Internet обещает стать дешевым и универсальным средством взаимодействия, но насколько надежны виртуальные частные сети с точки зрения защиты?

Если сравнивать текущие расходы на доступ к нескольким узлам через Internet со стоимостью услуг frame relay, то Internet, вероятно, окажется на 30-70% дешевле. Между тем стремление воспользоваться этой нежданно свалившейся манной небесной может поставить компанию перед необходимостью серьезных изменений и затрат на приобретение продуктов для решения двух основных проблем применения Internet в качестве магистральной глобальной сети — проблем защиты и производительности.

В последние два года вопросы безопасности обратили на себя внимание многих крупных производителей и организаций по стандартизации. В результате в первой половине 1998 г. было выпущено (или по крайней мере анонсировано) большое число совместимых продуктов. В то же время, рекламируя свои продукты, поставщики говорят не о том, что они "обеспечивают безопасные коммуникации через Internet" или "конфиденциальность и целостность передаваемой через Internet информации", а о том, что они позволяют создавать виртуальные частные сети (Virtual Private Network, VPN).

Термин "виртуальная частная сеть" требует некоторого пояснения. Провайдеры услуг дальней связи стали в 80-е годы рекламировать сети VPN для передачи речи. Что делало эти сети частными, так это общие счета за различные услуги дальней связи — заказчики речевых (или, как еще называют, голосовых) сетей VPN использовали обычные сервисы аналоговой телефонной сети, как и все остальные. Сегодня услуги по созданию VPN предлагают несколько известных поставщиков услуг Internet (ISP). Эти провайдеры обычно применяют продукты, о которых мы собираемся рассказать в данной статье, но при этом они решают проблемы производительности, характерные для каналов Internet, передавая трафик по своим собственным сетям.

Сети VPN создаются, как правило, для решения двух задач. Во-первых, они служат для организации взаимодействия индивидуальных пользователей с удаленной сетью через Internet, а во-вторых, — для связи двух сетей. В первом случае они используются в качестве альтернативы удаленному доступу. Вместо того чтобы устанавливать соединение с корпоративной средой по междугородней или международной связи, мобильные пользователи и работающие на дому сотрудники локально подключаются к Internet и связываются с сетью компании. Во втором — они часто применяются для организации так называемых виртуальных выделенных линий. Одним из очевидных примеров является организация взаимодействия между сетью дочернего отделения компании и сетью центрального офиса по постоянному или коммутируемому соединению Internet. Другое популярное приложение, обычно называемое Extranet, позволяет связывать с сетью компании через Internet сети ее заказчиков, поставщиков и партнеров.

В данной статье мы уделим основное внимание продуктам VPN для организации взаимодействия между сетями. Некоторые из них позволяют также создавать виртуальные частные сети между пользователями и корпоративной сетью, но мы отложим эту тему для другой статьи.

ЧТО МОГУТ VPN?

Виртуальная частная сеть (VPN) создается между инициатором туннеля и терминатором туннеля. Обычная маршрутизируемая сеть IP — она не обязательно включает в себя общедоступную сеть Internet — определяет маршрут между инициатором и терминатором. Инициатор туннеля инкапсулирует пакеты в новый пакет, содержащий наряду с исходными данными новый заголовок с информацией об отправителе и получателе. Хотя все передаваемые по туннелю пакеты являются пакетами IP, в принципе, инкапсулируемые пакеты могут принадлежать к протоколу любого типа, включая пакеты немаршрутизируемых протоколов, таких, как NetBEUI. Терминатор туннеля выполняет процесс, обратный инкапсуляции, удаляя новые заголовки и направляя исходный пакет в локальный стек протоколов или адресату в локальной сети.

Сама по себе инкапсуляция никоим образом не повышает конфиденциальности или целостности туннелируемых данных. Конфиденциальность обеспечивается с помощью шифрования. Поскольку методов шифрования данных существует множество, очень важно, чтобы инициатор и терминатор туннеля использовали один и тот же метод. Кроме того, для успешного дешифрования данных они должны иметь возможность обмена ключами. Чтобы туннели создавались только между уполномоченными пользователями, конечные точки требуется идентифицировать. Целостность туннелируемых данных можно обеспечить с помощью некоей формы выборки сообщения или хэш-функции для выявления изменений или удалений.

