главная - Статьи - Удаленный доступ (VPN)
VPN: не все йогурты одинаково полезны…
Кухтин С.Г.
Технология виртуальных частных сетей завоевала определенный сегмент рынка, который в последнее время интенсивно расширяется.
Организации, столкнувшись с проблемой защиты своих сетей, видят, как правило, в VPN панацею от всех бед. Однако на практике все оказывается не так уж безоблачно. Нередко после инсталляции всплывали особенности, на которые вначале не обращалось внимания, и нередко они вносили значительные изменения в штатную работу сети.
Основными задачами этой статьи являются попытка рассмотреть проблемы, возникающие в сети после внедрения VPN, и рекомендации по выбору ее оптимальной реализации.
Напомним вкратце суть технологии. Принцип работы виртуальных частных сетей заключается в туннелировании передаваемого трафика через сеть общего пользования, например, Интернет. Реализация технологии осуществляется на основе специальных устройств - криптошлюзов, которые кроме этого скрывают структуру локальной сети, защищают от проникновения извне, осуществляют маршрутизацию трафика. VPN выгодно отличается при сравнении с традиционным решениями на основе выделенных каналов - гибкость и масштабируемость сети, более низкая стоимость, высокий уровень защищенности передаваемой информации.
Естественно, что эти преимущества не остались незамеченными потребителями. Рынок стремительно расширяется, устройства VPN есть в линейке моделей практически любого крупного производителя телекоммуникационного оборудования. Однако внедрение виртуальных частных сетей имеет свои особенности.
Оценка степени влияния
При работе виртуальных частных сетей криптошлюзы осуществляют преобразование трафика, при этом многие характеристики с точки зрения конечного пользователя меняются не лучшую сторону. Интеграция VPN вносит следующие изменения в работу сети:
- Снижение пропускной способности сети
- Накладные расходы на преобразование трафика
- Задержки при передаче пакетов
Рассмотрим подробнее эти параметры.
Снижение пропускной способности сети возникает по разным причинам. Первая заключается в недостаточной производительности самого криптошлюза, хотя, как правило, при выборе таких устройств этому параметру уделяется большое внимание. Устройства VPN должны обладать достаточной пропускной способностью для того, чтобы минимизировать свое влияние при передаче информации в сети.
Вторая причина определяется типом трафика и обусловлена накладными расходами на преобразование трафика. Они возникают при обработке пакета за счет добавления нового IP-заголовка к туннелируемому пакету. Эта величина зависит от протокола, используемого в системе, и составляет фиксированное количество байт. Дополнительная нагрузка на сеть определяется процентным приростом длины пакета по отношению к исходной. В этом и заключается причина снижения пропускной способности в зависимости от типа трафика.
Например, широко известный протокол IPSec добавляет (для алгоритма ГОСТ 28147-89) при преобразовании минимум 54 байта. Для IP-пакета длиной 1500 байт (стандартный пакет передачи данных) прирост составит порядка 4%, а для 56 байтного пакета (IP-телефония) - накладные расходы составят уже около 100%.
На российском рынке некоторые компании представляют протоколы собственной разработки (например, протокол шифрования данных семейства криптомаршрутизаторов "Континент-К"). Как правило, они лишены многих недостатков IP-Sec, имеют меньшее увеличение длины пакета, нередко также используют режим сжатия полей данных и/или заголовка.
Задержки при передаче пакетов обусловлены многими причинами. Роль VPN здесь далеко не всегда является доминирующей, ведь задержки определяются работой узлов на различных уровнях - от физического до транспортного. При условии работы через Интернет основными местами возникновения задержек являются узлы доступа к Интернету и шлюзы между провайдерами.
Устройства VPN вносят два типа задержек - прямую и косвенную. Первая обусловлена временем обработки пакета и зависит только от характеристик самого устройства. Вторая может возникать за счет увеличения трафика в канале из-за накладных расходов при туннелировании.
Рекомендации при выборе VPN
Рассмотренные нами параметры нередко оказывают большое влияние на работу стандартных сетевых сервисов. В настоящее время, как правило, организации приходят к выводу о потребности в защите информации, когда корпоративная сеть уже есть. И реализация VPN происходит в жесткой привязке к существующей структуре и параметрам сети. Здесь-то и кроются подводные камни.
Весьма важно перед проектированием VPN оценить степень влияния на существующие или планируемые сервисы в корпоративной сети.
