Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Территориальное расширение корпоративных сетей, подключение к ним удаленных пользователей и объединение партнеров требуют создания распределенной сети связи. Технология VPN (virtual private network - виртуальная частная сеть) позволяет эффективно решить эту задачу

Технология VPN обеспечивает связь между сетями, а также между удаленным пользователем и корпоративной сетью с помощью защищенного канала (тоннеля),"проложенного" в общедоступной сети Интернет. Данные, передаваемые по виртуальной частной сети, упаковываются в зашифрованные IP-пакеты. Владельцы VPN-сетей используют различные схемы шифрования и аутентификации, которые обеспечивают защиту данных. Чтобы получить доступ к виртуальной частной сети, зарегистрированные пользователи должны прежде всего подключиться к Интернет по выделенной линии связи или телефонной линии через локального провайдера услуг Интернет.

Виртуальная частная сеть может быть развернута на базе Интернет или построена на инфраструктуре других транспортных сетей: IP, Frame Relay или ATM. Основная масса решений по VPN разрабатывается для IP-сетей, наиболее известная из которых — Интернет. Решения по VPN различных производителей очень разнообразны: от интегрированных многофункциональных и специализированных устройств до чисто программных продуктов.

Существуют четыре основных протокола, используемых для создания VPN-сети: РРТР (Point-to-Point Tunneling Protocol - тоннельный протокол "точка-точка"), L2F (Layer 2 Forwarding - протокол продвижения пакетов на втором уровне), L2TP (Layer 2 Tunneling Protocol - тоннельный протокол второго уровня) и IPSec (IP Security Protocol - протокол, обеспечивающий шифрование пакетов протокола IP).

Преимущества использования VPN

Компания Forrester Research распространила результаты проводившихся исследований, на основании которых стало известно, что 55% корпораций планируют использовать VPN. Причины этого заключаются в наименьшей стоимости VPN-решений по сравнению с другими технологиями, а также гибкости работы VPN-продуктов, базирующихся на протоколе IP.

Кроме того, известны результаты использования VPN-технологий в корпоративных сетях, такие как:
- увеличение уровня продаж, производимых корпорациями изделий;
- ускорение разработки новых продуктов или услуг;
- укрепление отношений со стратегическими партнерами.

Экономические выгоды

До появления VPN распределенные корпоративные сети преимущественно строились с использованием выделенных линий, а также технологий Frame Relay. Согласно результатам анализа, проведенного Forrester Research, стоимость построения корпоративной сети на основе Интернет с применением VPN-технологий    значительно меньше стоимости создания сети на базе арендованных линий или собственных ВОЛС.

В табл. 1 дана стоимость создания корпоративной сети для 1000 абонентов с использованием различных технологий.

Таблица 1. Стоимость создания корпоративной сети для 1000 абонентов с использованием различных технологий.

Основные затраты при использовании VPN приходятся на оплату услуг Internet Service Provider и единовременные расходы на VPN-оборудование.

В условиях, когда число удаленных пользователей или офисов компании увеличивается, а стоимость аренды выделенных линий не снижается, применение технологии VPN становится особенно выгодным. Это подтверждается ин

формацией International Data Corporation: на рынке Интернет-услуг число удаленных соединений, использующихся для работы VPN, растет с каждым годом. Эту тенденцию можно проследить на рис. 1.

Причинами такого быстрого роста количества удаленных соединений является феноменальный успех Интернет (как базы для корпоративных сетей), а также устойчивое увеличение количества мобильных и удаленных пользователей, использующих VPN-технологии.

Стоимость удаленного VPN-дос-тупа для корпоративной сети с 1000 абонентами может быть на 38% дешевле, чем внутренний доступ через арендованные линии (см.табл. 2).

Удаленный доступ обеспечивает надежную и безопасную связь с корпоративной сетью через модемный пул Интернет-провайдера. Применение VPN-доступа уменьшит затраты на:

∙ закупку, монтаж и конфигурирование серверов удаленного доступа и модемов;

∙ сетевое оборудование;

∙ управление клиентским программным обеспечением;

∙ контроль трафика удаленного доступа;

∙ телефонные соединения;

∙ обучение высококвалифицированных сетевых администраторов;

∙ изменение требуемого числа портов доступа при увеличивающемся количестве удаленных пользователей;

∙ линии связи. Основные производители VPN-

продуктов используют для обеспечения безопасности методы шифрования с 56-разрядным ключом, соответствующие стандарту DES. Такая длина ключа обеспечивает достаточно высокий уровень безопасности. Однако для тех потенциальных покупателей, которые считают длину ключа в 56 бит небезопасной, некоторые поставщики VPN-продуктов предлагают шифрование по протоколу Triple DES. Тем не менее следует помнить, что слишком большое увеличение длины ключа снижает производительность, так как чем сложнее алгоритм шифрования, тем более интенсивной вычислительной обработки он требует.

Реализации технологий VPN

Рынок VPN-продуктов в настоящее время развивается очень бурно. Согласно результатам исследований    компании    Infonetics Research, расходы на VPN-продук-ты к 2001 г. достигнут 11,9 млрд дол.

Потенциальным клиентам предлагается широкий спектр оборудования и ПО для создания виртуальных частных сетей: от интегрированных многофункциональных и специализированных устройств до чисто программных продуктов. Интегрированные VPN-решения включают функции межсетевого экрана, маршрутизации и .коммутации. Главное преимущество такого подхода состоит в централизации управления компонентами. Специализированные VPN-системы обеспечивают более высокую производительность, так как шифрование ,в них осуществляется специализированными микросхемами. Чисто программные продукты обеспечивают производительность, достаточную для удаленного доступа.

