Вместе с развитием Internet широкое признание получили виртуальные частные сети (Virtual Private Network, VPN). Они стали важным инструментом удаленного доступа к ресурсам корпоративной сети по каналу связи, защищенному протоколом сетевого уровня IP Security Protocol (IPSec). Для объединения локальных сетей разнесенных офисов или подключения к корпоративным ресурсам удаленных сотрудников посредством VPN обычно применяется устойчивый к взломам режим туннелирования — протоколы канального уровня Point-to-Point Tunneling Protocol (PPTP) и L2 Tunneling Protocol (L2TP). (Для организации туннелей может также задействоваться технология MPLS.) Туннель VPN (канал «точка-точка») между узлами (шлюзами VPN) или шлюзом и удаленным ПК обеспечивает безопасные коммуникации по незащищенной сети. Шлюзы VPN реализуют функции формирования туннелей, защиты данных, контроля трафика и централизованного управления. Важнейшие элементы защищенного соединения — управление доступом, аутентификация и шифрование.

ЗА БЕЗОПАСНОСТЬ ТРАНСПОРТА

Набор протоколов шифрования пакетного трафика IPSec был разработан в 1995 г. С тех пор он подвергался многочисленым переработкам. Появившееся десять лет спустя третье поколение IPSec (RFC 4301-4309) использует стандарт обмена ключами шифрования (Internet Key Exchange). Технология IPSec VPN позволяет создать туннель на третьем уровне, через который удаленные устройства могут работать так же, как при физическом подключении к локальной сети. Для доступа к корпоративной сети с удаленного компьютера на нем необходимо установить специальное ПО (клиент VPN).

IPSec VPN — один из самых надежных способов безопасной передачи трафика, однако этот протокол требователен к вычислительным ресурсам и сложен для реализации, из-за чего могут возникать проблемы с совместимостью оборудования VPN. Как отмечают в Nortel, если в случае статических туннелей, когда в качестве конечных устройств выступают шлюзы доступа и маршрутизаторы с модулями шифрования, можно использовать оборудование разных вендоров, то динамические туннели, как правило, требуют применения клиентских компонентов того же производителя.

При большом числе мобильных пользователей обслуживание IPSec VPN (включая обновление и настройку конфигурации клиентского ПО) обходится слишком дорого. К тому же иногда требуется предоставить ограниченный доступ к ресурсам корпоративной сети партнерам или подрядчикам (VPN Extranet). Альтернативу IPSec VPN предлагает протокол защищенных сокетов (Secure Sockets Layer, SSL), его общедоступная версия — от Netscape — появилась в 1994 г. Спустя два года вышел усовершенствованный вариант SSL 3.0, ставший основой протокола Transport Layer Security (TLS, IETF RFC 2246, 1999 г.), который применяется во многих системах электронной коммерции. В числе пионеров рынка SSL VPN — компания Neoteris, выпустившая первые решения в 2002 г.
Через год ее купила NetScreen, которая впоследствие была приобретена Juniper. Последняя теперь уверенно удерживает позиции лидера мирового рынка SSL VPN (по обороту).

SSL VPN позволяет работать через защищенное соединение с помощью обычного браузера. Механизм безопасного транспорта SSL/HTTPS — стандартная принадлежность популярных браузеров Web. Для шифрования данных при обмене между клиентом и сервером используется пара ключей, а для подтверждения подлинности отправителя и отсутствия искажений в информации — сертификаты SSL. Чтобы установить защищенное соединение, браузер передает серверу Web запрос на безопасную страницу по протоколу HTTPS. Получив в ответ открытый ключ с сертификатом, он проверяет действительность последнего и передает зашифрованный посредством открытого ключа запрос серверу. Сервер Web дешифрует запрос с помощью секретного ключа и отправляет запрашиваемый документ, шифруя его симметричным ключом. Браузер дешифрует полученный документ с помощью симметричного ключа и отображает информацию.

SSL — простой вариант безопасного доступа с самых разнообразных устройств (ПК, ноутбуков, КПК, устройств Wi-Fi, WiMAX и 3G). Управление пользовательскими данными и паролями обычно осуществляет сама система, а устанавливать специальное клиентское ПО не требуется. В протоколах транспортного уровня SSL/TLS могут применяться протоколы прикладного уровня (HTTP, FTP, Telnet и др.). При этом не создается открытого канала доступа к внутренним ресурсам корпоративной сети: он предоставляется только к ресурсам, указанным администратором, и только авторизованным пользователям.

С КЛИЕНТОМ И БЕЗ

В отличие от IPSec VPN технология SSL VPN обычно позволяет удаленно работать с конкретным приложением, однако предусматривает различные модели доступа: без клиентского ПО (clientless), с применением клиента (client-based) в виде загружаемого после аутентификации апплета Java/ActiveX или на базе портала (portal-based). Для полного доступа к сети или работы с приложениями «клиент/сервер» продукты SSL VPN могут использовать специальный клиентский посредник (proxy client). Поэтому они подходят для любого типа приложений, то есть пользователь получает прозрачный доступ к корпоративным приложениям через SSL, подобно IPSec VPN. Загружаемые перед началом сеанса средства безопасности способны эмулировать традиционные туннели VPN. При портальном доступе после аутентификации пользователь попадает на страницу корпоративного портала и работает с разрешенными приложениями в соответствии со своими правами.

