НОВЫЕ ТЕХНОЛОГИИ
Экономичность Internet зачастую перевешивает потенциальный риск, и многие компании обращаются к услугам виртуальных частных сетей
Едва ли не каждый день приносит нам сообщения о покушениях на стабильность и безопасность Internet, но и они не в силах отвратить бизнес-пользователей от Сети. Компании все чаще обращаются к этой рентабельной передающей среде для проведения внутренних операций, главным образом посредством виртуальных частных сетей (ВЧС).
Сравнение огромных счетов за связь с филиалами по арендованным международным линиям и расценок на доступ в Internet делает последнюю весьма привлекательной, даже несмотря на присущие ей многочисленные серьезные недостатки. Сказывается и перспектива использования Internet-технологий во внутренних сетях корпораций (отсюда возник термин intranet). Вместо частных протоколов, таких, как SNA, корпоративные пользователи все чаще обращаются к TCP/IP.
Конечно, в центре внимания остаются вопросы безопасности. Сегодня вокруг стандартов в этой области все еще ведутся жаркие баталии, но уже можно выделить несколько достаточно закрепившихся технологий, способных защитить секретные данные даже в общедоступных каналах глобальной Internet.
Меняется и точка зрения компаний. Анализ возможных путей утечки информации показывает, что внутренний враг может оказаться гораздо опаснее врага внешнего.
Степень использования Сети как средства внутренних коммуникаций зависит в конечном счете от двух факторов: готовности компании пойти на риск и способности ее служащих справиться с дополнительной нагрузкой.
Вторжение ВЧС во внутрикорпоративные сети
Идея организовывать в Internet виртуальные частные сети и использовать их для связи между удаленными ЛВС возникла недавно, но быстро получила признание. В результате появились и стремительно обретают зрелость, одновременно становясь проще в использовании, технологии защиты внутренних узлов, например с помощью брандмауэров или шифрующих устройств, сходных с маршрутизаторами.
За истекший год большинство производителей брандмауэров выпустили расширения для ВЧС, позволяющие шифровать и дешифровать весь трафик, пересылаемый в определенные адреса.
Первые продукты для ВЧС могли работать лишь в том случае, если на обоих концах канала связи были установлены брандмауэры одного типа. Но появился новый стандарт IPsec (IP Security Protocol - протокол обеспечения безопасности в IP-сетях), и положение начало меняться. Теоретически сегодня не составляет особого труда подключить к ВЧС сеть нового партнера или только что приобретенной компании, если только их брандмауэры и маршрутизаторы поддерживают этот протокол. Но на практике дело обстоит несколько по-иному, поскольку совместимость продуктов различных производителей пока проверена недостаточно.
Брандмауэры - не единственное средство защиты внутренних ЛВС. В этой области с ними конкурируют самые разнообразные устройства, начиная от автономных продуктов по типу "черного ящика", таких, как NetFortress фирмы DSN, до старых добрых маршрутизаторов. Например, фирма Cisco разработала для последней версии своей операционной системы Internetwork Operating System Version 11.2 средства шифрования трафика, выполненные в виде добавочных продуктов. Какой из перечисленных технологий отдать предпочтение? В первую очередь той, которая совместима с уже установленным сетевым оборудованием.
Нельзя забывать и о производительности системы, так как шифрование возлагает на нее дополнительную нагрузку. Если маршрутизатор или брандмауэр и без того работает на пределе своих возможностей, лучше заменить его на более совершенный.
Если во всех узлах корпоративной сети установлены совместимые системы шифрования, развертывание ВЧС не составит особого труда. Администратор каждого узла с помощью программных средств ВЧС создает индивидуальный ключ (или электронную подпись), который затем записывается на диск и передается на другие узлы. Теперь для установления закрытой связи по сети достаточно вставить полученную дискету в дисковод и выбрать соответствующий пункт меню.
Для каждого удаленного узла функции безопасности следует настраивать в отдельности. Комбинация ВЧС с маршрутизаторами и брандмауэрами позволяет учесть индивидуальные особенности защиты каждого узла, выполняя конфигурацию на уровне пакета. Например, при подключении к внутренней сети субподрядчика целесообразно ограничить его права доступа, сделав открытыми лишь отдельные системы.
ВХОД ПО ПРИГЛАШЕНИЯМ
Переход конечных пользователей корпоративной ЛВС с традиционных серверов удаленного доступа на Internet устраняет необходимость в поддержании огромных пулов модемов и большого числа телефонных линий. Однако он же вызывает множество проблем администрирования.
При работе с удаленными пользователями, рассеянными по различным точкам, самой трудной задачей становится управление ключами. Конечно, если ВЧС имеет всего два узла, обменяться ключами совсем не сложно. Но представьте себе, что нужно переслать индивидуальные ключи сотням служащих, работающих на дому, - здесь впору хвататься за голову.
К счастью, в последнее время появились новые возможности защищенного доступа удаленных пользователей через Internet. Протоколы Point-to-Point Tunneling Protocol корпорации Microsoft и Layer 2 Forwarding фирмы Cisco намного облегчают сервис-провайдерам Internet согласование своих сетей с сетями корпоративных заказчиков. Эти средства позволяют выполнять аутентификацию удаленных пользователей от точки подключения к локальному Internet-провайдеру по коммутируемым каналам до брандмауэра головного офиса (см. схему).
Отсутствие стандартов приводит к появлению на рынке и других средств защиты информации. Например, с помощью клиентского ПО Autosocks для Windows 95 и Windows NT фирмы Aventail удаленные пользователи могут подключаться к корпоративной ЛВС с применением методов шифрования Kerberos или Secure Socket Layer. К сожалению, сегодня лишь немногие брандмауэры и серверы-представители (proxy) способны поддерживать протокол SOCKS 5, необходимый для работы Autosocks.
Майкл Суркан
(PC Week Labs)
ПРОТОКОЛЫ PPTP И L2F ОТКРЫВАЮТ БЕЗОПАСНЫЙ ДОСТУП ЧЕРЕЗ INTERNET