Построение защищенных виртуальных сетей на базе маршрутизаторов

В связи с тем, что маршрутизатор пропускает через себя все пакеты, передаваемые из локальной сети, он может использоваться также для зашифровывания этих пакетов. Кроме того, маршрутизатор может выполнять и функцию расшифровывания криптозащищенного входящего трафика. Поддержка функций построения защищенных виртуальных сетей в настоящее время включается во многие маршрутизирующие и коммутирующие устройства. Лидерами в этой области являются компании CiscoSystemsи 3Com. КомпанияCiscoSystemsвключила в операционную системуIOS11.3 (InternetworkOperatingSystem11.3), разработанную для своих маршрутизаторов, поддержку протоколовL2TPиIP-Sec. ПротоколL2Fстал компонентомIOSеще раньше и поддерживается во всех выпускаемыхCiscoустройствах межсетевого взаимодействия и удаленного доступа. РазработаннаяCiscoSystemsтехнология построения VPN отличается высокой производительностью и гибкостью. Обеспечивается туннелирование с шифрованием для любогоIP-потока, передаваемого в "чистом" или инкапсулированном виде. Защищенный туннель строится на основании заданных адресов источника и назначения, номеров портовTCP/UDPи установленных параметров качества сервисаIP(IPQualityofService). Если в локальной сети уже имеется маршрутизатор с операционной системойIOS, не поддерживающей протоколыL2TPиIP-Sec, можно установить на нем дополнительное программное обеспечение шифрования данных. При необходимости повысить производи­тельность целесообразно воспользоваться производимойCiscoSystemsпла­той расширенияESA(EncryptionServiceAdapter). На ней установлен специализированный сопроцессор для шифрования.

Подобно прочим устройствам шифрования данных, плата ESAне только криптографически защищает информацию, но и предотвращает проникновение злоумышленника в систему, а также реагирует на все подозрительные ситуации. Если просто вытащить плату из маршрутизатора (даже отключив напряжение питания), то на лицевой панели загорится индикатор "Tamper" ("Злоумышленник") и для повторного запуска маршрутизатора понадобится вмешательство обслуживающего персонала. Для повторного запуска маршрутизатора необходимо либо знать пароль, устанавливаемый при первом вводе платы в эксплуатацию, либо быть готовым к тому, что вся ее оперативная память будет очищена. Если вскрыть модульESA, то активизируется специальный выключатель и произойдет очистка оперативной памяти. Шифрование данных на аппаратном уровне позволяет повысить производительность и снижает влияние функций поддержки защищенных туннелей на пропускную способность маршрутизатора.

Как и CiscoSystems, компания 3Com при реализации технологии VPN с самого начала ориентировалась на стандарты. Она является одним из крупнейших производителей концентраторов удаленного доступа, поддерживающих протоколы РРТР иL2TP. Поддержка VPN встроена в ее маршрутизаторыNetBuilderII, продуктыSuperStackIINetBuilderи платформыOfficeConnectNetBuilderPlatform. Сети VPN от 3Com совместимы иIP-Secи разработаны для взаимодействия с внешними каталогами, включаяNovellNDSиWindowsNTDirectoryServices. Компания разработала также программное приложениеTranscendWareSecureVPNManager, основанное наWeb-технологии и предназначенное для контроля загруженности VPN, а также сбора статистики и информации о происходящих событиях. Кроме того, 3Com выпускает инструментарий настройки на базеWeb, позволяю­щий легко создавать криптозащищенные туннели. Еще одним уникальным предложением от 3Com является поддержка коммутации защищенных туннелей. Такая коммутация позволяет туннелю миновать брандмауэр и завершиться в конкретной подсети или даже на конкретной клиентской машине.