Частные сети — доступная виртуальная альтернатива

Сергей Аврин

Не так много найдется в России компаний, которые могли бы позволить себе прокладывать собственные линии связи для организации своей корпоративной сети. Да и использование таких линий или выделенных линий, предоставляемых операторами связи, не может гарантировать полной конфиденциальности обмена информацией. И все дело в том, что при формировании инфраструктуры связи между офисами, находящимися в разных регионах, кабель неизбежно приходится заводить на узел коммутации, расположенный на территории оператора связи. При этом нельзя поручиться, что на этом узле не найдется какой-нибудь инженер, который бескорыстно, удовлетворяя собственную любознательность, или вполне сознательно «на коммерческой основе» не захочет подключиться к чужому оборудованию, а коммуникационные колодцы, где лежит кабель, никем не охраняются. Таким образом, собственная сеть, как ни крути, является доступной неопределенному числу посторонних лиц, пусть и на небольшом ее участке.

Как же быть в том случае, когда обеспечение конфиденциальности — требование жесткое? Есть выход, и называется он VPN (Virtual Privatе Network, виртуальная частная сеть). Что такое виртуальная частная сеть и чем она лучше, чем просто частная? Это сеть, которая строится на базе сетей общего пользования или Интернета и представляет собой объединение локальных сетей в единую сеть (ее называют наложенной, или логически выделенной). Понятно, что в такой сети информация перед ее передачей шифруется и к ней добавляются необходимые идентификационные данные (для этого используются специальные устройства, называющиеся криптомаршрутизаторами, или VPN-шлюзами). После прохождения по сети общего пользования зашифрованный пакет попадает на VPN-шлюз на приемной стороне, где выполняются обратные операции.

Подобная технология обеспечивает на порядки меньшую стоимость, хорошую масштабируемость и надежность, а также контроль за действиями пользователей, поэтому за рубежом она в последнее время активно развивается. Причем всплеск интереса к ней столь значителен, что даже краткосрочные аналитические прогнозы отстают от реальности. На семинаре «Организация виртуальных собственных сетей (VPN)», проведенном 3 февраля 2000 г. фирмой Jet Infosystems, приводились такие цифры: например, компания Infonetic Resourse в своем опубликованном в июне 1999 г. прогнозе на этот год указала объем продаж VPN-решений 2,4 млрд долл., а реально был достигнут уровень примерно 3 млрд долл. Сейчас различные аналитические компании дружно предсказывают значительный рост продаж VPN-решений в последующие несколько лет, и прогноз объемов продаж на 2003 г. составляет примерно 32 млрд долл. При этом предполагается, что свои решения на рынок VPN выбросят около 80 компаний.

Понятно, что в России объемы продаж современных технологических решений не могут сравниться с зарубежными, в том числе из-за наличия сдерживающих факторов со стороны государства (необходимость сертификации средств и лицензирования деятельности в области криптозащиты), но мировые тенденции, хоть и с задержкой на пару-тройку лет, у нас проявляются всегда. Что касается VPN, то в России уже существует ряд решений, которые используются как в коммерческих организациях, так и в госструктурах. Чаще всего это «доморощенные» разработки, имеющие множество несовершенств по сравнению с современными решениями. Как правило, они создают массу проблем с распределением и сменой ключей, грешат отсутствием возможности выборочного шифрования информационных потоков и интеграции с межсетевыми экранами, отсутствием централизованных систем мониторинга, низким быстродействием (проигрыш зарубежным решениям в 50 и более раз).

По оценкам ряда аналитиков, в связи развитием электронного бизнеса в России ожидается рост спроса на VPN-решения. Кроме того, в результате либерализации законов США об экспорте решений в области криптографии на отечественном рынке может появиться большое число западных решений для организации VPN-сетей.

По мнению специалистов Jet Infosystems, при выборе VPN-решения их следует сравнивать по следующим характеристикам:

• производительность (пропускная способность) при максимальной нагрузке;
• число одновременных подключений;
• реализованные сервисы, а также алгоритмы и протоколы безопасности (алгоритмы шифрования, ЭЦП и кэширования, используемые защищенные сетевые протоколы и протоколы управления ключами);
• возможность настройки, управления и мониторинга;
• модульность и возможности масштабирования.

На семинаре были подробно рассмотрены типы алгоритмов шифрования и схемы выработки ключей, разновидности схем хэширования и способы формирования ЭЦП, режимы работы защищенных Интернет-протоколов SKIP (Single Key Internet Protocol) компании Sun Microsystems и стандартизованного IPsec, а также перспективность их использования в VPN-сетях, протоколы распространения ключевой информации и формирования ключей, типы и виды защищенных соединений. Кроме того, анализировались характеристики таких VPN-решений, как IPsec Express компании SSH, PIX Firewall компании Cisco, продукты для организации VPN компании NewBridge, отечественные продукты для организации VPN-сетей ШИП (МО ПНИЭИ), «Застава-VPN» фирмы «Элвис+» и «Тропа» фирмы Jet Infosystems.

Естественно, наибольшее внимание было уделено комплексу кодирования межсетевых протоколов (ККМП) «Тропа», предназначенному для фильтрации, кодирования и маршрутизации пакетов, генерации и сопровождения ключей кодирования, а также мониторинга и управления межсетевыми потоками.

Компонентами «Тропы» являются модуль кодирования, центры генерации, сертификации и распределения ключей, модуль мониторинга и сбора протоколов. При ее разработке специалистами Jet Infosystems учитывались такие требования, как соответствие существующим стандартам, модульность и расширяемость, надежность и высокая скорость работы, поддержка любых протоколов поверх IP, взаимодействие с межсетевым экраном. В результате в качестве базовой аппаратно-программной платформы было выбрано следующее решение: сервер UltraSPARC фирмы Sun Microsystems и ОС Solaris/SPARC, в качестве защищенного протокола — IPsec, обмен ключами осуществляется в соответствии с процедурой Диффи-Хелмана, а распространение ключевой информации реализуется использованием аутентичных ключевых дискет. Взаимодействие с межсетевым экраном организовано на уровне ядра системы, а криптошлюзы системы способны работать как с шифруемыми, так и с нешифруемыми потоками информации.

По словам представителей Jet Infosystems, в настоящее время проводится работа по сертификации системы. «Тропа» уже развернута в одной из крупных российских коммерческих структур, а один из крупных банков находится в процессе ее развертывания. В то же время отмечалось, что рынок VPN-систем — это рынок не только крупных компаний и банков, но и средних, имеющих удаленные офисы, и для них в качестве платформ могут использоваться серверы на базе процессоров Intel и ОС Solaris/Intel.

На семинаре также прозвучала информация о том, что 26 января Sun Microsystems объявила о выпуске ОС Solaris 8, ранее планировавшемся на 5 марта. Эта версия ОС, предназначенная для использования в серверах, базирующихся на 64-разрядном процессоре UltraSPARC-III, который должен выйти в ближайшее время, обеспечивает:

• поддержку протоколов IРv6 и IPsec;
• поддержку мобильных устройств;
• существенно повышенную производительность виртуальной машины Java.

В комплекте с этой ОС поставляется большая коллекция ПО Open Source (включая Perl и Apache), такие программные продукты, как iPlanet и Oracle 8i (версии для разработчиков), и многое другое.