ОБЗОР
Фирма NAI усиливает комплект ПО безопасности клиентским компонентом VPN и поддержкой стандарта X.509
Новый клиентский компонент VPN (Virtual Private Network - виртуальная частная сеть) и поддержка сертификатов стандарта X.509 помогают системе Pretty Good Privacy (PGP) фирмы Network Associates Inc. (NAI), начинавшей свою деятельность с создания персонального средства защиты информации, войти в круг корпоративных инфраструктур PKI (Public Key Infrastructure - инфраструктура шифрования с открытым и закрытым ключами).
Испытания, проведенные в Тестовом центре PC Week Labs, показали, что пакет PGP Data Security Suite 6.5.1 производства NAI не уступает по своим возможностям другим комплектам ПО шифрования, которые можно найти на рынке.
Средства шифрования на основе алгоритма PGP просты, но пользователям потребуется
определенное обучение работе с персональными ключами
Новый клиентский компонент VPN поддерживает протокол IP Security и основные типы применяемых сертификатов, что избавляет его пользователей от лишних хлопот с обеспечением совместимости при организации экстрасетей и позволяет осуществлять одноранговые обмены шифрованными данными по локальной сети напрямую, без использования шлюзов. Мощные средства криптозащиты этого продукта могут понадобиться фирмам, занимающимся электронной торговлей, мобильным пользователям, а также сотрудникам предприятий, работающим с важной информацией, знать которую остальным необязательно.
Он оснащен встроенной поддержкой клиентского приложения электронной почты системы Notes корпорации Lotus Development, а также механизмом генерации саморасшифровывающихся посланий для адресатов, не располагающих средствами PGP. Чтобы прочитать такое послание, достаточно просто ввести пароль.
PGP Data Security Suite обладает высокой масштабируемостью, что позволяет применять это ПО как в небольших сетях для шифрования одноранговых сеансов передачи данных, так и в крупных системах с инфраструктурой шифрования с открытым и закрытым ключами на основе выделенных серверов. NAI поставляет свой продукт по всему миру с поддержкой ключей большой длины - 128 бит и более.
Однако, хотя шифрование и аутентификация сообщений - весьма желательные дополнения к арсеналу средств обеспечения безопасности вычислительной системы предприятия, они окутывают рабочие процедуры таким “толстым слоем шоколада”, что это может само по себе создавать значительные трудности и для администраторов, и для пользователей. К счастью, PGP Data Security Suite позволяет автоматизировать наиболее часто используемые операции шифрования, однако это потребует несколько более серьезного обучения пользователей, чем хотелось бы.
Ранее известный как PGP Enterprise Security, этот продукт состоит из четырех компонентов: комплекта клиентского ПО для конечных пользователей PGP Client, состоящего из VPN-клиента и утилит для работы с электронной почтой и шифрования файлов/дисков; сервера сертификатов PGP Certificate Server, который занял место полного сервера X.509 PKI; агентского компонента PGP Policy Management Agent, управляющего маршрутизацией электронных почтовых сообщений на основе протокола SMTP, а также инструментального комплекта разработчика ПО. Цена продукта в расчете на одного пользователя составляет $43 при покупке лицензии на два года на 1000 узлов.
Фирме, нуждающейся в полнофункциональном сервере PKI и VPN, лучше обратить внимание на другой выпускаемый NAI комплект ПО, именуемый VPN Suite. В него входят PGP Client, PKI-сервер Net Tools PKI и сервер VPN/брандмауэр Gauntlet 5.0. Он обойдется несколько дороже - $51 на пользователя за ту же лицензию на два года на 1000 узлов.
Кроме того, PGP Client продается также отдельно по цене $26 на пользователя для применения с серверами PKI или VPN любых других производителей.
Лучший из конкурентов VPN Suite - комбинация комплектов ПО Entrust/PKI и Entrust Desktop Enterprise Suite фирмы Entrust Technologies - стоит значительно дороже: 20 тыс. долл. за сервер PKI плюс $159 на пользователя - и к тому же уступает продукту NAI в гибкости. Как показало проведенное нами в прошлом году тестирование, ПО Entrust требует значительных усилий для сопровождения и совместимо лишь с ограниченным числом клиентских приложений и платформ. В числе его преимуществ можно назвать полный набор функций администрирования ключей, поддержку VPN и возможность шифрования электронных писем/данных на настольной машине (отчет о тестировании Entrust/PKI 4.0 и Entrust Desktop Enterprise Suite 4.0a можно найти по адресу: www.zdnet.com/pcweek/stories/news/0,4153,355066,00.html).
