Основная | О фирме  | Новости  | Продукция |  Продажа  | Поддержка  | Разное |

VPN: зона высокого напряжения

Тадесс Гиоргис, Эд Аземар, Фархад Явари-Иссалу, Линда Викторек и Владимир Горшков

Виртуальные частные сети (VPN - Virtual Private Networks) – мощное средство организации совместной работы сотрудников компании, не умещающейся в одном здании. Но на каком из многочисленных VPN-продуктов остановить свой выбор? Чтобы ответить на этот вопрос, было организовано обстоятельное тестирование.

    Сейчас, когда на рынке сетей intranet и extranet наблюдается оживление, а число удаленных пользователей растет, сетевые администраторы, которые прежде не пускали посторонних в свои сети, теперь все чаще вынуждены идти на это. Для этой цели сегодняшние сетевые администраторы используют виртуальные частные сети (VPN - Virtual Private Networks). Эти высокие технологии позволяют сетевым администраторам применять различные функции аутентификации и шифрования, которые гарантируют высокий уровень безопасности данных на всем пространстве самой общедоступной из сетей (Internet), одновременно позволяя экономить на стоимости выделенных линий.
   
Чтобы проанализировать различные изделия, имеющиеся на рынке продуктов для VPN, и выработать рекомендации по выбору таких продуктов для сетевых разработчиков и администраторов, мы решили произвести лабораторные испытания. Для удобства оценки продукты, предложенные для испытаний их поставщиками, мы разделили на две основные категории: продукты, рассчитанные на рынок малых и средних предприятий, и продукты, предназначенные для рынка больших корпораций. Мы сгруппировали фирмы Compatible Systems Corporation, Intel Networking Hardware Division, Internet Dynamics и Red Creek Communications в категорию рынка средних предприятий. Остальные поставщики - компании Lucent Technologies Inc., RADGuard, VPNet Technologies и Xedia Corporation были отнесены к категории рынка больших корпораций.
   
Тестирование указанных продуктов проводилось Национальной лабораторией тестирования программного обеспечения США (NSTL, National Software Testing Laboratory). Перед испытателями стояла задача оценить характеристики безопасности, управления и производительности VPN, организованных на основе предложенных продуктов.
Современное состояние и перспективы развития технологии VPN изложены в статье Даниэля М. Гаспаро в настоящем журнале (см. "VPN нового поколения: крепкий орешек", с.???). Поэтому перейдем сразу к рассмотрению конкретных продуктов и результатов их испытаний.


Поставщики – участники испытаний. VPN для рынка крупных корпораций

Xedia AccessPoint 1000
Устройство Access Point 1000 представляет собой высокопроизводительный маршрутизатор для доступа к сети Internet; оно поддерживает ряд IP-услуг, включая передачу трафика в сети Internet по защищенным IPSec-туннелям. Данный маршрутизатор может размещаться как часть службы оператора, например, провайдера услуг Internet, либо как часть инфраструктуры большой корпоративной сети. Обладая мощными средствами обеспечения безопасности, отличной производительностью и возможностями расширения, маршрутизатор Access Point 1000 идеально подходит для работы в качестве интегрированного в VPN маршрутизатора либо в качестве VPN-шлюза в больших информационных центрах

Lucent VPN Gateway
Межсетевой шлюз Lucent VPN Gateway специально оптимизирован для обеспечения максимальной безопасности. Безопасность обычно достигается за счет некоторого снижения производительности устройства; это отражается в параметрах производительности данного продукта. В отличие от других испытанных VPN-шлюзов, где аппаратное и программное обеспечение находятся в одном корпусе, в данном продукте аппаратное устройство (устройство для доступа к VPN) и ПО (сервер управления VPN-шлюзом, VPN Gateway Management Server) представляют собой отдельные компоненты.

VPNet VSU-1100
Продукт VSU-1100 представляет собой высокопроизводительный VPN-шлюз для защищенных коммерческих сетевых приложений. Он может применяться крупными предприятиями, создающими собственные VPN, провайдерами сетевых услуг,которые размещают управляемые услуги VPN, и провайдерами приложений (ASP- Application Service Provider), оказывающими важные коммерческие услуги (business-critical solutions) корпоративным клиентам. Продукт VSU-1100 поддерживает полный набор VPN-услуг, например, IPSec-шифрование, утвержденное Международной ассоциацией надежности вычислительных систем (ICSA -International Computer Safety Association); сжатие и аутентификацию пакетов; управление ключами с помощью протоколов IKE и протокола IP c ключами защиты (SKIP - Secure Key Internet Protoсol); преобразование сетевых адресов (NAT - Network Address Translation); и цифровые сертификаты

