VPN на базе маршрутизаторов

Сегодня практически все ведущие производители маршрутизаторов и других сетевых устройств заявляют о поддержке в своих продуктах различных VPN-протоколов. В России безусловным лидером на этом рынке является компания Cisco Systems, поэтому построение корпоративных VPN целесообразнее всего продемонстрировать на решениях именно этой компании.

Построение VPN-каналов на базе маршрутизаторов компании Cisco осуществляется средствами самой операционной системы, начиная с версии Cisco IOS 12.x. Если на пограничные маршрутизаторы Cisco других отделений компании установлена данная операционная система, то имеется возможность сформировать корпоративную VPN, состоящую из совокупности виртуальных защищенных туннелей типа «точка-точка» от одного маршрутизатора к другому (рисунок 1.3). Как правило, для шифрования данных в канале по умолчанию применяется криптоалгоритм DES с длиной ключа 56 бит.

Рисунок 1.3 Типовая схема построения корпоративной VPN на базе маршрутизаторов Cisco.

Сравнительно недавно появился продукт компании — Cisco VPN client, который позволяет создавать защищенные соединения «точка-точка» между рабочими станциями (в том числе и удаленными) и маршрутизаторами Cisco, что делает возможным построение Internetи localnet-VPN.

Для организации VPN-туннеля маршрутизаторы компании Cisco в настоящее время используют протокол канального уровня L2TP (созданный на базе фирменных протоколов L2 °F (Cisco Systems) и PPTP (Microsoft Co.)) и протокол сетевого уровня IPSec, разработанный ассоциацией IETF.

Протокол эстафетной передачи на втором уровне (Layer 2 Forwarding — L2F) был разработан компанией Cisco Systems. Он обеспечивает туннелирование протоколов канального уровня с использованием протоколов более высокого уровня, например, IP. С помощью таких туннелей можно разделить местоположение сервера удаленного доступа, к которому подключается пользователь, используя местные коммутируемые линии связи, и точки, где происходит непосредственная обработка протокола удаленного доступа (SLIP, PPP), и пользователь получает доступ в сеть. Эти туннели дают возможность использовать приложения, требующие удаленного доступа с частными адресами IP, IPX и AppleTalk через протокол SLIP/PPP по существующей инфраструктуре Интернет. Поддержка таких многопротокольных приложений виртуального удаленного доступа очень выгодна конечным пользователям и независимым поставщикам услуг, поскольку позволяет разделить на всех расходы на средства доступа и базовую инфраструктуру и дает возможность осуществлять доступ через местные линии связи. Кроме того, такой подход защищает инвестиции, сделанные в существующие приложения, работающие не по протоколу IP, предоставляя защищенный доступ к ним и в то же время поддерживая инфраструктуру доступа к Интернет.

Сквозной туннельный протокол Point-to-Point Tunneling Protocol (PPTP) создан корпорацией Microsoft. Он никак не меняет протокол PPP, но предоставляет для него новое транспортное средство. В рамках этого протокола опред Сравнительно недавно появился продукт компании — Cisco VPN client, который позволяет создавать защищенные соединения «точка-точка» между рабочими станциями (в том числе и удаленными) и маршрутизаторами Cisco, что делает возможным построение Internetи localnet-VPN.

Как видно, протоколы L2 °F и PPTP имеют сходную функциональность. Компании Cisco и Microsoft согласились вместе (в рамках IETF) разработать единый стандартный протокол, который получил название туннельного протокола второго уровня (Layer 2 Tunneling Protocol — L2TP).