Программные, программно-аппаратные (серверы доступа) и аппаратные продукты SSL и/или IPSec VPN (шлюзы и маршрутизаторы) с различными уровнями надежности, производительности и безопасности отвечают разнообразным требованиям заказчиков и сценариям доступа. Кроме того, некоторые сайты Web предлагают сервис защищенного удаленного доступа по технологии SSL, например, GoToMyPC (принадлежащий Citrix) и LogMeIn одноименной компании.

По мнению Павла Ковалева, руководителя направления информационной безопасности Netwell, администрировать программный сервер VPN сложно, а его производительность может оказаться неудовлетворительной, однако стоимость этого решения сравнительно невысока. Его рекомендуется применять, когда в штате компании есть специалист, обладающий глубокими знаниями администрирования не только сервера VPN (например, Microsoft ISA Server), но и ОС. Эксплуатация специализированного оборудования VPN проще и дешевле, а кластерные конфигурации позволяют наращивать производительность. Алексей Лукацкий, менеджер по развитию бизнеса Cisco Systems, обращает внимание, что в случае программных реализаций «лишние» функции ОС снижают общую надежность и создают проблемы с масштабируемостью, защищенностью, производительностью. Кроме того, заказчику придется отдельно приобретать ПО для VPN, ОС и оборудование, что создает сложности с обучением, поддержкой и обновлением.

SSL ПРОТИВ IPSec

Пять лет назад рынок шлюзов IPSec VPN более чем вдвое превышал рынок оборудования SSL VPN, однако аналитики ожидали, что к 2008 г. большинство компаний будут использовать для удаленного доступа SSL VPN, а IPSec сохранится в нишевых и унаследованных приложениях. В прошлогоднем отчете Forrester Research аналитики опять подчеркнули, что грядет перелом рынка в пользу SSL VPN, полагая, что эта технология придет на смену IPSec VPN как стандарт удаленного доступа. Однако рынок консервативен и меняется медленно. Согласно прогнозу Datamonitor четырехлетней давности, мировой рынок SSL VPN должен был вырасти в 2003-2007 г. с 0,12 до 1 млрд долларов, но, по данным Gartner, в прошлом году он едва превысил 325 млн долларов.

По словам Павла Ковалева, используемые многими (особенно небольшими) компаниями продукты, построенные на основе традиционной технологии IPSec, еще не выработали свой ресурс, а устройства SSL VPN стоят недешево. В Netwell считают, что рост популярности решений SSL VPN напрямую зависит от распространения точек коллективного доступа в Internet (хот-спотов). В России их число относительно невелико, поэтому в ближайшее время повсеместный переход на SSL VPN с отказом от IPSec VPN не предвидится, хотя со снижением цен на устройства SSL и увеличением числа общедоступных мест выхода в Internet соотношение будет меняться в пользу SSL VPN. Эти решения проще в развертывании и администрировании и, при наличии выхода в Internet, обеспечивают доступ из любого места. С увеличением числа мобильных пользователей быстрый рост рынка SSL VPN неизбежен.

По подсчетам аналитиков, в мире около 60% сотрудников компаний имеют доступ к корпоративным приложениям из удаленного офиса, а почти 90% регулярно испытывают в нем необходимость, работая дома или в дороге. По прогнозам Gartner, в 2007-2011 гг. количество сотрудников, регулярно работающих на дому, будет ежегодно увеличиваться на 4,4% и к концу 2011 г. их число составит 46,6 млн. Стирание границ между домом и офисом создает для предприятий новые проблемы.

Распространение широкополосного доступа стимулирует развертывание приложений с передачей голоса и видео поверх IP. Однако при использовании SSL их поддержка может быть осложнена, что связано с особенностями реализации протокола. Как поясняет Антон Разумов, технический консультант Check Point Software Technologies, в случае SSL передача осуществляется по TCP. Если применять SSL для туннелей, связывающих удаленные площадки, потеря пакета от одного пользователя затормозит весь остальной поток, пока данный пакет не будет успешно доставлен. Поэтому, несмотря на ограничения IPSec, а также сложности с трансляцией адресов и закрытыми портами, этот протокол будет использоваться и в дальнейшем. Некоторые вендоры для поддержки требовательных к задержкам приложений реализуют дополнительные версии SSL, основанные на UDP, а не TCP. Например, Cisco остановила свой выбор на протоколе DTLS.

Между тем SSL позволяет управлять доступом с высокой точностью, например, указать URL, файл или сервер, к которым может обращаться пользователь. Тем самым снижается риск доступа к внутренним сетевым ресурсам с незащищенных клиентов или из недоверенных сетей. Если нужно обеспечить контролируемый доступ к конкретным ресурсам и дать разные права разным группам пользователей (сотрудникам, подрядчикам, поставщикам и т.д.) неадминистрируемых конечных систем, то SSL VPN, где контроль осуществляется на уровне приложений, будет лучшим решением. В расчете на пользователя системы SSL VPN могут оказаться более дорогими, чем IPSec VPN, однако операционные расходы у них ниже.

Решения IPSec и SSL VPN конкурируют уже почти десятилетие, но теперь вендоры стали использовать комбинированный подход и предлагать в своем оборудовании поддержку обоих вариантов для разных сценариев развертывания (см. Рисунок 1). По мнению Алексея Лукацкого, продукты «два в одном» позволяют снизить TCO за счет уменьшения сроков внедрения, стоимости самих решений и их реализации, упрощения обучения специалистов и пользователей. Однако Павел Ковалев считает эту меру переходной, подчеркивая, что в перспективе для удаленного доступа будет использоваться главным образом технология SSL VPN.

