Cisco VPN - решение для организации доступа к частным ресурсам сети
Что такое VPN?
VPN (“частная виртуальная сеть”) - это сеть, созданная поверх основного подключения к Интернету или другой основополагающей сети. Наиболее часто используемыми протоколами для создания VPN являются IPSec, PPTP, PPPoE, L2TP, L2TPv3 и OpenVPN.
Типы VPN
В VPN используются следующие варианты подключений:
При этом они могут обладать различными свойствами, определяющими степень защищенности клиентского доступа. Ниже приведены три типа VPN, которые могут использоваться компаниями для организации доступа к частным ресурсам сети.
Тип VPN |
Описание |
Примеры |
Trusted VPN |
полностью незащищенные подключения |
Технологии для доверенных VPN уровня 2 включают в себя:
Технологии для доверенных VPN уровня 3 включают в себя:
|
Secure VPN |
защищенные подключения |
|
Hybrid VPN |
Hybrid VPN обеспечивают защищенные подключения только в сегментах сети, которые основаны на Secure VPN. То есть добавление Secure VPN к Trusted VPN не увеличивает безопасность всей Trusted VPN, а только той части, которая была непосредственно прикреплена. Secure VPN приобретает преимущества Trusted VPN, такие, как особенности QoS. |
Данный тип VPN является комбинацией технологий, используемых для Secure VPN и Trusted VPN |
Типы Cisco VPN
На сегодняшний день наиболее доверяемым производителем сетевого оборудования для построения VPN является торговая марка Cisco. Возможностью построения VPN сети снабжены все практически маршрутизаторы Cisco, межсетевые экраны ASA, а также коммутаторы с поддержкой функционала Layer 3. Этот производитель использует следующие технологии построения VPN: site-to-site VPN (на базе аппаратной поддержки и ПО Cisco IOS®) и remote access VPN (с помощью Cisco AnyConnect VPN Client).
Представляет собой интернет-WAN инфраструктуру, предназначенную для расширения сетевых ресурсов филиалов, домашних офисов и организаций деловых партнеров. Весь трафик, пересылаемый между узлами, шифруется с помощью протокола IPsec.
Организованные с помощью Cisco AnyConnect VPN Client, позволяют расширить возможности передачи практически любых данных, голоса, видео или приложений для удаленного рабочего стола, который полностью повторяет рабочий стол главного офиса. Благодаря этому пользователи получают абсолютно безопасный, настраиваемый удаленный доступ в любое время, в любом месте, практически с любым устройством.
Cisco IPsec
Этот протокол работает на 3-м уровне сетевой модели OSI и используется преимущественно для создания туннелей между физически разделенными офисами (на базе маршрутизаторов Cisco и межсетевых экранов Cisco ASA).
IPsec обеспечивает подключение к корпоративной сети, гарантируя целостность данных, подлинность подключаемых клиентов и конфиденциальность поверх незащищенной сети, такой, как Интернет. Данный протокол защищает сеть через туннелирование, шифрование и аутентификацию. Единый IPSec туннель обеспечивает коммуникацию между устройствами, независимо от типа трафика (это может быть TCP, UDP, ICMP и т.д.) или приложения (такого, как электронная почта, базы данных и пр.).
Прежде чем установить туннель с помощью этого протокола, необходимо убедиться, что операционная система Cisco IOS, сопровождающая маршрутизаторы или межсетевые экраны Cisco, поддерживает шифрование (артикул IOS должен включать символы «K9»).
" ВТК СВЯЗЬ предлагает широчайший выбор сетевого оборудования представительского класса. Команда ВТК СВЯЗЬ в течение многих лет успешно разрабатывает проекты по организации виртуальных частных сетей VPN.
А также занимается монтажом и настройкой сетевого оборудования. Обращаясь к нашим специалистам, Вы можете быть уверены в продуктивности работы установленного оборудования."
Типы шифрования ОС
Cisco IOS
ОС Cisco IOS может поддерживать типы шифрования AES и 3DES (в различной комбинации):
AES. AES - это 128-битный шифр, использующий ключи длиной 128/192/256 бит. Он может быть взломан с помощью XSL-атаки или атаки по сторонним каналам, именно поэтому его использование является предпочтительным в совокупности с другими стандартами (такими, как нижеприведенный 3DES).
3DES. Этот 168-битный шифр является криптостойким (для того, чтобы взломать ключ методом полного перебора, потребуется до 3*109 дней). На сегодняшний день не существует известных атак, позволяющих расшифровать данный шифр в оптимальные сроки.
Cisco SSL VPN
Также поставщики сетевых услуг часто используют протокол SSL, работающий на уровне Layer 7 сетевой модели OSI.
SSL VPN обеспечивает следующие три режима доступа:
Clientless
Данный режим обеспечивает безопасный доступ к частным веб-ресурсам через веб-браузер (например, к базам данных и онлайн-инструментам, которые используют веб-интерфейс).
Thin Client
Этот режим клиента расширяет возможности криптографических функций веб-браузера, чтобы включить удаленный доступ к приложениям на базе TCP, таким, как Post Office Protocol версии 3 (POP3), а также протоколам SMTP, IMAP, Telnet и SSH.