RadGuard cIPro-VPN
Продукт cIPro-VPN фирмы Radguard представляет собой аппаратный VPN-шлюз с мощными механизмами безопасности, который может применяться в сетях intranet, extranet, VPN-коллективного пользования и на безопасных виртуальных частных каналах до мобильных пользователей. Продукт cIPro-VPN использует аппаратный модуль сертификаци и совместим со стандартами IPsec и X.509. Он очень легок в установке и эксплуатации и не требует ни детальных знаний основ информационной безопасности, ни уникальных навыков работы с сетями.

Поставщики-участники испытаний. VPN для рынка малых и средних предприятий
Compatible Systems IntraPort2+
Продукт IntraPort 2+ рассчитан на средние предприятия либо крупные филиалы фирм, которым требуется 500 одновременных сеансов удаленного доступа и/или до 32 межузловых соединений. Продукт IntraPort 2+ поддерживает шифрование согласно стандартамв шифрования данных (DES – Data Encryption Standard) и тройного шифрования данных (Triple DES) со встроенным аппаратным сопроцессором. В испытаниях на передачу пакетов среди VPN-продуктов для малых и средних предприятий продукт IntraPort2+ фирмы Compatible Systems показал очень высокую производительность, несколько снизив результаты при передаче шифрованного трафика. В испытаниях на максимальное число FTP-соединений среди VPN-продуктов для малых и средних предприятий продукт IntraPort2+ показал лучший результат.

RedCreek Communications Ravlin 7100
Продукт Ravlin 7100 фирмы RedCreek представляет собой новое решение алгоритмов безопасности для VPN и рассчитан на рынок средних и крупных предприятий, которым требуются скорости передачи трафика свыше 100 Мбит/с, а также поддержка межузловых соединений и удаленного доступа. В испытаниях на скорость передачи пакетов продукт Ravlin показал очень хорошую производительность при передаче трафика с открытым текстом для всех размеров пакетов (25/50/98 Мбит/с для пакетов длиной 64/256/1406 байт), несколько снизив результаты при передаче шифрованного трафика.

Intel LanRover VPN Gateway
VPN-шлюз LanRover VPN Gateway - разработки фирмы Intel - представляет собой туннельный сервер для VPN; он обладает отличной расширяемостью. Эти функции данного продукта обеспечивают отличные возможности для защиты трафика. Более того, продукт в испытательной конфигурации снабжен картой-ускорителем шифрования, использующей СИС, или специализированные интегральные схемы (ASIC – Application-Specific Integrated Circuit), которые ускоряют стандартное шифрование и шифрование по стандарту Triple DES. Данный продукт продемонстрировал способность поддерживать одновременно до 1024 туннелей.

Internet Dynamics
Серия продуктов Conclave фирмы Internet Dynamics представляет собой комплекс программных решений на базе среды управления сетевой политикой на функциональной основе (role-based policy management environment). Серия продуктов Conclave применяет принцип последовательного развертывания, при котором небольшие исходные участки сетей расширяются, в результате смыкаясь в некую законченную сетевую инфраструктуру корпорации; при этом сохраняется способность к расширению и включению в сеть дополнительных узлов, пользовательских терминалов, серверов, приложений и функций. Версия Conclave Dynamic VPN является компонентом данной серии продуктов и предлагает безопасный доступ к ресурсам между узлами сети Intranet либо между удаленными узлами в сети Internet.

Рынок оборудования для VPN
Мы решили исследовать заявления поставщиков оборудования для VPN, принявших участие в испытаниях, и узнать, чего могут ожидать сетевые администраторы при реализации различных VPN-решений. Используя последнюю методику лаборатории NSTL для исследования VPN, мы подвергли восемь продуктов испытаниям по одинаковой программе с одинаковой испытательной конфигурацией, чтобы определить требования к производительности, определяемые правилами сетевой политики по администрированию и управлению. Испытания обнаружили большие различия между представленными VPN-продуктами - не только в конструкции, но и в производительности.
   
В своих обзорах лаборатория NSTL, как правило, приводит оценку продуктов и систем, которые почти не отличаются друг от друга, но на этот раз все по-другому. На рынке оборудования для VPN появилось много игроков, сложилась напряженная обстановка. Чтобы ослабить напряжение, для оценки VPN-продуктов, включенных в данный обзор, мы поделили их на две основные категории: VPN-продукты, предназначенные для рынка малых и средних предприятий, и продукты, рассчитанные на рынок крупных корпораций.
   
