Технический обзор
Сеть поможет снизить стоимость маршрутизации корпоративных данных
Сетевые менеджеры уже давно полагаются на арендованные каналы как на безопасное и надежное средство высокоскоростной связи между удаленными ЛВС, но сейчас перед ними открывается новая возможность. Некоторые администраторы внимательно присматриваются к Internet, способной снизить стоимость двухточечной маршрутизации корпоративных данных между узлами их частных внутрикорпоративных сетей.
Используя достоинства всепроникающих соединений Internet, большие организации могут создавать виртуальные частные сети (ВЧС), или VPN (Virtual Private Network), в которых Сеть применяется для поддержания связи между маршрутизаторами узлов компании, разбросанными по всей стране или даже по всему миру. Конечно, в этом случае корпоративные данные физически вплетаются в общий трафик Internet, однако логически они отделены от остальных. Это достигается с помощью одной или нескольких схем обеспечения безопасности, большинство из которых совершенно прозрачны для конечных пользователей ЛВС.
Применение Internet в качестве виртуальной частной сети позволяет корпорациям не только снизить расходы на телекоммуникации, но и получить простой доступ в Сеть из любой точки земного шара. Но при этом возникают две очень серьезные проблемы: непостоянная скорость передачи данных по Internet и поддержка безопасности сети с хорошо документированной оценкой существующего риска.
Производители маршрутизаторов, брандмауэров, средств шифрования, а также провайдеры доступа в Сеть уже откликнулись на возникновение новой тенденции, предложив продукты и услуги, специально разработанные для использования Internet в виртуальных частных сетях. Приняв решение о создании ВЧС, корпорация может воспользоваться одной или несколькими из существующих возможностей для организации такой системы, которая бы наиболее полно отвечала ее специфическим потребностям.
ВЧС = Internet + безопасность
Строго говоря, виртуальные частные сети являются частными в том смысле, что по ним проходит трафик между вычислительными системами лишь одной организации. Их виртуальность заключается в том, что конкретный поставщик сетевых услуг не выделяет для них какую-либо группу каналов или сетевого оборудования. Вместо этого осуществляется логическое разделение сетевого трафика.
Если не считать "частного" аспекта таких сетей, то приведенное описание полностью подходит к организации связи в Internet: Сеть предоставляет пользователям виртуальное сетевое подключение, которое не является постоянным, а периодически, в зависимости от сетевой нагрузки и маршрутизации данных, изменяется.
Таким образом, следующим логическим шагом должно стать использование Internet для создания внутренних сетей компании, доступ в которые осуществляется частным образом, т. е. частных внутрикорпоративных сетей. Офисы больших организаций, например, могут быть расположены в различных районах страны, а то и мира. Скорее всего, каждый из них уже оснащен надежным индивидуальным доступом в Internet. Теперь предстоит объединить их в частную сеть масштаба корпорации, с помощью которой можно было бы подключаться к серверам "Всемирной паутины", хранящим файлы, документы и данные для закрытого или внутреннего пользования.
Однако любая частная сеть, одним из компонентов которой является Internet, должна быть защищена с помощью брандмауэров, средств шифрования или же тех и других одновременно. Если не принять таких мер, корпоративные данные могут попасть в Сеть в открытом виде и стать доступными любому ее пользователю. Некоторые компании дополнительно применяют и другие меры обеспечения защиты информации, например такие, как аутентификация, пароли и безопасные протоколы уровня приложений.
Безопасность на уровне канала связи
Очень надежным средством обеспечения безопасности данных является их шифрование на уровне подключения (link-level encryption). Другими словами, вся информация, пересылаемая по каналам Internet-ВЧС, закрывается с помощью шифра. Пользователь Сети, перехвативший каким-либо образом корпоративные данные, не сможет прочесть текст документа. Вместо отчета об уровне продаж в
III кв. или планов компании по маркетингу он увидит лишь бессмысленный набор символов.
