Если вы надеетесь решить все проблемы организации удаленного доступа за счет использования виртуальных частных сетей (virtual private networks, VPN), вас ждет жестокое разочарование. Результаты испытаний еженедельника InfoWorld показывают, что более правильно - придерживаться старых добрых решений.
VPN: проблем все больше
Что есть виртуальные частные сети? "Свет в конце туннеля" удаленного доступа или страшная опасность для устоявшейся системы, которая может привести к ее замене сложными нестандартными решениями?
Ни для кого не секрет: многим компаниям приходится сражаться со все большим числом собственных сотрудников, считающих, что их работодатель обязан (да-да, именно обязан) обеспечить им возможность удаленного доступа в любое время и из любой точки. Для решения данной задачи необходимо построить недорогую и легко управляемую систему. Как гласит глубоко укоренившееся мнение, это можно сделать, воспользовавшись плодами крупнейшего за последние 20 лет технического переворота, т. е. с помощью Internet. Тут-то и появляется на свет один из наиболее популярных акронимов - VPN. Под всеобъемлющим термином VPN понимают весьма широкий круг технологий, позволяющих строить защищенные корпоративные каналы связи на базе инфраструктуры сетей общего доступа (в том числе Internet). В последнее время вокруг VPN и их влияния на удаленный доступ поднялось много шума; соответственно, данная технология вызывает большой интерес. Сторонники новшества утверждают, что VPN имеют все положительные качества традиционных систем удаленного доступа, но зато гораздо дешевле. По мнению его противников, такой способ передачи информации слишком опасен для конфиденциальных корпоративных данных.
В определениях VPN недостатка не ощущается; многие из них подчеркивают, что главное назначение технологии состоит в безопасной передаче корпоративного IP-трафика через Internet. Поскольку эти "частные сети" построены на передаче данных через Internet, обеспечение конфиденциальности и целостности данных критически важно для успеха VPN. Конфиденциальность можно обеспечить несколькими способами, но в основном они так или иначе сводятся к шифрованию и инкапсуляции исходных IP-пакетов. (Важным исключением является технология, основанная на использовании прокси-серверов. Она, например, применяется в решении компании Aventail.)
ЧТО СРАВНИВАЛОСЬ
Решение 3Com - сервер удаленного доступа в режиме dial-up:
- AccessBuilder 4000;
- внешние модемы 3Com Sportster 33.6
Решение Raptor на базе брандмауэра:
- Raptor Eagle NT4.0 Firewall;
- Eagle Mobile 4.0 for Windows 95
Аппаратное решение VPNet:
- VPNet Service Unit (VSU) 1010;
- VPNRemote Client Software for Windows 95
Решение Internet-провайдера ANS:
- услуга ANS SureRemote
Решение Microsoft на базе сетевой ОС:
- Microsoft Windows NT Server 4.0;
- Windows 95/Windows NT с Dial-up Networking (DUN) Update 1.2
Чисто программное решение Digital:
- AltaVista Tunnel 97
Стандарты на конфиденциальность
Разработка стандартов, обеспечивающих конфиденциальность информации, продвигается медленно, поэтому виртуальные частные сети пока не получили столь же широкого признания, как Internet. Большинство производителей терпеливо ждут принятия окончательной версии протокола IP Security Protocol, или IPSec, где будут зафиксированы все усовершенствования защиты данных в сетях IP. Скорее всего, именно IPSec послужит основой для разработки других методов обеспечения информационной безопасности в VPN, например протокола Layer 2 Tunneling Protocol.
К сожалению, термин IPSec затерялся среди прочих; наблюдается некоторая неопределенность в вопросе о том, какая стратегия организации VPN лучше подходит для решения определенных задач. Еще большая неразбериха связана с производством различных продуков для VPN очень многими компаниями - и едва появившимися, и широко известными.
В соответствии с принятым у нас подходом к тестированию решений, мы выбрали по одному поставщику (всего их оказалось пять) для каждой из существующих технологий организации VPN. Нами были испытаны решение для удаленного доступа на базе брандмауэра, аппаратное решение, решение с использованием услуг Internet-провайдера, решение на базе сетевой ОС и чисто программное решение.
Идеальный кандидат
Чтобы иметь какую-то точку отсчета, в дополнение к технологиям для организации VPN мы включили в обзор старый добрый сервер удаленного доступа в режиме dial-up AccessBuilder 4000 от 3Com, занявший первое место в недавнем тестировании средств удаленного доступа.
В испытаниях использовалась следующая бизнес-модель: необходимо организовать работу 250 удаленных пользователей, независимо друг от друга требующих доступа в корпоративную сеть в режиме коммутируемого телефонного соединения (dial-up) без междугородных звонков на протяжении пяти часов в день, и обеспечить управление такой системой. Были избраны следующие критерии оценки: простота реализации системы, удобство управления и администрирования, надежность защиты данных, производительность, качество документации и технической поддержки, предполагаемые затраты на содержание системы (Projected Basic Ownership Costs, PBOC).
