Садовой А.В.

Национальный горный университет

VPN - как средство создания единого информационного пространства предприятия

Сегодня успешная коммерческая деятельность предприятия во многом зависит от расположения производственных мощностей, торговых точек, а также центров управления работой предприятия. В условиях, когда расстояние между ними достигает десятков, а то и сотен километров, построение сети прямого подключения не всегда возможно.

Выходом из такой ситуации, может быть использование сети Интернет для соединения частей предприятия. Однако информационный обмен через глобальную сеть повышает риск утраты/хищения данных, содержащих коммерческую тайну. Передача таких данных по открытому каналу связи недопустима с точки зрения информационной безопасности предприятия. Вследствие чего были разработаны технологии, которые позволяют решить проблему передачи данных в незащищённом виде по открытым каналам, они получили название виртуальные частные сети - VPN «Virtual Private Network». Для участников информационного обмена, использующих технологию VPN, работа в виртуальной сети выглядит как в обычной частной локальной сети.

VPN базируется на трёх основных положениях:

· туннелирование ;

· шифрование ;

· аутентификация ;

Передача данных между двумя точками осуществляется пи помощи туннелирования, при этом вся сетевая инфраструктура для источника и приёмника данных является скрытой. Построения туннеля, между сетевыми узлами, достаточно для того, чтобы осуществлять передач данных, что с точки зрения программного обеспечения выглядят, как работав одной локальной сети. Проблема использования туннелирования в «чистом» виде заключается в том, что информация, которая передаётся через туннель, может быть перехвачена злоумышленником, а также возможна модификация передаваемых данных таким образом, что получатель не сможет проверить их достоверность. Данная проблема решается путём использования современных средств криптографической защиты информации, а именно электронной цифровой подписи (ЭЦП).

Использование ЭЦП, для подписания пакетов с данными, позволяет воспрепятствовать внесению несанкционированных изменений. При этом к каждому передаваемому пакету данных добавляется дополнительный блок информации. Этот блок вырабатывается в соответствии с асимметричным крипто алгоритмом и является уникальным для содержимого передаваемого пакета и секретного ключа ЭЦП отправителя. Данный блок информации, добавленный к пакету данных, позволяет получателю, которому известен открытый ключ ЭЦП отправителя, произвести процедуру аутентификацию. Защита передаваемых данных по туннелю, достигается путём использования стойких алгоритмов шифрования, таких как RSA .

Связка «туннелирование + шифрование + аутентификация» позволяет обеспечить хорошую защиту передаваемых данных между двумя точками через сеть общего пользования, моделируя при этом работу защищённой локальной сети. Одной из возможностей VPN является использование стандартной системы адресации, принятой в локальных сетях.

На практике построение виртуальной частной сети выглядит следующим образом. Сервер VPN устанавливается и настраивается в локальной вычислительной сети предприятия, к которой и будет производиться подключение удалённого пользователя. С использованием VPN-клиента, удалённый пользователь осуществляет процедуру соединения с сервером. Далее происходит процедура аутентификация данного пользователя. В случае успешного завершения данной процедуры между клиентом и сервером выполняется настройка безопасности соединения. После этого осуществляется VPN-соединение, которое обеспечивает обмен данными между удалённым пользователем и сервером. Каждый пакет с данными, перед передачей, проходит через процедуры подписания и шифрования. На приёмной стороне осуществляется дешифрование и проверка целостности принятых данных.

Совместимость различных реализаций VPN, осуществляется с использованием разработанных стандартов, к которым относятся наиболее распространенные протоколы PPTP и L2TP. Данные стандарты обеспечивают схожий уровень функциональности, однако поскольку L2TP использует протокол UDP для организации туннеля, он может работать через сети ATM (Asynchroneus Transfer Mode), Frame Relay и X.25. Протокол L2TP обеспечивает более высокую защищенность соединения за счет использования протокола обеспечения безопасности IPSec.

Средства позволяющие организовать VPN-сети, разделяются на аппаратные и программные. Выбор в пользу того или иного решения следует делать исходя из конкретных условий задачи – размера сети, объема трафика, необходимого уровня конфиденциальности и пр.

Аппаратные средства создания защищённого соединения, являются комплексными решениями. Они облегчают интеграцию удалённых устройств через VPN-соединение в локальную сеть предприятия и повышают уровень безопасности. Крупному предприятию в случае необходимости обеспечения защищённого соединения нескольких точек (по схеме route-to-route) лучше всего использовать аппаратные средства фирмы Cisco как наиболее мощный и гибкий вариант. Развивающемуся малому предприятию с одним – двумя региональными представительствами могут подойти маршрутизаторы производства ZyXEL или D-Link. Данные решение существенно дешевле, ипроще в настройке. Они более лояльны к профессиональному уровню системных администраторов, чем маршрутизаторы фирмы Cisco, которые требуют более высоких знаний настройки VPN сервераа. Конфигурирование аппаратных VPN -серверов выполняется через веб-интерфейс, а так же с использованием протокола Telnet (для маршрутизаторов фирмы ZyXEL ), это дает возможность осуществлять тонкую настройку VPN сервера и соединений с ним.

Программные средства реализации VPN-соединения гораздо дешевле аппаратных, но более сложны в настройке серверной части. Большинство современных операционных систем имеют встроенную поддержку VPN-соединения, которое осуществляется по протоколам PPTP или L2TP. Это позволяет уменьшить затратына организацию удаленных рабочих мест сотрудникам. Виртуальная частная сеть с высоким уровнем безопасности также может быть реализована с использованием прикладных программ: OpenVPN, Kerio WinRoute Firewall, Hamachi и др. Они имеют более гибкую настройку, чем средства входящие в состав операционных систем, что позволяет подстроиться под конкретную ситуацию.

Таким образом, использование VPN позволяет решать задачи создания безопасного соединения с удалёнными участками корпоративной сети, с минимальными затратами.

