Обзор средств построения защищенных виртуальных сетей Общие сведения

Протоколы построения защищенных виртуальных сетей (VirtualPrivateNetwork—VPN) могут быть реализованы сетевыми средствами различных категорий:

• серверами удаленного доступа, позволяющими создавать защищенные туннели на канальном уровне эталонной модели сетевого взаимодействия (модели OSI);

• маршрутизаторами, которые могут поддерживать протоколы создания защищенных виртуальных сетей на канальном и сетевом уровне модели OSI;

• межсетевыми экранами, возможно включающими в свой состав серверы удаленного доступа и позволяющими создавать защищенные виртуальные сети как на канальном и сетевом, так и на сеансовом уровне модели OSI;

• автономным программным обеспечением, позволяющим создавать защищенные виртуальные сети в основном на сетевом и сеансовом уровне модели OSI;

• специализированными аппаратными средствами, ориентированными на формирование защищенных туннелей на канальном и сетевом уровне модели OSI.

Серверы удаленного доступа могут включать функции создания защищенных туннелей при удаленном доступе пользователей к локальным сетям. Эти серверы чаще всего поддерживают протоколы туннелирования РРТР, L2FиL2TP, соответствующие канальному уровню модели OSI. Следует учесть, что не все поставщики серверов удаленного доступа, позволяющих формировать защищенные туннели с удаленными компьютерами, предлагают соответствующее клиентское программное обеспечение. Поэтому, учитывая, что в качестве операционных систем, наиболее часто используемых на компьютерах удаленных пользователей, выступаютWindows95/98/NT, целесообразно выбирать серверы удаленного доступа, поддерживающие протокол РРТР. Данный протокол входит в состав операционных системWindows98/NT. Существует также немало автономных программных средств удаленного доступа, реализующих РРТР дляWindows95. В ближайшее время ожидается переориентация средств удаленного доступа на более совершенный протокол туннелированияL2TP, который, например, уже реализован в операционных системахMicrosoftWindows2000 (NT5.0).

Маршрутизаторы могут поддерживать функции формирования защищенных туннелей по умолчанию или в качестве дополнительной возможности, предлагаемой за отдельную плату. Эти устройства чаще всего ориентируются на создание защищенных виртуальных сетей по протоколам L2F,L2TPиIPSec, соответствующим канальному и сетевому уровням модели OSI. При выборе маршрутизатора в качестве средства создания VPN необходимо обратить внимание на его производительность и загрузку. Если процессор маршрутизатора работает с 80-процентной загрузкой без выполнения функций VPN, то добавление большого числа защищенных туннелей ухудшит прохождение всего трафика. В качестве эффективных средств построения защищенных виртуальных сетей выступают межсетевые экраны (брандмауэры), которые могут включать в свой состав и серверы удаленного доступа. Учитывая, что межсетевые экраны специально предназначены для защиты информационного взаимодействия с открытыми сетями, можно сделать вывод, что при реализации этими устройствами и функций создания VPN обеспечивается комплексная защита информационного обмена. Брандмауэры могут поддерживать любые существующие протоколы построения защищенных туннелей. На канальном уров­не модели OSI могут быть реализованы протоколы РРТР,L2FиL2TP, на сетевом уровне —IP-SecиSKIP, а на сеансовом —SSL/TLSиSOCKS. Важной особенностью межсетевых экранов как средств построения VPN является возможность контроля не только открытого, но и криптозащищенного трафика. Контроль доступа со стороны брандмауэра ко всему трафику, в том числе и туннелируемому, обеспечивает более высокую защиту межсетевого взаимодействия. Такой контроль особенно эффективен, если другую сторону туннеля представляет объект, стратегия защиты которого неизвестна или не внушает доверия. В случае, когда необходим контроль туннелируемого трафика и требуется защищать поток сообщений вплоть до получателя в локальной сети, конечная точка основного туннеля должна находиться на межсетевом экране, который" должен после расшифровки и контроля трафика выполнять обратное зашифровывание пропускаемых пакетов сообщений. Таким образом, одно из преимуществ использования продуктов туннелирования, тесно интегрированных с брандмауэром, состоит в том, что можно открывать туннель, применять к нему правила защиты брандмауэра, накладывать криптозащиту снова и перенаправлять трафик получателям в защищаемой брандмауэром подсети. Но если брандмауэр и без выполнения функций туннелирования обеспечивает низкую пропускную способность, то реализация VPN только усугубит ситуацию из-за необходимости дополнительных вычислений. Для реализации протоколов формирования защищенных туннелей разрабатываются также специализированные программные и аппаратные средства. Программные средства по сравнению с аппаратными устройствами обладают более высокой гибкостью, так как при невысоких денежных затратах обеспечивается возможность модернизации и обновления версий, а также оперативность устранения ошибок. Ряд чисто программных продуктов, функционирующих на соответствующих серверах, может не только создавать защищенные туннели, но и выполнять функции межсетевых экранов, а также кэшировать страницыWeb. Аппаратные средства, которые могут быть как одно-, так и многофункциональными, характеризуются более высокой производительностью. Пограничные многофункциональные аппаратные устройства включают в свой состав маршрутизатор, брандмауэр, средства управления пропускной способностью и средства создания VPN. Подобные устройства, которые можно отнести к комплексным межсетевым экранам, проще обслуживать. Ведь легче использовать один интегрированный пользовательский интерфейс, чем поддерживать и конфигурировать такие отдельные устройства, как маршрутизатор, брандмауэр, VPN и модуль управления пропускной способностью. Однако в многофункциональных устройствах производительность одного приложения зачастую повышается в ущерб другому.

