Manages the firewall and controls the vpn tunnel что это
Обновлено: 06.07.2024
Привет мир! Вы наверняка слышали аббревиатуру - VPN, и возможно даже пользовались этим. А знаете ли что это вообще такое и как это работает? Ну да, как то так. Но лучше - давайте разбираться!
ВИДЕОПОСОБИЕ
VPN расшифровывается как Virtual Private Network, или по русски Виртуальная частная сеть. В названии отражена суть этой технологии - она позволяет установить виртуальное соединение, которое называют туннелем, между вашим устройством, или даже целой сетью и другим удаленным устройством, или же - другой удаленной сетью.
Что значит виртуальное? Это значит что несмотря на то, что ваши данные будут также передаваться в публичную сеть, как правило Интернет, между вами и второй стороной будет образован защищенный виртуальный туннель, и вы окажетесь в одной сети, даже несмотря на то, что вас могут разделять тысячи километров.
VPN часто спасает, например, в случае удаленной работы, когда сотрудник, находясь вне офиса может подключаться к необходимым ресурсам в офисной сети, как если бы он находился там и сидел бы за своим рабочим местом. Или когда необходимо объединить сети, которые территориально располагаются в разных городах в одну большую сеть с единым адресным пространством!
ТИПЫ VPN
Глобально, не обращая внимания на различные протоколы, можно обозначить два типа VPN соединения: Site-to-Site и Remote Access.
Соединение Site-to-Site - это когда с пограничного маршрутизатора или межсетевого экрана, которые называют VPN шлюзом, строится туннель до такого же оборудования, стоящего в другом месте. Таким образом, сотрудники в сети, находящейся за одним VPN-шлюзом получают доступ к ресурсам, находящимся в сети за другим шлюзом через тот самый туннель и в этом случае по туннелю гоняет трафик всех и всего, что находится в этих сетях.
Remote Access, в свою очередь, это построение туннеля только с вашего индивидуального устройства, компьютера, ноутбука, айфона, планшета, например, до определенного VPN-сервера, и как раз такой способ чаще всего и используется для обхода блокировок и каких-нибудь темных дел. Ведь при таком подключении - реальный IP-адрес Вашего устройства будет изменен, а вместо него Вы получите адрес от VPN-сервера. И если Вы находясь где нибудь под Смоленском построите туннель с сервером, который живет на Сейшелах, то в Интернете Ваша геолокация молниеносно изменится. Именно поэтому так сложно определить реальное местоположение из которого осуществлялась кибератака. Злоумышленники никогда не светят свой реальный IP, чтобы к ним раньше времени не пришли из правоохранительных органов. Но не обольщайтесь - сегодня способов определения даже "заVPNненного" девайса более чем достаточно.
Отличаются эти два типа тем, что для Remote Access VPN требуется клиент или расширение для веб-браузера, чтобы можно было на чем-то приземлить туннель, а в случае site-to-site, всё происходит на уровне маршрутизации и все компьютеры, телефоны и прочая инфраструктура могут слать трафик в туннель без всяких дополнительных ухищрений.
КАК VPN ЗАЩИЩАЕТ ПОДКЛЮЧЕНИЕ?
Защита заключается в том, что вся передаваемая информация по VPN туннелю шифруется тем или иным алгоритмом шифрования, и за счет этого, злоумышленники или другие неавторизованные личности не могут получить доступ к информации для ее прочтения или модификации.
Существует множество алгоритмов шифрования, но все они делятся на симметричные и асиметричные. Симметричное шифрование использует один и тот же ключ и для зашифровывания, и для расшифровывания. Пример такого алгоритма - AES (Advanced Encryption Standard) .
Асимметричное шифрование использует два разных ключа: один для зашифровывания, который также называется открытым, другой для расшифровывания - он называется закрытым. Пример такого алгоритма шифрования - RSA.
Кстати, оба типа алгоритмов могут быть криптостойкими, то есть устойчивыми ко взлому и некриптостойкими. Как пример некриптостойкого алгоритма можно привести DES (Data Encryption Standard), длина ключа которого составляет всего 56 бит, за счет этого сегодня его можно взломать с использованием ну оооочень простых современных компьютеров. И противоположный ему - AES256, у которого длина ключа составляет, как можно догадаться, 256 бит. Перебор всех возможных комбинаций для такой длинны ключа занимает астрономически долгое время, поэтому AES не взломан и по сей день.
КАК VPN ПОМОГАЕТ ОБХОДИТЬ БЛОКИРОВКИ?
Что если нужно добавить партнера по бизнесу из другой страны в LinkedIn, но он заблокирован у Вас? Тут поможет VPN, который создает защищенное соединение с VPN сервером, который может находится в другой стране, в которой доступ до нужного ресурса не ограничен, а затем оттуда к самому ресурсу. Погодите, а тогда в чем отличие VPN от прокси?
В зависимости от выполняемой задачи, существует много прокси-серверов, но в контексте этой статьи, прокси сервер - это посредник между пользователем и целевым ресурсом, который может быть заблокирован. Этот сервер тоже может находиться на другом континенте и соответственно иметь доступ туда, куда не имеем мы.