Технически реализация VPN стала возможной уже достаточно давно. Инкапсуляция используется для передачи немаршрутизируемого трафика через маршрутизируемые сети, а также для ограничения многопротокольного трафика одним протоколом. Технологии шифрования также стали давно привычными. Между тем создание виртуальных частных сетей на базе общепринятых стандартов оказалось возможным только сегодня.

Для реализации унифицированного способа инкапсуляции трафика третьего уровня (и более высоких уровней) на клиентах и серверах Windows компании Microsoft, Ascend Communications и 3Com разработали туннельный протокол между двумя точками (Pointto-Point Tunneling Protocol, PPTP), представляющий собой расширение протокола PPP. В PPTP не специфицируется конкретный метод шифрования, однако клиенты удаленного доступа в Windows NT 4.0 и Windows 95 с Dial-Up Networking 1.2 поставляются с версией шифрования DES компании RSA Data Security, получившей название "шифрование двухточечной связи Microsoft" (Microsoft Point-to-Point Encryption, MPPE).

Компания Cisco Systems разработала протокол пересылки на втором уровне модели OSI (Layer-2 Forwarding, L2F), с помощью которой удаленные клиенты могут связаться по каналам провайдера Internet и быть идентифицированы. При этом ISP не нужно осуществлять конфигурацию адресов и выполнять идентификацию. Протокол L2F стал компонентом операционной системы IOS (Internetwork Operating System) компании Cisco и поддерживается во всех выпускаемых ею устройствах межсетевого взаимодействия и удаленного доступа.

Оба этих тесно связанных друг с другом протокола были представлены в IETF, и в 1996 г. соответствующие комитеты решили объединить их. Получившийся в результате протокол, включивший лучшее из PPTP и L2F, называется протоколом туннелирования второго уровня (Layer-2 Tunneling Protocol, L2TP). Его поддерживают компании Cisco, Microsoft, 3Com, Ascend и многие другие производители. Как и предшествующие протоколы второго уровня, спецификация L2TP не описывает методы идентификации и шифрования. На момент написания данной статьи проект спецификации L2TP еще не был принят как стандарт IETF, хотя сегодня для этого нет существенных препятствий, и многие производители приступили к поставкам совместимых с L2TP продуктов.

Представляя собой расширение PPP на канальном уровне, L2TP может поддерживать любые высокоуровневые протоколы (не только IP). Для удаленного доступа по VPN протокол L2TP (и его предшественники) вместе с MPPE станут, вероятно, доминирующим решением (поскольку компоненты удаленного доступа базируются в основном на Windows и включают в себя, таким образом, все необходимые элементы). Между тем для взаимодействия локальных сетей решения второго уровня не приобретут, вероятно, столь важного значения. Туннели на основе PPP требуют, чтобы конечные точки поддерживали информацию о состоянии каждого канала (такую, как тайм-ауты), и, следовательно, не обладают хорошей масштабируемостью при необходимости иметь несколько туннелей с общими конечными точками.

Спецификацией, где описаны стандартные методы для всех компонентов VPN, является протокол Internet Protocol Security, или IPSec, — иногда его называют туннелированием третьего уровня (Layer-3 Tunneling). IPSec предусматривает стандартные методы идентификации пользователей или компьютеров при инициации туннеля, стандартные способы использования шифрования конечными точками туннеля, а также стандартные методы обмена и управления ключами шифрования между конечными точками. Этот гибкий стандарт предлагает несколько способов для выполнения каждой задачи. Выбранные методы для одной задачи обычно не зависят от методов реализации других задач. Идентификацию можно выполнять с помощью спецификации IPSec, причем она станет обязательным компонентом протокола IPv6.

