Першу цеглину в стіні VPN

1. Передмова
2. Для чого потрібні VPN?
3. протоколи
4. Реалізація
5. Захист інформації
6. Що потрібно для побудови VPN?
7. VPN-appliances класу Small Office Home Office
8. висновок
9. Трохи про сумне

Огляд пристроїв VPN початкового рівня

Передмова

Предагаем Вашій увазі матеріал відкриває цикл робіт по огляду ринку VPN. Наведена тут інформація покликана допомогти мережевим фахівцям зорієнтуватися у величезному різноманітті програмних і апаратних рішень, що пропонуються різними компаніями. Ця стаття присвячена найбільш дешевим "коробочним" реалізацій VPN - т.зв. VPN-appliances, що належать до класу SOHO (Small Office Home Office), т. Е. Призначеним для роботи з малими мережами.

Однак, перш ніж перейти безпосередньо до огляду, давайте трохи поговоримо про те, що ж таке VPN, кому і навіщо це потрібно.

Автор приносить свої вибачення читачам за те, що він не в змозі детально зупинитися на теоретичну сторону обговорюваної теми через її об'ємності. Щоб компенсувати можливі прогалини, автор пропонує посилання на інші роботи і статті, в яких детально розбираються вживаються тут спеціальні терміни.

Отже, перейдемо до справи.

Для чого потрібні VPN?

Уявімо, що нам необхідно об'єднати кілька локальних мереж LAN (local area network), причому мережі ці розділені географічно: вони розташовані в різних будівлях, а можливо і в різних містах. Традиційне рішення: WAN (wide area network) - прокладка або оренда виділених ліній, що з'єднують локальні мережі.

Тепер припустимо, що крім цього нам потрібно забезпечити віддалений доступ в WAN групі мобільних користувачів, постійно переїжджають з місця на місце. Традиційне рішення в цьому випадку - додати в нашу мережу сервери RAS (remote access service), для того, щоб клієнти могли отримати доступ до мережевих ресурсів по телефонних лініях.

Якщо кількість мобільних клієнтів зростає, ми змушені збільшувати число телефонних портів RAS.

Але як бути, якщо одна з мереж розташована на іншому континенті? Як бути, якщо мобільним клієнтам необхідний доступ в нашу мережу з будь-якого місця планети? Оренда міжконтинентального кабелю для створення WAN обійдеться в цілий капітал. Мобільні користувачі змушені здійснювати дорогі міжміські та міжнародні дзвінки. Неминуче виникає питання, а чи існує інше рішення, більш дешеве, але настільки ж зручний і технічно реалізоване?

Виявляється, так. Таке рішення існує. При сьогоднішньому розвитку Інтернету все більше і більше цікавим стає використання загальнодоступних публічних мереж як основи для створення безпечних і надійних каналів, що зв'язують наші мережі і забезпечують доступ до них окремим користувачам, постійно змінює своє географічне розташування. Ми говоримо про VPN (Virtual Private Networks) - приватних віртуальних мережах.

VPN має ряд очевидних переваг. Перш за все, приватні віртуальні мережі істотно дешевше WAN, особливо при використанні в міжнародних компаніях. По оцінкам Infonetics Research , наведеним тут , Вартість реалізації VPN майже в три рази менше витрат на WAN.

Використовуючи VPN, ми вже не платимо за кабельні лінії, що з'єднують локальні мережі. Тепер для створення каналів між LAN ми використовуємо Інтернет, що коштує набагато дешевше.

У випадку з мобільними клієнтами ми також економимо, істотно зменшуючи кількість телефонних ліній RAS. У деяких випадках ми можемо обійтися взагалі без сервісу віддаленого доступу з використанням телефонних ліній. Мобільним клієнтам не потрібно робити міжміські дзвінки. Натомість, їм достатньо скористатися послугами найближчого Інтернет-провайдера.

Бажають розібратися в фінансовий бік справи можуть звернутися до FAQ , В яких детально розглядається економічний ефект використання VPN. Нас же цікавить технічна сторона проблеми.