В случае с прокси - Вы просто указываете в своём браузере или другом клиенте адрес прокси сервера, порой с логином и паролем.
При этом виртуальный шифрованный туннель, как в случае с VPN, между Вами не строится, прокси сервер просто передаёт запросы от вас к другим ресурсам и пересылает ответы от них вам.
Помните, что при подключении к любому ВПН или прокси серверу, его администратор может увидеть к каким сайтам вы пробуете получить доступ и какую информацию передаете даже несмотря на то, что она может быть зашифрована.
Поэтому - просто будьте осторожны. Не подключайтесь к серверам и сервисам, которым не доверяете и не используйте VPN и прокси для противозаконных действий, ведь эти технологии разрабатывались совсем не для этого.
Виртуальная частная сеть является расширением частной сети поперек общественного соединения. Это поможет вам предотвратить обмен данными без утечки инструкции. Брандмауэр не что иное, как система безопасности сети он наблюдает за входящий и исходящий трафик веб-сайта молча. Он доступен для аппаратного и программного обеспечения. Он предсказывает инструмент между общепризнанным и непризнанным программным обеспечением. Так дайте нам знать больше о VPN Firewall в этой статье сегодня.
Пожалуйста, прочитайте ниже содержание для подробного объяснения!
Часть 1: Что такое VPN Firewall?
Разница между VPN и брандмауэр
Довольно разница в том, VPN строго ограничивает неподтвержденный программное обеспечение. Брандмауэр имеет выбор, чтобы заблокировать или разрешить зависит от трафика веб-сайта. VPN доступен только для программного обеспечения цели и Firewall доступен для аппаратного и программного обеспечения с целью. VPN имеет стратегическое причину изменения местонахождения и брандмауэр сталкивается изменения сети.
Что такое VPN firewall?
Вдумайтесь обеих комбинаций в одной серии. Тем не менее, VPN и брандмауэр конкурируют за одни и те же характеристики. Но когда речь идет о безопасности, и дать все возможное, чтобы удовлетворить безопасности пользователя с правилами брандмауэра VPN. Технология VPN Firewall предназначен для предотвращения в рамках концепции пользователя, который препятствует непризнанного и вредоносного программного обеспечения в связи VPN. Он доступен для аппаратного и программного обеспечения.
Часть 2: Как настроить VPN-соединение с Firewall?
Конфигурация VPN-соединений с брандмауэром настроить Названный со многими сетевой линейки как кусок пирога. Давайте посмотрим, процесс настройки VPN соединения с брандмауэром.
Шаг 1: Вы должны сначала решить, где вы собираетесь разместить в сети брандмауэра и сервера VPN. Это необходимо признать определенные решения в предсказании будущего. Ниже изображение показывает три варианта для размещения брандмауэра на сервере VPN
Шаг 2: У вас есть три опции, такие как сервер VPN перед брандмауэром - Это означает, что вы должны поместить сервер VPN перед сервером брандмауэра, VPN размещены совместно с брандмауэром - Это означает, что сервер VPN и межсетевой экран находится равное расстояние, VPN-сервер за брандмауэром - Это означает, что вы должны поместить сервер VPN на задней стороне брандмауэра.
Размещение сервера VPN за брандмауэром
Скорее всего, пользователи хотели бы, чтобы поместить сервер VPN за сетью брандмауэра. Они связывают его с корпоративным сервером LAN или DMZ, такие как демилитаризованная зона. Этот вид географии анализируется перед началом процесса глубоко. Это помогает в руках конечного сотрудничества и поддерживает без каких-либо проблем. Это правила брандмауэра VPN поможет брандмауэр для доступа к фильтрам, тогда как VPN позволяет трафик.
Размещение сервера VPN перед брандмауэром
В некоторых случаях, размещение сервера VPN перед Firewall дает наиболее безопасный трафик. Но у вас есть какое-то осложнение, такие как хакер внимание на сервере VPN на брандмауэре будет делать какое-то осложнение серьезно. Если вы используете VPN поле, то вы будете контролировать с внешней стороны брандмауэра. Это правило брандмауэра VPN будет ограничить ущерб хакера через сервер VPN. Кроме того, трафик между брандмауэром и сервером VPN не применяется для шифрования данных.
Размещение сервера VPN расстанавливать брандмауэра
Вы можете разместить сервер VPN расстанавливать брандмауэр, но этот процесс будет выравниваться, чтобы поместить сервер VPN за брандмауэром. Это в основном зависит от использования и отличному части. Обе функции хорошо известны в маршрутизации. Одна вещь, которую мы должны ценить это Firewall будет использовать актив в дневное время, особенно на бизнес тайминги. Сервер VPN будет работать по вечерам. Вы могли бы также знать, процесс поиска неисправностей и управление, а вся система несет в одной коробке.
Примечание: Из трех вариантов, мы рекомендуем использовать VPN-сервер за брандмауэром для лучшего комплимента!
