Виртуальный туннель
Виртуальные сети на базе IPSec
Средства создания VPN от ведущих производителей
Рынок средств VPN: текущее состояние и прогнозы
овременные корпоративные информационные системы предъявляют все более высокие требования к защите корпоративных сетей от разного рода воздействий внешней среды и к обеспечению полной безопасности корпоративной информации. Степень защищенности корпоративной информации является одним из основных параметров построения сети компании. Требования, предъявляемые к системе безопасности корпоративной сети, непосредственно зависят как от уровня секретности информации, циркулирующей между подразделениями компании, так и от территориальной структуры самой корпоративной сети. Многие компании представляют собой сложную, территориально распределенную структуру, включающую головной офис, филиалы, сеть складов, производственные помещения и т.д. Для обеспечения эффективной работы компании необходима целостность и конфиденциальность информационных потоков в корпоративной сети. В то же время для решения данной задачи одним из основных направлений построения эффективной комплексной системы безопасности компании является разграничение прав доступа подразделений компании к корпоративным ресурсам и определение степени секретности информации, обрабатываемой каждым конкретным подразделением.
Корпоративная сеть компании может быть реализована различными способами: на базе выделенных каналов связи между локальными сетями подразделений компании, на базе применения Интернета как среды транспортировки данных, на базе беспроводных соединений и другими способами. Выбор способа, как правило, зависит от размеров компании и соответственно от суммы капиталовложений в развитие сетевых решений. На практике использование выделенных каналов связи требует больших денежных затрат.
Для обеспечения безопасного сетевого соединения с распределенными подразделениями компании организуется виртуальная частная сеть (Virtual Private Networks, VPN), которая использует набор технологий, гарантирующих секретность, защиту и целостность данных, передаваемых по сети общего пользования. Слово «частный» в данном контексте означает, что передача данных между удаленными пользователями корпоративной сети компании осуществляется в зашифрованном виде, что позволяет говорить о создании безопасного канала связи — «туннеля». В качестве среды транспортировки шифрованных данных используется Интернет.
Данное решение является оптимальным в плане финансовых затрат и позволяет обеспечить наиболее гибкий способ доступа удаленных пользователей к ресурсам корпоративной сети. Перед администраторами удаленного доступа и систем VPN стоит сложная задача — подготовить и развернуть такое решение, которое даст возможность одновременно удовлетворять потребностям различных пользователей корпоративной сети предприятия. В настоящее время на рынке средств организации виртуальных частных сетей имеется множество готовых решений и технологий, частично дублирующих друг друга по выполняемым функциям. В то время как большая часть текущих решений удаленного доступа использует виртуальные частные сети с применением протокола IPSec (Internet Protocol Security), на рынке увеличивается число продавцов, предлагающих технологию удаленного доступа к ресурсам корпоративной сети, основанную на протоколе SSL (Secure Socket Layer) для шифрования данных. Они обращают внимание пользователей прежде всего на интуитивную понятность ее использования и простоту установки. В данной статье представлены результаты анализа преимуществ и недостатков применения виртуальных частных сетей на базе обоих протоколов для решения задачи предоставления оптимального со всех точек зрения решения удаленного доступа к внутренним ресурсам корпоративной сети.
Для построения универсальной системы удаленного доступа пользователей к корпоративной сети компании невозможно рекомендовать какую-то одну технологию построения виртуальной частной сети — на базе протокола IPSec либо SSL. Выбор той или иной технологии зависит от конкретной ситуации. Комплексная система защиты предполагает совместное использование различных технологий построения виртуальной частной сети, связанных в единое целое, для обеспечения удобного, гибкого и прозрачного доступа удаленных пользователей к ресурсам корпоративной сети. Создание комплексной системы защиты данных корпоративной сети фактически основано на применении существующих технологий с учетом их дальнейшего развития.
Виртуальные сети на базе IPSec
то представляет собой VPN-клиент? Как правило, для построения VPN используется протокол IPSec, состоящий из набора правил, разработанных для определения методов идентификации при инициализации виртуального туннеля, а также для обеспечения безопасного обмена пакетами данных по Глобальным сетям (Интернет). Пакеты данных шифруются с помощью алгоритмов DES, AES и др. Поскольку VPN-клиенты функционируют на уровне IP, то достигается наибольшая гибкость в конфигурировании сетевых установок и приложений. Таким образом, VPN-клиенты предоставляют удаленному пользователю те же возможности, какими он располагает, когда находится в офисе.
