Аппаратное решение TimeStep
Решение ANS ISP
Программное решение Isolation
Брандмауэр CheckPoint
Если большинство ваших сотрудников работают дома и на поддержку корпоративной сети вы тратите немалые средства, то почему бы вам не создать виртуальную частную сеть в общедоступном Internet? Это снизит расходы, а уровень защиты коммуникаций при этом нисколько не пострадает. В нашем понимании виртуальная частная сеть, или VPN, - это некий способ использовать Internet для защищенной транспортировки частной информации. Существует несколько аппаратных и программных возможностей выделения, и многие брандмауэры могут теперь шифровать и туннелировать данные, создавая "на лету" выделенный маршрут, по которому передаются пакеты. Таким образом, крупные провайдеры услуг, предлагая VPN-службы, получают возможность выделиться на массовом рынке.
Три "своих" и одна "чужая"
В качестве брандмауэров мы выбрали FireWall-1 3.0 компании CheckPoint Software и ее модуль шифрования VPN+ DES. Они достаточно широко распространены на мировом рынке брандмауэров, а CheckPoint вообще самый популярный продукт этой серии.
При подготовке нашего обзора мы обнаружили, что единственным аппаратным решением, предусматривающим использование уполномоченного по выдаче сертификатов, является семейство Permit компании TimeStep, так что и выбирать особо не пришлось. С другой стороны, InfoCrypt Server производства Isolation Systems оказался единственным программным VPN-продуктом, имеющим уполномоченного по выдаче сертификатов и поддерживающим Network Address Translation.
Последнее решение - Virtual Private Data Network Services компании Advanced Network & Services (ANS) - это особый случай. Его можно было бы даже и не распаковывать. Все-таки неплохо, когда есть человек, готовый выполнить за вас грязную работу.
На этот раз дружескую помощь нам оказал один из провайдеров Internet, предлагающих службы VPN, - это компания ANS, являющаяся подразделением America Online. При оценке своего трафика VPN они использовали общедоступную магистраль AOL, инфраструктуру, которая достаточно точно соответствует нашему определению виртуальной частной сети. Другие провайдеры, которых мы уговаривали протестировать систему, предпочитают использовать частные соединения frame relay.
Аргументы и факты
Арендованные линии чрезмерно дороги и в эпоху Internet они неумолимо устаревают. Когда мы оценивали гипотетическую глобальную сеть, связывающую 20 городов, используя четыре вышеназванных решения и сценарий, предусматривающий аренду линий, стоимость VPN нас просто потрясла.
И хотя экономия может стать аргументом, способным убедить директора компании по информационным системам, все же деньги - не единственная причина, свидетельствующая в пользу создания частной виртуальной сети. VPN, кроме всего прочего, к тому же позволяет упростить подключение новых офисов к вашей глобальной сети, поскольку нет необходимости прибегать к услугам междугородного оператора связи или организовывать еще один локальный канал к домашнему офису. Вы просто подключаете этот новый офис к Internet и все.
Сложившееся мнение о том, что сети VPN функционируют медленно и таят в себе всякие опасности, оказалось ошибочным. По крайней мере, результаты тестирования его не подтверждают. На самом деле опасения, связанные с низкой производительностью Internet зачастую преувеличены. Нам, к примеру, ни разу не пришлось столкнуться с непредвиденной задержкой или иными непредсказуемыми событиями.
Но поскольку регулировать пересылку пакетов через Internet невозможно, напрямую сравнивать производительность этих решений - дело бессмысленное. В действительности процентное соотношение накладных расходов, присущее схемам шифрования каждого решения показывает, что снижение производительности редко превышало 10%. И в информационных тестах, которые мы запускали в основном для удовлетворения собственного любопытства, скорость передачи во всех четырех системах была максимум на 15% ниже, чем по линиям, обеспечивающим скорость передачи 56 Кбит/с.
Каждое решение обеспечивает вполне приемлемый уровень защиты, который будет совершенствоваться по мере укрепления стандартов. Поскольку традиционное шифрование для установки связи предусматривает лишь обмен ключами, мы считаем, что аутентификация на основе сертификатов, при которой прибегают к услугам третьей стороны, - лучший способ обеспечить полномочия при коммуникациях по глобальной сети. И если VPN завоюют популярность (в чем не приходится сомневаться), то большая часть пакетов, передаваемых по Сети, будет защищена.
