Виртуални частни мрежи за малки и средни организации
Нуждата от отдалечен достъп безспорно се управлява от комбинация от бизнес, социални и технологични тенденции. Служителите искат гъвкави работни условия, компанията се бори за подобряване на производството и намаляване на разходите, а новите възможности на технологиите се грижат за всички техни нужди. Бизнес средата на организацията е съставена от ръководители, служители, мобилни работници, предприемачи, доставчици и партньори – всички те се нуждаят от сигурен достъп до нейните ресурси.
Доскоро свързването с отдалечени офиси и потребители бе в компетенциите само на най-големите компании с достатъчно ИТ и финансови ресурси. Повечето малки и средни организации не могат да свържат отдалечени офиси и потребители поради ограничените си възможности и комплексните технически изисквания, които трябва да изпълнят.
Две ключови технологии се сливат, за да създадат доходоносни, базирани на интернет решения за отдалечен достъп за малките и средните организации. Първо, бързото разпространение на приемливи и масови технологии за интернет достъп, сред които DSL (Digital Subscriber Line), кабелен и безжичен. И второ, нуждата от базирани на стандарти решения за виртуални частни мрежи (Virtual Private Network - VPN), които позволяват на малките и средните организации да прехвърлят сигурно лични данни през обществената Мрежа. Заедно тези технологии дават възможност на малките и средните организации да достигнат до предимствата на отдалечения достъп. Те могат да използват виртуална частна мрежа и сигурен интернет, за да свържат географски разпръснати офиси и потребители, така че да създадат една разпределена работна среда.
Разпределена работна среда
Нуждата от отдалечен достъп до ресурсите на мрежата на организацията се управлява от съвременните тенденции в бизнеса. Служителите искат да работят по-гъвкаво, компаниите се борят за намаляване на разходите, а бизнес партньорите искат достъп в реално време до важна информация.
Друг фактор, ускоряващ създаването и развитието на отдалечени филиали на компаниите, е все по-широкото усвояване на широколентовия интернет достъп. С увеличаването му нарастват и разходите за виртуални частни мрежи.
Интелигентна работа с VPN
Виртуалните частни мрежи дават възможност на организации от всякакъв размер да балансират между гъвкавост и ниска цена за комуникации и същевременно да защитават поверителната си информация. Технологиите на VPN осигуряват инфраструктура, която поддържа сигурното движение на данни през интернет. Нарича се виртуална, защото не съществуват физически връзки, а комуникацията се осъществява чрез пакети от данни, изпращани по Мрежата. Това е и едно от предимствата на VPN – интернет има навсякъде и комуникационните връзки могат да се направят бързо, евтино и безопасно по целия свят.
Вграждането на виртуална частна мрежа за отдалечен достъп до данните на компанията дава нови възможности за работа, като:
• Снабдяване на служителите с информация в реално време, което им позволява да вземат възможно най-информираните решения.
• Рационализиран достъп до информация и възможност за централизация на важни за дадена дейност или задача данни и съдържание.
• Използването на интернет намалява разходите на компанията за изграждане на сложна и скъпа инфраструктура.
• Работните места се разширяват извън стените на офиса, което от своя страна увеличава продуктивността на работниците чрез осигуряване на нужната им гъвкавост.
• Осигурява предимство в набирането на нови кадри, търсещи гъвкави работни схеми.
• Благоприятства за постигането на конкурентно предимство чрез създаване на по-тясна връзка с клиентите, доставчиците и служителите.
• Позволява централизирано налагане на политики за сигурност при отдалечения достъп.
С развитието на широколентовите интернет връзки виртуалната частна мрежа се явява добро решение за отдалечен достъп за малки и средни организации. Динамиката и новите функционалности на широколентовите технологии, свързани с VPN, преобразяват принципно бавния служител (който от време на време проверява имейла си) във важен член на екипа. И то с възможности да допринесе за решаването на дадена задача независимо от физическото си местоположение. Вътрешната мрежа и базите данни са непрекъснато и бързо достъпни, а новите уеб базирани инструменти за съвместна работа дават достъп на отдалечените потребители до офиса.
