Экстрасеть на базе SSL
Конкуренты DSL
Никаких стандартов
IPSec стоит особняком
Информационная защита в сетях extranet

Любая серьезная дискуссия на тему "стандарты extranet" должна предваряться заявлением: таковых пока не существует. Есть лишь несколько протоколов Internet, достаточно удобных для сетей extranet, большая часть которых еще находится на стадии разработки. Пользователям необходимо знать, какое место занимают протоколы в процессе стандартизации, какие производители их продвигают и почему. Эксперты считают, что выбор стандарта для последующей работы в значительной степени должен определяться тем, на какой платформе будет работать сеть extranet.

Когда стандарты изменяются настолько быстро, конечным пользователям не следует надолго "привязываться" к какому-либо протоколу. Сеть extranet (или экстрасеть) является IP-приложением - обычно на основе протокола HTTP, - предназначенным в основном для использования между организациями (а не внутри них), между организацией и клиентами или между клиентами. Вследствие четкой ориентации экстрасетей на взаимодействие между компаниями стандарты имеют огромное значение. Ни одна компания не может диктовать другой, какие использовать технологии, но если обе они не будут говорить на одном и том же языке, ни о какой коммуникации между ними не может быть и речи.

Теперь, когда браузеры и ISP-провайдеры имеются повсюду, решена самая крупная проблема стандартов extranet. Клиенты могут взаимодействовать с серверами независимо от используемой платформы. Однако остается нерешенной такая важная проблема, как обеспечение безопасности. Как можно гарантировать, что к экстрасети получают доступ только выбранные вами деловые партнеры? Как понять, что ваши посетители - именно те, за кого они себя выдают? Наиболее полезными для сетей extranet для достижения двух целей защиты - конфиденциальности и аутентификации - оказываются две технологии: Secure Sockets Layer (SSL) и виртуальные частные сети (VPN). Однако следует иметь в виду, что в экстрасетях у каждой из них проявляются свои недостатки.

Экстрасеть на базе SSL

Стандарт SSL был разработан компанией Netscape Communications с целью защиты транзакций по кредитным карточкам. Однако разработчики считают, что он полезен и для экстрасетей - по крайней мере, пока вы в состоянии компенсировать некоторые его внутренние ограничения. "SSL - очень надежный механизм шифрования трафика в Internet, - считает Джордж Джонсон, директор по ИТ компании SecTeK. - Единственный его недостаток состоит в том, что он чересчур интенсивно использует сервер. Для шифрования всего трафика 128-разрядными ключами требуются большие вычислительные мощности. Мы создали свой узел, применяя совсем мало графических элементов, причем небольших по объему. Это существенно сократило объем обработки, требуемой от ЦПУ".

Компания SecTeK разработала для агентства Defence Advanced Research Projects Agency (DARPA) сеть extranet, позволяющую фирмам и промышленным организациям сотрудничать в разработке правительственных проектов (именно агентство DARPA, если вы помните, создало сеть Internet). Узел агентства DARPA позволяет иметь доступ к секретным документам и совместно работать с ними через сеть Internet, посещать виртуальные собрания, отслеживать данные с использованием "интеллектуальных агентов" и направлять такую информацию в рабочие группы, объясняет Джонсон. Применение экстрасетей сокращает затраты времени и денег. Например, рабочим группам больше не нужно посылать документы по факсу, чтобы передать информацию.

"Одно официальное лицо, связанное с разработкой правительственных проектов, определило экономию от использования нашей сети extranet только в одном проекте примерно в 1,5 млн дол. Аналогичные оценки мы получаем от многих наших пользователей, - сообщает Джонсон. - Наша система обеспечивает такую колоссальную окупаемость вложений, что мы рассматриваем возможность приобретения более мощного компьютера, чтобы обслуживать документы, передаваемые с помощью SSL. Вложив 20 тыс. дол. в сервер высокой мощности, мы сэкономим как минимум в 100 раз больше за счет сокращения затрат рабочего времени".

