ОЦЕНКА СЕТИ

Джейми Льюис

Один из наиболее многообещающих способов использования Internet - организация доступа удаленных пользователей в корпоративную сеть и связь с удаленными узлами. Решение этой задачи другими средствами обычно представляет большую сложность и нередко требует значительных затрат.

Джейми Льюис

Однако реализация этой возможности наталкивается на серьезное препятствие - обеспечение безопасности. Именно поэтому технология виртуальных частных сетей (virtual private network, VPN) быстро стала одним из самых популярных предметов обсуждения в кругах корпоративных менеджеров ИТ.

Сочетая в себе технологии туннелирования, аутентификации и шифрования, VPN позволяет организовывать защищенные сеансы связи по общедоступной Internet.

Постановка задачи требует опоры технологии VPN на стандарты, чтобы можно было установить защищенное соединение с любым пользователем через его поставщика услуг доступа в Internet.

Первые продукты для VPN были основаны на протоколах PPTP (Point-to-Point Tunneling Protocol - протокол туннелирования “точка - точка”) корпорации Microsoft и L2F (Layer 2 Forwarding - продвижение средствами второго уровня) фирмы Cisco Systems. Специалисты организации Internet Engineering Task Forum (IETF) разработали на их базе объединенный протокол L2TP (Layer 2 Tunneling Protocol - протокол туннелирования средствами второго уровня), который поддержали как Microsoft, так и Cisco.

Параллельно рабочая группа IETF по созданию протокола IPSec (IP Security - обеспечение безопасности передачи данных по протоколу IP) разработала набор стандартов третьего уровня модели OSI, описывающих шифрование данных, организацию туннелей с аутентификацией и динамический обмен ключами для шифрования. Производители брандмауэров, сетевой аппаратуры, оборудования удаленного доступа и средств организации VPN поддерживают этот стандарт, а Ассоциация компьютерной безопасности в Internet (Internet Computer Security Association, ICSA) осуществляет сертификацию конкретных реализаций IPSec на совместимость.

Ранние пилотные проекты показали работоспособность VPN на базе IPSec по крайней мере в конфигурациях с ручным обменом ключами или с использованием услуг общего центра сертификации открытых ключей (Certificate Authority, CA). Вариант же взаимодействия с различными CA остается пока несвободным от определенных проблем.

Я не хочу этим сказать, что применения технологии VPN следует избегать. Существуют уже проверенные практикой продукты, основанные на L2F и PPTP, и вы всегда можете заранее проверить, совместимы ли они с системой обслуживающего вас поставщика услуг доступа в Internet. Необходимо, однако, перед приобретением продукта VPN убедиться, что его производитель предусмотрел возможность перехода на L2TP или IPSec.

В последнее время все больше появляется VPN-систем на базе IPSec, и даже если вы используете протокол туннелирования L2TP, то для инкапсуляции зашифрованных данных, скорее всего, все равно применяется именно эта технология. Со временем IPSec станет доминирующим стандартом в сфере организации туннелей между узлами сетей.

Таким образом, компании, развертывающей VPN на базе IPSec, необходимо предварительно убедиться в совместимости выбранного продукта. Сертификация ICSA может служить хорошей отправной точкой для этого, однако часто требуется дополнительное тестирование. И особенно это касается IPSec-механизмов обмена ключами.

Для организации удаленного доступа можно применить средства протоколов L2TP, IPSec или SOCKS 5.0. Каждый из этих вариантов имеет свои преимущества, и многие VPN-продукты поддерживают одновременно L2TP и IPSec. L2TP отличается независимостью от транспортного уровня, что может быть полезно в гетерогенных сетях, состоящих из IP-, IPX- и AppleTalk-сегментов.

IPSec соединяет в себе управление ключами с поддержкой сертификатов стандарта X.509, сквозным обеспечением целостности данных и безопасностью информации. SOCKS поддерживает приложения, требующие контроля за направлением информационного потока или настройки условий доступа в зависимости от атрибутов пользователя или информации.

Прежде чем VPN-сети смогут получить широкое распространение, производителям необходимо встроить в свои VPN-продукты поддержку служб каталогов и интегрировать их с имеющимися функциями сетевого администрирования. Ряд компаний уже работает в данном направлении, а под влиянием такого комплекса факторов, как появление новых отраслевых стандартов, перспективы сокращения затрат и внедрение опирающихся на экстрасети новых моделей ведения бизнеса, VPN продолжат свое превращение в важный элемент корпоративных сетей.

Джейми Льюис является президентом исследовательской компании The Burton Group, специализирующейся на перспективных технологиях компьютерных сетей. С ним можно связаться по адресу: jlewis@tbg.com.