Литература:

1. Грайворонський М.В., Новiков О.М. Безпека iнформацiйно-комун i кац i йних систем. – К.: Видавнича группа BHV , 2009. – 608 c .: i л

2. Стивен Браун Виртуальные частные сети. Лори , McGraw-Hill Companies, 2001 г . - 508 стр.

3. http://www.citforum.ru/nets/articles/razvvpn.shtml

Когда мои начальник попросил меня изучить имеющиеся в продаже продукты для организации виртуальных частных сетей (Virtual Private Network - VPN), я внял его просьбе и узнал о них все, что только было можно, чтобы затем, опираясь на добытую мной информацию, руководство компании могло сделать свой правильный выбор. Я поступил так, как на моем месте поступил бы любой человек с высшим техническим образованием: сел за компьютер, запустил Web-браузер и приступил к работе. Окончив свою “виртуальную одиссею” и еще раз все осмыслив, я сформулировал рекомендации, соблюдение которых, как мне кажется, должно способствовать успешному приобретению VPN-продуктов.
Во-первых, решение о покупке тех или иных продуктов и затраты на их приобретение будут в значительной мере определяться теми приложениями, которые используются в вашей корпоративной сети. Стоимость предлагаемого фирмами-производителями оборудования и программного обеспечения может существенно повлиять на ваше решение о том, покупать ли вам новые средства VPN или попытаться использовать уже имеющиеся. Вам также стоит рассмотреть организацию ВЧС как составную часть общей стратегии наращивания пропускной способности вашей корпоративной сети.
Во-вторых, если вы располагаете средствами на приобретение маршрутизаторов или каких-либо других устройств, то это может существенно упростить многие проблемы внедрения VPN-решений. Изучив функциональные возможности устройств, используемых для связи вашего предприятия с внешним миром, вы будете знать, нужно ли вам купить какое-либо оборудование или следует приобрести лишь дополнительное ПО для уже имеющихся у вас аппаратных средств. Если же вас интересует экономичное VPN-peшение, не требующее больших капиталовложений, то, вероятнее всего, вам придется ограничиться своими собственными серверами и рабочими станциями, предварительно оснастив их свободно распространяемым ПО, поддерживающим VPN-протоколы. Но, честно говоря, я не рекомендовал бы вам экономить на продуктах такого рода - средства, затраченные на них моей компанией на начальном этапе организации ВЧС с лихвой окупились в процессе ее дальнейшей эксплуатации.
Самый надежный путь для организации VPN - приобретение продуктов, максимально отвечающих потребностям ваших пользователей. Но самый верный - приобретение продуктов с возможностями масштабирования, которые потребуются вам при укрупнении сети в будущем. Они обеспечат высокую степень безопасности при передаче данных, т. е. как раз то, что нужно вашим пользователям. Но прежде чем погрузиться в изучение имеющихся на рынке средств VPN, как можно лучше изучите существующую сетевую инфраструктуру своей компании.
Это позволит вам не только выбрать оптимальное для вашей сети решение, но и сэкономить время и деньги.
Многолетний опыт научно-исследовательской деятельности заучил меня не изобретать велосипед там, где на самом деле речь идет лишь о выборе наиболее походящей технологии. К тому же я очень быстро обнаружил, что многие VPN-технологии настолько новы, что плохо описаны в специальной литературе. Это заставило меня обратиться за разъяснениями к документации по некоторым относительно старым продуктам. В конце концов я нашел около десятка решений, принадлежащих разным производителям. Из них я выбрал продукты только тех компаний, которые предоставляют полезную техническую информацию и не забивают людям голову назойливой рыночной пропагандой. Во время многочасовых поисков и чтения интерактивной информации я постоянно встречал ссылки на Web-узлы фирм Cisco Systems и 3Com. Мне понравилось, что обе компании очень подробно объясняют сущность своих VPN-тех-нологий, а всю рекламу относят на конец повествования. Прочитав статьи на этих Web-узлах, я получил довольно глубокое представление о протоколах и физических соединениях, используемых при реализации виртуальных частных сетей. Вместе с тем мне не пришлось терпеть бесконечный рекламный бред о том, какой продукт конкретно является лучшим. Стоит также отметить, что все приводимые в статьях определения и диаграммы отличаются четкостью и лаконичностью (см. ).

Инфраструктура корпоративной сети до внедрения технологии VPN

Готовьтесь к внедрению сети VPN сегодня

Давайте рассмотрим сети, которые не оснащены оборудованием, способным удовлетворить грядущие потребности в VPN-технологиях. Возможно, в вашей сети все еще работают маршрутизаторы и межсетевые экраны, установленные лет семь тому назад, когда ваша компания впервые получила доступ в Интернет. К счастью, в самых последних моделях продуктов сочетаются функции маршрутизации, межсетевого экранирования и VPN. В связи с появлением и широким распространением атак типа “отказ в обслуживании”, а также с возникновением проблем, связанных с возможностью проникновения злоумышленников в корпоративную сеть извне и необходимостью для многих предприятий внедрять ЭК-приложения, становится ясно, что сегодняшние издержки на приобретение современного оборудования с лихвой окупятся завтра. Чтобы облегчить вашу задачу по выбору необходимых вам продуктов VPN, приведем примерный перечень этапов, через которые вам следует пройти, и некоторые вопросы, на которые придется ответить, выбирая VPN-решение для своей компании.

1. Определите задачи, которые будут решаться с помощью сети VPN.

Будет ли ваша сеть VPN использоваться для подключения удаленных пользователей (мобильных сотрудников, связывающихся с сетью главного офиса по телефонной линии через модем, или сотрудников, работающих на дому и использующих для связи с офисом кабельные модемы), соединения отдельных ЛВС вашей компании через частную сеть или сеть общего пользования и/или организации взаимодействия типа “бизнес-бизнес” (требующего высокого уровня защиты передаваемой информации)?

2. Постарайтесь получить как можно лучшее представление о технологии VPN, выясните, какие протоколы используются в вашей сети, и проведите подробный анализ имеющихся на рынке продуктов VPN.

