Панкай Чоудри, Джим Рапоза (PC Week Labs)
PC Week Labs проводит сравнительный анализ проектов ВЧС, отобранных оборонным ведомством
Тестовый центр PC Week Labs анализирует в этой статье шесть проектов виртуальных частных сетей (ВЧС), отвечающих требованиям Defence Advanced Research Projects Agency - DARPA (Агентство перспективных исследовательских проектов Министерства обороны США), которые были изложены в его заявке. Эффективность предложенных решений оценивалась исходя из критериев DARPA.
Большинство компаний, предложивших проекты ВЧС для оборонного ведомства, попытались решить задачу упрощенно. Например, только в одном из шести проанализированных нами решений, а именно в пакете фирмы International Systems Marketing, были использованы сертификаты, полностью отвечающие стандарту X.509. Конечно, ВЧС еще пребывают в младенчестве, и потому естественно желание не рисковать в ответственном проекте.
Мы обнаружили и разную меру соответствия протоколу IPSec (IP Security), хотя почти все без исключения претенденты проявили стремление следовать его спецификациям. Думается, что борьбу за чистоту стандартов лучше отложить на будущее, что позволит компаниям смешивать оборудование разных производителей.
В ходе исследования мы убедились в том, что ценность проектов зависит не столько от отдельных аппаратурных или программных компонентов, сколько от их эффективной интеграции.
ИТ-менеджерам следует иметь в виду, что стартовые расходы на реализацию ВЧС-проектов, подобных рассматриваемым в этой статье, составляют не меньше 75 000 долл., причем затраты стремительно растут в зависимости от уровня сервиса и специфических требований клиента.
Проект фирмы Computer Generated Solutions
Группа под руководством фирмы Computer Generated Solutions предложила проект ВЧС, обещающий высокий уровень сервиса, круглосуточный мониторинг и бесперебойную работу сети.
Пакет CGS представляет собой стандартизованное и законченное решение, пригодное для многих компаний, которые хотели бы иметь минимум забот с управлением ВЧС.
Однако этот вариант вряд ли подойдет организациям типа DARPA, которым нужен полный контроль над такими критическими показателями как правила фильтрации пакетов и администрирование прав пользователей.
CGS выполнила основную часть работы для DARPA в сотрудничестве с подразделением Business Internet фирмы Intermedia. Решение включает в себя аппаратный брандмауэр корпорации Nokia и защитное ПО FireWall-1 фирмы Check Point Software Technologies. Программный брандмауэр Check Point функционирует в устройстве Nokia, причем последнее, будучи маршрутизатором, позволяет установить модули высокоскоростного последовательного интерфейса.
В проект CGS входит система круглосуточного дистанционного мониторинга и предупреждающих сообщений фирмы Intermedia. Внешняя поддержка такого уровня подошла бы многим компаниям, однако DARPA нужен полный доступ ко всем функциям ВЧС-системы, что несовместимо с поддержкой со стороны Intermedia. DARPA хотело бы полностью контролировать свою ВЧС при ограниченном внешнем доступе к сети, а вариант Intermedia, как мы убедились, этого не обеспечивает.
Для соединения с Интернетом и подключений через телефонные линии используется устройство фирмы Digex, предлагаемое Intermedia и способное поддерживать (если есть такая возможность) высокоскоростные соединения на базе ISDN и ADSL. CGS предложила для Интернет-доступа две службы, SuperT и DS-3, со скоростями передачи соответственно 9 и 12 Мбит/с.
Чтобы облегчить подключение мобильных пользователей, находящихся в разных частях страны, по модему, CGS предложила использовать клиент SecuRemote корпорации CyPost, который автоматически находит местного платного Интернет-провайдера (ISP). Однако для поддержки этого средства требуется установить новый комплект программ Winsock фирмы Trumpet Software International, что создает некоторые трудности при модернизации клиентских систем.
Для аутентификации пользователей в DARPA используют идентификационный код SecurID, и решение CGS обеспечивает хорошую поддержку этой технологии. Это неудивительно, так как среди партнеров CGS был создатель SecurID - фирма Security Dynamics Technologies.
Однако мы обнаружили, что пользователи, находящиеся внутри корпоративной сети, “не видят” своего сетевого окружения. Мы сталкивались с подобной же проблемой в других проектах, где использовался брандмауэр Check Point.
