Заметки из лаборатории В устройстве для виртуальных частных сетей гибкость приносится в жертву простоте

 

В начале мая фирма DSN Technology (Ронконкония, шт. Нью-Йорк) представила блок NetFortress. Новое устройство, разработанное с использованием спецификации “включи и работай”, значительно упрощает создание и развертывание виртуальных частных сетей в Internet.

 

В то же время NetFortress не предохраняет сеть от доступа других пользователей, оснащенных такими же блоками, в силу чего ключевым элементом ее защиты по-прежнему остается брандмауэр. Но в современных программных реализациях этих средств обеспечения безопасности применяется технология виртуальных частных сетей, что позволяет им полностью удовлетворить все потребности компании в этой области.

 

Более того, NetFortress  -  продукт узкоспециализированный, позволяющий использовать Internet только для виртуальных частных сетей и ни для чего больше, то есть доступ ко “Всемирной паутине” становится совершенно невозможным. С другой стороны, отсутствие гибкости оборачивается стопроцентной безопасностью.

 

NetFortress выпускается в двух вариантах: версия для одного хост-компьютера с поддержкой единственного IP-адреса и многохостовая версия, необходимая для связывания целых сетей. Их цена  -  $4995 и $8995 соответственно. В NetFortress может быть введено IPX-шифрование, что обойдется дополнительно в $500 на один блок.

 

NetFortress как средство замены дорогостоящих арендованных каналов глобальных сетей между удаленными узлами на виртуальные частные сети не имеет себе равных.

 

Однако многим компаниям недостаточно простого шифрования и дешифровки всех данных в реальном масштабе времени; при подключении к Internet им необходима большая гибкость. Функционирование NetFortress, например, не только делает невозможным доступ извне к Web-узлу и другим корпоративным системам для клиентов и служащих, не имеющих таких же устройств, но не допускает и прохождения внутреннего трафика в незащищенные сети.

 

Хорошая замена глобальным сетям

 

NetFortress оказывается очень практичным, если компания ищет возможность использовать Internet исключительно для маршрутизации трафика между конкретными ЛВС.

 

Если же организация рассматривает Сеть не только в качестве заменителя глобальной сети, то ей придется прибегнуть к программным брандмауэрам. Такие продукты обеспечивают гораздо большую гибкость при несколько более высоких сложности и цене.

 

Действительно, при отсутствии брандмауэра ничто не в силах удержать любого пользователя NetFortress от проникновения в системы, подключенные к корпоративной сети. (Правда, за дополнительную плату DSN может установить шифрование на конкретном блоке NetFortress с помощью уникального сертификата.)

 

Жесткость и простота NetFortress весьма соблазнительны, однако они достигаются за счет гибкости, что устраивает далеко не каждого пользователя.

 

Подключись и работай

 

Черные ящики на один хост-компьютер, тестирование которых было проведено в PC Week Labs, по внешнему виду очень напоминают миниатюрные настольные ПК. Это неудивительно, ведь в их корпусе размещается немногим больше, чем несложный компьютер с Ethernet-адаптером (последний, как сообщили представители DSN, производится корпорацией Standard Microsystems).

 

Инсталляция NetFortress оказалась совершенно несложной, ничего проще не может себе представить ни один администратор сети. Если не считать подключения к электрической сети, нам пришлось лишь присоединить два кабеля к Ethernet-портам (каждый из которых оснащен разъемами 10BaseT и BNC). Один из них соединял блок с внешней сетью, а другой  -  с местной ЛВС или с рабочей станцией (в зависимости от того, рассчитан устанавливаемый блок на работу с одним хост-компьютером или является многохостовым). Таким образом, NetFortress выполняет роль буфера между внешней и внутренней сетями.

 

После первого включения NetFortress автоматически определил IP- и MAC-адреса Ethernet-порта, к которому был подключен. Чаще всего этот порт служит в качестве Ethernet-интерфейса маршрутизатора, предназначенного для шифрования данных в звене ЛВС - ЛВС, но можно также использовать NetFortress для обеспечения шифрованной связи между клиентами одной ЛВС.

 

Мы задействовали устройства NetFortress для организации защищенного канала связи между двумя ПК, входящими в более крупный Ethernet-сегмент. При этом использовались компьютеры фирмы Micron Electronics на базе 90 МГц процессоров Pentium. Один из них был сконфигурирован в качестве сервера под управлением Windows NT Server 3.51, а другой  -  в качестве клиента под управлением Windows 95.