• Проконсультируйтесь со специалистами других компаний.
• Постарайтесь выяснить, действительно ли продукт, который вы собираетесь приобрести, обладает теми преимуществами, за которые вы собираетесь платить деньги (не будет ли менее дорогостоящий продукт функциональнее и производительнее?).

3. Тщательно изучите оборудование и программное обеспечение вашей сети.

• Подойдет ли вам решение, основанное исключительно на программном обеспечении (насколько надежным с точки зрения сетевой безопасности, на ваш взгляд, оно должно быть)?
• Поддерживает ли ваш нынешний маршрутизатор/межсетевой экран технологию VPN?
• Изучите все внутренние сетевые протоколы на предмет поддержки VPN.
• Будут ли продукты, используемые вами сегодня, работать удовлетворительно после внедрения сети VPN?

4. Проведите испытания выбранных продуктов и только потом покупайте их.

• Сначала установите и опробуйте бесплатно распространяемый продукт VPN.
• Собираясь использовать программно-аппаратное решение VPN, попытайтесь приобрести уже готовое комплексное решение.

Знай своих пользователей

Изучая информацию, содержащуюся на Web-узлах, я выяснил, что виртуальные частные сети выполняют две основные задачи. Задача номер один - обеспечение безопасности доступа физически удаленных корпоративных пользователей к корпоративной ЛВС (такую виртуальную частную сеть принято называть ВЧС удаленного доступа - remote-access VPN). Этих удаленных пользователей можно разделить на две группы. К первой группе относятся мобильные пользователи, в частности торговые представители, которые обычно соединяются с корпоративной ЛВС с помощью своих портативных компьютеров и модемов из гостиничных номеров, офисов своих клиентов, да и вообще отовсюду, где есть сети общего пользования. Ко второй группе относятся пользователи, работающие на дому. В их число входят разработчики технической документации, сотрудники, временно покинувшие главный офис, но сохранившие там свои рабочие места, и ic, ми приято предпочитает работать дома вместо каждодневного посещения офиса.
Разница между этими двумя группами пользователей для нас с вами заключается в том, какие устройства используют для связи с корпоративной ЛВС и с какой скоростью они обмениваются с ней данными. Большинство мобильных пользователей подключаются к модемному пулу главного офиса компании через ТфОП, что влечет за собой дополнительные расходы на оплату услуг междугородной телефонной связи. Для регистрации этих пользователей в сети компании имеется служба удаленного доступа (Remote Access Service - RAS). Производительность такой работы далека от оптимальной и подчас приходится отключать некоторые опции системного управления, предусмотренные регистрационными сценариями.
Для нас данная ситуация усугубляется еще и тем, что из-за ограниченных возможностей нашего модемного пула максимальная скорость обмена данными при таком соединении составляет всего 28,8 Кбит/с. Нет нужды говорить, что технология VPN повышает эффективность соединений и частично сокращает расходы компании на междугородные звонки. По всей видимости, работающие на дому пользователи будут соединяться с местным поставщиком услуг Интернет через кабельные модемы, а для защищенного доступа в ЛВС центрального офиса использовать виртуальную частную сеть.
Вторая задача, возлагаемая на виртуальную частную сеть компании, - подключение ЛВС наших клиентов к нашей службе технической поддержки. При этом мы используем хорошо известную всем модель взаимодействия: клиент звонит в нашу службу технической поддержки, работники которой, соединившись с системой клиента по телефонной линии через модем, решают, в свою очередь, возникшие у него проблемы. В данном случае сеть VPN позволила бы нам с помощью Интернет-соединений организовать частную сеть типа extranet, связывающую наших клиентов с офисом. Использование высокоскоростных линий для обмена данными с клиентами и технологии передачи речи по протоколу IP (что в принципе почти полностью исключает необходимость междугородных звонков) реализует исключительно эффективную модель обслуживания. В довершение всего виртуальная частная сеть защищает наши внутренние и клиентские системы от взлома извне.
При организации взаимодействия наших удаленных пользователей с сетью главного офиса компании у нас возникало множество вопросов, ответить на которые было не так-то просто. По меретогокак я все глубже уходил в свои “научные изыскания”, главной темой наших дискуссий становился вопрос о том, какую полосу пропускания должны иметь линии, связывающие наших удаленных пользователей с сетью компании, и каким образом можно обеспечивать ее. Следует ли нам докупать полосу пропускания сверх той, которую обеспечивает нам линия Т1 сети Frame Relay? Сможет ли наш Интернет-провайдер предоставлять услуги всем нашим клиентам, рассредоточенным по всей территории США? Впишется ли сеть VPN в “дикую” инфраструктуру Интернет, отнюдь не гарантирующую выделение требуемой полосы пропускания? Потребуются ли нашим клиентам высокопроизводительные и защищенные соединения? Вопросы возникали один за другим, как опадающие с деревьев осенние листья. Однако ответы на них мы получили значительно позже. А в то время нам необходимо было продолжить свои исследования, примеряя имеющиеся в продаже решения к условиям нашей корпоративной сети.

Инфраструктура корпоративной сети после внедрения технологии VPN

Клиенты, которые подключаются к ЛВС главного офиса компании по телефонной линии, могут использовать ПО VPN фирмы Cisco Systems для связи со службой технической поддержки.
Мобильные пользователи подключаются к ЛВС головного офиса компании по телефонной линии (через модем) или через кабельный модем, обеспечивающий большую скорость передачи данных. На ПК таких пользователей установлено клиентское ПО VPN фирмы Cisco Systems

