Заметки из лаборатории
Всегда существовала возможность создания виртуальной глобальной сети с помощью Internet, но многие компании до сих пор так и не решились на это из-за существенного риска, связанного с безопасностью. Новый продукт корпорации Digital Equipment (Мейнард, шт. Массачусетс) решает эту проблему, позволяя компаниям использовать зашифрованные "туннели" в Internet для соединения удаленных узлов с центральными сетями.
Продукт Digital Internet Tunnel, выпущенный в феврале, фактически состоит из двух отдельных частей: Group Tunnel ($4995), которой необходима машина AlphaStation или AlphaServer под Digital Unix, и Personal Tunnel ($99), работающая под Windows 95.
Клиент Personal Tunnel продукта Digital Internet Tunnel
Компании могут безопасно соединить две ЛВС через Internet, установив в каждой из них сервер Group Tunnel. С помощью клиента Personal Tunnel мобильные пользователи могут подключиться к сети компании, используя любого поставщика услуг Internet, не опасаясь рассекречивания важных данных.
Продукт корпорации Digital, который даже позволяет подключать пользователей и удаленные ЛВС через корпоративный брандмауэр, построен на основе стандартного механизма RSA-шифрования с аутентификацией по частному и открытому ключу, а в США - на базе 128-разрядной схемы RC4-шифрования с секретным ключом (международная версия использует 40-разрядный ключ).
Несмотря на всю свою мощь и безопасность, продукт имеет несколько недостатков. Некоторые организации может обеспокоить ограниченность поддержки платформ (единственный выбор для серверов - это Digital Alpha под Digital Unix, а для клиентов - Windows 95). При испытании программы Personal Tunnel в Тестовом центре PC Week Labs мы заметили уменьшение скорости передачи данных, связанное, вероятно, с процессом шифрования. А процесс инсталляции не так прост, как хотелось бы.
Мы начали его, создав индивидуальные конфигурационные файлы для каждого подключаемого клиента, будь то индивидуальный мобильный пользователь или отдельная ЛВС, использующая сервер Group Tunnel в качестве клиента. Мы ввели информацию о клиентах - их названия и IP-адреса, указав, к каким подсетям они должны получить доступ (несколько запутанный шаг), и предоставив им IP-адреса. Самый простой способ распределения IP-адресов - задать диапазон динамических IP-адресов и позволить серверу Tunnel самому присваивать их клиентам "на лету", когда они подключаются к сети.
После окончания настройки клиентов мы перешли к конфигурированию защиты, создав файл клиентских ключей и назначив пароль. При этом автоматически создается ETA-файл (Encrupted Tunnel Application - зашифрованное туннельное приложение), который содержит всю информацию о подключении клиента.
Мы завершили процесс, передав эти файлы самим клиентам либо через Internet с помощью таких механизмов, как FTP, либо просто послав им дискету с файлами.
Нам показалось, что конечному пользователю будет довольно легко подключиться к туннельному серверу с помощью клиента Personal Tunnel. Мы просто скопировали ключ и ETA-файлы на систему и загрузили их в клиентскую программу. Из ETA-файла была автоматически извлечена информация, необходимая для подключения к серверу.
Затем нам нужно было лишь ввести требуемый пароль для защищенного подключения к сети через сервер Group Tunnel. Мы даже могли подключиться через брандмауэр, назначив серверу Group Tunnel открытый порт.
Клиентская программа пакета Digital Internet Tunnel применяет программный драйвер для создания псевдоадаптера. Он работает как виртуальный сетевой адаптер, который система, в свою очередь, использует для передачи данных по сети.
Другие компании предлагают продукты со сходными возможностями, однако у них есть свои недостатки.
Например, ОС NetWare фирмы Novell можно сконфигурировать с IP-туннелированием, что позволит соединять сети NetWare через сеть TCP/IP, так, как в случае Internet.
В этот продукт, однако, не встроено никаких возможностей шифрования, что может обеспокоить компании, имеющие частную информацию, которую легко выведать с помощью программы-"ищейки".
С другой стороны, многие продукты типа брандмауэра позволяют соединить сети через защищенную линию, но этот метод требует установки одного и того же брандмауэра на каждом узле. По крайней мере на сегодняшний день продукт Tunnel корпорации Digital наиболее близок к оптимальному решению.
Подробную информацию о продукте Digital Internet Tunnel можно получить в корпорации Digital Equipment по телефону: (800) 346-7890 или через Web: http://www.digital.com. Телефон московского представительства Digital: (095) 244-9540.
Джим Рапоза
Как сохранить секреты
Используя клиент Personal Tunnel для Windows 95 ценой $99, мобильные пользователи могут подключиться к корпоративной сети с помощью любого поставщика услуг Internet, не опасаясь рассекречивания важных данных