Удаленное соединение
В одном блоке
Оставьте на усмотрение экспертов
Бум VPN-продуктов
Зыбучие пески стандартов

Складывается впечатление, что подобно тому, как в прошлом году все мировые производители автомобилей выставляли новые спортивные машины, теперь все поставщики сетевых продуктов предлагают виртуальные частные сети (VPN), заявляя: с их помощью можно повсюду проникать и все делать. Однако, как и сверхмощные автомобили, продукты VPN обычно недешевы, и некоторые аналитики считают, что уже имеющиеся у вас средства вполне способны обеспечить все необходимое. Кроме того, если немного подождать, то вскоре можно будет купить достаточно надежную систему, управлять которой так же легко, как спортивным автомобилем.

Недавно операторы связи и производители сетевых продуктов съехались в Вашингтон на выставку ComNet, на которой выяснилось, что многие из них намерены продвигать продукты и службы VPN. Прогнозируется, что в текущем году этот рынок будет быстро развиваться. А недавнее заявление компании Cisco Systems о сотрудничестве с Microsoft с целью создания для Windows NT 5.0 средств защиты, действующих на сетевом уровне модели OSI, говорит о том, что киты компьютерной индустрии начинают сходиться на почве разработки технологий для VPN.

Сеть VPN можно соорудить, используя разные технологии, однако независимо от подхода суть одна - эта система должна обеспечивать безопасную связь внутри контролируемой группы пользователей по открытой инфраструктуре. Специальное устройство на границе корпоративной сети устанавливает "туннель", по которому проходит зашифрованный трафик.

Использование такой системы обещает сделать информационную связь через глобальную сеть столь же безопасной и простой, как телефонная, и - за счет использования сети Internet - резко снизить затраты. Уже существуют способы обеспечения доступа к подобной системы всех пользователей корпоративной сети, а новые технологии позволяют подключить к ней бизнес-партнеров, мобильных пользователей и клиентов компании. Однако, несмотря на растущий интерес к внедрению сетей extranet, рынок VPN еще молод, и аналитики предупреждают потенциальных сторонников этих систем, что торопиться с их внедрением не следует.

В большинстве современных предприятий пользователи взаимодействуют по глобальной сети через арендованные линии, службы трансляции кадров (frame relay) и обычный удаленный доступ через междугородную сеть операторов связи. С помощью этих технологий можно удовлетворить потребности контролируемой группы пользователей, защитить важные данные от вмешательства, и, как утверждают обозреватели, они вполне подходят для определенных целей. "Многие пользователи уже имеют виртуальные частные сети того или иного типа, - говорит Эрик Полак, аналитик из компании Gartner Group. - Они называются сетями с трансляцией кадров".

В последнее время технология frame relay получила широкое распространение как альтернатива арендуемым междугородным линиям. Она беспечивает менее дорогой способ соединения и несколько большие возможности. Службы frame relay ориентированы на соединение и поддерживают гарантированную скорость передачи при соединении одного конкретного узла с другим. Некоторые аналитики сравнивают эти службы с сообществом хорошо оснащенных пользователей, огражденных от неожиданных атак хакеров. Если в сети с трансляцией кадров применить шифрование, то она станет безопасной для контролируемой группы пользователей.

Замкнутая группа пользователей может, конечно, соединиться со штаб-квартирой компании через относительно безопасную открытую телефонную сеть, используя обычный удаленный доступ по коммутируемым телефонным линиям, реализованный с применением ПО аутентификации пользователей. Однако многие считают, что появляющиеся в настоящее время VPN-продукты способны предоставить более широкие возможности, причем дать значительную экономию за счет использования служб трансляции кадров. "Экономия средств благодаря использованию Internet и местных вызовов для подключения к глобальной сети бесспорна", - утверждает Виржиния Брукс, аналитик компании Aberdeen Group. А в некоторых случаях расходы на внедрение VPN могут окупиться за несколько месяцев просто за счет экономии на оплате междугородных телефонных переговоров.

По оценкам компании Infonetics Research, при переходе на сети VPN компания экономит до 40% средств (по сравнению с применением соединений между узлами по арендуемым линиям), а мобильные пользователи и работающие дома - до 80% (по сравнению с использованием удаленного доступа по коммутируемым телефонным каналам). Кроме того, пользуясь Internet или сетью провайдера, организации избегают ограничений, связанных с арендованными линиями или постоянными виртуальными сетями, которые организуются между определенными точками.

