div.main {margin-left: 20pt; margin-right: 20pt}
Реальные виртуальные возможности
Анита Карве
Аппаратное и программное обеспечение VPN позволяет создавать защищенные
соединения с удаленными пользователями, между локальными сетями или партнерами
по бизнесу.
Идея создания закрытых соединений через разделяемые сети далеко не нова.
Соответствующая технология появилась уже относительно давно. Однако последние
достижения сделали VPN проще в понимании и, что, возможно, более важно, проще в
развертывании, без опасений нанести ущерб защите.
В прошлом году протокол IPSec был практически всеми принят в качестве
основного метода защиты пакетов в туннелях VPN.
IPSec включает, помимо прочего, поддержку обмена ключами (Internet Key
Exchange, IKE), формально этот протокол называется ISAKMP/Oakley. Поддержка IKE
имеет важное значение, потому что многие IPSec-совместимые продукты используют
криптографические ключи для аутентификации устройств в VPN — как клиентов, так и
шлюзов. IKE автоматизирует весь процесс согласования, определения момента
регенерации и обновления ключей.
Продукты для создания VPN различаются функциональностью, масштабом и
конфигурацией. Это могут быть специализированные аппаратные или программные
продукты, а также брандмауэры, коммутаторы или маршрутизаторы с функциями VPN.
Разнообразие продуктов свидетельствует о той широте возможностей, которые
компании имеют при выборе наиболее подходящего для их целей типа VPN. (Основные
типы реализаций VPN перечислены во врезке «VPN для всех и каждого».)
Не рассматривали |
40 % |
Рассматривают в настоящее время |
19 % |
Рассматривали / не собираются реализовывать |
17 % |
Планируют реализовать в ближайший год |
6 % |
Реализовали в ограниченном объеме |
6 % |
Планируют реализовать, но когда - неизвестно |
4 % |
Реализовали в широком масштабе |
4% |
Планируют реализовать в ближайшие два года |
4 % |
VPN — да или нет? Если значительная
доля респондентов опроса Cahners In-Stat Group даже не
рассматривали технологию VPN, то около четверти опрошенных либо
уже используют технологию VPN, либо планируют сделать это в
ближайшие два года. |
Возможно, именно запутанная ситуация на рынке стала причиной того, что отделы
ИТ не торопятся брать на вооружение данную технологию. Как показал опрос,
проведенный в 1998 году компанией Cahners In-Stat Group (http://www.instat.com), 40% из числа
опрошенных руководителей отделов ИТ еще даже не задумывались о реализации VPN, и
только 10% действительно применяют эту технологию.
Эта статья не имеет целью перечислить все, какие только есть, продукты для
VPN. Вместо этого упор сделан на рассмотрение продуктов по основным категориям —
аппаратные, программные и на базе брандмауэров — и основных игроков в каждой из
них. Таким образом, не претендуя на исчерпывающий обзор продуктов, эта статья
призвана дать общее представление о том, какие продукты сегодня имеются на рынке
и что они могут дать компаниям, которые хотели бы обезопасить потоки трафика, не
тратя при этом сумасшедших денег на выделенные линии и дорогостоящее
оборудование для глобальных сетей.
АВТОНОМНЫЕ АППАРАТНЫЕ VPN
Как правило, аппаратные продукты надежнее и устойчивее ко взлому, чем
программные, к тому же их производительность на операциях шифрования выше.
Однако, в то же время, им не хватает гибкости, особенно если дело касается
конфигурации, изменений и диагностирования на стороне клиента. Вместе с тем
сегодня многие подобные продукты имеют клиентское программное обеспечение и
другой управляющий инструментарий, что упрощает внесение изменений.
Семейство продуктов Permit Enterprise от TimeStep (http://www.timestap.com) в последние
несколько лет привлекло к себе значительное внимание. Оно состоит из нескольких
компонентов, в том числе аппаратных шлюзов Permit/Gate. Шлюзы представлены тремя
моделями: 7520 обеспечивает пропускную способность до 70 Мбит/с, 4520 — до 10
Мбит/с, а 2520 — до 4 Мбит/с. Все они совместимы с IPSec и взаимодействуют с
другими поддерживающими IPSec продуктами.
