Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Введение

В словаре по телекоммуникациям Гарри Ньютона виртуальная частная сеть (Virtual Private Network, VPN) определяется как частная сеть связи, где в качестве магистрали используется общедоступная глобальная сеть. Как правило, сеть VPN реализуется программными средствами поверх совместно используемой сети (например, эксплуатируемой одним оператором) и предоставляет все функциональные возможности и преимущества выделенной частной сети, но при меньших затратах.

Пусть это и не самое элегантное начало статьи про VPN на базе IP, но, возможно, самое надежное. В последние несколько лет не раз звучали, подобно заклинанию, предсказания о грядущем господстве сетей VPN на базе IP (IP VPN) — виртуальных частных сетей, основанных на использовании протокола IP и присущих ему транспортных функций. Говорилось, что IP VPN — ключ к сетевым технологиям XXI века; что они дадут возможность создавать сколь угодно большие сети Extranet, сети для электронной коммерции и сети для провайдеров услуг по поддержке приложений (Application Service Provider, ASP), а также, что они будут служить основой для большинства высокоскоростных бизнес-сервисов. Такое представление о сетях VPN, как о некоторой панацее на все случаи жизни привело к тому, что определения данному понятию даются самые разнообразные. В результате, несмотря на наличие реально существующих сетей IP VPN, нет достаточно четкого понимания, что они собой представляют.

Сейчас, пожалуй, самое удобное время пролить свет на эту загадочную технологию, поскольку сервис-провайдеры начали предлагать конечным пользователям новый способ предоставления услуг VPN: IP VPN на базе сети (network-based IP VPN). Такие VPN функционируют в пределах границ сети провайдера — от центрального офиса (Central Office, CO) или точки присутствия (Point of Presence, POP) до другого CO или POP, а пользователь связан с сетью провайдера обычным (не поддерживающим VPN) каналом связи. Не считая стандартного маршрутизатора, заказчику не требуется устанавливать у себя никакого дополнительного оборудования (Customer Premises Equipment, CPE). Особая привлекательность данной идеи заключается в том, что она позволяет провайдерам реализовать всю логику управления VPN в своей сети и не заниматься настройкой и обслуживанием дорогостоящего CPE на месте. Кроме того, квалифицированные технические специалисты — наиболее ценный ресурс предприятия, поэтому большинство заказчиков хотят, чтобы всю головную боль по обслуживанию сети брал на себя провайдер, а собственный технический персонал занимался «стратегическими» проектами. К тому же во многих организациях просто нет специалистов, хорошо владеющих технологиями сетевой безопасности и VPN. Предполагается, что VPN на базе сети позволит избавиться от целого клубка проблем, связанных с установкой и обслуживанием нового оборудования, возникающих всякий раз, когда к сети подключается новый пользователь.

У заказчика же появляется возможность достаточно недорого подключить к VPN с одинаковым набором функций все имеющиеся у него офисы и даже всех надомных работников. Провайдерам данное обстоятельство тоже выгодно, поскольку они могут значительно сократить расходы, используя ограниченный набор оборудования маршрутизации трафика для тысяч заказчиков.

Согласно прогнозам консалтинговой компании Cahners In-Stat, несмотря на то, что рынок VPN на базе оборудования заказчика сохранится, к концу 2001 г. на американском рынке будут доминировать VPN на базе сети (т. е. аутсорсинг услуг VPN). А по оценкам IDC (International Data Corp.), мировой рынок услуг IP VPN к 2004 г. вырастет по сравнению с сегодняшним днем с 2 до 17,6 млрд долларов. Возможно, эти цифры выглядят слишком оптимистично, однако некоторые аналитики предсказывают еще более внушительные результаты. Пока же можно с уверенностью утверждать лишь то, что провайдеры должны убедить сообщество пользователей рассматривать аутсорсинг услуг VPN как серьезную альтернативу более традиционным подходам. Требования заказчиков к уровню безопасности и контроля остаются высокими. Как можно ожидать, провайдеры будут пытаться заманить пользователей многочисленными дополнительными услугами, динамическим формированием услуг и выделением ресурсов для них, а также возможностью контролировать производительность сети. Если провайдеры справятся с этим, крупные организации могут склониться к тому, чтобы частично или полностью перейти на аутсорсинг услуг по обеспечению безопасности (как правило, у них имеется достаточное количество собственных технических сотрудников для обслуживания корпоративной VPN). Организации небольшого и среднего размера, по всей видимости, будут использовать аутсорсинг для большей части услуг VPN, в то время как крупные компании будут сочетать собственные VPN с теми или иными услугами, предоставляемыми провайдерами, в зависимости от их назначения и важности (см. рис.1).
Рисунок 1. Рост доходов на рынке IP VPN.