Удаленное соединение

Рассмотрим проблемы, с которыми столкнулся менеджер информационной системы одной из крупных строительных компаний. Для проведения строительных работ рабочие коллективы часто выезжают на удаленные площадки, и им необходима защищенная связь с головным офисом. Оказалось, что оформление аренды линии у местной телефонной компании может занять достаточно много времени. "Если вам предстоит работать на площадке в течение четырех месяцев, а на предоставление линии требуются два месяца, то что вы будете делать первые два месяца? Если же вы решаете воспользоваться сетью Internet, то нужно просто найти ближайшую точку входа в сеть и подключиться".

Другой администратор, использующий в настоящее время арендованные линии для связи нескольких клиник в городском районе, полагает, что сети VPN способны стать наилучшим способом подключения большего количества удаленных устройств. Гай Патерсон, менеджер по разработке технологии окружного управления здравоохранения Saskatoon District Health, с нетерпением ждет, когда можно будет воспользоваться более низкими ценами, большей гибкостью при выделении соединений с низкой или высокой пропускной способностью и возможностью автоматического перенаправления трафика в обход неисправных участков.

С появлением в домах служащих высокоскоростных кабельных модемов использование VPN может существенно повысить производительность труда этих сотрудников и позволить организации иметь в штате больше надомников, считает Джефф Грир, консультант по локальным и глобальным сетям компании HealthSource. Грир хотел бы, чтобы пользователи могли подключаться к офису с помощью тех же соединений с провайдерами, которые они уже используют дома.

В одном блоке

Начинают появляться и решения для VPN, поставляемые в виде готовых продуктов. Подобные устройства могут быть установлены в центральном офисе компании и в офисах филиалов, а клиентское ПО распространяется среди мобильных пользователей. Примерами таких продуктов являются VPN Service Unit компании VPNet Technologies и Ravlin компании Red Creek Communications.

Поскольку данные устройства созданы исключительно для VPN, они обеспечивают более высокую производительность, чем другие решения. Однако может оказаться, что пользователь будет вынужден применять по всей сети продукты только одного производителя.

Тем временем производители брандмауэров расширяют набор своих продуктов, чтобы защитить сети предприятий, простирающиеся за пределы главного офиса или кампуса. Большинство из них, в том числе - Checkpoit и Raptor Systems, предлагают серверное ПО, которое, в том числе, выполняет функции, аналогичные функциям специализированных VPN-устройств. Некоторые начинающие компании также поставляют программные продукты, выполняемые на сервере. Например, компания Aventail предлагает систему, настраиваемую на уровне приложений и предназначенную для контроля за доступом пользователей к корпоративным ресурсам.

Дэйв Браун, менеджер информационной системы газеты The New York Times, утверждает, что его компания выбрала сеть VPN на базе брандмауэра, поскольку она работает с системой аутентификации, реализованной с помощью карт SecurID компании Security Dynamics. Репортеры газеты и другие ее сотрудники во всем мире смогут по коммутируемым телефонным линиям подключаться к брандмауэру компании через сеть оператора связи, аутентифицируя себя с помощью действующего на данный момент пароля, который отображается на карте SecurID. Эта система впервые даст пользователям из других стран возможность осуществлять удаленный доступ по телефонным каналам, а также позволит газете отказаться от дорогих модемных банков и использования 800 телефонных номеров.

Фирмы, поставляющие основную массу устройств для локальных сетей и WAN, все шире применяют VPN-технологии в своих продуктах. Недавно компания Cisco объявила, что будет предлагать протокол IP Security (IPSec) в качестве опции операционной системы Internetwork Operation System (IOS), работающей в ее маршрутизаторах, коммутаторах и устройствах доступа. К концу года компания собирается включить в IOS поддержку протокола Layer 2 Tunneling Protocol, а кроме того, она будет использовать VPN-технологии компании Red Creek в своем брандмауэре Pix. Фирмы 3Com, IBM, Bay Network и другие также включат VPN-технологию в маршрутизаторы, брандмауэры и устройства удаленного доступа. Bay займется интеграцией со своими продуктами технологии, полученной от приобретенной ею компании New Oak - начинающей фирмы, выпускющей специализированное устройство для сетей VPN.

