Маршрутизація і перетворення трафіку в віртуальних захищених мережах
Володимир Ігнатов, віце-президент ВАТ "Інфотекс" з розвитку продукту
Технології віртуальних захищених мереж (VPN), що функціонують на мережевому рівні, що забезпечують шифрування довільного трафіку, як між окремими комп'ютерами, так і мережами, і інтегровані з персональними і міжмережевими екранами, дозволяють забезпечити найбільш високий рівень безпеки роботи комп'ютерів в мережі. Це пояснюється можливістю реалізувати максимальний рівень контролю над трафіком незалежно від місця і характеру проведених атак, чого не вдається досягти лише шляхом шифрування окремих видів трафіку або використання тільки міжмережевих екранів і систем виявлення атак, що встановлюються на кордонах мереж.
Віртуальна мережа будується шляхом установки на комп'ютери (мережеві вузли) двох основних типів програмного забезпечення: клієнта і координатора.
Клієнт встановлюється на робочі станції і сервери, забезпечує їх включення в VPN і персональну мережеву захист.
Комп'ютер з координатором зазвичай встановлюється на кордоні локальної мережі або її сегмента. Координатор забезпечує включення в VPN відкритих комп'ютерів і функції NAT для захищених комп'ютерів, що знаходяться в локальній мережі або її сегменті, поділ та захист мереж в цілому від мережевих атак, а також оповіщення клієнтів і інших координаторів про стан і способи доступу один до одного.
У цій статті розглядаються деякі принципи маршрутизації і перетворення трафіку, що гарантують можливість безпечного взаємодії комп'ютерів при будь-яких способах їх підключення до мережі.
Технологія орієнтована на використання в операційних системах Windows, Linux, Solaris.
Загальні принципи взаємодії вузлів
Створення тунельних VPN-з'єднань і фільтрацію трафіку забезпечує низькорівневий драйвер мережевого захисту, який автоматично підтримує різноманітні протоколи канального рівня. Для реалізації тунельних VPN-з'єднань між вузлами та мережами використовується два типи IP-протоколу, в який упаковується будь-який інший IP-протокол: IP / 241 і IP / UDP (з портом 55777 за замовчуванням.)
Робота вузлів в різних випадках підключення до мережі
Для організації роботи мережевих вузлів з будь-яких точок мережі клієнт і координатор мають можливість працювати як автономно, так і через різні типи пристроїв c функціями NAT.
В процесі роботи вузли автоматично незалежно від обраного режиму роботи визначають взаємне розташування і відповідно спосіб доступу один до одного.
Робота вузлів без використання Firewall
Трафік між клієнтами в цьому режимі инкапсулируется в IP-пакети протоколу IP / 241 (рис. 2). Трафік таких вузлів з координаторами, з вузлами, що перебувають за Firewall, завжди упаковується в протокол IP / UDP.
Координатор, встановлений на кордоні мереж, в цьому режимі виконує функції NAT для VPN-з'єднань в сторону кожної з мереж, а також виробляє шифрування і упаковку в UDP-формат (туннелирование) заданого відкритого трафіку локальної мережі (рис. 2).
Тунелюватись може трафік будь-яких відкритих пристроїв, що знаходяться з боку будь-якого мережевого інтерфейсу, в тому числі і службовий трафік управління маршрутизаторами мережі.
Робота вузлів з використанням Firewall типу "ViPNet-координатор"
Якщо на кордоні локальної мережі поміщений координатор, то вузли локальної мережі встановлюються в режим роботи через нього. В якості такого координатора може бути обраний будь-який доступний даного вузла координатор. Це дає можливість мобільним користувачам отримувати доступ до всіх ресурсів з будь-якої локальної мережі, де він є. Можливість вибору різних координаторів корисна також у разі виходу з ладу окремого обладнання або каналів зв'язку або при необхідності пропустити трафік за певним маршрутом.
Якщо потрібно захистити деякий віддалений сегмент локальної мережі, то координатори включаються по каскадної схемою (рис. 4).
Робота вузлів з використанням Firewall типу "З статичним NAT"
Якщо на кордоні локальної мережі або у провайдера вже встановлено Firewall іншого виробника, що виконує функції NAT, і на Firewall доступна настройка статичних правил NAT, то на вузлі вибирається режим Firewall "З статичним NAT". Якщо в локальній мережі є координатор, то цей режим вибирається на ньому. Інші вузли встановлюються за цей координатор, і пакети від них на зовнішній Firewall проходитимуть через нього (рис. 5).
При відсутності координатора на кожному з клієнтів вибирається тип Firewall "З статичним NAT" і призначається свій порт доступу.
Для забезпечення вільного проходження трафіку через зовнішній Firewall, на ньому повинні бути налаштовані стандартні статичні правила NAT, щоб забезпечити проходження пакетів або тільки для координатора, або для кожного клієнта за своїм порту, якщо координатора немає.
Робота вузлів з використанням Firewall типу "С динамічним NAT"
Всі стандартні пристрої NAT забезпечують пропуск трафіку назовні в режимі односторонніх з'єднань. Для виконання двосторонньої роботи вузол в цьому режимі після підключення до мережі виробляє періодичний опитування обраного координатора, розташованого у зовнішній мережі, що забезпечує на пристрої NAT постійну підтримку тимчасового правила доступу для трафіку з боку координатора. Інші вузли при спробі з'єднання автоматично направляють перший пакет через цей координатор і після першого отриманого безпосередньо відповідного пакета і створення відповідного дозвільного правила на пристрої NAT автоматично починають передавати весь трафік також безпосередньо, минаючи координатор. Таким чином, реалізується постійна доступність вузла за пристроєм з NAT і, одночасно, істотно збільшується швидкість обміну між вузлами за допомогою організації їх прямого взаємодії.
Якщо в локальній мережі за таким пристроєм NAT є координатор, то в такий режим встановлюється координатор. Інші вузли встановлюються за цей координатор.
Можна обійтися без модифікації