Рассмотренные нами продукты демонстрируют различные подходы к VPN-технологии. Классификационным признаком таких продуктов является то, какие функции он выполняет - маршрутизатора или межсетевого экрана. Строго говоря, межсетевые экраны обеспечивают управление доступом, а VPN-маршрутизаторы отвечают за аутентификацию и шифрование. Поскольку эти функции являются вспомогательными, они могут (но не обязательно) быть реализованы в одном и том же продукте, и нет однозначного ответа, нужно ли это. Компании, которые покупают все свои продукты безопасности у одного поставщика, имеют дело с одной или двумя платформами, а это означает меньше забот об управлении. С другой стороны, существует устоявшееся мнение о том, что реализация ряда функций безопасности на одной и той же платформе несет в себе некоторую степень риска, так как создается критическая точка сбоя (single point of failure).
Сведения о поставщиках продуктов для VPN и самих продуктах приведены в таблице.

Общая оценка
   
Общие результаты сравнительных испытаний VPN-шлюзов, проведенных лабораторией NSTL, состоят из трех частей: оценка безопасности VPN-шлюза, оценка администрирования и управления VPN-шлюза и, наконец, оценка производительности VPN-шлюза. Результат общей оценки представляет собой средневзвешенный итог по оценкам всех трех этапов испытаний:
Общая оценка = 40% x (оценка безопасности) + 25% x (оценка управления) + 35% x (оценка производительности)

Частные оценки
Безопасность.
Функции безопасности нынешнего поколения VPN-продуктов значительно усовершенствованы по сравнению с результатами прошлых обзоров лаборатории NSTL (см. "VPNs: Security With an Uncommon Touch", а также "VPNs: Safety First, but What About Speed?" – Data Communications, www.data.com). В 1999 году мы узнали, что восемь испытанных продуктов функционировали как маршрутизаторы и могли выполнять функции межсетевых экранов. Эти общие аспекты улучшения дополнили принятый группой IETF перечень спецификаций безопасности протокола TCP/IP. Все испытанные нами продукты были совместимы с протоколом IPSec. Однако принцип соответствия может ввести в заблуждение, и определенно не означает интероперабельности на этой стадии развития VPN.
При испытаниях на безопасность особое внимание было уделено испытаниям при помощи сканера ISS Internet Scanner, а также испытаниям на уязвимость туннеля.

Управление. Оценка управления состояла из решения серии задач в рамках определенного сценария. Эти задачи имитировали реальные задачи, постоянно исполняемые пользователями и менеджерами VPN-сетей. Мы использовали эти задачи, объединенные в общий сценарий, для тестирования каждого продукта. Такой подход позволил облегчить работу при решении задач дистанционного управления, при оценке средств удаленного управления и при решении задач по управлению устройствами и ключами.

Производительность. Оценка производительности VPN-шлюзов состоит из двух компонентов: измерение скорости передачи пакетов между двумя VPN-шлюзами и определение расширяемости VPN-шлюзов, измеряемой максимальным числом одновременных соединений, который может поддерживать испытываемый VPN-шлюз.
   
В первом испытании на производительности мы следили за скоростью передачи пакетов каждого VPN-шлюза в двух конфигурациях безопасности: в первой конфигурации данные передавались открытым текстом (только с аутентификацией посылки); во второй конфигурации данные передавались с аутентификацией посылки и шифрованием данных (с помощью стандарта Triple DES). Целью этого испытания было найти максимальную пропускную способность, которую может поддерживать каждый VPN-шлюз при различных размерах окна без сброса пакетов.
   
Во втором испытании на производительность нас интересовало число туннелей, которые может создавать и одновременно поддерживать испытываемый продукт, между удаленными клиентами и одним или несколькими VPN-шлюзами.
   
В целом, все протестированные продукты оставили у испытателей весьма благоприятное впечатление. Можно смело сказать: на рынках продуктов для VPN крупных, средних и мелких предприятий разгорается конкурентная борьба. Иначе говоря – будьте внимательны, напряжение повышается!

Победители

Продукты для рынка малых и средних предприятий
Наивысшую оценку по результатам общих испытаний получил продукт IntraPort2+ фирмы Compatible Systems, за которым вплотную стоит продукт Ravlin 7100 фирмы RedCreek. Мы поздравляем фирму Compatible Systems с отличными показателями производительности при шифровании и фирму RedCreek с очень хорошим результатом в управлении. В испытаниях на передачу пакетов продукт фирмы RedCreek получил самую высокую оценку при передаче пакетов открытым текстом, а продукт фирмы Compatible Systems оказался первым при передаче шифрованных пакетов.

