Построение защищенных виртуальных сетей на основе специализированного программного обеспечения

Для построения защищенных виртуальных сетей широко используются специализированные программные средства. В последнее время появилось достаточно много таких продуктов. Все программные средства построения VPN позволяют формировать защищенные туннели чисто программным образом и превращают сервер, на котором они функционируют, в маршрутизатор TCP/IP, который получает зашифрованные пакеты, расшифровывает их и передает по локальной сети дальше, к конечной точке назначения. Кратко рассмотрим лишь отдельные из них.

Продукты AltaVistaTunnelотDigitalEquipmentиRRAS(RoutingandRemoteAccessService) отMicrosoftподдерживают защищенную передачу данных от одной локальной сети к другой и от удаленного компьютера к локальной сети.AltaVistaTunnelможет функционировать под управлением большинства современных операционных систем —WindowsNT,UNIXBSD/OS,UNIXFreeBSDиDigitalUnix.RRASотMicrosoftработает только под управлениемWindowsNT4.0. Несмотря на то, чтоRRASотMicrosoftвыпускается в качестве бесплатного приложения кWindowsNT4.0, это средство защищенного туннелирования является более развитым продуктом, чемAltaVistaTunnelс минимальной ценой около 1000 долларов. ИспользованиеRRASфактически превращает сетевой сервер в маршрутизатор среднего уровня, поддерживающий протоколы маршрутизацииRIP(RoutingInformationProtocol) иOSPF(OpenShortestPathFirst). Поддерживаются также отдельные функции по фильтрации трафика.

Как показывает практика, при защите потока сообщений между локальными сетями программные системы AltaVistaTunnelиRRASобеспечивают достаточную пропускную способность только в небольших сетях с мало загруженными серверами. Поэтому эти продукты больше подходят для защищенного взаимодействия с локальными сетями удаленных пользователей. Работа с данными системами, особенно сRRAS, позволяет набраться опыта в применении защищенного туннелирования. Их можно запускать на уже существующих серверах, ресурсы которых используются и для других задач. При не слишком интенсивном трафике, особенно при необходимости обеспечить связь с локальной сетью удаленных пользователей, обеспечивается достаточная производительность.

Продукт F-SecureVPNот компанииDataFellowsимеет необычную архитектуру. В состав этого продукта входит своя собственная операционная система. В начале с помощью подсистемы администрирования VPN, функционирующей под управлениемWindows95/98/NT, настраиваются параметры формируемой защищенной виртуальной сети. Затем с помощью этой же подсистемы создаются загрузочные дискеты для компьютеров на базеIntel, содержащие встроенную операционную системуF-SecureVPN. Если на компьютере загрузить операционную систему с такой дискеты, данный компьютер будет функционировать только как специализированнаяVPN-система. Такой подход занимает промежуточное положение между аппаратными и программными средствами построения защищенных туннелей. Это связано с тем, что такие преимущества чисто программной системы, как возможность совместного использования ресурсов и снижения затрат, при использованииF-SecureVPNотсутствуют.

Продукт VPNServerкомпанииAventailв решении задач туннелирования опирается на протоколыSOCKS5 иSSL. Туннелирование выполняют программные посредники, область действия которых распространяется за брандмауэры и завершается в хорошо конфигурируемых и управляемых точках для каждого приложения в отдельности. Такие функциональные возможности наиболее полезны в случае наличия угроз перехвата трафика внутри локальных сетей. VPN на основе протоколаSOCKSзаканчиваются на компьютерах пользователей, а не на брандмауэрах. Поэтому на каждой рабочей станции, выступающей в качестве клиента, должно быть установлено специальное программное обеспечение.