Q1: ўо таке VPN?

Virtual Private Network (VPN) - концепц≥¤ по захищен≥й передач≥ корпоративноњ ≥нформац≥њ, м≥ж географ≥чно в≥ддаленими корпоративними мережами, через мережу Internet.

Q2: як дос¤гаЇтьс¤  онф≥денц≥йн≥сть, јвтентичн≥сть (Authenticity) ≥ ÷≥л≥сн≥сть корпоративних даних, ¤к≥ передаютьс¤ через VPN?

1)  онф≥денц≥йн≥сть - «астосовуютьс¤ алгоритми шифруванн¤ ( рипто-системи з симетричним ключем)
2) јвтентичн≥сть (Authenticity) - «астосовуютьс¤ крипто-системи з в≥дкритим ключем (або крипто-системи з несиметричним ключем)
3) ÷≥л≥сн≥сть - «астосовуЇтьс¤ алгоритм Message Digest (MD5)

Q3: ўо таке "крипто система з в≥дкритим ключем" ?

 ожна сторона волод≥Ї парою ключ≥в; один дл¤ шифруванн¤ (¬≥дкритий ключ), ≥нший дл¤ розшифруванн¤ (ќсобистий ключ). Ќаприклад: RSA, Diffie-Hellman, тощо.

Q4: ўо доброго в VPN?

¬≥н гнучкий, ≥ Ї виг≥дним, за затратами, р≥шенн¤м.

Q5: як? у VPN можливост??

• - ≤нтегрований в NDS
• - ѕовн≥стю централ≥зоване управл≥нн¤
• - Ћегко адм≥н≥струютьс¤ VPN'и
• - ¬икористовуЇтьс¤ тунельований механ≥зм (≥нкапсул¤ц≥¤) заснована на RFC-1234
• - ѕ≥дтримуютьс¤ дек≥лька протокол≥в (IPX по IP ≥ IP чеpез IP)
• - Ћегко додаютьс¤ члени в VPN
• - ћожлив≥сть захисту:
1. LAN-LAN тpаф≥к (дл¤ Intranet)
2. LAN-WAN-LAN траф≥к (м≥ж корпоративними мережами через Internet)
• - ¬икористовуванн¤ стандартних криптограф≥чних алгоритм≥в:
1. RC2 - алгоpитм шифpуванн¤ (40/128 bits)
2. DSA - алгоpитм автоpизац≥њ (512 bits)
3. Diffie-Hellman алгоpитм дл¤ обм≥ну ключами (512 bits)
4. MD5 - алгоpитм дл¤ контpолю за ц≥л≥сн≥стю
• - ¬будована система обм≥ну ключами
• - ѕ≥дтримуЇтьс¤ до 256 тунел≥в на протокол
• - ≤нтегруЇтьс¤ з Firewall'ом в≥д Novell, або любим ≥ншим Firewall р≥шенн¤м.

Q6: „и може працювати VPN на одн≥й машин≥ з Proxy серв≥сами ≥ Firewall'ом?

“ак. ¬и можете запустити будь-¤кий proxy або TCP/UDP сеpв≥с ≥ FireWall'ом на т≥й сам≥й машин≥, на ¤к≥й працюЇ VPN. якщо у ¬ас стоњть FireWall, ¬и маЇте зробити можливим проходженн¤ VPN пакет≥в на UDP порт 2010 ≥ TCP порт 213 .

Q7: „и може VPN бути ≥нтегрований з FireWall р≥шенн¤ми в≥д ≥нших постачальник≥в?

“ак, али ¬и повинн≥ дозволити VPN пакетам дос¤гати UDP порту 2010 ≥ TCP порту 213 .

Q8: Ќав≥що Master VPN потр≥бна пара RSA ключ≥в?

Master VPN використовуЇтьс¤ дл¤ централ≥зованого управл≥нн¤ ус≥ма членами VPN. “аким чином Master VPN повинен п≥дписувати посилаЇму ≥нформац≥ю використовуючи RSA private ключ. ÷е дозволить членам VPN, ¤к≥ приймають управл¤ючу ≥нформац≥ю, перев≥рити њњ лег≥тимн≥сть, щл¤хом перев≥рки сигнатури в≥дкритим RSA ключем Master'a.

