Быстрейшие средства для виртуальных частных сетей получили наивысшие баллы в наших тестах на производительность, однако как только дело дошло до взаимодействия различных продуктов, картина оказалась не столь определенной.
Вы хотели бы использовать Internet в качестве глобальной корпоративной сети, но беспокоитесь за сохранность передаваемых данных? Не волнуйтесь. Протестировав 15 VPN-продуктов, мы обнаружили, что все они обеспечат надежную защиту информации, передаваемой по каналам Всемирной сети.
Однако приготовьтесь к нелегкому выбору, поскольку ни одно из предлагаемых решений не вышло победителем сразу по всем показателям — производительности, взаимодействию и управлению. Если вы энтузиаст высоких скоростей, продукты VPNware VSU-1100 2.51 фирмы VPNet и PathBuilder S580 компании 3Com превзойдут самые смелые ваши ожидания. Тем, кто вынужден возиться с оборудованием разных поставщиков, можно смело порекомендовать cIPro System 3.30 — разработку компании RADGUARD, обладающую наилучшей совместимостью, какая только возможна в слабо стандартизованном мире VPN. А если больше всего вас волнует сфера администрирования, то не раздумывая выбирайте Conclave 1.52 производства Internet Dynamics: в соответствующем тесте этот продукт не оставил никаких шансов конкурентам. Правда, что касается взаимодействия, то тут ему еще расти и расти. Наконец, задавшись целью удержаться в рамках ограниченного бюджета, почему бы не начать с устройства Ravlin 10/5100 3.0.2, предлагаемого компанией RedCreek?
Впрочем, подождите — ведь это еще не все. Может, хочется получить инструмент для построения VPN с интегрированным брандмауэром? Мы протестировали пять претендентов на это звание. Или вам по душе чисто программные решения? Тогда назовите операционную среду — Windows NT, NetWare, Unix...
«Голубая лента»Продукт: cIPro System 3.30 |
Да, нелегко ограничить набор критериев в такой многогранной области, как VPN. Мы потратили без малого шесть недель в попытках выявить победителя среди продуктов для виртуальных частных сетей. В конце концов «Голубая лента» досталась модели cIPro System фирмы RADGUARD. Показав неплохие результаты в других категориях, это устройство заметно превзошло конкурентов в тесте на совместимость, который оказался самым крепким орешком для большинства поставщиков. И хотя предлагаемые RADGUARD средства управления никак не отнесешь к разряду выдающихся, cIPro продемонстрировал производительность, близкую к максимальной зарегистрированной, а также заметно большую гибкость, чем основная часть тестировавшихся изделий.
Еще три продукта безусловно заслуживают упоминания в самом начале обзора. Несильно отстал от победителя VPNware фирмы VPNet (табл. 1). Вошедший в тройку самых быстродействующих изделий, он обладает хорошими средствами администрирования, достаточно гибок, да и способность к взаимодействию с разработками других поставщиков оказалась выше среднего уровня.
| Продукт | Взаимодействие (25%) | Управление (25%) | Производительность (20%) | Гибкость (20%) | Документация (10%) | Итоговая оценка |
| RADGUARD cIPro System 3.30 | 9 x 0,25 = 2,25 | 6 x 0,25 = 1,50 | 9 x 0,20 = 1,80 | 9 x 0,20 = 1,80 | 6 x 0,10 = 0,60 | 7,95 |
| VPNet VPNware VSU-1100 2.51 | 7 x 0,25 = 1,75 | 7 x 0,25 = 1,75 | 10 x 0,20 = 2,00 | 8 x 0,20 = 1,60 | 6 x 0,10 = 0,60 | 7,70 |
| Check Point VPN-1 Gateway | 6 x 0,25 = 1,50 | 7 x 0,25 = 1,75 | 8 x 0,20 = 1,60 | 8 x 0,20 = 1,60 | 6 x 0,10 = 0,60 | 7,05 |
| RedCreek Ravlin 10/5100 3.0.2 | 9 x 0,25 = 2,25 | 6 x 0,25 = 1,50 | 5 x 0,20 = 1,00 | 8 x 0,20 = 1,60 | 7 x 0,10 = 0,70 | 7,05 |
| TimeStep Permit Gateway 4520 | 5 x 0,25 = 1,25 | 6 x 0,25 = 1,50 | 5 x 0,20 = 1,00 | 10 x 0,20 = 2,00 | 7 x 0,10 = 0,70 | 6,45 |
| Data Fellows F-Secure VPN+ 4.0 | 9 x 0,25 = 2,25 | 3 x 0,25 = 0,75 | 6 x 0,20 = 1,20 | 8 x 0,20 = 1,60 | 6 x 0,10 = 0,60 | 6,40 |