Рисунок 1. IPSec и SSL в равной степени пригодны для передачи защищенного трафика в сети общего пользования, но рассчитаны на разные сценарии: IPSec VPN больше подходит для связи между удаленными офисами (Intranet VPN) и доступа работающих дома сотрудников (Remote Access VPN), а SSL VPN — предпочтительный вариант «мобильного» доступа, позволяющий работать с корпоративными приложениями из любого места и с различных компьютеров, а также открыть для партнеров выделенные ресурсы в корпоративной сети (Extranet VPN).

По мнению специалистов Nortel, у каждого из данных видов доступа есть свои преимущества и недостатки, а оборудование, выпускаемое их компанией, предоставляет примерно равный уровень гибкости доступа для IPSec и SSL VPN. Это дает возможность выбирать то из них, которое лучше отвечает корпоративной политике безопасности и предпочтительнее в конкретном случае. Поэтому основное преимущество комбинированных решений — в универсальности, возможности поддержки разных корпоративных приложений в разных моделях доступа при должном уровне безопасности.

УКРЕПЛЕНИЕ ЗАЩИТЫ

Аналитики давно обращают внимание на возможные риски, связанные с простотой доступа через SSL VPN к корпоративной среде. По мнению Антона Разумова, ограничиться лишь открытием туннеля VPN неразумно: нужно убедиться в защищенности удаленного компьютера, контролировать передаваемый в туннеле трафик, обезопасить сервер (например, от атак SQL Injection) и удаленную систему. Независимо от способа подключения (SSL или IPSec) администратор должен иметь возможность централизованного управления, что обеспечивает согласованность политик, сокращает вероятность ошибок и уменьшает стоимость владения.

Чтобы усилить средства авторизации, некоторые решения SSL задействуют токены (электронные ключи), смарт-карты, генераторы паролей и протокол RADIUS. Такие носители USB или смарт-карты — достаточно надежный вариант для хранения ключей и сертификатов. Например, программно-аппаратный продукт eToken компании Aladdin предназначен для строгой двухфакторной аутентификации пользователей, безопасного хранения ключей, профилей пользователей и других конфиденциальных данных, а также криптографических вычислений и работы с сертификатами Х.509. Электронные ключи eToken PRO можно применять для организации защищенных каналов передачи VPN (IPSec и SSL), защиты серверов Web и приложений электронной коммерции.

Как поясняют в Aladdin, смарт-карты и электронные ключи eToken используются как для хранения цифрового сертификата, так и для аппаратной генерации пары ключей при работе с SSL/TLS. В этом устройстве аппаратно выполняются все криптографические операции с закрытым ключом, не покидающим eToken. Электронные ключи наподобие eToken Pass или eToken Java от Aladdin (последний соответствует ГОСТ 34.10-2001) подходят, например, для шлюзов Cisco ASA. Cisco Systems предлагает обширный спектр продуктов VPN,  поддерживающих eToken.

Передаваемую по каналу VPN информацию можно анализировать при помощи сканера трафика eSafe Web SSL, работающего в режиме посредника: на него маршрутизируются все сеансы HTTPS. Устройство расшифровывает трафик, проверяет его, удаляет найденный вредоносный код, и снова зашифровывает. eSafe SSL имеет данные обо всех публичных удостоверяющих центрах (VeriSign, Baltimore и др. — их перечень можно расширять) и при необходимости обращается к ним за проверкой сертификатов. Если сертификат проверить невозможно, то eSafe поступает в соответствии с заданной политикой: запрещает сеанс, разрешает или предлагает администратору выбрать правильное решение.

Помимо внутренней базы пользователей шлюзы VPN Check Point Connectra поддерживают RADIUS, SecureID, LDAP, сертификаты PKI (включая Microsoft CA) и различные токены. Один из вариантов интегрированных решений объединяет шлюз Connectra (SSL и IPSec), Microsoft Active Directory, Microsoft CA и Aladdin TMS (Token Management System). Это дает возможность предоставлять доступ к разным наборам приложений в зависимости от способа аутентификации. Новый шлюз ZyWALL SSL 10 от ZyXEL поддерживает настройку правил безопасности на уровне объектов (групп пользователей, диапазонов сетевых адресов или приложений), а также различные механизмы аутентификации и авторизации, включая Microsoft Active Directory, LDAP и RADIUS. Для генерации одноразовых ключей доступа могут применяться электронные брелоки ZyWALL OTP (One Time Password).

Устройства Juniper предусматривают детальное управление доступом, которое упрощается благодаря интеграции Juniper SA 6000 с Microsoft AD и гибкому определению правил безопасности для пользователей и групп. Иногда необходимо предоставить удаленному пользователю те или иные полномочия еще и в зависимости от состояния клиентской системы, времени и/или места доступа. В Citrix Access Gateway используется технология Citrix SmartAccess, позволяющая администраторам полностью контролировать операции пользователей с приложениями с учетом полномочий и условий доступа (в зависимости от того, с какого компьютера они работают). Некоторые решения SSL VPN способны получать информацию о текущем состоянии клиента, чтобы определить его соответствие корпоративным требованиям безопасности.

ПРОВЕРКА НА «ВШИВОСТЬ»

SSL зачастую подразумевает подключение с «неконтролируемых» клиентов (без предварительной установки корпоративного ПО), поэтому, как подчеркивает Антон Разумов, необходимо уделять особое внимание проверке и обеспечению безопасности удаленных рабочих станций. Check Point разработала для этого решение Endpoint Security On Demand (ESOD). Еще в 2001 г. компания выпустила продукт Check Point SecureClient, не только обеспечивающий защищенный удаленный доступ, но и позволяющий задавать для удаленного компьютера правила персонального брандмауэра (FW), проверять клиентскую систему на наличие обновлений ПО и работающего антивируса.