Q9: „и можу ¤ використовувати VPN, ¤кщо у мене т≥льки IPX мережа?

“ак, ¤кщо ви п≥дключен≥ до Internet. ¬и можете використовувати VPN дл¤ шифруванн¤ IPX пакет≥в та передач≥ його через Internet. (IPX over IP)

Q10: „и можу ¤ використовувати VPN, ¤кщо у мене т≥льки IP мережа?

“ак, ¤кщо ви п≥дключен≥ до Internet ≥ машина на ¤к≥й встановлений VPN маЇ IPX. ¬и можете використовувати VPN дл¤ шифруванн¤ IP пакет≥в ≥ передач≥ њх через Internet (IP over IP)

Q11: „и можу ¤ використовувати VPN, ¤кщо мо¤ локальна мережа побудована на IP та IPX?

“ак, ¤кщо ви п≥д'Їднан≥ до Internet. ¬и можете використовувати VPN дл¤ шифруванн¤ IP та IPX пакет≥в ≥ передач≥ њх через Internet.

Q12: „и може одна машина бути бути членом двох VPN?

Ќ≥, кожна машина може бути членом т≥льки одн≥Їњ VPN.

Q13: „и може будь-¤ка IP адреса бути асоц≥йованною з VPTunnel ≥нтерфейсом?

“ак. якщо р≥зн≥ VPN члени з-асоц≥юють р≥зн≥ IP адреси на VPTunnel ≥нтерфейс, ви повинн≥ додати статичний маршрут, дл¤ кожного VPN члена, з локального VPTunnel ≥нтерфейсу, ¤к наступний хоп (hop). ¬с≥ VPN члени VPTunnel IP адрес повинн≥ належати одн≥й мереж≥.

Q14: як ¤ можу гарантувати, що зашифрован≥ дан≥, ¤к≥ проход¤ть м≥ж двома корпоративними мережами, будуть спр¤мован≥ до р≥зних член≥в VPN?

- якщо на кожному член≥ VPN дозволений протокол RIP, коли IP адреси з-асоц≥йован≥ на VPTunnel ≥нтерфейс, RIP буде посланий через VPTunnel до вс≥х член≥в внутр≥шньоњ мереж≥. “аким чином, ¤кщо ваша внутр≥шн¤ мережа розрубана Internet'ом, то VPN точки призначенн¤ будуть ≥нформован≥ про найкоротший шл¤х через VPTunnel, з цього моменту вс≥ пакети будуть спр¤мовуватис¤ через VPTunnel.
- якщо RIP заборонений на ваш≥й VPN машин≥, ви повинн≥ пов≥домити Master'у про вашу приватну мережу, додавши статичний маршрут дл¤ вс≥х ≥нших член≥в VPN за допомогою nwsnapin модул¤.

Q15: „и можна асоц≥ювати з VPN ¤к≥-небудь ф≥льтри?

“ак, ¤кщо ви тунелюЇте IP пакети через VPN.
 оли на самому початку VPN конф≥гурувалас¤ модулем VPNCFG.NLM, були додан≥ ф≥льтри основан≥ на загальних IP адресах ≥ VPTunnel IP адресах вказаних п≥д час конф≥гурац≥њ. ÷≥ ф≥льтри необх≥дн≥ дл¤ блокуванн¤ зовн≥шньоњ IP адреси, що оголошувалась по RIP протоколу через VPTunnel ≥нтерфейс, ≥ блокуванн≥ VPTunnel IP адреси, що оголошувалась по RIP протоколу по зовн≥шньому ≥нтерфейсу. Ќа даний момент ми блокуЇмо RIP-1 та RIP-2 протоколи.

Q16: „ому ¤ повинен блокувати оголошенн¤ по RIP зовн≥шньоњ IP адреси через VPTunnel ≥нтерфейс.