| Nortel Contivity Extranet Switch 1500 2.0 | 7 x 0,25 = 1,75 | 4 x 0,25 = 1,00 | 7 x 0,20 = 1,40 | 8 x 0,20 = 1,60 | 6 x 0,10 = 0,60 | 6,35 |
| Axent Raptor Firewall/VPN Server | 6 x 0,25 = 1,50 | 4 x 0,25 = 1,00 | 6 x 0,20 = 1,20 | 9 x 0,20 = 1,80 | 7 x 0,10 = 0,70 | 6,20 |
| Lucent VPN Gateway 2.0 | 5 x 0,25 = 1,25* | 4 x 0,25 = 1,00 | 8 x 0,20 = 1,60 | 9 x 0,20 = 1,80 | 4 x 0,10 = 0,40 | 6,05 |
| Intel LanRover Gateway 6.6 | 5 x 0,25 = 1,25 | 6 x 0,25 = 1,50 | 6 x 0,20 = 1,20 | 8 x 0,20 = 1,60 | 4 x 0,10 = 0,40 | 5,95 |
| 3Com PathBuilder S580 | 5 x 0,25 = 1,25 | 2 x 0,25 = 0,50 | 10 x 0,20 = 2,00 | 6 x 0,20 = 1,20 | 7 x 0,10 = 0,70 | 5,65 |
| Internet Dynamics Conclave 1.52 | 1 x 0,25 = 0,25 | 9 x 0,25 = 2,25 | 5 x 0,20 = 1,00 | 6 x 0,20 = 1,20 | 7 x 0,10 = 0,70 | 5,40 |
| Novell BorderManager Firewall Services 3 | 1 x 0,25 = 0,25 | 4 x 0,25 = 1,00 | 4 x 0,20 = 0,80 | 6 x 0,20 = 1,20 | 4 x 0,10 = 0,40 | 3,65 |
| Compatible Systems IntraPort 2+ | 1 x 0,25 = 0,25 | 2 x 0,25 = 0,50 | 6 x 0,20 = 1,20 | 6 x 0,20 = 1,20 | 4 x 0,10 = 0,40 | 3,55 |
| Microsoft Routing and Remote Access Service | 1 x 0,25 = 0,25 | 4 x 0,25 = 1,00 | 5 x 0,20 = 1,00 | 4 x 0,20 = 0,80 | 5 x 0,10 = 0,50 | 3,55 |
Примечания.
Приведенные оценки выставлены по десятибалльной шкале. Проценты указывают вес отдельных критериев в итоговой оценке.
* Способность к взаимодействию для шлюза фирмы Lucent не тестировалась, поэтому в качестве оценки проставлен средний результат (5) по всем остальным продуктам.
Заслуживают похвал и пакет VPN-1 Gateway Solution, предлагаемый вместе с платой ускорителя VPN-1 компанией Check Point Software, и модель Ravlin фирмы RedCreek — надежное устройство с хорошими возможностями взаимодействия, которое подвела лишь довольно заурядная производительность.
В ходе тестирования мы исследовали работу средств VPN на предмет обеспечения связи между локальными сетями через слабо защищенную среду вроде Internet. Большая их часть представляет собой устройства с минимальным набором функций брандмауэра. В отдельных разработках (LanRover VPN Gateway 6.6 корпорации Intel и VPN Gateway 2.0 компании Lucent Technologies) реализованы более сложные технологии брандмауэров и интегрированные средства VPN. Продукты Conclave производства Internet Dynamics, VPN-1 Gateway фирмы Check Point и Raptor Firewall/VPN Server компании Axent являются брандмауэрами, в которые добавлены отдельные средства поддержки виртуальных частных сетей. Устройство PathBuilder S580 корпорации 3Com — это обычный маршрутизатор со вспомогательными функциями VPN, а Microsoft и Novell предложили нам протестировать средства VPN, интегрированные в состав соответствующих операционных систем.
Трудный урок совместимости
Для продуктов большинства категорий, которые нам приходилось тестировать ранее, способность к взаимодействию считалась чем-то само собой разумеющимся, однако виртуальные частные сети — это особая история. Развертывая крупные сети VPN, заказчики довольно быстро убеждаются в том, что ни один из производителей не в состоянии предложить решение, которое подходило бы для всех используемых сетевых и операционных сред, а потому взаимная совместимость изделий разных поставщиков становится ключевым требованием. Фирмы-разработчики, своевременно осознавшие актуальность решения этой проблемы, в конечном счете будут процветать; а вот те, которые упорно пытаются ее игнорировать, обречены на забвение.
Тест на взаимодействие очень скоро перестал казаться нам простеньким развлечением. По мере того как росло число установленных в лаборатории устройств, проверка их способности «общаться» друг с другом отнимала все больше и больше времени. Так, тестирование последнего продукта на совместную работу со всеми остальными «испытуемыми» потребовало двух полных дней.