Рассмотрим отдельно каждый вид VPN-решений:

1. Интегрированные VPN-решения

Для компаний, которым не требуется высокая производительность корпоративной сети, а задача снижения расходов на сетевое оборудование является одной из приоритетных, наиболее эффективным будет интегрированное решение, позволяющее сосредоточить все функции в одном устройстве. При этом все же следует отметить, что чем больше функций исполняется одним устройством, тем чаще становятся заметными потери в производительности.

2. Специализированные VPN-peшения

Высокая производительность -самое главное преимущество специализированных VPN-устройств. Объем вычислений, которые необходимо выполнить при обработке VPN-пакета, в 50-100 раз превышает тот, который требуется для обработки обычного пакета. Если в корпоративной сети проводятся различные мероприятия, требующие обмена большим трафиком данных, то для эффективной обра-батки VPN-пакетов необходимо использовать специализированную аппаратуру.

Специализированные VPN-уст-ройства обеспечивают также высокий уровень безопасности.

3. Программные VPN-решения

VPN-продукты, реализованные программным способом, с точки зрения производительности,конечно, уступают специализированным устройствам, однако обладают достаточной мощностью для реализации VPN-сетей. Следует отметить, что в случае удаленного доступа требования к необходимой полосе пропускания невелики. При создании модемного соединения даже у мобильного компьютера хватает вычислительной мощности, но все-таки программные реализации VPN не могут обеспечить работу на высоких скоростях каналов обмена данными.

Архитектура VPN-сетей

В настоящее время существует несколько типов физических реализации VPN-технологий, каждая из которых характиризуется определенным набором функциональных требований. Можно выделить три основных вида архитектуры применения VPN-продуктов:

∙ Intranet VPN - создание VPN-ceтей между внутренними корпоративными отделами и удаленными филиалами;

∙ Remote Access VPN - создание VPN-сетей, объединяющих корпоративную сеть и удаленных или мобильных служащих;

∙ Extranet VPN - создание VPN-ceтей, объединяющих корпорацию с ее стратегическими партнерами, клиентами и поставщиками. Intranet VPN обеспечивает создание безопасных соединений между внутренними отделами компании и ее филиалами. Основные свойства Intranet VPN:

∙ применение мощных криптографических протоколов шифрования данных для защиты конфиденциальной информации;

∙ надежность функционирования при выполнении критических приложений, таких, как системы автоматизированной продажи и системы управления базами данных;

∙ гибкость управления для более эффективного размещения быстро возрастающего количества новых пользователей, новых офисов и новых программных приложений.

Архитектура Remote Access VPN обеспечивает функционирование корпоративной сети и удаленных (мобильных) пользователей . Ее основные свойства:

∙ мощная система установления подлинности удаленных и мобильных пользователей, которая должна с максимальной точностью и эффективностью провести процедуру аутентификации;

∙ эффективная система централизованного управления для обеспечения высокой степени гибкости при увеличении количества пользователей, работающих с VPN.

Extranet VPN обеспечивает эффективное взаимодействие между корпорацией и ее стратегическими партнерами, клиентами и поставщиками. Для этого потребуется использовать стандартизированные VPN-продукты, гарантирующие способность к взаимодействию с различными VPN-решениями, которые деловые партнеры могли бы применять в своих сетях.

Продолжение статьи с информацией об основных (PPTP, L2F, L2TP, IPsec) и дополнительных (IPPCP, 3DES, VPN toolkit, Certificate authority) протоколах VPN и их поддержке в продуктах различных фирм-производителей - в следующем выпуске рассылки...

В. В. Красавин - независимый эксперт (опубликовано в журнале "Сотовая связь" №16)

Компания Инфотекс - лидер отечественного рынка систем безопасности информации, - объявила о выпуске коммерческой версии аппаратного акселератора шифрования ViPNet [TURBO 100].

Стендовые испытания разработанного продукта показали, что применение акселератора позволяет обеспечить на UNIX - платформе скорость шифрования более 96 Мбит/сек в 100 Мбитной сети и более 100 Мбит/сек - в гигабитной сети.

Эти параметры существенно превышают характеристики любого известного сегодня решения.
Акселератор предназначен для повышения производительности шифрования и увеличения пропускной способности систем, использующих для реализации удаленной туннельной связи локальных сетей или компьютеров программные средства серии ViPNet - оригинальной разработки компании Инфотекс, предназначенной для защиты информации, передаваемой по открытым линиям связи, и организации виртуальных частных сетей (VPN).

Типовые применения криптоакселератора ViPNet [TURBO 100]:

• сервер с базами данных, доступ к которым осуществляется с защищенных ViPNet'ом рабочих станций;
• туннелирующий сервер, защищающий доступ к доверенной ЛВС;
• туннелирующие сервера, обеспечивающие высокоскоростную защищенную связь между ЛВС

Состав аппаратно-программного комплекса:

• Криптоакселератор ViPNet [TURBO 100]
• ViPNet [Координатор]
  Модуль, осуществляющий следующие функции:
  • маршрутизацию защищенных пакетов при взаимодействии объектов сети между собой;
  • регистрацию и предоставление информации о состоянии объектов сети;
  • работу защищенных компьютеров локальной сети в VPN от имени одного адреса;
  • туннелирование пакетов от заданных незащищенных компьютеров локальной сети;
  • фильтрацию открытых пакетов в соответствии с заданной политикой безопасности;
  • осуществляет возможность работы защищенных компьютеров локальной сети через сетевые экраны других производителей.

Программный комплекс ViPNet уже нашел широкое применение на различных предприятиях России.
Выпуск же акселератора ViPNet [TURBO 100], являющегося весомым дополнением к существующим ныне продуктам компании Инфотекс, призван расширить область применения систем ViPNet на отрасли, предъявляющие повышенные требования к скорости передачи и обработки информации.

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.