Первый кирпич в стене VPN

Обзор устройств VPN начального уровня


Предисловие

Предагаемый Вашему вниманию материал открывает цикл работ по обзору рынка VPN. Приведенная здесь информация призвана помочь сетевым специалистам сориентироваться в огромном многообразии программных и аппаратных решений, предлагаемых различными компаниями. Настоящая статья посвящена наиболее дешевым "коробочным" реализациям VPN – т.н. VPN-appliances, относящимся к классу SOHO (Small Office Home Office), т. е. предназначенным для работы с малыми сетями.

Однако, прежде чем перейти непосредственно к обзору, давайте немного поговорим о том, что же такое VPN, кому и зачем это нужно.

Автор приносит свои извинения читателям за то, что он не в состоянии подробно остановиться на теоретической стороне обсуждаемой темы из-за ее объемности. Дабы компенсировать возможные пробелы, автор предлагает ссылки на другие работы и статьи, в которых подробно разбираются употребляемые здесь специальные термины.

Итак, перейдем к делу.

Для чего нужны VPN?

Представим, что нам необходимо объединить несколько локальных сетей LAN (local area network), причем сети эти разделены географически: они расположены в разных зданиях, а возможно и в разных городах. Традиционное решение: WAN (wide area network) — прокладка или аренда выделенных линий, соединяющих локальные сети.


Рис. 1. WAN с использованием выделенного кабеля

Теперь предположим, что помимо этого нам нужно обеспечить удаленный доступ в WAN группе мобильных пользователей, постоянно переезжающих с места на место. Традиционное решение в этом случае - добавить в нашу сеть серверы RAS (remote access service), для того, чтобы клиенты могли получить доступ к сетевым ресурсам по телефонным линиям.


Рис. 2. Доступ к LAN с использованием RAS

Если количество мобильных клиентов растет, мы вынуждены увеличивать число телефонных портов RAS.

Но как быть, если одна из сетей расположена на другом континенте? Как быть, если мобильным клиентам необходим доступ в нашу сеть из любого места планеты? Аренда межконтинентального кабеля для создания WAN обойдется в целый капитал. Мобильные пользователи вынуждены совершать дорогие междугородние и международные звонки. Неизбежно возникает вопрос, а существует ли другое решение, более дешевое, но столь же удобное и технически реализуемое?

Оказывается, да. Такое решение существует. При сегодняшнем развитии Интернета все более и более интересным становится использование общедоступных публичных сетей как основы для создания безопасных и надежных каналов, связывающих наши сети и обеспечивающих доступ к ним отдельным пользователям, постоянно меняющим свое географическое местоположение. Мы говорим о VPN (Virtual Private Networks) — частных виртуальных сетях.

VPN имеет ряд очевидных достоинств. Прежде всего, частные виртуальные сети существенно дешевле WAN, особенно при использовании в международных компаниях. По оценкам Infonetics Research, приведенным здесь, стоимость реализации VPN почти в три раза меньше затрат на WAN.

Используя VPN, мы уже не платим за кабельные линии, соединяющие локальные сети. Теперь для создания каналов между LAN мы используем Интернет, что стоит гораздо дешевле.


Рис. 3. Использование VPN для объединения двух офисных сетей

В случае с мобильными клиентами мы также экономим, существенно уменьшая количество телефонных линий RAS. В некоторых случаях мы можем обойтись вообще без сервиса удаленного доступа с использованием телефонных линий. Мобильным клиентам не нужно делать междугородние звонки. Вместо этого им достаточно воспользоваться услугами ближайшего Интернет-провайдера.


Рис. 4. VPN для мобильных клиентов

Желающие разобраться в финансовой стороне дела могут обратиться к FAQ, в которых детально рассматривается экономический эффект использования VPN. Нас же интересует техническая сторона проблемы.

Очевидно, что использование публичных сетей как транспорта для передачи информации между локальными сетями не может быть безопасным, если информация передается в открытом виде. Используя Интернет, мы не в состоянии контролировать ни маршрут, ни количество лиц, которые могли иметь доступ к нашим данным, ни их намерения или действия. Вопросы защиты информации при работе с публичными сетями выходят на первый план.