IPSec может работать совместно с L2TP, в результате эти два протокола обеспечивают более надежную идентификацию, стандартизованное шифрование и целостность данных. IPSec стремительно завоевывает популярность и станет, вероятно, доминирующим методом создания VPN для взаимодействия локальных сетей. Между тем не стоит забывать, что спецификация IPSec ориентирована на IP и, таким образом, бесполезна для трафика любых других протоколов сетевого уровня. Туннель IPSec между двумя локальными сетями может поддерживать множество индивидуальных каналов передачи данных, в результате чего приложения данного типа получают преимущества с точки зрения масштабирования по сравнению с технологией второго уровня.

Некоторые поставщики VPN используют другой подход под названием "посредники каналов" (circuit proxy), или VPN пятого уровня. Этот метод функционирует над транспортным уровнем и ретранслирует трафик из защищенной сети в общедоступную сеть Internet для каждого сокета в отдельности. (Сокет IP идентифицируется комбинацией TCP-соединения и конкретного порта или заданным портом UDP. Протокол IP не имеет пятого — сеансового — уровня, однако ориентированные на сокеты операции часто называют операциями сеансового уровня.)

Шифрование информации, передаваемой между инициатором и терминатором туннеля, часто осуществляется с помощью защиты транспортного уровня (Transport Layer Security, TLS), ранее протокола защищенных сокетов (Secure Sockets Layer, SSL). Для стандартизации аутентифицированного прохода через брандмауэры IETF определил протокол под названием SOCKS, и в настоящее время SOCKS 5 применяется для стандартизованной реализации посредников каналов.

В SOCKS 5 клиентский компьютер устанавливает аутентифицированный сокет (или сеанс) с сервером, выполняющим роль посредника (proxy). Этот посредник — единственный способ связи через брандмауэр. Посредник, в свою очередь, проводит любые операции, запрашиваемые клиентом. Поскольку посреднику известно о трафике на уровне сокета, он может осуществлять тщательный контроль, например блокировать конкретные приложения пользователей, если они не имеют необходимых полномочий. Для сравнения, виртуальные частные сети уровня 2 и 3 обычно просто открывают или закрывают канал для всего трафика по аутентифицированному туннелю. Это может представлять проблему, если вы не до конца доверяете сети на другом конце туннеля.

Сети VPN с посредником канала типа IPSec ориентированы на протокол IP. Между тем если IPSec, по существу, распространяет сеть IP на защищенный туннель, то продукты на базе протокола SOCKS расширяют ее на каждое приложение и каждый сокет в отдельности. В отличие от решений уровня 3 (и уровня 2), где созданные туннели второго и третьего уровня функционируют одинаково в обоих направлениях, VPN уровня 5 допускают независимое управление передачей в каждом направлении. Аналогично IPSec и протоколам второго уровня, сети VPN уровня 5 можно использовать с другими типами виртуальных частных сетей, поскольку данные технологии не являются взаимоисключающими.

Существует довольно тонкая взаимосвязь между брандмауэрами и VPN. Если туннели завершаются на оборудовании провайдера Internet, то трафик будет передаваться по вашей локальной сети или по линии связи с провайдером Internet в незащищенном виде. Если конечная точка находится на вашей территории, но расположена за брандмауэром, то туннелируемый трафик можно контролировать с помощью средств контроля доступа брандмауэра, но никакой дополнительной защиты при передаче по локальной сети это не даст. Более того, конечную точку будет связывать с брандмауэром нешифруемый канал.

Расположение конечной точки внутри защищаемой брандмауэром зоны обычно означает открытие прохода через брандмауэр (как правило, через конкретный порт TCP). Некоторые компании предпочитают применять реализуемый брандмауэром контроль доступа ко всему трафику, в том числе и к туннелируемому, особенно если другую сторону туннеля представляет партнер, заказчик или поставщик, стратегия защиты которого неизвестна или не внушает доверия. Одно из преимуществ применения тесно интегрированных с брандмауэром продуктов туннелирования состоит в том, что вы можете открывать туннель, применять к нему правила защиты брандмауэра и перенаправлять трафик на конечную точку на конкретном компьютере или в защищаемой брандмауэром подсети.