Продукты для рынка крупных корпораций
Наивысшую общую оценку получил продукт AccessPoint VPN фирмы Xedia, сразу же за которым шел продукт VPN Gateway фирмы Lucent Technologies. Мы поздравляем фирму Lucent с отличными характеристиками функции безопасности. В испытаниях на скорость передачи пакетов продукт фирмы Lucent получил самую высокую оценку при передаче пакетов открытым текстом, а продукт фирмы Xedia оказался первым в испытаниях на скорость передачи зашифрованных пакетов. В испытаниях по управлению фирма Xedia получила наивысшую оценку; второе место занял продукт фирмы Radguard.

Методология тестирования
Для удобства оценки мы разделили продукты, отобранные для испытаний, на две основные категории: продукты, рассчитанные на рынок малых и средних предприятий, и продукты, предназначенные для рынка больших корпораций. Восемь рассмотренных нами поставщиков помогают составить представление об отрасли оборудования для VPN. Продукты наших поставщиков отражают основные подходы к проектированию и реализации сетей VPN, принятые сейчас в быстро развивающейся области информационных технологий. Настоящее исследование ставило перед собой цель показать весь диапазон выпускающихся сегодня VPN-продуктов, а также технические характеристики. Для достижения поставленной цели мы отнесли фирмы Compatible Systems Corporation, Intel Networking Hardware Division, Internet Dynamics и Red Creek Communications к категории рынка средних предприятий. Остальные поставщики - компании Lucent Technologies Inc., RADGuard, VPNet Technologies и Xedia Corporation - были отнесены к рынку больших корпораций.
   
Для тестирования представленных VPN-продуктов мы применили методику, разработанную Национальной лабораторией тестирования программного обеспечения США (NSTL - National Software Testing Laboratory) и предназначенную для использования в интересах для оценивания безопасности, управления и производительности VPN. Безопасность сетей тестировалась устройством Internet Scanner 5.8.1, которое проверяло продукты на наличие уязвимых мест. Управление сетями VPN тестировалось с помощью специально разработанных сценариев испытаний, рассчитанных на оценку средств удаленного доступа, управления ключами, управления устройствами и дистанционного управления. При проведении испытаний продуктов на достижимую производительность измерялась скорость передачи пакетов между двумя VPN-шлюзами, а расширяемость VPN-шлюзов рассчитывалась путем определения максимального числа одновременных соединений, который мог поддерживать VPN-шлюз.