ESOD отслеживает наличие вредоносных программ, антивирусов и актуальность их баз и т.д. при помощи загружаемого на удаленный компьютер элемента управления ActiveX или апплета Java. Для повышения уровня безопасности используется виртуальный «рабочий стол» Secure Workspace, изолированный от остальной системы. Доступ полностью контролируется администратором, определяющим, какие программы можно запускать, куда сохранять файлы и др. Все временные файлы шифруются.

Juniper Endpoint Defense Initiative предусматривает использование клиентского (Host Check Client Interface) и серверного (Host Check Server Integration Interface) интерфейса проверки хост-системы, применение правил безопасности к рабочим станциям пользователей, на которых установлен брандмауэр и антивирус, возможность их обновления с устройства SA. Загружаемый с шлюза апплет Host Check (ActiveX/Java) определяет атрибуты удаленной системы, включая наличие последних определений вирусов, сетевой домен и специальные флаги, по которым устанавливается, какой организации принадлежит компьютер. Лишь после этого пользователь получает права доступа, нередко учитывающие и место доступа. Как и другие вендоры, Juniper предусматривает механизмы очистки кэша браузера (Cache Cleaner) и удаления временных файлов после сеанса.

В платформе Nortel VPN Router может устанавливаться карта PCI Nortel SSL VPN Module 1000, поддерживающая IPSec/SSL VPN и различные варианты доступа — портальный, с клиентом или без него (как и линейка шлюзов Nortel VPN Gateway). В случае использования программного клиента NetDirect возможна работа с любыми приложениями, а компонент TunnelGuard позволяет проверять клиентский ПК на соответствие политике безопасности.

У Cisco роль клиента SSL VPN, прозрачного для всех приложений, играет продукт AnyConnect. Он работает с оборудованием Cisco ASA и Cisco ISR. ПО AnyConnect устанавливается как стандартное приложение или загружается автоматически как апплет и функционирует под управлением ОС Windows, Linux, MacOS и Windows Mobile. Cisco Secure Desktop проверяет состояние системы безопасности подключающегося устройства, а для защиты данных в ходе сеанса создается «безопасная виртуальная машина», которая защищает конфиденциальные данные и «чистит» компьютер по завершении сеанса. Проверка клиента возможна и в решении Cisco ASA, где применяется технология Network Access Control (NAC), а также в случае устройства NAC Appliance. Механизм Dynamic Access Policies (DAP) позволяет динамически назначать права доступа в зависимости от местонахождения пользователя, настроек компьютера, имеющегося ПО и т.д.

ОПТИМАЛЬНЫЙ ШЛЮЗ

По мнению Алексея Лукацкого, современные шлюзы SSL VPN должны обладать несколькими качествами: обеспечивать прозрачность для любого приложения (как в клиентах IPSec VPN), осуществлять проверку соответствия клиентской системы корпоративным требованиям безопасности и поддерживать широкий спектр клиентских платформ, динамическое разграничение прав доступа к ресурсам и расширенные механизмы аутентификации пользователей. Антон Разумов также считает, что шлюз SSL VPN должен уметь контролировать безопасность удаленной рабочей станции и ее соответствие корпоративной политике (даже если речь идет о чужом компьютере), поддерживать унаследованные приложения и приложения Web, туннелирование SSL (аналог IPSec), иметь встроенный межсетевой экран и осуществлять строгую аутентификацию, позволяющую применять продукты других производителей. Кроме того, необходимы контроль самого протокола SSL, гибкие правила доступа пользователей и групп к приложениям согласно выявленному уровню безопасности клиента. Для масштабирования и повышения надежности требуются встроенные механизмы кластеризации и балансировки нагрузки.

Специалисты Nortel полагают, что в этих продуктах должен поддерживаться широкий набор стандартов для построения защищенного соединения с корпоративной сетью, включая функции аутентификации по различным базам данных, «одноразовые» пароли доступа, создание групп пользователей с различными правами доступа для тех или иных приложений/сетевых ресурсов. Среди дополнительных функций они выделяют возможности виртуализации для более гибкого использования одного физического устройства в различных сценариях. Обязательные качества этого оборудования — масштабируемость, отказоустойчивость и простота управления.

Одна из тенденций последних лет — создание унифицированных устройств безопасности (Unified Threat Management, UTM), объединяющих в одном решении VPN, брандмауэр, средства защиты от вредоносных программ и фильтрации Web, системы обнаружения и предотвращения вторжений (IDS/IPS). В итоге пользователи получают сразу комплекс решений. Специалисты Netwell считают, что имеет смысл встраивать в эти решения именно ту функциональность, которая необходима клиенту: в оптимальном варианте дополнительные функции должны быть факультативными и активироваться с помощью соответствующих лицензий. Как отмечает Павел Ковалев, помимо функций удаленного доступа многие производители наделяют свои продукты дополнительными возможностями, что отражается на их конечной стоимости. По его мнению, большинству пользователей не нужны такие функции, как динамическая авторизация, однократный ввод пароля для доступа к ресурсам (SSO), проверка подключаемых хост-систем на соответствие политике безопасности и др., поэтому они довольствуются традиционными недорогими технологиями (IPSec, PPTP и др.)