КОНСТРУКТИВНЫЕ РЕШЕНИЯ

Как и любая другая вычислительная функция, работа по созданию сетей VPN проводится с помощью программного обеспечения. Между тем ПО для VPN может выполняться на самых разных аппаратных платформах, что часто вызывает путаницу и непонимание. Маршрутизаторы или коммутаторы третьего уровня могут поддерживать функции VNP по умолчанию (или в качестве дополнительной возможности, предлагаемой за отдельную плату). Аппаратно и программно реализуемые брандмауэры нередко предусматривают модули VPN со средствами управления трафиком или без оных. Некоторые пограничные комбинированные устройства включают в себя маршрутизатор, брандмауэр, средства управления пропускной способностью и функции VPN (а также режим конфигурации). Наконец, ряд чисто программных продуктов выполняется на соответствующих серверах, кэширует страницы Web, реализует функции брандмауэра и VPN.

При выборе решения для VPN компромисс приходится искать между производительностью и управляемостью. Если процессор маршрутизатора на компактной магистрали работает с 80-процентной загрузкой, то добавление большого числа туннелей VPN (плюс нагрузки по шифрованию и дешифрованию) ухудшит прохождение всего трафика. Если брандмауэр уже является узким местом, то реализация VPN только усугубит ситуацию из-за необходимости дополнительной обработки. С другой стороны, филиалу без штатных технических специалистов будет, вероятно, проще обслуживать одно устройство с интегрированным пользовательским интерфейсом, чем поддерживать и конфигурировать отдельный маршрутизатор, брандмауэр, VPN и модуль управления пропускной способностью.

КАКИЕ СРЕДСТВА НЕОБХОДИМЫ?

Для большинства организаций, желающих соединить свои локальные сети с помощью Internet, лучшим архитектурным решением, вероятно, будет продукт, поддерживающий IPSec. Между тем недостаточная зрелость стандарта IPSec не гарантирует совместимости решений разных производителей. Поддерживающие IPSec производители только приступили к выявлению и устранению проблем несовместимости, поэтому мы рекомендовали бы запросить у соответствующего поставщика отчет о поддерживаемых совместимых продуктах, особенно если в вашей среде используются продукты для VPN разных производителей.

Как правило, каждый серьезный производитель заявляет, что он будет поддерживать все стандартные средства IPSec и других протоколов, но некоторые продвинулись в этом дальше других. Нестандартные схемы туннелирования и алгоритмы шифрования хороши только в том случае, если нет необходимости взаимодействовать с другими системами. Однако с учетом растущей популярности электронной коммерции и тенденций к слиянию компаний вопросы взаимодействия и совместимости становятся приоритетными для любой организации.

VPN немыслима без идентификации. Вероятно, инфраструктура с открытыми ключами (Public Key Infrastructure, PKI) для электронной идентификации и управления открытыми ключами будет приобретать все большую значимость. Данные PKI лучше всего хранить в глобальном каталоге, обращаться к которому можно по упрощенному протоколу доступа к каталогу (Lightweight Directory Access Protocol, LDAP). Создания новых каталогов для хранения информации об идентификации и шифровании VPN лучше избегать, поэтому многие производители считают разумным использовать LDAP или включать данные непосредственно в другие, уже реализованные, каталоги. Фактически, сетевая отрасль постепенно переходит к хранению в центральном каталоге или каталоге, способном полностью взаимодействовать с другими каталогами и приложениями, не только данных, имеющих отношение к политике защиты, но и информации о приоритетах (для управления производительностью), а также о выделении вычислительных ресурсов.

Шифрование требует значительных вычислительных ресурсов. Например, обычные серверы класса Pentium имеют достаточную производительность шифрования для заполнения канала на 10 Мбит/с, но не 100 Мбит/с. Для обеспечения высокой скорости шифрования некоторые производители предлагают специальные аппаратные дополнения к платформе общего назначения.