VPN предполагает комплексные решения в области защиты данных. Прежде всего, передаваемая информация передается в зашифрованном виде. Для идентификации адресата и отправителя применяются специальные меры. И наконец, проверяется, что данные не были изменены во время движения по публичным сетям, по ошибке или злонамеренно.

Итак, построение VPN предполагает создание защищенных от постороннего доступа туннелей между несколькими локальными сетями и/или удаленными клиентами. Для создания и обслуживания подобных туннелей необходимы специальные протоколы, программное обеспечение, специфическое оборудование.

Протоколы

Семейство сетевых протоколов для реализации VPN довольно обширно, однако лишь три из них получили широкое распространение. Это IPSec, PPTP и L2TP.

IPSec — Internet Protocol Security — уже был подробно рассмотрен на данном сайте в статье Станислава Коротыгина.

PPTP — Point-to-Point Tunneling Protocol — создан усилиями Microsoft, US Robotics и ряда других разработчиков. Протокол описан создателями в этой и этой работах.

L2TP — Layer 2 Tunneling Protocol — гордость "сетевого монстра" — Cisco. Более подробную информацию о нем можно почерпнуть здесь и здесь.

Особенности, недостатки и преимущества каждого из протоколов — это отдельная и весьма обширная тема, которая выходит за рамки настоящей статьи. Необходимо отметить, что по ряду причин наиболее распространенным протоколом VPN в настоящее время является IPSec. Более 65 процентов частных виртуальных сетей созданы на его основе. Поэтому в этот раз мы будем говорить лишь об аппаратно-программных решениях, в которых IPSec является основным.

Реализация

Для технической реализации VPN, помимо стандартного сетевого оборудования, нам необходим шлюз VPN (VPN Gateway). Он выполняет все функции по формированию туннелей, защите информации, контролю трафика, а нередко и функции централизованного управления.

Защита информации

Защита информации в понимании VPN включает в себя кодирование (encryption), подтверждение подлинности (authentication) и контроль доступа (access control). Кодирование подразумевает шифрование передаваемой через VPN информации. Прочитать полученные данные может лишь обладатель ключа к шифру.

Наиболее часто используемыми в VPN-решениях алгоритмами кодирования в наше время являются DES, Triple DES и различные реализации AES. Степень защищенности алгоритмов, подходы к выбору наиболее оптимального из них — это тоже отдельная тема, которую мы не в состоянии обсудить.

Подтверждение подлинности включает в себя проверку целостности данных и идентификацию лиц и объектов, задействованных в VPN. Первая гарантирует, что данные дошли до адресата именно в том виде, в каком были посланы. Самые популярные алгоритмы проверки целостности данных на сегодня — MD5 и SHA1.

Идентификация — это процесс удостоверения того, что объект действительно является тем, за кого/что он себя выдает. Здесь, помимо традиционных схем имя — пароль, все более и более активно используются системы сертификатов и специальных серверов для их проверки — CA (Certification Authorities). Такие серверы являются, как правило, частью систем PKI (Public Key Infrastructure). Популярные ныне PKI, например Verisign или Entrust, могут обслуживать сертификаты и идентифицировать их держателей по протоколам HTTP и LDAP (X.509). Кроме того, для идентификации могут быть использованы биометрия, неизменяемые характеристики оборудования (например, MAC-адреса) или специальные идентификационные комплексы (Tacacs, Radius).

Контроль трафика подразумевает определение и управление приоритетами использования пропускной полосы VPN. С его помощью мы можем установить различные пропускные полосы для сетевых приложений и сервисов в зависимости от степени их важности.

Что нужно для построения VPN?

Прежде всего, шлюз — VPN Gateway. В нашем случае достаточно приобрести у одной из фирм-производителей совершенно готовое к работе устройство, требующее для начала работы лишь подключения к LAN, Интернету и, возможно, минимального конфигурирования.

Для небольших сетей и администраторов, не обладающих большим опытом работы с VPN, это решение является наиболее удобным и эффективным.

Перейдем непосредственно к обзору.

VPN-appliances класса Small Office Home Office

ADI-1000

Американская фирма Assured Digital предлагает свое комплексное решение для реализации VPN начального уровня под именем ADI-1000.