Знай свою сеть

Определив группы пользователей, которым понадобится сеть VPN, мы приступили к доскональному изучению нашей существующей сетевой инфраструктуры. Результаты моих Web-исследований показали, что при выборе подходящего VPN-решения главенствующую роль играют протоколы, используемые во внутренней сети компании. Все дело в том, что IPsec (IP security) и другие VPN-протоколы совместимы далеко не с каждым сетевым протоколом. Основополагающим моментом здесь является то, что в сети, работающей только по протоколу TCP/IP, можно использовать все технологии VPN. Любое аппаратное или программное YPN-решение, независимо от того, на основе какого протокола оно реализовано, позволяет инкапсулировать TCP/ IP-пакеты. Если ваша сеть основана на протоколе NetBEUI или IPX/SPX и вы планируете пересылать свои пакеты через виртуальную частную сеть, то вам подходит далеко не всякое VPN-реше-ние. Наша сеть работает только по протоколу TCP/IP, поэтому с поддержкой тех или иных протоколов VPN у нас не было никаких проблем.
Просматривая составленный мною список производителей, я стал искать VPN-pe-шения, принадлежащие тем компаниям, чьи продукты уже применяются в нашей сети. Я хотел оценить, нельзя ли использовать их совместно с тем или иным VPN-решени-ем и какова совместимость этих продуктов между собой. Пообщавшись со своим сетевым администратором, я выяснил, что в нашей сети имеется четыре подходящих для такого случая продукта. Совсем недавно наша компания приобрела межсетевой экран PIX производства фирмы Cisco Systems, которая предлагает свое VPN-решение как часть базового ПО PIX. Имеющийся у нас маршрутизатор фирмы Bay Networks (ныне Nortel Networks) входит в состав линии продуктов, включающей в том числе и VPN-решения. В своей корпоративной сети мы используем как серверы Windows, так и разнообразные серверы Unix. Поэтому, по моим подсчетам, полностью программное VPN-решение вполне могло бы удовлетворить наши нужды. Поскольку со временем мы собираемся переводить свои серверы доменов на платформу Microsoft Windows 2000, то необходимую нам сеть VPN можно было бы реализовать на имеющемся у нас сетевом оборудовании.

Сужаем границы поиска

Как выяснилось, наши Unix-серверы практически не имели никакого отношения к администрированию сети. Многие из них представляли собой автономные серверы поддержки программных сред разработки. Если мы остановимся на решении, основанном на используемых в нашей сети серверах, то предпочтение, несомненно, следовало бы отдать Windows-серверам. Наши контроллеры доменов Windows NT смогут выполнять аутентификацию пользователей, в то время как роль серверов Unix по-прежнему не будет заметной. Немаловажным является и тот факт, что наш персонал технической поддержки очень хорошо освоил Windows-серверы и располагает необходимыми информационными ресурсами и списком контактных телефонов, чтобы обращаться за помощью практически по любому вопросу, связанному с ОС Windows NT. Наши возможности разрешения проблем с Unix-серверами были существенно слабее.
С точки зрения функций маршрутизации и межсетевого экранирования продукт фирмы Bay Networks представлял собой относительно устаревшую модель. Если мы нялрлярм его еще и функциями VPN, то это, скорее всего, снизило бы его производительность. Мне также пришлось учесть и то обстоятельство, что в планы руководства входила замена маршрутизатора Bay Networks на маршрутизатор Cisco, которая мотивировалось совместимостью последнего с межсетевым экраном PIX. Технический представитель Cisco, расспросив нас о пропускной способности нашей сети, заверил, что межсетевой экран PIX будет работать в нашей VPN-cpeде просто великолепно.

Тестирование продуктов

После конфигурирования межсетевого экрана PIX (точно по инструкции), мы инсталлировали программное обеспечение Cisco на портативный компьютер одного из наших мобильных пользователей, используя для этого коммутируемое Интернет-соединение. Таким же путем мы установили ПО Cisco и на компьютер пользователя, работающего на дому и связанного с сетью главного офиса через кабельный модем. Компьютеры обоих пользователей работали под управлением ОС Windows 98. Используя в доменных контроллерах Windows NT 4.0 протокол РРТР ( Poin-to-Point Tunneling Protocol), мы встроили ПО VPN фирмы Microsoft в клиент-серверную архитектуру нашей сети. Конфигурирование протокола РРТР осуществляется в несколько этапов, однако не является сложным. При конфигурировании РРТР требуется ввести число сетей VPN, которое, в свою очередь, соответствует числу одновременно устанавливаемых РРТР-соединений, поддерживаемых сервером. Максимальное число портов VPN на один сервер равно 256.
В тестировании клиентского ПО Microsoft участвовали торговый агент, портативный компьютер которого соединялся с главным офисом по телефонной линии, и пользователь, работающий дома через кабельный модем. Устанавливать VPN-протокол на их компьютерах было ничуть не сложнее, чем любой другой сетевой протокол ОС Windows 98. Процедура установки была расписана так подробно, ну прямо как в учебнике. Чтобы быть уверенными в том, что все делается как надо, я “перерыл” всю службу TechNet, база знаний которой содержала абсолютно все сведения, необходимые для успешной инсталляции (см. “VPN-pecypсы в Интернет”).
Оба продукта работали точно так, как и декларировали производители. Но мы не стали задерживаться слишком долго на их испытании. Руководители компании и так получили о них достаточно полное представление. Они узнали, что стоят эти продукты вполне приемлемо и были удовлетворены VPN-решением, как фирмы Cisco Systems, так и фирмы Microsoft, но предложение Cisco понравилось нашему руководству все-таки больше.
Использование в нашей сети VPN-возможностей межсетевого экрана PIX, обеспечивающего высокую степень информационной защиты, имело большой смысл как с точки зрения функциональности, так и с точки зрения затрат. Мы никогда не сомневались в том, что этот экран может хорошо функционировать, да и опыт работы с оборудованием Cisco был у нас предостаточный. В подтверждение слов технического представителя Cisco, производительность PIX оказалась такой высокой, что полностью устранила все проблемы, так или иначе связанные с пропускной способностью. Число удаленных пользователей в нашей компании все еще продолжает расти, но по всем подсчетам наша сеть Frame Relay должна справиться с нагрузкой, ожидаемой в следующем году. Предстоящая замена устаревших маршрутизаторов Bay Networks на более совершенные устройства Cisco тоже обеспечит масштабирование нашей сети в будущем.