VPN може лесно да се вгради в безжична мрежова технология, а служителят с лаптоп да я използва, свързвайки се към широколентов интернет, достъпен чрез безжичен LAN, в дома или офиса.
Сигурен отдалечен достъп
Традиционният отдалечен достъп изискваше компаниите да наемат скъпи специализирани линии за данни или да поддържат модеми, телефонни линии и да плащат такси за телекомуникационни услуги, за да поддържат Dial-up потребители. Високите цени за специализирани линии за данни принудиха повечето малки и средни организации да използват бавни Dial-up връзки за отдалечен достъп, но дори този вариант беше скъп и сложен.
Наличните технологии за интернет, базирани на отдалечен достъп, са предизвикателство за защитата на конфиденциалността на важна бизнес информация, преминаваща през публичната Мрежа. Хакери биха могли да прихванат тези данни, да ги използват или да получат достъп до мрежата на компанията. Излагане на тези рискове за сигурността означава, че неоторизиран потребител може да започне измамни транзакции, както и да открадне, промени или унищожи конфиденциална информация, излагайки организация, клиенти, продавачи и бизнес партньори на риск от финансови загуби.
Виртуалната частна мрежа използва “тунели” между два гейтуея, за да защити личните данни, пътуващи през интернет. “Прокарването на тунели” е процес на капсулиране и криптиране на пакети от данни, правещ ги нечитаеми, докато преминават през Мрежата. VPN тунелът в интернет защитава целия преминаващ трафик от данни без значение от приложението.
Системите за автентификация са изключително важни за VPN, тъй като достоверността гарантира на комуникиращите страни, че обменят данни с правилния потребител. VPN използват криптографски технологии, представляващи математически функции за криптиране и декриптиране - процес на разбъркване на информация, така че тя да не може да бъде прочетена от никой освен търсения получател. Основен елемент на криптирането е употребата на кодове (ключове), които се знаят само от комуникиращите страни. Подобно на шофьорска книжка или паспорт, един сертификат осигурява общовалидно доказателство за самоличност.
Освен че защитава мрежата от неоторизиран достъп, автентификацията, дигитални сертификати позволява да се повиши контролът, чрез ограничаване VPN достъпа на отдалечени потребители.
VPN Gateways
VPN gateway може да бъде вграден в софтуера на сървъра, рутера, защитната стена или друго устройство за сигурност. VPN gateway извършва високоскоростни криптирания и декриптирания, осигурява “изработването на тунели” и като цяло се грижи за създаването на една VPN връзка.
Изискванията за обработка на данни при виртуалната частна мрежа са високи поради тежките условия за криптиране и декриптиране и поради това изборът на гейтуей, който може да се справи с натоварването, е фактор при изграждането на VPN.
Базирани на IPSec VPN
Международна група, организирана под егидата на Internet Engineering Task Force (IETF), разработва Internet Protocol Security (IPSec), за да осигури услуги за безопасност на мрежово ниво. IPSec е базирана на модерни криптографски технологии, правейки възможна автентификацията на данни и гарантирайки висока поверителност. Тъй като серията протоколи IPSec е отворен интернет стандарт, тя дава възможност за съвместимост на VPN продуктите.
Предпазване чрез защитна стена
VPN няма да бъде цялостно решение за отдалечен достъп, ако не е в синхрон със сигурността на достъпа до интернет. Използването на VPN без защитна стена (firewall) за предпазване на локални компютри и мрежи отваря задна вратичка за хакери, нападащи мрежата.
Защитната стена предпазва мрежата от интернет базирани кражби, повреди и промени на информация, преглеждайки целия трафик от данни, минаващ по интернет или Wide Area Network (WAN) до местната мрежа (LAN). The International Computer Security Association (ICSA) класифицира защитните стени в три категории:
• Защитни стени, филтриращи пакетите данни - вградени принципно в DSL рутери, те преглеждат данните, минаващи към и от мрежата, използвайки правила за блокиране на достъпа според информацията, намираща се във всеки пакет.
