Учебное пособие состоит из восьми глав, написано в соответствии с программой курса «Администрирование вычислительных систем и сетей»
Межузловое соединение VPN , проходящее через интернет Преимущества узловых
жүктеу/скачать 4,61 Mb. Pdf көрінісі
|
Учебное пособие
- Бұл бет үшін навигация:
- Проблемы, связанные с узловыми VPN
|
Межузловое соединение VPN , проходящее через интернет Преимущества узловых VPN Как и в случае с пользовательскими VPN , основным преимуществом узловой VPN является экономичность. Организация с небольшими, удаленными друг от друга офисами может создать виртуальную частную сеть , соединяющую все удаленные офисы с центральным узлом (или даже друг с другом) со значительно меньшими затратами. Сетевая инфраструктура также может быть применена значительно быстрее, так как в удаленных офисах могут использоваться локальные ISP для каналов ISDN или DSL . На базе политики организации могут быть разработаны правила, определяющие, каким образом удаленные сайты будут подключаться к центральному сайту или друг к другу. Если узловая VPN предназначена для соединения двух организаций, то на доступ ко внутренним сетям и компьютерным системам могут налагаться строгие ограничения. 89 Проблемы, связанные с узловыми VPN Узловые VPN расширяют периметр безопасности организации, добавляя новые удаленные узлы или даже удаленные организации. Если уровень безопасности удаленного узла невелик, VPN может позволить злоумышленнику получить доступ к центральному узлу и другим частям внутренней сети организации. Следовательно, необходимо применять строгие политики и реализовывать функции аудита для обеспечения безопасности организации в целом. В случаях, когда две организации используют узловую VPN для соединения своих сетей, очень важную роль играют политики безопасности, установленные по обе стороны соединения. В данной ситуации обе организации должны определить, какие данные могут передаваться через VPN , а какие – нет, и соответствующим образом настроить политики на своих межсетевых экранах. Аутентификация узловых VPN также является важным условием для обеспечения безопасности. При установке соединения могут использоваться произвольные секреты, но один и тот же общий секрет не должен использоваться для более чем одного соединения VPN . Если предполагается использовать сертификаты с открытыми ключами, необходимо создать процедуры для поддержки изменения и отслеживания срока действия сертификатов. Как и в случае с пользовательскими VPN , сервер VPN должен поддерживать дешифрование и шифрование VPN -трафика. Если уровень трафика высок, сервер VPN может оказаться перегруженным. В особенности это относится к ситуации, когда межсетевой экран является VPN -сервером, и имеет место интернет -трафик большого объема. Наконец, необходимо обдумать вопросы, связанные с адресацией. Если узловая VPN используется внутри одной организации, в ней необходимо наличие одинаковой схемы адресации для всех узлов. В данном случае адресация не представляет какой-либо сложности. Если же VPN используется для соединения двух различных организаций, необходимо предпринять меры для предупреждения любых конфликтов, связанных с адресацией. На рис. 5 отражена возникшая конфликтная ситуация . Здесь обе организации используют части одного и того же частного адресного пространства ( сеть 10.1.1.x). Рис. 5. Узловая VPN может вызывать конфликты, связанные с адресацией Очевидно, что схемы адресации будут конфликтовать друг с другом, и маршрутизация трафика не будет функционировать. В данном случае каждая сторона соединения VPN должна выполнять трансляцию сетевых адресов и 90 переадресовывать системы другой организации на их собственную схему адресации (см. рис. 6). жүктеу/скачать 4,61 Mb. Достарыңызбен бөлісу:
|