ЭВОЛЮЦИЯ РЕШЕНИЙ

Среди наиболее заметных тенденций развития линеек продуктов SSL VPN — увеличение производительности, интеграция дополнительных функций безопасности, расширение поддержки клиентских платформ, функции сбора событий безопасности для последующего анализа, поддержка приложений с передачей голоса и/или видео. Такие продукты превращаются в комплексные решения, интегрируемые в корпоративную инфраструктуру безопасности и единую систему управления. Недостающие технологии подчас восполняются за счет приобретений, поэтому в данном сегменте рынка продолжается консолидация: в прошлом году SonicWALL купила компанию Aventail, а Citrix — компанию Caymas Systems, производителя продуктов SSL и средств контроля доступа.

Juniper Networks выпускает большой набор решений для обеспечения безопасности: интегрированные устройства (FW/IPSec VPN), программно-аппаратные комплексы SSL VPN, инструменты управления доступом на основе правил и пр. Для защиты на уровне приложений разработаны шлюзы Networks Integrated Security Gateways (ISG), которые наряду с поддержкой VPN реализуют функции брандмауэра и IDP. Для безопасных коммуникаций с удаленными офисами предназначены высокопроизводительные шлюзы Juniper Networks Secure Services Gateway (SSG). По существу, это универсальные устройства UTM, обеспечивающие защиту и от вредоносных программ. Аналитики Gartner отмечают успехи Juniper Networks: широкий охват рынка SSL VPN и значительные объемы продаж оборудования, однако стоимость ее продуктов — одна из самых высоких. В нашей стране основные покупатели этого оборудования — крупные финансовые организации и компании нефтегазового сектора.

Рисунок 2. Серверы удаленного доступа Juniper Networks серии SA включают в себя решения для провайдеров и корпоративных заказчиков с различной численностью сотрудников.В сентябре прошлого года Juniper усовершенствовала устройства Secure Access (SA) SSL VPN (см. Рисунок 2). Они стали поддерживать более широкий спектр приложений и платформ, включая Microsoft Outlook Web Access 2007, SharePoint 2007 и Office 2007, без применения специальных программных клиентов. Кроме того, улучшено управление доступом к приложениям и назначение правил, расширена поддержка мобильных устройств (Apple iPhone, устройств с Windows Mobile) и тонких клиентов. Организация конференций Web осуществляется посредством функций MySecureMeeting, а для проверки подключающихся к сети клиентов в Host Checker добавлена поддержка стандартов Trusted Network Connect (TNC).

Недавно Cisco объявила о прекращении выпуска (но не поддержки) межсетевых экранов PIX и замене их более производительными и сопоставимыми по цене устройствами ASA 5500 (Adaptive Security Appliance). Как и в PIX, базовая комплектация Cisco ASA включает брандмауэр и функциональность IPSec VPN; для поддержки SSL VPN требуется приобрести лицензию и активизировать уже имеющийся в системе программный код. Как поясняет Алексей Лукацкий, слово «адаптивность» в названии продукта означает наличие практически всех необходимых технологий защиты периметра сети, настраиваемых в соответствии с нуждами заказчика и не требующих замены аппаратной платформы при изменении требований. Эта платформа построена по модульному принципу — в шасси ASA-SSM можно установить три модуля: CSC (для борьбы с вредоносным кодом, спамом и фильтрации URL), AIP-SSM (для предотвращения атак) и четырехпортовую сетевую карту Gigabit Ethernet 4GE-SSM.

Рисунок 3. Cisco ASA 5580 позиционируется как решение для защиты ЦОД распределенной компании, организации работы удаленных офисов и мобильных пользователей. В кластерной конфигурации поддерживается до 100 тыс. пользователей.В январе Cisco начала поставки оборудования Cisco ASA 5580 повышенной производительности (см. Рисунок 3). Устройство нацелено на защиту приложений с высокой частотой транзакций или работающих с мультимедийным контентом и может использоваться в качестве концентратора SSL и IPSec VPN, обслуживающего до 10 тыс. удаленных пользователей. Встроенный межсетевой экран обрабатывает трафик со скоростью 20 Гбит/с. Серия Cisco ASA 5580 включает в себя три модели: два шлюза безопасности (5580-40
и 5580-20) и концентратор доступа VPN (Cisco ASA 5580-20 Remote Access VPN Concentrator). Шлюз Cisco ASA 5580-40 поддерживает до 2 млн подключений одновременно и 750 тыс. правил безопасности. Обе модели Cisco ASA 5580-20 обслуживают до 1 млн соединений, а пропускная способность FW составляет 5 Гбит/с. Задержка у всех трех моделей не превышает 30 мксек. События безопасности NetFlow v9 могут передаваться в Cisco NetFlow Collector или системы других вендоров для корреляции, анализа и вывода отчетов. Приобретая концентратор доступа, заказчик получает сразу устройство безопасности и лицензию на SSL VPN, охватывающую 10 тыс. одновременно работающих пользователей.

Для удаленного доступа предлагаются разнообразные возможности: SSL VPN с клиентом и без него, поддержка TLS, Datagram TLS (DTLS) или IPSec. Графический интерфейс упрощает администрирование и настройку правил доступа. По словам Алексея Лукацкого, медленный протокол TLS не подходит для приложений реального времени (телефонии, видео и т.д.). Этот недостаток устраняет опциональный протокол DTLS, работающий на основе UDP. Подход Cisco отличается интеграцией обеих технологий (IPSec и SSL) в одном решении и их реализацией в сетевом оборудовании (поддержку IPSec и SSL можно настроить, как на Cisco ASA, так и на маршрутизаторах Cisco ISR).

