eWeek Labs о преимуществах, заботах и требованиях к VPN
Как показал недавний eSeminar фирмы Ziff Davis Media, несмотря на широкое распространение виртуальных частных сетей (VPN), эта технология все еще вызывает немало вопросов, а поскольку она развивается, то рождается и много новых проблем. В этой статье eWeek Labs отвечает на вопросы участников семинара.
В чем преимущества использования VPN-технологий по сравнению с технологиями глобальных сетей (WAN)?
Два главных преимущества применения VPN заключаются в более низких затратах и гибкости при проектировании сети. Кроме того, виртуальные частные сети избавляют от необходимости арендовать выделенные линии или задействовать ресурсы сетей X.25, так как можно использовать уже оплаченный доступ в IP-сети. Вы также получаете более полный контроль за тем, кто из пользователей может подключаться к VPN и когда им это позволено.
Отнимает ли одиночное клиентское VPN-подключение столько же ресурсов (без учета пропускной способности), сколько и межузловые VPN?
Если говорить о прохождении сигнала и задержках, то да. Есть различие в процессах установления соединения - VPN требуют более интенсивных вычислений. При межузловых подключениях эти процедуры осуществляются редко из-за длительных сеансов связи, а при клиентском VPN-доступе связь устанавливается и отключается многократно.
О чем надо позаботиться, пользуясь VPN при подключениях с сотовых телефонов или беспроводных устройств?
Одна из крупнейших проблем при беспроводном доступе с сетевых устройств состоит в слабой физической защищенности переносной аппаратуры. В большинстве решений идентифицируется не пользователь, а устройство; и тот, кто пользуется подмененным или краденым аппаратом, может получить все права легитимного клиента - особенно когда разрешаются варварские методы обеспечения "комфорта", например сохранение пароля внутри системы или функция автозавершения логина и пароля при доступе к Web-сайтам через браузеры. Общая политика и конкретные меры безопасности должны держать эти угрозы под контролем.
Существует ли проблема использования незащищенных беспроводных сетей, когда кто-то может "прицепиться" к вашему устройству, а затем и к защищенному каналу VPN?
VPN входят в жизнь
Больше половины респондентов сообщили,
что их организации развернули одну или
несколько VPN или находятся на экспериментальных
стадиях их реализации
Если ваш беспроводной канал сам по себе не защищен, но переносит только защищенный контент, остающийся зашифрованным на всех беспроводных и кабельных участках VPN, то его анализ посторонними невозможен, а стало быть, вы избавлены от административных забот по созданию параллельной инфраструктуры идентификаторов и ключей, защищающей собственно беспроводные каналы. Правда, все беспроводные системы остаются открытыми для анализа того, какие узлы друг с другом взаимодействуют. Улучшит ли дополнительная защита беспроводного канала общую безопасность вашей системы? В определенной мере да, но сколько это будет стоить? Это вопрос того, какой уровень безопасности требуется для вашей сети в целом и в какие части системы вы хотите вкладывать ваши силы и ресурсы.
Почему специалисты перестали делать различия между понятиями "беспроводной" и "мобильный"? VPN не очень-то дружественны к большинству мобильных пользователей.
Это вопрос в точку, особенно в том плане, что некоторые решения гораздо лучше работают в пространстве, администрируемом одним сервис-провайдером, чем в группе зон, находящихся, фигурально выражаясь, под разной сервисной юрисдикцией. Чем больше ваш канал похож на ординарный вариант TCP/IP, тем больше будет гибкости в использовании разнообразных служб и провайдеров. Например, шифрование электронной почты вместо пересылки обычной почты через VPN предъявляет меньше требований к каналу связи и его сервис-провайдеру.
Существуют ли какие-то решения IP Security или Secure Sockets Layer для Linux?
Безусловно, и притом оба сорта. Популярные пакеты с открытым исходным кодом - FreeS/WAN и Stunnel. Коммерческие VPN-устройства работают независимо от ОС, но некоторые из них рассчитаны на Linux. В клиентской части VPN-системы на основе SSL нужен только браузер, и здесь нет никаких проблем. В случае же с IPSec дела с клиентской совместимостью обстоят сложнее, тут возможны трудности. В этих вопросах надо разбираться конкретно.
Проблемы и стратегии
Самой трудной проблемой для опрошеных респондентов,
являеться, как выяснилось, развертывание клиентов,
а основная масс VPN реализуеться на основе IPSec
Что вы думаете о безопасности VPN, использующих Windows 2000 Server и технологию DSL или кабельных модемов? Насколько они безопасны и в чем их недостатки?
Если при широкополосном подключении используется статический IP-адрес, то соответствующая система, в принципе, становится более легкой мишенью. Но даже при этом большинство усовершенствований в безопасности Windows 2000 связано с конфигурированием, а что касается ОС Windows Server 2003, то ее конфигурация уже по умолчанию ориентирована на безопасность, а не на готовность к немедленной работе, и в нее плюс к тому заложен интегральный эффект многолетних исправлений ОС. Утверждения, будто ПО с открытым исходным кодом по своей природе более безопасно, сегодня ставятся под вопрос (см. www.eweek.com/links). Независимо от выбора ОС, фундаментом безопасности является аккуратное и вдумчивое администрирование.
Можно ли описать требования безопасности для VPN при использовании общедоступных и частных сетей?