Таблица. Избранные поставщики VPN-продуктов

 
Поставщик   Тестируемый продукт  Предназначение / Выполняемые функции  Тип Общая оценка, баллы (приближенно) Скорость передачи пакетов, Мбит/, для кадра 1406 байт (приближенно) Поддерживаемые протоколы и характеристики защиты   Цена тестируемой конфигурации 
 Открытый текст Зашифрованный текст
 Xedia, www.xedia.com. (В ноябре 1999 приобретена фирмой Lucent Technologies)  Access Point™ 1000  Крупные корпорации / Функции межсетевого экрана, IP-маршрутизатора, режим межсетевых соединений (bridging mode).  Аппаратное устройство, процессором MIPS R7000 с частотой 262 Мгц  9.7  96  95  L2TP; DES и Triple DES с 56- и 168-битовыми ключами; HMAC-MD5 и HMAC-SHA1; RADIUS; цифолвые серификаты в формате X.509v3  $19 995 за устройство, а также $1 000 за программный пакет QVPN (Quality Virtual Private Network). Административные приложения, включая модуль QVPN Builder, предлагаются бесплатно
 Lucent Technologies, www.lucent.com.  VPN Gateway  Крупные корпорации / Функции межсетевого экрана/маршрутизатора, IP-маршрутизатора, режим межсетевых соединений  Аппаратное устройство, процессор Intel с частотой 333 MГц  7.6  100  40  Команды по управлению ключами, исходящие от блока IKE; 128-битовые ключи стандартов Triple DES и RC4; интегрированный и внешний CA  $21 990; комплект поставки включает два аппаратных модуля Lucent VPN Gateway, программные модули Lucent Security Management Server Software и Lucent IPSec Client, а также лицензию на 100 одновременных VPN-сеансов.
 VPNet Technologies, Inc. www.vpnet.com  VSU-1100  Крупные корпорации / Функции межсетевого экрана/маршрутизатора, IP-маршрутизатора, режим межсетевых соединений  Нет даннызх  7.4  50  48  DES и Triple DES с 56- и 168-битовыми ключами; MD5, AH Message Digest Algorithm (документ IETF RFC 1321) а также HMAC-MD5 и HMAC SHA-1 (RFC2104); RADIUS, CHAP, PAP и SecureID tokens  $4 995 за один узел, $9 990 за два узла, а многоузловой модуль VPNmanager MultiSite стоит $1 995. Лицензия на один клиентский модуль продается за $99.
 Radguard (Тель-Авив, Израиль), www.radguard.com.  cIPro-VPN  Крупные корпорации / Функции межсетевого экрана, IP-маршрутизатора (только для статической маршрутизации), режим межсетевых соединений  Аппаратное устройство, процессор Intel I960H  7.4  35  10  Ipsec, ISAKMP/Oakley; алгоритмы шифрования и управления ключами реализованы в ПО; выполняет комплексные функции межсетевого экрана и NAT  $14 950, комплект и включает два устройства доступа к VPN с функциями межсетевого экрана, а также ПО для сертификации и управления
 Compatible Systems Corp., www.compatible.com  IntraPort 2+  Малые и средние предприятия / Функции IP-маршрутизатора и режим межсетевых соединений  Аппаратное устройство, процессор StrongARM RISC с частотой 166 МГц  7.7  35  25  IPSec, DES и Triple DES (на узлах и шлюза, и клиента) и PPTP. Шифрование реализовано аппаратными средствами; цифровые подписи протоколов MD5 либо SHA; RADIUS и secureID  $10 000 за одно устройство; управляющее приложение, а также последующие версии ПО на срок службы продукта предоставляются бесплатно.
 RedCreek Communications Inc. www.redcreek.com  Ravlin 7100  Малые и средние предприятия / Ограниченный набор функций межсетевого экрана/маршрутизатора, режим межсетевых соединений  Аппаратное устройство, процессор Intel i960; работает без программных приложений  7.4  97  10  DES и Triple DES с 56- и 168-битовыми ключами; DSS, алгоритма Диффи-Хеллмана по обмену ключами, цифовые серификаты в формате X.509v3; IKE; ESP и EIP  $7 500 за один экземпляр системы, $1 000 за программный администратор узла Ravlin Node Manager и $99 за клиентский модуль Ravlin Soft Client
 Intel Networking Systems www.intel.com  LanRover VPN Gateway+  Малые и средние предприятия / Полный набор функций аутентификации, шифрования данных, маршрутизации трафика, межсетевого экрана  Аппаратное устройство  6.5  33  10  DES и Triple DES, поддерживает интегрированное и внешнее устройство выдачи сертификатов - на узле и шлюза, и клиента; TAC  Нет данных
 Internet Dynamics, Inc. www.conclave.com  Серия продуктов Conclave  Малые и средние предприятия / Комплекс программных решений на базе среды управления сетевой политикой  Программный комплекс  5.9  35  8  Режимы идентификации сотрудников: Microsoft NT Domain, Windows ID, с использованием X.509-сертификатов, карты SecurID, IP-адреса и IP-домен  $5 400, плюс $20 за один клиентский модуль

CA - модуль сертификации (Certificate Authority)
CHAP - протокол аутентификации по квитированию вызова (Challenge-Handshake Authentication Protocol)
DES – стандарт шифрования данных (Data Encryption Standard)
DSS - стандарт цифровых подписей (Digital Signature Standard)
EIP - шифрование с заменой (Encrypt-In-Place)
ESP – защитная инкапсуляция полезного содержания пакета (Encapsulating Security Payload)
IKE - обмен ключами Internet (Internet Key Exchange)
ISAKMP/Oakley - протокол управления ключами для защиты соединений в сети Internet (Internet security association and key management protocol/Oakley
MD - профиль сообщений (Message Digest)
NAT – преобразование сетевых адресов (network address translation)
PAP - протокол аутентификации паролей (Password Authentication Protocol)
PPTP - протокол двухточечной связи с туннелированием (Point-to-Point Tunnelling Protocol)
RADIUS - служба удаленной аутентификации пользователей по коммутируемым каналам (Remote Authentication Dial-In User Service)
SecureID tokens - защищенные маркеры идентификации
SHA - алгоритм защитного хеширования (Secure Hashing Algoritm);
TAC - карта маркерной аутентификации (Token Authentication Card)
Triple DES – стандарт тройного шифрования данных

Источник "Сетевой журнал" http://www.setevoi.ru/