Обзор Средства защиты информации и бизнеса 2006	подготовлен	При поддержке

Арсенал: Выбор VPN: железо или софт

Хотя различия между программными и аппаратными решениям становятся все призрачнее, в зависимости от поставленной задачи чаша весов склоняется в ту или иную сторону. При выборе VPN в первую очередь нужно не только обращать внимание на цену и технические характеристики, но думать об эффективном решении поставленной задачи.

Защита всегда должна быть оправданной, будь то финансовая сторона вопроса или удобство использования, быстрота развертывания. Выбором всегда требует взвесить все за и против. В первую очередь необходимо четко поставить задачу — что необходимо, зачем и сколько денег целесообразно на это потратить. Экономить на защите неправильно в корне, но и покупать самое продвинутое устройство для каждой задачи тоже нецелесообразно. Рынок VPN- решений переполнен различными предложениями, не проходит и дня без анонса нового продукта какой-нибудь компании, и сделать правильный выбор становится все сложнее.

Передавая данные через интернет, никогда нельзя быть уверенным в отсутствии НСД к транспортируемой информации. Именно поэтому возникла потребность в шифровании трафика между отправителем и получателем. Важность защиты конфиденциальной информации осознается только на горьком опыте ее утечки, когда компании теряют миллионы долларов от попадания чувствительных сведений третьим лицам. Технология VPN позволяет обеспечить как целостность передаваемой информации, невозможность ее «осмысленной» модификации, так и конфиденциальность. Иными словами, реализуется невозможность получения несанкционированного доступа третьими лицами к защищаемой информации. Собственные каналы связи могут позволить себе немногие компании, поэтому VPN — единственная возможность создать защищенный канал между филиалами поверх публичных сетей. С помощью этой технологии можно решить вопросы криптографической защиты трафика, реализовать удаленный доступ с гарантией защиты передаваемой информации, обеспечить авторизацию средствами различных протоколов, создать распределенную инфраструктуру компании без прокладки физических сетей.

Перед выбором конкретного VPN-решения необходимо определиться с его назначением и поставить задачу, которую будет призван решить продукт.

Intranet VPN

Наиболее широкое распространение получил вариант организации единой защищенной сети при наличии нескольких распределенных филиалов, подключенных к открытым каналам связи. Организация выделенных линий между филиалами — чрезмерно затратное решение, поэтому возможность защищенной передачи трафика по каналам интернета существенно сокращает расходы. Для такого решения необходимо использовать серьезное оборудование, класс которого зависит от предполагаемого трафика и количества подключений. Для организации VPN LAN-to-LAN проще, с точки зрения развертывания и надежности, использовать аппаратные решения. В России, к сожалению, чаще практикуется создание туннелей между сетями на основе софт-решений в связи с нежеланием тратить значительные деньги на оборудование.

Наиболее распространенным вариантом решения такой проблемы является создание FreeBSD VPN шлюзов, популярность которых объясняется репутаций одноименной операционной системы, ее надежностью и безопасностью. Конечно, никто не мешает использовать и другие программные решения — например, предлагаемые компаниями Check Point Software, Microsoft, Novell, однако, эти продукты далеко не бесплатны. Оплата труда в России ниже, нежели за рубежом, поэтому с экономической точки зрения иногда целесообразнее выбирать такой путь, но он довольно тернист. Во-первых, специалист должен обладать серьезной квалификацией, чтобы построенное им решение было эффективным. Два или три филиала объединить в единую интранет-VPN сеть еще не так затруднительно, но дальнейшее развитие распределенной сети, скорее всего, приведет к сложностям администрирования, аудита, обеспечения работоспособности, а также к вероятности проведения атаки на текущую реализацию из-за ошибок в проектировании.

Многих проблем позволяют избежать аппаратные решения, к тому же, они менее сложны при конфигурации и развертывании. Правда, на рынке присутствуют уже готовые софт-решения, позволяющие избежать сложностей с развертыванием, а также реализованной системой управления, причем как зарубежных, так и отечественных производителей, среди которых есть немало сертифицированных ФСБ и Гостехкомиссией.