В течение многих лет шифрованием данных, которые передавались по каналам связи между хост-компьютерами, обрабатывающими секретную информацию, занималось Министерство обороны США. Таким же способом обеспечения безопасности теперь могут воспользоваться и частные корпорации при пересылке своих данных по Internet.
Устройства шифрования данных для обслуживания как арендованных каналов, так и каналов с ретрансляцией кадров (frame relay) производят несколько фирм, включая Racal-Datacom (Санрайз, шт. Флорида). Другие компании нацелились непосредственно на рынок организации виртуальных частных сетей по Internet. Так, фирма Digital Secured Network Technology (Инглвуд-Клиффс, шт. Нью-Джерси) производит для виртуальных частных сетей аппаратный продукт под названием NetFortress. При использовании в Internet-ВЧС это устройство устанавливается между ЛВС и локальным маршрутизатором, подключенным к Сети.
NetFortress шифрует поля данных всех пересылаемых по сети IP-пакетов еще до того, как они достигнут маршрутизатора, оставляя нетронутыми и незашифрованными лишь поля IP-адреса отправителя (Source) и получателя (Destination). Такая схема обеспечивает защиту самих данных, позволяя при этом маршрутизатору считывать IP-адрес получателя и соответствующим образом осуществлять маршрутизацию пакета.
В то же время шифрование само по себе не делает каналы частных виртуальных сетей абсолютно безопасными. Дело в том, что всегда найдутся желающие обманным путем проникнуть на подключенные к Internet узлы, IP-адрес которых им известен. Конфигурирование NetFortress можно провести таким образом, что приниматься будут лишь пакеты, передаваемые с такого же устройства, установленного на другой стороне канала Internet-ВЧС. Предварительно с ним должен быть проведен обмен IP-адресами и ключами шифрования данных. Однако подчеркнем еще раз: в этом случае блоки NetFortress, как и большинство других аппаратных средств данного класса, должны быть установлены на обоих концах каналов Internet-ВЧС.
Другой вариацией на тему шифрования может служить система аутентификации на уровне приложения, примером которой является Digital ID фирмы VeriSign (Купертино, шт. Калифорния). Этот программный продукт встраивается в пользовательские программы просмотра серверов "Всемирной паутины" и в Web-сервер частной внутрикорпоративной сети. При попытке получить доступ к этому серверу проводится запрос браузера Digital ID, а затем осуществляется аутентификация пользователя и определение прав его доступа во внутрикорпоративную сеть. Это позволяет подключаться к серверу Internet-ВЧС компании даже из Internet.
Шифрование на уровне брандмауэра
Разработчики брандмауэров также включают в свои аппаратные и программные продукты функции поддержки виртуальных частных сетей. Большинство основных производителей брандмауэров оснащает их возможностями шифрования различного типа, равно как и мониторинга защищенности информации в реальном масштабе времени, что повышает сетевую безопасность при работе по Internet-ВЧС.
Например, встроенную функцию шифрования имеет Firewall-1 Version 2.0 фирмы Checkpoint Software Technologies (Редвуд-Сити, шт. Калифорния). Его модуль шифрования позволяет администраторам конфигурировать защиту конкретных каналов связи. Так, в канале Internet-ВЧС может быть предусмотрено шифрование лишь тех данных, которые предназначены для другого узла частной внутрикорпоративной сети, а информация, передаваемая прочим корреспондентам (т. е. по любому другому адресу в Internet), остается открытой. Фирма Checkpoint применила в своем продукте как правительственный стандарт шифрования DES, так и собственный алгоритм шифрования FWZI. Если первый является общепринятым и обеспечивает работу со средствами шифрования различных разработчиков, то FWZI можно применять исключительно с другими брандмауэрами фирмы Checkpoint.
В другом брандмауэре - BorderWare фирмы Border Networks Technologies (Торонто, Канада) - нашел применение более традиционный, хотя и не столь прозрачный подход к обеспечению безопасности. В типовой конфигурации это устройство устанавливается в штаб-квартире компании и выполняет функцию защиты ресурсов ее частной внутрикорпоративной сети. При попытке подключения к Web-серверу этой сети пользователей удаленных узлов или Internet в целом брандмауэр запрашивает пароль. Чтобы миновать брандмауэр, необходимо ввести одноразовый код, воспользовавшись "интеллектуальной картой".
