Aventail VPN компании Aventail Software позволяет превратить соединения Internet в виртуальные каналы глобальной сети без ущерба для их защиты.
В основе концепции частных виртуальных сетей (Virtual Private Network, VPN) и сетей Extranet лежит применение Internet. По существу, Internet является крупнейшей глобальной сетью, так почему бы не использовать ее для организации соединений между удаленными офисами компании, деловыми партнерами и отдельными пользователями? В конце концов, разве изначально Internet не создавалась для организации соединений между университетами, компаниями и правительственными учреждениями?
Действительно, Internet можно использовать как глобальную сеть, но проблемы защиты, доступности и надежности такой сети заставляют многие организации отказаться от этой идеи. Между тем компания Aventail Software разработала ряд продуктов, благодаря которым Internet можно использовать в качестве глобальной сети. Мы познакомились с тремя продуктами этой серии, но данная статья посвящена исключительно Aventail VPN.
ПО Aventail VPN можно применять для решения трех разных задач: для организации связи между офисами (или комплексами зданий) в одной компании, для соединения частной сети компании с ее деловыми партнерами, а также для взаимодействия отдельных мобильных пользователей или работающих дома сотрудников с корпоративной сетью. При этом транспортным механизмом служат не выделенные частные каналы передачи данных, а Internet, что дает значительную экономию. Aventail VPN устанавливает между двумя или более хост-системами в Internet защищенное шифрованное соединение на канальном уровне с аутентификацией доступа. Привлекательной стороной данного комплекта продуктов является не только сокращение расходов за счет использования в качестве канала глобальной сети Internet, но и обеспечиваемая ими защита соединения. Aventail VPN было разработано на основе протокола Socks (которого мы коснемся ниже), но не предполагает применения в качестве брандмауэра.
ПРИНЦИП СОЕДИНЕНИЯ
Настоящая частная сеть - это такая сеть, где каждый из удаленных пунктов связан с другими с помощью выделенных или арендуемых линий. На Рисунке 1 показана достаточно простая сеть подобного типа, состоящая из одного центрального и двух дочерних офисов. Основную массу затрат на частную сеть обычно составляет ежемесячная плата за арендуемые или выделенные линии.
В частной сети различные узлы связываются, как правило, с помощью выделенных линий (обычно арендуемых).
Если в подобной сети арендуемые линии заменить на каналы Internet в качестве базовой магистрали глобальной сети, то мы получим сетевую топологию, аналогичную представленной на Рисунке 2. Здесь каждый удаленный пункт имеет собственное соединение с Internet, обычно предоставляемое местным провайдером.
В данном примере сеть каждого филиала имеет собственное соединение с Internet (через местного провайдера). Пользователи этих дочерних отделений могут с помощью такого соединения получить доступ к любому узлу Internet. Важные ресурсы корпоративной сети защищаются от доступа извне с помощью брандмауэров, охраняющих каждое соединение с Internet.
Сегодня каждая уважающая себя компания считает необходимым иметь выход в Internet. Данный процесс стимулируется возможностью получения доступа к разнообразным Web-узлам Internet и электронной почте. Но если все филиалы компании имеют доступ в Internet, то возникает закономерный вопрос, почему бы не использовать эти соединения в качестве средства связи между удаленными офисами.
Замена частной сети на Internet ставит вопросы защиты и уровня сервиса. Что касается безопасности, то каждый удаленный пункт, имеющий доступ в Internet, обычно защищен с помощью брандмауэра. Брандмауэр, как правило, настраивается таким образом, чтобы пользователи локальной сети могли свободно обращаться к узлам Internet, но сторонний пользователь не мог бы получить доступ извне к серверам или другим ресурсам корпоративной сети. Подобная схема предохраняет каждый удаленный офис от несанкционированного доступа, но никак не защищает сетевой трафик - передаваемую между этими пунктами информацию. Трафик проходит через Internet "как он есть", т. е. не шифруется.