Хотя результаты подобного теста сильно зависят от конкретных изделий и применяемых рабочих профилей, одно можно утверждать со всей определенностью: до подлинной универсальной совместимости пока еще очень далеко. Одна из причин подобного положения дел состоит в том, что у производителей просто нет возможности тщательно протестировать свои разработки на предмет взаимодействия с продуктами других фирм, а менеджеры по маркетингу ведут среди заказчиков активную пропаганду целесообразности приобретения всех изделий у одного поставщика.
Достаточно сказать, что даже победитель данного теста — устройство cIPro фирмы RADGUARD способно взаимодействовать лишь с малой частью имевшихся в нашем распоряжении изделий (табл. 2). И полученный им высокий балл отражает скорее только тот факт, что результаты, продемонстрированные другими разработками, оказались еще хуже. Фактически, оценки, приведенные в таблице, следует считать относительными, а не такими, которые соответствовали бы беспристрастной абсолютной шкале.
| Продукт | 3Com | Axent | Check Point | Compatible Systems | Data Fellows | Intel | Nortel | RADGUARD | RedCreek | TimeStep | VPNet |
| 3Com | + | +/- | - | - | - | - | - | +/- | +/- | - | - |
| Axent | +/- | + | +/- | - | +/- | +/- | - | +/- | - | - | - |
| Check Point | - | - | + | - | +/- | - | +/- | +/- | +/- | + | +/- |
| Compatible Systems | - | - | - | + | - | - | - | - | - | - | - |
| Data Fellows | - | +/- | +/- | - | + | +/- | - | + | +/- | + | +/- |
| Intel | +/- | +/- | - | - | +/- | + | +/- | +/- | +/- | - | - |
| Nortel | +/- | - | +/- | - | +/- | - | + | + | + | +/- | +/- |
| Radguard | +/- | +/- | - | - | + | +/- | + | + | +/- | - | - |
| RedCreek | +/- | + | - | - | +/- | +/- | + | + | + | - | +/- |
| TimeStep | - | - | - | - | + | - | - | - | - | + | + |
| VPNet | +/- | +/- | - | - | +/- | - | +/- | + | + | +/- | + |
Примечания.
+ взаимодействуют,
+/- взаимодействуют частично,
- не взаимодействуют.
Разработки компаний Internet Dynamics, Microsoft и Novell несовместимы со спецификациями IKE и поэтому неспособны взаимодействовать с продуктами других производителей. Тестирование совместимости шлюза VPN Gateway 2.0 фирмы Lucent не проводилось из-за того, что нам не удалось вовремя запустить его в работу.
Справедливости ради надо признаться, что в данном тесте мы были особенно придирчивы. От поставщиков требовалось обеспечить поддержку алгоритмов шифрования Data Encryption Standard (DES) и Triple-DES, а также протоколов IPSec и Internet Key Exchange (IKE). При этом мы задались простой целью — убедиться в том, что продукты разных фирм в состоянии «общаться» друг с другом, используя общие профили. Как выяснилось, некоторым из них эта задача оказалась не по зубам. Например, устройство LanRover фирмы Intel не могло взаимодействовать с другими продуктами, если мы устанавливали специально выбранный профиль, хотя оно неплохо справилось с простейшим тестом на восстановление соединений.
Высокие оценки, полученные устройством cIPro, а также пакетами VPNware и F-Secure VPN+ 4.0 связаны с наличием у них разнообразных функций регистрации и анализа событий. Конечно, это еще не совместимость в строгом смысле слова, однако прекрасные средства регистрации позволили нам быстро запустить эти продукты в работу и добиться их взаимодействия с рядом других изделий. В отличие от модели Permit Gateway 4520 компании TimeStep, которая неизменно выдавала сообщение об ошибке шифрования (invalid payload), что бы мы с ней ни делали, перечисленные выше продукты генерировали подробные отчеты о текущем состоянии сети и ожидаемой динамике его изменения. Если бы каждый производитель реализовал средства регистрации событий на таком уровне, какой предлагает фирма Data Fellows, процедура тестирования заметно упростилась бы.
Иногда успешному взаимодействию помогала гибкость. Так, устройства, выпускаемые RedCreek и Nortel Networks, оказались в состоянии работать с удивительно большим числом других изделий, причем для этого нам не пришлось прибегать к каким-либо особым ухищрениям. В других же случаях, напротив, ничего не помогало. Скажем, разработки Internet Dynamics, Microsoft и Novell вовсе не прошли данный тест, поскольку они не поддерживают требуемые протоколы защиты данных. В табл. 2, отражающую результаты этих испытаний, не попал и шлюз VPN Gateway 2.0 фирмы Lucent — мы потратили битых два дня только на то, чтобы заставить его работать, даже несмотря на постоянное участие технического представителя фирмы. Эти малопродуктивные временные затраты не позволили нам приступить собственно к проверке продукта Lucent на совместимость с другими устройствами.
