Ответы. Контрольные ответы М.Вадим. Контрольные вопросы в чем преимущества использования vpnтехнологий по сравнению с технологиями глобальных сетей (wan)
Скачать 20.05 Kb.
|
Контрольные вопросы: В чем преимущества использования VPN-технологий по сравнению с технологиями глобальных сетей (WAN)? Отнимает ли одиночное клиентское VPN-подключение столько же ресурсов (без учета пропускной способности), сколько и межузловые VPN? О чем надо позаботиться, пользуясь VPN при подключениях с сотовых телефонов или беспроводных устройств? Существует ли проблема использования незащищенных беспроводных сетей, когда кто-то может "прицепиться" к вашему устройству, а затем и к защищенному каналу VPN? Почему специалисты перестали делать различия между понятиями "беспроводной" и "мобильный"? VPN не очень-то дружественны к большинству мобильных пользователей. Существуют ли какие-то решения IP Security или Secure Sockets Layer для Linux? Что вы думаете о безопасности VPN, использующих Windows 2000 Server и технологию DSL или кабельных модемов? Насколько они безопасны и в чем их недостатки? Можно ли описать требования безопасности для VPN при использовании общедоступных и частных сетей? Расскажите, пожалуйста, подробнее о VPN, связывающих две ЛВС. Как повлияет IPv6 на VPN? У нас есть аппаратный брандмауэр, предоставляющий функции VPN для большого числа мобильных пользователей, причем мы используем PPTP (протокол туннелирования точка - точка). Что еще можно сделать для улучшения безопасности? Что вы понимаете под детально разграниченным доступом при VPN-соединении и в чем его отличие от открытого доступа? Что такое ускоритель VPN? У нас есть два небольших офиса, каждый численностью не больше 15 человек, и их персонал просит организовать взаимное подключение и совместное пользование однотипными данными. Будет ли VPN здесь экономически разумным решением? Будет ли столь же безопасно, как VPN, использование входной регистрации Microsoft Remote Desktop? Есть ли способ при имеющейся связи двух ЛВС потребовать дополнительной аутентификации еще на одном уровне? Если вы организовали VPN между главным узлом и удаленным, зарезервированным для чрезвычайных ситуаций, создав между ними кластер высокого уровня готовности, и первичный узел вышел из строя, смогут ли клиенты VPN подключаться из разных мест к резервному узлу? Ответы: 1. VPN - это сетевая технология, которая позволяет перенести частную сеть (такую как LAN) в публичную сеть, такую как Интернет. Корпорации используют VPN для того, чтобы удаленные сотрудники могли безопасно подсоединяться к их частной сети. 2. Если говорить о прохождении сигнала и задержках, то да. Есть различие в процессах установления соединения — VPN требуют более интенсивных вычислений. 3. Одна из крупнейших проблем при беспроводном доступе с сетевых устройств состоит в слабой физической защищенности переносной аппаратуры. В большинстве решений идентифицируется не пользователь, а устройство; и тот, кто пользуется подмененным или краденым аппаратом, может получить все права легитимного клиента - особенно когда разрешаются варварские методы обеспечения "комфорта", например сохранение пароля внутри системы или функция автозавершения логина и пароля при доступе к Web-сайтам через браузеры. 4. Если ваш беспроводной канал сам по себе не защищен, но переносит только защищенный контент, остающийся зашифрованным на всех беспроводных и кабельных участках VPN, то его анализ посторонними невозможен, а стало быть, вы избавлены от административных забот по созданию параллельной инфраструктуры идентификаторов и ключей, защищающей собственно беспроводные каналы. Правда, все беспроводные системы остаются открытыми для анализа того, какие узлы друг с другом взаимодействуют. Улучшит ли дополнительная защита беспроводного канала общую безопасность вашей системы? В определенной мере да, но сколько это будет стоить? Это вопрос того, какой уровень безопасности требуется для вашей сети в целом и в какие части системы вы хотите вкладывать ваши силы и ресурсы. 5. Это вопрос в точку, особенно в том плане, что некоторые решения гораздо лучше работают в пространстве, администрируемом одним сервис-провайдером, чем в группе зон, находящихся, фигурально выражаясь, под разной сервисной юрисдикцией. Чем больше ваш канал похож на ординарный вариант TCP/IP, тем больше будет гибкости в использовании разнообразных служб и провайдеров. Например, шифрование электронной почты вместо пересылки обычной почты через VPN предъявляет меньше требований к каналу связи и его сервис-провайдеру. 6. Безусловно, и притом оба сорта. Популярные пакеты с открытым исходным кодом - FreeS/WAN и Stunnel. Коммерческие VPN-устройства работают независимо от ОС, но некоторые из них рассчитаны на Linux. В клиентской части VPN-системы на основе SSL нужен только браузер, и здесь нет никаких проблем. В случае же с IPSec дела с клиентской совместимостью обстоят сложнее, тут возможны трудности. В этих вопросах надо разбираться конкретно. 