Данная статья посвящена услугам VPN нового поколения. Мы рассмотрим различные типы услуг VPN, поддерживаемые ими приложения, их сильные и слабые стороны, а также расскажем, что можно ожидать от них в будущем. Мы также обсудим некоторые примеры реализации этих новых услуг и посмотрим, что сейчас предлагают провайдеры.

ТРИ ВИДА VPN

Исторически сложились три различных варианта IP VPN. Раньше других услуги IP VPN начали предоставляться на базе frame relay. Стремящимся в мир IP-сетей провайдерам услуг frame relay приходилось заниматься сложным процессом конфигурирования постоянных виртуальных каналов (Permanent Virtual Circuit, PVC) и настройкой приложений Extranet, а заказчики видели только подключенный к сети Ethernet маршрутизатор и логику функционирования на канальном уровне. Поддержка высокого качества услуг (QoS), как правило, не составляла проблемы, однако необходимость ручной настройки PVC между различными офисами при каждом изменении топологии сети заказчика превращала организацию связи «всех со всеми» в слишком сложную задачу (см рис.2). «И хотя другие виды VPN на базе IP тоже зачастую с трудом справляются с данной задачей, VPN на основе frame relay находились в этом смысле в наихудшем положении», — отмечает Эрик Хиндин, аналитик из The Yankee Group, в недавно опубликованном отчете «Возрождение рынка IP VPN уже не за горами».
Рисунок 2. Управляемые VPN на базе frame relay. Источник: The Yankee Group, 2000 г.

Значительно большей популярностью пользуются традиционные услуги VPN на базе CPE, в которых маршрутизаторы доступа к VPN и другие необходимые средства устанавливаются и обслуживаются на территории заказчика. В таких маршрутизаторах для установления связи через Internet или частную магистраль обычно используется протоколы PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer-2 Tunneling Protocol) или IPSec. В зависимости от потребностей своей сети заказчики могут выбирать и устанавливать у себя устройства разных типов: маршрутизаторы IP VPN, специально предназначенные для туннелирования; стандартные маршрутизаторы, оснащенные программной логикой VPN; шлюзы IP VPN, работающие с внешними маршрутизаторами; устройства IP VPN для небольших офисов, а также межсетевые экраны, функционирующие как шлюзы IP VPN (см. Рисунок 3).

Третьим основным типом VPN является IP VPN на базе сети. В этих VPN вся логика функционирования, управление, защита и функции, которые составляют основу сети VPN конкретного заказчика, реализуются в точке присутствия провайдера. А поскольку весь «интеллект» VPN в этом случае находится в сети провайдера, заказчику требуется установить у себя только простой стандартный маршрутизатор. Таким образом, VPN «выносится» в сеть провайдера и развертывается внутри ее границ, а пользователь подключается к ней через обычный канал связи.
Рисунок 3. Услуги IP VPN на базе CPE.

Маршрутизация в VPN на базе сети может осуществляться двумя различными способами. При первом способе используются протоколы Multiprotocol Label Switching (MPLS) и Border Gateway Protocol (BGP), так что пограничные маршрутизаторы провайдера могут прокладывать через сети виртуальные каналы MPLS, по которым передается трафик от различных офисов, самой сети Internet и сетей других провайдеров. (Заметим, что стандартизация MPLS еще не завершена, поэтому оборудование разных производителей имеет различные варианты реализации этого протокола, и их совместимость пока под вопросом.) На рис. 4 показана IP VPN на базе сети, в которой используются протоколы MPLS/BGP.
Рисунок 4. IP VPN на базе сети с использованием MPLS/BGP.

