Учебное пособие состоит из восьми глав, написано в соответствии с программой курса «Администрирование вычислительных систем и сетей»


Межузловое соединение  VPN , проходящее через интернет  Преимущества узловых



Pdf көрінісі
бет73/117
Дата14.09.2023
өлшемі4,61 Mb.
#181083
түріУчебное пособие
1   ...   69   70   71   72   73   74   75   76   ...   117
Байланысты:
Учебное пособие

 
Межузловое соединение 
VPN
, проходящее через интернет 
Преимущества узловых
 VPN
 
Как 
и 
в 
случае 
с 
пользовательскими 
VPN

основным 
преимуществом 
узловой
VPN
является экономичность. Организация с небольшими, 
удаленными друг от друга офисами может создать виртуальную частную 
сеть

соединяющую все удаленные офисы с центральным узлом (или даже друг с другом) 
со значительно меньшими затратами. 
Сетевая инфраструктура
также может быть 
применена значительно быстрее, так как в удаленных офисах могут использоваться 
локальные 
ISP
для каналов 
ISDN
или 
DSL

На базе политики организации могут быть разработаны правила, 
определяющие, каким образом удаленные сайты будут подключаться к 
центральному сайту или друг к другу. Если узловая 
VPN
предназначена для 
соединения двух организаций, то на 
доступ
ко внутренним сетям и компьютерным 
системам могут налагаться строгие ограничения. 


89 
Проблемы, связанные с узловыми
 VPN
 
Узловые 
VPN
расширяют 
периметр безопасности
организации, добавляя 
новые 
удаленные узлы
или даже удаленные организации. Если уровень 
безопасности 
удаленного узла
невелик, 
VPN
может позволить злоумышленнику 
получить 
доступ
к центральному узлу и другим частям внутренней сети 
организации. Следовательно, необходимо применять строгие политики и 
реализовывать функции аудита для обеспечения безопасности организации в 
целом. В случаях, когда две организации используют узловую 
VPN
для соединения 
своих сетей, очень важную роль играют политики безопасности, установленные по 
обе стороны соединения. В данной ситуации обе организации должны определить, 
какие данные могут передаваться через 
VPN
, а какие – нет, и соответствующим 
образом настроить политики на своих межсетевых экранах. 
Аутентификация
узловых 
VPN
также является важным условием для 
обеспечения безопасности. При установке соединения могут использоваться 
произвольные секреты, но один и тот же общий секрет не должен использоваться 
для более чем одного соединения 
VPN
. Если предполагается использовать 
сертификаты с открытыми ключами, необходимо создать процедуры для 
поддержки изменения и отслеживания срока действия сертификатов. 
Как и в случае с пользовательскими 
VPN

сервер
VPN
должен 
поддерживать 
дешифрование
и 
шифрование
VPN
-трафика. Если уровень трафика 
высок, 
сервер
VPN
может оказаться перегруженным. В особенности это относится 
к 
ситуации, 
когда 
межсетевой 
экран
является 
VPN
-сервером, 
и 
имеет 
место
интернет
-трафик большого объема. 
Наконец, необходимо обдумать вопросы, связанные с адресацией. Если 
узловая 
VPN
используется внутри одной организации, в ней необходимо наличие 
одинаковой схемы адресации для всех узлов. В данном случае 
адресация
не 
представляет какой-либо сложности. Если же 
VPN
используется для соединения 
двух различных организаций, необходимо предпринять меры для предупреждения 
любых конфликтов, связанных с адресацией. На рис. 5 отражена возникшая 
конфликтная ситуация

Здесь обе организации используют части одного и того же 
частного адресного пространства (
сеть
10.1.1.x). 
Рис. 5.
 
Узловая VPN может вызывать конфликты, связанные с адресацией 
Очевидно, что схемы адресации будут конфликтовать друг с другом, 
и 
маршрутизация
трафика не будет функционировать. В данном случае каждая 
сторона соединения 
VPN
должна выполнять трансляцию сетевых адресов и 


90 
переадресовывать системы другой организации на их собственную схему 
адресации (см. рис. 6). 


Достарыңызбен бөлісу:
1   ...   69   70   71   72   73   74   75   76   ...   117




©engime.org 2024
әкімшілігінің қараңыз

    Басты бет