eWeek Labs отвечает на вопросы о VPN

     В центре внимания - безопасность протоколов и решения с открытым исходным кодом

19 августа медиа-холдингом Ziff Davis Media проводился онлайновый семинар на тему "Осмысление проблем VPN", привлекший несколько сот участников и выявивший острый интерес к таким вопросам, как обоснование затрат на виртуальные частные сети и выбор возможных путей их технической реализации. В каком-то смысле он стал продолжением дискуссии, начатой 16 апреля на аналогичном мероприятии под названием "Стратегии VPN" (ответы на избранные вопросы и результаты электронного опроса мнений аудитории прошлого семинара можно найти в статье "VPN: вопросы и ответы" - PC Week/RE, N 24/2003 с. 18).

VPN на весах пользователей

Одной из новых тем, активно обсуждавшихся на последней встрече, были нынешние походы к реализации VPN на базе открытого исходного кода. Почти каждый пятый участник назвал применение VPN-инструментария с открытым исходным кодом главным пунктом своих планов в сфере VPN.

Ниже приводится ряд вопросов и ответы на них аналитиков eWeek Labs и приглашенных докладчиков семинара - Чарли Скотта, аналитика по информационной безопасности администрации города Остина (шт. Техас), и Дэвида Лессера, президента и технологического руководителя фирмы Nexum.

Материалы двух электронных семинаров по VPN и дополнительную информацию об этих мероприятиях ZD Media можно найти на сайте www.webseminarslive.com.

В чем преимущества таких VPN-протоколов, как SSL (Secure Sockets Layer) и IPSec (IP Security), перед PPTP (Point-to-Point Tunneling Protocol)?

Корпорация Microsoft поддерживает PPTP в Windows 2000, Windows XP, Windows Server 2003, Windows NT Workstation 4.0, Windows ME и Windows 98. Ее более новые платформы - а именно Windows 2000, Windows XP и Windows Server 2003 - также поддерживают технологию L2TP/IPSec, что расшифровывается как Layer Two Tunneling Protocol вместе с Internet Protocol Security.

PPTP нуждается в менее интенсивной обработке данных, - значит, с PPTP сервер сможет поддерживать больше соединений, чем при использовании более ресурсоемкого IPSec. Оборотная сторона медали состоит в том, что, по признанию Microsoft в ходе организованной ею дискуссии "Планирование безопасности VPN" в TechNet, PPTP-соединение "не гарантирует целостности данных (их неизменности при передаче) или аутентификации источника данных (проверки, что данные посланы авторизованным пользователем)". L2TP/IPSec же, напротив, "обеспечивает наивысший уровень безопасности, конфиденциальность и целостность данных, аутентификацию их источника и защищенное воспроизведение автономно принятой информации".

На что, по вашему мнению, с учетом событий 11 сентября, эпидемии атипичной пневмонии, перебоев в энергоснабжении и т. п., должны быть направлены главные усилия руководителей верхнего эшелона корпораций, отвечающих за безопасность, - особенно с точки зрения гарантий надежности работы ИТ-систем? Как VPN могут поддерживать непрерывность бизнеса?

Экономически разумный подход к проблеме непрерывного функционирования ИТ-систем определяется балансом внешне противоречивых мер. Некоторые из угроз, например негативное воздействие стихийных бедствий, можно отвести, территориально рассредоточив системы; другие же угрозы, такие, как преднамеренные атаки на внешние соединения или физические объекты ИТ-инфраструктуры, минимизируются путем поддержания физически как можно более компактного периметра обороны.

Эффективным решением для минимизации последствий атак на коммуникационные каналы является физически обособленная частная сеть, однако ее построение с целью исключения неприемлемого, наихудшего, но все же маловероятного сценария будет сопряжено с серьезными затратами.

VPN примиряют эти конфликты, если предприятие поддерживает работоспособность защищенных (географически протяженных) каналов связи и в то же время одновременно пользуется общедоступной всемирной IP-инфраструктурой.

Требуют ли VPN дополнительного контроля безопасности?

Вам надо удостовериться, что внешний интерфейс вашего VPN-устройства обслуживает только предназначенные для него протоколы (скажем, IPSec, PPTP или SSL). Нужна внимательность к тому, какие пользователи подключаются к VPN и где они это делают (а также к отказам при подключениях и т. д.). Наибольшее беспокойство должны вызывать те вещи, которые непосредственно не видны. Например, какова система пользователя на другом конце сети - установлены ли на ней свежие обновления безопасности и антивирусная защита? Для этого можно задействовать политики и процедуры, но в ряде случаев необходимо настойчиво проверять, что VPN-политика действительно дошла до каждого клиента.

Насколько надежны предлагаемые рынком "очень недорогие" решения, как, например, VPN-маршрутизаторы по цене $100?

По всей видимости, это системы класса SoHo, подходящие для малого или домашнего офиса. Нельзя забывать, что недорогие устройства обычно лишены функций высокой готовности, скажем, отработки отказов, имеющихся у систем более высокого класса. Но дешевизна имеет и плюсы, так как вы можете приобрести несколько запасных устройств. Конкретный выбор диктуется требованиями к вашей среде со стороны бизнеса.

Многие пользователи хотели бы избавиться от тяжелого ноутбука и обзавестись КПК с Windows CE, чтобы находить информацию и реагировать на нее из дома. Что можно порекомендовать на этот случай, чтобы VPN-коммуникации были максимально безопасными?

Главное, на что непременно следует обратить внимание, это возможности процессора КПК с CE. Для поддержки клиентов IPSec эти процессоры, как правило, слабоваты (даже если такой клиент установлен). Более реальный вариант для карманной аппаратуры - VPN на базе SSL, которые обходятся без специального клиентского ПО.

Что бы вы могли сказать об использовании VPN для дополнения беспроводной ЛВС?

Если защита вашей беспроводной сети будет ограничиваться WEP (Wired Equivalent Privacy), то использование VPN нужно всячески приветствовать. Поместите точки беспроводного доступа снаружи брандмауэра и потребуйте от пользователей входить в сеть через VPN, точно так же, как при Интернет-подключении. Как это заработает в вашей сети, сильно зависит от конкретной сетевой архитектуры.

Расскажите о существующих VPN-решениях на основе открытого исходного кода.

Примерами VPN-решений с открытым исходным кодом являются FreeS/WAN, OpenVPN, CIPE, Poptop и PPP over SSH (протокол PPP поверх протокола удаленных подключений Secure Shell). Советуем обратить внимание на книгу "Building Linux Virtual Private Networks" (www.buildinglinuxvpns.net).

Существует ли для хост-систем ПО типа pcAnywhere, которое бы обслуживало дистанционный доступ и позволяло удаленным пользователям работать со всеми приложениями поверх SSL? В eWeek Labs прикидывали возможности организовать HTML-доступ к некоторым приложениям и пришли к выводу, что результат, как правило, не оправдывает затраченных усилий.

Магического "вебификатора" приложений сегодня не существует. Конкретное решение, объединяющее Web и клиент-серверные приложения, будет разным в зависимости от ваших нужд.