Кроме проблем защиты немаловажное значение для компании имеют также вопрос надежности соединения с Internet каждого удаленного офиса и пропускная способность (скорость передачи данных) - канал должен справляться с необходимыми объемами трафика между филиалами. Во многих компаниях соединения Internet используются в основном для просмотра информации World Wide Web, а, с точки зрения многих руководителей, это далеко не самый важный вид деятельности пользователей. Если соединение Internet оказывается перегруженным из-за слишком большого числа пользователей, то многие могут просто отложить свои "прогулки по Web" до лучших времен, когда нагрузка снизится. Для некритичных приложений подобная тактика вполне приемлема, но частные сети служат главным образом для передачи важной информации, для которой ожидание часто недопустимо.
Вопрос уровня сервиса можно разрешить, выбрав провайдера Internet, не только гарантирующего постоянную доступность соединения, но и предоставляющего (за соответствующую плату) соединение с Internet, обеспечивающее минимальную задержку при пиковых нагрузках.
Проблема защиты обычно решается с помощью применения одного из предлагаемых сегодня решений по организации VPN. Многие из них опираются на брандмауэры с дополнительными функциями поддержки VPN, расширения которых для виртуальных частных сетей позволяют установить через Internet шифрованное соединение с другим брандмауэром. Шифрование гарантирует, что даже если некто, вооружившись анализатором протоколов, перехватит сетевой трафик, то он не сможет прочитать данные.
Как показано на Рисунке 3, брандмауэры с поддержкой VPN создают логические каналы - "коридоры" в Internet. Если бы пунктирные линии на Рисунке 3 представляли собой физические коридоры, то сотрудники удаленных офисов могли бы попасть в центральный офис, просто пройдя по ним. Образуемые пунктирными линиями границы не позволяют никому извне "проникнуть внутрь".
Брандмауэры со средствами VPN создают шифрованные соединения, связывающие каждый пункт с другими. Концептуально это напоминает стены, окружающие каждый филиал, и коридоры, соединяющие штаб-квартиру с дочерними отделениями в единое целое.
Брандмауэры со средствами VPN дают пользователям по одну (защищенную) сторону брандмауэра возможность получить доступ к сетям других филиалов. Такой подход основывается на допущении, что если пользователь подтвердил свои полномочия в одном из филиалов, то ему можно (или следует) представить доступ в сети других филиалов компании. Между тем корпоративная политика защиты не всегда разрешает доступ к любой части сети всем сотрудникам организации. Более того, сегодня компании все чаще предоставляют доступ к своей сети партнерам по бизнесу, но при этом они обычно ограничивают сферу их доступа.
Подход компании Aventail к организации VPN представлен на Рисунке 4. Здесь сервер Aventail VPN размещен позади брандмауэра (на защищенной стороне), но находится перед серверами или другими защищаемыми сетевыми ресурсами. Как показано на Рисунке 4, сервер Aventail VPN выполняет роль посредника для доступа к этим ресурсам (proxy), и поэтому никто из расположенных с внешней стороны брандмауэра пользователей не имеет к ним прямого доступа. Он выполняет аутентификацию всех пользователей, желающих работать с ресурсами, и шифрует весь трафик между внешними пользователями и защищаемыми ресурсами.
Подход компании Aventail к созданию виртуальных частных сетей (VPN) предполагает использование сервера Aventail VPN (показанного здесь непосредственно за брандмауэром). Отдельные удаленные пользователи, подключающиеся через Internet, для установления соединения с сервером VPN применяют клиентское ПО Aventail VPN и могут таким образом обращаться к защищенным сетевым ресурсам.
Клиентское программное обеспечение Aventail использует метод организации соединений под названием Autosocks на базе протокола Socks. Установление соединения между поддерживающим Autosocks клиентом Aventail и сервером Aventail VPN выполняется следующим образом.
A. Пользователь подает запрос. Для примера мы будем использовать ПО Microsoft Exchange. Предположим, что сеанс коммутируемого доступа сетевым клиентом уже открыт. Когда пользователь щелкает мышью на пиктограмме Exchange на рабочем столе, Exchange запрашивает имя пользователя и пароль (если они не были помещены в кэш).
B. MS Exchange просит Winsock найти ресурсы сервера Exchange, определенные в конфигурации Exchange. Если сервер Exchange занесен в таблицу локальных хост-систем или вызывается по IP-адресу, то Autosocks перехватывает данный запрос и находит этот ресурс.