Пожалуй, наиболее интересные из полученных результатов связаны с производительностью систем. Мы измеряли скорость передачи данных при работе типичных приложений - FTP, электронной почты, передачи файлов через Windows Explorer, при обмене данными по протоколу HTTP. Оказалось, что в ряде решений данные перед шифрованием не сжимаются. Поскольку модем не может сжать шифрованные данные на аппаратном уровне, то производительность этих решений оказалась невысокой. Решения, позволяющие сжимать данные, все равно отставали от сервера 3Com; следовательно, в них обеспечивается меньшая степень сжатия, чем в модемах. (Однако решение 3Com вышло победителем не только из-за низкой производительности решений на базе VPN.)
Итак, VPN предстоит проделать большой путь, чтобы добиться успеха в области обеспечения удаленного доступа. Бесспорно, свет в конце туннеля уже брезжит, однако сам этот туннель оказался гораздо длиннее, нежели предполагалось.
Стратегия тестирования
Вопрос. По мере роста потребностей в обеспечении удаленного доступа к корпоративной локальной сети организации приходится рассматривать различные варианты, альтернативные традиционному серверу доступа, работающему в режиме dial-up. Виртуальные частные сети выглядят заманчиво, однако не выплеснем ли мы ребенка вместе с водой, перейдя к их использованию прямо сейчас?
Критерии оценки:
- простота реализации;
- удобство администрирования;
- надежность защиты данных;
- производительность;
- качество технической поддержки;
- расходы на содержание системы
Варианты выбора:
- традиционный сервер удаленного доступа в режиме dial-up;
- VPN на базе брандмауэра;
- VPN на базе аппаратного решения;
- VPN на базе услуг Internet-провайдера;
- VPN на базе сетевой ОС;
- VPN на базе программного решения
Ответ. Знакомство с работой AccessBuilder 4000 от 3Com показывает, что использование сервера удаленного доступа в режиме dial-up - по-прежнему самое разумное решение, если большинству удаленных пользователей не требуется междугородная связь. Рассмотренные решения на основе VPN либо не вполне гладко работают и базируются на сложных нестандартных технологиях, либо чересчур дороги для тех случаев, когда междугородная телефонная связь не используется.
Уязвимые места VPN
- Невозможно достичь существенного увеличения производительности
- Ключевые технологии основаны на еще не принятых стандартах
- Не существует надежных способов управления
- Надежность защиты данных пока нельзя назвать стопроцентной
Сжатие перед шифрованием
Мы выполняли следующие тесты: загрузка по HTTP текстового HTML-файла объемом 128 Кбайт; загрузка по FTP текстовых файлов объемом 32 и 64 Кбайта, GIF-файла объемом 11 Кбайт и GIF-файла объемом 22 Кбайт; отправка и получение электронного письма, в котором в качестве вложения пересылался документ Microsoft Word 97 объемом 45 Кбайт; пересылка (средствами Windows Explorer) от клиента Windows 95 на сервер Windows NT 4.0 электронной таблицы Microsoft Excel 97 объемом 41 Кбайт. Алгоритмы шифрования и длина ключей были такими: RC 4, 56 разрядов использовались в решении Digital; RC4, 40 разрядов - в решении Microsoft; Triple DES, 112 разрядов - в решении Raptor; Triple DES, 112 разрядов - в решении VPNet.
(1x1)Усредненные результаты тестов на производительность (в процентах от скорости 3Com)
Тесты выполнялись с использованием каналов связи в режиме dial-up. Подключение производилось к одной точке одного провайдера и на одной скорости в период с 8 до 17 часов по Тихоокеанскому времени.
Сначала нас просто перепугало то, насколько сильно падала производительность во всех решениях, кроме сервера удаленного доступа от 3Com (рис. 6). Затем мы обратили внимание на интересную закономерность (она была выявлена при сравнении результатов передачи по FTP текстовых и GIF-файлов, рис. 7). Если данные передавались с шифрованием, то текстовые файлы загружались значительно медленнее, чем GIF-файлы (если выражать скорость загрузки файла данного типа в процентах от соответствующей скорости решения 3Com).
(1x1)Тесты на производительность: загрузка текста и GIF-файлов через FTP (в проценах от скорости сервера 3Com)
Этот факт мы объяснили тем, что шифрованные данные не поддаются сжатию: после шифрования биты данных располагаются случайным образом, поэтому перестают работать алгоритмы сжатия, основанные на учете повторяющихся последовательностей битов. Когда шифрованные данные пересылаются через модемный канал связи, никакого сжатия не происходит (хотя большинство модемов при пересылке сжимают данные на аппаратном уровне). В результате, пересылка сильно сжимаемых текстовых файлов резко замедляется (мы попытались отключить модемное сжатие, и производительность модемов упала более чем вдвое). Напротив, с GIF-файлами ничего подобного не случается. GIF-формат изначально предполагает сжатие данных, и дополнительное сжатие заметного эффекта не дает.
Следует отметить, что в продуктах VPNet и Microsoft данные перед шифрованием сжимаются, поэтому для них эта проблема должна быть менее острой. Остается предположить, что используемые в них алгоритмы куда хуже тех, что используются при модемном сжатии, - иначе нельзя объяснить их низкие результаты в тестах пересылки файлов по FTP.
Мораль: виртуальным частным сетям, основанным на пересылке данных по аналоговым модемным линиям, придется еще долго совершенствоваться, прежде чем они сравняются по производительности со стандартными решениями для удаленного доступа (типа предлагаемого 3Com).
