Журнал "Сети" #11/99
Джоул СНАЙДЕР
Таблица. Продукты для виртуальных частных сетей
Спектр продуктов, предназначенных для организации и использования виртуальных частных сетей (VPN), сегодня необычайно широк - от простых устройств шифрования данных до средств многопротокольного туннелирования. Однако все они обладают одним и тем же недостатком - их возможности администрирования никак не назовешь изощренными.
Бизнес компаний, предлагающих средства для сетей VPN, сегодня на подъеме. Кажется, не проходит недели без сообщения о новом продукте, который пользователи, интересующиеся виртуальными частными сетями, должны внести в список своих возможных приобретений.
Негативным последствием бума, охватившего сектор VPN, стала излишняя фрагментированность этого рынка. В настоящее время вам не составит особого труда подыскать себе приложение для шифрования трафика или развертывания сети VPN, однако законченного решения, способного охватить все проблемы заказчика (подключить удаленных пользователей к корпоративной сети, организовать защищенные туннели для передачи трафика от филиалов компании и реселлеров через Internet в центральный офис, обеспечить шифрование наиболее критичных компонентов внутреннего трафика), на рынке не существует.
Подавляющее большинство поставщиков VPN-продуктов сегодня сконцентрировалось на средствах туннелирования и шифрования, тогда как другие, например средства обеспечения качества сервиса (QoS), которые имело бы смысл реализовать в поставляемом заказчику решении, попросту не поддерживаются. Такое положение вещей заметно осложняет жизнь сетевых администраторов, стремящихся построить настоящую виртуальную частную сеть, зато избавляет от ненужных финансовых и временных затрат тех, кто заинтересован всего в одной операции, например в шифровании данных.
При отсутствии универсальной договоренности о том, что же должна включать в себя сеть VPN и как ее следует строить, производители разделились на три лагеря - в соответствии с тремя "рабочими" уровнями (вторым, третьим и четвертым) семиуровневой модели OSI. Характеристики предлагаемых ими продуктов сведены в таблицу.
Средства VPN, используемые на нижнем, втором, уровне модели OSI, инкапсулируют трафик IP и других протоколов - IPX, AppleTalk. Они же обеспечивают независимость создаваемой сети от конкретной платформы, поскольку в данном случае клиентские системы обычно не требуется оснащать специальными программными или аппаратными средствами, за исключением адаптера, поддерживающего доступ по коммутируемой линии. К отрицательным сторонам этого подхода следует отнести его ориентацию исключительно на одиночных удаленных пользователей (а не на филиалы компаний) и отсутствие гибкости, необходимой администраторам для управления связью между локальными сетями.
К этой группе относятся продукты, которые используют как давно появившиеся протоколы, скажем Layer 2 Forwarding (L2F) и Point-to-Point Tunneling Protocol (PPTP), так и сравнительно недавно утвержденный стандарт Layer 2 Tunneling Protocol (L2TP), пришедший им на смену.
Есть основания прогнозировать дальнейший рост данного сегмента рынка, особенно в связи с тем, что ведущие фирмы, вроде Cisco Systems и 3Com, начали поставлять продукты, поддерживающие L2TP, Internet-провайдерам и телефонным компаниям. Наименьший же вклад в этот процесс дадут поставки VPN-продуктов корпоративным заказчикам. Администраторы корпоративных сетей скорее потратят выделенные им средства на инвестиции в постепенно набирающую вес технологию VPN третьего уровня, которая обеспечивает связь между удаленными отделениями компаний и функционирование экстрасетей.
В то время как продукты второго уровня осуществляют инкапсуляцию различных видов трафика в IP-пакеты, средства третьего уровня выполняют инкапсуляцию IP в IP. Основные события в этом секторе разворачиваются вокруг протокола аутентификации, туннелирования и шифрования IP-пакетов IP Security (IPSec), стандартизованного консорциумом Internet Engineering Task Force (IETF). Более ранние технологии шифрования и обмена ключами, например SKIP компании Sun Microsystems, постепенно вытесняются стандартами IETF. Основанные на них продукты заметно выигрывают перед своими конкурентами, поскольку реализуют лучшие идеи, возникшие в процессе разработки стандартов. В такой сфере, как шифрование данных, это имеет первостепенное значение.
Виртуальные сети, поддерживающие IPSec, позволяют использовать в одной сети оборудование и программное обеспечение нескольких поставщиков. Вы можете приобрести клиентские приложения для ПК, компьютеров Macintosh и Unix-станций, аппаратные средства VPN для удаленных филиалов, а для центрального офиса использовать оборудование различных фирм, выбрав лучшее из того, что предлагает каждый из них. Так обстоит дело в теории. Однако уже первые проведенные нами тесты показали, что многочисленным заявлениям производителей о совместимости выпускаемых ими изделий с разработками других компаний не стоит доверять безоговорочно.
