Книга: Wi-Fi. Беспроводная сеть

Глава 15. Виртуальные частные сети

Глава 15. Виртуальные частные сети

Инструменты защиты в спецификации 802.11 недостаточно хороши для защиты данных, передаваемых через беспроводную сеть. Итак, что же является альтернативой? Виртуальная частная сеть (VPN) может добавить другой эффективный способ защиты данных, перемещающихся от беспроводного сетевого клиента к хосту, который может располагаться везде, где есть сетевое подключение.

Для соединения двух точек по сети через кодированный канал VPN использует «туннель данных». Конечные точки могут являться отдельным сетевым клиентом и сетевым сервером, парой компьютеров клиентов или других устройств, а также шлюзами в паре сети. Данные, проходящие через коллективную сеть, являются полностью изолированными от другого сетевого трафика. При этом используется аутентификация с помощью логина и пароля для ограничения доступа авторизованными пользователями, кодирование данных, чтобы сделать их непонятными для посторонних, и аутентификация данных для управления целостностью каждого пакета данных и гарантии того, что все данные происходят от легитимных сетевых клиентов. VPN является не только другим уровнем шифрования. VPN изолирует весь сквозной путь данных от других сетевых пользователей, поэтому неавторизованные пользователи не могут их получить. Работа VPN-сетей протекает на IP-(сетевом) уровне ISO-модели. Поэтому они могут работать выше протоколов 802.11b, работающих на физическом уровне. VPN могут также пропускать данные через сетевое подключение, содержащее более одной физической среды (например, беспроводное соединение, пропускающее данные по направлению к проводной Ethernet-сети). Другими словами, VPN является сквозной службой — не имеет значения, использует ли она беспроводное соединение Ethernet-кабель, стандартную телефонную линию или некую комбинацию той или другой передающей среды. VPN представляет собой туннель, простирающийся от одной сетевой конечной точки к другой независимо от того, какая среда является переносчиком данных. Этим добавляется другой уровень защиты дополнительно к (или в качестве альтернативы) WEP-шифрованию, которое применяется только к беспроводной части сети.

В традиционной VPN удаленный пользователь может регистрироваться в удаленной сети и получать те же сетевые службы, которые доступны для локальных клиентов. VPN часто используются для расширения корпоративных сетей в филиалы и подключения пользователей к сети из дома или других мест, на пример офиса клиента или заказчика.

Компьютер клиента, подключенный через VPN-сервер, выглядит для остальной сети (с VPN защитой) так же, как и устройство клиента в этой же комнате или здании. Единственное различие заключается в том, что данные из VPN проходят через VPN-драйвер и коллективную сеть, а не перемещаются в локальную сеть непосредственно из сетевого адаптера. На рис. 15.1 показано типичное VPN-подключение к удаленной сети.

Рис. 15.1

Все преимущества защиты обычной проводной VPN верны и для VPN с малым радиусом действия, которая реализует туннели через беспроводное соединение, и для VPN с дальним радиусом действия, которая начинается с беспроводной сети и переправляет данные на удаленный сервер. Существуют два различных способа использования VPN: локальная VPN может расширяться только через беспроводную часть сети между устройствами клиентов и точкой доступа, а расширенная сеть может переносить зашифрованные с помощью VPN данные за пределы точек доступа к VPN-серверу через коллективную сеть, такую как интернет или коммутируемое телефонное подключение.

Расширенная сеть представляет собой традиционную VPN (проходящую через коллективную сеть, например Интернет), которая исходит от беспроводного сетевого клиента. Эта же VPN может также поддерживать подключения, не содержащие беспроводного сегмента, вместе с логинами от коллективных беспроводных служб в аэропортах или других общественных местах. Это обычный способ использования VPN.

Локальные VPN с малым радиусом действия более интересны для лиц, работающих с беспроводной сетью, так как они добавляют другой уровень защиты для беспроводных соединений. Поскольку данные, перемещающиеся между беспроводными клиентами и сетевыми точками доступа, являются шифрованными (с использованием алгоригма, который более защищен, чем WEP-шифрование), они непонятны для любого постороннего, который может отслеживать сигнал.

К тому же, поскольку VPN-сервер на точке доступа не будет принимать данные от беспроводных клиентов, которые не используют правильные VPN-драйверы и пароли, злоумышленник не может войти в сеть, представившись клиентом для для точки доступа.

Целью беспроводной VPN является защита беспроводного соединения между клиентами и точкой доступа и блокирование неавтори зова иных пользователей. Поэтому изолированные и кодированные данные могут перемещаться только в пределах одной комнаты, а не на сотни или тысячи километров. Разумеется, точка доступа может также отправить зашифрованные с помощью VPN-данные через Интернет к компьютеру в удаленном месте.

На рис. 15.2 показано беспроводное подключение к VPN. VPN-сервер располагается между беспроводной точкой доступа и локальной сетью, поэтому все пакеты, перемещающиеся по беспроводной части сети, будут шифрованными.

Для ясности диаграмма показывает VPN-сервер как отдельный компонент, но на практике наиболее практичным способом добавления VPN-защиты в беспроводную сеть является использование маршрутизатора или шлюза, включающего поддержку VPN. Маршрутизаторы с функцией VPN доступны от нескольких поставщиков, включая Alvarion, Colubris и Nexland.

Рис. 15.2

Оглавление книги