По словам Антона Разумова, Check Point при разработке продуктов VPN исходила из того, что они должны обеспечивать удобство, гибкость и комплексную безопасность, а не только надежное соединение, причем как для клиента, так и для сервера, а кроме того, поддерживать разнообразные платформы, включая мобильные устройства (Pocket PC/Windows Mobile). В компании пошли по пути создания унифицированной системы, которая по надежности защиты способна превзойти конкурирующие продукты SSL VPN от Cisco, F5 и Juniper. Шлюз Connectra — программно-аппаратное или программное решение для доступа по SSL VPN — был выпущен Check Point в 2004 г. и включает в себя брандмауэр и IPS, что позволяет, по мнению разработчиков, снизить капитальные затраты и расходы на администрирование. Решение Connectra — часть универсальной архитектуры Check Point NGX. ПО управления Smart Defense Services Console позволяет управлять всеми продуктами Check Point в сети, включая средства защиты периметра VPN-1/Firewall-1, систему Connectra SSL VPN, шлюз безопасности Interspect и ПО Integrity, а Eventia собирает данные по инцидентам безопасности для составления отчетов.

Connectra одновременно решает задачи построения VPN и защиты корпоративной сети от угроз. После аутентификации и настраиваемой администратором проверки клиентской платформы (ПК, ноутбука или КПК) пользователь получает доступ к корпоративным ресурсам. Шлюз Connectra может работать в режиме кластера (ClusterXL) или балансировки нагрузки, а скорость анализа трафика приложений и шифрования достаточно высока для поддержки приложений реального времени. Расширяя возможности SSL за пределы портального доступа (достаточного для чтения почты, работы с определенными приложениями Web и обмена файлами), компания выпустила продукт SSL Network Extender (SNX), позволяющий инкапсулировать в SSL другие протоколы. SNX запускается в режиме Network Mode (прозрачном для всех протоколов) или Application Mode (ориентированном на приложения TCP и не требующем прав администратора). Check Point намерена развивать Connectra в направлении расширенной поддержки платформ (Mac, Linux) и дальнейшей интеграции с другими своими технологиями, что соответствует стратегии Total Security.

Nortel сформировала линейку продуктов IPSec/SSL VPN в 2004 г. На данный момент она включает в себя модуль SSL VPN 1000 для установки в маршрутизаторы VPN Router и высокопроизводительные шлюзы VPN Gateway (IPSec/SSL) для крупных корпоративных заказчиков. Недавно анонсированная версия ПО 7.0 расширила их функциональность. По заверениям представителей компании, предлагаемые функции покрывают все потребности рынка больших и малых шлюзов доступа VPN.

Решение Citrix Access Gateway было представлено в январе 2005 г. Сегодня продукты SSL от Citrix, одного из лидеров рынка продуктов SSL, могут масштабироваться от малого офиса до крупного предприятия и обеспечивать удаленный доступ к приложениям любого типа, включая мультимедиа и VoIP. Они дополнили средства доставки приложений Citrix Presentation Server (для приложений клиент/сервер) и Citrix NetScaler (для сетевых приложений). ПО NetScaler 8.0 упрощает контроль приложений и политик благодаря механизму AppExpert Policy Framework и системе AppExpert Visual Policy Builder, интегрирует смежные технологии инфраструктуры Citrix. NetScaler реализуется как дополнительный модуль для шлюза Citrix Access Gateway. По существу это контроллер доставки приложений, предлагающий интегрированное решение SSL VPN, Citrix Application Firewall и механизм мониторинга производительности приложений. Технология Citrix SmartAccess позволяет автоматически реагировать на любой сценарий доступа пользователя путем ограничения уровня доступа к приложению.

Оборудование SSL VPN от SonicWALL лидирует по объемам передаваемых данных, а решения SSL VPN от Aventail занимают заметное место на рынке продуктов для средних и крупных предприятий. Как ожидается, объединенная компания предоставит заказчикам решения для различного вида бизнеса. В январе SonicWALL интегрировала управление оборудованием Aventail SSL VPN в свою систему Global Management System, а новое ПО Aventail 9.0 для устройств Aventail VPN поддерживает SSL и IPSec VPN. Пользователи SSL VPN получили возможность доступа к заданным локальным сетевым ресурсам, например, к принтерам, то есть технологии SSL придаются определенные свойства IPSec. Разработчики ожидают, что новое интегрированное решение поможет SonicWall успешнее конкурировать с Cisco и Juniper.

ДЛЯ SMB И НЕ ТОЛЬКО

Рисунок 4. Интегрированное решение NETGEAR ProSafe Dual WAN Gigabit SSL VPN Firewall объединяет маршрутизатор, межсетевой экран, поддержку IPSec и SSL VPN.Внедрение решений SSL VPN в малом и среднем бизнесе требует создания продуктов, сочетающих разумную цену с необходимыми функциями. В октябре 2007 г. NETGEAR выпустила новое решение для SMB — ProSafe Dual WAN Gigabit SSL VPN Firewall (FVS336G) стоимостью 425 долларов (см. Рисунок 4), поддерживающее до 25 туннелей IPSec и 10 туннелей SSL VPN одновременно. По цене и функциональности шлюз приближается к ZyXEL ZyWALL SSL 10, но оснащается гигабитными портами, причем два порта глобальной сети могут работать в режиме балансирования нагрузки или резервирования. Устройство имеет коммутатор на четыре порта 10/100/1000 Мбит/с. Линейка NETGEAR ProSafe включает устройства FW/SSL VPN, обслуживающие до 253 пользователей локальной сети и 8-200 туннелей VPN, модели со встроенной точкой беспроводного доступа и модемом ADSL2+. Устройства поддерживают цифровые сертификаты и фильтрацию URL, а управление ими осуществляется по SNMP. В линейке NETGEAR насчитывается более десятка моделей с поддержкой SSL VPN и/или IPSec VPN.