Использование данного подхода предполагает установку VPN-клиента на удаленном персональном компьютере (ноутбуке) пользователя и обеспечивает доступ пользователя к ресурсам и службам корпоративной сети в соответствии с полномочиями, принятыми для данного пользователя внутри этой сети. Удаленный пользователь может работать так же, как если бы он находился в данный момент на своем рабочем месте в корпоративной сети. При этом удаленный пользователь может:
• запускать без каких-либо ограничений Windows-приложения и клиентов электронной почты, что позволяет пользователю на удаленном компьютере получать полную функциональность Windows-приложений корпоративной сети;
• иметь прозрачный доступ к файлам и сетевым ресурсам корпоративной сети. В соответствии с установленным сценарием VPN-клиента удаленный пользователь получает права доступа к необходимым ресурсам корпоративной сети, при этом ему предоставляется возможность напрямую подключать к удаленному компьютеру сетевые диски, что позволяет запускать на удаленном компьютере приложения, ориентированные на работу с сетевыми ресурсами корпоративной сети. Дополнительно пользователю предоставляется прозрачный доступ к интранет-сайтам корпоративной сети;
• полностью использовать вычислительные мощности удаленного компьютера. Современные персональные компьютеры обладают довольно высокой производительностью. Программное обеспечение VPN-клиентов позволяет интегрировать распределенные вычислительные ресурсы корпоративной сети с применением таких технологий, как Microsoft .NET или J2EE;
• подключаться к корпоративной сети в любой момент и при этом иметь возможность работать автономно (возможны ситуации, когда удаленный пользователь не подключен к корпоративной сети, например в самолете или в месте, не позволяющем подключиться к Интернету). Это существенное преимущество как перед терминальными службами, так и перед SSL-браузерами, которые полностью зависят от соединения с корпоративной сетью;
• пользоваться поддержкой VoIP (Voice over IP) — технологии передачи голоса через сети, использующие протокол IP, в режиме реального времени. Основной принцип передачи голоса по IP-сетям заключается в том, что шлюз IP-телефонии на передающем конце осуществляет преобразование аналогового телефонного сигнала в цифровой вид (если сигнал на выходе с телефонного аппарата представлен в цифровом виде, дальнейшее преобразование не производится), разбивает цифровой поток на пакеты и отправляет их в IP-сеть. На приемном конце производятся обратные действия. Средства VPN-клиентов обеспечивают прием-передачу голоса без потери качества;
• осуществлять низкоуровневый доступ к персональному компьютеру удаленного пользователя, например к драйверам устройств и т.п. (эта возможность бывает нужна техническому персоналу или разработчикам).
Виртуальные частные сети довольно быстро стали технологией, обеспечивающей безопасную передачу данных через Интернет. Однако построение виртуальной частной сети предприятия на базе VPN-клиентов требует от компаний значительных затрат, прежде всего по следующим причинам:
• настройка VPN большинство реализаций VPN-клиентов сложны в настройке и управлении, содержат большое количество ключевых параметров, алгоритмов шифрования и требуют ручной установки;
• безопасность средства VPN-клиентов обеспечивают гарантированный уровень надежности передаваемых по каналам Интернета шифрованных данных. В то же время VPN-клиенты представляют собой серьезную проблему для информационной безопасности корпоративной сети, так как, являясь составной частью корпоративной сети компании, удаленный компьютер может быть подвержен заражению вирусом, троянским конем и т.п. Следовательно, на персональном компьютере удаленного пользователя должны быть установлены соответствующее антивирусное программное обеспечение, межсетевой экран, а также дополнительные средства обеспечения безопасности, позволяющие быть уверенным в том, что удаленный компьютер не представляет собой угрозу безопасности корпоративной сети компании. Большинство продуктов по обеспечению удаленного доступа не имеют встроенных либо централизованно управляемых средств контроля безопасности удаленного компьютера;
• стоимость аппаратного и программного обеспечения — она может существенно ограничить уровень безопасности информации компании;
• маршрутизация для обеспечения прозрачного доступа к ресурсам корпоративной сети удаленный пользователь должен вручную настроить маршрутизацию, DNS и proxy, что может, в случае ошибки, привести к определенным трудностям;
• установка программного обеспечения — для того чтобы полностью использовать вычислительные ресурсы, на персональном компьютере удаленного пользователя должно быть установлено соответствующее программное обеспечение с правильными настройками. Большинство систем удаленного доступа не содержат соответствующие средства контроля;
• настройка параметров программ — если компания разрешает удаленному пользователю использовать для работы свой домашний компьютер, то требуемые прикладные программы и сетевые ресурсы должны быть настроены соответствующим образом. Например, когда удаленный пользователь регистрируется в виртуальной частной сети, то должны быть автоматически подключены сетевые диски корпоративной сети, почтовый адрес клиента должен быть автоматически зарегистрирован на почтовом сервере корпоративной сети, браузер пользователя может быть настроен на домашнюю страницу корпоративной сети и т.п. Другими словами, рабочая среда удаленного пользователя должна незаметно настраиваться во время сессии удаленного доступа, не требуя от пользователя знания таких технических аспектов, как сетевые адреса или имена серверов;
• поддержка учитывая многообразие причин появления сбоев в работе как аппаратуры, так и программного обеспечения, компания должна либо обладать собственным высококвалифицированным обслуживающим персоналом, либо устанавливать реализации VPN-решений с учетом финансовых затрат на обслуживание сторонними организациями.