 

Однако мы могли бы использовать рабочие станции SPARCworkstation фирмы Sun Microsystems или любые другие компьютеры, оснащенные Ethernet-портами, так как NetFortress представляет собой автономное аппаратное средство.

 

Первоначальная настройка NetFortress оказалась очень простой, однако провести повторное конфигурирование блока для работы с другими компьютерами в сети мы не смогли: информацию локальной сети после ее записи в память устройства изменить невозможно.

 

Полная готовность к работе

 

В NetFortress мы не обнаружили ни консольных портов, ни командной строки Telnet, которые позволили бы провести повторное конфигурирование устройства для шифрования данных, направляемых на другой IP-адрес или через другой Ethernet-адаптер.

 

Внести изменения в установленные параметры конфигурации можно лишь одним способом: отправить блок производителю. Возможно, вы сочтете это достоинством с точки зрения безопасности, но нам кажется, что кнопка сброса, которую вполне можно спрятать в закрываемом отсеке корпуса, ничуть не повлияла бы на степень защищенности блока.

 

При первом сеансе работы в нашей испытательной сети NetFortress понадобилось около минуты для проведения процесса инициализации, и лишь после этого мы смогли установить связь между безопасным клиентом и сервером. После этого установление FTP-подключений и монтирование томов на нашем файловом сервере под управлением Windows NT не требовало внесения даже минимальных изменений или какого-либо переконфигурирования наших ПК.

 

“Железобетонная” безопасность

 

Чтобы убедиться, что наши TCP/IP-пакеты действительно зашифрованы, мы воспользовались программным анализатором протоколов NetXRay фирмы Cinco Networks, установленным на рабочей станции под управлением Windows 95.

 

NetFortress применяет технологию шифрования IDEA и механизм обмена общественными и частными ключами Диффи - Хелмана.

 

Пока NetFortress не был установлен, NetXRay позволял нам читать всю информацию, циркулирующую между клиентами, легко “просеивая” TCP/IP-пакеты и проникая в FTP-связь. Мы даже видели вводимые пароли. Однако та же самая информация FTP-сеансов стала для нас совершенно непонятной после введения в действие блоков NetFortress. (Конечно, мы все еще имели возможность перехватывать трафик любого компьютера, не подключенного к NetFortress.) NetXRay был не способен даже определять тип IP-пакетов, проходящих по сети.

 

Еще большую безопасность системе придает то, что при подключении какого-либо устройства к NetFortress его связь с незащищенными рабочими станциями в сети становится невозможной. При установке этого средства защиты в ЛВС или на компьютере исключается их подключение к системам или сетям, не оснащенным такими же блоками. После подключения к нашему серверу NetFortress другие компьютеры под управлением Windows 95, установленные в нашей сети, поддерживать с ним FTP-связь больше не могли.

 

Майкл Суркан

 

Входа нет

 

NetFortress делает невозможным доступ извне к Web-узлу и другим корпоративным системам для клиентов и служащих, не имеющих таких же устройств

 

Гибкость брандмауэров

 

Организации, которым необходимо использовать Internet не только в качестве заменителя региональной сети, следует обратиться к программным брандмауэрам, которые предлагают гораздо большую гибкость

 

Рекомендации для корпоративных покупателей

 

Достоинства и недостатки

 

NetFortress

 

Фирма DSN Technology, Ронконкония, шт. Нью-Йорк

 

(516) 467-0400 http://www.dsnt.com

 

+         Обеспечивает самый простой способ создания виртуальных частных сетей для безопасной связи между удаленными узлами по Internet, не прибегая к арендованным каналам; предельная простота настройки; автономное устройство, совершенно независимое от платформной операционной системы.

 

-          Крайне малая гибкость; отсутствует возможность конфигурирования; необходимость брандмауэров для предотвращения несанкционированного доступа в сеть посредством таких же шифрующих устройств; цена на брандмауэры со встроенной технологией виртуальных частных сетей лишь немногим выше.

 

РЕЗЮМЕ

 

Блок NetFortress фирмы DSN Technology представляет собой простое, но очень надежное средство соединения корпоративных компьютерных систем по общедоступным сетям. Однако организациям, которые намерены использовать Internet не только в качестве проводника для своей региональной сети, следует воспользоваться технологией шифрования виртуальных частных сетей, встроенной в большинство программных брандмауэров, которые предлагают гораздо большую гибкость при несколько больших сложности и цене.