для забезпечення безпеки. Звичайне шифрування виконується між брандмауерами, і безпечна взаємодія можлива тільки для невеликого числа ЛВС.
Безпека - не єдине питання, що виникає при з'єднанні ЛВС з Інтернетом. Зараз Інтернет не надає гарантій в пропускній спроможності каналу і його надійності. Файли і повідомлення можуть бути передані із затримками або не доставлені взагалі, і це залежить від загального стану мереж і окремих маршрутизаторів, складових Інтернет.
Середній-високий
Віртуальні приватні мережі між ЛВС не повинні використовувати Інтернет для передачі критичного до оперативності передачі трафіку. Якщо рівень надійності, що надається Інтернетом, недостатній для забезпечення необхідного рівня сервісу, для передачі даних повинні використовуватися інші способи.
Високий
При використанні Інтернету для організації віртуальних приватних мереж між ЛВС повинні бути засоби, що забезпечують швидке створення
резервного каналу для передачі у разі тимчасової неможливості передачі через інтернет..
Важливим питанням при створенні віртуальних приватних мереж є те, що в кожній ЛВС повинні використовуватися еквівалентні політики безпеки. VPN по
суті створює одну велику мережу з групи незалежних раніше мереж. Тому безпека VPN буде рівна безпеці найменш захищеною ЛВС - якщо хоч би одна ЛВС дозволяє здійснити незахищений доступ по комутованих лініях, то під загрозою опиняться всі ресурси VPN.
Створення віртуальної приватної мережі за допомогою Інтернету між окремими мережами організації вимагає письмового дозволу відповідального за безпеку.
Додавання мереж до існуючої VPN також вимагає письмового дозволу. Перед підключенням мережі до VPN повинні бути виконаний аналіз і, при необхідності, доопрацювання використовуваних в ній політик безпеки.
Існує декілька варіантів створення VPN:
Захищені канали - брандмауер шифрує весь трафік, передаваний видаленому хосту або мережі, і розшифровує весь трафік, прийнятий від них. Трафік між хостами в VPN, зв'язаними захищеними каналами, передається вільно, неначе між ними немає брандмауерів. Насправді трафік маршрутизується брандмауерами VPN, обробка його проксі-серверами і аутентифікація не потрібна. Будь-які два хоста усередині VPN, зв'язані захищеними каналами, можуть вільно обмінюватися даними між собою, і надавати всі сервіси TCP/IP, які у них є. Захищені канали часто використовуються для з'єднання географічно розділених мереж, що належать одній організації, кожна з яких має своє власне підключення до Інтернету через провайдера, в одну віртуальну мережу безпечним способом.
Приватні канали - трафік між брандмауером і видаленим хостом шифрується так само, як і для захищеного каналу. Але трафік між видаленими хостами, зв'язаними приватними каналами, не передається вільно, а повинен бути оброблений проксі-сервером брандмауера, а з'єднання
аутентифицировано, як того вимагає звичайна політика доступу для проксі-сервера. Цей вид каналу забезпечує аутентифікацію відправника трафіку і конфіденційність даних, але в даному випадку дві мережі забезпечують наявність двох різних периметрів безпеки, і можуть використовуватися тільки ті сервіси, для яких конфігурована передача проксі-серверу в брандмауері. Приватні канали
часто використовуються для організації зв'язку між мережами різних організацій, які не хочуть надавати повного доступу до їх мереж, і вимагають конфіденційності трафіку між ними.
Проміжні канали - ці канали використовуються для проміжної передачі зашифрованого трафіку між хостами за брандмауерами, які (хосты) самі входять до складу іншої VPN. Це дозволяє брандмауеру, що знаходиться між двох інших
VPN бути конфігурованим так, що він тільки передає зашифровані дані. Він не розшифровує трафік і навіть не знає ключа шифрування, йому треба лише знати адреси хостов по обидві сторони брандмауера, що беруть участь в організації цього каналу, щоб визначити, які зашифровані пакети пропускати. Така архітектура дозволяє використовувати проміжний брандмауер як маршрутизатор.
Низький-середній
Для VPN, що використовують Інтернет, брандмауери організації повинні працювати в режимі захищеного каналу, шифрувати трафік VPN, і не вимагати використання проксі-серверів для його обробки
Високий
Для VPN, що використовують Інтернет, брандмауери організації повинні працювати в режимі приватного каналу, шифрувати трафік VPN, і вимагати використання проксі-серверів брандмауера для обмеження доступу до сервісів з боку видалених хостов VPN.
Віддалений доступ до системи
Хоча атаки з Інтернету привертають до себе багато уваги преси, більшість проникнень в комп'ютери відбуваються через модеми. Як вже мовилося, існує декілька конфігурацій для забезпечення видаленого доступу по комутованих каналах. В цілому, основна проблема - аутентифікація, забезпечення гарантій того, що тільки законні користувачі можуть дістати видалений доступ до вашої системи. Більшості організацій рекомендується застосовувати одноразові паролі і смарт-карты.
Іншою проблемою є контроль за використанням можливостей видаленого доступу.
Найефективнішим є об'єднання модемів, використовуваних для видаленого доступу, в сервера доступу або модемні пули.
Низький рівень
Всі користувачі, що мають можливість доступу до комп'ютерів організації через модеми, повинні періодично міняти паролі. Прямі підключення до комп'ютерів організації, використовуваних у виробничих цілях, повинні здійснюватися тільки
після отримання письмового дозволу начальника відділу автоматизації.
Середній-високий
Всі користувачі, які мають доступ до комп'ютерів організації через модеми, повинні використовувати одноразові паролі. Прямі підключення до комп'ютерів організації, використовуваних у виробничих цілях, повинні здійснюватися тільки після отримання письмового дозволу начальника відділу автоматизації і начальника відділу інформаційної безпеки. Використання окремих модемів для підключення до комп'ютерів організації заборонене.
Низький-середній-високий
Інформація про діставання доступу до комп'ютерів організації, така як телефонні номери модемів, вважається конфіденційною. Ця інформація не повинна повідомлятися в BBS, телефонних довідниках, візитних картах, або
іншим способом бути доступною стороннім особам без письмового дозволу начальника відділу автоматизації. Начальник відділу автоматизації періодично сканує вхідні телефонні лінії для перевірки дотримання політик безпеки і може періодично міняти телефонні номери, щоб зробити важчим виявлення сторонніми особами телефонних номерів організації.
Доступ до внутрішніх баз даних
Іншим важливим питанням є забезпечення безпеки доступу ззовні до внутрішніх баз даних. Для невеликих, щодо статичних груп користувачів (співробітників