Виртуальные сети на базе SSL
то такое SSL? Протокол SSL (Secure Sockets Layer) — стандартный протокол передачи шифрованных данных через Интернет. Протокол SSL обеспечивает шифрование данных на открытых ключах, передаваемых в SSL-сессии. Большинство браузеров поддерживают протокол SSL, а многие Web-сайты используют его для получения конфиденциальной информации (например, номера кредитной карты).
Основные преимущества виртуальных частных сетей на базе протокола SSL таковы:
• не требуется установка клиентского программного обеспечения. Подключение к Интернету через стандартный браузер позволяет получить доступ к ресурсам корпоративной сети через Web-страницу;
• обеспечивается доступ к любому устройству, поддерживающему работу со стандартным браузером. Данное решение идеально подходит в случаях, когда удаленный пользователь не имеет доступа к своему компьютеру;
• многие операционные системы, поддерживающие работу со стандартным Web-браузером, могут использовать этот способ доступа в любых операционных системах — Windows, Mac OS, UNIX и Linux;
• удаленные пользователи легко получают доступ к интранет-приложениям и к ресурсам корпоративной сети;
• пользователи могут получить доступ к файлам на сетевых дисках;
• пользователи, подключаемые к корпоративной сети через Web-браузер, не являются рабочими станциями корпоративной сети, в отличие от VPN-клиентов. Вернее, они получают доступ к ресурсам компании через proxy-сервер. Следовательно, данный подход более безопасен, особенно по отношению к удаленным пользователям;
• обеспечивается возможность полного контроля используемых ресурсов на уровне приложений;
• для удаленных пользователей, которым необходимо получить доступ только к интранет-сайтам корпоративной сети либо к почте, VPN на базе SSL будет наиболее оптимальным решением безопасного удаленного доступа с точки зрения стоимости.
Недостатки виртуальных частных сетей на базе протокола SSL следующие:
• в случае использования VPN на базе SSL для соединения удаленного пользователя с корпоративной сетью необходимо наличие доступа к Интернету. Взаимодействие Web-браузера удаленного пользователя и Web-сервера компании основано на архитектуре «клиент-сервер», поэтому при отсутствии соединения с Интернетом удаленный пользователь не сможет получить доступ к корпоративной сети;
• ограничения в применении передовых Web-технологий. Организация доступа клиентов VPN на базе SSL к ресурсам корпоративной сети реализуется через обратный proxy-сервер. Его наличие является обязательным условием, так как удаленный пользователь получает доступ к корпоративной сети из сети общего пользования. Работа обратного proxy-сервера заключается в транслировании запросов браузера удаленного пользователя во внутреннюю корпоративную сеть компании (обычно методом замены URL). Данный метод накладывает определенные ограничения на использование возможностей таких Web-технологий, как Flash, ActiveX, Java и многие другие;
• ограниченные возможности запуска Windows-приложений, не реализованных с использованием Web-технологий. Удаленный пользователь не сможет получить доступ к приложениям, разрабатываемым без применения Web-технологий, на операционных системах Windows, UNIX, Linux, AS400;
• корпоративная сеть для удаленного пользователя, использующего VPN на базе SSL, не прозрачна. Доступ к ресурсам, например к файлам, осуществляется через Web-страницу. Данная технология создает для удаленного пользователя некоторые трудности при решении даже таких простых задач, как работа с вложениями почтовых сообщений.
