Об'єднання локальних мереж офісів і віддалених філій
Для того щоб об'єднати локальні мережі офісів і віддалених філій, застосовують технологію віртуальних приватних мереж - VPN (Virtual Private Network). Дана технологія призначена для криптографічного захисту даних, що передаються по комп'ютерних мережах. Віртуальна приватна мережа являє собою сукупність мережевих з'єднань між декількома VPN-шлюзами, на яких виробляється шифрування мережевого трафіку. VPN-шлюзи ще називають криптографічними шлюзами або крипто-шлюзами.
Існують два методи побудови єдиної захищеної корпоративної мережі організації:
- з використанням обладнання і відповідного комплексу послуг інтернет-провайдера;
- з використанням власного обладнання, розташованого в головному офісі та філіях.
Далі розглянемо умови застосовності, переваги і недоліки кожного з цих методів.
VPN і послуги надає інтернет-провайдер
Дане рішення може бути застосовано, якщо головний офіс і філії підключені до Інтернет через одного інтернет-провайдера. Якщо відділення компанії розкидані по містах, та ще в різних країнах, навряд чи знайдеться провайдер, який зможе надати вам необхідний рівень сервісу, та ще за прийнятні гроші.
Якщо ваші офіси знаходяться в межах одного міста, дізнайтеся у вашого інтернет-провайдера, чи може він забезпечити об'єднання локальних мереж ваших офісів в єдину мережу. Можливо це рішення буде оптимальним для вас за вартістю.
Об'єднання мереж офісів і філій своїми силами
Метод об'єднання двох мереж із застосуванням технології VPN в англозязичной літературі називається "Peer-to-Peer VPN" або "site-to-site VPN". Між двома мережами встановлюється режим "прозорого шифрування". Для шифрування і передачі трафіку в IP-мережах найбільш часто використовують протокол IPSec.
Незалежно від застосовуваного обладнання, загальна схема побудови Peer-to-Peer VPN для безпечного об'єднання локальних мереж віддалених офісів в єдину мережу, наступна:
Слід також зауважити, що існують спеціалізовані апаратні крипто-шлюзи, розроблені для вирішення вузько-спеціалізованих завдань. Прикладами можуть служити Cisco VPN Concentrator, "Континент-К", та ін. Їх область застосування - мережі середніх і великих компаній, де необхідно забезпечити високу продуктивність при шифруванні мережевого трафіку, а також більш доступного режиму. Наприклад, забезпечити шифрування даних по ГОСТ ( "Континент-К").
На що необхідно звернути увагу при виборі обладнання
Вибираючи обладнання для організації віртуальної приватної мережі (VPN) необхідно звернути увагу на наступні властивості:
апаратні рішення
Переваги рішень, побудованих на недорогих апаратних інтернет-шлюзах
- Низька вартість;
- Висока надійність (немає необхідності в резервному копіюванні, при відключенні харчування нічого не виходить з ладу);
- Простота адміністрування;
- Мале енергоспоживання;
- Займає мало місця, можна встановити де завгодно;
- в залежності від обраної платформи для побудови VPN, є можливість для установки на vpn-шлюз додаткових сервісів: антивірусна перевірка інтернет-трафіку, виявлення атак і вторгнень, і ін, що істотно збільшує загальний рівень захищеності мережі і зменшує загальну вартість рішення з комплексного захисту мережі .
недоліки
- Рішення не масштабується, збільшення продуктивності досягається повної заміною обладнання;
- Менш гнучко в налаштуваннях;
- Інтеграція з Microsoft Active Directory (або LDAP), як правило, не підтримується.
програмні рішення
Переваги програмних рішень
недоліки
- Висока ціна;
- Складність адміністрування.
З чого почати
Перш ніж прісупіть до вибору обладнання та програмного забезпечення (далі - ПЗ) для реалізації проекту по об'єднанню локальних мереж офісів в єдину мережу через VPN, необхідно мати у своєму розпорядженні наступними відомостями:
Щоб мінімізувати загрози проникнення в мережу центрального офісу, необхідно приділити належну увагу захисту мереж філій організації. Використання VPN не гарантує надійний захист від проникнення, якщо мережі філій також не надійно захищені. Якщо зловмисник зможе отримати несанкціонований доступ до мережі філії, то він також зможе отримати доступ і до інформаційної системи головного офісу, оскільки мережі головного офісу та філії об'єднані в єдину мережу через VPN.