Хотя мы и не говорили подробно о сетях VPN для удаленного доступа, важно отметить, что не все поставщики решений для VPN предлагают соответствующее клиентское программное обеспечение. Если вам необходимо универсальное решение для VPN, то управляемость, надежность и простота использования удаленных клиентских компонентов будут важными факторами.

Ниже мы рассмотрим некоторые продукты для организации взаимодействия между локальными сетями по VPN (см. Таблицу 1).

ТАБЛИЦА 1 — Категории продуктов VPN
Категория продуктаДостоинстваНедостатки
Программное обеспечение VPN для брандмауэровОбщее администрирование VPN. Если VPN должны завершаться вне брандмауэра, то канал между окончанием туннеля и брандмауэром может стать уязвимым звеном в системе защиты. При повышении производительности серверных продуктов аппаратное обеспечение потребуется модернизировать.Операции, связанные с шифрованием данных, могут чрезмерно загружать ЦП и снижать производительность брандмауэра. В случае интегрированных продукта VPN и брандмауэра оба они могут оказаться не лучшими в своем классе.
VPN на базе маршрутизатора или коммутатораИнтегральные сети VPN могут не потребовать дополнительных расходов на приобретение. Упрощение администрирования VPN.Функционирование VPN может отрицательно повлиять на другой трафик.
VPN на базе автономного программного обеспеченияЗавершение VPN нередко представляет собой сложную задачу. При повышении производительности серверных продуктов аппаратное обеспечение может потребоваться модернизировать. Старые аппаратные средства могут послужить для решения новых задач.Администрирование VPN может потребовать отдельного приложения, возможно, даже выделенного каталога.
VPN на базе аппаратных средствМногофункциональные устройства облегчают конфигурацию и обслуживание в удаленных офисах. Однофункциональные устройства допускают тонкую настройку для достижения наивысшей производительности.В многофункциональных блоках производительность одного приложения повышается зачастую в ущерб другому. Однофункциональные устройства могут требовать отдельных инструментов администрирования и каталогов. Модернизация для повышения производительности нередко оказывается слишком дорогостоящей или невозможной.

ПРОГРАММНЫЕ VPN НА БАЗЕ БРАНДМАУЭРОВ

Ведущим производителем брандмауэров является компания Check Point Software Technologies. Ее продукт VPN-1 тесно интегрирован с выпускаемым ею семейством брандмауэров FireWall-1. Хотя VPN-1 использует для создания виртуальной частной сети между локальными сетями стандартный подход на базе IPSec, он дешифрует данные до того, как они пройдут через брандмауэр, затем применяет к ним стандартные для FireWall-1 правила управления доступом, снова шифрует данные и передает их дальше.

Компания Check Point лидирует и в области использования протокола LDAP для запросов к другим каталогам относительно информации о политике защиты. Наряду с VPN компания интегрировала инструментальное средство для конфигурации брандмауэра и приложение управления трафиком под названием FloodGate-1. Кроме того, Check Point поставляет плату для шифрования на базе шины PCI для ОС Solaris и Windows NT 4.0.

Компания Axent Technologies, которая в феврале 1998 г. приобрела производителя брандмауэра Eagle Firewall, фирму Raptor, переименовала этот продукт в Raptor Firewall. Версия Raptor Firewall 5.0 поддерживает IPSec, а также программное шифрование IP (бесплатно распространяемый метод шифрования swIPe). Этот продукт работает под управлением ОС Windows NT и Solaris. Поддержка VPN встроена в брандмауэр. Raptor Firewall функционирует как сервер посредника доступа к приложениям, поэтому реализуемые брандмауэром правила доступа могут быть применены к туннелируемому трафику. Кроме того, компания Axent поставляет семейство мобильных клиентов для VPN между пользователями и сетью. К моменту написания данной статьи Axent не выпускала вспомогательных аппаратных средств шифрования.