Подобно своим собратьям, средства VPN четвертого уровня в сущности представляют собой шифраторы, выполняющие инкапсуляцию пакетов. Правда, продукты этой категории зачастую привязаны к единственному приложению, например электронной почте. Что же касается общераспространенных реализаций вроде, HTTP over SSL, то сегодня они присутствуют в любом браузере: наберите http:// и можете считать, что вы уже находитесь в виртуальной частной сети четвертого уровня. Тем не менее средства электронной почты с шифрованием, например SMTP over Transport Layer Security, и поддерживающие шифрование программные оболочки на базе наполовину патентованных протоколов, наподобие Secure Shell, продолжают активно распространяться.
Несмотря на сегментированность рынка, сегодня здесь доминируют продукты для VPN третьего уровня. Вы наталкиваетесь на них повсюду - в маршрутизаторах, брандмауэрах, программном обеспечении и выделенных аппаратных средствах. Хотя стандарты VPN и их конкретные реализации довольно сложны, эта сложность оказывается скрытой от сетевых администраторов, что, кстати, делает предложения разных производителей весьма схожими, даже если они ориентированы на различные платформы.
Наиболее сильные различия между VPN-продуктами обнаруживаются на уровне административного интерфейса. До настоящего времени управляющие утилиты остаются ахиллесовой пятой разработок для виртуальных частных сетей третьего уровня. Большинство поставщиков вынуждают вас возиться с каждым VPN-устройством по отдельности, что вполне приемлемо, если требуется обеспечить связь между двумя клиентскими станциями, но превращается в непосильную задачу, когда число устройств перевалило за две сотни.
Компании Internet Dynamics, VPNet, Check Point Software и некоторые другие предлагают неплохие средства администрирования, позволяющие контролировать несколько узлов VPN в рамках единого домена управления. Возможность отслеживать работу сотен и даже тысяч удаленных пользователей заметно выделяет разработки таких фирм, как Intel и Microsoft. Мы надеемся, что в будущем году предоставлять своим клиентам усовершенствованные средства управления начнут и другие производители.
По самой своей природе сети VPN, использующие третий уровень модели OSI, довольно просты, что затрудняет реализацию в предлагаемых продуктах каких-либо изощренных функций. Несмотря на то что важность IP-сжатия (которому обычно подвергаются IP-пакеты перед шифрованием) практически общепризнана, эта процедура сегодня выполняется далеко не во всех продуктах. Лишь третья часть приведенных в нашей таблице разработок поддерживает IP-сжатие .
Какие-то иные дополнительные функциональные возможности удается встретить еще реже. Так, молодая компания Network Alchemy, приступившая к поставкам своего первого VPN-продукта в июне, пока в гордом одиночестве предлагает интегрированные средства выравнивания нагрузки и кластеризации.
Как ни странно это звучит, но одна из причин отмеченной скудости дополнительных функций может быть связана с большим количеством производителей, проявляющих активность в данном секторе рынка. Жесткая конкуренция заставляет менеджеров по продуктам сконцентрировать все усилия на продажах, а не тратить и без того ограниченные ресурсы на коренную модернизацию уже существующих разработок.
Впрочем, возникшая среди производителей "давка" имеет и безусловно положительное следствие, вынуждая их значительно снижать цены. Некоторые поставщики аппаратных средств, включая Intel, Nortel Networks, Lucent Technologies и VPNet, предпочли в качестве аппаратной платформы для своих решений использовать обычные персональные компьютеры, что позволило сократить как финансовые затраты на разработку, так и продолжительность производственного цикла.
Но, на наш взгляд, верх в ценовой войне в конечном счете одержат те компании, которые не пожалеют времени и средств на создание собственного оригинального оборудования; в качестве примера можно назвать фирмы RADGUARD, RedCreek и TimeStep. После того как процесс разработки завершится, продукция этих производителей наверняка окажется дешевле, поскольку они будут избавлены от необходимости приобретать необязательные компоненты для своих изделий.
Возможно, кому-то покажется, что поставщики программных продуктов для виртуальных частных сетей имеют большие прибыли. Однако сетевым администраторам хорошо известна стоимость NT-серверов, на которых предстоит установить программное обеспечение VPN, предлагаемое такими компаниями, как Check Point Software, Data Fellows и Axent. Именно эти дополнительные расходы и не позволяют разработчикам ПО занять господствующее положение на рынке VPN-продуктов.
Один из важнейших компонентов VPN, до сих пор практически не представленный на рынке, - инфраструктура общедоступных ключей (public-key infrastructure, PKI). При наличии глобальной PKI пользователи получают возможность организовать без- опасный обмен данными, не устанавливая предварительно специальных отношений друг с другом. Достаточно знать почтовые адреса и иметь минимум дополнительной информации, чтобы отсылать и получать надежно зашифрованные сообщения электронной почты.
