Статья только в электронной версии журнала

Статья только в электронной версии журнала

Инфраструктура

ОБЗОР F-Secure VPN+ обеспечивает безопасность сетей, но требует доработки

Кен Филипс (PC Week Labs)

Организациям, которые нуждаются в шифровании трафика своих внешних и внутренних коммуникаций, следует присмотреться к программе F-Secure VPN+ 4.0 компании Data Fellows (Сан-Хосе, шт. Калифорния).

Исследование этой программы в Тестовом центре PC Week Labs показало эффективность как клиентского, так и серверного компонента программного обеспечения, которое использует протокол, совместимый с IP Security. VPN+ можно использовать и для создания автономных шифровальных шлюзов, дополняющих старые браузеры и маршрутизаторы возможностью шифрования данных по стандарту IPSec.

В программе VPN+ 4.0, поставки которой начались в феврале, залатаны некоторые дырки, имевшиеся в предыдущих версиях; кроме того, программа администрирования стала проще для понимания. В нее добавлены поддержка клиентов Windows 95 и динамических IP-адресов, а также средства соединения по телефонным линиям и утилиты для централизованной установки. Однако компании Data Fellows еще есть над чем работать. Пока не существует версий продукта под Windows 98, Unix и Macintosh, хотя в ближайшем будущем ожидается их появление.

Цена F-Secure VPN+ 4.0 составляет $59 за одно рабочее место при покупке лицензии на 100 рабочих мест. Серверная лицензия стоит $495, а лицензия на шлюз - $2495.

Рынок ПО для виртуальных частных сетей (VPN) еще довольно молод, и компаниям необходимо тщательно оценивать предназначенные для него продукты. Имеются десятки конкурирующих чисто программных реализаций VPN-продуктов со вполне сопоставимыми ценами, но среди них пока нет явного лидера.

Администрирование осуществляется с помощью двух программ - менеджера сертификатов и собственно программы администрирования, установленной на компьютере Deskpro EN6400 корпорации Compaq Computer, работавшем под управлением ОС Windows NT Workstation 4.0. Менеджер сертификатов функционирует как простая программа управления сертификатами X.509, и ее могут применять компании, которые еще не обзавелись чем-то таким (например, пакетом программ Desktop Enterprise Suite фирмы Entrust Technologies), что образовало бы полную инфраструктуру.

Программа администрирования VPN+ 4.0 имеет средства для задания и изменения политики безопасности, в том числе для контроля над тем, кто с кем может соединяться. С ее помощью можно создать основу для управления другими продуктами серии F-Secure, включая F-Secure Anti-Virus и F-Secure FileCripto, поместив все объекты в древовидную структуру.

Больше всего в VPN+ 4.0 нам понравилось то, что мы могли быстро и просто изменять правила во всем домене безопасности. Однако для работы с программой удаленного администрирования, написанной на языке Java, на дисплее пришлось установить разрешение 1024х768 пикселов. При меньшем экранном разрешении объекты в окне соединений были плохо видны и их было неудобно редактировать.

Программа администрирования F-Secure упрощает определение политик безопасности и правил установления соединений

Для того чтобы определять правила безопасности, необходимо установить агент управления и клиент VPN+. Для нашего настольного ПК пришлось модифицировать бесплатную версию программы Winsock 2.0 корпорации Microsoft, прежде чем стала возможна поддержка VPN+. Вероятно, для администраторов это может представлять проблему, большую, чем установка самого VPN+: к примеру, нам по неизвестным причинам на одном из ПК так и не удалось выполнить модификацию Winsock 2.0.

На наш взгляд, административная часть ПО также нуждается в улучшении. Мы потратили немало времени, изучая интерфейс администратора, а вводящие в заблуждение сообщения в журнале ошибок не раз заставляли нас чесать затылок.

Мастер сертификации продемонстрировал аналогичные недостатки при попытках узнать, какие клиенты установлены полностью и в состоянии ли они работать с VPN.

Требуется 100%-ная работоспособность

Кроме программ администрирования и клиентского ПО для работы VPN+ требуется установить некий серверный компонент (являющийся совместно используемой структурой каталога). Мы установили его на сервере NetServer E50 компании Hewlett-Packard, который работал под управлением ОС Windows NT 4.0. Этот компонент должен быть доступен постоянно, поскольку без него хосты VPN не могут соединиться друг с другом.

