Одним из механизмов обеспечения безопасности IP-телефонии может быть
использование виртуальных частных сетей (Virtual Private Network, VPN).
Виртуальные частные сети создаются, как правило, для решения двух задач:
В первом случае они используются в качестве альтернативы удаленному доступу. Вместо того чтобы устанавливать соединение с корпоративной средой по междугородной или международной сетям, пользователи локально подключаются к Интернет и связываются с сетью компании. Во втором случае VPN часто применяются для организации так называемых виртуальных выделенных линий.
Виртуальная частная сеть создается между инициатором туннеля и терминатором туннеля. Термином туннель (tunnel) обозначают высокоскоростную магистраль, соединяющую между собой две локальные сети связи. В туннеле может быть реализован режим многоадресной прозрачной передачи данных (без обработки и преобразования формата). Туннелирование реализуется протоколами канального уровня. Инициатор туннеля инкапсулирует свои пакеты в новый пакет, содержащий, наряду с исходными данными, новый заголовок с информацией об отправителе и получателе. Терминатор туннеля выполняет процесс, обратный инкапсуляции, удаляя новые заголовки и направляя исходный пакет адресату в локальной сети.
Сама по себе инкапсуляция никоим образом не повышает конфиденциальности или целостности туннелируемых данных. Конфиденциальность обеспечивается с помощью шифрования. Поскольку методов шифрования данных существует множество, очень важно, чтобы инициатор и терминатор туннеля использовали один и тот же метод. Кроме того, для успешного дешифрации данных инициатор и терминатор должны иметь возможность обмена ключами. Чтобы туннели создавались только между уполномоченными пользователями, конечные точки требуется идентифицировать. Целостность туннелируемых данных можно обеспечить с помощью некоей формы выборки сообщения или хэш-функции для выявления изменений или удалений.
Для реализации унифицированного способа инкапсуляции трафика третьего уровня (и более высоких уровней) на клиентах и серверах Windows компании Microsoft, Ascend Communications и 3Com разработали туннельный протокол управления доставкой данных между двумя точками (Point-to-Point Tunneling Protocol, РРТР), представляющий собой расширение протокола РРР.
Компания Cisco Systems разработала протокол пересылки на втором уровне модели OSI (Layer-2 Forwarding, L2F), с помощью которого удаленные клиенты могут связаться по каналам провайдера Internet и быть идентифицированы.
Оба этих тесно связанных друг с другом протокола IETF были объединены, и получившийся в результате протокол, включивший лучшее из РРТР и L2F, называется протоколом туннелирования второго уровня (Layer-2 Tunneling Protocol, L2TP). Его поддерживают компании Cisco, Microsoft, 3Com, Ascend и многие другие производители. Как и предшествующие протоколы второго уровня, спецификация L2TP не описывает методы идентификации и шифрования.
Спецификацией IETF, где описаны стандартные методы для всех компонентов VPN, является протокол IPSec (Internet Protocol Security), иногда его называют туннелированием третьего уровня (Layer-3 Tunneling). Протокол IPSec предусматривает стандартные методы идентификации пользователей или компьютеров при инициации туннеля, стандартные способы использования шифрования конечными точками туннеля, а также стандартные методы обмена и управления ключами шифрования между конечными точками.
Протокол IPSec может работать совместно с L2TP, в результате эти два протокола обеспечивают более надежную идентификацию, стандартизованное шифрование и целостность данных.
Шифрование информации, передаваемой между инициатором и терминатором туннеля, часто осуществляется с помощью защиты транспортного уровня (Transport Layer Security, TLS), ранее - протокола защищенных сокетов (Secure Sockets Layer, SSL). Для стандартизации аутентифицированного прохода через брандмауэры IETF определил протокол под названием SOCKS, и в настоящее время SOCKS 5 применяется для стандартизованной реализации посредников каналов.
Как и любая другая вычислительная функция, работа по созданию сетей VPN проводится с помощью программного обеспечения. Программное обеспечение для создания VPN может выполняться на самых разных аппаратных платформах. Функции VPN могут поддерживать маршрутизаторы (на третьем уровне модели OSI), коммутаторы (на втором уровне модели OSI), аппаратно и программно реализуемые брандмауэры .
Брэндмауэр - это средство защиты, которое можно использовать для управления доступом между надежной и менее надежной сетями.
Механизм VPN немыслим без идентификации. Инфраструктура с открытыми ключами (Public Key Infrastructure, PKI) для электронной идентификации и управления открытыми ключами является в настоящее время основной. Данные PKI целесообразнее всего хранить в глобальном каталоге, обращаться к которому можно по упрощенному протоколу доступа к каталогу (Lightweight Directory Access Protocol, LDAP).
В таблице 8.2 представлены некоторые системы для организации взаимодействия между пользователями VPN в сети Интернет-телефонии.
| Категория системы | Достоинства | Недостатки |
| Программное обеспечение VPN для брандмауэров | Общее администрирование VPN. Если VPN должны завершаться вне брандмауэра, то канал между окончанием туннеля и брандмауэром может стать уязвимым звеном в системе защиты. При повышении производительности серверных продуктов аппаратное обеспечение потребуется модернизировать. | Операции, связанные с шифрованием данных, могут чрезмерно загружать ЦП и снижать производительность брандмауэра. В случае интегрированных продуктов VPN и брандмауэра оба они могут оказаться не лучшими в своем классе. |
| VPN на базе маршрутизатора или коммутатора | Интегральные сети VPN могут не потребовать дополнительных расходов на приобретение. Упрощение администрирования VPN. | Функционирование VPN может отрицательно повлиять на другой трафик. |
| VPN на базе автономного программного обеспечения | Завершение VPN нередко представляет собой сложную задачу. При повышении производительности серверных продуктов аппаратное обеспечение может потребоваться модернизировать. Старые аппаратные средства могут послужить для решения новых задач. | Администрирование VPN может потребовать отдельного приложения, возможно, выделенного каталога. |
| VPN на базе аппаратных средств | Многофункциональные устройства облегчают конфигурирование и обслуживание в удаленных офисах. Однофункциональные устройства допускают тонкую настройку для достижения наивысшей производительности. | В многофункциональных блоках производительность одного приложения повышается зачастую в ущерб другому. Однофункциональные устройства могут требовать отдельных инструментов администрирования и каталогов. Модернизация для повышения производительности нередко оказывается слишком дорогостоящей или невозможной. |