Типы подключений VPN и проверки безопасности

Технология виртуальной частной сети (VPN) позволяет установить защищенное соединение в потенциально небезопасном сегменте общедоступной сети, такой как Интернет.

Эта технология изначально была предназначена для предоставления удаленным пользователям доступа к ресурсам корпоративной сети, тогда как ее дальнейшая эволюция позволила объединить разные дочерние компании компании в единую сеть.

Давайте рассмотрим основные способы настройки VPN в корпоративной сети в целом и сети оператора связи в частности.

Плюсы и минусы использования VPN

Основополагающее преимущество использования решения VPN сводится к обеспечению надежной защиты сети, когда информационные системы дистанционно доступны через общедоступную сеть.

Когда обычное сетевое оборудование не может гарантировать конфиденциальность передачи данных, VPN способен шифровать трафик в защищенном канале.

Экономическая эффективность также является плюсом для такого решения. В то время как создание частной сети, связывающей удаленные офисы, может стоить десятки тысяч долларов, стоимость использования решения VPN начинается с нуля, однако не рекомендуется использовать бесплатные сторонние решения.

С другой стороны, ограниченная производительность является основным недостатком среднего решения VPN. Это зависит, в частности, от скорости интернет-соединения, метода шифрования и типов протоколов, используемых поставщиком интернет-услуг (ISP).

Протоколы VPN

Существует несколько протоколов VPN для безопасного удаленного доступа и шифрования передаваемых корпоративных данных.

Наиболее часто используются:

  • IP-security (IPsec);
  • Secure Sockets Layer (SSL) и безопасность транспортного уровня (TLS);
  • Протокол туннелирования «точка-точка» (PPTP);
  • Протокол туннелирования уровня 2 (L2TP);
  • OpenVPN.

Наиболее распространенными типами подключения являются VPN удаленного доступа и VPN-соединение между узлами.

Остановимся на этих двух в подробностях.

Удаленный доступ к VPN

Эта технология используется для обеспечения сотрудникам компании безопасного доступа к корпоративной сети и ее ресурсам через Интернет.

Это особенно важно, когда пользователь переходит в Интернет через общедоступную точку доступа Wi-Fi или другие небезопасные каналы подключения.

Решение VPN-клиента, установленное на удаленном компьютере или мобильном устройстве, подключается к шлюзу службы VPN сети компании, который выполняет аутентификацию и авторизацию пользователя.

Если сотрудник успешно прошел эту процедуру, они получают доступ к внутренним сетевым ресурсам (файловый сервер, база данных, принтеры и т. д.), как если бы они были подключены к локальной сети.

В этом случае удаленный доступ обычно защищается с помощью протоколов IPsec или SSL, хотя последний сосредоточен на обеспечении соединения с одним приложением (например, SharePoint или электронной почтой), а не всей внутренней сетью.

Использование протоколов Layer2 over IPsec, связывающих туннелирование, таких как PPTP или L2TP, также довольно распространено.

VPN-соединение точка-точка

VPN-соединение «точка-точка» используется для подключения всей локальной сети, расположенной в одном месте, к локальной сети в другом месте.

Обычный сценарий сводится к подключению удаленных дочерних компаний к корпоративным штабам или к дата-центру компании.

Этот метод не требует установки VPN-сервисов на устройства пользователей, поскольку соединение обрабатывается шлюзом VPN, а передача данных между устройствами в разных сетях происходит прозрачно.

IPsec (через Интернет) является наиболее распространенным способом защиты межсетевых VPN-подключений, тогда как другой распространенный метод заключается в использовании облачного MPLS-оператора, поддерживающего операторский интерфейс, который не включает общедоступные сети.

В последнем случае применимы соединения Layer3 (MPLS IP VPN) или Layer2 (Virtual Private LAN Service — VPLS).

Существует несколько других сценариев использования VPN-подключений:

  • Между двумя автономными устройствами, такими как серверы, расположенными в двух удаленных центрах обработки данных, когда стандартных требований безопасности корпоративной сети недостаточно;
  • Подключение к ресурсам облачной инфраструктуры (infrastructure-as-a-service);
  • Разворачивание VPN-шлюза в облаке и аутсорсинг доступа к поставщику облака.

Проверка безопасности VPN-подключения

Независимо от того, какой тип VPN вы выбираете, вам необходимо провести собственный осмотр, чтобы убедиться, что уровень безопасности достаточно высок.

Несколько простых шагов позволят вам защитить вашу сеть от нарушения конфиденциальности.

Разведка

Выясните, какой тип VPN вы используете, и какой порт VPN-сервиса привлекает для прослушивания ваших соединений.

Для этого вы можете использовать любой сканер портов, например Nmap.

В зависимости от типа VPN может быть UDP-порт 500 (IPsec), порт TCP 1723, порт TCP 443 (SSL VPN), порт UDP 1194 (OpenVPN) или любой другой нестандартный порт.

Использование

Определив порт VPN, вы должны отсканировать его, чтобы определить поставщика и версию службы VPN.

С этой целью вы можете использовать инструмент сканирования ike.

Как только вы узнаете о необходимых деталях, выполните поиск в Интернете и просмотрите веб-сайт поставщика, а также каталог CVE уязвимостей данной службы, которые могут быть использованы для проникновения через существующие или зеро-дэй эксплойты.

Аутентификация

Служба VPN, которая контролирует все входящие подключения, должна правильно проверять учетные данные, предоставленные клиентом.

Просто проверить имя пользователя и пароль недостаточно — более эффективный подход заключается в использовании сертификатов безопасности.

Также рекомендуется применять надежную политику паролей (длина пароля, достоверность, автоматическая генерация и т. д.), которые вместе с сертификатом предотвратят хакерские атаки и атаки по словарю.

VPN-соединение является важным компонентом архитектуры корпоративной сети, это находка для подключения сотрудников, работающих на удаленных местах за пределами площадки, но вам нужно помнить, что они поддерживаються сетевым оператором или интернет-провайдером.

Многие из них обеспечивают доступ при трансляции сетевых адресов (NAT), а большинство устройств поддерживают протокол туннелирования GRE (Generic Routing Encapsulation).

Стоит отметить, что процесс создания VPN-сетей может также включать протоколы PPTP, которые требуют, чтобы оборудование NAT поддерживало ALG (шлюз уровня приложения).

См. также:

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40