VPN в примерах. Часть 1: готовое решение от Lucent

В последнее время бизнес стал в значительной степени территориально распределенным, многие компании имеют свои филиалы, а те, которые таких филиалов не имеют, активно взаимодействуют с партнерами из других городов и стран. Эта территориальная удаленность привела к активному внедрению в бизнес-процессы интернет-технологий и систем электронного документооборота как внутри одной компании, так и между фирмами. А значит, огромную важность приобрели вопросы передачи данных и информации с гарантированным уровнем обеспечения целостности, защищенности и доступности. При этом персоналу, отвечающему за инфокоммуникации в компании, приходится решать следующие задачи.

  • Соединение сайтов через интрасети:соединение различных объектов (филиалов, отделений) с использованием недорогих IP-сетей, заменяющих выделенные каналы и frame relay.
  • Безопасный удаленный доступ:не просто аналоговый или ISDN доступ к корпоративной сети, но еще и возможность использования высокоскоростных кабельных модемов, спутниковой связи и DSL.
  • Партнерская внешняя сеть:быстрое установление защищенных соединений с бизнес- партнерами, поставщиками, клиентами, правительственными организациями.

На практике весь этот комплекс задач реализуется путем внедрения виртуальных «частных» сетей (Virtual Private Network, VPN, или в русском варианте — ВЧС), которые обеспечивают взаимодействие на основе виртуальных каналов в существующих открытых компьютерных сетях.
Lucent Technologies имеет в своем арсенале линию Lucent Secure VPN, продукты и системы управления которой образуют наиболее функциональную структуру для построения ВЧС для предприятий.

В состав Lucent Secure VPN входит клиентское программное обеспечение IPSec Client, маршрутизаторы ВЧС, шлюзы и межсетевые экраны ВЧС, а также системы централизованного управления правилами, облегчающие процесс настройки и предоставляющие пользователю расширенный контроль над сервисными функциями виртуальной частной сети. В качестве интегрированных маршрутизаторов ВЧС Lucent предлагает устройства семейства Access Point, SuperPipe и Pipeline, из которых для установки в сети можно выбрать систему, наиболее отвечающую имеющимся запросам по производительности. Аналогичный подход необходим при выборе шлюза для защищенных ВЧС из устройств серии Lucent VPN Firewall Brick. Для обеспечения централизованного управления на базе правил применяется сервер управления безопасностью Lucent Security Management Server (LSMS) и ПО QVPN Builder. В качестве интегрированного клиентского программного обеспечения, отвечающего за аутентификацию пользователя и выполнение правил безопасности, используется программный продукт Lucent IPSec Client.

Продукты серии Lucent Secure VPN удовлетворяют всем сложившимся к настоящему времени стандартам:

  • Протокол IPSec: с шифрованием 3DES, DES и RC4.
  • Аутентификация: SHA-1 и MD5.
  • Ключи шифрования: автоматическое управление с использованием спецификаций IKE (Internet Key Exchange) и
  • PKI (Public Key Infrastructure).
  • Цифровые сертификаты: X.509v3 и шифрование SSL (Secure Socket Layer) для защиты web- администрирования.
  • Межсетевой экран: интегрированный экран с сертификатом ICSA.

Теперь, когда мы определились с теми продуктами, которые входят в состав решений для организации разного масштаба виртуальных частных сетей, можно перейти к более детальному рассмотрению всех составляющих.

шлюзы ВЧС и клиентское ПО

Шлюзы Lucent VPN — это экономичное решение, включающее надежный межсетевой экран и, в качестве опции, аппаратное шифрование данных. Управление шлюзами осуществляется централизованно и масштабируется для поддержки до тысяч программных клиентов IPSec Client, установленных на удаленных и мобильных компьютерах. Семейство шлюзов ВЧС Lucent VPN Firewall Brick насчитывает четыре устройства: Firewall Brick 20, Firewall Brick 80, Firewall Brick 201 и Firewall Brick 1000. Все они, обладая общей функциональностью, отличаются производительностью и, соответственно, областью применения, и ценовым параметрам.

Основная отличительная черта шлюзов Lucent VPN – тесная интеграция с надежным межсетевым экраном, имеющим сертификаты ICSA и NSA, а также встроенные средства аутентификации и контроля доступа, использующие лучшие в своей категории решения на базе стандартов.

Шлюз VPN Firewall Brick 201 представляет собой специализированную платформу с аппаратным шифрованием, обеспечивающую пропускную способность 75 Мбит/с для шифрованного трафика 3DES при 2000 параллельных туннелей и 125 Мбит/с для нешифрованного трафика при 100000 параллельных туннелях. В шлюзах Lucent VPN используется собственная операционная система, в которой устранены недостатки защиты стандартных ОС. Активную защиту можно усилить при помощи интегрированных систем обнаружения атак и проверки безопасности.

