Rutarea și transformarea traficului în rețele virtuale securizate
Vladimir Ignatov, Vicepreședinte, Dezvoltarea produselor Infotech
Tehnologia de rețea virtuală privată (VPN), care funcționează la stratul de rețea pentru a se asigura criptarea orice tip de trafic între calculatoare și rețele individuale, și integrate cu caracter personal și firewall-uri permit cel mai înalt nivel de siguranță a calculatoarelor din rețea. Acest lucru se datorează capacității de a realiza cel mai înalt nivel de control asupra traficului, indiferent de locul și natura atacurilor în curs de desfășurare, care nu pot fi realizate numai prin criptarea anumitor tipuri de trafic sau de a folosi numai firewall-uri și sisteme de detectare a intruziunilor instalate pe limitele rețelei.
O rețea virtuală este construită prin instalarea pe calculatoare (noduri de rețea) a două tipuri principale de software: clientul și coordonatorul.
Clientul este instalat pe stații de lucru și servere, asigură includerea acestora în VPN și protecția rețelei personale.
coordonator de calculator este instalat de obicei la limita unei rețele locale sau a unui segment al acestuia. Coordonatorul asigură includerea calculatoarelor deschise VPN și funcționalitate NAT pentru calculatoarele protejate în rețeaua locală sau un segment al acestuia, separarea și protecția rețelelor, în general, de atacuri de rețea, precum și clienții de alertă și alți coordonatori cu privire la starea și modul de accesare reciproc.
Acest articol discută câteva principii de rutare și de transformare a traficului, asigurând posibilitatea unei interacțiuni sigure a computerelor în orice fel se conectează la rețea.
Tehnologia este orientată spre utilizarea în sistemele de operare Windows, Linux, Solaris.
Principiile generale ale interacțiunii nodurilor
Crearea conexiunilor VPN tunel și traficul de filtrare oferă un driver de protecție la nivel scăzut al rețelei care acceptă automat o varietate de protocoale de strat de legătură. Pentru a implementa conexiuni VPN tunel între noduri și rețele, se folosesc două tipuri de protocol IP, în care este ambalat orice alt protocol IP: IP / 241 și IP / UDP (cu portul 55777 implicit).
Noduri de lucru în diferite cazuri de conexiune la rețea
Pentru a organiza activitatea nodurilor de rețea din orice puncte de rețea, clientul și coordonatorul au posibilitatea de a lucra atât independent cât și prin diferite tipuri de dispozitive cu funcții NAT.
În timpul funcționării, nodurile determină automat, indiferent de modul de operare selectat, poziția reciprocă și, prin urmare, modul de acces reciproc.
Noduri de lucru fără a utiliza Firewall
Traficul dintre clienți în acest mod este încapsulat în pachetele IP IP / 241 (Figura 2). Traficul de astfel de noduri cu coordonatori, cu noduri din spatele Firewall-ului, este întotdeauna ambalat în protocolul IP / UDP.
Coordonarea montat pe frontieră de rețea, în acest mod îndeplinește o funcție NAT pentru VPN-compușii către fiecare dintre rețelele, și, de asemenea, efectuează criptare și ambalare a UDP-format (tunelare) predeterminată de rețea de trafic deschis (fig. 2).
Tunelul poate transporta orice dispozitive deschise care se află pe partea laterală a oricărei interfețe de rețea, inclusiv gestionarea traficului de servicii al ruterelor de rețea.
Funcționarea nodurilor utilizând tipul de firewall "Coordonator ViPNet"
Dacă un coordonator este plasat la limita rețelei locale, nodurile rețelei locale sunt setate pe modul de funcționare prin aceasta. Ca un astfel de coordonator, orice coordonator disponibil la nod poate fi selectat. Acest lucru permite utilizatorilor de dispozitive mobile să acceseze toate resursele din orice rețea locală unde este disponibilă. Alegerea diferiților coordonatori este, de asemenea, utilă în cazul unei defecțiuni a echipamentelor individuale sau a canalelor de comunicare sau, dacă este necesar, la trecerea traficului pe o anumită rută.
Dacă doriți să protejați un segment de la distanță al rețelei locale, coordonatorii sunt porniți într-o schemă cascadă (Figura 4).
Operarea nodurilor folosind tipul de firewall "Cu NAT static"
Dacă firewall-ul unui alt furnizor care execută funcții NAT este deja instalat la limita rețelei locale sau a furnizorului și regulile NAT statice sunt configurate pe Firewall, atunci nodul selectează modul Firewall "Cu NAT static". Dacă există un coordonator în rețeaua locală, atunci acest mod este selectat pe acesta. Alte noduri sunt instalate pentru acest coordonator, iar pachetele de la acestea către firewall-ul extern vor trece prin acesta (Figura 5).
Dacă nu există niciun coordonator pentru fiecare client, tipul de firewall "Cu NAT static" este selectat și portul său de acces este atribuit.
Pentru a asigura fluxul gratuit de trafic printr-un Firewall extern, trebuie să fie configurate regulile NAT statice standard, asigurându-se că pachetele sunt transmise fie coordonatorului, fie fiecărui client pe propriul lor port, în cazul în care coordonatorul nu există.
Operarea nodurilor utilizând un tip de firewall "Cu Dynamic NAT"
Toate dispozitivele standard NAT asigură traficul în exterior în modul de conectare într-o singură direcție. Pentru a efectua o operație bidirecțională, nodul în acest mod după o conexiune la rețea aude periodic coordonatorul selectat situat în rețeaua externă, ceea ce asigură pe dispozitivul NAT un suport constant al regulii de acces temporar pentru traficul de la coordonator. Alte noduri, atunci când încearcă să se conecteze, direcționează automat primul pachet prin acest coordonator și după primul pachet de răspuns recepționat direct și creează regula de activare adecvată pe dispozitivul NAT, încep automat să transmită tot traficul direct, ocolind coordonatorul. Astfel, disponibilitatea constantă a unui nod în spatele unui dispozitiv cu NAT este realizată și, simultan, viteza de schimb între noduri este mărită semnificativ prin organizarea interacțiunii lor directe.
Dacă există un coordonator în spatele unui astfel de dispozitiv NAT în rețeaua locală, atunci un coordonator este configurat într-un astfel de mod. Alte noduri sunt instalate pentru acest coordonator.
Puteți face fără modificări
Articole similare
Trimiteți-le prietenilor: