Однако IPSec предлагает ряд преимуществ, на которые часто не обращают внимание.
Надежное подключение филиалов, домашних рабочих мест или мобильных сотрудников стало для множества предприятий актуальной повседневной задачей. Активная конкуренция между провайдерами ведет к резкому падению цен на доступ в Internet. Ответственные за принятие решений в области ИТ пользуются предоставившимся шансом и отказываются от дорогих арендуемых каналов и коммутируемых соединений, переводя внутренние корпоративные коммуникации в общедоступные сети. Однако новые коммуникационные возможности должны отвечать потребностям предприятия с точки зрения как производительности, так и безопасности.
В конце концов, многие компании ищут любую лазейку, лишь бы добраться до информации о новейших разработках и данных о проектах и клиентах своих конкурентов.
Для защиты трафика используется технология виртуальных частных сетей (Virtual Private Network, VPN). Она призвана обеспечить защищенную транспортировку данных по ненадежным соединениям, к примеру по Internet или беспроводным локальным сетям. Рынок предлагает три технических варианта, полезность и безопасность которых применительно к решаемым задачам необходимо тщательно проверить, прежде чем внедрять их на предприятии.
Протокол защищенных сокетов (Secure Sockets Layer, SSL) предлагает очень простой вариант для обеспечения доступа к внутренней корпоративной информации. Для того чтобы воспользоваться технологией, на центральном узле необходимо интегрировать шлюз с поддержкой SSL. Управление пользовательскими данными и паролями в большинстве случаев осуществляется самой системой.
ПРОСТОЕ ПОДКЛЮЧЕНИЕ ПРИ ПОМОЩИ SSL
В установке какого-либо клиентского программного обеспечения нужды нет. Обычно достаточно браузера, что, правда, оборачивается определенными неудобствами, поскольку привычное свободное перемещение по сети при таком типе доступа невозможно. Приложение в главном офисе должно, таким образом, поддерживать доступ на базе Web.
Аутентификация осуществляется на основании пользовательского имени и пароля, поэтому без внедрения специальных решений невозможно гарантировать идентичность клиентской системы. Применение сертификатов (для повышения уровня безопасности) на стороне клиентов не предусмотрено. Кроме того, без дополнительных мер невозможно узнать какую-либо информацию о текущем состоянии клиента. Если, к примеру, локальный брандмауэр отключен или состояние антивирусных сигнатур не соответствует последнему обновлению, то может случиться так, что доступ к внутренним приложениям удастся получить непрошеным гостям и данные компании попадут в руки злоумышленников.
Даже несмотря на простую интеграцию SSL, в корпоративной области этот вариант использовать не стоит из-за слишком высокого риска со стороны клиента.
НАЗНАЧЕНИЕ ПРИОРИТЕТОВ ПРИ ПОМОЩИ MPLS
Для организации надежной коммуникации между филиалами многие провайдеры предлагают своим клиентам многопротокольную коммутацию меток (Multiprotocol Label Switching, MPLS). Этот сравнительно молодой протокол маршрутизации обеспечивает интегрированную безопасность на том же уровне, что и выделенные линии или ретрансляция кадров. Из соображений скорости передачи данных шифрование часто не используется. Самое большое преимущество MPLS — назначение приоритетов данным, что позволяет гарантировать качество услуг (Quality of Service, QoS). В частности, ничто не будет мешать телефонным переговорам по IP, даже если пропускная способность понадобится еще каким-либо приложениям.
Для администратора MPLS представляет собой несложный вариант виртуальной частной сети, поскольку механизмы шифрования интегрируются на стороне провайдера. В принципе может быть реализовано даже подключение домашних рабочих мест. Однако условием для применения MPLS является фиксированное соединение, поэтому подключение мобильных пользователей, желающих связаться с предприятием, пока невозможно.
Если на предприятии решились на внедрение MPLS, то нужно осознавать, что вся защита коммуникации полностью отдается в руки провайдера. Пользователь не может самостоятельно повлиять на то, чтобы шифрование и аутентичность соответствовали его требованиям. Кроме того, передача данных между провайдером и предприятием происходит в незашифрованном виде, а это еще один фактор риска.
НАДЕЖНОЕ СОЕДИНЕНИЕ НЕСКОЛЬКИХ СЕТЕЙ
Одним из самых надежных методов, применяемых для соединения сетей, считается использование протокола IPSec, когда, в отличие от SSL, идентичность всех партнеров по коммуникации гарантируется сертификатами х.509. Множество мощных алгоритмов шифрования, включая улучшенный стандарт шифрования (Advanced Encryption Standard, AES) и тройной стандарт шифрования данных (Triple Data Encryption Standard, DES), обеспечивают конфиденциальность потока данных. Кроме того, соединение VPN по IPSec позволяет внешним сотрудникам иметь доступ ко всем ресурсам корпоративной сети.
К тому же отсутствует зависимость от приложений на базе Web.
При интеграции IPSec для подключения отдельных клиентов рекомендуется пользоваться специальным клиентом VPN. Большинство операционных систем уже обладает собственными механизмами построения соединений IPSec, однако их конфигурация довольно сложна. По сравнению с SSL издержки на конфигурацию со стороны клиента, конечно, выше, однако уровень безопасности в случае использования отдельного клиента VPN также возрастает (см. Рисунок 1). В зависимости от применяемого пользовательского программного обеспечения можно проконтролировать, последняя ли версия антивирусного сканера установлена на клиенте и соответствуют ли настройки локального брандмауэра директивам компании. Если нет, доступ к внутренним ресурсам предприятия можно запретить.
|
| Рисунок 1. Клиенты IPSec устанавливаются отдельно, но в результате повышается безопасность передачи данных во всей сети. |
Еще одно преимущество заключается в том, что пользователь благодаря IPSec становится полностью независимым от провайдера и сети. Таким образом, даже коммуникация по общедоступной беспроводной сети или UMTS может быть надежно защищена. Тем, кому нужны максимальная безопасность и высокая гибкость, следует внимательно присмотреться к IPSec.
РЕГЛАМЕНТАЦИЯ ТУННЕЛЯ
При интеграции VPN следует предоставить партнерам по коммуникации только те права и возможности, которые им действительно необходимы. Если, к примеру, внешний рентгеновский кабинет отправляет снимки на сервер поликлиники по туннелю VPN, то его сотрудникам должен быть разрешен только этот процесс, чтобы закрыть неправомочный доступ к остальным ресурсам поликлиники. Регламентация может осуществляться посредством правил брандмауэра на основе VPN.
ОПТИМАЛЬНОЕ УПРАВЛЕНИЕ РЕСУРСАМИ
Поскольку в случае большинства виртуальных частных сетей речь идет о соединениях через Internet, необходимо соблюдать несколько иные правила по сравнению с прямыми соединениями в локальной сети. При запуске, например, задания на печать оно забирает себе все ресурсы вплоть до завершения процесса. В локальной сети скорее всего этого никто не заметит. Нерегламентированная же печать через туннель VPN может занять пропускную способность всего туннеля.
Поскольку производительность задания на печать в принципе роли не играет, передачей такого рода данных рекомендуется управлять с помощью системы управления пропускной способностью. Тогда не возникает проблем с узкими местами, и всем другим приложениям будет предоставлена необходимая пропускная способность.
Похожая ситуация возникает и с IP-телефонией. Для снижения затрат на телефонные переговоры предприятия все чаще задействуют туннели VPN и для передачи голоса по IP. Тогда разговоры между филиалами не стоят практически ничего. Если во время телефонного разговора пропускная способность не гарантируется, то он может быть прерван любой объемной загрузкой. Но, выделив на эти цели определенную пропускную способность, можно добиться того, чтобы телефонным разговорам по IP предоставлялось достаточное количество ресурсов.
Вывод очевиден: при покупке шлюза VPN необходимо следить за тем, чтобы в системе уже была интегрирована система управления пропускной способностью (см. Рисунок 2).
|
| Рисунок 2. Эксплуатация VPN без управления пропускной способностью несовершенна. |
С ширящимся распространением сетей предприятия становятся все более зависимыми от готовности своей инфраструктуры. Многие сотрудники работают удаленно по VPN. При отказе этих соединений пострадает все предприятие. Последствиями могут стать остановка производства и возможный ущерб для репутации. Поэтому необходимо позаботиться о соответствующей избыточности.
ПОМНИТЬ О САМОМ ХУДШЕМ
Администраторы всегда стремятся иметь на такой случай резервную систему. Но иногда и она может оказаться неисправной или содержать устаревшую конфигурацию. Кроме того, нельзя гарантировать, что администратор окажется доступен при отказе.
Для решения подобной проблемы разработаны специальные системы автоматического оперативного восстановления. При отказе активной системы выполнение ее задач берет на себя резервная система. Поскольку обе постоянно контактируют друг с другом, конфигурация у них одинаковая, поэтому можно обойтись и без согласования, которое обычно проводит администратор (см. Рисунок 3). Ему передается сообщение не только о неисправности главной системы, но и об отказе вспомогательной. Замена поврежденной системы проходит без осложнений и не мешает производственному процессу.
|
| Рисунок 3. При помощи консоли администратор настраивает соединения VPN. |
При отказе пути доступа через провайдера такие системы должны автоматически переводить трафик на резервный канал. После этого туннель VPN придется построить заново, с чем, как правило, система справляется самостоятельно. Таким образом, время отказа сокращается до минимума.
Себастьян Линднер — директор по сбыту в компании Telco Tech.
? AWi Verlag