Результаты вкратце
Результаты нашего тестирования решений для удаленного доступа на базе виртуальных частных сетей (VPN) и традиционного сервера в режиме dial-up могут удивить фанатичных приверженцев современных технологий. Старый конь по-прежнему не портит борозды, а недостаток личного обаяния с избытком восполняет за счет простоты, управляемости и даже стоимости (если основная часть звонков выполняется без использования междугородной связи).
В общем и целом, все решения на базе VPN, включенные в наш обзор, страдали от характерных для подросткового возраста незрелости и неопределенности. Базовые технологии еще не стандартизированы, утилиты управления работают недостаточно четко, средства повышения производительности (например, сжатие данных) не используются, степень защищенности конфиденциальных данных пока не ясна, да и стоимость долгосрочной поддержки такой сложной технологии подсчитать не так-то просто.
| Результаты испытаний решений для удаленного доступа | ||||||
| Критерий оценки (весовой коэфф., %) |
Cервер
удаленного доступа в режиме dial-up от 3Com: AccessBuilder 4000; внешние модемы 3Com Sportster 33.6 |
Решение Raptor на базе брандмауэра: Raptor Eagle NT 4.0 Firewall; Eagle Mobile 4.0 for Windows 95 | Aппаратное решение VPNet: VPNet Service Unit (VSU) 1010; VPNRemote Client Software for Windows 95 | Решение Internet-провайдера ANS: услуга ANS SureRemote | Решение Microsoft на базе сетевой ОС: Microsoft Windows NT Server 4.0; Windows 95/Windows NT с Dial-up Networking (DUN) Update 1.2 | Чисто
программное решение Digital: AltaVista Tunnel 97 |
| Реализация (15) |
Очень хорошо · 1,2 Трудно представить что-либо более простое в установке, чем это решение. Включив оборудование и задав его начальную конфигурацию через после- довательный порт, вы не столкнетесь ни с какими затруднениями при дальнейшем конфигури- ровании (используется программа Transcend AccessBuilder Manager (TABM), работающая на базе SNMP и снабженная графическим интерфейсом). Самая большая проблема - правильно подключить телефонные линии и разобраться в клубке кабелей, возникающем при работе с внешними модемами |
Удовле- творительно · 0,6 Установить в сети решение от Raptor не так-то просто. Однако когда эта процедура спланирована, дальнейшие действия мало чем отличаются от предпринимаемых при установке других решений на базе VPN: надо только указать компоненты сети и распределить файлы среди клиентов. Имеется также ряд мелких шероховатостей; нам пришлось "вытряхивать" много дополнительной информации из сотрудников отдела технической поддержки и с Web-сервера компании |
Хорошо · 0,9 Нам не пришлось существенно менять IP-адреса или схему маршрутизации, поэтому VPNet потребовало меньше времени на установку в нашей сети WAN, чем другие решения. Программное обеспечение VPNManager на базе Java работает довольно медленно и иногда кажется несколько причудливым. Когда мы привыкли к его "характеру", то пришли к выводу, что идеология VPN в понимании VPNet легка для восприятия и реализации. Установка клиента проходит безо всяких затруднений - стоит только перенести на него созданный администратором файл конфигурации |
Очень хорошо ·
1,2 При установке решения от ANS основных затрат времени требуют написание технических условий и 40-минутный телефонный разговор о ваших планах с координатором инсталляции ANS. Затем начинается второй по сложности этап установки: надо подождать 25 рабочих дней, пока услуга начнет работать. Потребовалось также слегка переконфи- гурировать сеть в соответствии с присвоенным нам ANS диапазоном IP-адресов |
Хорошо · 0,9 Администратору NT, имеющему некоторый опыт работы, будет несложно установить это решение. Необходимо установить несколько "заплат", в частности DUN Update 1.2, и поменять некоторые параметры (в частности, рекомендуется внести два изменения в Registry путем прямого редактирования). Кроме того, в ходе установки ПО придется несколько раз перезагрузить Windows NT. Нам понравилось, что сервер PPTP содержит в себе практически все необходимое для работы |
Очень хорошо · 1,2 Прежде всего мы столкнулись с тем, что решение не поддерживает протокол ARP (Address Resolution Protocol), поэтому нельзя восполь- зоваться той схемой адресации, которую мы вначале пытались установить. Однако затем установка проходила легко и быстро. Требуется задать значения очень небольшого числа параметров. Кроме того, разработчики позаботились о сглаживании острых углов в ходе инсталляции, например в комплект поставки был включен Microsoft DUN Update 1.2 |
| Админи- стриро- вание и управление (10) |
Очень хорошо · 0,8 Благодаря прекрасному интерфейсу TABM добавлять и удалять пользователей очень легко. Неприятно лишь, что после некоторых изменений конфигурации необходимо перезапускать оборудование. (Сотрудники службы технической поддержки 3Com показали нам несколько не описанных в документации способов обойти эту проблему.) Возможно управление в дистанционном режиме - либо с помощью TABM через локальную сеть, либо с использованием консольного интерфейса в режиме dial-up или через telnet. TABM снабжен также функциями мониторинга |