Intranet VPN

Extranet VPN

Ситуация с организацией Extranet VPN похожа по построению на интернет реализацию с той лишь разницей, что сегменты сети принадлежат разным организациям и необходимо разграничивать доступ, чтобы предотвратить НСД со стороны других компаний к конфиденциальным данным. Для таких решений необходимо наличие, зачастую, опциональных модулей аутентификации и межсетевых экранов, что совсем не удешевляет применение аппаратных решений.

Extranet VPN

Remote access VPN

Данная реализация пришла на смену dial-in доступу, что позволило значительно повысить как качество доступа к корпоративным ресурсам извне, так и защитить передаваемую информацию. Такое решение не требует значительных вычислительных ресурсов, хотя все зависит от конкретной ситуации, точнее от количества клиентов. Ясно, что мобильный пользователь, подключающийся к VPN-серверу компании, находясь в командировке, вряд ли создаст трафик, сравнимый с тем объемом информации, который передается при случае организации туннеля LAN-to-LAN. Такой вариант реализации VPN легче делать программным, нет сильной нагрузки на шлюз, и к тому же настройка такой конфигурации не представляется накладной. Рынок аппаратных решений тоже пестрит предложениями, к тому же для такой задачи он дополняется еще и технологией SSL VPN, которая работает на уровне приложений модели OSI.

Remote access VPN

Client/Server VPN

Вариант Client/Server VPN обеспечивает защиту передаваемых данных между двумя хостами корпоративной сети. В таком случае шифрованный канал строится в пределах одного физического сегмента сети. Такая необходимость возникает в тех случаях, когда в одной физической сети необходимо создать несколько логических сетей. Например, когда надо разделить трафик между бухгалтерией и отделом маркетинга, обращающимся к серверам, которые находятся в одном физическом сегменте. При этом обеспечив не только маршрутизацию трафика, реализуемую, например, при помощи технологии VLAN, но и защитив передаваемую информацию с использованием криптографических алгоритмов.

Client/Server VPN

Аппаратные или программные VPN?

Несмотря на огромное различных продуктов VPN, все их можно разделить на 3 довольно обширные категории: аппаратные системы (hardware-based VPN), системы, выполненные на основе межсетевых экранов (firewall-based VPN) и автономные программные продукты.

Большинство аппаратных VPN систем представляют собой роутеры с функцией шифрования трафика. Они обеспечивают безопасность и легки в использовании, так как их установка максимально приближена к «plug and play». Считается, что они обеспечивают наибольшую пропускную способность среди всех продуктов VPN. Это обусловлено тем, что они не тратят процессорное время «впустую» на работу операционной системы или других приложений, а также не занимаются побочными действиями, например, фильтрацией трафика. Однако, такие системы не столь гибки, как, скажем, системы на основе программных решений. Такие устройства применяться для построения Intranet VPN. Лучшие предложения аппаратных шлюзов включают в себя софт-клиенты для удаленной установки, и в них интегрированы некоторые возможности контроля доступа, которые традиционно свойственны межсетевым экранам и другим устройствам по защите периметра. Такие устройства приближаются к классу firewall-based VPN.

Устройства на базе межсетевого экрана при организации виртуальной сети используют в своих интересах механизмы безопасности, свойственные устройствам разграничения доступа, например, ограничивая соединения с внутренней сетью компании. Также в них зачастую реализованы функции трансляции адресов, может присутствовать уже вшитый производителем сертификат для осуществления строгой аутентификации и присутствовать возможность real-time оповещений администратора различными способами, а также ведение подробнейших логов.

Все перечисленные свойства, несомненно, очень полезны, но везде есть своя ложка дегтя. Чем больше функций реализует устройство или программа, тем априори больше вероятность существования уязвимости в той или иной компоненте системы, что может привести к неработоспособности всех остальных. Большинство производителей «укрепляют» ядро своих устройств, снимая опасные и ненужные функции ОС, тем самым, обеспечивая дополнительную безопасность. Производительность роутера может быть снижена, если он уже загружен другими действиями, что плохо сказывается на его основной функции — предоставление сервисов VPN пользователям, поэтому не лишнем будет специальный процессор, реализующий аппаратно криптографические протоколы, чтобы минимизировать нагрузку на CPU.