Аппаратные продукты Ravlin от RedCreek Communications позволяют организовать
защищенные соединения через локальные и глобальные сети (http://www.redcreek.com). Ravlin
IPSec устанавливается под Windows NT и позволяет шифровать и идентифицировать
сетевой трафик с помощью IPSec.
Intel вышла на рынок оборудования для VPN, приобретя в начале этого года
компанию Shiva (http://www.shiva.com). С помощью
LanRover VPN Gateway удаленные пользователи, филиалы и партнеры по бизнесу могут
защищенным образом обмениваться информацией друг с другом и с главным офисом
компании. Шлюз поддерживает множество схем идентификации, в том числе RADIUS,
домены Windows NT, маркерную идентификацию и цифровые сертификаты X.509. Он
также содержит брандмауэр канального уровня.
Кроме того, Intel предлагает LanRover VPN Express. Этот продукт хотя и
предназначен для малого бизнеса, но имеет все функции VPN Gateway.
RiverWorks Tunnel Server-5000 от Indus River (http://www.indusriver.com)
представляет собой аппаратный продукт для защищенного удаленного доступа. Он
поддерживает до 200 туннелей одновременно, а также Point-to-Point Tunneling
Protocol (PPTP) и IPSec. Интеллектуальные функции для шифруемых туннелей
реализует RiverWorks Management Server. Он служит для аутентификации
пользователей, ведения базы данных пользовательских профилей, удаленного
управления и контроля пользователей и групп пользователей.
В январе 1999 года Indus River представила RiverWorks 2.0. Новая версия
обеспечивает сквозное управление удаленным доступом с помощью правил. Вместе с
Tunnel Server и Management Server она расширяет возможности администрирования,
управления пропускной способностью и защитой для продуктов компании.
VPNet Technologies также принадлежит к лагерю тех производителей, кто наряду
с аппаратными платформами выпускает программное обеспечение и средства
управления на стороне клиента (http://www.vpnet.com). Компания
предлагает четыре устройства VPNWare с поддержкой от 25 до 5000 удаленных
пользователей на скорости от 8 Мбит/с до T-3.
Линия продуктов VPNWare включает также VPNremote Client Software, реализующее
поддержку IPSec на компьютерах с Windows 95 и NT, и VPNManager Family,
упрощающее конфигурацию устройств VPNware и диагностирование удаленных
узлов.
Еще одна защищенная аппаратная платформа предлагается Radguard (http://www.radguard.com), чей CIPro
работает на скорости до 100 Мбит/с. Продукт имеет защищенную операционную
систему и генерирует случайные ключи для коммуникации как с удаленными, так и с
находящимися в пределах локальной сети пользователями.
Идя навстречу пожеланиям конечных пользователей, в марте 1999 года Radguard
выпустила IPSec-совместимое программное обеспечение удаленного доступа
CIPro-client 2.0. Поддерживающее также IKE для управления ключами, это
программное обеспечение осуществляет автоматическое шифрование данных с помощью
алгоритмов наподобие Triple DES.
Internet Devices (http://www.internetdevices.com)
вышла на рынок оборудования VPN со своим Fort Knox Policy Router. Этот продукт
выполняет множество функций, в том числе фильтрацию электронной почты,
преобразование сетевых адресов и функции защиты брандмауэра. Добавление к
платформе модулей SoftStack позволяет дополнить ее возможностями организации
межофисной VPN на базе IPSec. Internet Devices предлагает также VPN SmartClient
для тех пользователей Windows 95/98/NT, кто хотел бы иметь защищенные соединения
по каналам локальной или глобальной сети.