Удовле- творительно · 0,4 Пользоваться интерфейсом управляющей программы Eagle NT не очень приятно. Однако когда вы привыкнете к самому интерфейсу и используемым в нем подходам к управлению элементами VPN, управлять системой будет несложно (если не считать необходимости в установке программных заплат на Eagle NT Firewall и Windows NT). Требуется постоянно затыкать дыры в системе защиты данных, что сильно сбивает с толку; к тому же после каждой такой операции приходится перезагружать систему |
Удовле- творительно · 0,4 Когда устройство VSU 1010 установлено, управлять группами и клиентами довольно легко. Проблемы - не вполне ясный интерфейс средства управления и возможная путаница при распространении файлов конфигурации среди пользователей. Устройством VSU 1010 можно управлять в дистанционном режиме с любой машины (если установлено необходимое ПО и заданы соответствующие привилегии). Кроме того, можно управлять самыми разными видами трафика и собирать статистику о работе VPN |
Очень хорошо ·
0,8 Управление учетными данными пользователей осуществляется через регистрационный Web-сервер ANS. Это гибкая и удобная система, единственный недостаток которой состоит в том, что доступ можно осуществлять лишь с определенных, оговоренных пользователем, IP-адресов. Заполнять экранные формы при регистрации совсем несложно, имеются также средства групповой регистрации файлов RADIUS. ANS круглые сутки внимательно следит за работой сети; администратор получает подробные статистические отчеты о вызовах, загрузке сети и текущем состоянии лицевого счета |
Удовле- творительно · 0,6 Управление системой осуществляется с помощью хорошо знакомых средств, вроде User Manager и Remote Access Service Admin; для этого не требуется практически никаких усилий. Параметры конфигурации содержатся в разных областях cреды NT; мы бы предпочли более унифицированный интерфейс. Средство NT Event Viewer обеспечивает получение довольно полной информации о состоянии каналов связи с пользователями, однако практически никакой другой информации о туннелях получить нельзя |
Хорошо · 0,6 Предприняты все возможные меры, позволяющие скрыть от администра- торов сложности VPN. Главная заслуга в этом принадлежит средству управления Tunnel Management, или TunMan. Сначала надо сконфигу- рировать туннель в целом, затем добавление новых пользователей осуществляется несколькими щелчками мыши (правда, надо еще раздать пользователям дискеты с файлами ключей и конфигура- ционными параметрами). В TunMan имеются вполне приличные возможности учета событий, однако средства слежения за трафиком в реальном времени могли бы работать более устойчиво |
| Защита данных (20) |
Очень хорошо ·
1,6 Сильные средства аутен- тификации. Можно задавать пароли удаленных пользователей и номера телефонов, по которым система должна им перезванивать. Поддержи- вается ряд средств защиты данных сторонних производителей (в число которых, к сожалению, не входит RADIUS). Не помешало бы несколько усовер- шенствовать средства аудита безопасности |
Хорошо · 1,2 В продукте используется еще не стандарти- зированный протокол IPSec, и это можно отнести к его достоинствам. Данные шифруются по алгоритмам DES или Triple DES, однако динамическая смена ключей в настоящее время не поддерживается. Имеются несколько вариантов аутентификации пользователей; мы проверили два из них, оба нас не удовлетворили. Журнал трафика, проходящего через канал IPSec, не поддерживается, если только не установлена фильтрация пакетов |
Очень хорошо ·
1,6 В VPNet реализован протокол IPSec с шифрованием по алгоритму Triple DES и динамической сменой ключей каждые 30 с. В VPNManager имеется AttackLog, который обнаруживает все подозрительные пакеты и обеспечивает просмотр их заголовков. Это наиболее развитое средство контроля изо всех рассмотренных |
Удовле- творительно · 0,8 ANS пользуется протоколом RADIUS для аутентификации пользователей. Весь трафик в IP-сети сегментируется, так что в корпоративную сеть попадают только те пакеты, которым это разрешено. И все же отсутствие средств шифрования данных и проверки их целостности несколько беспокоит (если учесть, что данные передаются через инфраструктуру общедоступной сети) |
Удовле- творительно · 0,8 Пользователям придется применять Microsoft Point-to-Point Encryption (MPPE), пока не появится версия NT 5.0, которая будет поддерживать IPSec. Предлагаемые компанией Microsoft средства защиты представляют собой нестандартные надстройки над PPTP. При шифровании по технологии MPPE используется разработанный компанией RSA алгоритм Rivest-Cipher 4 (RC4); применяются 40- и 128-разрядные ключи. Динамическая смена ключей и проверка целостности данных не предусмотрены |
Удовле- творительно · 0,8 Аутенти- фикация пользователей осуществляется путем обмена открытыми ключами, доступ к которым защищен паролем; в результате получается двухуровневая система идентификации пользователей. Для защиты данных используется нестандартное средство, работающее на уровне 3 и основанное на применении алгоритма RC4 от RSA. Длина шифровального ключа - 128 разрядов |