А самое главное-то просмотрели...

Я уже, кажется, упоминал о том, что в программный пакет нашего межсетевого экрана PIX вошло и ПО VPN, что также предопределило наш окончательный выбор в пользу решения Cisco. Но по-настоящему этот факт я осознал уже после того, как мои исследования продвинулись достаточно далеко. И я, и наш сетевой администратор полностью упустили из виду эту замечательную возможность, хотя в свое время именно мы занимались конфигурированием межсетевого экрана PIX в нашей сети. Единственный вопрос, на который мы, возможно, не сможем ответить, пока не установим ПО Cisco на все свои удаленные узлы, звучит так: обеспечит ли модернизация имеющегося у нас оборудования приличную производительность сети компании в течение нескольких последующих лет? Я имею в виду оснащение устаревших серверов дополнительными оперативной памятью и жесткими дисками, а также более скоростными сетевыми адаптерами.
Но даже если мы поручимся, что производительность не пострадает, то проблема долговременной масштабируемости модернизированной сетевой инфраструктуры останется не до конца ясной для нас. Мы стараемся предусмотреть различные варианты масштабируемости, обращая внимание на связанные с ними затраты. И мы убеждены в том, что выбранное нами решение будет исправно служить нам на протяжении нескольких следующих лет. Важным результатом для нас является и то, что планируемая замена старого маршрутизатора позволит добавить еще несколько каналов, увеличив тем самым общую полосу пропускания нашей сети. Поэтому расширяемость нашей сетевой инфраструктуры в будущем навряд ли станет уязвимым местом нашей стратегии внедрения сети VPN.
Наверное, вы думаете, что в нашей компании работает очень много специалистов по сетям VPN? Отнюдь нет. Наше окончательное решение оказалось таким удачным лишь потому, что мы выбрали действительно стоящую технологию. Я думаю, что и другие захотят воспользоваться накопленным нами опытом внедрения VPN-решения, творчески используя его для своих нужд.

Cisco Systems" Intranet and Extranet VPN Business Scenarios:
http://www.cJsco.com/univercd/cc/td/cloc/procluct/core/7100/swcg/6342giie.htm

Microsoft Seminar Online - Virtual Private Networking:
http://www.microsoft.com/Seminar/1033/19990930TESSD/Portal.htm

Microsoft TechNet - PPTP Provides Secure Connectivity to Your Corporate Network:
http://www.microsoft.com/TechNet/winnt/Winntcis/Tips/winntmcig/pptpsec.asp

Microsoft Windows NT Server - Remote Access Features:
http://www.microsoft.com/NTServer/commserv/exec/feature/rasfeatures.asp

Nortel Networks Products & Services - Virtual Private Network:
http://www.nortelnetworks.corn/products/Ol/vpn/index.html

Nortel Networks Virtual Private Network - Questions and Answers:
http://www.nortelnetworks.com/products/01/vpn/qa.html

3Com - Powering Virtual Private Networks With 3 Corn eNetworks:
http://www.3com.com/technology/vpn/index.htnii

Virtual Private Networks (VPN/PPTP):
http://www.heimig.com/j_heimig/vpn.htm

Вариант построения VPN на специальных устройствах может быть использован в сетях, требующих высокой производительности. Примером такого решения служат продукты:

· Xedia Access Point 1000. Устройство Access Point 1000 представляет собой высокопроизводительный маршрутизатор для доступа к сети Internet; оно поддерживает ряд IP-услуг, включая передачу трафика в сети Internet по защищенным IPSec-туннелям. Данный маршрутизатор может размещаться как часть службы оператора, например, провайдера услуг Internet, либо как часть инфраструктуры большой корпоративной сети. Обладая мощными средствами обеспечения безопасности, отличной производительностью и возможностями расширения, маршрутизатор Access Point 1000 идеально подходит для работы в качестве интегрированного в VPN маршрутизатора либо в качестве VPN-шлюза в больших информационных центрах. Согласно сайту производителя, его стоимость составляет $19 995 за устройство, а также $1 000 за программный пакет QVPN.

· Lucent VPN Gateway. Межсетевой шлюз Lucent VPN Gateway специально оптимизирован для обеспечения максимальной безопасности. Безопасность обычно достигается за счет некоторого снижения производительности устройства; это отражается в параметрах производительности данного продукта. В отличие от других испытанных VPN-шлюзов, где аппаратное и программное обеспечение находятся в одном корпусе, в данном продукте аппаратное устройство (устройство для доступа к VPN) и ПО (сервер управления VPN-шлюзом, VPN Gateway Management Server) представляют собой отдельные компоненты. Согласно сайту производителя, его цена составляет $21 990; комплект поставки включает два аппаратных модуля Lucent VPN Gateway, программные модули Lucent Security Management Server Software и Lucent IPSec Client, а также лицензию на 100 одновременных VPN-сеансов.

· VPNet VSU-1100. Продукт VSU-1100 представляет собой высокопроизводительный VPN-шлюз для защищённых коммерческих сетевых приложений. Он может применяться крупными предприятиями, создающими собственные VPN, провайдерами сетевых услуг, которые размещают управляемые услуги VPN и провайдерами приложений (ASP- Application Service Provider), оказывающими важные коммерческие услуги (business-critical solutions) корпоративным клиентам. Продукт VSU-1100 поддерживает полный набор VPN-услуг, например, IPSec-шифрование, утвержденное Международной ассоциацией надежности вычислительных систем (ICSA -International Computer Safety Association); сжатие и аутентификацию пакетов; управление ключами с помощью протоколов IKE и протокола IP c ключами защиты (SKIP - Secure Key Internet Protoсol); преобразование сетевых адресов (NAT - Network Address Translation) и цифровые сертификаты. Стоимость составляет $4 995 за один узел, $9 990 за два узла, а многоузловой модуль VPNmanager MultiSite стоит $1 995. Лицензия на один клиентский модуль продается за $99.