Рис. 5. ADI-1000

Разработчики называют это устройство сетевым коммутатором (switch) с возможностями VPN. Оно имеет 2 интерфейса Ethernet со скоростью 10 Mbit/sec.

Сведения о количестве поддерживаемых VPN-туннелей противоречивы. На сайте разработчиков утверждается, что ADI-1000 может поддерживать до 16 независимых IPSec туннелей. Однако независимые эксперты говорят всего лишь о 4 туннелях.

Среди криптографических алгоритмов, используемых в данном решении, названы DES и Triple DES, а также MD5 и SHA-1 в качестве алгоритма проверки целостности данных. Устройство умеет работать с сертификатами и PKI по протоколу X.509v3.

Производитель предлагает также как отдельный продукт: программу — менеджер для управления и администрирования. Управлять работой ADI-1000 можно с помощью GUI-интерфейса или из командной строки.

Стоимость ADI-1000 составляет $1700. Система особых скидок позволяет в некоторых случаях снизить цену на 10-25%.

Cisco 1720 VPN Router

Всемирно известный производитель огромного множества сетевых устройств Cisco также внес свой вклад — Cisco 1720 VPN Router. Как явствует из названия, это роутер начального уровня с VPN-расширением.


Рис. 6. Cisco 1720 VPN Router

Роутер имеет стомегабитный Ethernet-интерфейс и от двух до пяти serial-интерфейсов для подключения к WAN. Управление VPN и роутером в целом осуществляется посредством Cisco IOS® — специальной операционной системы, созданной Cisco. На мой вкус, она могла быть и чуть поудобнее. Отсутствие интуитивно понятного и доступного GUI — отличительная черта всех роутеров Cisco, в том числе и обсуждаемого нами.

Возможности VPN радуют. Поддерживаются DES, Triple DES  MD5, SHA-1, а также CA и сертификаты с использованием X.509v3.

Однако некоторые эксперты отмечают низкую производительность роутера при работе с VPN.

Цена зависит от комплектации и начинается с суммы около $1000.

Intel Express 8205 VPN Broadband Router

Фирма Intel именует свое решение для создания VPN класса SOHO Intel Express 8205 VPN Broadband Router.


Рис. 7. Intel Express 8205 VPN Broadband Router

Роутер с возможностями VPN может быть использован с ADSL, SDSL, IDSL, ISDN и кабельными соединениями. К локальной сети он подключается c помощью Ethernet — интерфейса на скорости до 100 Mbit/sec.

Максимальная пропускная способность роутера при работе с VPN не превышает 1.3 Mbit/sec при работе с 3DES. Не могу удержаться от соблазна привести по этому поводу цитату. Со свойственным фирме Intel юмором на сайте разработчиков отмечается, что такая выдающаяся производительность достигается благодаря мощной архитектуре Intel:

The powerful Intel Express Router architecture delivers outstanding VPN throughput that enables up to 1.3 Mbps with 3DES encryption.

Число независимых VPN-туннелей не превышает 50-ти.

Помимо 3DES роутер умеет работать с DES и морально устаревшим RC4, также MD5 и SHA-1.

К серьезным недостаткам надо отнести невозможность работы с PKI и LDAP, а также отсутствие какой бы то ни было поддержки мобильных VPN-клиентов.

Цена невелика и составляет $899.

Avaya VPN Firewall Brick 80

Решение, которое предлагает Avaya Inc., называется просто: "кирпич" — VPN Firewall Brick 80.


Рис. 8. VPN Firewall Brick 80.

Это сетевой мост с функциями VPN Gateway и firewall, оснащенный 4-мя 100 Mbit/sec Ethernet портами.

Производитель с гордостью отмечает, что в США это устройство сертифицировано NSA и американской армией.

"Кирпич" работает с DES, 3DES, RC4, MD5, SHA1, цифровыми сертификатами. Поддерживает до 400 одновременных IPSec-туннелей. Пропускная способность для шифрованного трафика составляет не более 8 Mbit/sec.

Управлять работой "кирпича" можно с помощью Java-интерфейса.

Устройство продается также и под маркой Lucent.

Дистрибьюторы предлагают его по цене от $2800 до $2900.

