Неизвестная VPN
Из пункта А в пункт Б необходимо передать информацию таким образом, чтобы к ней никто не смог получить доступа. Вполне реальная и часто возникающая на практике ситуация, особенно в последнее время. В качестве пунктов А и Б могут выступать отдельные узлы или целые сегменты сетей. В случае с передачей информации между сетями в качестве защитной меры может выступать выделенный канал связи, принадлежащей компании, информация которой требует защиты. Однако поддержание таких каналов связи — очень дорогое удовольствие.
Проще и дешевле, если информация будет передаваться по обычным каналам связи (например, через Интернет), но каким-либо способом будет отделена или скрыта от трафика других компаний, циркулирующего в Сети. Но не следует думать, что потребность в конфиденциальной передаче информации возникает только в глобальных сетях. Такая потребность может возникнуть и в локальных сетях, где требуется отделить один тип трафика от другого (например, трафик платежной системы от трафика информационно-аналитической системы). Как же сделать так, чтобы секретная информация могла передаваться по тем же проводам, что и обычная информация, но при этом была недоступна для других? Помочь в этом может технология виртуальных частных сетей (Virtual Private Network, VPN).
Определить указанную технологию можно несколько шире, чем нынешнее ее толкование. Ведь, по сути, неважно, каким образом вы скрываете одни данные от других. Поэтому можно выделить два основных способа реализации VPN: разделение трафика в канале передачи и шифрование трафика в канале передачи.
Технология разделения трафика в начале передачи получила широкое распространение сравнительно недавно. Она может применяться как в глобальных, так и в локальных сетях. Причем второй случай более распространен — это всем известная технология виртуальных локальных сетей (VLAN), которая используется для структуризации современных локальных сетей, построенных на базе коммутаторов. Однако, кроме структуризации, VLAN могут применяться и для отделения одного типа трафика от другого. Поскольку VLAN реализуются на канальном уровне, область их применения не выходит за рамки локальной сети, но здесь они неплохо справляются со своими задачами. В частности, независимо от адреса канального уровня (уникального, группового или широковещательного) смешение данных из разных VLAN невозможно. В то же время внутри одной VLAN кадры передаются как обычно, только на тот порт, на который указывает адрес назначения кадра.
Узлы, входящие в VLAN, могут группироваться на основе различных признаков:
- по портам — классический и самый простой способ формирования VLAN, согласно которому каждому порту коммутатора соответствует номер VLAN;
- по MAC-адресам — принадлежность к VLAN определяется по MAC-адресам сетевых пакетов;
- по номерам подсетей сетевого уровня — в данном случае VLAN является аналогом обычной подсети, которая известна по протоколам IP или IPX;
- по меткам — самый эффективный и надежный способ группирования узлов в VLAN, согласно которому номер виртуальной сети добавляется к кадру, передаваемому между коммутаторами.
Существуют и другие способы формирования VLAN, но все они имеют меньшее распространение. Технология VLAN на сегодняшний день реализована в большинстве коммутаторов ведущих сетевых производителей.
В глобальных сетях распространение получил аналог VLAN — технология MPLS (MultiProtocol Label Switching), которая также использует метки для разделения трафика и образования виртуальных каналов в IP-, ATM- и других сетях. Правда, у технологии MPLS есть существенный недостаток с точки зрения безопасности: она может применяться только для связи «сеть — сеть» и неприменима для соединения с отдельными узлами. Второй недостаток состоит в том, что данные разных пользователей хоть и не смешиваются, но все-таки к ним можно получить доступ, прослушивая сетевой трафик. Кроме того, провайдер, предлагающий услуги MPLS, будет иметь доступ ко всей передаваемой информации. Данная технология имеет право на существование, так как обеспечивает некоторый уровень защищенности информации и достаточно дешева. Основным поставщиком MPLS является компания Cisco Systems.
Большую известность получила технология шифрования трафика, которая скрывает от посторонних глаз содержание данных, передаваемых по открытым сетям. Именно эта технология применяется многими разработчиками средств сетевой безопасности.
Варианты построения VPN
Можно выделить четыре основных варианта построения сети VPN, которые используются по всему миру. Данная классификация предлагается компанией Check Point Software Technologies, которая не без основания считается законодателем мод в области VPN и, по данным независимых консалтинговых и аналитических агентств, владеет 52% мирового рынка VPN-решений (Dataquest).
- Intranet VPN — позволяет объединить в единую защищенную сеть несколько распределенных филиалов одной организации, взаимодействующих по открытым каналам связи. Именно этот вариант получил широкое распространение во всех странах мира, и его в первую очередь реализуют компании-разработчики.
- Remote Access VPN — позволяет реализовать защищенное взаимодействие между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который подключается к корпоративным ресурсам из дома (домашний пользователь) или через notebook (мобильный пользователь). Данный вариант отличается от первого тем, что удаленный пользователь, как правило, не имеет статического адреса и подключается к защищаемому ресурсу не через выделенное устройство VPN, а непосредственно со своего собственного компьютера, где устанавливается программное обеспечение, реализующее функции VPN. Компонент VPN для удаленного пользователя может быть выполнен как в программном, так и в программно-аппаратном виде. В первом случае программное обеспечение может быть встроенным в операционную систему (например, в Windows 2000) либо разработанным специально (например, АП «Континент-К»). Во втором случае для реализации VPN используются небольшие устройства класса SOHO (Small Office\Home Office), которые не требуют серьезной настройки и могут быть использованы даже неквалифицированным персоналом. Такие устройства сейчас весьма популярны за рубежом.