Другой интересный аппаратный продукт — VPN Gateway — выпускает Lucent
Technologies. Этот шлюз позволяет организовывать соединения с использованием
IPSec между локальными сетями и удаленными клиентами. Кроме того, Lucent
предлагает VPN Gateway Management Server для конфигурации и администрирования
шлюзов, а также Lucent IPSec Client для предоставления функций VPN настольным и
удаленным пользователям.
В марте 1999 года Lucent внедрила функции VPN в свой концентратор удаленного
доступа PortMaster 3 посредством включения в его аппаратную платформу
IPSec-совместимой дочерней платы. Теперь он может создавать туннели IPSec или
Layer-2 Tunneling Protocol (L2TP) по IP, frame relay и ATM, а также поддерживать
аутентификацию RADIUS. Семейство VPN Concentrator компании Altiga Networks
(http://www.altiga.com) поддерживает
от 100 (Altiga C10) до 5000 (Altiga C50) соединений одновременно и предназначено
для компаний с большим числом удаленных пользователей. Аутентификация
осуществляется с помощью RADIUS или маркеров SecureID компании Security
Dynamics. Весьма любопытно, что компания получила разрешение правительства США
на экспорт в составе продуктов технологии шифрования Triple DES (длина ключа 168
бит). Это значительно упрощает жизнь для компаний с офисами или партнерами в
разных странах. Compatible Systems выпускает линию аппаратных платформ для VPN
под названием IntraPort VPN Access Server (http://www.compatible.com). Все
продукты поддерживают шифрование DES и Triple DES, а также множество схем
аутентификации, в том числе RADIUS и SecureID.
ПРОДУКТЫ НА БАЗЕ МАРШРУТИЗАТОРОВ/КОММУТАТОРОВ
До сих пор мы рассматривали главным образом продукты компаний, чьей
специализацией является защита информации. Однако в борьбу за место на рынке
оборудования для VPN вступили и компании, известные преимущественно своими
коммутаторами и маршрутизаторами, в том числе Cisco Systems, 3Com и Nortel
Networks (с продуктами приобретенной ею Bay Networks).
В 1998 году Cisco выпустила на рынок 1720 VPN Access Router. Этот продукт
предлагает филиалам и небольшим компаниям универсальное решение задачи доступа в
Internet и организации VPN. Маршрутизатор осуществляет высокоскоростное
шифрование и содержит туннельный сервер для создания защищенных соединений. Он
поставляется с двумя слотами глобальной сети и портом локальной сети на 10/100
Мбит/с.
В октябре 1998 года 3Com представила семейство коммутаторов PathBuilder 8500
для организации туннелей VPN. Одно устройство способно поддерживать одновременно
до 2000 туннелей VPN как между локальными сетями, так и с партнерами по бизнесу
и даже с удаленными пользователями.
Кроме того, 3Com предлагает еще две платформы VPN. Маршрутизатор Office
Connect NetBuilder предназначен для малых офисов, а SuperStack II NetBuilder SI
— для филиалов средних размеров.
Nortel Networks представила три модели Contivity Extranet Switch с поддержкой
от 100 до 2000 соединений. Для всех трех продуктов Contivity характерно
потрясающее разнообразие поддерживаемых функций защиты. Например, все они могут
работать с цифровыми сертификатами X.509 (включая базирующиеся на продукте для
PKI компании Entrust Technologies), а также осуществлять аутентификацию с
помощью более традиционного протокола RADIUS. Туннели могут создаваться с
помощью протоколов PPTP, Layer-2 Forwarding (L2F) и L2TP. Кроме того, все
коммутаторы Contivity поддерживают протокол LDAP, благодаря чему аутентификация
может выполняться с помощью продуктов типа Netscape Directory Server, что
упрощает для администратора задачу определения пользователей в системе.
ПРОГРАММНЫЕ VPN
Как мы видели, рынок автономного оборудования, в том числе продаваемого
вместе с клиентским программным обеспечением и компонентами управления,
предлагает множество продуктов. Хотя и не столь популярные, как их аппаратные
аналоги, продукты на базе программного обеспечения предоставляют несколько
любопытных возможностей. Зачастую они оказываются более гибкими, позволяя
осуществлять избирательное туннелирование (например, по протоколу или адресу)
вместо туннелирования всего трафика. Например, очень часто направлять через
туннель имеет смысл только важный трафик, например запрос к базе данных или
электронную почту, но не трафик Web. Кроме того, программным продуктам, как
правило, не требуется выделенного компьютера, так что компании могут
использовать имеющееся оборудование.