Travlin Ravlin

Фирма RedCreek Communications® Inc. предлагает довольно интересный недорогой продукт с забавным именем Travlin Ravlin.


Рис.9. Travlin Ravlin

Устройство имеет 2 интерфейса Ethernet и встроенный модем V.90; помимо функций VPN работает как firewall. В нем реализована концепция dial-on demand: связь с Интернетом, а следовательно и VPN, устанавливается только при необходимости. По замыслу производителей это должно существенно экономить телефонные счета и оплату услуг Интернет-провайдера.

Travlin Ravlin поддерживает DES, 3DES, MD5, SHA1, работает с сертификатами по протоколу X.509.

Особо высокой производительности ожидать не приходится, о количестве одновременно поддерживаемых туннелей информации нет.

Цена составляет $700.

NetScreen-5XP

Устройство американской фирмы NetScreen Technologies, Inc. имеет два Ethernet-интерфейса со скоростью 10 Mbit/sec, встроенные VPN и Firewall. Может обрабатывать до 10 IPSec-туннелей одновременно.


Рис. 10. NetScreen-5XP

Утверждается, что устройство может работать с шифрованным VPN трафиком на скорости до 10 Mbit/sec. Это один из лучших показателей в рассматриваемом классе устройств для малого офиса.

Поддерживаются все распространенные разновидности цифровых сертификатов: DES, 3DES, MD5, SHA1, а также набирающий популярность AES. Работает с клиентом VPN, который производители продают как отдельный программный продукт

Стоимость зависит от количества лицензированных пользователей и колеблется в пределах $500 — $1000.

3com OfficeConnect NetBuilder Firewall 25 + VPN upgrade

3com Corp. продает устройство NetBuilder Firewall 25 с опцией VPN-расширения.


Рис. 11. NetBuilder Firewall 25

Программный VPN-модуль способен поддерживать до 10 IPSec-туннелей с криптографией на основе DES, 3DES, RC4 , MD5, SHA-1. В комплекте прилагаемого программного обеспечения имеется VPN-клиент. Как и в случае с Intel, поддержка сертификатов отсутствует.

Для соединения с LAN и WAN используются 2 Ethernet-порта с пропускной способностью 10 Mbit/sec. Данные о пропускной способности VPN-трафика отсутствуют.

Цена комплекта с VPN-модулем составляет около $1000.

Nokia IP55

В рамках сетевых решений для малого офиса фирма Nokia предлагает целый ряд продуктов. Мы рассмотрим лишь один из них — Nokia IP55.


Рис. 12. Nokia IP55

Это устройство имеет 4 интерфейса Ethernet 100 Mbit/sec и один интерфейс ADSL для соединения с WAN. В качестве программного обеспечения выбран Firewall1/VPN1 Small Office — продукт известной компании-разработчика в области VPN — Checkpoint Software Technologies.

Как и другие реализации Checkpoint VPN1, Nokia IP55 поддерживает DES, 3DES, AES, MD5, SHA1, работает со всеми видами сертификатов, включая LDAP.

Для управления VPN и устройством в целом используется WEB-интерфейс. Nokia отмечает высокою эффективность и производительность устройства, использующего мощный RISC-процессор, однако конкретные цифры отсутствуют, как и данные о количестве одновременно обрабатываемых IPSec-туннелей.

Стоимость составляет примерно $1200, включая лицензию на 25 пользователей.

PDS 2000 Security Appliance Series

Еще одна разработка из серии решений VPN, созданных на базе Checkpoint VPN1, принадлежит фирме Intrusion.com и называется PDS 2000 Security Appliance.


Рис. 13. PDS 2000 Security Appliance

Также, как и в предыдущем случае, поддерживаются DES, 3DES, AES, MD5, SHA1, цифровые сертификаты. Та же возможность управления через Web-интерфейс.

Однако "железное" воплощение, конечно же, иное. Различные варианты PDS 2000 имеют от двух до трех портов Ethernet, один порт Serial и 2 USB порта.

Стоимость составляет примерно $1500.

Firebox™ SOHO

Эта симпатичная красная коробочка сделана фирмой WatchGuard Technologies, Inc.


Рис. 14. Firebox ™ SOHO

Как уже видно из названия, она несет в себе не только функции VPN, но и Firewall.