CGS предложила такую услугу, как административная поддержка ВЧС и обучение персонала службы помощи DARPA. Последнее предполагает регулярный обмен сообщениями электронной почты с группой помощи, зашифрованными с помощью приложения Navaho Lock корпорации CyPost.
Как ни удивительно, но при всей интенсивности трафика данных DARPA фирма CGS предложила дополнить проект криптозащищенными телефонными каналами для организации голосовой связи между службами помощи DARPA и CGS.
Проект компании Information Access Technologies
Хотя Information Access Technologies небольшая и довольно молодая компания, она сумела создать для DARPA интегрированное решение, способное конкурировать с предложениями признанных тяжеловесов в сфере ВЧС.
Основу проекта IAT для DARPA составляют мощные устройства Contivity Extranet Switch 4000 фирмы Nortel Networks и отличный ISP-сервис, предоставляемый фирмой PSINet. Это решение заслужило немало высоких оценок в тестах на безопасность, администрирование и простоту реализации.
Одним из главных достоинств проекта ВЧС фирмы IAT является коммутатор Contivity. Во время испытаний это устройство продемонстрировало отличные способности поддержки ВЧС, гибкие средства администрирования и мониторинга и возможность подключаться к LDAP-каталогу DARPA (Lightweight Directory Access Protocol) для аутентификации пользователей.
В отличие от других предлагаемых решений пакет IAT предоставляет пользователям ВЧС простой доступ ко всем сетевым ресурсам. IAT и PSINet также могли бы гарантировать DARPA полный административный контроль над коммутатором.
Проект IAT обеспечивает весь персонал DARPA, работающий на дому, скоростным дистанционным ISDN-доступом. Удаленные пользователи могут воспользоваться ISDN-маршрутизаторами Nortel Nautica Clam, а владельцам переносных ПК потребуются ISDN PC-карты Diva фирмы Eicon Technologies. Проект предполагает модернизацию каналов связи с использованием технологии DSL, которая уже становится доступной за пределами окрестностей Вашингтона.
Такого рода компромисс неизбежен для большинства проектов ВЧС, поскольку широкополосный доступ пока остается мечтой, а ISDN - это реальность. Максимум, на что можно рассчитывать, это будущий переход на DSL.
Проект IAT отличает превосходный дизайн ВЧС, экранирующий сеть DARPA от Интернет-коммуникаций.
Данное решение не требует от пользователей особых навыков, отличных от тех, что приходится применять в ЛВС, поскольку проект сети и устройства Contivity позволяют ВЧС корректно пропускать такие нетрадиционные пакеты, как NetBIOS. Это дает пользователям возможность подключать разделяемые ресурсы, используя их имена, и производить поиск в сетевом окружении.
PSINet предложила DARPA доступ в Интернет по неполному (fractional) каналу T-3 с скоростью 9 Мбит/с, что вполне обеспечит одновременную работу 50 пользователей.
Проект фирмы International Systems Marketing
Основные достоинства пакета фирмы International Systems Marketing - его высокая надежность и непроницаемая защита. Проект ISM включает в себя шифрование информации на клиентских жестких дисках, резервирование серверов защиты корпорации KyberPass и брандмауэров Raptor фирмы Axent Technologies, а также маршрутизацию трафика с использованием балансировщика нагрузки FireProof фирмы Radware.
Для доступа в Интернет ISM предложила услуги фирмы Verio, предоставляющей 4 Мбит/с подключение через маршрутизатор 3640 фирмы Cisco Systems. Нас несколько удивило, что, гарантируя избыточность во всех компонентах системы, ISM предлагает единственный канал связи с Интернетом и маршрутизатор. Однако избыточный вариант доступа в Интернет не предложил ни один из поставщиков решений.
Хотя пакет ISM из всех рассмотренных нами проектов обеспечил наивысший уровень защищенности, он одновременно оказался и самым сложным. Например, на клиентах он требует установки не только клиентской части ПО доступа, но и продукта Axent PC Shield, который обеспечивает криптозащиту файлов на жестких дисках каждого пользователя.
ISM использует Axent PC Shield для защиты маркера, хранимого на каждом клиентском переносном ПК. Дополнительное ПО само по себе создает трудности, а тут еще требуется шифрование, и значит, администраторам придется иметь дело с лишним набором криптоключей.