Средства создания VPN от ведущих производителей
аждая из вышеописанных технологий обеспечения безопасного удаленного доступа к корпоративной сети компании имеет как свои преимущества, так и недостатки. Для построения комплексной системы защиты, удовлетворяющей потребностям удаленных пользователей, оптимальной будет разработка решений безопасности с применением обеих технологий.
На рынке представлен широкий модельный ряд продуктов, обеспечивающих организацию виртуальных частных сетей на основе представленных технологий. Безусловным лидером в этой области является компания Cisco. Она предлагает целый ряд готовых решений для организации безопасных корпоративных сетей как небольших компаний, так и крупномасштабных корпораций.
Для небольших офисных и филиальных сетей предлагаются мультисервисные маршрутизаторы Cisco 1711 и 1712, которые позволяют осуществлять доступ в Интернет и по каналу Ethernet, и по модему с возможностью организации безопасного VPN-соединения с головным офисом или с удаленными пользователями корпоративной сети. Данные модели обеспечивают скорость 15 Мбит/с шифрования трафика VPN на алгоритме 3DES с 168-битным ключом и 4,5 Мбит/с на алгоритме AES с 128-битным ключом, а также 20 Мбит/с для межсетевого экрана. Оба продукта способны поддерживать до 100 туннелей VPN одновременных соединений TCP.
Для средних и крупных компаний Cisco предлагает маршрутизаторы 7200-й серии с поддержкой виртуальных частных сетей. Среди моделей данной серии можно выделить модель 7204, обеспечивающую шифрование трафика на алгоритме 3DES со скоростью до 85 Мбит/с и поддержкой до 1500 туннелей VPN. Подключение дополнительных 128 Мбайт памяти позволит реализовать поддержку до 3000 туннелей VPN.
Для корпоративных сетей высокой производительности и пропускной способности компания Cisco предлагает для построения виртуальных частных сетей использовать маршрутизатор 7206. Данная модель реализована по модульному принципу с возможностью подключения до шести модулей. Маршрутизатор обеспечивает шифрование трафика на алгоритме 3DES со скоростью до 145 Мбит/с и поддержкой до 3000 туннелей VPN. Подключение дополнительных 128 Мбайт памяти позволит реализовать поддержку до 5000 туннелей VPN.
Программное обеспечение маршрутизаторов дает возможность организовывать виртуальные туннели корпоративной сети компании с поддержкой функции Cisco Easy VPN. Данная функция является расширением функциональных возможностей существующего программного обеспечения для маршрутизаторов. Cisco Easy VPN обеспечивает интеграцию всех сетевых компонентов корпоративной сети: маршрутизаторов Cisco, межсетевых экранов PIX firewalls, концентраторов Cisco VPN, а также клиентского программного обеспечения. Данное решение предполагает организацию центрального шлюза виртуальной частной сети, осуществляющего единое управление и реализацию политик безопасности внутри виртуальной частной сети, а также хранение в едином месте ключей шифрования. Такая реализация значительно упрощает администрирование удаленных пользователей виртуальной частной сети.
Cisco Easy VPN включает два компонента — Cisco Easy VPN Remote и Cisco Easy VPN Server. Cisco Easy VPN Remote позволяет маршрутизаторам автоматически устанавливать и поддерживать VPN-туннели между компьютерами удаленных пользователей и устройством, на котором установлено программное обеспечение Cisco Easy VPN Server. На компьютере удаленного пользователя не требуется осуществлять сложные предварительные настройки. Cisco Easy VPN Server принимает входящие сообщения от Cisco Easy VPN Remote или устройств, на которых установлено программное обеспечение VPN-Client v3.x или v4.x. Перед установкой соединения Cisco Easy VPN Server передает на компьютеры удаленных пользователей текущие настройки безопасности.
Функции Cisco Easy VPN Remote доступны для маршрутизаторов Cisco 800, 1700 и uBR900, PIX 501 firewalls и VPN 3002 Hardware Clients. Функция Cisco Easy VPN Server поддерживается на многих VPN-маршрутизаторах, включая маршрутизаторы серий 1700, 2600, 3600, 7100 и 7200 (при использовании Cisco IOS Release 12.2(8)T), а также на концентраторах 3000-й серии.
