Читайте также: |
|
Что представляет собой VPN-клиент? Как правило, для построения VPN используется протокол IPSec, состоящий из набора правил, разработанных для определения методов идентификации при инициализации виртуального туннеля, а также для обеспечения безопасного обмена пакетами данных по Глобальным сетям (Интернет). Пакеты данных шифруются с помощью алгоритмов DES, AES и др. Поскольку VPN-клиенты функционируют на уровне IP, то достигается наибольшая гибкость в конфигурировании сетевых установок и приложений. Таким образом, VPN-клиенты предоставляют удаленному пользователю те же возможности, какими он располагает, когда находится в офисе.
Использование данного подхода предполагает установку VPN-клиента на удаленном персональном компьютере (ноутбуке) пользователя и обеспечивает доступ пользователя к ресурсам и службам корпоративной сети в соответствии с полномочиями, принятыми для данного пользователя внутри этой сети. Удаленный пользователь может работать так же, как если бы он находился в данный момент на своем рабочем месте в корпоративной сети. При этом удаленный пользователь может:
• запускать без каких-либо ограничений Windows-приложения и клиентов электронной почты, что позволяет пользователю на удаленном компьютере получать полную функциональность Windows-приложений корпоративной сети;
• иметь прозрачный доступ к файлам и сетевым ресурсам корпоративной сети. В соответствии с установленным сценарием VPN-клиента удаленный пользователь получает права доступа к необходимым ресурсам корпоративной сети, при этом ему предоставляется возможность напрямую подключать к удаленному компьютеру сетевые диски, что позволяет запускать на удаленном компьютере приложения, ориентированные на работу с сетевыми ресурсами корпоративной сети. Дополнительно пользователю предоставляется прозрачный доступ к интранет-сайтам корпоративной сети;
• полностью использовать вычислительные мощности удаленного компьютера. Современные персональные компьютеры обладают довольно высокой производительностью. Программное обеспечение VPN-клиентов позволяет интегрировать распределенные вычислительные ресурсы корпоративной сети с применением таких технологий, как Microsoft.NET или J2EE;
• подключаться к корпоративной сети в любой момент и при этом иметь возможность работать автономно (возможны ситуации, когда удаленный пользователь не подключен к корпоративной сети, например в самолете или в месте, не позволяющем подключиться к Интернету). Это существенное преимущество как перед терминальными службами, так и перед SSL-браузерами, которые полностью зависят от соединения с корпоративной сетью;
• пользоваться поддержкой VoIP (Voice over IP) — технологии передачи голоса через сети, использующие протокол IP, в режиме реального времени. Основной принцип передачи голоса по IP-сетям заключается в том, что шлюз IP-телефонии на передающем конце осуществляет преобразование аналогового телефонного сигнала в цифровой вид (если сигнал на выходе с телефонного аппарата представлен в цифровом виде, дальнейшее преобразование не производится), разбивает цифровой поток на пакеты и отправляет их в IP-сеть. На приемном конце производятся обратные действия. Средства VPN-клиентов обеспечивают прием-передачу голоса без потери качества;
• осуществлять низкоуровневый доступ к персональному компьютеру удаленного пользователя, например к драйверам устройств и т.п. (эта возможность бывает нужна техническому персоналу или разработчикам).
Виртуальные частные сети довольно быстро стали технологией, обеспечивающей безопасную передачу данных через Интернет. Однако построение виртуальной частной сети предприятия на базе VPN-клиентов требует от компаний значительных затрат, прежде всего по следующим причинам:
• настройка VPN — большинство реализаций VPN-клиентов сложны в настройке и управлении, содержат большое количество ключевых параметров, алгоритмов шифрования и требуют ручной установки;
• безопасность — средства VPN-клиентов обеспечивают гарантированный уровень надежности передаваемых по каналам Интернета шифрованных данных. В то же время VPN-клиенты представляют собой серьезную проблему для информационной безопасности корпоративной сети, так как, являясь составной частью корпоративной сети компании, удаленный компьютер может быть подвержен заражению вирусом, троянским конем и т.п. Следовательно, на персональном компьютере удаленного пользователя должны быть установлены соответствующее антивирусное программное обеспечение, межсетевой экран, а также дополнительные средства обеспечения безопасности, позволяющие быть уверенным в том, что удаленный компьютер не представляет собой угрозу безопасности корпоративной сети компании. Большинство продуктов по обеспечению удаленного доступа не имеют встроенных либо централизованно управляемых средств контроля безопасности удаленного компьютера;
• стоимость аппаратного и программного обеспечения — она может существенно ограничить уровень безопасности информации компании;
• маршрутизация — для обеспечения прозрачного доступа к ресурсам корпоративной сети удаленный пользователь должен вручную настроить маршрутизацию, DNS и proxy, что может, в случае ошибки, привести к определенным трудностям;
• установка программного обеспечения — для того чтобы полностью использовать вычислительные ресурсы, на персональном компьютере удаленного пользователя должно быть установлено соответствующее программное обеспечение с правильными настройками. Большинство систем удаленного доступа не содержат соответствующие средства контроля;
• настройка параметров программ — если компания разрешает удаленному пользователю использовать для работы свой домашний компьютер, то требуемые прикладные программы и сетевые ресурсы должны быть настроены соответствующим образом. Например, когда удаленный пользователь регистрируется в виртуальной частной сети, то должны быть автоматически подключены сетевые диски корпоративной сети, почтовый адрес клиента должен быть автоматически зарегистрирован на почтовом сервере корпоративной сети, браузер пользователя может быть настроен на домашнюю страницу корпоративной сети и т.п. Другими словами, рабочая среда удаленного пользователя должна незаметно настраиваться во время сессии удаленного доступа, не требуя от пользователя знания таких технических аспектов, как сетевые адреса или имена серверов;
• поддержка — учитывая многообразие причин появления сбоев в работе как аппаратуры, так и программного обеспечения, компания должна либо обладать собственным высококвалифицированным обслуживающим персоналом, либо устанавливать реализации VPN-решений с учетом финансовых затрат на обслуживание сторонними организациями.
Дата добавления: 2015-08-09; просмотров: 81 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Организация безопасного удаленного доступа | | | Виртуальные сети на базе SSL |