• Прокси сървър или защитни стени на ниво сесия - тези защитни стени действат извън основната проверка на пакети данни, като преглеждат и данните в IP пакетите, за да потвърдят тяхната автентичност. Един прокси сървър приема или отхвърля трафик на данни в зависимост от целия набор IP пакети. Тази проверка на високо ниво причинява значително забавяне на интернет връзката. Прокси сървърите са по-трудни за настройка и поддръжка. Всеки клиент на мрежата трябва да има инсталиран клиентски софтуер и един компютър от мрежата да има два мрежови адаптера, за да играе ролята на прокси сървър.
• Проверка на цялостното състояние на пакета - заради недостатъците си филтрите за пакети данни и прокси сървърите не са от полза за много експерти по сигурността на мрежите и са заменени от проверка на цялостното състояние на пакета в качеството й на най-надеждна технология на защитна стена. Тя спира пакети, при които няма достатъчно информация за установяване сигурността на желаната връзка. Проверката на цялостното състояние на пакета е подходяща за защита на мрежи от атаки, целящи спирането на дадена услуга.
Да изградим VPN или да ползваме външен доставчик?
Организацията може да избира между две възможности за виртуална частна мрежа – да изгради собствена VPN или да ползва VPN услуги. Ако реши да изгражда собствена мрежа, компанията трябва да разположи VPN gateways навсякъде, от където иска да има достъп до мрежата и съответно да е отговорна за тяхната настройка и управление. High-end VPN gateway се инсталира в офиса, а VPN gateways се инсталират в отдалечени точки с широколентов достъп.
При VPN услугите компанията сключва споразумение с доставчик, който да управлява VPN gateways. Потребителят се свързва през ISPs мрежа с VPN клиент и започва “тунелна” сесия в POP (Point of Presence). При този метод доставчикът на услугата поема работата по VPN, но цената за това е по-висока.
Лесна употреба
По-големите организации винаги са имали възможност да оправдаят високата цена на труда на ИТ професионалистите по сигурността, които поддържат VPN. Това почти никога не се случва в малките и средни компании. Те се нуждаят от VPN решения, които са достатъчно мощни, за да защитят мрежата и да осигурят отдалечен достъп, но и достатъчно прости, за да могат да бъдат управлявани с ограничен ИТ ресурс.
Израстване
За да защитят инвестицията във VPN, компаниите трябва да имат предвид и бъдещото си разширяване. За да могат решенията за сигурност да израстват заедно с нея, трябва да има възможност с нарастване броя на потребителите да се разширява и размерът на мрежата. Всяка платформа за сигурност трябва да осигурява път за ъпгрейд при интегриране на нови услуги за сигурност и филтриране на съдържанието.
Обща цена на притежание
Компаниите трябва да имат предвид не само началната цена на VPN продуктите, но и цялостните разходи на притежание по време на жизнения им цикъл. Тези разходи включват инсталация, сервиз и поддръжка, ИТ ресурси за управление и често “скритите” разходи за ъпгрейд на софтуера, за да бъде продуктът актуален. Един от най-големите бюджетни елементи, свързани с всеки метод за сигурността, е разходът за ИТ ресурси. Спестяването на времето за инсталация и поддръжка може значително да намали общата цена на притежание.
Актуална защита
Методите за сигурност непрекъснато се променят. Всички решения, свързани с нея, трябва лесно да се адаптират към променящите се условия и да дават възможност за ъпдейт на софтуера за защита от най-новите атаки. Разходите (ако има такива) за тези ъпдейти по време на жизнения цикъл на продукта трябва да се причисляват към цялостните разходи за поддръжката на VPN. И още – нужно е тези ъпдейти да бъдат автоматични, така че решението за сигурност да се придържа към последните тенденции.