ISM разместила брандмауэры непосредственно перед серверами ВЧС. Эти брандмауэры сконфигурированы так, чтобы пропускать лишь фирменный протокол серверов KyberPass, изолируя сеть DARPA. Для большинства компаний такой уровень защиты, вероятно, окажется излишним, однако для DARPA он необходим.
В отличие от большинства интеграторов ISM выбрала инфраструктуру открытых ключей (PKI), полностью совместимую со стандартом X.509. Хотя у администраторов могут появиться лишние заботы, нам кажется, что это гарантирует масштабируемость данного решения.
Используя ПО Directory Server и Certificate Server корпорации Netscape Communications, ISM построила расширяемое решение, способное поддерживать сотни и тысячи пользователей. Компаниям, которые заинтересованы в создании не только ВЧС, но и экстрасетей, охватывающих бизнес-партнеров и клиентов, развертывание инфраструктуры X.509 позволит сэкономить массу времени.
Решение ISM - это хороший выбор для организаций, озабоченных проблемами безопасности и желающих расширить доступность своих сетевых ресурсов.
Однако, поскольку системы KyberPass не поддерживают такие продвинутые службы, как “раздвоенная” система доменных имен (DNS), обеспечивающая разрешение www-имен внешними DNS-серверами и одновременно поддерживающая внутренние DNS-серверы с неименованными общедоступными ресурсами, это решение малопригодно для компаний, нуждающихся в доступе к DNS как изнутри, так и снаружи брандмауэра.
Хотя решение ISM, и в особенности KyberPass, поддерживает великое множество стандартов, ISM допустила оплошность, не обеспечив поддержку протокола IPSec. Она также отказалась от реализации алгоритма Data Encription Standart, выбрав вместо него общедоступный алгоритм шифрования Cast, который более эффективен, но не является стандартом.
Предложение Network Access Solutions
Корпорация Network Access Solutions сумела доказать, что хорошие вещи могут занимать мало места. Малые размеры устройств, привезенных NAS в DARPA, вызвали скептические усмешки, но лишь поначалу, так как тесты DARPA показали, что ВЧС-аппаратура Ravlin 10 фирмы RedCreek Communications способна обеспечить самую высокую производительность и хорошие возможности дистанционного управления.
Действительно, дистанционное управление, поддерживаемое ПО RavlinSoft фирмы RedCreek, позволяет отслеживать и управлять доступом персонала компании в Интернет и ВЧС непосредственно на уровне сервис-провайдера.
К реализации своего проекта NAS привлекла Интернет-провайдера Electric Lightware. Помимо этого, NAS участвует в проекте корпорации V-One, выполняя роль DSL-провайдера.
NAS и Electric Lightware предлагают обеспечить сотрудников DARPA, работающих на дому, IDSL-соединениями со скоростью передачи 128 кбит/с. При этом предусматривается, что в ближайшем будущем пользователи смогут перейти на более быстрые соединения DSL.
Мобильные пользователи получают доступ к ВЧС, используя 56 кбит/с модемы стандарта V.90, однако в отличие от других интеграторов Electric Lightware не может предоставить локальные телефонные номера за пределами окрестностей Вашингтона, и все мобильные подключения производятся через номера, начинающиеся с цифр 800.
Это значительно повышает стоимость поддержки мобильных пользователей, особенно тех, кто проводит много времени в регионах, где недостаточно локальных телефонных номеров.
NAS готова обеспечить DARPA соединение с Интернетом на скорости 4,5 Мбит/с с возможностью увеличения ее до 12 Мбит/с.
NAS также предложила установить в сети DARPA устройство Access фирмы Sonoma Systems, соединив его с мультисервисным ГВС-коммутатором CBX 500 фирмы Ascend Communications, имеющимся у Electric Lightware, что при использовании виртуальных каналов обеспечит качество сервиса уровня выделенной линии.
NAS и RedCreek обеспечивают хороший уровень интеграции со службой помощи DARPA и ее поддержку, а также предлагают возможность впоследствии перейти на более новую аппаратуру Ravlin 7100.
Проект корпорации Sprint
Компаниям, заинтересованным в комплексном и необременительном решении, подойдет проект корпорации Sprint. Его ключевым элементом является Service Management Center корпорации Sprint, который может взаимодействовать с собственной службой помощи компании и обеспечивать поддержку ВЧС в соответствии с нуждами пользователей.