В числе новинок ZyXEL — концентратор доступа SSL VPN ZyWALL SSL 10. Устройство оснащено портом Fast Ethernet для подключения к Internet, встроенным межсетевым экраном (NAT+SPI), четырехпортовым коммутатором, портом RS-232 для управления по внешнему каналу. Оно поддерживает 10 одновременных сеансов SSL, однако их можно увеличить до 25, активировав карту iCARD SSL VPN. Подгружаемый клиент SecuExtender позволяет разграничивать права доступа для определенных категорий пользователей и создавать полнофункциональный туннель в удаленную сеть (подобно IPSec). В более крупных организациях или для усиления защиты локальной сети ZyWALL SSL 10 устанавливается в DMZ в связке с брандмауэром. Применение этого оборудования наряду с устройствами сетевой безопасности ZyWALL UTM позволяет реализовать эшелонированную защиту сети. ZyWALL UTM оснащается антивирусом, защитой от спама, средствами предотвращения вторжений (IDP), позволяет ограничить доступ к ресурсам, поддерживает SSL VPN и IPSec VPN (см. Рисунок 5).

Рисунок 5. Линейка концентраторов VPN/устройств UTM ZyWall позволяет организовать безопасный доступ в сети организаций разного масштаба.

3Com и D-Link ограничиваются поддержкой IPSec VPN, хотя в D-Link работают над добавлением функций SSL в маршрутизаторы и надеются предложить для российского рынка адекватное по стоимости решение. Линейка продуктов 3Com представлена платформами безопасности X5 и X506 (см. Рисунок 6). Эти унифицированные устройства объединяют IPS (3Com TippingPoint), межсетевой экран, IPSec VPN, функции управления пропускной спасобностью, маршрутизации IP Multicast, фильтрации Web и спама, а также приоритезации для приложений реального времени (голос/видео). Такая функциональность позволяет использовать каналы VPN для мультимедийных конференций. Уровень безопасности повышается за счет анализа пакетов на уровнях со второго по седьмой, а надежность соединения — резервированием канала. Поддерживается режим балансирования нагрузки.

Рисунок 6. Комплексное решение 3Com Unified Security предназначено для защиты корпоративной сети от атак и обеспечивает коммуникации с удаленными пользователями. Оно поддерживает приложения реального времени, включая VoIP, и позволяет анализировать трафик внутри туннелей VPN.

Выпущенные в ноябре прошлого года мультисервисные машртутизаторы 3Com MSR серии 30 и 50 поддерживают протоколы IPSec AH и ESP, алгоритмы шифрования DES, 3DES, AES128/192/256, аутентификацию (HMAC-MD5-96, HMAC-SHA1-96) и выбор вариантов шифрования: с использованием процессора маршрутизатора, модулей шифрования (MIM/FIC и Encryption Accelerator) и карты аппаратного ускорения шифрования — стандартной (ESM-SNDE) или повышенной производительности (ESM-ANDE).

Возможно, обновляя продуктовую линейку, 3Com пойдет по пути WatchGuard, дополнившей поддержкой SSL VPN свое многофункциональное устройство безопасности Firebox (в России ее представляет Rainbow Technologies). Эта функция появилась в версии 10.0 ОС для устройств Firebox Edge, Peak и Core. Firebox позволяет работать по каналам VPN и с устройств под управлением Windows Mobile (функции Mobile VPN). ПО поддерживает протоколы SIP и H.323 для приложений VoIP и видеоконференций. Новый программный продукт WatchGuard предусматривает также функции антиспама и IPS. Отчеты выводятся в формате базы данных SQL.

СЕРТИФИКАЦИЯ ЗАЩИТЫ

Для продвижения своих продуктов на российском рынке зарубежные вендоры получают разрешение на импорт и эксплуатацию собственных средств шифрования, включают в свои разработки российские криптоалгоритмы. Но даже в этом случае оборудование VPN должно сертифицироваться регулятором. Как сообщил Алексей Лукацкий, Cisco приступила к необходимым действиям еще в 2006 г. В настоящее время ее устройства ASA не используют российскую криптографию. Однако в маршрутизаторах Cisco ISR 2800 и 3800 применяются российские криптоалгоритмы: модуль NME-VPN от компании S-Terra CSP обеспечивает защиту данных, передаваемых между офисами по открытым сетям, удаленный доступ мобильных и надомных сотрудников (с помощью клиентского ПО от S-Terra CSP), а также защиту информации внутри корпоративной сети.