C. Поиск ресурса осуществляется в виде короткой последовательности событий. Если ресурс находится за брандмауэром типа посредника, то Autosocks переадресует запросы Socks через порт, открытый на брандмауэре. Получив сообщение, сервер Aventail VPN пытается идентифицировать пославшего запрос пользователя, чтобы можно было инициализировать параметры сеанса, такие как уровень защиты и шифрование.
D. Данный сервер согласовывает параметры с клиентом с помощью Autosocks Winsock и устанавливает сеанс. В ходе сеанса он может посылать другие произвольные запросы или осуществлять иные проверки клиента. Идентификационная информация может кэшироваться на клиенте, так что пользователь не будет видеть подобных запросов (такое кэширование более удобно, но ослабляет защиту).
E. С точки зрения пользователей, они просто получают почту, без какого-либо вмешательства со стороны процессов посредника, аутентификации и шифрования. В сущности они работают со своими приложениями, как обычно.
Если соединение организуется с помощью Aventail VPN, а пользователь имеет браузер Web с поддержкой SSL (Secure Socket Layer), то защиту соединения Aventail VPN можно еще более укрепить с помощью SSL (см. Рисунок 5). В этом случае SSL при соединении организует туннель, а процессы аутентификации и согласования между клиентом Autosocks и сервером Aventail VPN осуществляются "под защитой" шифрованного туннеля SSL.
Применение поверх протокола Socks защиты SSL (Secure Socket Layer) позволяет повысить уровень безопасности с помощью простого браузера (большинство современных браузеров Web поддерживают SSL). Часть канала связи, показанная оранжевыми метками, защищена с помощью шифрования SSL.
СТОИМОСТЬ КОМПОНЕНТОВ
Преимущества виртуальных частных сетей просты: через Internet можно связать самые удаленные точки, а скорость и возможности взаимодействия ограничиваются
в основном пропускной способностью Сети и услугами провайдера Internet. Для сравнения, каналы глобальных сетей обычно имеют три компонента: местную абонентскую линию, связывающую компанию с точкой входа в сеть общего пользования, канал передачи данных на большие расстояния и местную абонентскую линию в пункте назначения. Наличие нескольких дочерних отделений компании означает, что число каналов нужно умножить на число обслуживаемых пунктов, хотя каналы с низкой скоростью передачи данных обычно мультиплексируются в более емкие (если это допускает точка входа в сеть оператора связи).
Что же изменяется в случае VPN? Сетью передачи данных общего пользования становится Internet. При этом расходы на VPN обычно складываются из оплаты линий связи между компанией и точкой доступа в Internet и оплаты услуг провайдера Internet. Вместо оплаты определенной пропускной способности (независимо от того, нужна она вам постоянно или нет) Internet позволяет по мере надобности создавать между точками сети защищенные виртуальные туннели.
Решение Aventail VPN на базе протокола Socks использует вместо туннеля направленные канальные соединения - еще один тип связующей среды в современных виртуальных частных сетях. Наиболее популярным типом туннеля является, вероятно, усовершенствованный Microsoft протокол PPTP (Point-to-Point Tunneling Protocol), объединенный с протоколом L2F (Layer 2 Forwarding) в L2TP (Layer 2 Tunneling Protocol).
Протокол L2TP устанавливает соединение с хост-системой, а затем инициирует процедуру шифрования, позволяющую кодировать всю передаваемую далее по этому соединению информацию. Протокол PPTP доступен только на 32-разрядных платформах Windows (9x/NT) и имеет некоторые ограничения на типы взаимодействующих серверов, совместно используемых ресурсов и приемлемых посредников (proxy). Кроме того, в настоящее время один сервер в состоянии поддерживать только 256 туннелей одновременно.
Из двух версий протокола Socks в Aventail VPN применяется последняя - Socks 5. Протокол Socks 4 использовал библиотеку, компилируемую с приложениями, чтобы они могли поддерживать VPN, но никакие эквивалентные сервисы никем не рекламировались.
