Все опасности, которые подстерегают рядового пользователя интернета — ничто по сравнению с тем, что может ожидать компанию, чья внутренняя сеть подключена к сети глобальной. Даже если исключить возможность злонамеренного нарушения работы с подачи конкурентов, остается значительное количество неприятностей, которые могут произойти по вине относительно бескорыстных взломщиков чужих систем.

Примечателен один из последних взломов новостных сайтов, когда расшалившиеся хакеры, вместо того, чтобы, как обычно, заменить заглавную страницу сайта на свою страничку, означавшую, что еще один сайт повержен, изменили, смеха ради, содержание нескольких новостных статей. В частности, на сайте появилась заметка, в которой утверждалось, что глава корпорации Microsoft Билл Гейтс лично взломал несколько десятков сайтов NASA и в скором времени предстанет перед судом.

Случаи, когда проникнувшие в систему хакеры по незнанию или злому умыслу просто уничтожали данные, не столь уж редки. Не так давно стала актуальной и рпоблема подмены информации, когда вместо того, чтобы уничтожить или подсмотреть данные, взломщики заменяют их на выгодные им. Пока что факты подобных подмен не выходят за рамки шалостей и курьезов, но что мешает завтра таким же образом поступить хакеру, со злым умыслом пробравшемуся в локальную сеть какой-нибудь компании?

В общем, бездумное подключение локальной корпоративной сети к Интернету примерно столь же безопасно как систематическое незапирание входной двери. Поэтому, как правило, подключению к глобальной сети предшествуют (по крайней мере, должны предшествовать) меры по обеспечению безопасности. В первую очередь, как и в случае с обеспечением защиты персонального компьютера, это установка брандмауэра, только брандмауэр, как правило, устанавливается не на каждый компьютер — трудозатраты системного администратора при таком раскладе были бы слишком велики, да и уровень защиты при этом достигается недостаточный.

Если попытаться каким-то образом классифицировать брандмауэры, то можно сказать, что защита сети может производиться на уровне фильтрации пакетов, на прикладном уровне и на уровне каналов (часто два последних варианта объединяются). Фильтрация на уровне пакетов является простейшей в реализации и, как правило, реализуется в маршрутизаторах. Маршрутизатор просматривает заголовок каждого входящего пакета и «принимает решение» о целесообразности пропуска его внутрь. К сожалению, благодаря существованию таких тривиальных путей обхода, как фальсификация ip-адреса, этого явно недостаточно для обеспечения должного уровня безопасности. Поэтому очень часто в приложении к фильтрации пакетов применяются шлюзы прикладного уровня, по сути представляющие из себя прокси-сервер для каждого из поддерживаемых сетевых сервисов. Если сервис не поддерживается брандмауэром, то пользователи внутренней сети воспользоваться им не могут. Как и хакеры.

Все это прекрасно работает, если сеть используется как источник получения информации, то есть работа с Интернетом ориентирована в основном на получение входящих пакетов, среди которых необходимо тем или иным образом «отделить зерна от плевел». Если же речь идет о постоянной передаче конфиденциальных данных между локальной сетью и удаленным компьютером, одним брандмауэром сыт не будешь. Страж, охраняющий вход в дом, никаким образом не может повлиять на безопасность информации после того, как она отправлена во внешний мир.

Конечно, теоретически можно предложить соединить удаленный компьютер с локальной сетью при помощи выделенных, специально для этого протянутых каналов связи. Однако стоимость такого решения обычно настолько нереальна для большинства компаний, что подобная альтернатива просто не рассматривается (разумеется, мы не говорим о случаях, когда необходимо соединить компьютеры, расположенные на разных этажах одного и того же здания). В качестве реального примера организации, которой может потребоваться такая сеть, можно привести любую компанию, имеющую филиалы в других городах.

Поэтому в силу экономических соображений передача корпоративных данных между разными сегментами сети обычно производится по открытым, общедоступным каналам связи. Однако, за удобство и относительную дешевизну приходится платить — безопасность передачи данных при этом, мягко говоря, страдает. Вследствие этого, для обеспечения повышенной безопасности во время передачи частных данных применяются механизмы так называемых виртуальных частных сетей (virtual private networks, VPN). Понятно, почему «виртуальных» — строятся-то они на основе инфраструктуры общедоступных сетей.

Защитой информации «в пути» функции виртуальных частных сетей не ограничиваются. Кроме этого, должны выполняться такие условия, как четкая аутентификация сообщающихся между собой сторон и протоколирование отправки и приема сообщений. За счет встроенных возможностей стека TCP/IP предотращаются повтор, удаление и задержки пакетов сообщений. Основным же средством защиты информации является, конечно, криптографическая защита данных. Для организации защищенных туннелей передачи данных могут применяться три протокола: PPTP (Point-to-Point Tunneling Protocol) , L2F (Layer-2 Forwarding) и L2TP (Layer-2 Tunneling Protocol). Кроме этого, существуют и протоколы для защиты данных на более высоком уровне — например, протокол Internet Protocol Security (IPSec ).

Надо сказать, что виртуальные частные сети — по большому счету не более, чем набор различных стандартов, протоколов и технологий, объединенных общей функциональностью. Реализовать виртуальные частные сети можно несколькими способами. В некоторых случаях достаточно обновить маршрутизаторы — сейчас выпускаются маршрутизаторы и брандмауэры, способные поддерживать туннелирование данных между точками сети. Шифрование данных можно возложить как на специализированные устройства, способные производить кодирование/декодирование траффика в реальном времени, так и реализовать программно (промежуточный вариант: оставить на совести маршрутизатора или брандмауэра, если им такое по плечу). Как обычно, выбирать здесь придется между дополнительными затратами и снижением пропускной способности сети и/или производительностью сервера, если функции виртуальной частной сети будут реализованы программно.