Программные реализации VPN идеальны, когда конечными точками не управляет одна и та же организация (типичный пример — поддержка клиентов и организация общей сети с партнером), или когда различные межсетевые экраны и роутеры уже имплементированы в сети одной организации. В настоящее время, софт-решения предоставляют больше гибкости, нежели аппаратные, когда это касается управления трафиком. К примеру, большинство программных VPN предоставляют возможность туннелирования, основываясь на IP адресах или протоколах, в отличие от аппаратных решений, которые обрабатывают весь трафик без разбора, хотя такие возможности реализуются в некоторых устройствах. Подобное избирательное шифрование трафика можно выгодно использовать в разных ситуациях, например, применять VPN при осуществлении select запроса из базы данных и отказаться от его использования при серфинге Сети. Но программные VPN проигрывают по параметрам легкости управления и администрирования, к тому же безопасность системы в целом теперь еще становится зависима от операционной системы на сервере, а также от всех установленных приложений, компрометация которых чревата и для VPN.

Что нужно на практике?

Шифрование протоколов по выбору. Некоторые вендоры аппаратных платформ создают устройства, позволяющие шифровать отдельно взятые протоколы. Такие решения предлагают защищать или не защищать трафик в зависимости от службы, которой он предназначается. Также такие продукты легче интегрируются с решениями других компаний. Например, с межсетевыми экранами, которые не могут работать с зашифрованным трафиком, как с обычными пакетами, в силу того, что поля заголовков различных протоколов зашифрованы и недоступны для анализа. Для программных аналогов такого рода проблема почти не существует, ведь здесь нет четкой привязки к прошивке устройства, программный продукт более гибок в плане настройки, но и более сложен.

Топология. Большинство производителей поставляют VPN-шлюзы с двумя портами, один смотрит во внутреннюю сеть, другой — во внешнюю, что несколько осложняет построение произвольной топологии на базе таких устройств. Однако некоторые производители учли этот недостаток и предлагают устройства с тремя и более портами. К тому же существуют решения, называемые firewall-based VPN шлюзы, в которых функция VPN предоставляется в качестве дополнения к основным возможностям — такие устройства по умолчанию имеет большее количество Ethernet-портов. При использовании программного решения, которое установлено на сервере, все ограничивается количеством сетевых карт и возможностью процессора для обработки проходящей информации.

Поддержка центра сертификаций (Certificate Authority). Имея в своем арсенале развернутую инфраструктуру открытых ключей (PKI), воспользоваться ею при организации VPN было бы очень разумно. Возможность работы с центром сертификации позволяет повысить уровень безопасности. Пользователи в таком случае получают возможность организовать обмен данными, без предварительной истории отношений.

Ведение логов, расширенный аудит. При выборе из нескольких устройств или программ, которые подходят по всем параметрам, непременно стоит обратить внимание на возможность ведения аудита. Кроме того, если уже внедрено централизованное ведение логов, управляемое, например, через единый интерфейс, то стоит задаться вопросами: а можно ли интегрировать приобретаемый продукт в существующую инфраструктуру? Как обстоят дела с SMTP, если это аппаратная платформа? Даже если продукт только и умеет, что считать количество переданных данных, уже на основе этих данных можно судить о работоспособности, нагрузке, количестве пользователей шлюза.

Удобное управление. Если управление VPN затруднено, и существует возможность только локального решения проблем, то такие продукты явно не способны работать в большой распределенной сети, так как их администрирование потребует значительных человеческих ресурсов.

При выборе нужно быть внимательнее, так как рынок VPN решений развивается, и архитектурные особенности становятся все менее различимыми. Производители устройств добавили к своим аппаратным продуктам программные клиенты, расширили возможности сервера, предоставив различные возможности, ранее свойственные лишь программных VPN, реализовали интересные функции безопасности. Software-based шлюзы научились работать со специальными платами, реализующими аппаратное шифрование. Таким образом, различия между программными и аппаратными средствами становятся менее значимыми.

Юрий Сергеев