Фирмы Cisco Systems, Bay Networks и другие производители начинают оснащать функциями шифрования и свои маршрутизаторы.
Так, в Pix-Link фирмы Cisco осуществляется защита информации на аппаратном уровне. Пересылка шифрованных пакетов между двумя шифрующими узлами Internet дает возможность при организации связи в рамках внутрикорпоративных сетей получить виртуальный заменитель арендованного канала.
Недостаток шифрования на уровне маршрутизатора заключается в снижении скорости маршрутизации. Кроме того, подобно многим решениям для Internet-ВЧС, оно требует применения аппаратных средств одного и того же производителя на обоих концах обслуживаемого канала.
Вопрос производительности не снят
Решая проблему безопасности, сетевые менеджеры при организации виртуальных частных сетей не должны забывать и о производительности. Если сравнить использование арендованных каналов и Internet для взаимосвязи ЛВС, то одним из основных аргументов в пользу первых будет скорость работы. Арендованный канал гарантирует пересылку конкретных данных с определенной скоростью, скажем, 56 Кбит/с. По условиям контракта на его использование телекоммуникационная компания обязуется предоставлять корпорации данный канал в любое время для передачи данных с оговоренной скоростью.
Конкуренцию арендованным каналам составляет пакетная пересылка информации, например передача данных по технологии frame relay. Она также предоставляет подобные гарантии относительно CIR (Committed Information Rate - предоставляемая скорость передачи данных). Например, значение CIR может быть включено в контракт, заключаемый с поставщиком услуг связи, который в этом случае принимает на себя обязательство обеспечить конкретную скорость передачи информации по сети frame relay.
Internet не дает гарантий, подобных CIR. Единственный параметр, в котором менеджер может быть совершенно уверен, - пропускная способность канала доступа в Сеть, предоставляемого местным сервис-провайдером Internet. Многие пользователи предъявляют претензии к малой скорости работы в Сети, но обычно это никоим образом не связано с недостатками магистрального канала провайдера услуг.
Чаще всего причина недостаточной производительности Internet связана с малой скоростью каналов доступа в Сеть, перегрузкой маршрутизаторов или занятостью Web-серверов. При передаче данных по корпоративной Internet-ВЧС они пересылаются от одного узла компании к другому. При этом вряд ли возникнут проблемы производительности, характерные для рядового пользователя Сети: применение коммутируемого канала и модема со скоростью 9600 бит/с; попытки связаться с перегруженными
Web-страницами, содержащими огромные GIF-файлы, коды языка моделирования виртуальной реальности VRML, мультипликацию Shockwave или встраиваемые Java-приложения.
Повысить производительность Internet стремятся в числе прочих и разработчики маршрутизаторов, предлагая собственные решения этой проблемы. Их главная цель состоит в поддержке таких Internet-приложений, для которых большое значение имеет время отклика системы, например мультимедийных. Однако многие предложенные решения внесут свою лепту и в развитие рынка виртуальных частных сетей.
Так, версия 11 ПО маршрутизации фирмы Cisco (Сан-Хосе, шт. Калифорния), выпуск которой запланирован на лето, будет поддерживать протокол RSVP (Resource Reservation Protocol - протокол резервирования ресурсов), разработанный целевой группой IETF. При его создании преследовалась цель гарантированного предоставления пользователям Internet определенной полосы пропускания. Эта идея привлекательна для администраторов ВЧС, стремящихся к тому, чтобы Сеть постоянно обеспечивала такую же пропускную способность, как и арендованные каналы. К сожалению, RSVP еще не вышел из стадии разработки, и к тому же можно лишь предполагать, что произойдет с общей производительностью Internet, когда "резервировать" полосу пропускания начнет одновременно множество ресурсоемких приложений.
