Секреты виртуальных частных сетей

Майк Фратто

Считается, что, используя виртуальные частные сети (Virtual Private Networks — VPN), можно решить ряд коммуникационных проблем предприятий — безопасную передачу корпоративных данных через Интернет, предоставление удаленным пользователям, где бы они ни находились, контролируемого мультипротокольного доступа к корпоративным ЛВС, а партнерам и клиентам — доступа к определенным информационным ресурсам внутри предприятия.

VPN реализуются между аппаратными или программными компонентами (конечными точками) удаленных ЛВС или пользователей. Конечные точки передают данные через защищенные шифрованием соединения. VPN могут связывать удаленных пользователей и удаленные ЛВС в логические сети с помощью сетей общего пользования, подобных Интернет, которые в этом случае будут функционировать как магистрали для туннелирования данных из одной конечной точки в другую. VPN позволяют защитить каналы дальней связи с удаленными пользователями, филиалами и торговыми партнерами. Пользователям и сетевым администраторам кажется, что географически удаленные узлы VPN непосредственно и постоянно подключены к их ЛВС. На самом же деле туннели создаются лишь тогда, когда это требуется, и прекращают свое существование, как только перестают быть нужными, что обеспечивает значительную экономию полосы пропускания сетей.

Поскольку трафик VPN может проходить через сети общего пользования, для защиты корпоративных данных в VPN необходимо применять эффективные методы шифрования и аутентификации. Более того, вероятность преднамеренных и непреднамеренных утечек информации в вашей внутренней сети тоже может быть сведена к минимуму посредством VPN. Например, использование VPN для связи отдела кадров и бухгалтерии позволит защитить информацию о сотрудниках предприятия.

Как концептуальная сетевая модель частные виртуальные сети обещают многое. Беда в том, что технологий, претендующих на то, чтобы быть основой для сетей VPN, почти столько же, сколько и проблем, решаемых с их помощью. К числу таких технологий относятся IPSec-совместимые и IPSec-несовместимые решения; сети VPN на основе межсетевых экранов (firewall); протоколы удаленного доступа для VPN, такие, как Point-to-Point Tunneling Protocol (PPTP), Layer 2 Forwarding (L2F) и Layer 2 Tunneling Protocol (L2TP); фирменные решения, например VTCP/Secure компании InfoExpress или Bay DVS компании Bay Networks.

Мы рассмотрели несколько продуктов для VPN, чтобы выяснить, как различные воплощенные в них технологии сетей VPN определяют и реализуют эти сети, и в каких схемах корпоративных сетей и систем безопасности эти продукты могут быть использованы. Из числа продуктов, поддерживающих стандарт IPSec, мы протестировали Ravlin 10 и Ravlin 4 фирмы RedCreek Communications, PERMIT Security Gateway фирмы TimeStep и устройство VSU-1010 VPN Service Unit фирмы VPNet Technologies; из не поддерживающих IPSec — клиент VPN 2.0 Autosocks фирмы Aventail, средство VTCP/Secure фирмы InfoExpress и реализацию Point-to-Point Tunneling Protocol (PPTP) фирмы Microsoft. VPN на основе межсетевых экранов были представлены продуктами FireWall-1 фирмы Check Point Software Technologies и PIX Firewall фирмы Cisco Systems. И наконец, продукты для коммутируемых VPN были представлены LanRover AccessSwitch фирмы Shiva, Bay DVS компании Bay Networks, L2F-совместимым AS5200 фирмы Cisco и поддерживающей PPTP-сервис службой RAS в составе Windows NT фирмы Microsoft.

Наше обычное сравнительное тестирование мы не стали проводить, а просто устанавливали перечисленные выше продукты в распределенной сети журнала , создавали сети VPN и запускали в них такие приложения, как FTP и HTTP. В первую очередь нас интересовало, как продукты, в которых реализованы различные технологии VPN, осуществляют аутентификацию, шифрование и удаленное управление.

Мы обнаружили, что они обеспечивают разный уровень сервиса, сильно различаются своими возможностями и что единое решение, которое могло бы отвечать всем сетевым потребностям предприятий, просто отсутствует, хотя, конечно, некоторые продукты имеют заметные преимущества перед другими. Чтобы помочь вам открыть для себя секреты виртуальных частных сетей, мы в данной статье проанализируем основные технологии VPN и определим степень важности их использования как составных частей стратегии защиты данных на предприятии.

Полный вариант статьи см. в журнале "Сети и системы связи" № 3/1998