· RadGuard cIPro-VPN. Продукт cIPro-VPN фирмы Radguard представляет собой аппаратный VPN-шлюз с мощными механизмами безопасности, который может применяться в сетях intranet, extranet, VPN-коллективного пользования и на безопасных виртуальных частных каналах для мобильных пользователей. Продукт cIPro-VPN использует аппаратный модуль сертификации, и совместим со стандартами IPsec и X.509. Он очень легок в установке и эксплуатации, не требует ни детальных знаний основ информационной безопасности, ни уникальных навыков работы с сетями. Средняя цена равна $14 950 за комплект, включающий в себя два устройства доступа к VPN с функциями межсетевого экрана, а также ПО для сертификации и управления.

Следует отметить, что использование рассмотренного перечня аппаратных средств для построения VPN предполагает большие материальные затраты (более 10000$). Для многих фирм такое решение является неприемлемым. Высокая стоимость этих устройств не является их единственным недостатком. Здесь следует отметить также отсутствие мобильности и возможности смены набора алгоритмов шифрования для передаваемых данных.

Решения на базе сетевой ОС мы рассмотрим на примере системы Windows NT компании Microsoft. Для создания VPN Microsoft использует протокол PPTP, который интегрирован в систему Windows NT. Данное решение очень привлекательно для организаций использующих Windows в качестве корпоративной операционной системы. Необходимо отметить, что стоимость такого решения значительно ниже стоимости прочих решений. В работе VPN на базе Windows NT используется база пользователей NT, хранящаяся на Primary Domain Controller (PDC). При подключении к PPTP-серверу пользователь аутентифицируется по протоколам PAP, CHAP или MS-CHAP. Передаваемые пакеты инкапсулируются в пакеты GRE/PPTP. Для шифрования пакетов используется нестандартный протокол от Microsoft Point-to-Point Encryption c 40 или 128 битным ключом, получаемым в момент установки соединения. Недостатками данной системы являются отсутствие проверки целостности данных и невозможность смены ключей во время соединения. Положительными моментами являются легкость интеграции с Windows и низкая стоимость.

• Vpn на базе аппаратных средств

Вариант построения VPN на специальных устройствах может быть использован в сетях, требующих высокой производительности. Примером такого решения служит продукт c IPro-VPN компании Radguard. Данный продукт использует аппаратное шифрование передаваемой информации, способное пропускать поток в 100 Мбит/с. IPro-VPN поддерживает протокол IPSec и механизм управления ключами ISAKMP/Oakley. Помимо прочего, данное устройство поддерживает средства трансляции сетевых адресов и может быть дополнено специальной платой, добавляющей функции брандмауэра

2. Протоколы vpn сетей

Сети VPN строятся с использованием протоколов туннелирования данных через сеть связи общего пользования Интернет, причем протоколы туннелирования обеспечивают шифрование данных и осуществляют их сквозную передачу между пользователями. Как правило, на сегодняшний день для построения сетей VPN используются протоколы следующих уровней:

Канальный уровень

Сетевой уровень

Транспортный уровень.

2.1 Канальный уровень

На канальном уровне могут использоваться протоколы туннелирования данных L2TP и PPTP, которые используют авторизацию и аутентификацию.

В настоящее время наиболее распространенным протоколом VPN является протокол двухточечной туннельной связи или Point-to-Point Tunnelling Protocol – PPTP. Разработан он компаниями 3Com и Microsoft с целью предоставления безопасного удаленного доступа к корпоративным сетям через Интернет. PPTP использует существующие открытые стандарты TCP/IP и во многом полагается на устаревший протокол двухточечной связи РРР. На практике РРР так и остается коммуникационным протоколом сеанса соединения РРТР. РРТР создает туннель через сеть к NT-серверу получателя и передает по нему РРР-пакеты удаленного пользователя. Сервер и рабочая станция используют виртуальную частную сеть и не обращают внимания на то, насколько безопасной или доступной является глобальная сеть между ними. Завершение сеанса соединения по инициативе сервера, в отличие от специализированных серверов удаленного доступа, позволяет администраторам локальной сети не пропускать удаленных пользователей за пределы системы безопасности Windows NT Server.

Хотя компетенция протокола РРТР распространяется только на устройства, работающие под управлением Windows, он предоставляет компаниям возможность взаимодействовать с существующими сетевыми инфраструктурами и не наносить вред собственной системе безопасности. Таким образом, удаленный пользователь может подключиться к Интернету с помощью местного провайдера по аналоговой телефонной линии или каналу ISDN и установить соединение с сервером NT. При этом компании не приходится тратить большие суммы на организацию и обслуживание пула модемов, предоставляющего услуги удаленного доступа.

Далее рассматривается работа РРТР. PPTP инкапсулирует пакеты IP для передачи по IP-сети. Клиенты PPTP используют порт назначения для создания управляющего туннелем соединения. Этот процесс происходит на транспортном уровне модели OSI. После создания туннеля компьютер-клиент и сервер начинают обмен служебными пакетами. В дополнение к управляющему соединению PPTP, обеспечивающему работоспособность канала, создается соединение для пересылки по туннелю данных. Инкапсуляция данных перед пересылкой через туннель происходит несколько иначе, чем при обычной передаче. Инкапсуляция данных перед отправкой в туннель включает два этапа:

1. Сначала создается информационная часть PPP. Данные проходят сверху вниз, от прикладного уровня OSI до канального.

2. Затем полученные данные отправляются вверх по модели OSI и инкапсулируются протоколами верхних уровней.

Таким образом, во время второго прохода данные достигают транспортного уровня. Однако информация не может быть отправлена по назначению, так как за это отвечает канальный уровень OSI. Поэтому PPTP шифрует поле полезной нагрузки пакета и берет на себя функции второго уровня, обычно принадлежащие PPP, т.е. добавляет к PPTP-пакету PPP-заголовок и окончание. На этом создание кадра канального уровня заканчивается.