Второй способ маршрутизации в IP VPN на базе сети реализуется с помощью протоколов PPTP, L2TP или IPSec, устанавливающих туннели между маршрутизаторами на границе сети провайдера (см. рис.5).
Рисунок 5. Второй вид реализации IP VPN на базе сети.

КОММУТАТОР IP-УСЛУГ

Для реализации новых услуг необходимы новые продукты. Создание VPN на базе сети становится возможным благодаря коммутатору IP-услуг (IP Services Switch). Почему именно IP? Потому что этот протокол стал фактическим стандартом для телекоммуникационных приложений, работающих в сетях VPN. Кроме того, VPN часто прокладываются через Internet или по частной IP-магистрали: связь «все со всеми» достигается с помощью настройки маршрутизаторов внутри сети, а не с помощью дорогостоящих выделенных PVC для каждого двухстороннего соединения. Коммутаторы IP-услуг располагаются на границе сети в узле или точке доступа провайдера и обеспечивают всю логику функционирования VPN для тысяч различных пользователей или групп пользователей.

Фактически, на основе этих коммутаторов обычно формируются «виртуальные частные маршрутизаторы», т. е. коммутатор делится на тысячи логически самостоятельных мини-маршрутизаторов, каждый из которых обслуживает VPN конкретного пользователя, имея собственные таблицы маршрутизации и логику функционирования, так что каждый пользователь получает свою «личную часть» маршрутизатора (а в действительности его программного обеспечения). Таким образом, виртуальные маршрутизаторы могут поддерживать настраиваемые функции маршрутизации (такие, как QoS, туннелирование и обработку очередей по приоритетам), а также различные протоколы маршрутизации (BGP, OSPF и т. д.), применяемые на магистралях. (Виртуальная маршрутизация является совершенно отдельной темой, и очень важной, поскольку в данной области был достигнут весьма существенный прорыв, и она может послужить ключом к реализации действительно экономичных и масштабируемых VPN. К сожалению, объем статьи не позволяет раскрыть этот вопрос более подробно, однако вы можете самостоятельно просмотреть материалы компании Crescent Networks, чтобы ознакомиться с подробностями их новой технологии Dense Virtual Routed Networking.)

Вдобавок ко всему, эти коммутаторы поддерживают разнообразные технологии доступа (frame relay, ISDN, коммутируемый, DSL, кабельный и беспроводной доступ) и выполняют функции управления и агрегирования трафика абонентов перед его передачей в магистраль. Регулирование трафика производится обычно путем хранения динамической информации о данном конкретном трафике и требованиях пользователя к производительности в дополнение к другим запрашиваемым услугам.

Рынок коммутаторов IP-услуг оценить в целом довольно трудно, поскольку одни компании больше сфокусированы на обслуживании абонентов, другие — на IP VPN. И эти сегменты рынка перекрываются. В прошлом бесспорным лидером по количеству клиентов (как традиционных операторов (Incum-bent Local Exchange Carrier, ILEC), так и альтернативных операторов (Compe-titive Local Exchange Carrier, CLEC)) была компания Redback. Но сейчас она отстает в предоставлении услуг VPN — пока не завершена интеграция приобретенной ею компании Abatis Systems, которая обеспечивает сквозную VPN-систему с возможностями адаптации, защиты и контроля соглашений по уровню сервиса (Service Level Agree-ment, SLA). Посмотрим, удастся ли Redback вернуть себе лидирующие позиции, когда процесс интеграции будет завершен. Одна из новых компаний, Amber Networks, также громко заявила о себе, предлагая решения пограничного агрегирования с высокой степенью масштабируемости.