- Client/Server VPN — обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта состоит в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например между рабочей станцией и сервером. Такая необходимость часто возникает в случаях, когда в одной физической сети нужно создать несколько логических сетей, например если надо разделить трафик между финансовым департаментом и отделом кадров, которые обращаются к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, но вместо разделения трафика используется его шифрование.
- Extranet VPN — предназначен для сетей, к которым подключаются так называемые пользователи со стороны (партнеры, заказчики, клиенты и т.д.). Обычно уровень доверия к ним намного ниже, чем к сотрудникам компании, хотя статистика свидетельствует, что чаще всего именно последние являются виновниками компьютерных преступлений и злоупотреблений.
Варианты реализации VPN
Средства построения VPN могут быть реализованы по-разному:
- В виде специализированного программно-аппаратного обеспечения, предназначенного именно для решения задач VPN. Примером такого решения является российский комплекс «Континент-К», имеющий необходимые разрешительные документы от Гостехкомиссии и ФАПСИ. Основное преимущество таких устройств — их высокая производительность и более высокая по сравнению с другими решениями защищенность. Данные устройства могут применяться в тех случаях, когда необходимо обеспечить защищенный доступ большого числа абонентов. Недостаток таких решений состоит в том, что управляются они отдельно от других решений по безопасности, а это усложняет задачу администрирования инфраструктуры безопасности, особенно при нехватке сотрудников отдела защиты информации. Эта проблема выходит на первое место при построении крупной и территориально-распределенной сети, насчитывающей десятки устройств построения VPN, не считая такого же числа межсетевых экранов, систем обнаружения атак и т.д. Примером такого решения является Cisco 1720 или Cisco 3000.
- В виде программного решения, устанавливаемого на обычный компьютер, функционирующий, как правило, под управлением операционной системы UNIX. Российские разработчики особенно полюбили ОС FreeBSD, и на ее изученной «вдоль и поперек» базе построены отечественные решения «Континент-К» и «Шип». Для ускорения обработки трафика могут быть использованы специальные аппаратные ускорители, заменяющие функции программного шифрования. В виде программного решения реализуются также абонентские пункты, предназначенные для подключения к защищаемой сети удаленных и мобильных пользователей.
- Интегрированные решения, в которых функции построения VPN реализуются наряду с функцией фильтрации сетевого трафика, обеспечения качества обслуживания или распределения полосы пропускания. Основные преимущества этого решения — централизованное управление всеми компонентами с единой консоли и более низкая стоимость в расчете на каждый компонент по сравнению с ситуацией, когда такие компоненты приобретаются отдельно. Пожалуй, самым известным примером такого интегрированного решения является VPN-1 от компании Check Point Software, включающее в себя, помимо VPN-модуля, модуль, реализующий функции межсетевого экрана, модуль, отвечающий за балансировку нагрузки, распределение полосы пропускания и т.д. Это решение имеет сертификат Гостехкомиссии России.
Зачем нужна VPN
Помимо обеспечения защиты от посторонних передаваемых данных, VPN имеет и ряд других достоинств, в том числе и экономических. Исследовательская компания Forrester Research опубликовала данные, характеризующие преимущества применения VPN поверх Интернет (из расчета на 1000 пользователей) по сравнению с созданием центра удаленного доступа (Remote Access Service). Эти данные можно представить в виде таблицы.
Из таблицы можно видеть, что использование VPN позволяет снизить многие статьи затрат, включая закупку коммуникационного оборудования, оплату услуг Интернет-провайдера и т.д. Эти и другие исследования позволили Международной ассоциации компьютерной безопасности (International Computer Security Association, ICSA) включить технологию VPN в десятку самых известных технологий, которые будут в первую очередь применяться многими компаниями. Это подтверждает и компания Gartner Group, которая в своем отчете предсказала, что средства построения VPN будут применяться в 2002 году в 90% компаний. С этим связан и прогноз рынка средств VPN, который будет исчисляться 11,94 млрд. долл. в 2002 году и 18,77 млрд. долл. в 2004 году (по данным Frost & Sullivan).
VPN в России
В статье «VPN. Старые песни о главном» (КомпьютерПресс № 5’2001) автор уже говорил об особенностях применения технологии VPN в России, но в основном это касалось шифрования данных, а технология разделения канала передачи данных осталась за рамками публикации. Поскольку данная технология не подпадает ни под один из существующих руководящих документов (ни в Гостехкомиссии, ни в ФАПСИ), ее может применять практически без ограничений любая организация или оператор услуг связи, что позволяет продвигать эту технологию на российский рынок некоторым компаниям, например Cisco Systems.
КомпьютерПресс 10'2001