Далее, PPTP инкапсулирует PPP-кадр в пакет Generic Routing Encapsulation (GRE), который принадлежит сетевому уровню. GRE инкапсулирует протоколы сетевого уровня, например IPX, AppleTalk, DECnet, чтобы обеспечить возможность их передачи по IP-сетям. Однако GRE не имеет возможности устанавливать сессии и обеспечивать защиту данных от злоумышленников. Для этого используется способность PPTP создавать соединение для управления туннелем. Применение GRE в качестве метода инкапсуляции ограничивает поле действия PPTP только сетями IP.

После того как кадр PPP был инкапсулирован в кадр с заголовком GRE, выполняется инкапсуляция в кадр с IP-заголовком. IP-заголовок содержит адреса отправителя и получателя пакета. В заключение PPTP добавляет PPP заголовок и окончание. На приложении 3 показана структура данных для пересылки по туннелю PPTP. [Приложение 3]

Система-отправитель посылает данные через туннель. Система-получатель удаляет все служебные заголовки, оставляя только данные PPP.

В ближайшем будущем ожидается рост количества виртуальных частных сетей, развернутых на базе нового протокола туннелирования второго уровня Layer 2 Tunneling Protocol – L2TP.

L2TP появился в результате объединения протоколов PPTP и L2F (Layer 2 Forwarding). PPTP позволяет передавать через туннель пакеты PPP, а L2F-пакеты SLIP и PPP. Во избежание путаницы и проблем взаимодействия систем на рынке телекоммуникаций, комитет Internet Engineering Task Force (IETF) рекомендовал компании Cisco Systems объединить PPTP и L2F. По общему мнению, протокол L2TP вобрал в себя лучшие черты PPTP и L2F. Главное достоинство L2TP в том, что этот протокол позволяет создавать туннель не только в сетях IP, но и в таких, как ATM, X.25 и Frame Relay. К сожалению, реализация L2TP в Windows 2000 поддерживает только IP.

L2TP применяет в качестве транспорта протокол UDP и использует одинаковый формат сообщений как для управления туннелем, так и для пересылки данных. L2TP в реализации Microsoft использует в качестве контрольных сообщений пакеты UDP, содержащие шифрованные пакеты PPP. Надежность доставки гарантирует контроль последовательности пакетов.

Функциональные возможности PPTP и L2TP различны. L2TP может использоваться не только в IP-сетях, служебные сообщения для создания туннеля и пересылки по нему данных используют одинаковый формат и протоколы. PPTP может применяться только в IP-сетях, и ему необходимо отдельное соединение TCP для создания и использования туннеля. L2TP поверх IPSec предлагает больше уровней безопасности, чем PPTP, и может гарантировать почти 100-процентную безопасность важных для организации данных. Особенности L2TP делают его очень перспективным протоколом для построения виртуальных сетей.

Протоколы L2TP и PPTP отличаются от протоколов туннелирования третьего уровня рядом особенностей:

1. Предоставление корпорациям возможности самостоятельно выбирать способ аутентификации пользователей и проверки их полномочий – на собственной «территории» или у провайдера Интернет-услуг. Обрабатывая туннелированные пакеты PPP, серверы корпоративной сети получают всю информацию, необходимую для идентификации пользователей.

2. Поддержка коммутации туннелей – завершения одного туннеля и инициирования другого к одному из множества потенциальных терминаторов. Коммутация туннелей позволяет, как бы продлить PPP – соединение до необходимой конечной точки.

3. Предоставление системным администраторам корпоративной сети возможности реализации стратегий назначения пользователям прав доступа непосредственно на брандмауэре и внутренних серверах. Поскольку терминаторы туннеля получают пакеты PPP со сведениями о пользователях, они в состоянии применять сформулированные администраторами стратегии безопасности к трафику отдельных пользователей. (Туннелирование третьего уровня не позволяет различать поступающие от провайдера пакеты, поэтому фильтры стратегии безопасности приходится применять на конечных рабочих станциях и сетевых устройствах.) Кроме того, в случае использования туннельного коммутатора появляется возможность организовать «продолжение» туннеля

второго уровня для непосредственной трансляции трафика отдельных

пользователей к соответствующим внутренним серверам. На такие серверы может быть возложена задача дополнительной фильтрации пакетов.

Также на канальном уровне для организации туннелей может использоваться технология MPLS.

От английского Multiprotocol Label Switching – мультипротокольная коммутация по меткам – механизм передачи данных, который эмулирует различные свойства сетей с коммутацией каналов поверх сетей с коммутацией пакетов. MPLS работает на уровне, который можно было бы расположить между канальным и третьим сетевым уровнями модели OSI, и поэтому его обычно называют протоколом канально-сетевого уровня. Он был разработан с целью обеспечения универсальной службы передачи данных как для клиентов сетей с коммутацией каналов, так и сетей с коммутацией пакетов. С помощью MPLS можно передавать трафик самой разной природы, такой как IP-пакеты, ATM, SONET и кадры Ethernet.

Решения по организации VPN на канальном уровне имеют достаточно ограниченную область действия, как правило, в рамках домена провайдера.

Анита Карве

Аппаратное и программное обеспечение VPN позволяет создавать защищенные соединения с удаленными пользователями, между локальными сетями или партнерами по бизнесу.

Идея создания закрытых соединений через разделяемые сети далеко не нова. Соответствующая технология появилась уже относительно давно. Однако последние достижения сделали VPN проще в понимании и, что, возможно, более важно, проще в развертывании, без опасений нанести ущерб защите.

В прошлом году протокол IPSec был практически всеми принят в качестве основного метода защиты пакетов в туннелях VPN.

IPSec включает, помимо прочего, поддержку обмена ключами (Internet Key Exchange, IKE), формально этот протокол называется ISAKMP/Oakley. Поддержка IKE имеет важное значение, потому что многие IPSec-совместимые продукты используют криптографические ключи для аутентификации устройств в VPN - как клиентов, так и шлюзов. IKE автоматизирует весь процесс согласования, определения момента регенерации и обновления ключей.