Aventail VPN может работать с различными типами серверов (множество разновидностей UNIX, включая AIX, BSD, Digital UNIX, Linux, Solaris, и Windows NT 3.52 или 4.0), но мы опробовали данный продукт только с Windows NT 4.0. С помощью протокола Socks 5 (продвигаемого NEC Network Services) сервер Aventail VPN запрашивает у обращающейся за услугами хост-системы, какой тип защиты поддерживается клиентом. По завершении процесса согласования параметров соединения клиент и сервер Aventail VPN устанавливают шифрованное соединение на канальном уровне.
После задания профиля посредника и уровней защиты для устанавливающей соединение хост-системы Autosocks будет автоматически связывать ее с другими серверами Socks (необходима лишь поддержка Socks 5). Aventail VPN разрешает использовать несколько продуктов и технологий независимых разработчиков, от простого шифрования DES с протоколом CHAP (Challenge Handshake Authentication Protocol) до более сложных алгоритмов, таких как RC5 компании RSA Software.
Работающие на дому сотрудники и мобильные пользователи могут создавать соединения в VPN с помощью клиентской программы (клиента Autosocks компании Aventail), имеющейся в настоящее время только для среды Windows. Мы протестировали эту программу из разных географических пунктов по всему миру с помощью нескольких провайдеров Internet, включая America Online и CompuServe. При запуске клиентского ПО оно устанавливает соединение с уполномоченным ресурсом. От пользователя требуется лишь ввести пароль (возможен и альтернативный метод аутентификации).
Запрос имени сервера (в нашем случае сервера NT4S) порождает последовательность событий, которые можно просмотреть с помощью прилагаемого клиентского программного обеспечения Logging Tool. Для определения IP-адреса ресурса клиент отыскивает имя сервера NT4S в своей таблице хост-систем. После нахождения адреса клиент устанавливает соединение с сервером Aventail VPN, выполняющим роль посредника доступа к целевому серверу.
В нашем первом тесте мы использовали Microsoft Exchange для установления связи через CompuServe (в режиме сервера POP3). Клиентское программное обеспечение Exchange использует полное имя сервера POP3 (в данном случае mail.unitel.org) для поиска сервера POP3 и обмена электронной почтой. Никаких проблем при этом выявлено не было, и я не думаю, что они возникнут при другом доступе к почте по POP3.
Второй тест заключался в доступе к серверу Citrix WinFrame 1.7 из AOL. Задав посреднические отношения на сервере Autosocks, мы смогли получить доступ к серверу WinFrame, указав имя хост-системы или ее IP-адреса.
В каждом из тестов мы имели возможность использовать различные типы защиты, но выбрали CHAP с кэшированием. Если применять протокол CHAP без кэширования, то он периодически будет запрашивать имя и пароль пользователя. Благодаря кэшированию пароля клиентское программное обеспечение может автоматически отвечать на запросы ввода пароля во время сеанса, так что пользователю не нужно будет прерывать работу. Между тем такой метод ослабляет защиту и увеличивает вероятность проникновения в систему злоумышленников (хотя она и тогда остается достаточно небольшой).
ЕЩЕ ХИТРЕЕ
Используя плату SecurID, генерирующую новый код пароля каждые несколько секунд, мы подключились к серверу Windows NT, находящемуся в лаборатории. Через достаточно произвольные интервалы мы получали запрос на ввод нового идентификатора SecurID. Позднее обнаружилось, что при необходимости интервалы аутентификации можно увеличить. Затем мы воспользовались каналами между серверами местного провайдера Internet. Никакого способа проверить факт, что соединение действительно шифруется с помощью RC4 от RSA, как то было определено, у нас не нашлось, но впечатление производит уже сам факт, что требуемые ресурсы были легко доступны не только с серверов, но и с клиентов, находящихся в каждой из сетей. Кроме того, открытие сеанса WinFrame в любой из сетей не требовало каких-либо дополнительных шагов, за исключением первоначального ввода информации о посредниках на каждом сервере Aventail VNP.