Очевидно, що використання публічних мереж як транспорту для передачі інформації між локальними мережами не може бути безпечним, якщо інформація передається у відкритому вигляді. Використовуючи Інтернет, ми не в змозі контролювати ні маршрут, ні кількість осіб, які могли мати доступ до нашими даними, ні їхні наміри або дії. Питання захисту інформації при роботі з публічними мережами виходять на перший план.

VPN передбачає комплексні рішення в області захисту даних. Перш за все, передана інформація передається в зашифрованому вигляді. Для ідентифікації адресата і відправника застосовуються спеціальні заходи. І нарешті, перевіряється, що дані не були змінені під час руху по публічних мереж, помилково або зловмисно.

Отже, побудова VPN передбачає створення захищених від стороннього доступу тунелів між декількома локальними мережами та / або віддаленими клієнтами. Для створення і обслуговування подібних тунелів необхідні спеціальні протоколи, програмне забезпечення, специфічне обладнання.

протоколи

Сімейство мережевих протоколів для реалізації VPN досить широко, однак лише три з них отримали широке поширення. Це IPSec, PPTP і L2TP.

IPSec - Internet Protocol Security - вже був детально розглянутий на даному сайті в статті Станіслава Коротигіна.

PPTP - Point-to-Point Tunneling Protocol - створений зусиллями Microsoft, US Robotics і ряду інших розробників. Протокол описаний творцями в цієї і цієї роботах.

L2TP - Layer 2 Tunneling Protocol - гордість "мережевого монстра" - Cisco. Більш детальну інформацію про нього можна почерпнути тут і тут .

Особливості, недоліки і переваги кожного з протоколів - це окрема і дуже велика тема, яка виходить за рамки цієї статті. Необхідно відзначити, що по ряду причин найбільш поширеним протоколом VPN в даний час є IPSec. Понад 65 відсотків приватних віртуальних мереж створені на його основі. Тому в цей раз ми будемо говорити лише про апаратно-програмних рішеннях, в яких IPSec є основним.

Реалізація

Для технічної реалізації VPN, крім стандартного мережевого обладнання, нам необхідний шлюз VPN (VPN Gateway). Він виконує всі функції по формуванню тунелів, захисту інформації, контролю трафіку, а нерідко і функції централізованого управління.

Захист інформації

Захист інформації в розумінні VPN включає в себе кодування (encryption), підтвердження справжності (authentication) і контроль доступу (access control). Кодування має на увазі шифрування переданої через VPN інформації. Прочитати отримані дані може лише володар ключа до шифру.

Найбільш часто використовуваними в VPN-рішеннях алгоритмами кодування в наш час є DES , Triple DES і різні реалізації AES . Ступінь захищеності алгоритмів, підходи до вибору найбільш оптимального з них - це теж окрема тема, яку ми не в змозі обговорити.

Підтвердження достовірності включає в себе перевірку цілісності даних та ідентифікацію осіб та об'єктів, задіяних в VPN. Перша гарантує, що дані дійшли до адресата саме в тому вигляді, в якому були послані. Найпопулярніші алгоритми перевірки цілісності даних на сьогодні - MD5 і SHA1 .

Ідентифікація - це процес посвідчення того, що об'єкт дійсно є тим, за кого / що він себе видає. Тут, крім традиційних схем ім'я - пароль, все більше і більше активно використовуються системи сертифікатів і спеціальних серверів для їх перевірки - CA (Certification Authorities). Такі сервери є, як правило, частиною систем PKI (Public Key Infrastructure). Популярні нині PKI, наприклад Verisign або Entrust , Можуть обслуговувати сертифікати і ідентифікувати їх власників по протоколах HTTP і LDAP ( X.509 ). Крім того, для ідентифікації можуть бути використані біометрія, незмінні характеристики обладнання (наприклад, MAC-адреси) або спеціальні ідентифікаційні комплекси ( Tacacs, Radius ).

Контроль трафіку на меті визначення та управління пріоритетами використання пропускної смуги VPN. З його допомогою ми можемо встановити різні пропускні смуги для мережевих додатків і сервісів в залежності від ступеня їх важливості.

Що потрібно для побудови VPN?

Перш за все, шлюз - VPN Gateway. У нашому випадку досить придбати в однієї з фірм-виробників зовсім готове до роботи пристрій, що вимагає для початку роботи лише підключення до LAN, Інтернету і, можливо, мінімального конфігурації.