Одним из наиболее значительных игроков на рынке программного обеспечения для
VPN является компания Aventail (http://www.aventail.com). Свою задачу она видит
в оказании помощи тем, кто хотел бы использовать сетевые ресурсы совместно со
своими внешними партнерами по бизнесу, включая заказчиков, поставщиков,
консультантов и дистрибьюторов.
Aventail исходит из того, что один продукт заведомо не может подходить для
организации всех типов соединений: между локальными сетями, для удаленного
доступа и Extranet.
Клиент-серверный продукт Aventail ExtraNet Center выполняется на Windows NT и
нескольких разновидностях UNIX, в том числе AIX, Digital Unix, HP-UX, Solaris и
Linux. В противовес общей тенденции использовать IPSec для шифрования и
аутентификации, Aventail является твердым сторонником SOCKS 5.
SOCKS — это протокол proxy-сервера. Он перехватывает клиентские запросы о
предоставлении сервиса, передает их на сервер SOCKS для проверки на предмет их
законности и затем создает аутентифицированный сеанс с клиентом.
Aventail ExtraNet Center поддерживает также множество схем шифрования и
аутентификации, таких, как RADIUS, Challenge Handshake Authentication Protocol
(CHAP), Windows NT Domain, NDS и цифровые сертификаты X.509. Продукт работает с
рядом приложений, в том числе Web, Java и ActiveX, а также с приложениями от
SAP, Oracle и PeopleSoft. Клиентский компонент Aventail Connect выполняется в
фоновом режиме, с его помощью пользователи могут осуществлять безопасную
навигацию в системах Windows NT.
В своем BorderManager Enterprise компания Novell придерживается иного
подхода. Ее продукт представляет собой полный пакет для защиты информации,
включая брандмауэр, аутентификацию RADIUS, а также кэширующего посредника.
Что касается функций VPN, то BorderManager поддерживает контроль доступа к
VPN, соединения между сетями и с клиентами, фильтрацию пакетов и преобразование
сетевых адресов. Как можно было ожидать, он тесно интегрирован с NDS — это
весьма привлекательная его особенность для тех пользователей, кто активно
использует службу каталогов Novell.
Еще одно программное решение предлагает компания V-One (http://www.v-one.com). Ее
клиент-серверный продукт SmartGate состоит из SmartPass Client и SmartGate
Server. Клиентская часть выполняется на Windows 95/98/NT и Mac и дает
пользователям возможность подключиться к серверу с шифрованием трафика по
алгоритму DES или Triple DES.
Сервер может выполняться на компьютере с процессором Intel и BSD Unix или на
компьютере с Sun SPARC и Solaris. Поддержка HP-UX и Windows NT должна появиться
в скором времени. SmartGate поддерживает различные системы аутентификации, в том
числе маркеры SecureID, RADIUS и сертификаты Entrus/PKI. Он поставляется со
SmartAdmin — консолью на базе Windows для удаленного администрирования серверов
и задания правил.
VPN НА БАЗЕ БРАНДМАУЭРОВ
Разграничительная линия между брандмауэрами и VPN оказывается порой весьма
нечеткой, так как оба типа продуктов обычно устанавливаются на передней линии
защиты сети, к тому же многие брандмауэры поддерживают функции VPN. Как правило,
такого рода продукты применяются, когда вы не можете быть полностью уверены в
удаленных пользователях и вынуждены укрепить защиту против возможного
проникновения злоумышленников в сеть.
Одним из первых среди основных производителей брандмауэров на рынок VPN вышла
Check Point Software Technologies (http://www.checkpoint.com). Вот уже
несколько лет компания является лидером по объему продаж брандмауэров, и она
довольно рано поняла целесообразность интеграции в брандмауэр функций VPN.
