
• Secure Sockets Layer (SSL) и Transport Layer Security (TLS);
• Point-To-Point Tunneling Protocol (PPTP);
• Layer 2 Tunneling Protocol (L2TP);
• OpenVPN.

А к наиболее часто используемым типам подключения можно отнести удаленный доступ пользователя к корпоративной сети (remote-access VPN) и соединение двух площадок «точка – точка» (site-to-site VPN). Остановимся на них подробнее.

Удаленный доступ VPN

Данная технология используется для предоставления сотрудникам компании безопасного доступа к корпоративной сети и ее ресурсам через публичную сеть Интернет. Это особенно актуально, когда для подключения к Интернету используется общественная точка доступа Wi-Fi или другие небезопасные способы подключения. Приложение – клиент VPN на удаленном компьютере или мобильном устройстве подключается к VPN-шлюзу сети компании, на котором производится аутентификация и авторизация пользователя. После успешного прохождения этой процедуры пользователь получает доступ к внутренним сетевым ресурсам (файловый сервер, базы данных, принтеры и другие) так, будто он подключен к локальной сети.

Для защиты удаленного доступа чаще всего применяются протоколы IPsec или SSL, хотя SSL больше ориентирован на обеспечение безопасного подключения к одному приложению (например, SharePoint или электронная почта), а не ко всей внутренней сети. Также возможно соединение Layer2 с применением протоколов туннелирования, таких как PPTP и L2TP, через соединение IPsec.

Схема удаленного доступа VPN

VPN-соединение «точка – точка»

Соединение «точка – точка» применяется для подключения всей локальной сети в одной локации к локальной сети в другой. Стандартный сценарий – подключение удаленных филиалов к центральному офису или дата-центру компании. При этом не требуется установка VPN-клиентов на устройства пользователей, так как соединение обрабатывает VPN-шлюз, и передача данных между устройствами в разных сетях происходит прозрачно.

Наиболее популярный способ защиты соединений «точка – точка» – IPsec (через Интернет), но также широко распространен вариант операторского MPLS-облака, без использования публичных сетей. В последнем случае становятся доступны соединения Layer3 (MPLS IP VPN) или Layer2 (Virtual Private LAN Service – VPLS).

Существует еще несколько сценариев использования VPN-соединений:

• между двумя отдельными устройствами, например серверами, в двух разнесенных дата-центрах, когда требований безопасности стандартной корпоративной сети недостаточно;
• подключение к ресурсам облачной инфраструктуры (infrastructure-as-a-service);
• размещение VPN-шлюза в облаке и предоставление доступа облачным провайдером.

Схема VPN-соединения «точка – точка»

Проверка безопасности VPN-соединения

Независимо от того, какой тип VPN вы используете, чтобы обеспечить высокий уровень защищенности, необходимо выполнить самостоятельную проверку. Проведя несколько простых действий, вы обезопасите свою сеть от незаконного проникновения.

1. Разведка

Определите тип используемого VPN и порт, на котором VPN-служба прослушивает соединения. Это можно сделать с помощью любого инструмента для сканирования портов, например Nmap. В зависимости от типа VPN это может быть порт UDP 500 (IPSec), порт TCP 1723, порт TCP 443 (SSL VPN), порт UDP 1194 (OpenVPN) или любой другой нестандартный порт.

1. Использование

После успешного определения порта VPN вы должны просканировать его, чтобы определить производителя и версию VPN-службы. Для этого воспользуйтесь ike-scan-инструментом. Когда вы узнаете требуемую информацию, поищите в Интернете, на сайте производителя и в каталоге CVE сведения об уязвимостях данной службы, которые могут быть использованы для проникновения с помощью существующих эксплоитов или создания новых.

1. Аутентификация

VPN-служба, которая прослушивает входящие соединения, должна правильно проверять учетные данные, предоставляемые клиентом. Недостаточно просто проверить логин и пароль, для повышения надежности необходимо использовать сертификаты безопасности. Также требуется использовать грамотную политику паролей (сложность, сроки хранения, автоматическая генерация и т. п.), которая совместно с сертификатом исключит атаки и взлом подбором пароля.

В следующей статье мы подробнее расскажем о протоколах VPN, а также о технологии Virtual Private LAN Service (VPLS).

VPN-соединение – важный инструмент при организации корпоративных сетей, однако необходимо помнить, что его поддержку должен обеспечивать оператор связи или интернет-провайдер. Многие из них предоставляют доступ, используя трансляцию адресов NAT, и большинство устройств поддерживают туннелирование GRE (Generic Routing Encapsulation). Для создания VPN-сетей применяются, в частности, протоколы PPTP, требующие от оборудования NAT поддержки ALG (Application-level gateway).

В новой версии СКАТ DPI 7.0, помимо уже существующей функции CG-NAT для трансляции адресов, разработчик VAS Experts добавил поддержку туннелирования GRE через встроенный NAT (PPTP/GRE ALG). Теперь платформа СКАТ DPI не препятствует созданию VPN-туннелей.