При выборе средств построения защищенных виртуальных сетей необходимо учитывать такие характеристики этих средств, как функциональная полнота, надежность, гибкость, производительность, управляемость и совместимость. Обобщенные достоинства и недостатки средств создания VPN различных категорий представлены в табл. 4.

Таблица 4. Достоинства и недостатки средств создания VPNразличных категорий

Категория	Достоинства	Недостатки
VPN на базе маршрутизаторов	Функции поддержки сетей VPNмогут быть встроены в маршрутизирующие устройства, что не потребует дополнительных расходов на приобретение средств, реализующих эти функции. Упрощается администрирование VPN	Функционирование VPNможет отрицательно повлиять на другой трафик. Канал между получателем информации внутри локальной сети и маршрутизатором может стать уязвимым звеном в системе защиты.
Программное обеспечение VPNдля брандмауэров	Возможен контроль туннелируемого трафика Достигается высокая эффективность администрирования защищённых виртуальных сетей Обеспечивается комплексная защита информационного обмена. Отсутствует избыточность аппаратных платформ для средств сетевой защиты.	Операции, связанные с шифрованием данных, могут чрезмерно загружать процессор и снижать производительность брандмауэра. Если защищённый туннель завершается на брандмауэре, то канал между получателем информации внутри локальной сети и брандмауэром может стать уязвимым звеном в системе защиты. При повышении производительности серверных продуктов аппаратное обеспечение потребуется модернизировать
VPNна базе специализированного программного обеспечения	Возможность модернизации и обновления версий. Оперативность устранения ошибок. Не требуется специальных аппаратных средств.	Администрирование VPNможет потребовать отдельного приложения, возможно, даже выделенного каталога. При повышении производительности серверных продуктов аппаратное обеспечение может потребоваться модернизировать
VPNна базе аппаратных средств	Обеспечивается более высокая производительность. Многофункциональные аппаратные устройства облегчают конфигурацию и обслуживание. Однофункциональные аппаратные устройства допускают тонкую настройку для достижения наивысшей производительности.	В многофункциональных блоках производительность одного приложения повышается зачастую в ущерб другому. Однофункциональные устройства могут потребовать отдельных инструментов администрирования и каталогов. Модернизация для повышения производительности нередко оказывается слишком дорогостоящей или невозможной. Канал между получателем информации внутри локальной сети и аппаратным устройством шифрования трафика может стать уязвимым звеном в системе защиты.

Перспективным протоколом построения защищенных виртуальных сетей является протокол IPSec. Соответственно желательно, чтобы выбираемые средства создания VPN поддерживали данный протокол. Однако при этом необходимо учитывать, что стандартIPSecхарактеризуется недостаточной зрелостью и не гарантирует совместимости решений разных производителей. Разработчики, поддерживающиеIPSec, только приступили к выявлению и устранению проблем несовместимости. Поэтому при выборе соответствующего средства целесообразно запросить у его поставщика отчет о поддерживаемых совместимых продуктах, особенно если в объединяемых локальных сетях используются средства создания VPN разных производителей. Нестандартные схемы туннелирования и алгоритмы шифрования хороши только в том случае, если нет необходимости взаимодействовать с другими системами. Однако с учетом роста масштабности компьютерных сетей вопросы взаимодействия и совместимости становятся приоритетными для любой организации.

Технология построения защищенных виртуальных сетей основана на аутентификации пользователей и криптозащите информации. Наиболее высокая эффективность выполнения данных функций обеспечивается при комплексном использовании асимметричных и симметричных криптосистем. Комплексное применение одноключевых и двухключевых шифров обеспечивается в протоколах туннелирования IPSecиSSL/TLS, которые предполагают наличие инфраструктуры с открытыми ключами (PublicKeyInfrastructure—PKI). Данная инфраструктура, обеспечивающая управление открытыми ключами и аутентификацию пользователей на основе цифровых сертификатов, будет приобретать все большую значимость. Информацию, входящую вPKI, лучше всего хранить в глобальном каталоге, обращаться к которому можно по упрощенному протоколу доступа к каталогу (LightweightDirectoryAccessProtocol—LDAP). Создания новых каталогов для хранения такой информации потребует дополнительных издержек. Поэтому многие производители считают разумным использовать включать содержимоеPKIнепосредственно в другие, уже реализованные, каталоги, например, в каталогиNDSОСNetWare,DirectoryServicesОСWindowsNT. Использование одной службы каталогов, управляющей всей служебной информацией в компьютерной сети, позволяет существенно повысить эффективность администрирования сети и работы конечных пользователей. В центральном каталоге, способном полностью взаимодействовать с другими каталогами и приложениями, должны храниться не только данные, имеющие отношение к политике защиты, но и информация для управления производительностью, а также выделении вычислительных ресурсов.

При выборе средств создания VPN следует также учитывать, что шифрование требует значительных вычислительных ресурсов. Например, обычные серверы класса Pentiumимеют достаточную производительность шифрования для заполнения канала на 10 Мбит/с, но не 100 Мбит/с. Для обеспечения высокой скорости шифрования некоторые производители предлагают специальные аппаратные дополнения к платформе общего назначения. Однако использование специализированных аппаратных устройств снижает гибкость средств построения защищенных туннелей. Поэтому наиболее перспективным решением является реализация алгоритмов скоростной крипто-защиты.