Однако при работе в сети extranet на базе SSL возникает по меньшей мере одна важная административная проблема: аутентификация конечных пользователей. В SSL применяется шифрование с открытыми/секретными ключами (с использованием алгоритмов, разработанных компанией RSA Data Security). Попросту говоря, при шифровании открытыми/секретными ключами применяются отдельные, но математически связанные алгоритмы шифрования/дешифрования. Шифрующий алгоритм использует открытый ключ, а дешифрующий - секретный. Открытый ключ распространяется свободно, поскольку, получив его в свои руки, фактически невозможно определить секретный ключ. Очевидно, что последний должен иметься только у адресата.

Сервер SSL укомплектован набором открытых/секретных ключей, так что он может принимать зашифрованные данные, однако пока не выпускаются браузеры, поддерживающие SSL своим собственным набором ключей. Браузер компании Netscape работает только тогда, когда посетитель посылает на сервер конфиденциальные данные, например номер кредитной карточки. Однако при работе в экстрасети сервер будет передавать и другую личную информацию.

Администраторы такой сети должны обеспечить всех пользователей соответствующими "сертификатами", которые идентифицируют пользователя и содержат набор открытых/секретных ключей. Их можно получить через сторонние органы выдачи сертификатов, такие как VeriSign и CyberTrust (отделение компании GTE). Использование сертификатов, однако, вызывает необходимость в дополнительном административном звене. Они должны издаваться, оплачиваться, обновляться при истечении срока их действия, стираться в случае увольнения сотрудника и т. д.

Конкуренты DSL

Другое важно средство защиты информации в экстрасети - применение виртуальных частных сетей (VPN), или туннелирования. Туннелирование больше, чем SSL, подходит в том случае, когда компания хочет сделать всю связь между двумя конечными точками конфиденциальной (включая другие - помимо HTTP) - протоколы, файловые и принтерные службы и т. д.). Его также стоит использовать, когда компания намерена предоставить пользователям возможность переходить от одного сервера к другому, не размещая всю информацию на защищенных SSL-серверах.

Принцип туннелирования состоит в создании закрытого потока данных в открытой сети, обычно - в Internet. Технически он сводится к вложению одного пакета в другой, поясняет Бернард Абоба, старший менеджер по средствам маршрутизации компании Microsoft. Таким образом, конфиденциальность обеспечивается путем помещения IP-пакета внутрь зашифрованного. Основными протоколами, обеспечивающими создание сетей VPN, стали Point to Point Tunneling Protocol, или PPTP (вместе с его производным - протоколом Layer 2 Tunneling Protocol, известным как L2TP), и IP Securitу (обычно называемый IPSec).

PPTP упоминается чаще, поскольку его поддержка включена в ПО Windows NT Server и Workstation. Компания Microsoft объявила, что включит поддержку PPTP и в Windows 98. Она выпускает PPTP для клиентов Windows 95, а также для Windows-приложений других фирм (таких как Network TeleSystems). Кроме того, протокол PPTP поддерживается в продуктах компаний Cisco Systems, U.S.Robotics (принадлежащей теперь 3Com), Novell, New Oak Communication и Extended Systems.

Если на стороне клиентов широкая поддержка PPTP уже обеспечивается, то в сетях extranet этот протокол пока реализовать трудно. Некоторые пользователи считают, что его вполне можно применять между двумя маршрутизаторами, поддерживающими PPTP. Например, норвежская компания NorConnect Internet Services AS предоставляет техническую поддержку главному национальному ISP-провайдеру; сети VPN используются для обеспечения безопасного доступа к ее штаб-квартире из некоторых местных отделений.

Никаких стандартов

Однако протокол PPTP не является стандартом, утвержденным IETF и, вероятно, никогда им не станет. В настоящее время Microsoft совместно с Cisco работает над тем, чтобы сделать стандартом протокол L2TP. Ожидается, что предложение утвердить PPTP в качестве стандарта будет отозвано. В любом случае, вариант PPTP с привкусом Microsoft отличается от PPTP, предложенного в качестве стандарта IETF.