В конце 2006 г. Check Point представила решение Connectra со средствами шифрования на базе российского алгоритма (ГОСТ 28147).
В России эти шлюзы используются для обеспечения защищенного удаленного доступа к корпоративным приложениям и для удаленного администрирования критически важных систем ряда крупнейших банков и нефтегазовых компаний. Применение алгоритмов «Крипто-Про» позволило Check Point расширить круг потенциальных клиентов. Пока лишь этот поставщик поддерживает российские криптоалгоритмы как в SSL (Connectra), так в IPSec (UTM). В декабре 2007 г. «Сигнал-КОМ» интегрировала в Connectra собственные средства криптографической защиты. Для аутентификации удаленного клиента на шлюзе и шифрования трафика в соответствии с российскими алгоритмами (ГОСТ Р 34.10-2001, ГОСТ 28147-89 и ГОСТ Р 34.11-94) «Сигнал-КОМ» предлагает свое ПО Inter-PRO Client для ПК или КПК. Продукт можно установить на ПК с накопителя USB (прав администратора не требуется). Теперь российские криптоалгоритмы можно использовать при подключении к шлюзу даже без установки специальных драйверов.

Продукты IPSec VPN и SSL VPN от Juniper сертифицированы на соответствие Common Criteria EAL4+ и другим зарубежным стандартам безопасности. Как сообщили в компании Netwell, дистрибьютора Juniper на территории России, в настоящее время обсуждаются вопросы сертификации оборудования на соответствие российским стандартам безопасности и использование в нем отечественных криптоалгоритмов.

ЗАКЛЮЧЕНИЕ

Разнообразные предложения вендоров в области сетевой безопасности предполагают многовариантный подход. Выбор решения, оптимального с точки зрения безопасности и бюджета, требует тщательного анализа ситуации и внимательного рассмотрения требований заказчика. С ростом числа мобильных сотрудников, ежедневно подключающихся к корпоративной сети, SSL VPN становится новым стандартом для предоставления удаленного доступа. По прогнозам IDC, к концу 2011 г. почти 75% американских служащих станут «мобильными». Замена устройств VPN — процесс медленный и постепенный, однако в ближайшие несколько лет SSL станет доминировать, а рост продаж продуктов SSL будет опережать IPSec VPN. Хотя продукты SSL VPN нацелены в основном на корпоративный рынок, они используются и провайдерами услуг (в основном за рубежом). Как сообщил Павел Ковалев, с их помощью провайдеры могут предоставлять услуги управления безопасностью (Managed Security Services) и различные дополнительные сервисы (контроль за работой клиентской сети, хостинг Web, почтовых служб и приложений).

По данным Infonetics Research, тройка лидеров мирового рынка SSL VPN (Citrix, Cisco, Juniper Networks) продемонстрировала в III кв. прошлого года умеренные темпы роста, однако, согласно прогнозам, в ближайшие годы поставки такого оборудования будут ежеквартально расти примерно на 10%, причем наряду с SSL VPN, ожидается спрос на встроенные функции IDS/IPS, NAC и обеспечения безопасности контента. Аналитики Gartner, составившие «Магический квадрант» игроков рынка SSL VPN в Северной Америке (III кв. 2007. г.), отнесли к числу лидеров рынка SSL VPN компании Juniper, Citrix и F5, к претендентам — Array Networks. Cisco, Microsoft, SonicWALL, Check Point, PortWise названы компаниями, обладающими стратегическим видением, а Nortel, AEP Network
и NeoAccel воспринимаются как нишевые игроки.

В последнее время растет интерес к разработкам OpenVPN — открытому ПО для безопасных коммуникаций. Однако пока не ясно, насколько широкое распространение оно получит, и будут ли показатели TCO лучше по сравнению с коммерческими шлюзами SSL VPN. Между тем на рынке появляются и другие заслуживающие внимания программные продукты, например, Microsoft Intelligent Application Gateway 2007, объединяющий шлюз удаленного доступа (технология приобретенной Whale Communications) и защиту периметра средствами Microsoft ISA Server. Компания Kerio Technologies совершенствует свое ПО Kerio WinRoute Firewall — оно обеспечивает доступ по SSL без клиента или через Kerio VPN Client.

Мировой рынок SSL VPN стал достаточно зрелым. Gartner прогнозирует его среднегодовой рост в 13-15%. Специалисты Nortel считают данное направление перспективным: уже сейчас очевидно, что модель «всегда на связи» себя оправдывает, повышая эффективность работы сотрудников. Другие важные факторы — развитие рынка мобильных устройств, конвергенция мобильных и фиксированных сетей (FMC), развертывание высокоскоростных сетей WiMAX и 3G. По мнению Юлии Грековой, главы представительства Check Point в России и СНГ, поскольку эти решения совсем недавно начали появляться на российском рынке, рост их продаж будет значительно превышать общемировой.

Между тем Алексей Лукацкий скептически оценивает перспективы продуктов SSL VPN на российском рынке. Радужные прогнозы расширения этого сегмента в России, по его мнению, не оправдаются, так как в стране отсутствует культура удаленного доступа, а руководители продолжают требовать присутствия сотрудников на рабочем месте. Сдвиг парадигмы произойдет лишь в том случае, если они начнут понимать, что представитель компании должен быть ближе не к начальству, а к заказчику. Подобные решения могут быть востребованы прежде всего страховыми агентами, медработниками (если в полной мере будет реализован национальный проект «Здоровье»), ГИБДД и другими организациями, нуждающимися в удаленном доступе к корпоративным или ведомственным ресурсам. В более отдаленной перспективе эти виды доступа могут с выгодой использовать все отрасли.

Среди основных тенденций развития продуктов SSL VPN — прозрачность для приложений, поддержка приложений реального времени, разных механизмов аутентификации, защита рабочего места, интеграция в существующую инфраструктуру ИТ.

Сергей Орлов — обозреватель «Журнала сетевых решений/LAN». С ним можно связаться по адресу: sorlov@lanmag.ru.