Организации, не заинтересованные в содержании собственного сервера PKI, могут воспользоваться качественными услугами внешних подрядчиков, включая службу OnSite фирмы VeriSign (см.: www.zdnet.com/pcweek/stories/news/0,4153,375261,00.html). При этом, однако, все же придется приобрести и самостоятельно развернуть клиентское ПО VPN, поскольку VeriSign этим не занимается. Услуги OnSite стоят от $5750 в год на 1000 пользователей плюс однократная плата за подключение в размере $1000.
Клиентский компонент VPN является наиболее важной новинкой комплекта PGP Data Security Suite и предназначен для эксплуатации на ПК, работающем под управлением ОС Windows NT 4.0, Windows 95 или Windows 98. Благодаря поддержке протоколов IPSec и IKE (Internet Key Exchange - протокол обмена ключами через Internet) он совместим с большинством серверов VPN. Поддержка IPSec позволяет передавать IP-трафик зашифрованным на протяжении всего пути от одного рабочего места до другого.
Для тестирования использовался сервер Gauntlet Global VPN и инструментарий Net Tools PKI администрирования сертификатов PGP и X.509 - то и другое производства NAI. Эти продукты поддерживают форматы Entrust, VeriSign и NAI.
Администрирование самого комплекта ПО NAI не представляет сложности. После установки первого клиентского компонента и задания всех сведений о корреспондентах, параметров настройки и общих ключей мы сгенерировали исполняемый файл, при запуске которого на каждой последующей машине автоматически формировалась идентичная конфигурация. Кроме того, администратор может использовать для развертывания клиентского ПО любые имеющиеся у него средства.
Простота, конечно, положительное качество, однако разработчикам NAI не помешало бы подумать о расширении набора функций администрирования этого продукта. В нем нет утилиты, которая позволяла бы с помощью одного представления определить, какие из пользователей сети располагают клиентским ПО, а какие - нет. Тип сетевого адаптера необходимо выбирать в процессе инсталляции - так же, как и задавать персональные ключи и, если нужно, конфигурировать соединения с хост-машинами. Все это требует определенного обучения пользователей. Кроме того, не предусмотрена и массовая дистанционная модернизация клиентского ПО.
Зато после завершения установки работать с продуктами NAI совсем не трудно. Предусмотрены режимы как создания защищенного “туннеля”, так и простой передачи данных, что позволяет осуществлять безопасный информационный обмен не только через шлюз, но и напрямую между пользовательскими ПК.
VPN-клиент автоматически применяет шифрование при соединении с защищенными хост-машинами и передачу необработанных данных при обмене с остальными. Для аутентификации сообщений использовались либо сертификаты, либо разосланные специально для этой цели закрытые ключи.
Сервер PGP Certificate Server служит хорошей заменой X.509 PKI, поскольку открытые ключи поддерживаемых стандартов распространены настолько широко, что обмен данными возможен без предварительной их рассылки. Сетевые менеджеры могут быстро развертывать защищенные интрасети, обеспечив каждого пользователя таким ключом.
Новый дополнительный интегрируемый модуль поддержки почтовой системы Lotus Notes добавился к списку существующих: для Outlook, Express и Exchange корпорации Microsoft, Eudora фирмы Qualcomm и Emailer корпорации Claris. Он расширяет возможности связи между почтовыми системами Notes и другими, а также позволяет пользоваться более мощными средствами шифрования по всему миру.
В то же время ПО PGP Data Security Suite несовместимо с почтовыми клиентами производства корпорации Netscape Communications, поскольку они используют не поддерживаемый Network Associates протокол S/MIME (Secure Multipurpose Internet Mail Extension). Представитель NAI по связям с прессой пояснил, что разработки в этом направлении заморожены из-за требования применения ключей длиной 40 бит и проблем с совместимостью с версией 2 данного протокола.
Кроме того, рассматриваемый комплект ПО NAI не поддерживает пока клиентские компоненты среды коллективной работы GroupWise фирмы Novell. Правда, представители NAI обещают, что это положение будет исправлено к концу года. Продукты Entrust, напротив, поддерживают клиентские компоненты Netscape, а Novell предлагает пользователям своего продукта интерфейс Entrust/ GroupWise.
Желающим зашифровать содержимое жесткого диска понравится включенная в состав PGP Data Security Suite утилита PGP Desk. Шифрование файлов очень популярно у пользователей блокнотных ПК, которые легко становятся добычей воров. Кроме того, PGP Desk позволяет защищать целые логические тома. При этом шифрование или расшифровка данных осуществляются автоматически в процессе копирования файла на этот диск или считывания данных с него. Новейшая версия, кроме того, дополнена рядом полезных функций, таких, как автоматическое стирание информации при удалении файлов, VPN-клиент с интерфейсом командной строки, вызов интерфейса шифрования данных и снабжения их электронной подписью одним нажатием специальной комбинации клавиш в любом приложении.
