Поэтому особое внимание уделяется интеллекту системы VPN. Обладает ли она иммунитетом к прерываниям? Способна ли одновременно задействовать множественные пути, к примеру, технологию многопротокольной коммутации меток (Multi-Protocol Label Switching, MPLS) и Internet VPN? Возможна ли непротиворечивая комбинация предписаний безопасности и потребности в производительности, если VPN использует более одного физического пути между двумя площадками? Распространенное сочетание — MPLS и провайдер Internet, но и любые другие, куда входят DSL, UMTS и ISDN с выделенной линией или MPLS, позволят добиться желаемой пропускной способности и оптимизации затрат.
Каждый туннель VPN может использовать несколько физических транспортных путей. Для каждого транспорта администратор свободен
в выборе инкапсуляции для протокола Encapsulated Security Payload (ESP), шифрования блоков и активации или деактивации сжатия данных. Так, различные уровни безопасности реализуются в зависимости от выбранного транспортного пути. В сочетании с классификацией трафика на брандмауэре можно избирательно разделять трафик между отдельными видами транспорта, а кроме того, активировать дополнительный транспорт, к примеру, восходящий канал UMTS или ISDN, при отказе других путей.
Насколько быстро VPN сумеет распознать помехи и восстановить соединение? Проблема решается путем выявления неполадок при помощи активного зондирования, а также обмена информацией о статусе между конечными точками VPN с последующим автоматическим восстановлением соединения. Еще одна возможность: перенаправление потока на альтернативный маршрут, а также изменение приоритетности ретранслируемого трафика приложения, если меняются доступная пропускная способность и загруженность линии.
Вопрос о максимальном количестве поддерживаемых туннелей, напротив, теряет свою актуальность. Гораздо важнее теперь знать число подключаемых объектов. Преимущество новейших технологий IPSec VPN кроется в том, что между двумя точками создается только один туннель, независимо от того, сколько сетей необходимо соединить. Тем самым экономятся ресурсы, повышается наглядность и уменьшается количество потенциальных источников ошибок.
ИСПОЛЬЗОВАНИЕ СОБСТВЕННЫХ АЛГОРИТМОВ
Большинство представленных на рынке решений VPN, мягко говоря, не блещет простотой администрирования и хорошей диагностикой. Многим предприятиям уже пришлось столкнуться с тем, что по мере увеличения количества шлюзов затраты на настройку и эксплуатацию растут не пропорционально, а экспоненциально.
Простые в использовании и выразительные графические инструменты становятся незаменимым вспомогательным средством для сотрудников отдела ИТ. Это касается не только контроля и обработки данных. Современные центры управления способны на большее. Прекрасный пример: возможность построения туннельного соединения VPN между визуализированными конечными точками VPN во всевозможных топологиях с помощью средств буксировки (см. Рисунок 1). Множественный транспорт также реализуется просто путем многократного соединения площадок. Теперь организации смогут сами управлять глобально распределенной инфраструктурой, при этом усилия со стороны персонала будут минимальными.
В плане безопасности VPN существенно различаются. Организации с особенно высокими требованиями к уровню безопасности, к примеру, государственные учреждения, хотят иметь возможность самостоятельно выбрать технологии шифрования. Только в таком случае они могут быть уверены, что никто, даже производители VPN, не смогут получить доступ к данным. Продвинутые системы VPN обеспечивают взаимодействие стандарта IPSec с продуктами других производителей. Phion принадлежит к числу тех предприятий, которые дополнительно предлагают еще и собственный вариант. В нем используется протокол ESP, но протокол обмена ключами (Key Exchange) модифицирован: он менее подвержен атакам с целью вызвать отказ в обслуживании (Denial of Service, DoS) благодаря предварительному квитированию связи (Pre-Handshake) при аутентификации с использованием сертификатов. Этим он отличается от протокола обмена ключами Internet (Internet Key Exchange, IKE).
Кроме того, указанные системы позволяют добавлять блок данных ESP Counter Copy позади полезной нагрузки — так называемый способ NOHASH (см. Рисунок 2). В результате производительность архитектур x86 повышается, а безопасность поддерживается на прежнем уровне. Эта технология сравнима с алгоритмом AES GCM, также предполагающим отказ от хэширования, которое требует больших затрат вычислительной мощности.
Подобные варианты VPN предлагают дополнительные функции, отсутствующие в «родном» IPSec (см. Рисунок 3). К ним относится поддержка собственных блочных шифров: они программируются согласно образцу API на языке С, а затем интегрируются в конфигурацию VPN в виде двоичного объекта BLOB. В результате производителю не приходится специально адаптировать программное обеспечение под нужды пользователя, и шифр ему не нужен. Кроме того, конечные устройства могут обмениваться данными о качестве линии с помощью дополнительного коммуникационного протокола.
Такие факторы, как «производительность» и «удобство пользования», в недавнем прошлом способ-ствовали распространению решений SSL VPN. Особенно ценились два аспекта: во-первых, возможность свободно работать, в том числе за чужими брандмауэрами (сценарий консультанта, сервисного специалиста, сотрудника предприятия), а во-вторых, отсутствие необходимости устанавливать клиента на конечных устройствах. Однако различия между решениями на основе IPSec и SSL постепенно размываются. Ранее свойственный IPSec дефицит средств соединения сегодня решен благодаря технологиям инкапсуляции ESP —как в UDP, так и в TCP. К тому же в TCP можно имитировать квитирование SSL, поэтому даже клиенты IPSec могут с высокой степенью безопасности создать туннель через брандмауэр или HTTP Proxy.
А вот преимущества бесклиентского доступа SSL VPN уже не имеют большого значения: при возросших требованиях, например, к прозрачному доступу в сеть или проверках «здоровья» конечной точки, клиент должен быть инсталлирован и на конечном устройстве: либо в процессе установления первичного соединения, либо до него. SSL VPN преимущественно применяется там, где клиент часто недоступен или его нельзя установить, к примеру, это справедливо в отношении ПК в общественных зонах доступа, КПК или смартфона, а также малораспространенных операционных систем. Но в результате приходится ограничиваться лишь использованием простого портала доступа HTTP. Самый большой недостаток SSL VPN при прозрачном применении — низкая производительность вследствие наложения TCP как внешнего протокола инкапсуляции и TCP как доминирующего транспортируемого протокола приложений.
Те, кто утверждает, что VPN как технология полностью исчерпала себя в 2007 г., весьма заблуждаются. Продукты существенно различаются в плане масштабируемости, стоимости эксплуатации и оптимизации связи. И даже в предлагаемых свойствах безопасности имеются значительные различия между VPN из коробки и системами VPN, настроенными под индивидуальные потребности.
Д-р Клаус Гэри — руководитель технического отдела и один из основателей компании Phion.