Как это работает
Байты в конце тоннеля
Создание и использование тоннеля виртуальной частной сети (VPN) происходит в три этапа. Во-первых, каждый узел должен быть сертифицирован или иметь полномочия для установки тоннеля. Во-вторых, узлы сначала должны проверить друг друга и убедиться, что они авторизованы для связи, после чего обменяться открытыми или личными ключами. Затем должно быть достигнуто соглашение о типе шифрования и аутентификации. Лишь после этого может быть начата передача зашифрованных данных.
Аппаратное решение TimeStep
Компоненты
- шлюзы Permit
- Secure Network Management System (SNMS)
- GateConfig
Шлюзы Permit компании TimeStep действуют как мосты между сетью и аппаратным маршрутизатором ISP. Это решение можно было бы назвать лучшим, если бы не один серьезный недостаток - отсутствие поддержки Network Address Translation (NAT). NAT получает все большее распространение в небольших офисах, которые не имеют собственного класса адресов, и в любых компаниях, которые не желают распространять свои IP-адреса по Internet. В определенных масштабах поддержку NAT предлагают Check Point и Isolation.
Отсутствие поддержки NAT означает, что система работает только там, где используются легальные статические IP-адреса. Конечно, дополнительные IP-адреса и их поддержка на удаленных узлах создают немалую нагрузку для администратора. TimeStep планирует поддерживать NAT в следующей версии, выход которой запланирован на начало декабря, интегрировав модули FireWall-1 компании Check Points со шлюзами Permit.
Проблемы с алгоритмами
Большая часть устройств, обеспечивающих туннелирование и шифрование, в том числе шлюзы Permit компании TimeStep и InfoCrypt Server производства Isolation, плохо интегрируются с существующими алгоритмами брандмауэров, поскольку без разбора шифруют всю информацию уровня приложения, такую как HTTP или FTP.
Если ваша компания ограничивает экспортный трафик HTTP (например, в нерабочее время), устройство TimeStep в этом случае станет помехой. Трафик из шлюза Permit будет передаваться зашифрованным и, следовательно, неуправляемым через брандмауэр.
Если не брать во внимание эти ограничения, то процесс установки шлюзов и программного обеспечения SNMS, которое включает в себя уполномоченного по выдаче сертификатов, а также последующая сертификация всего аппаратного обеспечения проходят поразительно гладко. Программное обеспечение SNMS осуществляет простую конфигурацию (методом "выбери и укажи") и функции выдачи сертификатов для всего аппаратного обеспечения TimeStep, независимо от места его размещения.
Как и в других решениях, администрирование зашифрованных туннелей TimeStep не требует больших усилий. Еще одно достоинство SNMS - легко читаемая иерархическая структура, которая визуально организует машины и шлюзы, участвующие в создании туннеля. Однако выделить взаимосвязи между шлюзами достаточно сложно.
Многообразие схем
Основное ограничение защиты TimeStep - в использовании 40- или 56-разрядного DES. Оба варианта кода обладают недостаточно высоким уровнем защиты. Представители компании намерены к началу 1998 года реализовать поддержику Triple-DES и DESX. В остальном возможности защиты TimeStep вполне адекватны. Имеется собственный уполномоченный по выдаче сертификатов, но TimeStep собирается отказаться от него и поддерживать уполномоченного по выдаче сертификатов компании Entrust Technologies, который допускает интеграцию с существующими, ориентированными на Entrust продуктами.
В отличие от решения ANS, эта система не допускает взаимного обмена сертификатами между уполномоченными. Представители TimeStep сообщили, что этот недостаток будет устранен путем обеспечения поддержки каталога X.500, который предусматривает обмен сертификатами с любыми уполномоченными, поддерживающими X.500, в частности с теми, которые созданы компаниями VeriSign и Microsoft.
В основе управления ключами лежит механизм, разработанный самой TimeStep. Динамическое обновление ключей допустимо в интервале от 10 сек до 2 мин. К сожалению, воспользоваться этим можно только в том случае, если установлено прямое последовательное соединение с каждым шлюзом, а этого не так просто добиться при удаленных устройствах.
Вариант, который TimeStep намерена выпустить в декабре, будет полностью соответствовать IPSec. В нем планируется реализовать аутентификационный заголовок, заголовок инкапсулированных защищенных данных (ESP) и протоколы установления и управления ключами Internet Security Association and Key Management Protocol/Oakley. Это делается с целью обеспечения интероперабельности с системами таких производителей, как Cisco, Check Point и Raptor.
Как и в других решениях, возможности выявления нарушения защиты ограничиваются регистрацией; вы не можете "схватить за руку" нарушителей, проникших в ваш туннель.
Решение ANS ISP
Компоненты
- Virtual Private Data Network (VPDN) Services
Поскольку воспользоваться VPDN Services можно только в сетях, создаваемых Advanced Network & Services (ANS), пришлось выбирать между переносом существующего сетевого окружения, поддерживаемого собственным провайдером на сети ANS, и установкой второго Internet-соединения в нашем офисе, обслуживающем шифрованный трафик. Первое решение требует сложных изменений конфигурации, поэтому мы остановились на втором.
С помощью VPDN Services компания ANS закажет и протестирует канал глобальной сети у соответствующего локального провайдера или междугородного оператора связи. ANS обещает установку канала в течение шести недель, но из-за трудностей, которые возникают у междугородных операторов связи с оборудованием, на это в действительности уходит как минимум девять недель. Хотя подобная ситуация складывается не по вине ANS, все же она определенным образом влияет на общую оценку самого продукта. Впрочем, это один из недостатков независимого обслуживания.
Руки развязаны
Все эти неприятности моментально улетучились, как только ANS установила VPDN Services. Как мы и предполагали, это решение с точки зрения управления заслуживает самой высокой оценки. Служба ANS управляет оборудованием для глобальных сетей и устройствами в виртуальной частной сети, модернизирует программное обеспечение и производит поиск и устранение неисправностей. Вы полностью перекладываете свои проблемы на чужие плечи, а именно на ANS.
Для установки аппаратного обеспечения ANS прислала к нам инженеров из службы технической поддержки IBM. После того как вопросы, связанные с IP-адресами, были улажены, мы самоустранились, в то время как представители ANS приступили к своей работе по поддержке удаленной связи из сетевого операционного центра (NOC).
Компания ANS выполняет большиство задач управления оборудованием глобальной сети из NOC посредством удаленного доступа с использованием телефонных каналов. Похоже, что на долю менеджера по информационным системам остается только просмотр ежедневных и еженедельных отчетов о производительности каждого соединения.
Незначительная модернизация ПО производится интерактивно; перезагрузка устройства шифрования занимает чуть больше двух минут. При серьезных модернизациях ANS выпускает новое устройство. Итог: ANS дает гарантию, что ваша VPN будет работать всегда.
Удаленный спасатель
Больше всего нас интересовало, как ANS сможет отследить неисправность, возникшую в сети где-нибудь в центре страны. Теоретически, если на устройстве или в интерфейсе возникает сбой, ANS должна сразу определить это и сообщить заказчику.
На практике система работает почти безупречно. Для того чтобы посмотреть действия ANS, мы выдернули кабель локальной сети из одного из наших узлов. В компании немедленно это обнаружили и уже через несколько минут сообщили. Качество и скорость работы ANS просто великолепны, что весьма актуально в тех случаях, когда VPN обслуживается независимой фирмой.
Что касается шифрования, большая часть предлагаемых ANS возможностей являются внутренними разработками, хотя компания намерена перейти на стандарт IPSec сразу после его утверждения.
По умолчанию ANS использует 128-разрядное шифрование RC4, но также предлагает 64-разрядное RC4, которое мы применяли в своих тестах. Туннели компания тоже реализует по-своему.
Собственное решение ANS по управлению и обмену ключами предусматривает для распространения ключей протокол Open Shortest Path First. Тем не менее есть существенное ограничение в защите ANS - это отсутствие поддержки цифровых сертификатов. ANS планирует поддержать аутентификацию на основе сертификатов в следующем году.
VPN Упрощает жизнь
Ситуации, когда рассматриваемые в обзоре решения оказываются лучше уже известных на рынке продуктов, бывают крайне редко, особенно если речь идет о новых технологиях. Но все четыре созданные нами виртуальные частные сети (VPN) значительно дешевле традиционных арендованных линий, а уровень защиты и производительности у них по меньшей мере не хуже. Так что можно с полным основанием заявить, что VPN готовы к использованию.
Поскольку рынок, с нашей точки зрения, только начинает складываться, не удивительно, что каждый производитель по-своему представляет себе VPN. И каждый в этой связи стремится сказать свое слово. Во время исследования мы рассмотрели четыре различных способа создания виртуальной частной сети. В первую очередь стоит отметить программное обеспечение и шлюзы Permit компании TimeStep, а именно простоту их реализации и быстрое шифрование на аппаратном уровне. Часто бывает так, что сам по себе интересный продукт не может быть назван лучшим, поскольку он имеет какой-нибудь очевидный изъян или не все его возможности достаточно продуманно реализованы. Virtual Private Data Network Services компании Advanced Network & Services (ANS) обращает на себя внимание главным образом потому, что впервые мы тестировали продукт не сами, а обратились к мнению независимого провайдера. Уступить управление своей сетью и передоверить кому-то анализ, который мы привыкли делать самостоятельно, - такой шаг требует изрядного мужества. Но решившись на это, мы поняли, в чем прелесть такого сопровождения: по ночам можно спать спокойно.
Брандмауэр Check Points и программное решение Isolation также вполне могут утешить самого рачительного и экономного директора компании.
Отказ от арендованных линий в пользу одной из этих четырех виртуальных частных сетей может сэкономить компании сотни тысяч долларов.
Программное решение Isolation
Компоненты
- InfoCript Server
- Certificate Authority
- Ускоритель шифрования ExtremePCI
Больше всего нас поразило, насколько мало повлияло решение Isolation на инфраструктуру нашей сети. Мы смогли использовать те же самые сетевые платы и в данном случае, в отличие от решения TimeStep, можно было выполнять преобразование Network Address Translation (NAT), которое не требует применения зарегистрированных IP-адресов на удаленном узле.
Процедура в целом оказалась довольно простой, хотя частично конфигурацию пришлось настраивать вручную. В частности, это потребовалось, чтобы связать Virtual Network InterfaceCard и протокол ISL Virtual Secure 1.0 со стандартной платой. Оба модуля, Certificate Authority и InfoCrypt имеют интуитивный интерфейс для создания сертифицированных ключей и туннелей. Помимо удаленного распространения ключей, Isolation позволяет размещать их на дискетах или PC Card.
После генерации ключей для установки соединения на каждом из узлов мы создали туннель. Все возникающие при этом административные задачи решаются чрезвычайно просто. Подключение дополнительных узлов и мониторинг журналов регистрации не представляло сложности.
Стоит отметить избыточные возможности встроенного мониторинга, который предлагает много лишней информации о передаваемых и получаемых пакетах. Невозможно определить момент обрыва соединения с сервером или возникновения сбоя в Certificate Authority. К примеру, когда наш маршрутизатор ISDN, обеспечивающий соединение по требованию, переходил в автономный режим, интерфейс InfoCrypt по-прежнему показывал сохранение связи. Представители компании Isolation намерены внедрить функцию Keep Alive для постоянной проверки соединения. Для более сложного анализа понадобится утилита syslog. Эти утилиты традиционно создаются под Unix, но Isolation предлагает бесплатную утилиту syslog для систем NT. Полезность ее в том, что она дает возможность отслеживать нарушение защиты и возникновение ошибок в туннеле, но хотелось бы иметь простой способ проверки журналов регистрации, позволяющий обходиться без дополнительной утилиты.
Мы не тестировали InfoCrypt Enterprise, аппаратную виртуальную частную сеть Isolation. Это решение для администрирования использует Enterprise Manager - гораздо более совершенный инструментарий управления, чем тот, который предлагается в InfoCrypt Server. Модуль Enterprise Manager обеспечивает точную статистику соединений, осуществляемую в реальном времени, и предлагает возможности удаленного управления. Представители Isolation сообщили, что к концу октября в InfoCrypt Server будет включена функция удаленного управления.
Охрана
Как и все представленные решения, InfoCrypt предлагает шифрование 56-разрядным DES, но в отличие от других оно поддерживает одновременно стандарты шифрования Triple-Pass DES (112-разрядный ключ) и Triple-Pass DES (168-разрядный ключ). Можно установить дату истечения срока действия сертификатов и их автоматического обновления. После создания сертификата его нельзя редактировать и нельзя удалить до истечения срока их действия или возобновления.
Когда Isolation представит полную реализацию Internet Security Association and Key Management Protocol/Oakley, станет возможным применение ESP и аутентификационные заголовки в трафике локальной частной сети, а пользователи получат возможность выбирать между схемой управления ключами самой Isolation и ISAKMP/Oakley. В соответствии с ISAKMP/Oakley система InfoCrypt будет работать с помощью ESP и аутентификационных заголовков, добиваясь соответствия IPSec.
Поддержка ISAKMP/Oakley предоставит возможности, обеспечиваемые ключами, и заголовки Hashed Message Autentication Code. Кроме того, она создаст условия для взаимодействия InfoCrypt с виртуальными частными сетями, созданными без использования программного обеспечения Isolation, например, такими как FireWall-1.
Представители Isolation сообщили, что компания не планирует реализовывать Secure Key Management Protocol. Однако InfoCrypt полностью соответствует X.509 версии 1.0. Для обмена сертификатами InfoCrypt использует собственный механизм, который предусматривает выпуск сертификатов X.509, очень похожих на сертификаты компании Entrust Technologies.
Еще одно усовершенствование - поддержка NAT для Windows NT. Во время тестирования нам пришлось использовать NAT на маршрутизаторе.
Брандмауэр CheckPoint
Компоненты
- FireWall-1, версия 3.0
- модуль шифрования VPN+DEStremePCI
Тем, кто строит виртуальную частную сеть впервые, не стоит применять FireWall-1 компании Check Point. Реализовать это решение оказалось довольно сложно. Сама по себе инсталляция достаточно прямолинейна, но с лицензированием ключей далеко не все благополучно. Модуль VPN+DES встроен в FireWall-1, но для того, чтобы активизировать его функции, необходимо приобрести ключи. С первой попытки "ключ не подошел". Модернизация программного обеспечения также не принесла желаемого результата. После консультации в службе технической поддержки, мы узнали, что на узле Web компании Check Point имеется страница, специально выделенная для лицензирования ключей.
Обманчивая простота
Интерфейс приложения Security Policy выглядит очень просто. Но на самом деле за непритязательной внешностью скрывается сложный интерфейс управления распределенными брандмауэрами. К примеру, при определении рабочей станции или другого сетевого объекта на удаленном брандмауэре мы не смогли связать этот объект с самим брандмауэром. В результате Check Point установила алгоритм защиты, автоматически созданный объектом, по умолчанию на все брандмауэры. Позже мы обнаружили, что можем выбрать конкретный брандмауэр и установить на нем алгоритм защиты, но это трудно осуществить, если под управлением находится значительное число брандмауэров.
Также выяснилось, что весьма непросто заблокировать алгоритм. Чтобы исправить достаточно сложный алгоритм, который работал не совсем так, как нам требовалось, мы попытались заблокировать конкретные алгоритмы, дабы определить, который из них не действует. К сожалению, в FireWall-1 эта возможность не предусмотрена; приходится удалять алгоритмы и затем создавать их заново по мере обнаружения и устранения ошибок. Мы нашли способ преодолеть это - установить время действия алгоритма до 30 февраля, но такой, прямо скажем, экстраординарный путь вряд ли может рассматриваться всерьез.
Как и InfoCrypt, система FireWall-1 поддерживает Network Address Translation (NAT) на удаленных узлах. Однако это решение предусматривает использование собственного преобразования адресов, разработанного в Check Point, чего, скажем, Isolation Systems не требует.
Работа по управлению FireWall-1 и VPN+DES занимает минимум времени и требует от администратора самых простых навыков. Если алгоритмы шифрования и туннели установлены и начали работать, то нет необходимости делать что-либо еще.
Насколько сеть безопасна?
FireWall-1 допускает использование трех схем шифрования: Manual IP Security Protocol (IPSec), Secure Key Management for Internet Protocol (SKIP) и FireWall Zip (FWZ). Последняя схема разработана компанией Check Point. Поскольку задача была по возможности провести сопоставление продуктов на уровне апплетов, мы протестировали схемы IPSec и SKIP, отказавшись от внутреннего FWZ. Check Point проделала серьезную работу, латая дыры, оставленные в схемах IPSec и SKIP.
Manual IPSec является одной из первых реализаций стандарта IPSec. Она предлагает шифрование и аутентификацию. Это своего рода реакция Check Point на предварительное описание обмена ключами, которое было выдвинуто Internet Security Association and Key Managment Protocol (ISAKMP)/Oakley. Поскольку рассматриваемое решение представляет собой реализацию брандмауэра, оно предлагает IPSec только в режиме туннеля. По этой схеме весь исходный пакет, включая заголовок, шифруется, а затем к нему присоединяются заголовок ESP и новый IP-заголовок.
Реализация Check Point этого дополнения к IPSec заслуживает одобрения, поскольку она допускает гибкость при туннелировании нелегитимных IP-адресов. Однако эта схема предусматривает добавление 40 байт к каждому пакету до их передачи, что может отразиться на производительности. (Метод FWZ обходится без этих дополнительных 40 байт.)
Ни одно из рассматриваемых решений не предлагает раннюю версию ISAKMP/Oakley, от лидеров - Check Point и Time Step - мы ожидали большего в том, что касается соответствия IPSec. Реализация SKIP компанией Check Point предлагает ESP и аутентификационные заголовки, но не использует Certificate Discovery Protocol, предусмотренный SKIP для обмена открытыми ключами. Вместо этого здесь применяют собственную схему, в основе которой лежит механизм обмена ключами Diffie-Hellman.