| Производи- тельность (20) |
Очень хорошо ·
1,6 Сервер превзошел все решения на базе VPN, поскольку использовал прямые соединения между модемами через комму- тируемую телефонную сеть общего доступа. Интересно отметить, что быстрее всего пересылались большие текстовые файлы - благодаря сжатию данных, осуще- ствляемому модемами Sportster |
Плохо · 0,4 По-видимому, это решение сильнее других пострадало из-за отсутствия сжатия данных перед шифрованием. При загрузке GIF-файлов через FTP продукт показал второй результат, однако с текстовыми файлами работал плохо |
Хорошо · 1,2 VPNet оказалось самым быстрым решением среди всех пересылающих данные в шифрованном виде. Скорее всего, это связано с тем, что перед шифрованием информация сжимается - и в устройствах VSU, и в клиентских программах |
Очень хорошо ·
1,6 В некоторых тестах производительность решения от ANS была даже выше, чем у сервера 3Com. ANS передает данные по своей собственной сети, а для их защиты используется просто сегментирование адресного пространства, поэтому решение свободно от таких проблем, как задержки при пересылке через Internet, накладные расходы на шифрование и сжатие данных |
Удовле- творительно · 0,8 Решение показало средние результаты в наших тестах на производительность. Microsoft заявляет, что данные перед шифрованием подвергаются сжатию, но создается ощущение, что никакой компрессии не происходит |
Плохо · 0,4 Производи- тельность Tunnel 97 пострадала в основном из-за того, что данные не сжимаются перед шифро- ванием. Впрочем, она была низкой даже в тех случаях, когда сжатие не играет никакой роли; следовательно, существуют и другие замедляющие работу факторы |
| Документа- ция (5) |
Очень хорошо ·
0,4 В комплекте с AccessBuilder предоста- вляется ряд не очень объемных, но вполне содержательных руководств. Имеется также карта документации, помогающая пользователю разобраться с конфигури- рованием устройства |
Удовле- творительно · 0,2 Руководство по инсталляции сильно помогает при установке Eagle NT. Однако "Справочник администратора системы" имеет существенные изъяны, поэтому нам пришлось обращаться на Web-сервер за дополнительной информацией |
Хорошо · 0,3 В комплект поставки VSU 1010 входят два ясно написанных руководства, где излагаются все основные идеи, на которых базируются VPN. Они очень помогают на стадии планирования |
Удовлетворительно
· 0,2 В нашем распоряжении был только план установки сети, ответы на все остальные вопросы приходилось разыскивать |
Удовле- творительно · 0,2 Полученные нами руководства не содержали никакой информации о PPTP, однако на Web-сервере Microsoft удалось найти полезное руководство по PPTP для пользователей и администраторов |
Хорошо · 0,3 Руководство администратора насчитывает всего 90 страниц, зато все они - по делу, без лишних деталей. Однако иногда нам приходилось искать дополнительные сведения |
| Техническая поддержка (10) | Очень хорошо ·
0,8 Сотрудники 3Com быстро отвечали на наши вопросы. Тщательно протестировав один из подключенных к AccessBuilder модемов, они выявили причину его отказа (была неправильно задана конфигурация) |
Плохо · 0,2 Сотрудники отдела технической поддержки часто давали противоречивые ответы, а иногда демонстрировали полное незнание важных функций |
Хорошо · 0,6 Сотрудники службы технической поддержки продемонстри- ровали глубокое знание продукта и знакомство с тонкостями работы сетей TCP/IP. Мы получали от них быстрые и ясные ответы |
Удовле- творительно · 0,4 Во время начальной установки мы два раза звонили в Центр управления сетью, чтобы разобраться в простой проблеме, связанной с подключением сервера. Оба звонка не привели к успеху. |
Удовле- творительно · 0,4 Учитывая, что за каждое обращение нужно платить по 195 дол., мы ожидали чего-то совершенно особенного, но все было как обычно. Один из инженеров пытался нас убедить, что PPTP не сможет работать, если не внести изменения в таблицу маршрутизации. |
Неудовле- творительно · 0 Два раз нам пришлось бросить трубку, "провисев" в ожидании около часа. Получив, наконец, соединение, мы не смогли "добраться" до нужных специалистов. |
| Политика поддержки (5) | Хорошо · 0,3 Предлагаемый 3Com пакет InfoPak предусматривает 12 телефонных обращений в год. Поддержка предоставляется по рабочим дням с 6 до 17 часов |
Хорошо · 0,3 Контракт на техническую поддержку предусматривает обмен информацией по электронной почте, через Web и по FTP. Телефонная поддержка предоставляется по рабочим дням, с 8 до 20 часов |
Хорошо · 0,3 Предлагаемое VPNet бесплатное обслуживание вполне удовлетворяло нашим запросам. Бесплатная поддержка программ обеспечивается в течение 90 дней, аппаратуры - в течение года. Время работы - с 9 до 17 часов |
Отлично · 0,5 В сервисную программу Gold User включено практически все, что может понадобиться пользователю: бесплатная круглосуточная техническая поддержка и пересылка нужной информации по электронной почте, FTP и через telnet |
Очень хорошо ·
0,4 Программа технической поддержки Microsoft предусматривает достаточно много услуг. Телефонная служба поддержки работает круглосуточно |