Протокол L2TP обеспечивает инкапсулирование протоколов сетевого уровня (IP, IPX, NetBEUI и др.) в пакеты канального уровня (PPP), которые и передаются по сетям, поддерживающим доставку датаграмм в каналах «точка-точка». Хотя этот протокол и претендует на решение проблем безопасности в VPN, он никак не специфицирует процедуры шифрования, аутентификации (процедура аутентификации происходит один раз в начале сессии) и проверки целостности каждого передаваемого по открытой сети пакета, а также процедуры управления криптографическими ключами. Основное преимущество L2TP состоит в его независимости от транспортного уровня, что позволяет использовать его в гетерогенных сетях. Достаточно важным качеством L2TP является его поддержка в операционной системе Windows 2000, благодаря чему в принципе можно строить комбинированные VPN на базе продуктов Microsoft и Cisco. Однако «канальная природа» протокола L2TP послужила причиной его существенного недостатка: для гарантированной передачи защищенного пакета через составные сети все промежуточные маршрутизаторы должны поддерживать данный протокол, что, очевидно, весьма трудно гарантировать. Видимо, в связи с этим компания Cisco сегодня обратила более пристальный взгляд на продвижение более современного VPN-протокола — IPSec.

Безопасный протокол IP (IPSec) представляет собой набор стандартов, используемых для защиты данных и для аутентификации на уровне IP. Протокол IPSec также включает криптографические методы, удовлетворяющие потребности управления ключами на сетевом уровне безопасности. Протокол управления ключами Ассоциации безопасности Интернет (Internet Security Association Key Management Protocol — ISAKMP) создает рамочную структуру для управления ключами в сети Интернет и предоставляет конкретную протокольную поддержку для согласования атрибутов безопасности. Стандарт IPSec позволяет поддержать на уровне IP потоки безопасных и аутентичных данных между взаимодействующими устройствами, включая центральные компьютеры, межсетевые экраны (сетевые фильтры) различных типов и маршрутизаторы [4].

На сегодняшний день IPSec — один из самых проработанных и совершенных Internet-протоколов в плане безопасности. В частности, он обеспечивает аутентификацию, проверку целостности и шифрование сообщений на уровне каждого пакета (для управления криптографическими ключами IPSec использует протокол IKE, хорошо зарекомендовавший себя в своей более ранней версии Oakley). Кроме того, работа протокола на сетевом уровне является одним из стратегических преимуществ IPSec, поскольку VPN на его базе работают полностью прозрачно как для всех без исключения приложений и сетевых сервисов, так и для сетей передачи данных канального уровня. Также IPSec позволяет маршрутизировать зашифрованные пакеты сетям без дополнительной настройки промежуточных маршрутизаторов, поскольку сохраняет стандартный IP-заголовок, принятый в IPv4. А тот факт, что IPSec включен в качестве неотъемлемой части в будущий Internet-протокол IPv6, делает его еще более привлекательным для организации корпоративных VPN.

Но IPSec присущи и некоторые недостатки: поддержка только стека TCP/IP и довольно большой объем служебной информации, который может вызвать существенное снижение скорости обмена данными на низкоскоростных каналах связи.

Возвращаясь к построению корпоративных VPN на базе маршрутизаторов, отметим, что в основную задачу этих устройств входит маршрутизация трафика, а значит, криптообработка пакетов является некоторой дополнительной функцией, требующей, очевидно, дополнительных вычислительных ресурсов. Другими словами, если ваш маршрутизатор имеет достаточно большой запас по производительности, то ему вполне можно «поручить» и формирование VPN. Однако если маршрутизатор работает «на пределе», он вряд ли справится с этой задачей, не нарушая общей функциональности своей работы.

В случае построения VPN на базе маршрутизаторов необходимо помнить еще и о том, что сам по себе такой подход не решает проблему обеспечения общей информационной безопасности компании, поскольку все внутренние информационные ресурсы все равно остаются открытыми для атак извне. Для защиты этих ресурсов, как правило, применяются межсетевые экраны, которые располагаются за пограничными маршрутизаторами, а, следовательно, на канале от маршрутизатора к МЭ и далее вся конфиденциальная информация идет в «открытом» виде. Это, в частности, означает, что маршрутизатор необходимо ставить как можно «ближе» к МЭ, желательно в общем охраняемом помещении.

Один из существенных недостатков построения VPN на базе маршрутизаторов состоит в том, что решение единой задачи защиты информационных ресурсов компании от атак извне распределяется по нескольким функционально независимым устройствам (например, маршрутизатор и МЭ). Такой подход может привести к серьезным организационным и техническим проблемам в случаях, например, определения ответственности за нарушение информационной безопасности сети [1].