Отдельные тесты, например проводимые Международной ассоциацией по компьютерной безопасности (ICSA), обычно дают более обнадеживающие результаты. Следует учесть, однако, что их организаторам помогают разработчики, представляющие все участвующие стороны, да к тому же экспертам предоставляется возможность предварительно пообщаться в течение целой недели. Мы же попытались воспроизвести более типичную ситуацию, в которой обычно оказывается пользователь. Именно поэтому мы пригласили по одному представителю от каждой компании-изготовителя, причем это были не инженеры, а сотрудники службы технической поддержки, традиционно работающие на выезде. Для настройки конфигурации продуктов им отводилось всего по нескольку часов. Помощь этих людей трудно переоценить, поскольку в ряде случаев нам приходилось задавать значения недокументированных переменных или детально отслеживать изменения параметров на отдельных устройствах. В то же время наши тесты носили более щадящий характер: дело в том, что от исследовавшихся продуктов требовалось продемонстрировать возможность взаимодействия в конфигурации «точка—точка» — в каждый момент только с одним устройством.
Вывод из полученных результатов неутешителен. Попытки достичь действительного взаимодействия между разными продуктами не увенчались успехом. Так, высокая оценка изделия RADGUARD связана, в частности, с возможностью запуска и остановки процесса отправки идентификатора фирмы-производителя — своеобразной новинкой в сеансах на базе протокола IPSec. Впрочем, и ее реализация неполна: данная функция поддерживается на отдельном устройстве, а не на всем туннельном соединении. Это означает, что в реальной сети cIPro скорее всего не сможет взаимодействовать с таким же количеством продуктов других изготовителей, как в случае соединений «точка—точка».
Скорость на продажу
В тесте на производительность мы попросили изготовителей использовать алгоритм Triple-DES. Тому было две причины. Во-первых, данный протокол обеспечивает защиту данных на таком уровне, который применяется в военных ведомствах. На сегодняшний день еще никому не удалось «вскрыть» поток данных, зашифрованный при помощи указанного алгоритма. Во-вторых, на рынке существуют аппаратные ускорители, ориентированные на шифрование именно по методу Triple-DES. Уровень защиты, гарантируемый Triple-DES, обеспечивает и ряд других алгоритмов, применяемых сегодня в виртуальных частных сетях (Blowfish, CAST, RC5), однако для них пока отсутствуют широко доступные аппаратные средства повышения производительности.
Шифрование данных требует немалых вычислительных ресурсов. Мы были приятно удивлены тем, что разработка компании Axent смогла обеспечить скорость шифрования 8,3 Мбит/с на стандартном персональном компьютере с 350-МГц процессором Pentium II. Однако этот показатель быстро померк на фоне 30,2 Мбит/с, которые выдал VPN Gateway 2.0 корпорации Lucent на 300-МГц процессоре Pentium II при наличии карты ускорителя (табл. 3).
| Продукт | Скорость передачи, Мбит/c | |
| Несколько потоков | Один поток | |
| 3Com PathBuilder S580 | 61,3 | 10,3 |
| VPNet VPNware VSU-1100 2.51 | 60,0 | 21,0 |
| Lucent VPN Gateway 2.0* | 30,2 | 8,1 |
| RADGUARD cIPro System 3.30 | 28,6 | 18,0 |
| Check Point VPN-1 Gateway* | 23,1 | 12,4 |
| Nortel Contivity Extranet Switch 1500 2.0 | 11,9 | 6,7 |
| Intel LanRover Gateway 6.6* | 8,9 | 3,5 |
| Axent Raptor Firewall/VPN Server** | 8,3 | 6,1 |
| Compatible Systems IntraPort 2+ | 7,2 | 2,5 |
| Microsoft Routing and Remote Access Service** | 6,2 | 2,1 |
| TimeStep Permit Gateway 4520 | 5,1 | 2,0 |
| Data Fellows F-Secure VPN+ 4.0** | 5,1 | 4,6 |
| Internet Dynamics Conclave 1.52** | 4,2 | 3,4 |
| RedCreek Ravlin 10/5100 3.0.2 | 3,7 | 3,0 |
| Novell BorderManager Firewall Services 3 | 3,0 | 2,1 |
Примечания.
* С аппаратным ускорителем шифрования данных.
** Программное обеспечение тестировалось на компьютере с 350-МГц процессором Pentium II.
Различие между производительностью продуктов при использовании аппаратного ускорителя и без него впечатляет: после установки соответствующей платы быстродействие шлюза LanRover VPN Gateway с обычным процессором Pentium возросло с 2,7 до 8,9 Мбит/с, а программное обеспечение VPN-1 Gateway производства Check Point, инсталлированное на рабочей станции Sun SPARC 20, стало работать почти вчетверо быстрее (23,1 вместо 6 Мбит/с).
Общий вывод из теста на быстродействие довольно банален: если вам нужна высокая производительность, готовьте деньги. К возможностям устройств VPNware от VPNet и маршрутизатора PathBuilder фирмы 3Com мы оказались неподготовленными. Нам не удалось измерить реальную производительность этих продуктов, поскольку измерительное оборудование попросту зашкалило. Можно утверждать лишь, что их быстродействие при одновременном шифровании нескольких потоков по алгоритму Triple-DES превышает 60 Мбит/с, и это в стомегабитной локальной сети с реальным трафиком. Правда, за подобную рекордную производительность вам придется выложить никак не меньше 16 тыс. долл. в пересчете на одну локальную сеть.
К сожалению, с появлением технологии VPN протокол IP теряет свою привлекательность. Дополнительная служебная информация, связанная с работой виртуальной сети, увеличивает длину IP-пакетов. В свою очередь, это приводит к фрагментации пакетов, что снижает эффективность использования сетевых ресурсов. Кроме того, шифрование негативно отражается на задержках передачи, а значит, уменьшает фактическую пропускную способность сети. Показатели производительности, полученные нами в многопоточных тестах, — это наилучшие значения, которые могут наблюдаться в глобальной сети с нулевыми потерями и малой задержкой.
Но даже в таком идеализированном варианте Internet добавление процедур шифрования приводит к падению пропускной способности в среднем на 30 Мбит/с. Сформировав в действующей сети каналы VPN, будьте готовы к тому, что изрядная часть полосы пропускания просто исчезнет.
Если вы хотите установить средства поддержки виртуальных сетей на существующий брандмауэр или сервер, производительность должна интересовать вас в первую очередь. Шифрование потока T1 способно «съесть» практически все вычислительные ресурсы брандмауэра, реализованного на обычном процессоре Pentium. Поэтому, прогнозируя появление в VPN значительного объема трафика, приобретите специальные аппаратные средства шифрования или установите для этих целей выделенный сервер. С точки зрения пропускной способности наилучшее решение сегодня предлагает фирма RADGUARD: среди рассмотренных нами продуктов iCPro имеет наименьшую стоимость в пересчете на 1 Мбит/с полосы пропускания.
Мы протестировали сжатие IP-пакетов на примере Contivity Extranet Switch 1500 фирмы Nortel и VPNware компании VPNet. Применение процедур сжатия позволяет скомпенсировать нежелательный эффект роста числа пакетов после установления соединений VPN. (Этот эффект означает также, что сжатие потоков данных должно выполняться до процедуры шифрования — на уровне приложений или в самой VPN. Шифрование же, выполняемое в соединениях, не дает практически никакого выигрыша в производительности.)
Исследуя работу коммутатора Contivity фирмы Nortel с включенной функцией сжатия, мы заметили, что при обработке нескольких легко сжимаемых потоков данных пропускная способность устройства возросла с 11,9 до 26,7 Мбит/с. Продукт же компании VPNet показал совсем иные результаты: сжатие привело к уменьшению производительности с 60 Мбит/с (максимальный регистрировавшийся нами показатель) до 48,5 Мбит/с. Похоже, что снижение пропускной способности в данном случае связано с дополнительными временными затратами на передачу пакетов между специальными аппаратными средствами шифрования и центральным процессором.
Управление: самое слабое звено
Оказалось, что наибольшие различия между тестировавшимися продуктами лежат в сфере администрирования. Поставщикам VPN-продуктов, за двумя исключениями, еще предстоит изрядно потрудиться на этом поприще.
В массе своей компании рассматривают VPN-устройство в качестве самостоятельного (и потому независимо администрируемого) сетевого узла. Но поскольку такие устройства используются по крайней мере парами, подобный подход нам кажется неприемлемым.
Хуже всего обстоят дела у 3Com и Compatible Systems. Управление изделиями этих поставщиков осуществляется средствами интерфейса командной строки, который демонстрирует свою явную враждебность по отношению к пользователю. (Compatible Systems предлагает и графический интерфейс, однако текущий код IntraPort 2+ не согласован с GUI. Так, предоставленный в наше распоряжение графический интерфейс не позволял формировать туннельные соединения VPN между отдельными устройствами.)
Средства администрирования для Raptor фирмы Axent и Contivity производства Nortel также не произвели на нас особого впечатления. Для управления ими использовался полностью независимый графический интерфейс, и отсутствовала хоть какая-нибудь возможность обмена информацией о конфигурации между двумя разными системами. А уж средства управления в исполнении Data Fellows собьют с толку кого-угодно: чтобы заставить оборудование этой компании работать, вам придется освоить минимум три графических интерфейса да еще организовать выделенное защищенное соединение для выдачи команд и обмена управляющей информацией.
Усилия RedCreek, RADGUARD и TimeStep по облегчению жизни сетевых администраторов оказались ненапрасными. Хотя и эти фирмы трактуют каждый из узлов виртуальной сети как независимое устройство, администратор может одновременно просмотреть сведения о состоянии нескольких узлов для приведения их конфигураций в соответствие друг другу и организации обмена общей служебной информацией. Предлагаемые графические интерфейсы дают возможность сформировать небольшое число туннельных соединений.
Check Point, VPNet и Internet Dynamics — только эти компании позволяют сетевому администратору обращаться с виртуальной сетью как с совокупностью туннельных соединений, а не как с набором разобщенных оконечных узлов.
Победителем же в данном тесте вышел пакет Conclave производства Internet Dynamics, представляющий собой объединение брандмауэра со средствами VPN. Он открывает перед администратором путь к реализации стратегий управления, основанных на неких критериях, например на требуемой степени защищенности трафика в конкретном соединении. После того как критерий определен, Conclave сам выберет способ построения виртуальной сети, гарантирующей необходимый уровень защиты данных. Если же удовлетворить сформулированное требование невозможно, трафик просто не будет пропущен. Реализованный фирмой графический интерфейс на голову выше всех остальных разработок.
Сложность алгоритмов шифрования и процедур настройки конфигурации сети VPN объясняют живейшую заинтересованность администраторов в хорошей документации. Даже небольшие различия в толковании ключевых понятий способны привести к тому, что передаваемая вами информация окажется выставленной на всеобщее обозрение.
В данном случае предлагаемая документация вызвала у нас традиционные нарекания. Производители в большинстве своем поддались модному течению — создавать системы экранной помощи, содержание которых, к сожалению, практически не выходит за рамки описания работы с экранным графическим интерфейсом. Правда, некоторые компании все же разработали как печатную, так и экранную документацию высокого качества. Например, фирма TimeStep предлагает своим заказчикам технический документ по информационной безопасности сетей VPN, содержащий едва ли не самое ясное описание протокола IPSec из тех, что нам когда-либо доводилось держать в руках. На продукт этого изготовителя стоит взглянуть уже ради того, чтобы прочитать указанный документ.
На другом конце спектра оказались корпорации Novell и Compatible Systems, документация которых столь лаконична, что уж лучше бы ее не было вовсе.
* * *
Перед тем как принять окончательную стратегию применения в своей организации технологий VPN, вам предстоит проанализировать множество факторов (табл. 4). Здесь и совместимость новых продуктов с установленным оборудованием, и вопросы администрирования, и дополнительные функциональные возможности. Общая рекомендация сводится к тому, чтобы не жалеть времени на тестирование разработок, которые в дальнейшем вы собираетесь приобрести. И помните, что проверка средств защиты данных — это только начало.
| Продукт | Компания | Цена, долл. | Достоинства | Недостатки |
| cIPro System 3.30 | Radguard, www.radguard.com/products.html | 6450 | * Компактность * Хорошее соотношение цена/производительность * Наличие интерфейса для централизованного администрирования | *
Первоначальное
распределение ключей иногда
вызывает
затруднения * Требуется выделенная станция управления и орган сертификации |
| VPNware VSU-1100 2.51 | VPNet Technologies. www.vpnet.com/products/products.htm | 17 995 | * Высокая
производительность * Объединенное управление сетью | * Высокая цена |
| VPN-1 Gateway Solution с картой ускорителя VPN-1 | Check Point Software Technologies, www.checkpoint.com/products/vpn1/gateway.html | 3495 плюс 3995 за ускоритель | * Интеграция с
брандмауэром * Единый интерфейс управления * Возможность установки аппаратного ускорителя | * Требуются
дополнительные
аппаратные средства и
настройка
конфигурации ОС * Трудность отдельной настройки конфигурации VPN |
| Ravlin 10/5100 3.0.2 | RedCreek Communications, www.redcreek.com/products/rav10.html | 3500 | *
Компактность * Простые GUI-интерфейс и средства настройки конфигурации * Хорошая реализация протокола IPSec * Прекрасное соотношение цена/производительность | * Пропускная способность ограничена уровнем T1 |
| TimeStep Permit Gateway 4520 | TimeStep, www.timestep.com/Html/ProdConGate.htm | 5495 | *
Компактность * Прекрасная интеграция с инфраструктурой PKI * Хороший интерфейс управления | * Пропускная
способность
ограничена уровнем T1 * Плохое соотношение цена/производительность |
| F-Secure VPN+ 4.0 | Data Fellows, www.datafellows.com/f-secure/vpn-plus/ | 2495 | * Использование
стандартных
аппаратных средств * Интеграция с ПО Windows NT Security Account Manager | * Требуются
дополнительные
аппаратные средства и
настройка
конфигурации ОС * Инструменты управления сложны в настройке и использовании |
| Contivity Extranet Switch 1500 2.0 | Nortel Networks, www.nortelnetworks.com/products/ | 7000 | * Простота настройки конфигурации отдельных устройств из Web-браузера | * Средства управления одиночными устройствами медленны и сложны в использовании |
| Raptor Firewall/VPN Server | Axent Technologies, www.axent.com/product/rsbu/firewall/default.htm | 2500 | * Интеграция с
брандмауэром * Единый интерфейс управления | * Требуются
дополнительные
аппаратные средства и
настройка
конфигурации ОС * Трудность отдельной настройки конфигурации VPN * Средства управления одиночными устройствами сложны в использовании |
| VPN Gateway 2.0 с картой ускорителя | Lucent Technologies, www.lucent.com/security/ | 9995 плюс 3495 за ускоритель | * Реализация функций
брандмауэра * Возможность установки аппаратного ускорителя | * Сложный интерфейс управления |
| LanRover Gateway 6.6 | Intel, www.shiva.com/remote/vpngate/index.html | 6200 | * Хорошая интеграция с системой дистанционной аутентификации мобильных и удаленных пользователей | * Очень большие габариты * Сложные средства отладки |
| PathBuilder S580 | 3Com, www.3com.com/products/dsheets/400428.html | 29 500 | * Высокая
производительность * Компактность | * Ужасный интерфейс командной строки |
| Conclave 1.52 | Internet Dynamics, www.conclave.com | 2495 | * Элегантный интерфейс
управления * Наличие брандмауэра, поддерживающего стратегии управления | * Работа только под Windows NT,
которая снижает
производительность * Несовместим с IKE |
| BorderManager Firewall Services 3 | Novell, www.novell.com/catalog/qr/sne34196.html | 995 | * Интеграция с NetWare | * Не поддерживается IKE |
| IntraPort 2+ | Compatible Systems, www.compatible.com | 9995 | * Поддержка средств многопротокольной маршрутизации | * Не
взаимодействует с другими
продуктами * Цена на клиентскую станцию, а не на туннельное соединение |
| Routing and Remote Access Service | Microsoft, www.microsoft.com/intserver/default.asp | Поставляется в составе Windows NT Server | * Не взимается плата за продукт сверх цены
существующих лицензий на Windows NT Server * Интеграция с ПО Windows NT Security Account Manager * Поддержка встроенного клиентского ПО в существующих системах под Windows | * Поддержка только
алгоритма шифрования RC4 и
протокола
туннелирования PPTP * Не поддерживаются другие операционные среды |
ОБ АВТОРЕ
Джоул Снайдер (Joel Snyder) сотрудничает с фирмой Opus One (Таксон, шт. Аризона), которая оказывает консультационные услуги в области информационной безопасности, сетевых технологий и электронной почты. С ним можно связаться по адресу joel.snyder@opus1.com.| Процедура тестирования |
Для создания двух частных локальных сетей и одной общедоступной сети, имитировавшей Internet, использовались коммутаторы 350T производства Nortel/Bay Networks, оборудованные 10/100-Мбит/с портами Ethernet. Для генерации трафика в каждой из ЛВС было установлено по три станции с 500-МГц процессорами Alpha, а мониторинг трафика осуществлялся при помощи устройства EtherPeek фирмы AG Group. Два компьютера с 350-МГц процессорами Pentium II играли роль административных консолей; на них же запускалось программное обеспечение VPN, предлагаемое рядом поставщиков. Для управления этими системами использовался переключатель клавиатура/видео/мышь Autoboot Commander 4P компании Cybex. Чтобы помочь нам с инсталляцией продуктов, большинство фирм прислали своих представителей. Завершив процесс установки, мы приступили к тестированию взаимодействия по протоколу IPSec в умеренно сложной конфигурации туннельных соединений. Наши требования к поставщикам сводились к поддержке двух различных алгоритмов шифрования: DES и Triple-DES. Продукты, не поддерживающие протокол IPSec и cпецификации IKE (а сюда относятся Conclave фирмы Internet Dynamics, Routing and Remote Access Service, входящий в состав Windows NT Server 4.0 корпорации Microsoft, и BorderManager Firewall Services 3 компании Novell), были исключены из этого теста. Стандарты безопасности в сетях IP, которые частенько обозначаются единой аббревиатурой IPSec, довольно многочисленны и сложны. Мы обнаружили, что на уровне реализации протокола IPSec многие продукты похожи, как две капли воды, — возможно, из-за чрезмерной сложности стандартов. В то же время различия в производительности, совместимости и средствах администрирования оказались весьма существенными. Вот почему этим факторам в ходе тестирования было уделено особое внимание. Проверка взаимодействия с инфраструктурой общедоступных ключей (PKI) осуществлялась с применением программного обеспечения Entrust/PKI фирмы Entrust Technologies. Нас интересовала реальная способность VPN-продуктов обмениваться ключами с упомянутым пакетом. Наконец, для анализа производительности при обработке потоков TCP имитировалась пиковая нагрузка на сеть. Здесь присутствовал как тест с единичным потоком (для измерения пропускной способности VPN-устройств и вносимых ими задержек), так и тест с несколькими потоками (который позволил оценить производительность в наихудших условиях из тех, что могут встретиться в локальной сети). Для передачи TCP-трафика через виртуальную сеть в полудуплексном режиме использовался стек протоколов TCP/IP из операционной системы BSD (Tahoe) и TCP-поток высокой интенсивности. Такой же стек на принимающей стороне просто отбрасывал поступающие данные. Эффект сжатия данных стеком TCP и ограничения на обнаружение им минимальных передаваемых блоков данных (MTU) приводят к тому, что организация VPN очень сильно сказывается на общей производительности сети. |
| Как выбрать VPN-продукт |
Задумываясь о покупке средств, поддерживающих технологию виртуальных частных сетей, прежде всего следует принять во внимание уже установленное оборудование. Если, скажем, вам требуется интегрировать VPN с сетью, построенной на маршрутизаторах 3Com, или с брандмауэром Axent, выбор решения не составит особого труда. Однако делегирование новых функций существующему устройству не всегда оказывается лучшей стратегией. В том случае, когда брандмауэр или маршрутизатор работает почти на пределе своих возможностей, попытка вменить ему в обязанность обслуживание VPN ни к чему хорошему не приведет. Попробуйте проанализировать задачи, стоящие перед вами как сетевым администратором. Если вы планируете использовать VPN для шифрования трафика, передаваемого между клиентской станцией и ЛС либо между двумя ЛВС, на первый план выходит способность устройства поддерживать одновременное функционирование тысяч туннельных каналов VPN. В целом, мы обнаружили, что поставщики исключительно программных решений, в том числе Microsoft, Novell, Internet Dynamics, Axent и Data Fellows, предлагают покупателям меньший набор функциональных возможностей и более ограниченные средства управления, нежели их непосредственные "аппаратные" конкуренты. В то же время организации, располагающие небольшим бюджетом развития и внедрения сетевых технологий, вполне могут остановить свой выбор на чисто программном продукте, правда, при условии, что в их распоряжении уже имеется соответствующий сервер. Все тестировавшиеся нами приложения VPN, будучи инсталлированы на компьютерах с 350-МГц процессорами Pentium II, легко управлялись с потоками T1 даже при использовании самого высокого уровня шифрования данных. Если конкретный поставщик еще не выбран, самое время проанализировать ряд дополнительных возможностей. Избирательное шифрование. Некоторые продукты позволяют вам активизировать или отключать шифрование трафика, исходя из доступного уровня сетевого сервиса. Подобная функция важна далеко не для каждой компании, однако если вам предстоит организовать VPN в среде, где используются брандмауэры, возможно, имеет смысл зашифровывать только часть передаваемого трафика. Не исключено также, что вы сочтете необходимым использовать для пакетов, связанных с работой отдела кадров, более изощренный алгоритм шифрования, чем для изображений в формате GIF, которые должны быть помещены на корпоративный Web-сервер. Топология. Большая часть VPN-оборудования оснащается двумя интерфейсами Ethernet со скоростью передачи 10 или 10/100 Мбит/с. Разработчики программных средств не накладывают на свои продукты столь жестких ограничений: в данном случае все определяется тем, какие интерфейсы локальных и глобальных сетей поддерживают операционные системы Windows NT, NetWare или Unix (хотя производительности центрального процессора может хватить всего на один интерфейс). Некоторые поставщики оборудования, включая 3Com, Lucent и RADGUARD, реализовали в своих изделиях несколько интерфейсов. Поддержка авторизованных организаций по сертификации. Возможность взаимодействия с подобной организацией, которая реализуется самим производителем VPN-продукта или независимой фирмой вроде Entrust Technologies, незаменима, если вам предстоит обслуживать туннельные соединения и клиентские станции, пересчитать которые не удается по пальцам одной руки. Мы протестировали три продукта, поддерживающих онлайновый доступ к инфраструктуре Entrust/PKI; это были Permit Gateway 4520 фирмы TimeStep, Raptor Firewall/VPN Server производства Axent и VPN-1 Gateway компании Check Point. Мониторинг событий. После того как список возможных претендентов сократился до нескольких пунктов, самое время обратиться к процедурам обнаружения и регистрации событий. Если в вашей сети уже реализована возможность централизованного отслеживания событий, не будет ли она конфликтовать с новыми средствами VPN? Поддерживается ли протокол SNMP? В настоящее время не существует стандарта на административную базу данных (MIB) для виртуальных частных сетей, однако даже подсчет пакетов, осуществляемый на управляющей станции средствами SNMP, предоставит вам исчерпывающие данные о текущем состоянии сети VPN. Модули управления. Управляющая станция — это не просто место, где принимаются решения; она легко может съесть весь ваш бюджет. Например, аппаратные продукты Lucent будут казаться вполне приемлемым вариантом до тех пор, пока вы не узнаете, что за управляющую станцию следует выложить дополнительные 12 тыс. долл. Если сеть VPN нужна для объединения всего двух или трех офисов, компании вроде VPNet, RADGUARD, Lucent и Check Point заставят вас изрядно раскошелиться на инфраструктуру администрирования. |