якщо ви хочете м≥н≥м≥зувати траф≥к по з'Їднанню.
якщо зовн≥шн¤ IP адреса буде оголошена по RIP через VPTunnel ≥нтерфейс, ≥нш≥ VPN будуть вважати, що VPN призначенн¤ ("VPN дальнього к≥нц¤", маЇтьс¤ на уваз≥ VPN, ¤кий сидить на тому к≥нц≥ тунелю) доступний через VPTunnel ≥ пакети н≥коли не п≥дуть з машини.

Comment:
—енс у тому, що Ї адресний прост≥р зовн≥шн≥й, ¤кий належить мереж≥-нос≥ю (наприклад Internet) та внутр≥шн≥й адресний прост≥р, ¤кий належить мереж≥, накладен≥й на зовн≥шню, той що використовують VPNи. якщо анонсуЇтьс¤ ≥нформац≥¤ про дос¤жн≥сть _зовн≥шн≥х_ адрес через _внутр≥шн≥й псевдо≥нтерфейс тунелю_ то, очевидно, що ми маЇмо ситуац≥ю, схожу на зм≥ю, ¤ка поглинаЇ св≥й хв≥ст. ўо не працюЇ ≥ що робити не можна. ѕо науковому ц¤ зм≥¤ називаЇтьс¤ рекурсивне конф≥гуруванн¤ тунелю. “ипова помилка.

Q17:  оли повинн≥ бути блокован≥ оголошенн¤ по RIP VPTunnel IP адреси по зовн≥шньому ≥нтерфейсу?

VPTunnel IP адреса може бути не зареЇстрована або некоректною IP адресою.

(Comment: ћоже. “≥льки потр≥бно ж написати, що саме в цьому випадку не можна анонсувати адресу тунелю у зовн≥шню мережу.
«ареЇстрована - в цьому випадку означаЇ номер мереж≥ IP (або адресу з такоњ мереж≥) оф≥ц≥йно виданий орган≥зац≥њ-кл≥Їнту серв≥с-провайдером Internet. “обто таку адресу, ¤ка ун≥кальна в Internet, видану оф≥ц≥йно, на нењ прописан≥ маршрути на в≥дпов≥дних маршрутизаторах.
Ќекоректна - це, наприклад, чужа адреса, тобто сп≥впадаюча з адресою (номером IP мереж≥), видан≥й ≥нш≥й орган≥зац≥њ, адресою, вид≥леною з д≥апазону дл¤ внутр≥шньоњ нумерац≥њ (призначена дл¤ мереж, ¤к≥ не мають виходу в Internet), типу мереж≥ 10.0.0.0 тощо.)

якщо IP адреса зареЇстрована ≥ ¤кщо ваша FireWall пол≥тика дозвол¤Ї вам використанн¤ RIP на зовн≥шньому ≥нтерфейс≥, то ви можете не блокувати ц≥ оголошенн¤.

Q18:  оли ¤ повинен синхрон≥зовувати вс≥х VPN член≥в?

1)  ожен раз, коли ви зм≥нюЇте загальн≥ параметри дл¤ вс≥х член≥в VPN. (спр¤мовуванн¤ ≥н≥ц≥ац≥њ з'Їднанн¤, асоц≥йован≥ протоколи, timeout'и, статичн≥ маршрути, тощо) ≥н≥ц≥юйте "Synchronize All" ≥ тод≥ ≥нформац≥¤ буде над≥слана вс≥м членам VPN.
2) ƒл¤ зм≥ни ¤кого-небудь окремого члена VPN, вибер≥ть його, зм≥н≥ть керуюч≥ параметри конкретно дл¤ цього члена VPN, ≥н≥ц≥юйте "Synchronize".

ќриг≥нал: TID928297
ƒжерело: Support.novell.com
ѕереклад на рос≥йську: ¬≥тал≥й √орохов (GSLab@email.com)
ѕереклад на украњнську: ќлександр —лобод¤н
 оментар≥: —ерг≥й “урчин (tsv@haunt.amt.ru)
ƒата: 16.IX.1999