Для невеликих мереж і адміністраторів, котрі мають великий досвід роботи з VPN, це рішення є найбільш зручним і ефективним.

Перейдемо безпосередньо до огляду.

VPN-appliances класу Small Office Home Office

ADI -1000

американська фірма Assured Digital пропонує своє комплексне рішення для реалізації VPN початкового рівня під ім'ям ADI -1000 .

Розробники називають цей пристрій мережевим комутатором (switch) з можливостями VPN. Воно має 2 інтерфейсу Ethernet зі швидкістю 10 Mbit / sec.

Відомості про кількість підтримуваних VPN-тунелів суперечливі. На сайті розробників стверджується, що ADI -1000 може підтримувати до 16 незалежних IPSec тунелів. Однак незалежні експерти говорять всього лише про 4 тунелях.

Серед криптографічних алгоритмів, використовуваних в даному рішенні, названі DES і Triple DES, а також MD5 і SHA-1 в якості алгоритму перевірки цілісності даних. Пристрій уміє працювати з сертифікатами та PKI по протоколу X.509v3.

Виробник пропонує також як окремий продукт: програму - менеджер для управління і адміністрування. Керувати роботою ADI-1000 можна за допомогою GUI-інтерфейсу або з командного рядка.

Вартість ADI -1000 становить $ 1700.. Система особливих знижок дозволяє в деяких випадках знизити ціну на 10-25%.

Cisco 1720 VPN Router

Всесвітньо відомий виробник величезної кількості мережевих пристроїв Cisco також вніс свій внесок - Cisco 1720 VPN Router . Як випливає з назви, це роутер початкового рівня з VPN-розширенням.

Роутер має стомегабітний Ethernet-інтерфейс і від двох до п'яти serial-інтерфейсів для підключення до WAN. Управління VPN і роутером в цілому здійснюється за допомогою Cisco IOS® - спеціальної операційної системи, створеної Cisco. На мій смак, вона могла бути і трохи зручніше. Відсутність інтуїтивно зрозумілого і доступного GUI - відмінна риса всіх роутерів Cisco, в тому числі і обговорюваного нами.

Можливості VPN радують. Підтримуються DES, Triple DES MD5, SHA-1, а також CA і сертифікати з використанням X.509v3.

Однак деякі експерти відзначають низьку продуктивність роутера при роботі з VPN.

Ціна залежить від комплектації і починається з суми близько $ 1000..

Intel Express 8205 VPN Broadband Router

фірма Intel іменує своє рішення для створення VPN класу SOHO Intel Express 8205 VPN Broadband Router .

Роутер з можливостями VPN може бути використаний з ADSL, SDSL, IDSL, ISDN і кабельними з'єднаннями. До локальної мережі він підключається c допомогою Ethernet - інтерфейсу на швидкості до 100 Mbit / sec.

Максимальна пропускна здатність роутера при роботі з VPN не перевищує 1.3 Mbit / sec при роботі з 3DES. Не можу втриматися від спокуси навести з цього приводу цитату. З властивим фірмі Intel гумором на сайті розробників відзначається, що така видатна продуктивність досягається завдяки потужній архітектурі Intel:

The powerful Intel Express Router architecture delivers outstanding VPN throughput that enables up to 1.3 Mbps with 3DES encryption.

Число незалежних VPN-тунелів не перевищує 50-ти.

Крім 3DES роутер вміє працювати з DES і морально застарілим RC4, також MD5 і SHA-1.

До серйозних недоліків треба віднести неможливість роботи з PKI і LDAP, а також відсутність якої б то не було підтримки мобільних VPN-клієнтів.

Ціна невелика і складає $ 899.

Avaya VPN Firewall Brick 80

Рішення, яке пропонує Avaya Inc. , Називається просто: "цегла" - VPN Firewall Brick 80 .

Це мережевий міст з функціями VPN Gateway і firewall, оснащений 4-ма 100 Mbit / sec Ethernet портами.

Виробник з гордістю відзначає, що в США цей пристрій сертифіковане NSA і американською армією.

"Цегла" працює з DES, 3DES, RC4, MD5, SHA1, цифровими сертифікатами. Підтримує до 400 одночасних IPSec-тунелів. Пропускна здатність для шифрованого трафіку становить не більше 8 Mbit / sec.