Из концентраторов 3000-й серии компания Cisco анонсировала модель VPN 3020. Данная модель обеспечивает шифрование трафика на алгоритме 3DES со скоростью до 20 Мбит/с и поддержкой до 750 сессий удаленного доступа с применением протокола IPSec и до 200 сессий WebVPN. Технология WebVPN позволяет пользователям получать безопасный удаленный доступ к концентраторам 3000-й серии, используя Web-браузер. Применение WebVPN не требует установки на удаленном компьютере пользователя дополнительных аппаратных средств или программного обеспечения. Технология WebVPN включена в состав программного обеспечения концентраторов 3000-й серии начиная с версии 4.1. Аппаратные характеристики модели: оперативная память — 256 Мбайт, два слота под модули аппаратной шифрации AES — SEP/SEP-E (основной и резервный). Концентратор VPN 3020 является моделью промежуточного уровня между устройствами 3030 и 3005. Представленные модели позволяют обеспечить соответственно 1500 и 200 сессий удаленного доступа с использованием протокола IPSec и до 500 и 50 сессий WebVPN.
Среди концентраторов 3000-й серии также можно выделить модель 3080. Она имеет оперативную память до 512 Мбайт и позволяет организовать до 10 000 сессий удаленного доступа с использованием протокола IPSec и до 500 сессий WebVPN.
Для коммутаторов Cisco Catalyst 6500 и 7500 выпущен модуль VPN, обеспечивающий шифрование трафика рабочих станций, подключенных к коммутатору, со скоростью 1,9 Гбит/с с применением алгоритма 3DES (размер пакетов более 500 байт) и со скоростью 1,6 Гбит/с для пакетов размером 300 байт. Поддерживается до 8000 туннелей VPN. Этот модуль использует внутреннюю шину коммутатора, поэтому не требует ни применения дополнительных устройств, ни изменений настроек рабочих станций пользователей корпоративной сети, ни изменения топологии сети.
Для организации удаленного доступа клиентов виртуальной частной сети на базе протокола SSL компания NetScreen предлагает готовый комплекс решений как для компаний малого и среднего звена, так и для крупномасштабных корпораций. В качестве решения для небольших компаний NetScreen предлагает продукты серии NetScreen-SA 1000, для компаний среднего размера — NetScreen-SA 3000, а для крупных компаний — продукты серии NetScreen-SA 5000. В качестве программного средства администрирования продуктов компания NetScreet разработала NetScreet-SA Central Manager. Central Manager осуществляет единое администрирование клиентов VPN на базе SSL, реализует возможность централизованной переустановки нового программного обеспечения, предоставляет пользователям корпоративной сети права администрирования в соответствии с их полномочиями.
Рынок средств VPN: текущее состояние и прогнозы
отчете, подготовленном информационным агентством «РосБизнесКосалтинг», со ссылкой на исследовательскую группу Infonetics Research, представлены следующие результаты продаж и дальнейшие перспективы развития мирового рынка продуктов VPN: объем мирового рынка VPN и межсетевых экранов (МСЭ) — оборудования и программного обеспечения — достиг в 2003 году 2,4 млрд. долл. (вырос на 13% по сравнению с 2002 годом). «Рынок VPN и МСЭ развивался, несмотря на значительные изменения в области технологий и нестабильную экономическую ситуацию и благодаря стабильному спросу на устройства обеспечения информационной безопасности, появлению SSL VPN, экономической целесообразности внедрения VPN, — заявил Джефф Уилсон (Jeff Wilson), старший аналитик Infonetics Research. — Рынок этих устройств продолжит стабильно развиваться по крайней мере до 2006 года, поскольку на рынок приходит много новых вендоров и инноваций — ценовое давление делает развитие рынка интересным. В ближайшее время мы станем свидетелями захватывающей конкуренции Juniper и Cisco».
Ведущие позиции по прибыли на рынке VPN и МСЭ занимает Cisco, за ней идут Check Point и NetScreen. Компании Nokia (совместно с Check Point), Nortel, SonicWALL, Symantec и WatchGuard — игроки второй лиги.
Прибыль индустрии VPN и МСЭ составила в 2003 году 1,9 млрд. долл. (это на 16% больше по сравнению с 2002 годом), а в 2004 году ожидается еще более значительный рост прибыли. Прибыль от продуктов стоимостью от 1500 до 29 999 долл. составила в IV квартале 2003 года 57% всех доходов от реализации — такое соотношение сохранится, по прогнозам, до 2007 года, поскольку большинство пользователей разворачивают крупные VPN.