Другой важный момент связан с тем, что, хотя Sprint может взять на себя максимум забот по управлению, заказчик вправе отказаться от определенных компонентов пакета, например брандмауэра.
Sprint оказалась единственной среди компаний-интеграторов, предложившей ценовую схему исходя из стопроцентной гарантии безотказности. Sprint устанавливает избыточные жесткие диски в рабочую станцию Ultra 60 фирмы Sun Microsystems, работающую в среде Solaris. Используя фирменное ПО, Sprint отслеживает работу Ultra 60 и при малейших признаках сбоев высылает технического специалиста.
Для пользователей с модемными соединениями Sprint предлагает услуги фирмы EarthLink Network, имеющей свои службы во многих регионах страны. В этом виде услуг нет ничего необычного, однако они выделяются своим уровнем управления. Пользовательская система администрирования на базе Web позволяет персоналу DARPA добавлять и удалять мобильных пользователей. Другие проекты требовали, чтобы DARPA связывалось по телефону или электронной почте с администратором провайдера модемного доступа, управляющим учетными записями пользователей.
Для доступа в Интернет Sprint предложила мультиплексированную линию T-1 с суммарной скоростью передачи 3 Мбит/с. Компания использует инверсный мультиплексор 3800 корпорации DigitalLink, соединенный с устройством Cisco 3620. Это решение позволяет масштабировать скорость передачи до 12 Мбит/с, что, по-видимому, необходимо для поддержки одновременной работы 50 пользователей.
FireWall-1 фирмы CheckPoint полностью поддерживает протокол IPSec и совместим с большинством PKI-систем. Единственным недостатком FireWall-1, с которым мы столкнулись, была его неспособность корректно взаимодействовать с протоколом NetBIOS, что исключает возможность видеть и использовать сетевое окружение.
Проект корпорации V-One
Корпорация V-One предложила решение, сочетающее хорошую производительность и простоту в использовании. Собственным вкладом V-One стала ее патентованная система онлайновой регистрации (OLR), которая значительно упрощает доставку индивидуальных маркеров каждому пользователю. OLR позволяет аутентифицировать пользователей на сервере V-One SmartGate, одновременно наделяя их защищенными маркерами с помощью специального засекреченного механизма.
Решение на базе SmartGate оказалось, по нашим исследованиям, одним из наиболее простых для администрирования, оно давало возможность контролировать все пользовательские действия с центральной консоли. Очень гибок и клиент ВЧС, позволяющий использовать протокол IPSec на сетевом уровне или механизм прокси-агента на сеансовом уровне. Столь большая гибкость одного клиента может упростить администрирование, особенно когда нужно обеспечить доступ разных групп пользователей к приложениям на базе прокси-механизма, например SQLNet.
V-One придется кое-что доработать в области стандартов. Ее решение неполностью совместимо с IPSec и не поддерживает стандарт Internet Key Exchange. В проекте V-One также отсутствует поддержка протокола LDAP, хотя пакет может взаимодействовать с такими PKI-решениями, как Entrust.
V-One объединилась с фирмой Epoch для обеспечения доступа в Интернет и с NAS для предоставления доступа по технологии DSL. (О собственном проекте NAS сказано выше.)
Большим достоинством проекта V-One является использование сети CuNet фирмы NAS. CuNet обеспечивает DSL-доступ на территории Вашингтона, что позволяет обойтись без DSL-услуг корпорации Bell Atlantic.
V-One предложила установить свое ПО SmartGate на сервере Windows NT без каких-либо средств резервирования. Это не внушает такого же доверия, как те решения, где, по крайней мере, используются дублирующие жесткие диски.
ВЧС на базе аутсорсинга: исходные требования
В апреле этого года DARPA сделало заявку на проекты ВЧС. При всей строгости ведомственных стандартов безопасности суть была весьма проста - DARPA нуждается в ВЧС, эффективно обеспечивающей персоналу агентства удаленный доступ. PC Week Labs рассматривает здесь основные требования DARPA и рекомендует ИТ-менеджерам способы использования критериев DARPA при построении безопасных, экономичных и современных ВЧС.Не нужно изобретать колесо. Того, кто в чем-то оказался первым, называют первопроходцем, но того, кто первым внедрил новое решение в области безопасности, скорее всего можно назвать отчаянной головой. Полагайтесь на то, что уже проверено, - на промышленные стандарты, которые прошли экспертизу и тестирование.Частично аутсорсинг можно доверить сторонним фирмам. Но при высоких требованиях к безопасности контроль за ВЧС лучше оставить за собой, поскольку нет достаточного времени для выполнения полного аудита защиты, обеспечиваемой ISP- или ВЧС-провайдером.Это, пожалуй, последняя из серии трудностей, с которыми встречается любая компания, и теперь решение данной проблемы все чаще сводится к телефонному звонку в службу помощи ISP. Ваш вариант ВЧС должен предусматривать надежных партнеров, на которых можно переложить основные заботы с поддержкой, и тогда ваши службы помощи смогут заниматься собственными вопросами.DARPA необходимы современная индустриальная инфраструктура, службы поддержки и соответствующее этому требованию общедоступное коммерческое ПО.