Очень хорошо · 0,4 Digital предоставляет бесплатную поддержку в течение 30 дней и 30-дневную гарантию с полным возвратом денег. При заключении контракта обеспечивается неограниченная круглосуточная поддержка и обновление версий ПО |
| Предпола- гаемая стоимость содержания (15) |
Очень хорошо ·
1,2 Продукт показал второй результат по данному критерию. Затраты за три года составляют 28 857 дол. в расчете на 250 пользователей |
Плохо · 0,3 Затраты в расчете на три года составляют 79 381 дол. Это второй по величине результат в нашем обзоре |
Удовле- творительно · 0,6 Решение показало средний результат: в расчете на 250 пользователей его стоимость составляет 46 981 дол. |
Неудовле- творительно ·0 Стоимость услуг ANS за три года составляет 215 166 дол. (из расчета 20 000 часов работы в год) |
Очень хорошо ·
1,2 Microsoft действительно отличилась, обойдя даже 3Com. Стоимость, в расчете на 250 пользователей и три года, составляет всего 22 698 дол. |
Удовле- творительно · 0,6 По этому критерию решение заняло почетное третье место (стоимость 43 591 дол.) |
| Итоговая оценка |
7,9 | 5,9 | 5,5 | 5,3 | 4,3 | |
| Число баллов по каждому критерию определялось умножением соответствующего весового коэффициента (указывает на относительную значимость этого критерия) на оценку, выставляемую по следующим правилам: отлично (10) - выдающееся достижение по данному критерию; очень хорошо (8) - удовлетворяет всем важнейшим требованиям и обеспечивает ряд важных дополнительных преимуществ; хорошо (6) - удовлетворяет всем важнейшим требованиям и предоставляет ряд дополнительных возможностей; удовлетворительно (4) - удовлетворяет основным требованиям; плохо (2) - не удовлетворяет ряду важнейших требований; неудовлетворительно или отсутствует (0) - не удовлетворяет минимальным требованиям или вообще не обладает данной возможностью. | ||||||
| Сумма набранных очков составляет итоговую оценку, максимальное значение которой равно 10. Продукты, оценки которых различаются не более чем на 0,2 балла, близки по своему уровню. При рассмотрении вопроса о приобретении или использовании продукта читатель может пересмотреть весовые коэффициенты в соответствии с политикой своей компании, получив, таким образом, другие итоговые оценки. | ||||||
3Com: сервер удаленного доступа в режиме dial-up
Итоговая оценка: 7,9
Конечно, превосходство данного решения по стоимостному критерию обусловлено тем, что мы рассматривали только местные звонки пользователей. Однако и по всем остальным критериям сервер от 3Com смотрится лучше, чем решения, основанные на менее устоявшихся технологиях на базе VPN. Пожалуй, единственным недостатком AccessBuilder 4000 можно считать отсутствие поддержки протокола RADIUS (Remote Authentication Dial-In User Service).
Устройство стало для нас эталоном простоты реализации, совершенства системы управления и производительности. Сервер представляет собой элегантное, простое в использовании решение для удаленного доступа, обеспечивающее до 16 одновременных соединений по аналоговым линиям, к которым могут обращаться примерно 250 пользователей.
Достоинства
- Прекрасная управляющая утилита
- Лучшие результаты по производительности
- Устоявшийся продукт с хорошей поддержкой
- Низкая стоимость содержания
Недостатки
- Отсутствие поддержки протокола RADIUS
- Для подключения внешних модемов необходимы сложные кабельные работы
VPNet: аппаратное решение
Итоговая оценка: 5,9
VPN Service Unit 1010 и VPNRemote Client Software for Windows 95 от VPNet получили хорошие оценки по всем критериям и лидировали среди VPN. Установка устройств осуществляется почти в режиме plug-and-play. В них реализован протокол IPSec, обеспечивается высокая производительность (за счет сжатия данных), а кроме того, компания VPNet предоставляет хорошую техническую поддержку. ПО VPN Remote Client Software оказалось наиболее простым среди всех VPN и в наименьшей степени влияло на работу системы.
Недостатками решения являются невразумительная и не вполне отлаженная управляющая программа и относительно высокая цена. Однако, в целом, VPNet - хорошее решение для организации VPN. Оно вполне может "выбиться в люди", когда ситуация на рынке VPN примет более устоявшиеся формы.
Достоинства
- Простота интеграции с существующей сетью
- Относительно высокая производительность
Недостатки
- Непонятная и не вполне отлаженная утилита управления
- Относительно высокая цена
- Отсутствие автоматической групповой IP-адресации
ANS: решение от Internet-провайдера
Итоговая оценка: 5,5
На результатах тестирования решения ANS сказалась его колоссальная стоимость, впрочем, вполне объяснимая для полностью готовой услуги. Если бы не высокая цена и некоторые небольшие недостатки в системе защиты данных, предоставляемая ANS услуга SureRemote вполне могла бы составить конкуренцию серверу 3Com. В ближайшее время компания собирается улучшить защиту данных, и если при этом сохранится высокая производительность ANS и будет снижена цена услуги, то у аппаратных и программных решений для VPN появится очень опасный конкурент.