Керувати роботою "цегли" можна за допомогою Java-інтерфейсу.

Пристрій продається також і під маркою Lucent .

Дистриб'ютори пропонують його за ціною від $ 2800 до $ 2900.

Travlin Ravlin

фірма RedCreek Communications® Inc. пропонує досить цікавий недорогий продукт з кумедним ім'ям Travlin Ravlin .

Пристрій має 2 інтерфейсу Ethernet і вбудований модем V.90; крім функцій VPN працює як firewall. У ньому реалізована концепція dial-on demand: зв'язок з Інтернетом, а отже і VPN, встановлюється тільки при необхідності. За задумом виробників це повинно істотно економити телефонні рахунки і оплату послуг Інтернет-провайдера.

Travlin Ravlin підтримує DES, 3DES, MD5, SHA1, працює з сертифікатами по протоколу X.509.

Особливо високої продуктивності очікувати не доводиться, про кількість одночасно підтримуваних тунелів інформації немає.

Ціна становить $ 700.

NetScreen-5XP

Пристрій американської фірми NetScreen Technologies, Inc. має два Ethernet-інтерфейсу зі швидкістю 10 Mbit / sec, вбудовані VPN і Firewall. Може обробляти до 10 IPSec-тунелів одночасно.

Стверджується, що пристрій може працювати з шифрованих VPN трафіком на швидкості до 10 Mbit / sec. Це один з кращих показників в даному класі пристроїв для малого офісу.

Підтримуються всі поширені різновиди цифрових сертифікатів: DES, 3DES, MD5, SHA1, а також набирає популярність AES. Працює з клієнтом VPN, який виробники продають як окремий програмний продукт

Вартість залежить від кількості ліцензованих користувачів і коливається в межах $ 500 - $ 1000..

3com OfficeConnect NetBuilder Firewall 25 + VPN upgrade

3com Corp. продає пристрій NetBuilder Firewall 25 з опцією VPN-розширення.

Програмний VPN-модуль здатний підтримувати до 10 IPSec-тунелів з криптографією на основі DES, 3DES, RC4, MD5, SHA-1. У комплекті доданого програмного забезпечення є VPN-клієнт. Як і у випадку з Intel, підтримка сертифікатів відсутня.

Для з'єднання з LAN і WAN використовуються 2 Ethernet-порту з пропускною спроможністю 10 Mbit / sec. Дані про пропускну здатність VPN-трафіку відсутні.

Ціна комплекту з VPN-модулем становить близько $ 1000..

Nokia IP55

В рамках мережевих рішень для малого офісу фірма Nokia пропонує цілий ряд продуктів. Ми розглянемо лише один з них - Nokia IP55.

Цей пристрій має 4 інтерфейсу Ethernet 100 Mbit / sec і один інтерфейс ADSL для з'єднання з WAN. Як програмне забезпечення обраний Firewall1 / VPN1 Small Office - продукт відомої компанії-розробника в області VPN - Checkpoint Software Technologies .

Як і інші реалізації Checkpoint VPN1 , Nokia IP55 підтримує DES, 3DES, AES, MD5, SHA1, працює з усіма видами сертифікатів, включаючи LDAP.

Щоб керувати VPN і пристроєм в цілому використовується WEB-інтерфейс. Nokia відзначає високою ефективність і продуктивність пристрою, що використовує потужний RISC-процесор, проте конкретні цифри відсутні, як і дані про кількість одночасно оброблюваних IPSec-тунелів.

Вартість складає приблизно $ 1200, включаючи ліцензію на 25 користувачів.

PDS 2000 Security Appliance Series

Ще одна розробка із серії рішень VPN, створених на базі Checkpoint VPN1 , Належить фірмі Intrusion.com і називається PDS 2000 Security Appliance .

Також, як і в попередньому випадку, підтримуються DES, 3DES, AES, MD5, SHA1, цифрові сертифікати. Та ж можливість управління через Web-інтерфейс.

Однак "залізне" втілення, звичайно ж, інше. різні варіанти PDS 2000 мають від двох до трьох портів Ethernet, один порт Serial і 2 USB порту.