Одним из характерных примеров в данной ситуации является функционирование систем сбора технологических параметров и диспетчерского управления (SCADA), предназначенных для предприятий в электроэнергетической, добывающей и других подобного рода отраслях. Эти системы обеспечивают управление производственными процессами в режиме реального времени. Критичность к временным задержкам при этом весьма высока. Несмотря на отсутствие единых стандартов, передаваемые пакеты достаточно короткие, и, соответственно, при внедрении виртуальных частных сетей трафик пропорционально возрастает.
Еще одним примером является IP-телефония. Несмотря на скептические замечания специалистов, эта технология сумела занять свою нишу на рынке и продолжает активно развиваться. Передаваемые IP-пакеты имеют длину 56 байт (Стандарт H.323). Теперь представим себе, что в существующую сеть, изначально не рассчитанную на какое-либо вмешательство, мы пытаемся интегрировать VPN. Каждый пакет при преобразовании снабжается новым заголовком, при этом, например, для IPSec, как уже упоминалось, увеличение пакета составит более 100%. А теперь представите себе, как будет работать канал при передаче таких пакетов.
Вышесказанное актуально также для передачи телеконференций через IP и, в принципе, любых сервисов, использующих короткие пакеты и критичных к задержкам при их пересылке.
Решение данной проблемы возможно в двух направлениях. Вариант быстрый, но дорогой - увеличение пропускной способности канала. Он позволяет снять многие проблемы, но… Затраты на аренду каналов связи вырастают минимум вдвое. Для большой сети это весьма значительная сумма, и не каждая организация пойдет на это.
Однако есть другой вариант. Он заключается в использовании протоколов с минимальными накладными расходами на туннелирование. При этом остальные параметры устройств VPN должны соответствовать требованиям заказчика.
Проблемы функционирования корпоративной сети после интеграции VPN вовсе не ограничиваются периодом инсталляции и настройки. Есть ряд факторов, которые возникают при штатной работе и требуют к себе внимания.
Во-первых, следует четко представлять концепцию работы системы. Основной акцент делается именно на безопасности, поэтому очень важен выбор протоколов, алгоритмов шифрования трафика, ключевых схем. Эти параметры обуславливают защитные свойства VPN и удобство мониторинга и управления сетью. Как правило, ищется компромиссное решение, удовлетворяющее с точки зрения безопасности и с точки зрения удобства эксплуатации сети. Эта тема весьма обширна и требует более детального анализа, мы же рассмотрим пример, актуальный для практического использования VPN.
Одним из показателей работы сети является ее реакция на возникновение аварийных и сбойных ситуаций. Российская специфика накладывает свой отпечаток - криптошлюзы, особенно на периферии, должны быть надежны и неприхотливы в обслуживании. И если при сбое связи с сетью практически все VPN-устройства (например, Cisco PIX Firewall, Check Point VPN-1, "Континент-К" и другие) автоматически восстанавливают связь, то при падении напряжения и последующей перезагрузке некоторые устройства не активизируются без предоставления ключевой информации, которая, как правило, находится в центральном офисе. А теперь можно прикинуть среднее расстояние между центральным офисом и удаленным филиалом и умножить на российские условия. Результат - долговременное отключение сегмента VPN, простой в работе приложений, потерянные деньги, упущенные выгоды.
Вывод: если ваша сеть критична к простоям, необходимо выбрать VPN, не требующий присутствия оператора. Их основной принцип - сохранение ключевой информации в зашифрованном виде на самом криптошлюзе. При восстановлении штатных условий работы такой криптошлюз автоматически подключается к сети.
Интеграция виртуальных частных сетей в действующую сеть организации - процесс непростой и ответственный. Большое значение имеет правильный выбор продукта, наиболее полно удовлетворяющий функционированию данной сети - ошибки могут обойтись очень дорого. И если на основные характеристики продуктов VPN: производительность, алгоритмы шифрования, ключевая схема, - покупатель обращает пристальное внимание, то остальные характеристики нередко остаются за кадром. В силу интенсивного развития рынка VPN тема эта далеко не исчерпана, и автор рассчитывает еще вернуться к ее обсуждению.
Об авторе:
Сергей Геннадиевич Кухтин, ведущий специалист Научно-инженерного предприятия "ИНФОРМЗАЩИТА" (Москва). Связаться с ним можно по тел. (095) 289-8998 или e-mail: SergeK@infosec.ru, май 2001 г., www.infosec.ru
Авторизуйтесь для добавления комментариев!