На повестке дня - надёжность и безопасность сетей

Производители демонстрируют совместимость средств для ВЧС с Windows 2000

Корпорации Microsoft (www.microsoft.com) вновь удалось привлечь всеобщее внимание к своей Windows 2000. На этот раз игра велась на поле ВЧС, где была продемонстрирована совместимость новой ОС с продуктами ведущих производителей сетевых систем. Правда, результаты тестирования не смогли полностью удовлетворить ни производителей, ни пользователей, собирающихся развертывать виртуальные частные сети.

На выставке NetWorld+Interop, прошедшей в сентябре в г. Атланте (шт. Джорджия), способность своих продуктов работать в среде Windows 2000 доказали фирмы Cisco Systems, Altiga Networks, RouterWare, Lucent Technologies и корпорация 3Com. Все эти продукты обеспечили совместимость с ОС Microsoft за счет поддержки спецификаций IPSecurity и L2TP (Layer 2 Tunneling Protocol - протокол туннелирования второго уровня).

Windows 2000 открыла этим протоколам путь к настольным системам, что в перспективе может облегчить жизнь администраторам информационных технологий, упростив развертывание виртуальных частных сетей. Да и производителям средств ВЧС больше не придется беспокоиться о сетевых клиентах, а можно будет сосредоточить усилия на создании серверных и шлюзовых продуктов.

Однако с поддержкой IPSecurity и L2TP в Windows 2000 не все так гладко, как может показаться на первый взгляд: IPSec применим далеко не при любом варианте развертывания ВЧС. А это значит, что виртуальные частные сети на основе Windows 2000 могут оказаться несовместимыми с существующими аппаратными и программными компонентами IPSec, особенно с теми, которые выпускают небольшие фирмы.

Варианты развертывания ВЧС Демонстрация совместимости была проведена корпорацией Microsoft и ее партнерами

на выставке N+I

Стандарт IPSec описывает способы шифрования при туннелировании трафика, пересылаемого от одной машины к другой, однако этим функции протокола и ограничиваются. Для выполнения других задач, в том числе идентификации конечных пользователей, распределения IP-адресов, обеспечения поддержки нескольких адресов и протоколов, Microsoft решила дополнить этот протокол спецификацией L2TP.

Как заявил Рон Калли, ведущий производственный менеджер Microsoft по выпуску сетевых продуктов для Windows, встроенная система безопасности Windows 2000 будет полностью совместима с другими продуктами IPSec лишь в двух вариантах ВЧС. Это кампусные сети, где связь поддерживается внутри защищенного брандмауэром периметра, а каналы связи между двумя филиалами или бизнес-подразделениями организованы через Интернет.

Но ни при многоадресных передачах, ни при удаленном доступе протокол IPSec, по словам Калли, в Windows 2000 не поддерживается. Дело в том, поясняет он, что способы применения этого протокола для удаленного доступа носят частный характер и определяются отдельными производителями, поэтому их поддержка выходит за рамки интересов Microsoft. “IPSec создавался не для удаленного доступа, - уверен он. - Здесь нужен L2TP”. Следовательно, администраторам, которые собираются использовать ВЧС для удаленного доступа, необходимо искать средства, поддерживающие не только IPSec, но и L2TP. В противном случае им придется решать проблему совместимости с ВЧС на базе Windows 2000.

И все же многие пользователи надеются, что поддержка IPSec в Windows 2000 сослужит им хорошую службу.

“Если она будет встроена непосредственно в ОС, нам не придется тревожиться о безопасной работе клиентов”, - уверен Крейг Дарлинг, сетевой аналитик фирмы Idexx Laboratories (Уэстбрук, шт. Мэн). К тому же, по его мнению, встроенная поддержка IPSec поможет разработать более четкие правила для ВЧС, которые позволят избавиться от заторов в безопасных подключениях, связанных с работой пользователей во “Всемирной паутине”, и многих других неприятностей.

Калли отметил еще одно достоинство реализации IPSec в Windows 2000, основанной на комбинированных адресах IPSec/L2TP. Такой подход, считает он, позволяет решить ряд проблем более эффективно, чем “чистый” протокол IPSec. Он, в частности, позволяет аутентифицировать пользователя с помощью микропроцессорных карточек, паролей и других средств авторизации, тогда как с помощью IPSec можно только определить машину, на которой пользователь работает. Кроме того, комбинация IPSec/L2TP упрощает назначение IP-адресов и одновременное применение нескольких транспортных протоколов.

Преимущества комбинации IPSec с L2TP признают даже самые заядлые критики Microsoft. Они не могут отрицать, что хотя в L2TP и не предусмотрено никаких мер безопасности, его легко защитить с помощью средств IPSec. “Сейчас нам приходится обновлять таблицы маршрутизации на каждой локальной машине, - говорит Дарлинг, использующий в качестве шлюза аппаратные средства Altiga. - В будущем же клиенты станут достаточно интеллектуальными, чтобы самостоятельно получать такие таблицы по сети”.