Трафик ВЧС должен быть независим от существующей службы Интернет-сервиса DARPA, стандартных маршрутов и внутреннего сетевого трафика.
DARPA необходим собственный административный контроль за всеми системами, присоединенными к внутренней сети организации.
Решение должно гарантировать возможность будущего расширения службы с учетом роста числа одновременных активных подключений и внешних пользователей, а также допускать внедрение новых технологий.
Решение обязано обеспечить круглосуточную поддержку пользователей, чтобы избавиться от проблем с подключением к сети; каждый пользователь имеет право на немедленную помощь при проблемах с удаленным доступом.
Одобренное решение должно полностью обеспечить работу 20 пользователей ВЧС в срок 120 дней после заключения контракта и работу 150 пользователей до истечения первого года контракта.Как показало использование DARPA технологии Stealth, одним из средств безопасности является закрытость, которая не только защищает важные данные от любопытных глаз, но и гарантирует надежность. ВЧС основаны на передовой технологии, не всегда хорошо совместимой с традиционными маршрутизаторами и топологиями сети. ВЧС и обычный доступ в Интернет должны быть как можно лучше отделены друг от друга.ВЧС непрерывно развиваются, а устаревшие технологии никому не нужны. Хорошее решение должно легко адаптироваться к новым технологиям и обеспечивать масштабируемость в расчете на быстрый рост числа пользователей и расширение полосы пропускания.Любые аутсорсинговые решения критически важных корпоративных проблем предполагают четкие временные рамки. Поэтому ошибки в реализации проекта или его отдельных частей должны исправляться в кратчайшие сроки.
ВЧС на базе аутсорсинга: итоговые оценки
Фирма Computer Generated Solutions
Клиентская конфигурация и безопасность C
Интеграция ВЧС и сети C
Сервис доступа в Интернет B
Отчеты и управление C
Интеграция со службой помощи B
Фирма Information Access Technologies
Клиентская конфигурация и безопасность B
Интеграция ВЧС и сети A
Сервис доступа в Интернет B
Отчеты и управление A
Интеграция со службой помощи C
Фирма International Systems Marketing
Клиентская конфигурация и безопасность C
Интеграция ВЧС и сети B
Сервис доступа в Интернет B
Отчеты и управление B
Интеграция со службой помощи C
Корпорация Network Access Solutions
Клиентская конфигурация и безопасность B
Интеграция ВЧС и сети A
Сервис доступа в Интернет C
Отчеты и управление A
Интеграция со службой помощи B
Корпорация Sprint
Клиентская конфигурация и безопасность C
Интеграция ВЧС и сети C
Сервис доступа в Интернет A
Отчеты и управление B
Интеграция со службой помощи A
Корпорация V-One
Клиентская конфигурация и безопасность A
Интеграция ВЧС и сети B
Сервис доступа в Интернет C
Отчеты и управление B
Интеграция со службой помощи A
ПОЯСНЕНИЕ.
Клиентская конфигурация и безопасность: возможность настройки клиентов и блокировки опций защиты. Интеграция ВЧС и сети: простота внедрения ВЧС в существующую инфраструктуру сети и возможность работы программных и аппаратных средств ВЧС в сети. Сервис доступа в Интернет: предлагаемые скорости соединения, масштабы сети ISP, виды Интернет-услуг (например, публикация в Web). Отчеты и управление: возможность администрирования и мониторинга ВЧС и обработки пользовательских записей. Интеграция со службой помощи: возможности взаимодействия служб поддержки интегратора и Интернет-сервис-провайдера со службой помощи заказчика, а также вопросы обучения персонала.
A-отл., В-хор., С-удовл.