Продукты для создания VPN различаются функциональностью, масштабом и конфигурацией. Это могут быть специализированные аппаратные или программные продукты, а также брандмауэры, коммутаторы или маршрутизаторы с функциями VPN. Разнообразие продуктов свидетельствует о той широте возможностей, которые компании имеют при выборе наиболее подходящего для их целей типа VPN. (Основные типы реализаций VPN перечислены во врезке «VPN для всех и каждого».)

Возможно, именно запутанная ситуация на рынке стала причиной того, что отделы ИТ не торопятся брать на вооружение данную технологию. Как показал опрос, проведенный в 1998 году компанией Cahners In-Stat Group (http://www.instat.com ), 40% из числа опрошенных руководителей отделов ИТ еще даже не задумывались о реализации VPN, и только 10% действительно применяют эту технологию.

Эта статья не имеет целью перечислить все, какие только есть, продукты для VPN. Вместо этого упор сделан на рассмотрение продуктов по основным категориям - аппаратные, программные и на базе брандмауэров - и основных игроков в каждой из них. Таким образом, не претендуя на исчерпывающий обзор продуктов, эта статья призвана дать общее представление о том, какие продукты сегодня имеются на рынке и что они могут дать компаниям, которые хотели бы обезопасить потоки трафика, не тратя при этом сумасшедших денег на выделенные линии и дорогостоящее оборудование для глобальных сетей.

АВТОНОМНЫЕ АППАРАТНЫЕ VPN

Как правило, аппаратные продукты надежнее и устойчивее ко взлому, чем программные, к тому же их производительность на операциях шифрования выше. Однако, в то же время, им не хватает гибкости, особенно если дело касается конфигурации, изменений и диагностирования на стороне клиента. Вместе с тем сегодня многие подобные продукты имеют клиентское программное обеспечение и другой управляющий инструментарий, что упрощает внесение изменений.

Семейство продуктов Permit Enterprise от TimeStep (http://www.timestap.com ) в последние несколько лет привлекло к себе значительное внимание. Оно состоит из нескольких компонентов, в том числе аппаратных шлюзов Permit/Gate. Шлюзы представлены тремя моделями: 7520 обеспечивает пропускную способность до 70 Мбит/с, 4520 - до 10 Мбит/с, а 2520 - до 4 Мбит/с. Все они совместимы с IPSec и взаимодействуют с другими поддерживающими IPSec продуктами.

Аппаратные продукты Ravlin от RedCreek Communications позволяют организовать защищенные соединения через локальные и глобальные сети (http://www.redcreek.com ). Ravlin IPSec устанавливается под Windows NT и позволяет шифровать и идентифицировать сетевой трафик с помощью IPSec.

Intel вышла на рынок оборудования для VPN, приобретя в начале этого года компанию Shiva (http://www.shiva.com ). С помощью LanRover VPN Gateway удаленные пользователи, филиалы и партнеры по бизнесу могут защищенным образом обмениваться информацией друг с другом и с главным офисом компании. Шлюз поддерживает множество схем идентификации, в том числе RADIUS, домены Windows NT, маркерную идентификацию и цифровые сертификаты X.509. Он также содержит брандмауэр канального уровня.

Кроме того, Intel предлагает LanRover VPN Express. Этот продукт хотя и предназначен для малого бизнеса, но имеет все функции VPN Gateway.

VPN для всех и каждого

Компаниям, заинтересованным в использовании имеющейся инфраструктуры IP для защищенных коммуникаций с внешним миром, одной какой-либо разновидностью VPN не обойтись. Первое, что компания должна решить, - кто именно будет иметь доступ к сетевым ресурсам по разделяемой сети и где эти люди находятся.

Если в первую очередь компанию интересует предоставление своим сотрудникам доступа к ресурсам из любой точки, то тогда им придется выбирать между двумя видами архитектуры VPN. Одна из них обычно называется виртуальной частной сетью между локальными сетями или между узлами (LAN-to-LAN или site-to-site) и предназначена для создания соединений между двумя офисами, принадлежащими одной и той же компании. Этот тип соединений позволяет заменить дорогостоящие выделенные линии между отдельными офисами и создать постоянно доступные защищенные каналы между ними. Многие компании используют данный вид VPN в качестве замены или дополнения к имеющимся соединениям глобальной сети, таким, как frame relay.

Другая разновидность VPN предназначена для установления соединений с удаленными пользователями. Она заменяет собой коммутируемые соединения и может использоваться наряду с традиционными методами удаленного доступа. В соответствии с этой моделью, работающие на дому и разъездные сотрудники, или даже сотрудники небольших филиалов, могут, позвонив по местному номеру, связаться со своим провайдером Internet и сэкономить таким образом на междугородных звонках. Ряд провайдеров Internet предлагает дополнительные услуги по созданию защищенного соединения на базе IP между провайдером Internet и корпоративной сетью.

Третья разновидность VPN реализуется между корпоративной сетью и внешними партнерами по бизнесу - так называемая сеть Extranet. Она представляет собой идеальный способ совместного использования информации и ресурсов сотрудниками компании, ее поставщиками и заказчиками. По самой своей природе Extranet очень сильно зависима от принимаемых мер контроля доступа. Если удаленные сотрудники могут иметь доступ к значительной части корпоративных сетевых ресурсов, то партнеру следует предоставить весьма ограниченные права. Например, поставщик может иметь доступ только к файлу с информацией по конкретной группе продуктов. Начинать можно с предоставления доступа по VPN удаленным филиалам и пользователям, а затем уже решать, стоит или не стоит давать его и партнерам по бизнесу. Наличие на рынке широкого выбора продуктов должно позволить выбрать стратегию в области VPN в точном соответствии с вашими конкретными требованиями.

Ресурсы Internet

Информация о стандарте IPSec имеется на http://www.ip-sec.com . Хорошая статья о практической реализации VPN опубликована на