Вартість складає приблизно $ 1500..

Firebox ™ SOHO

Ця симпатична червона коробочка зроблена фірмою WatchGuard Technologies, Inc .

Як вже видно з назви, вона несе в собі не тільки функції VPN, але і Firewall.

Для підключення до мереж використовуються 5 портів Ethernet, здатних працювати на швидкості до 100 Mbit / sec.

Як VPN-gateway пристрій здатний обслуговувати 5 одночасних IPSec-тунелів типу gateway-to-gateway і стільки ж тунелів client-to-gateway. Підтримується DES, 3DES, MD5, SHA1. Максимальна пропускна здатність для шифрованого IPSec-трафіку з використанням 3DES становить 1.3 Mbit / sec. PKI і цифрові сертифікати не підтримуються.

Вартість складає $ 900 в максимально можливій комплектації.

SonicWALL SOHO2

Це пристрій виробляє фірма SonicWall . Спочатку воно призначене для захисту локальної мережі в якості firewall'а, а функції VPN-gateway доступні як апгрейд.

Для з'єднання з LAN і WAN є два порти Ethernet 100 Mbit / sec.

Підтримуються лише DES, 3DES і MD5, немає можливості працювати з сертифікатами та PKI.

Вартість з урахуванням VPN upgrade становить близько $ 1300..

InstaGate EX2

Ще одне цікаве рішення належить фірмі eSoft Inc. і називається InstaGate EX2 .

Згідно зі специфікацією, пристрій з пропускною спроможністю до 20 Mbit / sec підтримує Triple DES, MD5 і SHA. Залежно від комплектації є два або три 100-мегабітних порту Ethernet. Крім функції VPN-Gateway прилад працює ще і як Firewall.

На жаль, не підтримується підтвердження автентичності з використанням цифрових сертифікатів.

Ціна становить близько $ 950 в мінімальній комплектації.

висновок

Незважаючи на велику кількість розглянутих пристроїв, складно зробити якісь висновки, крім, мабуть, одного. Створюється враження, що ринок шлюзів VPN класу SOHO не склався як окремий, незалежний сегмент ринку рішень VPN. Немає єдиних підходів ні до цінової політики, ні до функціональних характеристик продуктів.

Як Не дивно, це Цілком зрозуміло. У вікорістанні VPN потребують більш Великі компании, з чисельністю штаб-квартирами та офісамі в різніх містах або даже странах, бізнес якіх пов'язаний з роз'їздамі. Для таких спожівачів VPN-послуг пристрою класу SOHO могут існуваті як частина Загальної организации мереж. В цьому випадку при виборі конкретного рішення для малих офісів на перший план виходить не вартість, і навіть не технічні характеристики приладів, а можливість їх інтеграції в рамках єдиної інфраструктури корпоративних приватних мереж.

Трохи про сумне

Драматичні зміни, що відбуваються в області високих технологій з середини 2000 року, не оминули й ринок VPN. За останні п'ять років цей ринок розвивався дуже бурхливо. Ми були свідками яскравого успіху деяких фірм, цікавих ідеологічних і технічних рішень. На жаль, падіння інвестицій і зменшення попиту завдало всім гравцям на полі VPN важкий удар, який не всі виявилися в стані витримати. Деякі компанії просто закрилися, як наприклад, ізраїльська фірма RadGuard з її блискучими мережевими пристроями, але слабким менеджментом. Інші стали жертвою дуже агресивної політики великих корпорацій, усуває молодих і небезпечних конкурентів з ринку шляхом їх придбання або злиття. так, Cisco придбав Compatible Systems и Altiga . Lucent купив фірму Xedia , а Nokia - компанії Ramp и Network Alchemy . Зовсім недавно дочірнє підприємство Lucent'a Avaya стало власником нині закритої компанії VPNet Technologies .

Все це не робить становище споживача простіше, а наявні на ринку пропозиції дешевше і ефективніше. Хочеться сподіватися, що рано чи пізно нинішні тенденції зміняться, і ми побачимо не тільки нові імена, але і нові продукти, які, хто знає, можуть змінити світ мереж і навіть наше уявлення про можливе в цьому світі.

прикладна програма - зведена таблиця характеристик шлюзів VPN класу SOHO.