В секторе оборудования для IP VPN на рынке сейчас доминируют три производителя: Nortel Networks (благодаря приобретению компании Shasta Networks), CoSine Communications и Lucent Technologies, которая купила Springtide Networks. Разные группы аналитиков считают лидером рынка Nortel или CoSine, как по количеству клиентов, так и по объему продаж. Эти производители специализируются на высокоуровневых услугах IP — от VPN до межсетевых экранов и других средств защиты. Компания Ennovate Networks также имеет мощную платформу для оказания дополнительных услуг VPN, но пока не может догнать «большую тройку» по доле присутствия на рынке. Недавно образовавшаяся компания Quarry Technologies также специализируется на поддержке масштабируемых сетей VPN, обеспечивая шифрование и QoS на гигабитных скоростях и, кроме того, ряд других услуг, запрашиваемых пользователем. Unisphere, подразделение Sie-mens, получило платформу для VPN в результате приобретения компании Redstone, но до сих пор заказчики использовали ее главным образом для агрегирования каналов DSL (Digital Subscriber Line). Компания Ellacoya Networks в большей степени сосредоточена на поддержке расширенных услуг и приложений через VPN и, строго говоря, не может считаться игроком на рынке VPN. Тем не менее ее оборудование располагается на границе сети и выполняет многие функции коммутатора IP-услуг. На этом рынке также появились компании Assured Access и NorthChurch/Newbridge (купленные Alcatel), а также Integral Access.

РАЗМЕР ИМЕЕТ ЗНАЧЕНИЕ

Эволюцию технологии VPN лучше всего оценивать по стоимости внедрения и обслуживания каждого решения, а также по их масштабируемости и управляемости. Ниже мы рассмотрим основные «за» и «против» каждого подхода.

Frame relay. К положительным моментам относится хорошее понимание этой технологии; многие провайдеры полностью возместили свои затраты на внедрение frame relay, поэтому стоимость оборудования была амортизирована, а операционные процедуры четко налажены. Пользователи доверяют данной технологии, поэтому провайдерам не нужно прикладывать много усилий, чтобы продать им эти услуги. Однако IP VPN на базе frame relay не могут помочь провайдерам поддерживать пользовательские приложения электронной коммерции, удовлетворить потребности в организации сетей Extranet и в распространении VPN на надомных сотрудников и мобильных пользователей. И это представляет серьезную проблему. Несмотря на то что использование frame relay остается самым простым и быстрым способом организации VPN, компания The Yankee Group прогнозирует весьма незначительный рост в данном сегменте рынка до 2005 г.

IP VPN на базе CPE. Сети IP VPN, для организации которых используется оборудование, установленное у заказчика, лучше подходят для поддержки географически распределенных пользователей и сложных сетей заказчика. Провайдер может модернизировать и заменять оборудование для поддержки новых заказчиков или технологий по мере необходимости. Этот подход также популярен среди пользователей, которые предпочитают, чтобы обслуживанием сети занимался провайдер. И именно в этом состоит главный минус. Для обслуживания VPN на базе CPE требуется много времени и квалифицированных специалистов, и такой отток ресурсов не позволяет провайдерам расширять свои услуги до массовых масштабов.

Тем не менее The Yankee Group прогнозирует для данной разновидности VPN устойчивый рост в будущем, хотя и несколько меньший, чем предсказывается производителями. К причинам подобного положения дел, похоже, можно отнести недостаточную реальную потребность в расширенных возможностях VPN, таких, как приложения удаленного доступа, Extranet и электронная коммерция. До сих пор для большинства функций Extranet пользователи полагались на встроенные средства защиты браузеров, использующих протокол SSL (Secure Sockets Layer). Другие же ждали, когда победит один из стандартов туннелирования. Эта ситуация должна измениться, поскольку сети IP VPN стали более надежными и простыми в управлении. Еще одним фактором является сложность реализации PKI в IP VPN. Большинство провайдеров обеспечивает лишь ограниченную поддержку PKI, теряя из-за этого пользователей, которым необходимы средства защиты более высокого уровня, и, фактически, заставляя их идти другим путем. И, конечно, большие усилия по-прежнему прилагаются к обеспечению в общедоступном Internet качества обслуживания (QoS). Лучшим решением можно считать использование частной IP-магистрали и оборудования CPE, с поддержкой распределения трафика по приоритетам и резервирование пропускной способности.

IP VPN на базе сети. Хотя IP VPN, использующие MPLS/BGP, обеспечивают простой переход от сетей на базе frame relay к их разновидности на базе IP, операторов не оставляют сомнения относительно организации IP VPN на базе сети провайдера в целом. «Создание IP VPN на базе сетей рассматривается многими сервис-провайдерами как решение, слишком сильно отличающееся от того, что они делали в прошлом, и в некоторых случаях — как слишком специализированное», — говорит Хиндин из The Yankee Group. Пользователи тоже настроены скептически, боясь положиться на единственного провайдера и отказаться от проверенного подхода — распределения услуг и устройств. VPN на базе MPLS/BGP являются исключением, пользуясь почти единодушным признанием как пользователей, так и провайдеров.