7. Если при широкополосном подключении используется статический IP-адрес, то соответствующая система, в принципе, становится более легкой мишенью. Но даже при этом большинство усовершенствований в безопасности Windows 2000 связано с конфигурированием, а что касается ОС Windows Server 2003, то ее конфигурация уже по умолчанию ориентирована на безопасность, а не на готовность к немедленной работе, и в нее плюс к тому заложен интегральный эффект многолетних исправлений ОС. Утверждения, будто ПО с открытым исходным кодом по своей природе более безопасно, сегодня ставятся под вопрос (см. www.eweek.com/links). Независимо от выбора ОС, фундаментом безопасности является аккуратное и вдумчивое администрирование 8. Трудно себе представить нужду в создании VPN поверх частной сети, если только нет проблем с доверием к сетевому сервис-провайдеру или опасений физического перехвата сигналов на линиях связи. Но если такие вопросы вас волнуют, стоит защитить трафик, однако VPN - лишь одно из нескольких решений, над которыми следует поразмыслить. Например, альтернативный вариант - шифрование электронной почты. 9. Если при создании VPN "сеть - сеть" используются шлюзы IP Security, размещенные снаружи брандмауэров каждой из ЛВС, то воздействие VPN на сети будет минимальным. Однако в этом случае брандмауэр не сможет защищать шлюз и анализировать атаки против него. С другой стороны, атакующий не в состоянии использовать VPN для туннелирования через брандмауэр, ведь брандмауэр воспринимает все приходящее со стороны шлюза как ординарный сетевой трафик. Смотря по тому, какие типы атак вас больше всего беспокоят, этот компромисс либо приемлем, либо нет. Для относительно несложной поддержки мобильных клиентов непременно требуется отличная интеграция функций шлюза и брандмауэра. 10. Протокол IPv6, по определению, поддерживает любой запрос сервиса IPSec со стороны приложений. Вместо того чтобы быть уровнем поверх Интернета, IPSec становится его частью. IPv6 существенно улучшает защиту против многих форм атак, и эту технологию желательно побыстрее внедрять. Что касается влияния на VPN, то IPv6 не снимает потребность в средствах для администрирования полномочий и определения того, какие приложения могут использовать IPSec для защищенного доступа к конкретным ресурсам. Поэтому инструменты VPN сохраняют свое значение; они лишь делегируют сетевой инфраструктуре некоторые из низкоуровневых задач. 11. Ваши дальнейшие возможности усиления безопасности, по-видимому, лежат скорее в области политики, чем технологии. Полезно сделать акцент на процессе предоставления и отзыва полномочий, на управлении доступом к секретной информации и на обучении пользователей ответственному отношению к вопросам безопасности. 12. Детально разграниченный (granular) контроль доступа подразумевает возможность более точно определять целесообразность выдачи того или иного разрешения конкретным сетевым узлам или пользователям. Механизмы контроля этих полномочий могут быть заложены на уровне сетевой ОС или более высоком, управляемом инструментами VPN. 13. VPN-ускоритель переносит вычислительные операции по VPN-шифрованию и декодированию на один или несколько специально выделенных процессоров, уменьшая нагрузку на серверный процессор общего назначения 14. Безусловно, в вашем случае прекрасно подойдет недорогая VPN "узел - узел". Найдите одну-две тысячи долларов на пару устройств. Можно также поставить с двух сторон по Linux-серверу и воспользоваться продуктом FreeS/WAN (ПО бесплатно и имеется на сайте www.freeswan.org), но этот вариант сложнее для настройки. 15. Remote Desktop предоставляет более простые возможности конфигурирования и управления брандмауэром. Однако VPN обеспечивают лучшую безопасность, так как здесь вам приходится аутентифицироваться дважды - один раз для VPN и еще раз для нужного вам приложения. Но все же Remote Desktop плюс какая-нибудь защита брандмауэром для ограничения IP-вызовов дают "достаточно хороший" уровень безопасности. 16. VPN в VPN туннелировать нельзя, и поэтому для двукратной аутентификации потребуется задействовать аутентификацию на уровне приложений или портов (например, IPSec плюс HTTP/ SSL или Secure Shell). 17. В принципе да, но в случае с IPSec потребуется процедура повторного подключения, так как этот протокол связан с состоянием, а оно при отработке серверного отказа не сохраняется. В случае же с SSL вы сможете осуществить отработку отказа, если SSL-соединение будет заканчиваться перед серверной парой или если вы приобретете VPN-устройство с отработкой отказов (многие их них имеют эту функцию). |