Компания Network Associates купила в этом году несколько фирм-производителей средств защиты, включая компанию Trusted Information Systems, разработавшую продукт Gauntlet Firewall. Gauntlet Global VPN поддерживает протокол IPSec от брандмауэра до брандмауэра (через шлюз SmartGate) и от брандмауэра до компьютера клиента (через ПО удаленного клиента под названием Gauntlet PC Extender). Наряду с поддержкой IPSec, продукт Gauntlet Global VPN поставляется с собственным уполномоченным по выдаче сертификатов, с помощью которого организации могут выполнять генерацию и проверку сертификатов общего ключа X.509.

Как это ни странно для продукта защиты, но Gauntlet Global VPN работает под Windows 95. Используемые в нем средства шифрования DES с 56-разрядным ключом разрешены для экспорта при условии, что юридическое лицо в США гарантирует расшифровку данных при поступлении запроса от соответствующих судебных инстанций. Большинство экспортируемых средств шифрования ограничиваются 40-разрядными ключами, но ситуация в этой области быстро меняется.

Еще одной компанией, выпускающей продукты VPN на базе брандмауэра, является Secure Computing. Ее продукты, известные ранее как BorderWare и Sidewinder, теперь переименованы и получили название SecureZone.

Технология VPN от Secure Computing реализована в виде встроенной функции данного брандмауэра. SecureZone позволяет комбинировать сети VPN в группы с единообразной политикой, в результате каждой группой можно управлять как единым целым. Продукт является IPSec-совместимым. Кроме того, SecureZone поддерживает сертификаты X.509 Netscape Certificate Server, а также уполномоченных по выдаче сертификатов таких компаний, как Entrust и VeriSign. SecureZone имеет также IPSecсовместимый клиентский модуль для удаленного доступа, собственную нестандартную операционную систему для ПК на платформе Intel. Компания Secure Computing объявила о намерении реализовать поддержку вспомогательного аппаратного средства шифрования Ravlin от RedCreek Communications.

VPN НА БАЗЕ МАРШРУТИЗАТОРОВ И КОММУТАТОРОВ

Компания Cisco Systems включила в свое программное обеспечение IOS 11.3(3)T поддержку протоколов L2TP и IPSec. Ранее брандмауэр PIX Firewall от Cisco поддерживал туннелирование и шифрование L2F, но в январе 1998 г. компания объявила о том, что она собирается включать в продукт реализацию IPSec фирмы RedCreek. Очевидно, компания намерена адаптировать и аппаратные средства шифрования RedCreek Ravlin. Кроме того, Cisco активно занимается технологией VPN для организации взаимодействия пользователей с сетью, в частности она встроила поддержку VPN в концентраторы удаленного доступа для провайдеров Internet и других поставщиков услуг. Cisco намерена реализовать услуги VPN для общедоступных и частных сетей. Вероятно, они будут увязаны с гарантированным сервисом и другими видами управления, поскольку последние будут необходимы провайдерам Internet и поставщикам услуг связи, а также крупным корпорациям при массовом развертывании сетей VPN.

Как и Cisco, компания 3Com при реализации технологии VPN с самого начала ориентировалась на стандарты. Она является одним из крупнейших производителей концентраторов удаленного доступа для провайдеров Internet и поставщиков услуг связи. Эта компания не выпускает брандмауэров, но поддержка VPN встроена в ее маршрутизаторы NetBuilder II, продукты SuperStack II NetBuilder и платформы OfficeConnect NetBuilder Platform. Сети VPN от 3Com совместимы с IPSec и разработаны для взаимодействия с внешними каталогами, включая Novell NDS и Windows NT Directory Services.

Компания разработала также TranscendWare Secure VPN Manager — приложение на базе технологии Web для контроля загруженности VPN, сбора статистики и информации о событиях. Кроме того, 3Com выпускает инструментарий настройки на базе Web, позволяющий легко создавать туннели VPN.

Другое уникальное предложение 3Com состоит в поддержке коммутации туннелей. Такая коммутация позволяет туннелю миновать брандмауэр и завершиться в конкретной подсети или даже на конкретной клиентской машине. При организации взаимодействия между локальными сетями коммутация туннелей наиболее полезна для соединения с сетями, не пользующимися полным доверием, так как благодаря ей соединение может быть завершено в определенных областях внутренней сети.