ПОСТРОЕНИЕ ЧАСТНОЙ СЕТИ
Aventail VPN представляет собой решение для разных частных виртуальных сетей и использует целый спектр протоколов защиты для организации соединений по протоколу Socks 5 и для доступа к ресурсам через посредников. Это очень надежный и почти прозрачный инструмент для построения виртуальных частных сетей (VPN), виртуальных локальных сетей и (в меньшей степени) Extranet. Он предлагает разнообразные средства управления защитой и не ориентирован на конкретную платформу (она должна лишь поддерживать Socks версии 5, а такая поддержка достаточно распространена). Клиентское ПО практически прозрачно для пользователя, а серверное программное обеспечение легко настраивается и администрирует-
ся - во всяком случае это справедливо для созданной нами сети VPN.
Между тем данное решение не свободно от некоторых недостатков. Используя для сквозной передачи данных линию T-1, мы столкнулись с видимыми задержками, особенно в середине дня, когда загрузка каналов Internet (у выбранного нами провайдера) возрастает. Этот эффект проявляется при просмотре видео CuSeeMe (15 кадров/с при разрешении 320х200 при 256 цветах) и прослушивании аудио (дискретизация 44 МГц, без сжатия, стерео). Какова вина в задержках самой системы Aventail VPN, а в какой мере это зависит от Internet, судить трудно, однако, если вы подумываете о применении Internet в качестве базовой магистрали для своей глобальной сети, подобный вопрос неизбежно возникнет.
Еще один недостаток заключается в том, что для просмотра файлов и папок нужно использовать приложение ftp. Одним из лучших приложений такого рода является ПО Microsoft FTP, поэтому мы просматривали доступные через Socks ресурсы с его помощью. Компания Aventail сообщает, что в следующей версии просматривать сетевые ресурсы (включая папки и каталоги) можно будет с помощью интегрируемого модуля для Windows Explorer - более естественного для операционной системы средства.
Кроме того, мы нашли способ обойти это затруднение, воспользовавшись интегрируемым модулем NetApps от WRQ. Он также предназначен для Windows Explorer и поддерживает ftp.
За исключением отмеченных случаев, выполненные мною тесты для посредника показали очень высокую производительность, и при работе с соединениями Autosocks как между серверами, так и между клиентом и сервером мы практически не заметили никакой задержки. К сожалению, по линии T-1 выполнять программные файлы было невозможно - эта функция поддерживается протоколом L2TP и требует применения туннелирования. Для этих целей компания Aventail предлагает метод Business Partner, но за отдельную плату. В то же время с помощью браузера (Internet Explorer 4.0) мы могли без каких-либо ограничений запускать приложения Java и Active Server Pages.
Том Хендерсон - технический директор компании Telecomm Industries (Индианаполис), а также директор подразделения этой компании BeachLabs. С ним можно связаться по адресу: thenderson@tcmm.com.
ИТОГ ИСПЫТАНИЙ
Aventail VPN 2.5
Aventail Software
117 S. Main St., 4th Fl.,
Seattle, WA 98104
1-206-215-1111
www.aventail.com.
Цель. Сокращение расходов на создание и эксплуатацию частной сети организации за счет использования в качестве магистрали глобальной сети общедоступной сети Internet (вместо арендуемых выделенных линий).
Вопросы. Защита, перегрузка из-за интенсивного трафика в Internet, стоимость доступа удаленных пользователей к сети при больших расстояниях.
Тестируемый продукт или реализация. Aventail VPN 2.5.
Достоинства. Широкий спектр поддерживаемых технологий шифрования и аутентификации. Прозрачность для пользователей и приложений.
Недостатки. Относительно высокая для небольших организаций начальная стоимость реализации и программного обеспечения.
Цена. комплект программного обеспечения Aventail VPN Server и 25 клиентов Autosocks - от 7995 долларов.
Другие продукты
Данный список отнюдь не претендует на полноту, так как решения для VPN предлагают множество производителей.
AltaVista Tunnel 97
Digital Equipment
www.altavista.software.digital.com
BorderWare Firewall Server 5.0
Secure Computing
www.securecomputing.com
Eagle
Raptor Systems (недавно приобретенная Axent Technologies)
www.raptor.com
VPN Service Unit 1010
VPNet Technologies
www.vpnet.com
TimeStep Permit
TimeStep (подразделение Newbridge)
www.timestep.com
Gauntlet
Trusted Information Systems
www.tis.com
NetCryptor
CryptoSystem
www.radguard.com