Туннелирование на основе специализированных аппаратных средств
Наиболее высокую производительность обеспечивают аппаратные средства защищенного туннелирования. Такие средства чаще всего совместимы с протоколом IPSecи применяются для формирования криптозащищенных туннелей между локальными сетями. Однако оборудование для формирования VPN от некоторых производителей одновременно поддерживает и связь в режиме "удаленный компьютер — локальная сеть". Программы подWindows, обеспечивающие туннелирование данных от удаленного пользователя к локальной сети, поставляют компанииBayNetworks,IsolationSystems,RedCreekиTimestep. Другими производителями средств аппаратного туннелирования являются компанииRadguard,UnifiedAccessCommunications,InternetDevices. Простейший вариант работы аппаратных туннелей — мостовая связь с шифрованием. Такие устройства чаще всего устанавливают на стыке между локальной и глобальной сетью сразу же после маршрутизатора (рис. В.4). Они встраиваются в существующие сети TCP/IP и выполняют автоматическое шифрование заданного трафика. Основное преимущество данного подхода состоит в том, что рабочие станции и маршрутизаторы никаким образом не связаны с формируемым криптотуннелем, а соответственно, их не нужно переконфигурировать при установке VPN. Криптотуннель оказывается совершенно невидимым для всех сетевых устройств. Определить факт шифрования пакетов сообщений на участке сети между устройствами туннелирования можно только с помощью сетевого анализатора, подключенного к этому участку.
Рис. В.4. Схема туннелирования на основе специализированных аппаратных средств
Аппаратные устройства построения VPN отличаются простотой установки и дальнейшего использования. Управление такими устройствами фактически требует решения двух задач: управления ключами через сертификационный центр и управления защищенным туннелированием. Большинство аппаратных устройств построения VPN поставляются вместе с управляющим программным обеспечением, способным функционировать под управлением операционных систем Windows95/98/NT. Такие программы управления обеспечивают выполнение основных защитных функций туннеля и обработку ошибок. Аппаратными туннелями можно управлять централизованно с одного рабочего места. В большинстве средств аппаратного туннелирования сертификационные центры представляют собой программные приложения подWindows. В отдельных продуктах, например вcIPro-VPNот компанииRadguard, за управление ключами отвечает специальное дополнительное устройство. Некоторые аппаратные туннели не способны работать при отсутствии связи с сертификационным центром.
Аппаратные туннели различаются и по своей гибкости. Хороший туннель позволяет администратору указывать, какой трафик следует шифровать, какой пересылать без шифрования, а какой — просто блокировать. Например, изделие cIPro-VPNотRadguardпозволяет устанавливать следующие параметры фильтрации: адреса источника и точки назначения, используемые порты и протоколы, а также любой набор бит вIP-пакетах. Данный продукт, выполняя аппаратное шифрование, обеспечивает пропускную способность до 100 Мбит/с. Устройство с собственными средствами трансляции сетевых адресов можно дополнить платой брандмауэра. Поддерживается протоколIPSec, а также связанные с ним спецификацииISAKMP/Oakleyи Х.509.
В 1998 г. компания BayNetworksприобрела фирмуNewOakCommunications, в результате чего получила многоцелевой аппаратный продуктContivityExtranetSwitch, который кроме создания VPN способен исполнять роль маршрутизатора, брандмауэра, мультиплексора для интерфейсов Т1 или ТЗ, а также диспетчера пропускной способности. Как средство построения VPN, продуктContivityExtranetSwitchподдерживает протоколыL2F, РРТР,L2TPиIPSec. Для проверки полномочий доступа, подлинности ключевой информации и других аналогичных данных, а также распределения ресурсов он может использовать службы каталоговNDS,WindowsNTDirectoryServices,LDAPиRADIUS(RemoteAuthenticationDial-InUserService). В настоящее время этот продукт является одним из наиболее развитых аппаратных средств туннелирования. Кроме того, компанияBayNetworksвключила поддержку VPN в свое семейство концентраторов удаленного доступа.
-