89
Проблемы, связанные с узловыми
VPN
Узловые
VPN
расширяют
периметр безопасности
организации, добавляя
новые
удаленные узлы
или даже удаленные организации. Если уровень
безопасности
удаленного узла
невелик,
VPN
может позволить злоумышленнику
получить
доступ
к центральному узлу и другим
частям внутренней сети
организации. Следовательно, необходимо применять строгие политики и
реализовывать функции аудита для обеспечения безопасности организации в
целом. В случаях, когда две организации используют узловую
VPN
для
соединения
своих сетей, очень важную роль играют политики безопасности, установленные по
обе стороны соединения. В данной ситуации обе организации должны определить,
какие данные
могут передаваться через
VPN
, а какие – нет, и соответствующим
образом настроить политики на своих межсетевых экранах.
Аутентификация
узловых
VPN
также является важным условием для
обеспечения безопасности. При установке соединения могут использоваться
произвольные секреты, но один и тот же общий секрет не должен использоваться
для
более чем одного соединения
VPN
. Если предполагается использовать
сертификаты с открытыми ключами, необходимо создать процедуры для
поддержки изменения и отслеживания срока действия сертификатов.
Как и в
случае с пользовательскими
VPN
,
сервер
VPN
должен
поддерживать
дешифрование
и
шифрование
VPN
-трафика. Если уровень трафика
высок,
сервер
VPN
может оказаться перегруженным. В особенности это относится
к
ситуации,
когда
межсетевой
экран
является
VPN
-сервером,
и
имеет
место
интернет
-трафик большого объема.
Наконец, необходимо обдумать вопросы, связанные с адресацией. Если
узловая
VPN
используется внутри одной организации, в ней необходимо наличие
одинаковой схемы адресации для всех узлов. В данном случае
адресация
не
представляет какой-либо сложности. Если же
VPN
используется
для соединения
двух различных организаций, необходимо предпринять меры для предупреждения
любых конфликтов, связанных с адресацией. На рис. 5 отражена возникшая
конфликтная ситуация
.
Здесь обе организации используют части одного и того же
частного адресного пространства (
сеть
10.1.1.x).
Рис. 5.
Узловая VPN может
вызывать конфликты, связанные с адресацией
Очевидно, что схемы адресации будут конфликтовать друг с другом,
и
маршрутизация
трафика не будет функционировать. В данном случае каждая
сторона соединения
VPN
должна выполнять трансляцию сетевых адресов и
90
переадресовывать системы другой организации на их собственную схему
адресации (см. рис. 6).
Достарыңызбен бөлісу: