IETF решает проблему конфликтов между межсетевыми экранами и сетями VPN
Гил Швед: «Мы считаем, что покупка отдельно решения для организации виртуальной частной сети и межсетевого экрана обойдется слишком дорого»

Один из самых тягостных моментов реализации виртуальных частных сетей (VPN — virtual private network) — «преодоление» периметров межсетевых экранов предприятия — вскоре может быть устранен благодаря разработкам, ведущимся сейчас в Internet Engineering Task Force.

Во время недавней конференции в Лондоне эксперты этой организации проанализировали предложение, касающееся стандарта на трансляцию сетевых адресов (NAT — network address translation), который определяет, каким образом туннели сети VPN, защищенные посредством IP Security (IPSec), должны преодолевать межсетевые экраны и другие устройства, выполняющие преобразование адресов. В идеале межсетевые экраны и сети VPN дополняют друг друга, причем межсетевые экраны блокируют вторжения со стороны Internet, а виртуальные частные сети позволяют организовать в общедоступной среде Internet защищенные туннели, связывающие сетевые устройства. Однако иногда межсетевые экраны и виртуальные частные сети конфликтуют друг с другом, особенно в тех случаях, когда оборудование для сетей VPN поставляют различные производители.

Рассмотрим ситуацию на примере компании Bell Canada Enterprises, сотрудники которой используют клиент виртуальной частной сети Contivity корпорации Nortel Networks на своих мобильных компьютерах для создания защищенных туннелей при удаленном доступе к VPN-коммутатору. Билл О?Брайан, заместитель директора по вопросам системной безопасности, решил с целью повышения безопасности установить на ноутбуки персональные межсетевые экраны. Протестировав несколько продуктов, он понял, что лишь CyberArmor компании InfoExpress позволяет ПО сети VPN производства Nortel беспрепятственно устанавливать защищенные соединения.

«Настольный межсетевой экран и сеть VPN должны работать заодно, — уверен О?Брайан. — Хакеры всегда стремятся найти самое слабое звено».

В целом большая часть проблем, с которыми сталкиваются пользователи решений Nortel и других компаний, может быть решена с помощью механизма NAT или другой подходящей технологии преобразования адресов, заменяющей частный IP-адрес на открытый адрес для передачи трафика по Internet. Зачастую пользователи присваивают устройствам локальной сети частные IP-адреса, потому что открытых IP-адресов не хватает, или потому что они хотят скрыть свои машины от прямого доступа из Internet. Когда исходящий трафик передается через межсетевой экран, тот преобразует частный адрес в открытый; для входящего трафика выполняется обратное преобразование.

Поскольку поддерживающие IPSec устройства сети VPN создают новые IP-заголовки для передаваемого по защищенному туннелю трафика, проверка, выполняемая средствами аутентификации пакетов, может не дать положительного результата и этот трафик будет остановлен межсетевыми экранами, выполняющими преобразование сетевых адресов. Целый ряд производителей ищет способы решить эту проблему, но не существует пока единого стандартного метода, которым пользовались бы все. Возможно, таким методом станет решение, предлагаемое IETF.

Предлагаемый IETF стандарт предусматривает упаковку трафика IPSec в пакеты, снабженные заголовками User Datagram Protocol, еще до выполнения преобразования сетевых адресов. Преобразованный в UDP-пакеты трафик не вызовет подозрений в нарушении целостности с точки зрения NAT. Данное предложение IETF представляет собой объединение решений, представленных рядом производителей, в том числе компаниями Microsoft и Red Creek.

Никаких серьезных возражений относительно этого предложения на конференции IETF не прозвучало, но, как заметил член IETF Пол Хоффман, тем не менее статуса стандарта оно пока не получило. Члены комитета IETF постановили передать его на открытое обсуждение в Сети.

Хотя сети VPN используются все чаще, говорить об интероперабельности оборудования различных производителей пока не приходится, в том числе это касается и проблем, связанных с NAT. В то же время решения, сочетающие в себе межсетевой экран и виртуальную частную сеть, становятся все популярнее. Согласно прогнозам International Data Corp., к 2004 году 52% всех межсетевых экранов будут включать компоненты сетей VPN. В прошлом году 23% всех проданных межсетевых экранов обладали возможностями поддержки виртуальной частной сети. В то же время пользователям следует самим выработать правильный план действий с учетом имеющейся у них сетевой инфраструктуры.

Очевидно, что производители разрабатывают свои собственные решения проблемы трансляции сетевых адресов и продают интегрированные виртуальные частные сети и межсетевые экраны, утверждая, что их механизмы превосходят системы других производителей. Председатель совета директоров компании Check Point Гил Швед считает, что покупка отдельно решения для организации сети VPN и межсетевого экрана обойдется слишком дорого.

«Вам необходимо реализовывать два набора правил, управлять двумя видами систем, и все это просто обходится весьма недешево, причем не только потому, что вы должны купить два отдельных устройства, а две системы по отдельности стоят больше, чем если покупать их вместе, но и потому, что управлять ими придется постоянно», — отметил Швед.

Однако разделение виртуальной частной сети и межсетевого экрана позволяет создавать более гибкие конфигурации. Ричард Палмер, вице-президент по вопросам виртуальных частных сетей и решений в области защиты корпорации Cisco Systems, предупреждает, что в этой ситуации комплексного решения не существует. И судя по опыту Cisco, крупные компании покупают средства VPN и межсетевой экран отдельно, поскольку в этом случае можно создавать сети большего размера.

Несмотря на то что производители виртуальных частных сетей реализуют стандарт IPSec VPN по-разному, а межсетевые экраны также по-разному поддерживают защиту, объединение межсетевых экранов одного производителя с механизмом VPN другого, тем не менее, вполне возможно.

Многие Internet-провайдеры, в том числе компания WorldCom, также предоставляют подробную документацию, описывающую, каким образом можно интегрировать межсетевые экраны и виртуальные частные сети.

Но как только стандарт будет принят и начнется его широкое распространение, пользователям больше не придется думать о решении проблемы трансляции сетевых адресов.

«В идеале, если вам что-то нужно, вы просто добавляете необходимый модуль в систему, и она должна работать так, чтобы не было необходимости как-то менять конфигурацию», — считает Крис Веллес, менеджер по разработке компании SafeNet, выпускающей средства для построения виртуальных частных сетей.