VPN-1 Gateway базируется на Firewall-1, но он также поддерживает функции
шифрования и туннелирования. Помимо этого продукта компания продает также VPN-1
RemoteLink — аппаратно-программное решение для филиалов с функциями Firewall-1 и
VPN.
Кроме того, семейство продуктов VPN-1 включает клиентское программное
обеспечение VPN-1 SecuRemote, VPN-1 Certificate Manager для использования с VPN
сертификатов X.509 и устанавливаемую на компьютеры с Solaris и NT плату VPN
Accelerator для ускорений шифрования IPSec.
В апреле 1999 г. Check Point опубликовала подробные планы в отношении VPN на
текущий год. Компания планирует расширить поддержку PKI, помимо Entrust
Technologies она намеревается поддерживать соответствующие продукты VeriSign,
Netscape, Baltimore Technologies и Microsoft. Кроме того, пользователей ожидает
интегрированное качество обслуживания для трафика VPN, оперативное
резервирование соединений VPN, распределение нагрузки между шлюзами VPN-1 и
улучшенный контроль доступа в корпоративных сетях.
Gauntlet VPN Server 5.0 от Network Associates интегрируется с Gauntlet
Firewall, в результате заказчики получают функции шлюза для приложений вместе с
возможностью создавать VPN между локальными сетями и удаленными пользователями.
Продукт поддерживает IPSec, IKE и LDAP, а также инфраструктуры с открытыми
ключами Entrust и Verisign. Он может взаимодействовать с Net Tools PKI Server
компании Network Associates при работе с сертификатами X.509, причем сервер
поставляется в пакете с Gauntlet VPN.
Функции PKI в Gauntlet VPN весьма любопытны. Продукт может автоматически
запрашивать и получать списки аннулированных сертификатов и, таким образом,
всегда знать, какие сертификаты действительны, а какие устарели.
Вследствие интеграции с брандмауэром Gauntlet VPN выполняет такие функции,
как преобразование сетевых адресов, предотвращение атак по типу «отказ в
обслуживании», фильтрация пакетов и их содержимого, а также противодействие
сорной почте и подделке адресов.
WatchGuard Technologies наиболее известна как пионер рынка аппаратных
брандмауэров, но с тех пор компания выпустила и другие продукты (http://www.watchguard.com). Ее
WatchGuard Security System 3.2 представляет собой полнофункциональный пакет из
брандмауэра Firebox и программного обеспечения управления и VPN. Эта версия
поддерживает IPSec и IKE и предлагается вместе с шестимесячной подпиской на
LiveSecurity — автоматизированную службу рассылки информации о программном
обеспечении, политике и новых угрозах непосредственно на Firebox.
LiveSecurity System содержит WatchGuard Remote User VPN для создания
защищенных соединений с корпоративной сетью с помощью PPTP и WatchGuard
BranchOffice VPN для создания каналов связи с поддержкой IPSec с удаленными
филиалами и партнерами по бизнесу.
Axent Technologies также включила поддержку VPN в свой брандмауэр
(http://www.axent.com). Raptor Firewall 6.0 обеспечивает шифрование DES и Triple
DES, а Raptor Management Console создает и управляет туннелями с удаленными
узлами. Управление ключами осуществляется с помощью IKE.
Кроме того, компания предлагает клиентский продукт PowerVPN, с помощью
которого удаленные и мобильные сотрудники получают защищенный доступ в
корпоративную сеть через шлюз, с использованием надежной аутентификации и
авторизации.
Еще один производитель брандмауэров, активно занимающийся VPN, — Secure
Computing (http://www.securecomputing.com),
чей Sidewinder Security Server 4.0 приобрел существенно новые функции. Продукт
поддерживает IPSec, в том числе шифрование DES, Triple DES и RC4-128, а также
управление ключами IKE. Кроме того, он поддерживает цифровые сертификаты X.509 и
имеет интерфейс для центров сертификации.