Трудно себе представить нужду в создании VPN поверх частной сети, если только нет проблем с доверием к сетевому сервис-провайдеру или опасений физического перехвата сигналов на линиях связи. Но если такие вопросы вас волнуют, стоит защитить трафик, однако VPN - лишь одно из нескольких решений, над которыми следует поразмыслить. Например, альтернативный вариант - шифрование электронной почты.
Расскажите, пожалуйста, подробнее о VPN, связывающих две ЛВС.
Если при создании VPN "сеть - сеть" используются шлюзы IP Security, размещенные снаружи брандмауэров каждой из ЛВС, то воздействие VPN на сети будет минимальным. Однако в этом случае брандмауэр не сможет защищать шлюз и анализировать атаки против него. С другой стороны, атакующий не в состоянии использовать VPN для туннелирования через брандмауэр, ведь брандмауэр воспринимает все приходящее со стороны шлюза как ординарный сетевой трафик. Смотря по тому, какие типы атак вас больше всего беспокоят, этот компромисс либо приемлем, либо нет. Для относительно несложной поддержки мобильных клиентов непременно требуется отличная интеграция функций шлюза и брандмауэра.
Как повлияет IPv6 на VPN?
Протокол IPv6, по определению, поддерживает любой запрос сервиса IPSec со стороны приложений. Вместо того чтобы быть уровнем поверх Интернета, IPSec становится его частью. IPv6 существенно улучшает защиту против многих форм атак, и эту технологию желательно побыстрее внедрять. Что касается влияния на VPN, то IPv6 не снимает потребность в средствах для администрирования полномочий и определения того, какие приложения могут использовать IPSec для защищенного доступа к конкретным ресурсам. Поэтому инструменты VPN сохраняют свое значение; они лишь делегируют сетевой инфраструктуре некоторые из низкоуровневых задач.
У нас есть аппаратный брандмауэр, предоставляющий функции VPN для большого числа мобильных пользователей, причем мы используем PPTP (протокол туннелирования точка - точка). Что еще можно сделать для улучшения безопасности?
Ваши дальнейшие возможности усиления безопасности, по-видимому, лежат скорее в области политики, чем технологии. Полезно сделать акцент на процессе предоставления и отзыва полномочий, на управлении доступом к секретной информации и на обучении пользователей ответственному отношению к вопросам безопасности.
Что вы понимаете под детально разграниченным доступом при VPN-соединении и в чем его отличие от открытого доступа?
Детально разграниченный (granular) контроль доступа подразумевает возможность более точно определять целесообразность выдачи того или иного разрешения конкретным сетевым узлам или пользователям. Механизмы контроля этих полномочий могут быть заложены на уровне сетевой ОС или более высоком, управляемом инструментами VPN.
Что такое ускоритель VPN?
VPN-ускоритель переносит вычислительные операции по VPN-шифрованию и декодированию на один или несколько специально выделенных процессоров, уменьшая нагрузку на серверный процессор общего назначения.
У нас есть два небольших офиса, каждый численностью не больше 15 человек, и их персонал просит организовать взаимное подключение и совместное пользование однотипными данными. Будет ли VPN здесь экономически разумным решением?
Безусловно, в вашем случае прекрасно подойдет недорогая VPN "узел - узел". Найдите одну-две тысячи долларов на пару устройств. Можно также поставить с двух сторон по Linux-серверу и воспользоваться продуктом FreeS/WAN (ПО бесплатно и имеется на сайте www.freeswan.org), но этот вариант сложнее для настройки.
Будет ли столь же безопасно, как VPN, использование входной регистрации Microsoft Remote Desktop?
Remote Desktop предоставляет более простые возможности конфигурирования и управления брандмауэром. Однако VPN обеспечивают лучшую безопасность, так как здесь вам приходится аутентифицироваться дважды - один раз для VPN и еще раз для нужного вам приложения. Но все же Remote Desktop плюс какая-нибудь защита брандмауэром для ограничения IP-вызовов дают "достаточно хороший" уровень безопасности.
Есть ли способ при имеющейся связи двух ЛВС потребовать дополнительной аутентификации еще на одном уровне?
VPN в VPN туннелировать нельзя, и поэтому для двукратной аутентификации потребуется задействовать аутентификацию на уровне приложений или портов (например, IPSec плюс HTTP/ SSL или Secure Shell).
Если вы организовали VPN между главным узлом и удаленным, зарезервированным для чрезвычайных ситуаций, создав между ними кластер высокого уровня готовности, и первичный узел вышел из строя, смогут ли клиенты VPN подключаться из разных мест к резервному узлу?
В принципе да, но в случае с IPSec потребуется процедура повторного подключения, так как этот протокол связан с состоянием, а оно при отработке серверного отказа не сохраняется. В случае же с SSL вы сможете осуществить отработку отказа, если SSL-соединение будет заканчиваться перед серверной парой или если вы приобретете VPN-устройство с отработкой отказов (многие их них имеют эту функцию).
Вы говорили о политике управления VPN. Есть ли в Сети хороший ресурс с информацией о такой политике?
Познакомьтесь с документами The SANS Institute. Это отличный информационный ресурс по политике безопасности. Войдите на домашнюю страницу SANS (www.sans.org) и выберите ссылку Sample policies.