VPN НА БАЗЕ АВТОНОМНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Своей универсальностью продукт BorderManager компании Novell напоминает швейцарский армейский нож. Он кэширует страницы Web, имеет шлюзы на уровне канала, предлагает услуги посредника HTTP, выполняет многопротокольную маршрутизацию, поддерживает удаленный доступ, фильтрует пакеты и позволяет создавать VPN. Novell объявила о том, что новая версия BorderManager, появление которой ожидается в третьем квартале 1998 г., будет, в отличие от текущей версии, поддерживать IPSec. Очевидно, Novell собирается использовать IPSec для инкапсуляции трафика IP и IPX в пакеты IP. Неудивительно, что BorderManager с выгодой использует свою тесную интеграцию со службой каталога NDS. BorderManager может оказаться особенно привлекательным предложением для туннелирования между локальными сетями в удаленных офисах, где можно использовать не только предлагаемые продуктом возможности создания VPN, но и другие его средства.

ПО VPN Server компании Aventail опирается на протокол SOCKS 5 в решении задачи создания посредников канального уровня, область действия которых распространяется за брандмауэры и завершается в хорошо конфигурируемых и управляемых точках для каждого приложения в отдельности. Такие функциональные возможности наиболее полезны для организации взаимодействия с вашей сетью не вызывающих полного доверия заказчиков, поставщиков и партнеров. В то же время дочерним отделениям не всегда требуется столь тщательный контроль, так как сотрудникам дочерних отделений можно доверять в той же степени, как и местным служащим.

Поскольку программному обеспечению посредника канала приходится выполнять больший объем работы, чем методам нижнего уровня, такие VPN не могут обеспечить ту же производительность. VPN на основе SOCKS заканчиваются на компьютерах пользователей, а не на брандмауэрах, поэтому у каждого клиента должно быть установлено специальное программное обеспечение. Хотя протокол SOCKS 5 и TLS представляют собой общепринятые стандарты, реализаций виртуальных частных сетей на базе SOCKS насчитывается довольно немного. Тем не менее решение компании Aventail с технической точки зрения очень элегантно. Такие сети VPN могут потребоваться рынку для создания VPN с высокой степенью контроля для реализации электронной коммерции между компаниями.

VPN НА БАЗЕ АППАРАТНЫХ СРЕДСТВ

В 1998 г. компания Bay Networks приобрела фирму New Oak Communications, в результате чего она получила многоцелевой аппаратный продукт, который кроме создания VPN способен выполнять роль маршрутизатора, брандмауэра, мультиплексора T1 или T3 и диспетчера пропускной способности. Как терминатор VPN, продукт Contivity Extranet Switch поддерживает протоколы L2F, PPTP, L2TP и IPSec. Для проверки полномочий доступа, информации PKI и других аналогичных данных, а также распределения ресурсов он может использовать службы каталогов — NDS, Windows NT Directory Services, LDAP и RADIUS (Remote Authentication Dial-In User Service). На сегодняшнем рынке этот продукт является одним из наиболее передовых предложений. Кроме того, Bay включила поддержку VPN в свое семейство концентраторов удаленного доступа, однако пока что данные продукты не поддерживают IPSec.

Компания Internet Devices предлагает аппаратное решение под названием Fort Knox Policy Router с возможностью установки нескольких приложений. Оно имеет IPSec-совместимые средства создания VPN и может использоваться как фильтр пакетов и посредник приложений, выполнять кэширование страниц Web, транслировать сетевые адреса и переадресовывать почту. Кроме сильных средств защиты и полного набора услуг данный продукт характеризуется простотой использования и устойчивостью к ошибкам инсталляции и настройки. Выполняемое браузером приложение управления на базе Java не просто выводит на экран список параметров, а показывает опции конфигурации применительно к реализуемой политике. В будущих версиях продукта компания Internet Devices планирует реализовать поддержку протокола LDAP.

