Как да се изгради VPN
Tunneling съобщения чрез защитни стени
Продуктите повечето от най-големите доставчици на защитната стена осигуряват тунелни съобщения. Избрахме двама представители на този сектор на пазара: BorderWare Firewall сървър от Secure Computing и производство Firewall Appliance Технологичн.
Всички тези продукти са базирани на една и съща идея: ако не ви е грижа на всички IP-трафик преминава през защитната стена, тя не струва нищо в същото това време и Кодирай. Но тази идея не е толкова добър, колкото изглежда на пръв поглед. Факт е, че производителите осигуряват тунели на IP трафик, не е толкова тясно, че да се създаде подходяща защитна стена.
BorderWare потребителски интерфейс и процедура конфигурация на Secure Computing са базирани на Java. Плашещо трудно се работи с тях; В допълнение, ние трябваше да се бори не е твърде ясно, документация, за да се възползват от предимствата на неочевидни ключови процедури за събиране на FTP (File Transfer Protocol). Честно казано, очаквахме, че всички тези функции ще бъдат по-интегриран с защитната стена и че разпределена система за контрол ще бъде по-добре организиран.
Въпреки Interceptor от Технологичн е по-разумна цена, и когато се работи с тях не се изисква да използвате FTP за прехвърляне на ключовете при инсталиране на системата, която все още се нуждаят от помощ Технологичен специалист. Тунел спечелил само след експертът направи някои пропуски влязоха в нашата мрежа от разстояние. Проблемът е, че за пореден път, произтича от документи с лошо качество.
И в двата защитни стени сме изправени пред зле замислена системата за контрол. Крайни точки съединения се считат за един домейн; Това изисква внимателно съгласуване на тяхното управление и конфигурация. В двата защитни стени същия канал, конфигуриран да ръчно избран поотделно на всеки край; това не е особено удобно, а често и генерира съобщения за грешка.
Въпреки това, дори и подобрената документация и потребителския интерфейс, няма да спаси тунели, базирани защитни стени. Те се характеризират с много ниска производителност. BorderWare, монтирани върху PC базиран на Pentium-200 показа най-ниската ставка на данни (1.6 Mbit / сек). Прехващач, който е работил по Pentium-166, се оказа малко по-бързо (2.2 Mbit / сек). И в двата случая, продуктите в тестовете проведени никакви други защитна стена функции (например, като филтър или прокси сървъри).
Тунели през защитни стени трябва да се прилага само в определени случаи - този подход е подходящ за малки мрежи при изпращане на малки количества данни в относително статични системи. За всички останали случаи, има по-добри решения, които изискват по-ниска цена, с по-високи нива на защита на данните и по-добра производителност.
Тунели базирани рутери
Идеята за поставяне тунел на защитните стени изглежда доста разумни, но по-очевидна е идеята за използване за тази цел рутери. Маршрутизаторът трябва да премине през всички пакети, които напускат локалната мрежа - така че защо да не го направи, дори и криптиране на данни?
Като пример, използването на криптиране на данните на рутера, който тествахме съответното производство функция IOS система Cisco Systems. Бяхме впечатлени производителност и гъвкавост, предоставена от него. Cisco беше единствената фирма производител, който осигурява в допълнение към криптиране на данните и други функции, VPN. Продуктът на тази компания, наречена RRAS подкрепена капсулиране на AppleTalk, ЛОЗЯ IP, Несвързан Network Proto-колона, DECnet, IP, IPX. (RRAS от Microsoft също ", може да" оформят IPX и IP.)
Забавяне в предаването на VPN комуникационни средства.
Цифрите показват колко пъти закъснението при използване на това решение повече от тази, наблюдавана при референтната конфигурация (да не се използва устройството за VPN в него)
Извършване на VPN ресурси.
Производителност решения се изразява като процент от изпълнението на референтния конфигурация (не използва оборудването за VPN)
Именно тези функции, за да се гарантира максимална защита на данните, и разполагат сериозно устройство за сигурни данни тунелни от прости устройства за предаване на поверителна трафик по интернет.
