Виртуальные частные сети (VPN)
В последнее время Интернет стал неотъемлемой частью нашей жизни. Сейчас общаться по электронной почте, передавать по Сети различную информацию, в том числе звук и видео, так же естественно, как говорить по телефону или слушать радио. Достоинства Интернета на основе протокола TCP/IP бесспорны: это мощная, хорошо продуманная и надежная сеть, обеспечивающая уверенную передачу данных; адресное пространство, хоть и не беспредельно, но очень велико (232 адресов, а с переходом на IP 6-й версии их будет 2128); кроме того, сейчас Интернет доступен огромному числу людей, то есть это реальная Глобальная сеть. Сегодня Интернет вырос до огромных размеров, превратившись в фактически неиссякаемый источник информации почти из всех, абсолютно разных, областей нашей жизни. Кроме того, это быстрый и надежный способ общения. Но, к сожалению, достоинства Интернета являются и его недостатками. Так, открытость Сети для подключения новых компьютеров и возможность доступа к информации, передаваемой в сетевых пакетах, делают данные пользователей Интернета незащищенными. Это может быть неприятно, даже если речь идет об общении с другом, но, когда стоит вопрос о передаче конфиденциальной информации, такое «прослушивание» просто недопустимо. Особую актуальность это приобрело в последнее время вследствие развития электронной коммерции, более частого использования оплаты услуг через Интернет, интенсивного общения между людьми в различных частях Сети.
Новой концепцией, появившейся не так давно, является концепция виртуальных частных сетей (Virtual Private Network, VPN). Основная идея ее такова: сетью объявляется некоторый набор компьютеров, которые не обязательно должны находиться в одном месте, а в качестве каналов передачи данных используются уже существующие (отсюда и слово «виртуальные»). В данном случае это — каналы Интернета. При этом информация передается в зашифрованном виде (отсюда слово «частные»). Схематически это может быть реализовано следующим образом: на каждом из компьютеров будущей сети устанавливается программа-клиент. Целью программ-клиентов является как минимум выполнение функций firewall и шифрование информации. Какой-либо выделенный компьютер становится сервером, откуда возможно управление сетью и наблюдение за ее работой. В зависимости от сложности программ пользователям сети становятся доступны различные наборы дополнительных сервисов, таких как защищенная почта, защищенная передача электронных подписей и многое другое. Данные сети имеют целый ряд преимуществ. Нет необходимости построения каких-либо новых сетей и прокладки новых каналов связи, что существенно экономит средства компании, поскольку существующие каналы Интернета являются весьма дешевым средством передачи данных. Компьютеры не должны быть сосредоточены в одном месте или здании. Это несомненно удобно, например, если необходима связь между различными филиалами компании или, скажем, между производителями продукции и дилерами. В дополнение к этому при установке виртуальной частной сети вы получаете защищенный трафик своих данных — вероятность взлома становится фактически равной нулю (среднее время взлома применяемых в настоящее время ключей шифрования оценивается в сотни лет). И вдобавок, как было сказано выше, вы можете получить некоторые дополнительные сервисы.
Неудивительно, что, имея такие преимущества, идея получила быстрое признание среди ведущих сетевых производителей мира. Сейчас многие фирмы, производящие сетевое аппаратное и программное обеспечение, создают свои разработки, которые реализуют концепцию виртуальных частных сетей.
Чтобы лучше ознакомиться с возможностями, предоставляемыми такими программами, дадим краткое описание одной из них — программы ViPNet от компании «ИнфоТеКС». Почему мы обратили внимание именно на эту программу? Тому есть несколько причин. Прежде всего ViPNet является оригинальной отечественной разработкой, предназначенной для создания VPN. Она не только реализует VPN в минимальном объеме, но и предоставляет ряд дополнительных сервисов для пользователей и администратора сети. И, наверное, самое важное — при подготовке статьи автор имел возможность непосредственно общаться с разработчиками программы. Эта программа базируется на драйвере сетевой защиты IP-LIR, разработанном фирмой «ИнфоТеКС». Он работает на уровне сетевого драйвера до сетевого стека, получая всю информацию, проходящую по сети, и контролируя тем самым весь IP-трафик. Отметим, что сейчас программа рассчитана на протокол IP 4-й версии. Однако, по словам разработчиков, переход на 6-ю версию протокола не вызовет затруднений и произойдет тогда, когда в этом появится необходимость. Сразу скажем, что здесь происходит обработка только IP-пакетов, все остальные сетевые протоколы не контролируются. Сейчас данный драйвер работает под всеми версиями Windows (95/98/NT/2000), а также под Linux. В дальнейшем планируется разработка версий для Solaris и BSD (все на процессорах x86).