СТОЛЬКО ВАРИАНТОВ...
Как можно видеть, рынок VPN может оказаться настоящей головоломкой для
компаний, присматривающихся к этой технологии. Далеко не все продукты
поддерживают все возможные типы соединений VPN, поэтому вы должны предварительно
убедиться, что рассматриваемое решение способно предоставить необходимые для
работы защищенные каналы.
Очевидно, что IPSec стал основным протоколом для VPN, поэтому его поддержка
желательна, если не обязательна для всех продуктов и сторон, участвующих в
создании VPN. Если IPSec получил практически повсеместное распространение, то
PKI до подобной популярности еще далеко — и это один из сдерживающих факторов
медленной популяризации VPN. Когда стандарты будут позволять создавать очень
крупные сертификационные системы, тогда сертификаты будут более широко
использоваться в качестве метода аутентификации пользователей в сети.
Сегодня ничто не мешает созданию полезных и защищенных соединений по сети
общего доступа. В будущем этот процесс станет еще проще, в результате
пользователи смогут получить доступ к информации и ресурсам, в какой бы точке
мира они ни находились.
Анита Карве — помощник редактора. С ней можно связаться по адресу: akarve@mfi.com.
VPN для всех и каждого
Компаниям, заинтересованным в использовании имеющейся инфраструктуры IP для
защищенных коммуникаций с внешним миром, одной какой-либо разновидностью VPN не
обойтись. Первое, что компания должна решить, — кто именно будет иметь доступ к
сетевым ресурсам по разделяемой сети и где эти люди находятся.
Если в первую очередь компанию интересует предоставление своим сотрудникам
доступа к ресурсам из любой точки, то тогда им придется выбирать между двумя
видами архитектуры VPN. Одна из них обычно называется виртуальной частной сетью
между локальными сетями или между узлами (LAN-to-LAN или site-to-site) и
предназначена для создания соединений между двумя офисами, принадлежащими одной
и той же компании. Этот тип соединений позволяет заменить дорогостоящие
выделенные линии между отдельными офисами и создать постоянно доступные
защищенные каналы между ними. Многие компании используют данный вид VPN в
качестве замены или дополнения к имеющимся соединениям глобальной сети, таким,
как frame relay.
Другая разновидность VPN предназначена для установления соединений с
удаленными пользователями. Она заменяет собой коммутируемые соединения и может
использоваться наряду с традиционными методами удаленного доступа. В
соответствии с этой моделью, работающие на дому и разъездные сотрудники, или
даже сотрудники небольших филиалов, могут, позвонив по местному номеру,
связаться со своим провайдером Internet и сэкономить таким образом на
междугородных звонках. Ряд провайдеров Internet предлагает дополнительные услуги
по созданию защищенного соединения на базе IP между провайдером Internet и
корпоративной сетью.
Третья разновидность VPN реализуется между корпоративной сетью и внешними
партнерами по бизнесу — так называемая сеть Extranet. Она представляет собой
идеальный способ совместного использования информации и ресурсов сотрудниками
компании, ее поставщиками и заказчиками. По самой своей природе Extranet очень
сильно зависима от принимаемых мер контроля доступа. Если удаленные сотрудники
могут иметь доступ к значительной части корпоративных сетевых ресурсов, то
партнеру следует предоставить весьма ограниченные права. Например, поставщик
может иметь доступ только к файлу с информацией по конкретной группе продуктов.
Начинать можно с предоставления доступа по VPN удаленным филиалам и
пользователям, а затем уже решать, стоит или не стоит давать его и партнерам по
бизнесу. Наличие на рынке широкого выбора продуктов должно позволить выбрать
стратегию в области VPN в точном соответствии с вашими конкретными требованиями.
Рассматриваемые продукты
Ресурсы Internet
Информация о стандарте IPSec имеется на http://www.ip-sec.com. Хорошая статья о
практической реализации VPN опубликована на http://www.infosecuritymag.com/mar99/cover.htm.
|