Однако IP VPN на базе сети популярны у провайдеров не только потому, что обладают лучшей масштабируемостью и управляемостью, но и потому, что поддерживают давно ожидаемые дополнительные дифференцированные услуги — от межсетевого экранирования до антивирусной защиты, кэширования и т. д. «Прежде всего провайдеры должны объяснить корпоративным заказчикам, что им дает решение на базе сети по сравнению с традиционным подходом, использующим CPE, — полагает Джефф Филлипс, старший консультант компании TeleChoice. — Если говорить о длительной перспективе, то основной моделью будет VPN на базе сети. Для провайдеров это вопрос масштабируемости и экономии, а также способ реализации QoS. Нелегко обслуживать тысячи/миллионы единиц CPE, а решение на базе сети позволит им работать более масштабно».

Потребность в услугах VPN на базе сети обеспечит быстрый рост рынка VPN, годовой доход от которого, по прогнозам The Yankee Group, превысит к 2000 г. 5 млрд долларов. Почему? VPN на базе сети больше подходят для небольших и средних организаций, а также зданий, где расположено много офисов и есть спрос на приложения Еxtranet.

ОПРЕДЕЛИТЕСЬ С ПРИЛОЖЕНИЯМИ

Как известно, правильный выбор VPN для сети определяется не только количеством пользователей и помещений, которые необходимо поддерживать, но и типом приложений, которые предполагается использовать. (В мире VPN к таким приложениям относятся удаленный доступ, сети Intranet и Extranet, межофисное расширение локальной сети, а также доступ мобильных пользователей.) Например, нет смысла отказываться от frame relay, если вам требуется только связь «точка-точка» между небольшим числом офисов. Но если необходимо соединить несколько сетей Intranet, то предпочтительным решением является IP VPN на базе MPLS/BGP. По словам Хиндина, это упростит конфигурирование и обеспечит сквозную поддержку QoS. Другие варианты VPN слишком сложны в конфигурировании и гарантируют QoS в лучшем случае только на границе сети.

Что касается реализации Extranet, то VPN на базе сети представляются наиболее предпочтительным выбором, поскольку установка CPE в нескольких помещениях партнеров является дорогостоящим и трудно контролируемым делом. При использовании же VPN на базе сети, надо лишь установить в офисах пользователей стандартные маршрутизаторы. Для приложений удаленного доступа нет однозначной рекомендации (ни VPN на базе CPE, ни VPN на базе сети еще не доказали своей надежности в поддержке большого количества пользователей), однако VPN на базе сети представляются хорошим решением, когда требуется поддержка некоторой комбинации указанных приложений, поскольку они могут обеспечивать разные виды услуг и интерфейсов.

ЗНАКОМЫЕ И НЕКОТОРЫЕ НОВЫЕ ЛИЦА

Согласно исследованию The Yankee Group, в 1999 г. лидерами на рынке услуг VPN на базе CPE являлись компании UUNET и Genuity. На рынке VPN на базе frame relay впереди были Infonet и Equant. Но самую быстрорастущую и наиболее популярную услугу VPN на базе сети предоставляет — сюрприз! — компания AT&T, чья услуга Frame Relay с поддержкой IP (IP Enabled Frame Relay) получила высокие оценки как аналитиков, так и пользователей. Не стоит заблуждаться относительно названия: это всего лишь обеспечиваемая провайдерами услуга на базе MPLS, пользующаяся большой популярностью у пользователей frame relay. MCI WorldCom ответила конкурирующим решением, предложив свой вариант VPN на базе сети и MPLS под названием Business-class IP service. Ожидается, что Global One и Qwest Communications вскоре представят аналогичные предложения.