Оставьте на усмотрение экспертов

VPN-продукты, поставляемые указанными производителями, дают крупным провайдерам сетевых служб возможность предлагать пакеты услуг. Соответственно, организации могут переложить на чужие плечи работу по созданию и эксплуатации сети VPN. Такие услуги уже предлагают компании AT&T, MCI, Sprint, GTE, ANS, UUNet и BBN Planet. По прогнозу компании Infonetics, вскоре в эту гонку включатся 92% американских провайдеров услуг.

Оборотной стороной использования услуг сторонних компаний, отмечает менеджер по ИТ строительной компании, является необходимость предоставления провайдеру услуг доступа к корпоративной сети. К счастью, указывают аналитики, организация может выбрать и другие варианты - например, заключить контракт с провайдером на создание закрытой сети, а затем реализовать в ней собственную политику доступа и шифрования.

Если организация намерена использовать для безопасной связи сеть Internet, ей приходится решать достаточно серьезные проблемы, но она получает более широкие возможности доступа. "Существует целый класс приложений, для которых Internet - единственная реальная альтернатива", - считает Дэн Мерриман, аналитик компании Giga Information Group. Некоторые компании гораздо теснее сотрудничали бы друг с другом при работе над совместными проектами, если бы могли устанавливать защищенные, достаточно высокоскоростные соединения. Однако установка между ними сети frame relay, ее эксплуатация и расчет оплаты - задачи трудоемкие и непростые.

К сожалению, почти невозможно добиться, чтобы различные компании согласились использовать VPN-продукты одного производителя. И поскольку стандарты аутентификации и обмена шифрованной информацией все еще разрабатываются, продукты разных производителей не способны автоматически обмениваться ключами шифрования/дешифрования. "Сначала нам необходимо получить стандарты и более зрелые продукты, а уже после этого мы сможем рекомендовать использование VPN-технологии для создания сетей extranet с бизнес-партнерами", - говорит Брукс.

Многие VPN-продукты требуют от организаций-партнеров лишь установки клиентского ПО, которое в некоторых случаях распространяется бесплатно. В настоящее время администраторы могут вручную организовать защищенные связи между различными VPN-системами, если они поддерживают общую пару технологий шифрования и аутентификации. Однако для обеспечения истинной стыкуемости нужно дождаться появления набора стандартов, разработка которых близка к завершению.

А пока аналитики рекомендуют разные способы, с помощью которых компании уже теперь могут получать выгоды от использования сетей VPN, не подвергаясь риску несовместимости и недостаточной защиты.

Во-первых, большинство аналитиков напоминает, что даже если связь через Internet можно сделать безопасной, нет гарантии получения требуемой для корпоративных приложений производительности. Гарантированные уровни сервиса только-только начинают предоставляться даже для IP-служб в сети провайдера. "Если приложения настолько важны, что для них требуется защита данных, то, скорее всего, необходима надежная доставка данных, - утверждает Том Нолл, президент консалтинговой фирмы CIMI. - Единственный вариант VPN-сети, который в настоящее время может удовлетворить потребности бизнеса, - это сочетание трансляции кадров и маршрутизаторов, обеспечиваемое провайдером услуг".

Мерриман рекомендует пользователям применять Internet там, где традиционные соединения, такие как линии frame relay, неприменимы - например, при взаимодействии компаний-партнеров. Для других приложений, считает он, следует использовать сети с трансляцией кадров. По его прогнозу, к 2000 г. гарантированный уровень услуг в Internet станет реальностью, и организации смогут перенести существующие приложения в открытую сеть.

Джон Кунс, аналитик из компании Dataquest, напоминает сетевым администраторам, установившим собственные сети VPN, что их работа еще не закончена. Даже если вы не полагаетесь на внешнюю поддержку всей VPN-сети, советует он, обратитесь за помощью при ее установке и проведите серьезный курс обучения сотрудников работе с надлежащими процедурами защиты - ведь самым слабым звеном сети являются именно люди.