Достоинства
- Установка и управление осуществляются без участия клиента
- Высокая производительность
- Отличная поддержка
Недостатки
- Очень высокая цена
- Отсутствие шифрования пользовательских данных
Microsoft: решение на базе сетевой ОС
Итоговая оценка: 5,3
Протокол PPTP (Point to Point Tunneling Protocol) оказался уникальной VPN-технологией: его можно без проблем интегрировать с Windows. Это крайне привлекательно для тех организаций, в которых используется продукция Microsoft. Кроме того, решение стоит меньше, чем прочие решения. Правда, весьма вероятно, что на смену PPTP скоро придут более надежные технологии. Данное соображение, равно как и отсутствие в решении Microsoft современных средств защиты данных, заставляет нас проявлять осторожность в рекомендациях.
Достоинства Низкая стоимость Простота интеграции в Windows
Недостатки
- Нестандартная устаревшая архитектура
- Отсутствие ряда современных функций защиты данных
Digital: чисто программное решение
Итоговая оценка: 4,3
Программное обеспечение AltaVista Tunnel 97 от Digital оказалось наиболее простым в установке и управлении, однако получило низкие оценки за производительность и техническую поддержку. Низкая производительность связана с отсутствием сжатия данных, которое должно появиться в Tunnel 98.
Достоинства
- Первоклассное средство управления
- Простота установки
Недостатки
- Нестандартная архитектура
- Относительно низкая производительность
Raptor: решение на базе брандмауэра
Итоговая оценка: 3,6
Нам понравилось, что система защиты данных в этом продукте построена на основе IPSec. Однако неблагоприятное впечатление производят низкая производительность (обусловленная отсутствием сжатия данных) и высокая цена данного решения. Кроме того, спланировать установку брандмауэра трудно, а интерфейс пользователя кажется непродуманным. Взаимодействие со службой технической поддержки расстроило нас еще сильнее.
Достоинства
- Защита данных с использованием IPSec
Недостатки
- Высокая цена
- Низкая производительность
- Сложность установки и управления
Как работает решение Raptor на базе брандмауэра
(1x1)1. Сертификация и конфигурирование клиентов. Конфигурационные файлы и файлы с ключами, а также имя и пароль пользователя распространяются в экстренном (out-of-band) режиме.
2. Установка сеанса. Через точку подключения к Internet пользователь устанавливает временный сеанс с брандмауэром Eagle NT и получает аутентификацию от NT Domain, S/Key или какого-либо другого защитного средства. Происходит обмен сеансовыми ключами, временный туннель разрывается, и устанавливается новый сеанс.
3. Шифрование. Пакеты шифруются по алгоритмам DES или Triple DES с использованием ключей, переданных на предыдущем этапе; применяется протокол IPSec, работающий в туннельном режиме.
4. Поддержание сеанса. Целостность данных проверяется по алгоритму MD5 на основе аутентификационного заголовка по IPSec. Динамическая замена ключей не производится.
Как работает аппаратное решение VPNet
(1x1)1. Сертификация и конфигурирование клиентов. Конфигурационные файлы и "затравочные ключи", а также имя и пароль пользователя распространяются в экстренном (out-of-band) режиме.
2. Установка сеанса. Пользователь заходит на точку подключения к Internet и посылает пакеты данных, шифрованные с помощью "затравочного ключа", на устройство VSU 1010. Можно также применять аутентификацию по протоколу RADIUS.
3. Шифрование. Пакеты шифруются по алгоритмам DES или Triple DES с использованием затравочных ключей (см. описание 2-го этапа). Используется протокол IPSec, работающий в туннельном режиме. Общие затравочные ключи никогда не пересылаются через незащищенный канал связи.
4. Поддержание сеанса. Целостность данных проверяется по алгоритму MD5 на основе аутентификационного заголовка по IPSec. Исходя из "затравочных ключей", VSU 1010 и клиентская программа автоматически генерируют новые ключи через каждые 30 с; для синхронизации используется протокол SKIP.
Как работает решение Internet-провайдера ANS
(1x1)1. Сертификация и конфигурирование клиентов. Учетная запись пользователя создается на регистрационном Web-сервере ANS. Имя и пароль пользователя распространяются в экстренном (out-of-band) режиме.
2. Установка сеанса. Пользователь заходит на точку присутствия ANS. Аутентификация осуществляется средствами ANS или клиента с использованием протокола RADIUS. Привилегии устанавливаются по принадлежности к заранее сконфигурированным группам.
3. Шифрование не применяется. Конфиденциальность обеспечивается за счет фильтрации пакетов по принадлежности к виртуальной сети и заранее сконфигурированным группам пользователей.
4. Поддержание сеанса. Целостность данных не проверяется. Можно обрывать сеанс, если данные не пересылаются в течение установленного времени.
Как работает решение Microsoft на базе сетевой ОС
(1x1)1. Сертификация и конфигурирование клиентов. Учетная запись пользователя создается средствами NT Primary Domain Controller (PDC), имя пользователя хранится в NT 4.0 в хешированном виде. Имя и пароль пользователя распространяются в режиме out-of-band.
2. Установка сеанса. Пользователь заходит на точку присутствия сети Internet, подключается к серверу PPTP на базе NT и получает аутентификацию по протоколам PAP, CHAP или MS-CHAP. Если требуется шифрование данных, то, исходя из хешированных (по MD4) данных о пользователе, генерируются сеансовые ключи по методу Rivest-Cipher 4; по незащищенным каналам связи ключи не передаются.
