Выбор ПО для реализации VPN

Существует несколько способов реализации виртуальной частной сети:

• — В виде специального программно-аппаратного обеспечения — Реализация VPN сети осуществляется при помощи специального комплекса программно-аппаратных средств. Такая реализация обеспечивает высокую производительность и, как правило, высокую степень защищенности;
• — в виде программного решения используют персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN;
• — интегрированное решение — функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.

Лидером аппаратной реализации VPN является компания Cisco — американская транснациональная компания, разрабатывающая и продающая сетевое оборудование, стремящаяся представить полный спектр сетевого оборудования. При таком подходе к реализации необходимо каждый филиальный офис обеспечить необходимым оборудованием, а именно — маршрутизатором Cisco. При всей надежности, безопасности и отказоустойчивости такой способ является очень дорогостоящим и требует высококлассного специалиста, умеющего настраивать оборудование фирмы Cisco и имеющего сертификат этой компании.

На сегодняшний день крупные провайдеры могут организовать корпоративную сеть на базе MPLS (Multiprotocol Label Switching) технологий, объединяя удаленные офисы одной организации. Такая методика сделает связь между офисами очень зависимой от провайдера и любая поломка на линии может привести к потере связи. К тому же, такой вариант предполагает аренду специального оборудования и абонентскую плату за предоставление услуг.

Самым простым и удобным способом реализации виртуальной частной сети является программное обеспечение, если оно бесплатное и кроссплатформенное, такое как OpenVPN.

OpenVPN — свободная реализация технологии Виртуальной Частной Сети с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами, находящимися за NAT-firewall (Network Address Translation), без необходимости изменения их настроек. OpenVPN распространяется под лицензией GNU GPL (General Public License).

Для обеспечения безопасности управляющего канала и потока данных, OpenVPN использует библиотеку OpenSSL. Благодаря этому задействуется весь набор шифров, доступных в данной библиотеке. Также может использоваться пакетная авторизация, для обеспечения большей безопасности, и аппаратное ускорение для улучшения производительности шифрования. Эта библиотека использует OpenSSL, а точнее протоколы SSLv3/TLSv1. OpenVPN используется на Solaris, OpenBSD, FreeBSD, NetBSD, GNU/Linux, Apple Mac OS X, QNX и Microsoft Windows, т. е. является кроссплатформенной.

Использование в OpenVPN стандартных протоколов TCP (Transmission Control Protocol) и UDP (User Datagram Protocol) позволяет ему стать альтернативой IPsec (IP Security) в ситуациях, когда Интернет-провайдер блокирует некоторые VPN протоколы.

OpenVPN надежна и устойчива к отказам сети. Если сетевое соединение прервано при активной сети VPN, то OpenVPN автоматически восстанавливает соединение после восстановления сетевого канала связи. Для простых случаев, таких как описано в данной статье, OpenVPN позволяет быстро организовать туннель OpenVPN, без серьезных дополнительных затрат. Труднее освоить продукт при использовании более сложных конфигураций — например, если требуется пользовательская аутентификация, выделение пула адресов VPN, либо прокладка нескольких туннелей за брандмауэром с помощью NAT. OpenVPN поддерживает эти режимы, но требует знания технических тонкостей.

OpenVPN поддерживает два типа шифрования: статический ключ и Transport Layer Security (TLS). В Windows статический ключ настроить легко. После установки OpenVPN на одной из сторон VPN следует запустить генератор ключей OpenVPN и скопировать новый ключ (на защищенном носителе) в папку «OpenVPN» всех других компьютеров с OpenVPN, которым необходимо подсоединение к этой конечной точке OpenVPN. В файле настройки для всех конечных точек необходимо указать имя файла ключа. По умолчанию OpenVPN использует для шифрования режим Blowfish Cipher Block chaining (BF-CBC), но можно выбрать и Advanced Encryption Standard (AES), Data Encryption Standard (DES), International Data Encryption Algorithm (IDEA), или какой-то иной, указав параметр шифрования в файле настройки. Приложение использует функции шифрования, аутентификации и проверки сертификатов из библиотеки OpenSSL, поэтому необходимо отслеживать обновления для OpenSSL. OpenVPN также поддерживает TLS с использованием обмена ключами алгоритма Diffie-Hellman и ключи и сертификаты RSA (Rivest, Shamir, Adleman). Установка сертификатов и ключей в этом случае подобна настройке других инфраструктур PKI (Public Key Infrastructure), поддерживающих X.509 PKI для аутентификации сессии.

Таким образом, расположение сервера авторизации клиентов VPN на виртуальном сервере-шлюзе в главном офисе для организации виртуальной частной сети образует единое защищенное пространство, что повышает безопасность инфраструктуры и является еще одним элементом на пути к постепенной реализации GRID инфраструктуры.