Файл: Защита сетевой инфраструктуры предприятии.pdf

Таким образом, наиболее приемлемым средством защиты периметра является межсетевой экран D–linkDFL–260.

Также предлагается развертывание сети VPN, Составной частью решений для развертывания сетей VPN являются такие технологии, как IPSec VPN, Cisco Easy VPN, Cisco Dynamic Multipoint VPN, Cisco GRE VPN.

Основные требования

• прозрачный обмен данными между приложениями сетей территориально удаленных офисов
• защита данных от несанкционированного доступа и искажения злоумышленниками как из сети Интернет, так и из внутренней сети компании
• способность автоматической реконфигурации сети при отказах основных каналов связи с переходом на резервные каналы
• возможность предоставлять требуемые классы обслуживания для заданных типов трафика (данные, голос, видео)
• возможность гибкого централизованного управления сетью и политиками безопасности всех узлов
• учет событий в системе безопасности, их накопление и выдача статистических данных

IPSec VPN

Наиболее распространенная технология, основанная на открытых стандартах, поддерживаемая наибольшим числом производителей оборудования и программного обеспечения. Идеальна для построения гетерогенных сетей VPN.

Отработанная за годы развития технология IPSec VPN гарантирует стабильную работу и корректное взаимодействие оборудования различных производителей, различных платформ и программных сред в рамках одной сети VPN. Вместе с очевидными достоинствами имеет ряд существенных ограничений.

В основе решения лежит сеть VPN с предварительно настроенными в каждой точке входа в сеть туннелями для передачи защищаемого трафика. Таким образом все политики доступа и параметры взаимодействия конфигурируются отдельно для каждого устройства доступа и каждой удаленной подсети.

Преимущества

• Поддержка наибольшим числом производителей
• Поддерживается во всех моделях маршрутизаторов Cisco
• Открытый стандарт
• Недостатки
• Нет поддержки широковещательного трафика
• Нет поддержки трафика отличного от IP
• Нет поддержки политик качества обслуживания для каждого туннеля
• Нет механизма переключения основной/резервный каналы - только переключение с отказавшего на следующий доступный канал из списка.

Функциональность IPSec VPN реализована в маршрутизаторах Cisco ISR, Cisco ASA и концентраторах Cisco VPN 3000 которые могут работать как в сетях VPN для объединения локальных сетей удаленных офисов, так и в качестве устройств для удаленного доступа сотрудников к корпоративным бизнес-приложениям.

Таблица 2

Ключевые характеристики IPSec VPN

Технология Cisco Easy VPN в значительной степени упрощает процесс развертывания и сопровождения сети VPV для множества удаленных офисов. Технология централизует управление всеми параметрами и политиками безопасности на устройствах сети, сокращая сложность и повышая безопасность сети VPN.

Суть решения состоит в размещении всех параметров взаимодействия и политик безопасности на центральном сервере сети VPN (Easy VPN Server), к которому подключаются удаленные устройства VPN - аппаратные и программные клиенты (Easy VPN Remote). Перед тем как удаленный клиент сети Easy VPN сможет начать процедуру установления зашифрованного соединения с сетью VPN, он должен пройти процедуру проверки подлинности и загрузить все политики безопасности с сервера Easy VPN.

Благодаря тому, что все параметры взаимодействия и политики безопасности хранятся на центральном сервере, объем настроек оборудования в удаленных офисах сводиться к минимуму и состоит в подготовке универсального шаблона конфигурации. В дальнейшем этот шаблон может быть легко тиражирован на все устройства сети VPN без ущерба для уровня безопасноcти. Таким образом технология Easy VPN радикально минимизирует затраты на сопровождение ИТ в удаленных офисах.

В настоящее время функциональность Easy VPN Server реализована в маршрутизаторах Cisco ISR, Cisco ASA и концентраторах Cisco VPN 3000 которые могут работать как в сетях VPN для объединения локальных сетей удаленных офисов, так и в качестве устройств для удаленного доступа сотрудников к корпоративным бизнес-приложениям.

В качестве клиента Easy VPN Remote могут выступать маршрутизаторы Cisco ISR, UBR900 , Cisco PIX 501, 506E и аппаратный клиент сетей VPN - Cisco VPN 3002.

Таблица 3

Ключевые характеристики Easy VPN

Технология Cisco Dynamic Multipoint VPN

Технология построения виртуальных частных сетей в основе которой лежит механизм динамического установления соединений между узлами сети

Cisco DMVPN может быть развернута как совместно с системами безопасности Cisco IOS Firewall и Cisco IOS IPS, так и вместе с такими необходимыми в современных сетях механизмами как QoS, IP Multicast, Split Tunneling и механизмами резервных маршрутов (routing-based failover). Используя возможности Cisco DMVPN можно создавать крупные VPN сети с десятками и сотнями узлов, с возможностью балансировки загрузки каналов и резервирования. При этом нет необходимости вручную конфигурировать каждое соединение между узлами сети - соединение будет установлено автоматически в соответствии c политиками доступа и безопасности.

Преимущества технологии Cisco DMVPN

Динамическая маршрутизация между узлами сети VPN 
Протоколы динамической маршрутизации могут пересылать информацию об IP-сетях по зашифрованным тоннелям между подразделениями компании. Поддерживаются протоколы маршрутизации: Enhanced Interior Gateway Routing Protocol (EIGRP), Open Shortest Path First (OSPF), и Border Gateway Protocol (BGP).

Небольшой объем конфигурационных данных 

Нет необходимости настраивать каждое соединение в отдельности. Добавление нового узла в сеть VPN не требует изменений в конфигурации как соседних узлов сети VPN, так и центрального узла такой сети. Например, типовой конфигурационный файл для сети из 1000 узлов в случае традиционных сетей IPsec буде содержать 3900 строк на каждом устройстве VPN, в то время как для технологии DMVPN необходимо только 13 строк на одно устройство.

Динамические туннели без участия центрального узла 
В соответствии с политиками безопасности компании отдельные узлы смогу устанавливать соединения VPN между собой без участия центрального узла. Это снижает как нагрузку на оборудование и расходы на транзитный трафик для центрального узла, так и повышает скорость обработки таких данных как трафик систем IP-телефонии.

Поддержка NAT 

Узлы сети VPN в удаленных подразделениях на оборудовании которых используется трансляция адресов NAT с успехом могут быть подключены к сети DMVPN.

Механизмы отказоустойчивости 

Сеть VPN может быть построена как с использованием одного центрального узла, так и нескольких центральных узлов для обеспечения резервирования устройств и каналов связи. Удаленные узлы сети могут быть подключены к двум каналам связи от двух операторов связи одновременно для обеспечения отказоустойчивой схемы.

Поддержка качества обслуживания QoS 

Как на центральном узле сети VPN, так и на удаленных узлах возможна реализация политик QoS с классификацией трафика, настройка шейпирования трафика, обслуживания трафика с различным приоритетом для разных узлов сети.

Масштабируемость сети

Сеть DMVPN может состоять как из нескольких узлов, так и вырасти до сети из тысяч узлов с использованием технологии server load balancing (SLB). Производительность центральных узлов может быть увеличена простым добавлением дополнительных устройств. При необходимости сеть VPN может иметь иерархическую структуру.

Минусы технологии Cisco DMVPN

Данная технология построения сетей VPN поддерживается только на маршрутизаторах Cisco Systems.

Сравнение рассмотренных технологий приведено в таблице 4.

Таблица 4

Сравнение технологий