Комплексная организация ВЧС
Сервис-провайдеры Internet и поставщики услуг дальней связи также не желают остаться в стороне от рынка виртуальных частных сетей. Предлагаемые ими комплексные услуги могут вызвать интерес многих компаний.
Такие поставщики услуг связи, как корпорация MCI Communications и компания U.S. Sprint Communications приступили к организации частных внутрикорпоративных сетей, которые будут отделены от общего доступа в Internet. Так, MCI (Вашингтон, округ Колумбия) объявила о намерении организовать шифрованную передачу информации по Сети. Эта новая услуга, получившая название Safenet, рассчитана на финансовый рынок и рынок электронной коммерции, однако уже в текущем году корпорация планирует начать предоставление этой услуги потребителям других Internet-ВЧС общего назначения.
Один из сервис-провайдеров Internet, фирма PSInet (Херндон, шт. Виргиния), предоставляет клиентам доступ в Internet по сети frame relay. В рамках этой услуги, названной InterFrame, клиенты получают как обычный доступ в Сеть, так и постоянные виртуальные каналы (PVC - Permanent Virtual Circuits), соединяющие два узла внутрикорпоративной сети посредством Internet-магистрали фирмы PSI. Это дает сетевым менеджерам возможность организовывать виртуальное соединение с каким-либо удаленным узлом по сети сервис-провайдера Internet, а также подключаться к Сети, используя для решения обеих задач единый канал связи с провайдером услуг. Маршрутизатор, оснащенный интерфейсом frame relay, направляет трафик внутрикорпоративной сети по PVS, а весь остальной - по Internet-подключению "для прочих сообщений". Постоянные виртуальные каналы проходят по Internet, однако маршрутизаторы и сеть PSI логически выделяют их из остального трафика.
В качестве дополнительной меры безопасности фирма PSI предлагает Secure Connect, программный продукт для подключения к InterFrame. Это ПО обеспечивает аутентификацию пользователя при попытке доступа в сеть и шифрование данных на уровне маршрутизатора.
Даже те сетевые администраторы, которые уже выбрали для себя приемлемую схему обеспечения безопасности, не должны забывать о наличии самых разнообразных индивидуальных подходов и стандартов, многие из которых требуют установки на обоих концах канала Internet-ВЧС систем одного и того же производителя.
Избавиться от этого недостатка позволили бы общепринятые стандарты. Целевая группа IETF сейчас рассматривает предложение о создании службы IP-Sec (Secure IP - безопасный IP), предназначенной для выработки стандартов безопасной версии протокола IP. Несколько производителей брандмауэров и маршрутизаторов уже производят тестирование IP-Sec в рамках проекта S-WAN (Secure Wide Area Network - защищенная глобальная сеть).
Одним из инициаторов S-WAN является фирма RSA Data Security (Редвуд-Сити, шт. Калифорния), известный производитель программных средств шифрования. Ею предложен собственный комплект программного инструментария для взаимодействия со стандартом IP-Sec. Если он окажется приемлемым, то разработчики получат стандартное средство создания такой оболочки IP-пакетов, которая позволит проводить их обработку и дешифровку с помощью любого ПО, поддерживающего стандарт IP-Sec.
Создание S-WAN, как и других схем обеспечения безопасности в Internet, было связано прежде всего с электронной коммерцией. Однако средства, предназначенные для решения обширной проблемы обеспечения безопасности в Сети, вполне вписываются и в концепцию использования Internet для создания виртуальных частных сетей.
Уильям Датчер
Поиск виноватых
В большинстве случаев проблемы с производительностью в Internet являются симптомами использования низкоскоростных каналов доступа, перегрузки маршрутизаторов и постоянных Web-серверов
ПОСТОЯННЫЕ ВИРТУАЛЬНЫЕ СЕТИ СЕРВИС-ПРОВАЙДЕРОВ В INTENET
ШИФРОВАНИЕ IP-ПАКЕТОВ
ОРГАНИЗАЦИЯ ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЕЙ ЧЕРЕЗ INTERNET