PPTP - это расширение протокола Point to Point Protocol (PPP), с которым хорошо знакомы все подключающиеся к Internet по коммутируемым телефонным линиям. В PPP используются довольно слабые алгоритмы шифрования CHAP и PAP. Они приемлемы для быстрого подключения, но могут оказаться недостаточными для VPN. Поэтому Microsoft заменила их существенно более сильным алгоритмом (основанным на RC4), который называется Microsoft Point to Point Encryption, сообщает Дэвид Эйтелбах, старший менеджер по продуктам компании Microsoft.

Кроме применения в многочисленных клиентских программах PPTP имеет по меньшей мере еще одно существенное преимущество перед IPSec: он является протоколом уровня 2 модели OSI. Поэтому он "гладко" поддерживает многие из ныне популярных технологий управления защитой, такие как аутентификация на базе маркеров (token) или служба Remote Authentication Dial-In User Service (RADIUS), которая отслеживает использование прав доступа и паролей. По словам Эйтелбаха, решение второго уровня распознается протоколом защиты RADIUS как терминальный сервер.

"Протоколы PPTP и L2TP для IP-потока можно сравнить с неизолированным проводом, - говорит Эйтелбах. - Имеются широко распространенные протоколы защиты типа RADIUS, которые мы называем "учет, аудит и сигнализация". Они ведут регистрацию тех, кто подключается к туннельному серверу. Иногда пользователи, находящиеся в сети совершенно законно, способны сделать что-то нежелательное для вас. Если учет осуществляется с помощью протокола RADIUS, то за этим можно следить".

Однако протокол L2TP, представляющий собой сочетание PPTP с протоколом Layer 2 Forwarding (L2F) компании Cisco, также относится к уровню 2, а теперь Microsoft и Cisco стараются сделать его стандартом. Версия 7 протокола опубликована на Web-узле группы IETF, и компания Microsoft передает ее на рассмотрение в качестве стандарта. L2TP обладает одним основным преимуществом перед PPTP: он намного легче воспринимается большинством брандмауэров. В нем канал данных и канал управления объединены в один поток User Datagram Protocol (UDP), тогда как PPTP посылает управляющую информацию через протокол TCP, а данные - через протокол Generic Routing Encapsulation (GRE).

"Брандмауэры отображают внутренний IP-адрес на внешний (Internet) адрес брандмауэра, добавляя к нему уникальный номер TCP- или UPDP-порта, - объясняет Эйтелбах. - Чтобы работать с PPTP, брандмауэры должны распознавать протокол GRE, хотя многие из них с ним "не знакомы". В L2TP не используется GRE, а применяемый в нем UDP может быть воспринят большинством брандмауэров. По тем же причинам его проще использовать с сетевыми блоками преобразования".

Недостатком можно считать большее количество пробелов в заголовке L2TP, чем в PPTP, который способен обеспечить большую производительность. Кроме того, L2TP намного менее зрелый, и его поддержка менее распространена, чем поддержка PPTP.

IPSec стоит особняком

Интересно отметить, что когда дело касается шифрования, L2TP фактически вынужден использовать конкурирующий протокол IPSec. IPSec осуществляет проверку целостности, гарантируя соответствие посылаемых и принимаемых потоков данных. Он также производит обмен ключами в защищенном (зашифрованном) потоке и поддерживает более мощные алгоритмы шифрования, такие как DES, Triple DES, IDEA и т.д.

Какой алгоритм использовать, можно договариваться каждый раз при установке контакта между двумя машинами, указывает Бретт Ховард, вице-президент по технологии компании TimeStep. Эта компания-производитель туннельных серверов поддерживает IPSec и не поддерживает PPTP/L2TP. Если поддержка IPSec на другом конце туннеля отсутствует, L2TP по умолчанию проводит шифрование по PPP, утверждают Абоба и Эйтельбах.

Самым приятным свойством протокола IPSec, возможно, является то, что он представляет собой почти готовый стандарт IETF и уже прошел многочисленные испытания на совместимость. В последней такой "разборке", проведенной компанией TimeStep в сентябре 1997 г., участвовало около 27 производителей.

Плохо то, что IPSec привязан к IP, тогда как PPTP/L2TP независимы от протоколов. Кроме того, в своем исходном виде он осуществляет аутентификацию только на уровне машины, а не на уровне пользователя. В большинство продуктов IPSec включена поддержка аутентификации на уровне пользователя, например в виде маркерных карт, но опять-таки эти функции пока еще не разработаны.