Аппаратные решения для реализации VPN предлагают также компания Radguard и TimeStep, филиал Newbridge Networks.

Продуктом cIPro-VPN компании Radguard используется аппаратное шифрование, поддерживающее пропускную способность до 100 Мбит/с. Устройство с собственными средствами трансляции сетевых адресов можно дополнить платой брандмауэра. Данный продукт соответствует стандарту IPSec и связанным с ним спецификациям ISAKMP/Oakley и X.509.

Компания TimeStep выпускает одноцелевые устройства — модуль VPN под названием Permit Gate 4520, брандмауэр Check Point Firewall-1, PKI-сервер с программным обеспечением Entrust PKI и консолью управления. Данный VPN-продукт является IPSec-совместимым, а PKI-сервер Entrust может взаимодействовать с другими каталогами по протоколу LDAP.

Как и продукты TimeStep, изделия компании VPNet Technologies, VPNware VSU 1010 и VSU 10, являются одноцелевыми модулями; ни одно из них не имеет интегрированного брандмауэра или сервера PKI. Оба они совместимы с IPSec и имеют встроенную аппаратную поддержку шифрования. Управляющее приложение VPN позволяет собирать статистику и фиксировать события в VPN.

ЗАЩИЩЕННОЕ БУДУЩЕЕ?

С широким распространением IPSec конкуренция между производителями продуктов для VPN сместится в область предлагаемых средств, производительности и цен. Хотя спрос на недорогие решения по организации взаимодействия между сетями, несомненно, высок, рынок предлагает слишком много продуктов. Сегодня данная область созрела для консолидации, даже если бы здесь не было таких активных покупателей других фирм, как Cisco, Bay Networks и 3Com. С появлением совместимых реализаций IPSec риск получить "изолированную" сеть VPN является незначительным.

Намного более серьезной проблемой остается управляемость и общая стоимость владения VPN. Продукты с интегрированной поддержкой каталогов и LDAP перспективнее других решений в области VPN.

Стив Штайнке — старший редактор Network Magazine. С ним можно связаться по адресу: ssteinke@mfi.com.

Рассматриваемые продукты

Программное обеспечение VPN для брандмауэров Check Point Software Technologies VPN-1 Axent Technologies Raptor Firewall Network Associates Gauntlet Global VPN Secure Computing SecureZone

VPN на базе маршрутизатора или коммутатора Cisco Systems PIX и Internetwork Operating System (IOS) 3Com NetBuilder

VPN на базе автономного программного обеспечения Novell BorderManager Aventail VPN Server

VPN на базе аппаратных средств Bay Networks Contivity Extranet Switch Internet Devices Fort Knox Policy Router Radguard cIPro TimeStep Permit Gate 4520 VPNet VPNware VSU 1010


Ресурсы Internet

На этих серверах вы найдете основные RFC, касающиеся IPSec: RFC1825 (Security Architecture for the Internet Protocol), RFC1826 (IP Authentication Header) и RFC1827 (IP Encapsulating Security Payload (ESP)). Кроме того, их можно найти и в других архивах RFC.

ftp.isi.edu/in-notes/rfc1825.txt

ftp.isi.edu/in-notes/rfc1826.txt

ftp.isi.edu/in-notes/rfc1827.txt

Документы RFC, касающиеся SOCKS 5, на настоящий момент включают в себя RFC1928 (SOCKS Protocol 5), RFC1929 (Username/Password Authentication for SOCKS 5) и RFC1961 (GSS-API Authentication Method for SOCKS 5). Указанный здесь сервер компании NEC кроме текстов RFC (имеющихся также в любых других архивах RFC) содержит немало учебной информации по протоколу SOCKS 5.

http://www.socks.nec.com/rfc/rfc1928.txt

http://www.socks.nec.com/rfc/rfc1929.txt

http://www.socks.nec.com/rfc/rfc1961.txt

Сервер http://www.securityserver.com является хорошей отправной точкой для поиска различной информации по защите Web.