Среди провайдеров-новичков особого внимания заслуживают Qwest и SAVVIS Communications. Ожидается, что Qwest вскоре предложит широкий спектр услуг VPN на базе сети. Компания SAVVIS, хорошо известная своей высокопроизводительной магистралью, агитирует за свою услугу Intelligent IP Networking. Эта услуга примечательна тем, что вместо традиционного подхода, в основе которого лежит общедоступный Internet, она использует частную магистраль провайдера, поэтому SAVVIS может обеспечить лучший контроль за производительностью и безопасностью. С июня 2000 г. более 100 новых абонентов заказали у SAVVIS межофисные соединения, причем количество офисов, как правило, варьировалось от 5 до 20. И хотя эти первые клиенты главным образом относятся к категории SMB (небольшие и средние компании), SAVVIS считает свою систему достаточно мощной, чтобы поддерживать самые крупные организации. SAVVIS использует сеть IP, функционирующую поверх магистрали ATM и оснащенную 27 устройствами Nortel/Shasta, установленными в Северной Америке, Европе и Азии.

Сегодня мы становимся свидетелями того, как в результате давления на горизонтальном рынке многие провайдеры преобразуют свои подразделения в отдельные телекоммуникационные компании, занимающиеся почти исключительно предоставлением услуг IP VPN. Например, такие компании, как Pilot Network Services и Aventail, специализируются на услугах IP VPN в сочетании с сетевой интеграцией и обеспечением защиты преимущественно для приложений электронной коммерции.

Другие провайдеры собираются предоставлять сквозные соединения через несколько сетей с обеспечением максимально возможного уровня QoS. Хорошим примером является компания InterNAP, имеющая солидных партнеров среди провайдеров Internet и точки доступа к своей частной сети, которые обеспечивают лучшую маршрутизацию и производительность, чем такие же точки доступа к общедоступным сетям с обслуживанием по мере возможности. Достойны внимания также начинающие компании, такие, как CoreExpress и SmartPipes. CoreExpress строит свою собственную магистраль на базе терабитных маршрутизаторов с поддержкой MPLS, которые будут обрабатывать трафик между провайдерами Internet и провайдерами услуг IP VPN. Каждый такой провайдер будет иметь на своей точке присутствия устройство управления сетью для обеспечения сквозного выполнения SLA. После этого CoreExpress надеется начать предоставление полномасштабных услуг IP VPN розничным провайдерам.

Компания SmartPipes использует довольно оригинальный подход. Она имеет систему конфигурирования услуг в качестве внешнего интерфейса для перепродажи услуг IP VPN других провайдеров и позиционирует себя как оперативный партнер по обработке заказов и как провайдер управляемых сетевых услуг, а в конечном счете хочет стать полномасштабным продавцом всех видов услуг Extranet и других дополнительных услуг VPN. «Бизнес-модель компании SmartPipes имеет смысл, — считает Хиндин. — Она охватывает те области, которые представляют ценность для заказчиков, подобно провайдерам услуг IP VPN, предоставляющим услуги по интеграции и обеспечению безопасности».

Тем не менее, пока SmartPipes не начнет обеспечивать соединение через сети провайдеров или не будет предоставлять эффективных услуг управления сетью, пользователи могут чувствовать себя не очень комфортно, покупая у реселлера услуги, основанные только на способности SmartPipes конфигурировать их.

Дуг Аллен – зам. главного редактора Network Magazine. С ним можно связаться по электронной почте по адресу: dougallen@cmp.com. (опубликовано в журнале "Открытые Системы", #03/2001)

Окончание статьи в следующем выпуске рассылки...

Руководством Главного управления безопасности связи ФАПСИ утверждено Заключение (2/5/2-292 от 20.04.01) о соответствии средства криптографической защиты информации (СКЗИ) "Домен-К" требованиям к средствам криптографической защиты конфиденциальной информации.

В соответствии с указанным заключением следует, что:

1. СКЗИ "Домен-К" удовлетворяет "Требованиям к средствам криптографической защиты конфиденциальной информации по классам КС1 и КС2" при выполнении требований нормативных документов

2. СКЗИ "Домен-К" разрешается эксплуатировать до 1 мая 2004 года.

3. Для использования СКЗИ после указанного срока, фирма "Инфотекс" до1 мая 2003 года должна установленным порядком заказать работы по проведению контрольных тематических исследований.

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.