В свою очередь программный клиент IPSec Client – это мощное, доступное решение ВЧС, которое может использоваться на мобильных, удаленных и офисных компьютерах. IPSec Client включает средства шифрования (DES/3DES) и аутентификации (MD5/SHA1), а также поддерживает аутентификационные системы RADIUS и SecurID на базе одноразовых паролей (one-time token). Когда клиент соединяется с любым шлюзом из линии Secure VPN, он производит автоматическую, прозрачную аутентификацию пользователя и выполняет правила безопасности. Правила могут разрешать или запрещать установление соединений, определять соединения, которые должны шифроваться с передачей по защищенному каналу или разрешать передачу открытым текстом. Строгое соблюдение привилегий доступа обеспечивается централизованным управлением конфигурацией через сервер LSMS (Lucent Security Management Server).

маршрутизаторы ВЧС Access Point и Pipeline/SuperPipe

Другой класс оборудования, представленный в линии Lucent Secure VPN — это маршрутизаторы Access Point и Pipeline/SuperPipe. Их отличительная особенность — единая сервисная платформа, построенная с учетом требований производительности, масштабируемости, простоты управления и соотношения цены и производительности, в которой реализованы функции маршрутизации, управления полосой пропускания, ВЧС и межсетевого экрана.

Маршрутизаторы ВЧС линии Pipeline предназначены для региональных офисов и удаленных сотрудников, для установки у клиентов или партнеров. Они характеризуются хорошим соотношением цены и качества, низкой стоимостью владения, а также масштабируемостью, которая позволяет использовать их в различных условиях – от домашних офисов с одним пользователем до региональных отделений практически любого масштаба.

Маршрутизаторы Pipeline и SuperPipe со встроенным межсетевым экраном обеспечивают доступ ГВС, маршрутизацию, туннелирование и шифрование по протоколу IPSec и аутентификацию. Централизованное автоматизированное управление правилами ВЧС с помощью сервера LSMS (включая одновременно правила IPSec и межсетевого экрана) снижает стоимость владения и упрощает внедрение на крупномасштабных объектах.

Маршрутизаторы Access Point используются там, где требуются производительность и масштабируемость, достаточные для поддержки больших объемов трафика и тысяч туннелей ВЧС. Маршрутизаторы Access Point совместимы с любой технологией ГВС — IP, Frame Relay, ATM – и поддерживают как ВЧС, объединяющие отдельные объекты, так и ВЧС удаленного доступа. Встроенный аппаратный ускоритель шифрования обеспечивает скорость до 90 Мбит/с при шифровании DES и 3DES.

Применение в маршрутизаторе Access Point технологии CBQ (class-based queuing) выводит Lucent на первое место в обеспечении качества обслуживания IP (QoS). Технология CBQ предусматривает разделение трафика на иерархические классы, которым присваиваются атрибуты полосы пропускания, определяющие привилегии доступа на границе между сетью предприятия и ВЧС. Для оптимизации загрузки IP-сети можно создавать уровни обслуживания, обеспечивать их выполнение и тарифицировать. Маршрутизатор Access Point полностью совместим со стандартом DiffServ (сигнализация обеспечения QoS соответствует текущему определению IETF).

управление правилами

Фундаментом линии Lucent Secure VPN является интегрированная платформа централизованного управления правилами – сервер управления безопасностью LSMS (Lucent Security Management Server). Сервер LSMS взаимодействует с серверами аутентификации пользователей RADIUS и SecurID. Он также отвечает за обработку открытых ключей и цифровых сертификатов X.509. Сервер LSMS предусматривает широкие возможности аудита, регистрации и аварийной сигнализации (alarm). Усиление защиты достигается за счет Lucent RealSecure™, встроенной системы обнаружения атак.

сервер LSMS и ПО QVPN Builder

Сервер LSMS надежно зарекомендовал себя как средство централизованного обеспечения для предприятий, создающих крупномасштабные ВЧС удаленного доступа. Один сервер LSMS способен управлять сотнями шлюзов ВЧС и маршрутизаторов Pipeline и SuperPipe, тысячами клиентов IPSec Client – возможно одновременное управление 24000 туннелей ВЧС. Приложение управления правилами Access Point QVPN Builder, работающее под управлением системы LSMS, специально оптимизировано для обеспечения параметров корпоративных ВЧС, связывающих отдельные объекты. Централизованное управление профилями ВЧС, правилами межсетевых экранов и правилами качества обслуживания QoS позволяет разворачивать ВЧС быстро и экономично. Реализованные Lucent функции конфигурирования ВЧС и управления правилами, основанные на интеграции LSMS и QVPN Builder, занимают лидирующие позиции в отрасли.

Разнообразие продуктов, представленных линией Secure VPN, позволяет создавать оптимальные конфигурации, выбирая сервисные платформы, варианты обеспечения безопасности, уровни производительности, возможности управления и бизнес-модели. При этом предложения компании варьируются от решений, адресованных пользователям малых/домашних офисов, до комплексных решений для крупных предприятий и операторов связи, предлагающих своим корпоративным клиентам услуги управляемых ВЧС.

Владимир Гуськов, ведущий системный инженер подразделения систем передачи данных Lucent Technologies



Сетевые решения. Статья была опубликована в номере 01 за 2002 год в рубрике технологии