С внештатным редактором Кеном Филлипсом можно связаться по электронной почте по адресу: kenp@wtp.net.
Значение для бизнеса
NAI предлагает своим клиентам единый комплект средств сетевого администрирования и обеспечения безопасности. Выбранный этой фирмой способ ценообразования на основе модели подписки позволяет снизить единовременные начальные затраты покупателей, а унификация комплектов ПО упрощает переход с одного на другой. PGP выглядит выигрышно в сравнении с большинством конкурирующих продуктов, особенно с учетом цены и спектра функциональных возможностей. При всех этих достоинствах не следует забывать, что контингент его пользователей - компании, ведущие электронный бизнес через свои Web-узлы, мобильные пользователи и сотрудники предприятий, работающие с секретной информацией.
В краткосрочной перспективе
Первоначальное развертывание проходит с умеренными сложностями и затратами, а администрирование требует небольших усилий. Обучение пользователей, по всей вероятности, окажется менее трудным делом, нежели в случае других решений, связанных с развертыванием собственной PKI-инфраструктуры, однако определенные затраты неизбежны.
VPN-соединения обойдутся значительно дешевле прокладки выделенных линий до удаленных офисов.
В долгосрочной перспективе
Значительные преимущества с точки зрения обеспечения безопасности и аутентификации данных в корпоративных коммуникациях, в том числе по интрасетям и экстрасетям и с собственными мобильными сотрудниками. Если данные нельзя использовать, их похищение теряет смысл. Однако шифрование всегда увеличивает нагрузку на ресурс пропускной способности, что может оказаться ударом по узлам, работающим на пределе своих возможностей по этому параметру.
Взгляд из лаборатории: Панкай Чоудри
Привести компанию к идее развертывания системы вроде PGP Data Security Suite 6.5.1 фирмы Network Associates может только насущная необходимость в герметическом “закупоривании” своей информации. И даже этого еще недостаточно. Ее руководству придется сначала убедить всех деловых партнеров - даже тех, электронные контакты с которыми ограничиваются перепиской по электронной почте, - установить у себя специальные дополнительные модули.
Распространение таких технологий, как PGP, требует широчайшей совместимости с существующими стандартами. Отказывая в поддержке спецификации S/MIME - технологии, по вопросу о применении которой даже Microsoft с Netscape пришли к согласию, - Network Associates наносит несомненный ущерб своим клиентам. Прибавьте к этому то обстоятельство, что практически любая популярная система электронной почты предлагает встроенные средства шифрования и что экстрасети должны быть совместимы со средствами обеспечения безопасности каждого из партнеров, и вы поймете, что NAI решилась на очередную попытку распространения PGP и завоевания доминирующих позиций на рынке без должной опоры на утвержденные стандарты.
Панкай Чоудри - технический директор отделения Тестового центра PC Week Labs на Западном побережье. С ним можно связаться по адресу электронной почты: pankaj_chowdhry@zd.com.
Резюме для руководителей
PGP Data Security Suite 6.5.1
С дополнением VPN-клиентом и поддержкой сертификатов стандарта X.509 комплект ПО PGP Data Security Suite превратился в полнофункциональное средство обеспечения безопасности для вычислительной системы предприятия, способное на равных конкурировать с продуктами других производителей ПО инфраструктуры криптозащиты на базе алгоритмов шифрования с открытым и закрытым ключами.
( + ) Совместимость с большинством клиентских приложений электронной почты и почтовых систем; возможность шифрования электронной корреспонденции, сетевого трафика и файлов/томов с поддержкой протоколов IKE и IPSec; интеграция с PKI на основе серверов сертификатов X.509 и децентрализованная инфраструктура шифрования на основе алгоритма PGP; клиентский компонент с интерфейсом командной строки и утилита администрирования электронной почты на базе стратегий.
( - ) Неадекватные средства развертывания клиентских компонентов и модернизации ПО на основе стратегий; отсутствие средств мониторинга VPN-клиентов; отсутствие поддержки почтовых клиентов производства корпорации Netscape и из состава системы GroupWise, а также любых приложений, основанных на спецификации S/MIME.
Фирма Network Associates, Санта-Клара, шт. Калифорния, (800) 764-3337, www.nai.com.
Методика оценки: www.pcweek.com/reviews/meth.html.