В отсутствии инфраструктуры общедоступных ключей реальные виртуальные частные сети на базе Internet оказываются ограничеными рамками специализированных решений. Построить же подобную инфраструктуру, поддерживающую несколько тысяч пользователей, даже в пределах одной компании - задача не из простых.
Необходимость организации PKI в крупных сетях VPN некоторые производители уже понимают. Соответствующие средства появились в составе продуктов, предлагаемых фирмами TimeStep и Check Point. Корпорация Microsoft, без особого шума, также включила средства PKI в операционную систему Windows NT и приложения BackOffice.
Доминирование виртуальных частных сетей третьего уровня сегодня очевидно, и корпоративные заказчики постепенно начинают осознавать, что они без особого труда могут реализовать в своих сетях шифрование IP-трафика такой степени надежности, которая еще недавно была доступна только военным ведомствам. Однако неспособность продуктов разных компаний к взаимодействию, отсутствие дополнительных функций и средств для обмена ключами с PKI сильно увеличивают риск, связанный с выбором решений конкретного поставщика. Несмотря на то что ряд VPN-продуктов практически перешел в категорию товаров массового потребления, процесс построения виртуальной частной сети все еще обещает вам немало приключений.
Управление ключами является составной частью любой виртуальной частной сети. Протокол IP Security обеспечивает обмен ключами через Internet (Internet Key Exchange, IKE) и поддерживает актуальные значения ключей между любыми двумя участниками туннельной передачи. Однако поддержание всего туннеля в состоянии стопроцентной готовности или его предварительная активизация (bootstrapping) представляет собой серьезную проблему.
Активизация туннеля включает в себя передачу первоначальных ключей между взаимодействующими сторонами, что позволит им начать обмениваться данными в защищенном режиме. После формирования защищенного канала функции контроля за информационной безопасностью переходят к IKE. Чем больше число туннельных каналов, соединяют ли они офисы филиалов компании или отдельных пользователей (последнее встречается чаще), тем сложнее становится процедура их предварительной активизации.
В настоящее время существуют три подхода к решению этой задачи. Первый - наименее привлекательный - основан на вводе ключей вручную. Впрочем, задавать вручную все параметры всех ключей сегодня не возьмется никто, разве что военные. Второй вариант опирается на так называемые секреты (secrets), предварительно заданные сетевым администратором на обоих концах соединения. Это вполне работоспособный алгоритм, но, к сожалению, он плохо масштабируется. Наконец, третий подход требует привлечения независимого "участника", который именуется инфраструктурой общедоступных ключей (PKI) и обеспечивает распределение ключей, а также управление ими.
Задавшись целью протестировать способность VPN-продуктов взаимодействовать со средствами PKI других производителей, мы прибегли к помощи компании Entrust Technologies, одного из ведущих поставщиков продуктов PKI.
В результате проведенного исследования удалось выявить три уровня поддержки инфраструктуры PKI. Верхние строчки в нашем рейтинге заняли разработки TimeStep и Check Point Software, которые позволили построить виртуальную сеть с использованием уже имевшихся средств PKI, извлечь ключи и наладить постоянное взаимодействие с PKI. В крупной сети это единственный способ приступить к продуктивной работе в обозримое время.
В отсутствии постоянного сеансового доступа программные средства оказываются не в состоянии проверять подлинность сертификатов по спискам аннулированных ключей для обнаружения недействительных соединений.
Корпорация Cisco Systems также имеет в своем арсенале протокол обработки сертификатов - Certificate Enrollment Protocol (CEP). Он используется в маршрутизаторах этой фирмы и поддерживается рядом производителей VPN-продуктов и средств PKI.
Разработкам упомянутых компаний заметно уступают продукты второй группы, которые требуют, чтобы сетевой администратор настраивал процедуру взаимодействия с PKI вручную, как правило вставляя дискеты, полученные от уполномоченного органа сертификации, в накопитель на управляющей станции. Этот вариант в общем-то неплох на стадии запуска сети, однако страдает недостатком масштабируемости, поскольку не предлагает простого способа доставки ключей из PKI к устройствам виртуальной сети. Мы протестировали процедуру обмена ключами, обратившись к разработкам Data Fellows и RADGUARD, и убедились, что сети VPN, построенные на продуктах этих компаний, способны взаимодействовать между собой без предварительной установки секретов.
Наконец, последними в списке оказались производители, которые сумели обеспечить ручной обмен ключами с PKI, но не взаимодействие с изделиями других фирм. Типичными представителями данной группы являются Intel, Nortel Networks и VPNet.