Безопасность в Internet- Intranet

       

Защита клиента


После того как правила доступа клиента установлены, следует позаботиться о защите пересылаемых ему данных. Мы в основном рассматривали продукты, использующие в качестве IP-протоколов шифрования IP Security (IPSec) и Internet Key Exchange (IKE), так как они являются наиболее распространенными. IPSec определяет методы шифрования и аутентификации IP-пакетов данных. IKE описывает, как происходит настройка туннелей для передачи данных, а также как создается информация о ключах и происходит ее обмен через Internet.

В продуктах компаний RedCreek и Check Point поддерживается шифрование как по протоколам IPSec/ IKE, так и по своим фирменным.

Клиентская часть продукта VPNWare компании VPNet поддерживает систему шифрования только в соответствии с протоколом Simple Key Management Internet Protocol (SKIP). Однако это не очень нас беспокоило, поскольку SKIP - очень понятный стандарт. А вот в продукте VTCP/Secure компании InfoExpress имеется только система шифрования собственной разработки. Правда, на некоторых платформах поддерживается бета-версия кода IPSec, но не на тех, которые мы использовали для тестирования.

Некоторое беспокойство вызывают также продукты компаний Indus River и Intel. Первый не поддерживает IKE для обмена ключами, второй требует собственных протоколов для создания новых VPN-клиентов, если вы используете для этого входящие в LAN Rover средства. Но эти недостатки не смертельны.

Позиция стандарта Layer 2 Tunneling Protocol (L2TP) на рынке еще не очень крепка и, вероятно, не улучшится вплоть до повсеместного распространения ОС Windows 2000, куда встроен VPN-клиент туннелирования по протоколу L2TP. Поэтому в продуктах, с которыми мы имели дело, поддержка L2TP была представлена весьма слабо. Практически, туннелирование по этому протоколу обеспечивает лишь VPN Concentrator Series фирмы Altiga.

Протокол L2TP базируется на совершенно другой стратегии создания туннеля передачи данных (между прочим, не зашифрованных) от корпоративной сети до конечного пользователя. Его преимущество состоит в том, что пользователь может создать туннель до сервера не на базе IP-протокола (а, например, на основе IPX). Но если конечный пользователь аутентифицируется L2TP-механизмом (отличным от IPSec и дополняющим его), то он может получить IP-адрес, назначаемый с центральной консоли корпоративной сети стандартным образом.

В продукты RiverWorks и VPN Concentrator Series компании Indus Rivers включена поддержка протокола Point-to-Point Tunneling Protocol (PPTP), обычно используемого в ОС Windows 3.1 и Macintosh, для которых клиентская часть протокола IPSec пока отсутствует.

Помимо стандартов шифрования и туннелирования сетевому администратору необходимо обратить внимание на наличие в некоторых из протестированных продуктов брандмауэров, встроенных в клиентское ПО. Действительно, если клиентский ПК - окно в вашу сеть, почему бы не защитить его от риска вторжения? В таких продуктах, как F-Secure VPN, VTCP/Secure и VPN-1 Gateway, некоторые функции брандмауэров имеются и в серверной, и в клиентской части ПО. Компания Check Point в пакете Secure Client предлагает полнофункциональный брандмауэр, правда, с довольно ограниченным набором сценариев защиты.

По сути этот брандмауэр - один из видов брандмауэра с фильтрацией пакетов, работающий со статусными данными обо всех соединениях, что позволяет сопоставлять информацию, передаваемую в обоих направлениях. Без полного анализа трафика возможности брандмауэра с фильтрацией пакетов ограничены. При наличии этой функции защита гораздо более эффективна, так как пропускаются лишь те пакеты, которые относятся к санкционированному соединению. В продуктах VTCP/Secure и F-Secure VPN клиентское ПО выполняет только фильтрацию пакетов, что обеспечивает более низкий уровень защиты.

Брандмауэры с туннелированием, имеющиеся почти во всех протестированных продуктах, дополняют средствами защиты сервер туннелирования. Однако в Permit Enterprise, RiverWorks, VPNWare и Ravlin 7100 такие функции представлены весьма слабо. Если вы с помощью одного из этих продуктов собираетесь организовать для своей корпорации VPN-сети с серьезными ограничениями (например, всем пользователям запрещен доступ во все сети, которые находятся в ведении определенного департамента), то вам придется дополнительно установить еще один брандмауэр.

Функции брандмауэра на ПК-клиенте могут быть избыточными, так как VPN-клиенты обычно подключаются через Internet. Вполне достаточно функции отключения Internet-трафика на время соединения с VPN-сетью. Именно такой подход реализован в VPN Concentrator Series компании Altiga. Когда клиент соединен с VPN-сервером Altiga, путь для любого другого Internet-трафика закрыт: каждый пакет клиента, прежде чем попасть в Сеть, направляется на сервер туннелирования. В Permit Enterprise, RiverWorks, Ravlin 7100 и cIPro System конечному пользователю предоставляется возможность решить, блокировать ли Internet-трафик в случае активности виртуальной частной сети. А в продуктах VPN Gateway Plus (Intel) и VPN-1 Gateway (Check Point) это отдано на усмотрение сетевого администратора.



Содержание раздела