В соответствии с определенными нами правилами клиенты VPN+ обменивались зашифрованными сообщениями с защищенными хостами и незашифрованными - с остальными.

Чтобы проанализировать влияние алгоритма шифрования IPSec на производительность сети, мы воспользовались программой Chariot 2.2 компании Ganimed Software. Оказалось, что даже при использовании самого быстрого алгоритма Blowfish потери составляют от 50 до 70%, и это нас весьма обескуражило. В VPN+ применяются алгоритмы шифрования DES (Data Encryption Standard), Triple DES и CAST-128.

Однако такая степень падения производительности типична для устройств, работающих по стандарту IPSec: частично это обусловлено расширенными заголовками пакетов и частично - процессом шифрования и дешифрования. Сравнения с другими образцами программ и оборудования стандарта IPSec мы не проводили.

Установка шлюза позволяет осуществлять непосредственную связь с другим шлюзом и клиентами VPN.

SSH скрывает удаленные сессии Unix

Не только сети компьютеров под управлением ОС Windows, но и сети рабочих станций Unix смогут повысить безопасность удаленного доступа и администрирования, используя технологии сильного шифрования F-Secure компании Data Felloes.

В PC Week Labs тестировали защищенный пакетом F-Secure SSH Tunnel & Terminal 2.0.12 сеанс Telnet, удаленные команды и сессии передачи файлов и туннелирование других видов TCP-трафика, в том числе HTTP, SMTP, Post Office Protocol 3 и X Windows Systems. Туннелирование трафика приложений пользователей осуществляется простым указанием номера обслуживаемого порта.

Цена пакета SSH Tunnel & Terminal, поставки которого начались в марте, равна $75 за одного пользователя при покупке лицензии на 100 пользователей. Серверный компонент для Unix стоит $495.

SSH - это протокол уровня прикладной программы, предложенный рабочей группой Internet Engineering Task Force и фактически ставший стандартом шифрования в сетях Unix. Протокол IP Security в сравнении с ним работает на более низком - сетевом - уровне и является более прозрачным для пользователя, что делает ненужными специализированные приложения. F-Secure SSH Tunnel & Terminal заменяет Telnet, FTP и удаленные команды в Windows 95, 98 и NT, причем содержит клиенты для Macintosh и Unix.

Во время тестирования приложение, выполняющее роль клиента Unix, было запущено с компьютера Brio компании Hewlett-Packard, который работал под управлением ОС Windows 95, хотя у запущенного FTP отсутствует графический интерфейс пользователя, так же как и у его предшественника, поставляемого корпорацией Microsoft: для Telnet имелись только эмуляторы терминалов VT100 и Xterm (цветного). Серверный компонент SSH поставляется в исходных текстах для большинства Unix-платформ.

F-Secure SSH Tunnel & Terminal поддерживает алгоритмы шифрования DES (Data Encryption Standard), Triple DES, Arcfour, Blowfish, Twofish и международный стандарт шифрования International Data Encryption Algorithm. Для аутентификации пользователей можно применять как пароли, так и комбинацию из открытого и частного ключей.

Адрес внештатного редактора Кена Филипса: kenp@wtp.net.

Резюме для руководителей

F-Secure VPN+ 4.0

Модернизированное ПО компании Data Fellows шифрует потоки данных между ПК, работающими под управлением ОС Windows 95 и NT, а также шлюзами или другими устройствами, поддерживающими IPSec. Хотя обучиться работе с программой администрирования не очень просто, мы быстро освоили ее.

( + ) Применяются алгоритмы сильного шифрования IP-трафика; совместимость со стандартом IPSec; имеется поддержка Ethernet и соединений по коммутируемым линиям; политики безопасности автоматически загружаются в ПК.

( - ) Не поддерживаются ОС Windows 98, Unix и Macintosh; процедуры установки и управления не мешало бы упростить.

Data Fellows, Сан-Хосе, шт. Калифорния, (408) 938-6700, www.datafellows.com.

Методология оценки: www.pcweek.com/rewievs/meth.html

Подпись к рисунку 1.