Поклонники протокола IPSec полагают, что он лучше других работает в большинстве ситуаций, требующих применения туннельной технологии. "PPTP - это в лучшем случае тактическое средство. IPSec будет вытеснять его по мере выхода соответствующих продуктов", - считает Боб Московиц, технический специалист отделения MIS Division корпорации Chrysler и член бюро Internet Architecture Board. Он полагает, что от IPSec следует отказываться лишь в тех случаях, "когда вы собираетесь реализовать сеть VPN на втором уровне ISO, скажем - с применением технологий трансляции кадров или ATM".

Московиц призывает использовать метод обмена ключами, разработанный рабочей группой по IPSec. Он решает проблему обмена ключами в реальном времени лучше, чем самый распространенный метод обмена ключами RSA, применяемый в SSL. В действительности, полагает Московиц, следующая реализация стандарта SSL группы IETF, известная как Transport Layer Security 2.0, может включать в себя протокол Internet Secure Assiciation Key Management Protocol. "RSA не имеет протокола управления ключами в реальном времени. Компоненты, входящие в SSL, очень слабы с точки зрения функциональности, безопасности, масштабируемости и возможностей роста".

Очевидно, что разработчикам сетей extranet необходимо поразмышлять, прежде чем они смогут правильно выбрать протокол для применения в сетях между предприятиями. Для сетей, в которых используются только Windows-клиенты и имеется много пользователей, подключающихся по коммутируемым телефонным линиям, протокол PPTP может стать самым разумным решением - особенно если учесть перспективы перехода на L2TP.

Для тех разработчиков сетей extranet, которые поддерживают более широкий диапазон клиентов, наилучшим вариантом, скорее всего, является протокол IPSec. А для тех, кто будет строить экстрасеть и все ее приложения на отдельном защищенном сервере, более чем достаточным окажется SSL.


"SSL - очень надежный механизм шифрования трафика в Internet. Его единственный недостаток - слишком интенсивное использование сервера", - говорит Джордж Джонсон, компания SecTeK


Информационная защита в сетях extranet

  • Конфиденциальность. Определяется, что информация носит частный характер, следовательно, получать к ней доступ и просматривать ее может только тот, кому она адресована. Это очень важно для большинства сетей extranet, однако несущественно для открытых Web-узлов. Конфиденциальность обеспечивается главным образом за счет использования протоколов, включающих в себя средства шифрования.
  • Аутентификация. Идентифицируется личность или компьютер и гарантируется, что сторона, пытающаяся получить доступ к данному ресурсу, является членом соответствующей группы или числится в списке доступа. Аутентификация тесно связана с конфиденциальностью и применяется во всех сетях extranet.
  • Невозможность отказа от выполненных действий. Обеспечивается гарантия того, что пользователи не смогут отказаться от своих действий в электронной среде. Это очень важно для любого узла электронной торговли, включая сети extranet между предприятиями, а также между покупателями и поставщиками (покупатель не сможет отрицать, что дал заказ по своей сети extranet, а поставщик - изменить предложенную им цену).
  • Целостность. Обеспечивается гарантия соответствия отправленной и полученной информации. Поскольку для сетей extranet обычно важны такие свойства, как конфиденциальность и невозможность отказа от выполненных действий, то должна поддерживаться и проверка на целостность.
  • Контроль за доступом. Обеспечиваются такие условия, при которых ресурсы находятся под контролем уполномоченных сторон. Средства аутентификации гарантируют, что лица, пытающиеся получить доступ к информации, имеют на это право. Средства контроля доступа гарантируют, что те, кто размещают информацию на узле или изменяют ее, также имеют на это право.
  • Доступность. Гарантируется, что данные и ресурсы сервера находятся в рабочем состоянии и что простои не связаны с нарушениями защиты.

Источник: книга "Building an Extranet", издательство John Wiley & Sons


Джулия Борт (Julie Bort) - соавтор книги Building an Extranet ("Создание сети extranet"), вышедшей в издательстве John Wiley & Sons. Ее Web-адрес http://www.jbfreelance.com.