Tunnel
Туннельный режим предлагает расширенную поддержку приложений через динамически загруженный клиент Cisco VPN AnyConnect (который требует дополнительного приобретения) и обеспечивает подключения для удаленных работников.
Cisco IOS® SSL VPN
Cisco IOS® SSL VPN - это решение, предоставляющее доступ к корпоративной сети с помощью протокола SSL. Пользователи могут активно пересылать как обычные данные, так и весьма требовательные к полосе пропускания аудио- и видеофайлы благодаря поддержке передовых протоколов маршрутизации и безопасности. Наличие доступного для понимания мастера настройки, доступного через веб-интерфейс, обеспечивает подключение к VPN за считанные минуты.
Далее рассмотрены основные особенности и возможности Cisco IOS® SSL VPN.
Особенности и возможности Cisco IOS® SSL VPN
Контроль доступа к сети
Системные администраторы могут контролировать доступ к сети через проверку IP адреса, а также на основе DSCP/ToS, TCP/UDP порта.
VRF-осведомленность
Эта характеристика определяет возможность сетевых провайдеров интегрировать шлюз SSL VPN в MPLS.
Использование RADIUS
Данная особенность позволяет осуществлять аутентификацию, авторизацию и учет пользователей путем проверки логина и пароля. Аутентификация на базе сертификатов. Аутентификация клиентов в сети также осуществляется на базе сертификатов PKI.
Приоритезация трафика
Благодаря поддержке пакета услуг Quality of Service осуществляется интеллектуальная приоритезация трафика: первыми отправляются пакеты с данными, чувствительные к временным задержкам (например, с потоковым видео).
Свойства Cisco IOS® SSL VPN
Совместимость с различными платформами и браузерами
Данное ПО совместимо с ОС Windows 2000, Windows XP, Windows Vista и Netscape, а также интернет-браузерами Internet Explorer, Firefox и Mozilla.
Обеспечение высокой доступности
Высокая доступность для удаленных пользователей VPN обеспечивается за счет применения технологий IPsec Dead Peer Detection и Remote Dual Tunnel.
Управление настройками
Системные администраторы могут осуществлять настройки доступа для конечных точек посредством CLI, HTTP, HTTPS, Telnet, протокола SSH и Cisco CCP.
Удаленный доступ с Cisco AnyConnect VPN Client. Часть первая
Cisco AnyConnect VPN Client - это лицензия, необходимая для активации удаленного подключения к VPN конечной точки на уровне Layer 2. Ниже указаны основные преимущества, которые получают обладатели этой лицензии:
Широкая совместимость
Cisco AnyConnect VPN Client совместима с ОС Windows 8 и 8.1, Windows 7 32-bit (x86) и 64-bit (x64), Mac OS X 10.8 и более поздними версиями, а также Linux Intel (x64).
Полная техническая поддержка
Пользователи получают техническую поддержку, а также право на доступ к ПО AnyConnect после приобретения временных лицензий Plus и Apex, или же эти услуги могут быть приобретены отдельно для лицензии Plus.
Различные варианты доступа к сети
Доступ к сети осуществляется с использованием протоколов SSL VPN (одновременно с поддержкой TLS 1.2 и DTLS), а также IPsec IKEv2. DTLS и IPsec IKEv2 обеспечивают оптимальное качество передачи для трафика со специфическим контентом, например, как при реализации услуг VoIP или для доступа TCP. В свою очередь, TLS 1.2 (HTTP over TLS или SSL) способствует повышению уровня доступности сети для закрытых сред, например, сред, использующих веб прокси-серверы.
Удаленный доступ с Cisco AnyConnect VPN Client. Часть вторая
Поддержка мобильных пользователей
Благодаря технологии Trusted Network Detection, авторизованные пользователи автоматически подключаются к VPN при появлении на удаленном рабочем месте и отключаются после выхода из базовой сети.
Высокоэффективное шифрование
Cisco AnyConnect VPN Client поддерживает передовые алгоритмы шифрования, в том числе, 256-битное AES и 168-битное 3DES шифрование. Кроме того, пользователи могут дополнительно приобрести услуги шифрования с применением алгоритмов нового поколения, которые включают в себя NSA Suite B, ESPv3 с IKEv2, 4096-битные ключи RSA, Diffie-Hellman group 24 и алгоритмы группы SHA2 (SHA-256 и SHA-384).
Интеллектуальный подбор точек доступа
Данная особенность позволяет сетевым пользователям определять и устанавливать соединение с максимально приближенными точками доступа, с учетом степени нагрузки на беспроводную сеть.
Поддержка различных типов подключений
Системные администраторы могут подключать как IPv4-, так и IPv6-совместимые устройства на конечных точках.
Cisco VPN на ВТК СВЯЗЬ
Вы можете приобрести полный комплект устройств для создания Cisco VPN на ВТК СВЯЗЬ. Поскольку данное решение нуждается в профессиональном подходе, мы настоятельно рекомендуем обратиться за помощью к нашим специалистам. Они предоставят высококвалифицированные услуги по подбору подходящего сетевого оборудования, сопутствующих лицензий и ПО, а также помогут осуществить первичную настройку удаленного доступа. В результате Вы получите готовое решение, не требующее дальнейшего технического вмешательства.