Въпреки тунели рутери на базата се характеризират с едни и същи потенциални недостатъци както за тунелни базирани защитни стени, ние все още по-впечатлен решения Cisco. криптиране на данните на ниво хардуер, за да се подобри качеството на работа и сравнително ниска цена на монтаж на функции за криптиране и други, по-сложни, VPN функции допълнително увеличава привлекателността на това решение.
софтуерни тунели
Ние разгледахме три софтуерни продукти за тунели. Първите двама, AltaVista тунела под 97 на Digital и RRAS от Microsoft, работещи по стандарт на операционната система - Unix или Windows NT. Структурата на трета продукт, F-Secure Virtual Private Network (VPN) от данни стипендианти, включва своя собствена операционна система.
Продукти Digital и Microsoft е лесно да се оцени и опише. Те позволяват на чисто софтуерно начин за прехвърляне на данни от мрежата си в шифрован вид чрез TCP / IP. AltaVista Тунел от Digital поддържа трансфер на данни от мрежа към мрежа и от клиента към мрежата под Windows NT, BSD / OS, FreeBSD и Digital Unix. RRAS от Microsoft предлага същите функции, но работи само на Windows NT 4.0. И в двата случая, използван софтуер превръща сървъра, на TCP / IP маршрутизатор, която получава шифровани пакети, да ги декриптира и изпраща на локална мрежа за до крайното местоназначение.
RRAS и AltaVista Тунел насочена към мрежовите администратори с бюджетни ограничения. AltaVista Тунел минимална цена е $ 1000. и RRAS на Microsoft е на разположение като безплатно приложение за Windows NT 4.0. Въпреки това, ние открихме, че тези програми работят добре само в малки мрежи с ниско натоварване на сървъра. Те са по-подходящи за отдалечени потребители (клиент-LAN конфигурация) в отдалечени LAN сегменти.
RRAS - по-напреднал продукт от AltaVista тунела. Използването му всъщност прави мрежа сървър в среден клас рутер поддържащ протоколи за маршрутизация RIP (Routing Информация Protocol) и OSPF (Open краткия път Първа). Packet филтриране също е снабден на предварително определени правила (както в защитната стена).
Работата с тези продукти - един чудесен начин да се натрупа опит в използването на тунели. Те могат да се движат по съществуващи сървъри, чиито ресурси се използват за други задачи. За не много натоварен трафик, особено когато е необходимо да се осигури връзка на отдалечени клиенти на локални мрежи, е възможно да се започне с инсталирането на RRAS или AltaVista тунел.
Продуктът F-Secure VPN от данни стипендианти има необикновена архитектура. Тя включва графичен потребителски интерфейс базиран на Windows 95 / NT, с което създаде мрежа от криптирани тунели. След това създадете стартиращ дискета за Intel-базирани компютри. Ако системата ботуши от дискета, компютърът е в състояние да работи само като специализиран VPN-система.
Този подход се междинно положение между хардуерни и софтуерни тунели. За съжаление, той наследил недостатъци на двата подхода. На главата на администратора на мрежата оскърбява всички трудности и разходи, свързани с изграждането на системата за хардуер. В допълнение, предимствата на чисто софтуерна система, като например възможността за споделяне на ресурси и намаляване на разходите, а не на всички. F-Secure VPN е на стойност $ 2500. както и с всяка специализирана система не позволява да се използва оборудването за други цели. Това решение е главно да се привлече вниманието на мрежови администратори в училищата, където наличието на евтина работна ръка и 50% отстъпка от данни стипендианти ще служат като оправдание за неудобството, свързано с употребата му.
хардуерни тунели
Като цяло, най-вече ни хареса разтвор хардуерно криптиране. Този, който е силно загрижен за защитата на данните, дори когато прехвърлянето в рамките на една и съща сграда, най-добре е да се възползвате от Cipro Radguard. Тази компания наистина се грижи за защита на данните. Все пак, имайте предвид, че Ravlin от RedCreek струва около два пъти по-много по-бързо и осигурява връзка с режим "клиент мрежа". Ако вашата организация е инсталирал на Cisco от висок клас, много добър вариант е да се използва ESA. Висока производителност и лесно преобразуване на съществуващите комуникационни канали до криптирани данни надхвърлят сложността на системата за контрол на интерфейса.
изграждане на VPN означава Сравнителни характеристики