Создание корпоративной сети
Для организации корпоративных сетей в компаниях, имеющих удаленные подразделения либо удаленных сотрудников, IT-специалисты все чаще применяют технологию VPN. Этот метод создания сетевой связи поверх других сетей отличается доступной стоимостью и относительной простой технической реализацией. Именно простота и доступность привлекают владельцев бизнеса, предприятий и других организаций — развернуть VPN можно силами сотрудников, не привлекая специалистов на аутсорсе.
Что такое корпоративная локальная сеть
Компьютерная сеть компании, которая служит для выполнения рабочих задач (обмен файлами, подключение к принтерам и другому сетевому оборудованию и так далее), является корпоративной локальной сетью. Она обеспечивает надежную связь между всеми компьютерами организации, которые могут находиться в одном здании, либо располагаться на значительном удалении друг от друга, если компания работает в удаленном режиме.
При создании корпоративной сети необходимо иметь четкое представление о «географии» всех ПК и требованиях к скорости обмена данными в сети. Раньше значительная часть всех корпоративных сетей была построена по принципу LAN (Local Area Network). Сетевые стандарты LAN позволяют гарантировать безопасность передаваемых данных, поскольку передача производится по локальным каналам.
Но у технологии LAN есть существенный минус: по этому стандарту нельзя построить сеть с участием удаленных компьютеров. Для решения задачи придется подключать систему к кабельному или Wi-Fi интернет-соединению, что снижает уровень безопасности при передаче данных. К тому же, оборудование для построения LAN стоит дорого.
Технология VPN (Virtual Private Network) применяется для построения виртуальных защищенных сетей, которые существуют над сетями. Стоимость организации корпоративной сети предприятия по стандарту VPN почти в три раза ниже, чем LAN. При этом удаленность подключаемых компьютеров друг от друга и их количество не играют роли: стандарт VPN позволяет включить в работу столько техники, сколько потребуется.
Основные преимущества и недостатки VPN
Если сотрудники организации часто отправляются в командировки или работают на дому, сеть VPN является оптимальным вариантом организации внутрикорпоративного взаимодействия. Преимущества VPN-сервисов:
- Шифрование обеспечивает безопасную передачу информации через интернет в обход основных угроз.
- При использовании технологии VPN переписка пользователей становится недоступной для хакеров.
Качественные программные продукты для организации VPN-каналов предлагают, по сути, две компании: OpenVPN и WireGuard.
OpenVPN — мультиплатформенный, с гибкими настройками, бесплатный VPN-сервер с открытым исходным кодом. В определенном смысле стал стандартом для организации доступа к внутренним корпоративным сетям. OpenVPN позволяет:
- Проводить сертификатную аутентификацию пользователей.
- Создавать приватные point-to-point ключи.
- Использовать подключаемые модули обеспечивающие проверку логина/пароля во внешних системах, такие как PAM.
- Определять статическую маршрутизацию от клиентов к серверу и от сервера к клиентам.
WireGuard — продукт, разработанный канадским специалистом по информационной безопасности Джейсоном Доненфелдом. Это простое в использовании и высокопроизводительное VPN-решение с проработанной спецификацией, в котором применяется современная криптография типа Noise protocol framework, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF.
Конечно, у VPN есть и недостатки:
- Скорость передачи данных может быть недостаточно высокой для обмена большими объемами информации.
- Существует много протоколов шифрования, и сложно определить, какой из них подходит оптимально для обеспечения безопасности вашей корпоративной сети. Обратитесь к опыту похожих компаний, в том числе конкурентов. Внимательно ознакомьтесь с открытыми кейсами. Обратитесь к специалистам, которые сориентируют вас на рынке.
- Организации, которые занимаются внедрение таких сетей стараются экономить деньги пользователей, но надежные сервисы VPN никогда не бывают бесплатными или совсем дешевыми. Будьте начеку, если видите цену существенно ниже рынка.
Архитектура корпоративных сетей: варианты построения VPN
Привычные варианты топологии для корпоративных сетей типа LAN — звезда (наиболее популярный вариант), шина и кольцо. Для технологии VPN тоже есть свои варианты архитектуры построения сети:
- Remote Access. Эта схема корпоративной сети организации актуальна при значительном количестве работников, которые выполняют свои обязанности в компании удаленно. Суть архитектуры — данные от удаленного сотрудника к головному компьютеру компании передаются по выделенному каналу через интернет.
- Intranet. Термин «Интранет» (или, как его еще называют, «миниатюрный Интернет») обозначает некую отдельную часть организации. Этот тип архитектуры актуален для создания сети в филиалах компании. Каналы для передачи данных открытые, что может быть опасно для сохранности информации при недостаточно надежном шифровании.
- Extranet. Подходит в том случае, если требуется дать доступ к определенному сегменту корпоративных данных для партнеров и клиентов. Если файл содержит конфиденциальные данные, при передаче его по сети информация подвергается шифрованию. Недостаток метода организации — невысокие технические параметры сети.
- Client-Server. Архитектура обеспечивает обмен данными между несколькими узловыми ПК в рамках отдельно взятой структуры. Чтобы обезопасить трафик, при разделении передаваемой информации данные подвергаются шифрованию.
Особенности обеспечения безопасности
Создание безопасной среды на основе VPN происходит тремя способами: шифрование данных, подтверждение подлинности данных и использование аутентификации пользователей для контроля доступа к информации в сети. Наиболее известные протоколы — AES (AES128 и AES256), DES и Triple DES.
Шифрование VPN отличается от HTTPS: по сути, VPN-провайдер добавляет дополнительную защиту для трафика. При этом в свободном доступе отсутствуют данные о том, какого типа данные подвергаются шифрованию.
Для обеспечения повышенного уровня безопасности применяют протоколы, которые формируют туннель для обмена данными между начальным и конечным пользователями, и обеспечивают надежное шифрование пересылаемой информации внутри тоннеля.
Подтверждение подлинности требуется для того, чтобы убедиться в целостности и неизменности данных с момента отправки до момента получения конечным пользователем. Целостность файлов проверяют с помощью специальных алгоритмов. Для контроля доступа применяются стандартные процедуры авторизации через пароль и логин, а также более сложные варианты, например, сертификаты подлинности.
Если вы приняли решение об использовании технологии VPN для построения корпоративной сети, действуйте следующим образом:
- Составьте базовый список требований к системе: количество машин, объемы трафика между ними, тип передаваемых данных, желаемая скорость соединения и т. д.
- Оформите техническое задание на основе этих требований.
- Возьмите в штат толкового системного администратора — его квалификации должно хватить для решения этой задачи.
- Установите VPN и обязательно проверьте сеть на прочность. Здесь можно прибегнуть к помощи ваши сотрудников или найти исследователя со стороны (к примеру, на Хабре). Пусть они попробуют перехватить данные из вашей сети.
Установите VPN и обязательно проверьте сеть на прочность. Здесь можно прибегнуть к помощи ваши сотрудников или найти исследователя со стороны (к примеру, на Хабре). Пусть они попробуют перехватить данные из вашей сети.
Корпоративная сеть — кровеносная система компании. В ней циркулируют документы, информация о контрагентах, договоры, личные дела сотрудников и много других данных, потеря или кража которых может обернуться самыми серьезными финансовыми и репутационными потерями. Одно неосторожное подключение к публичному вайфаю иногда заканчивается многомиллионными убытками — помните об этом, когда будете решать достаточна ли защита вашей корпоративной сети.