Как это и предписывается идеологией виртуальных частных сетей, программа ViPNet обеспечивает создание таких сетей, управление их работой и передачу шифрованной информации. Особенностями технологии ViPNet являются: комбинирование симметричных и асимметричных ключей; высокая скорость шифрования; возможность выбора различных алгоритмов шифрования; наличие дополнительных сервисов. Все это обеспечивает высокую надежность работы системы и устойчивость к взломам. Комбинированные ключи исключают возможность расшифровки информации даже администратором. Файлы настройки программы защищены по принципу контрольных сумм. Скорость шифрования составляет около 10 Мбит/с, что позволяет в реальном времени передавать звук и видео в зашифрованном виде. Пользователям программы предоставляется выбор одного из алгоритмов шифрования: ГОСТ, DES, Triple DES, RC6. Наиболее существенным в данном списке является наличие алгоритма ГОСТ, который в обязательном порядке должен использоваться в государственных структурах. Благодаря этому ViPNet — один из немногих программных продуктов в своей области — приемлем для госучреждений. Дополнительные сервисы включают в себя защищенную почтовую службу и защищенную службу телеконференций. Для пользователей сети также есть возможность установить соединение с каким-либо ресурсом сети, и при этом все остальные попытки соединиться с узлом пользователя будут отражаться по принципу бумеранга. Отметим, что в VPN, созданных на основе ViPNet, существует возможность централизованного управления работой сети и полного наблюдения за ней.
Программа ViPNet состоит из нескольких составных блоков (компонентов):
- Центр управления сетью (Network Control Center) — компонент, дающий возможности создания структуры сети, наблюдения за узлами сети и удаленного управления ими;
- Ключевой центр (Key Center) — компонент, целью которого является формирование первичных ключей доступа и парольной информации узлов сети, а также проверка ключей, сформированных узлами сети;
- Универсальный сервер (Universal Server) — компонент, предоставляющий возможность осуществления следующих функций:
- сервис управляющих и почтовых сообщений;
- менеджер IP-адресов;
- сервер — Tunnel;
- proxy-сервер защищенных соединений;
- межсетевой экран.
- Сервис безопасности (Security Service) — компонент для обеспечения защиты данных и защищенного функционирования узла сети, реализующий следующие функции:
- персональный сетевой экран;
- защищенная почтовая служба;
- защищенные службы реального времени для организации циркулярного обмена сообщениями, проведения теле-, видео-, аудиоконференций;
- прозрачная защита IP-трафика данного компьютера для любых сетевых приложений.
Конечно, описанный выше набор компонентов является в некотором смысле максимальным. В полном объеме он реализован в вариантах программы Corporate и Custom. Первый вариант представляет собой реализацию VPN для крупных компаний, а второй, как следует из названия, — VPN произвольной конфигурации. Кроме того, в этих вариантах доступен максимальный набор настроек работы программы, что позволяет удовлетворять любым требованиям конкретных сетей, хотя и требует высокого профессионализма администратора. Также разработан вариант Office, который реализует фиксированные VPN для малых компаний (10, 20 и 60 компьютеров). Еще один вариант — Desk — создан для использования на одном компьютере, например на домашнем. Этот вариант является комбинацией персонального Firewall, антивирусной программы и программы Cryptomania, предназначенной для шифрования передаваемой информации. Несколько в стороне стоит продукт ViPNet Tunnel, обеспечивающий защищенный трафик между двумя сетями (или компьютерами). Отметим, что цена ViPNet существенно ниже цены имеющихся зарубежных аналогов.
Итак, даже такое краткое описание, в котором опущены все технические подробности реализации, установки и настройки программы, ясно показывает, что, создавая виртуальную частную сеть, вы получаете гораздо больше, чем просто сеть. Вы получаете сеть, не зависящую от физического расположения компьютеров, и вам обеспечивается существенная защищенность данных. Большинство сетевых производителей в мире признают развитие виртуальных частных сетей одним из самых важных направлений, и это еще больше усиливает интерес к новой идее.
Автор выражает благодарность сотрудникам фирмы «ИнфоТеКС» за предоставленную информацию о программе ViPNet.
КомпьютерПресс 11'2000