3. Шифрование. Пакеты шифруются по алгоритм Rivest-Cipher 4 с использованием 40- или 128-разрядных ключей, сгенерированных на предыдущем этапе. Применяется нестандартный протокол Point-to-Point Encryption, разработанный Microsoft. Зашифрованные пакеты инкапсулируются в пакеты GRE/PPTP, отправляемые на сервер PPTP.
4. Поддержание сеанса. Целостность не проверяется, ключи не заменяются. Можно обрывать сеанс, если данные не пересылаются в течение установленного времени.
Как работает программное решение Digital
(1x1)1. Сертификация и конфигурирование клиентов. Конфигурационные файлы и файлы с открытыми ключами, а также имя и пароль пользователя распространяются в режиме out-of-band.
2. Установка сеанса. Через точку входа в Internet пользователь подключается к серверу Tunnel 97 и получает аутентификацию путем обмена открытыми ключами (по алгоритму, разработанному компанией RSA). Происходит обмен сеансовыми ключами Rivest-Cipher 4.
3. Шифрование. Пакеты шифруются с использованием 56- или 128-разрядных ключей Rivest-Cipher 4, сгенерированных на предыдущем этапе. Применяется нестандартный протокол. Зашифрованные пакеты инкапсулируются в другие IP-пакеты, отправляемые на сервер Tunnel 97.
4. Поддержание сеанса. Целостность данных проверяется по алгоритму MD5 с хешированием. Новые ключи автоматически генерируются через каждые 30 мин; при этом используется нестандартный протокол.
| Кто есть кто на рынке VPN | |||
| Производитель (Продукт) | Тип | Web-сервер | Технология |
| Checkpoint (Firewall-1) | Брандмауэр | www.checkpoint.com | IPSec |
| Secure Computing (Sidewinder) | Брандмауэр | www.securecomputing.com | Нестандартная |
| Trusted Information Systems (Gauntlet) | Брандмауэр | www.tis.com | IPSec |
| Raptor (Eagle Mobile NT 4.0) | Брандмауэр | www.raptor.com | IPSec |
| Cisco (Продукты на основе технологии Level 2 Forwarding) | Аппаратное решение | www.cisco.com | Level 2 Forwarding (L2F) |
| 3Com (Продукты семейства 3Access) | Аппаратное решение | www.3com.com | IPSec |
| Bay Networks (BaySecure VPN Series 500) | Аппаратное решение | www.baynetworks.com | Mobile IP |
| Compaq/Microcom (6000 Series) | Аппаратное решение | www.microcom.com | PPTP, L2F |
| Compatible Systems (Туннелирование с использованием маршрутизаторов для глобальных сетей) | Аппаратное решение | www.compatible.com | STEP, LAN-to-LAN |
| Extended Systems (Extend-Net VPN) | Аппаратное решение | www.extendsys.com | PPTP c MPPE |
| Intel (Маршрутизаторы семейства Express) | Аппаратное решение | www.intel.com | Нестандартная, LAN-to-LAN |
| RedCreek Communications (Ravlin) | Аппаратное решение | www.redcreek.com | IPSec, Internet Security Association and Key Management Protocol/Oakley |
| Shiva Co. (Продукты семейства Vantage Path) | Аппаратное решение | www.shiva.com | - |
| StorageTek (BorderGuard) | Аппаратное решение | www.storagetek.com | Нестандартная |
| Timestep (Permit System) | Аппаратное решение | www.timestep.com | IPSec |
| VPNet (VPN Remote client) | Аппаратное решение | www.vpnet.com | IPSec |
| Fortress Technologies (NetFortress VPN) | Разные | www.fortresstech.com | Нестандартная |
| Information Resource Engineering (SafeNet/Enterprise) | Разные | www.ire.com | IPSec |
| Isolation Systems (InfoCrypt Desktop) | Разные | www.isolation.com | IPSec |
| Novell (BorderManager) | Решение на базе сетевой ОС | www.novell.com | PPTP |
| Microsoft (NT Server 4.0 Remote Access Server/PPTP) | Решение на базе сетевой ОС | www.microsoft.com | PPTP с MPPE |
| ANS (Sure Remote) | Услуга | www.ans.net | Частная IP-сеть на базе фильтрации IP-трафика |
| AT&T (WorldNet VPN Service) | Услуга | www.att.com | Частная IP-сеть на базе фильтрации IP-трафика |
| Compuserve (IPLink) | Услуга | www.network.compuserve.com | Частная IP-сеть на базе фильтрации IP-трафика |
| Equant (Corporate intranet Access Service) | Услуга | www.equant.com | Решение сторонней компании |
| GTE (Cybertrust) | Услуга | www.cybertrust.com | Решение сторонней компании |
| Infonet (INFOLAN Intranet Services) | Услуга | www.infonet.com | Решение сторонней компании |
| MCI (Vnet) | Услуга | www.mci.com | Предоставление услуги начнется в ближайшем будущем |
| Netcom (Secure Connect) | Услуга | www.netcom.com | Решение сторонней компании |
| UUNet (Extralink) | Услуга | www.uunet.net | L2F |
| Aventail (Aventail VPN)
ИТ-календарь
| |||