Для подключения к сетям используются 5 портов Ethernet, способных работать на скорости до 100 Mbit/sec.

В качестве VPN-gateway устройство способно обслуживать 5 одновременных IPSec-туннелей типа gateway-to-gateway и столько же туннелей client-to-gateway. Поддерживается DES, 3DES, MD5, SHA1. Максимальная пропускная способность для шифрованного IPSec-трафика с использованием 3DES составляет 1.3 Mbit/sec. PKI и цифровые сертификаты не поддерживаются.

Стоимость составляет $900 в максимально возможной комплектации.

SonicWALL SOHO2


Рис. 15. SonicWALL SOHO2

Это устройство производит фирма SonicWall. Изначально оно предназначено для защиты локальной сети в качестве Firewall’а, а функции VPN-gateway доступны как апгрейд.

Для соединения с LAN и WAN имеются два порта Ethernet 100 Mbit/sec.

Поддерживаются лишь DES, 3DES и MD5, нет возможности работать с сертификатами и PKI.

Стоимость с учетом VPN upgrade составляет около $1300.

InstaGate EX2


Рис. 16. InstaGate EX2

Еще одно интересное решение принадлежит фирме eSoft Inc. и называется InstaGate EX2.

Согласно спецификации, устройство с пропускной способностью до 20 Mbit/sec поддерживает Triple DES, MD5 и SHA. В зависимости от комплектации имеются два или три 100-мегабитных порта Ethernet. Помимо функции VPN-Gateway прибор работает еще и как Firewall.

К сожалению, не поддерживается подтверждение подлинности с использованием цифровых сертификатов.

Цена составляет около $950 в минимальной комплектации.

Заключение

Несмотря на большое число рассмотренных устройств, сложно сделать какие-то выводы, кроме, пожалуй, одного. Создается впечатление, что рынок шлюзов VPN класса SOHO не сложился как отдельный, независимый сегмент рынка решений VPN. Нет единых подходов ни к ценовой политике, ни к функциональным характеристикам продуктов.

Как ни странно, это вполне объяснимо. В использовании VPN нуждаются более крупные компании, с многочисленными штаб-квартирами и офисами в разных городах или даже странах, бизнес которых связан с разъездами. Для таких потребителей VPN-услуг устройства класса SOHO могут существовать как часть общей организации сетей. В этом случае при выборе конкретного решения для малых офисов на первый план выходит не стоимость, и даже не технические характеристики приборов, а возможность их интеграции в рамках единой инфраструктуры корпоративных частных сетей.

Немного о грустном

Драматические изменения, происходящие в области высоких технологий с середины 2000 года, не обошли и рынок VPN. За последние пять лет этот рынок развивался очень бурно. Мы были свидетелями яркого успеха некоторых фирм, интересных идеологических и технических решений. К сожалению, падение инвестиций и уменьшение спроса нанесло всем игрокам на поле VPN тяжелый удар, который не все оказались в состоянии выдержать. Некоторые компании просто закрылись, как например, израильская фирма RadGuard с ее блестящими сетевыми устройствами, но слабым менеджментом. Другие стали жертвой очень агрессивной политики крупных корпораций, устранявших молодых и опасных конкурентов с рынка путем их приобретения или слияния. Так, Cisco приобрел Compatible Systems и Altiga. Lucent купил фирму Xedia, а Nokia — компании Ramp и Network Alchemy. Совсем недавно дочернее предприятие Lucent’a Avaya стало владельцем ныне закрытой компании VPNet Technologies.

Все это не делает положение потребителя проще, а имеющиеся на рынке предложения дешевле и эффективнее. Хочется надеяться, что рано или поздно нынешние тенденции изменятся, и мы увидим не только новые имена, но и новые продукты, которые, кто знает, могут изменить мир сетей и даже наше представление о возможном в этом мире.

Приложение — сводная таблица характеристик шлюзов VPN класса SOHO.

 




Дополнительно

iXBT BRAND 2016

«iXBT Brand 2016» — Выбор читателей в номинации «Процессоры (CPU)»:
Подробнее с условиями участия в розыгрыше можно ознакомиться здесь. Текущие результаты опроса доступны тут.

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.