Как бы то ни было, технология VPN все больше "проникает" в оборудование, обеспечивая лучшие производительность и защиту, а запуская VPN, вы можете получить ощущения, подобные тем, которые возникают, когда вы впервые трогаетесь с места в новом спортивном автомобиле.


Бум VPN-продуктов

Infonetics Research прогнозирует значительный рост расходов компаний во всем мире на продукты, на интеграцию оборудования и ПО в решения, предназначенные для создания VPN, а также на VPN-услуги.


Зыбучие пески стандартов

Если верить заявлениям производителей, разрабатываемые в настоящее время важные протоколы для VPN в следующие два года получат широкое распространение. А недавно анонсированные разработки призваны помочь производителям стандартизировать важные технологии, благодаря которым сети VPN смогут быстрее завоевать доверие пользователей.

Новый протокол IP Security (IPSec), предложенный комитетом IETF (Internet Engineering Task Force), определяет ряд технологий, предназначенных для идентификации пользователей и систем, а также различные типы шифрования, которыми можно воспользоваться для защиты пакетов. Подобно двум модемам, устанавливающим соединение на максимально высокой скорости, которую они оба поддерживают, два совместимых с протоколом IPSec устройства или клиента смогут взаимодействовать, используя наилучшие (поддерживаемые ими) формы аутентификации и шифрования.

Спецификация будет включать в себя как обязательные, так и факультативные протоколы. Ожидается, что в число обязательных протоколов шифрования войдут, помимо прочих, DES (Data Encryption Standard) и Triple DES.

Ряд ведущих производителей, в том числе Cisco Systems и VPNet Technologies, шлифуют свои реализации протокола IPSec, создавая сеть Automotive Network Exchange. Планируется, что пилотный вариант этой экстрасети, связывающей примерно 40 тыс. производителей и поставщиков автомобильной промышленности, начнет работать весной. В начале января ассоциация International Computer Security Association (ICSA) объявила, что собирается начать тестирование реализаций протокола IPSec ее участников-производителей. ICSA будет подтверждать сертификатом, что продукты конкретного производителя совместимы с другими и обеспечивают защиту, требуемую для сети Automotive Network Exchange.

Протокол Layer 2 Tunnelling Protocol (L2TP), основанный на элементах протоколов Point to Point Protocol (PPTP) компании Microsoft и Layer 2 Forwarding компании Cisco, будет гарантировать, что различные VPN-системы стандартным образом инкапсулируют в IP-пакеты трафик различного типа. Как и IPSec, протокол L2TP еще не завершен, однако многие производители обещают, что постепенно обеспечат его поддержку, а некоторые из них (в том числе IBM) - что выпустят продукты на его основе.

Технология цифровых сертификатов, основанная на спецификации X.509 Международной организации по стандартизации (ISO), обещает в будущем еще большую безопасность. Эти сертификаты, "подписанные" уполномоченными организациями или известными производителями, предоставят пользователям быстрый автоматический способ аутентификации при связи с защищенной сетью. Хотя некоторые поставщики VPN-продуктов поддерживают эту технологию, для нее еще не существует повсеместно принятой инфраструктуры.

На конференции RSA Data Security Conference, состоявшейся в начале января в Сан-Франциско, компания Entrust Technologies объявила, что ее комплект EntrustIPSec Negotiator Toolkit позволит маршрутизаторам компании Cisco передавать (с целью аутентификации пользователей) сертификаты X.509 Version 3 от одного маршрутизатора другому или от маршрутизатора брандмауэру. Представители Cisco сообщили, что эта технология будет передана в группу IETF для включения в спецификацию IPSec.

Как и во многих других технологиях, в данной уже используется набор протоколов, поддерживаемых компанией Microsoft, и в будущем они могут сыграть важную роль в сетях VPN. Сейчас в операционную систему Windows включена поддержка протокола PPTP и технология шифрования Microsoft Point to Point Encryption. Microsoft заявляет, что в Windows NT 5.0 будут поддерживаться протоколы IPSec и L2TP, а для страховки - и уже существующие протоколы.

Однако не исключено и следующее: поскольку производители заинтересованы в быстрой замене сетевой аппаратуры, то - чтобы скорее производить шифрование, аутентификацию пользователей и сжатие данных - они могут начать переход и на стандарты другого вида.