Часть 3: 3 лучших устройств VPN Firewall:
Мы поможем Вам выбрать 3 VPN Firewall для крутого бизнеса прибыли. Давайте посмотрим, брандмауэр VPN с расшифровкой:
1. NetGear FVS318 Prosafe
NETGEAR ProSafe VPN Firewall дает полную безопасность и высокую производительность. Он гибок для обработки 253 пользователей одновременно. Он имеет эффективность использования протокола IPsec 8 в то же время без меньше методологии производительности. У вас есть автоматическое определение скорости и вы можете передавать данные на расстояние до 100 Mbps.
- - The Netgear ProSafe VPN Firewall FVS318 имеет функцию, такую как вирус барьер, SPI и обнаружение вторжений, шифрования и отказ в защите услуг.
- - Он поддерживает фильтрацию контента, отчетности и регистрации с предупреждениями.
- - DHCP-дает поддержку с точкой сервера и клиента.
- - У вас есть 3 года гарантии на ограниченный временной шкале.
2. Fortinet Fortigate
Fortinet FortiGate имеет график производительности для контроля подключения к сети , которая пересекает плату. Если вы хотите использовать его для умеренной бизнес - прибыли - абсолютно гибко. Когда дело доходит до высокой прибыли бизнеса , вы должны использовать серию 5000 для хороших результатов. Спектакль наметил с антивирусным, анти-вредоносных программ, обработка, фильтрация контента, анти-спам и анти-шпионского ПО .
- - У вас есть IPsec и IPS пропускной способности.
- - Скорость Скорость VPN брандмауэра в диапазоне до 480 Гбит.
- - У вас есть предел для расширения 132 сеансов.
- - У вас есть приложения для управления, даже если пользователь находится снаружи сети.
- - Нет предела обнаружения нити на основе уровня покупки VPN Firewall.
Это VPN Firewall будет дорого для высокорентабельного бизнеса.
3. Серия Juniper SSG VPN брандмауэр
Если вы являетесь пользователем серии Juniper SSG VPN брандмауэра , то вы будете один с высококвалифицированной защитой в брандмауэре и VPN. В соответствии с вашими требованиями организаций, вы можете выбрать серию.
- - От основной, у вас есть ограничение скорости до 160 Мбит и почти у 8000 сеансов в настоящее время.
- - Другой вариант SSG550M можжевельника имеет 1 ВОП и 256000 сеансов.
- - Есть разные версии серии и скорости.
- - Иметь возможность работать от 8000 до 256000 сессий.
Это дает производительность в зависимости от уровня покупки.
Мы надеемся, что эта статья будет очень полезна для вашей организации либо большой или малой. Следуйте правилам VPN брандмауэра с надлежащим руководством. Спасибо!
Они скачивание
dr.fone - Восстановление (IOS)
Восстановление удаленных данных с IOS устройств, ITunes и резервного копирования файлов ICloud.
dr.fone - Восстановление (Android)
Восстановление удаленных данных с Android устройств, SD карт и сломанного Android устройств.
Безопасный удаленный доступ к сервисам в локальной сети.
VPN (англ. Virtual Private Network, «виртуальная частная сеть») — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например Интернет).
Наиболее популярные решения с открытым исходным кодом для построения виртуальных частных сетей — «OpenVPN» и «IPSec». В релиз ядра Linux 5.6, который состоялся 30 марта 2020 года, вошла еще одна реализация технологии VPN — «WireGuard». Это молодой набирающий популярность проект.
Основные преимущества «WireGuard»:
- Высокая производительность (бенчмарки можно посмотреть тут)
- Простая настройка
- Современная криптография
- Качественный код
В этой инструкции мы настроим VPN-туннель в локальную сеть с помощью «WireGuard» и обеспечим доступ из интернета к узлам LAN с различных устройств.
Адресация в LAN - 192.168.100.0/24, VPN-сети назначим диапазон 10.0.0.0/24.
Для размещения сервера потребуется VPS. При выборе необходимо обратить внимание на технологию виртуализации: предпочтительно KVM, можно XEN, а вот OpenVZ следует избегать. Дело в том, что в WireGuard реализован как модуль ядра, а в OpenVZ ядро очень старое. Я буду использовать самый дешевый виртуальный сервер c операционной системой Ubuntu 20.04 (KVM 512 МБ RAM 20 ГБ SSD 1 CPU - такая конфигурация вполне подойдет).
Залогинимся на сервер с правами пользователя root и выполним следующие команды:
Создадим конфигурационный файл /etc/wireguard/wg0.conf со следующим содержимым:
[Interface] Address = 10.0.0.1/24 PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE ListenPort = 51820 PrivateKey = <SERVER_PRIVATE_KEY>Параметры PostUp/PostDown содержат правила iptables, которые будут применены при запуске/остановке сервиса. Обратите внимание на название сетевого интерфейса — оно должно соответствовать общедоступному сетевому адаптеру, в моем случае это eth0. Вывести список адаптеров можно командой:
Выберите из списка тот, которому соответствует внешний IP-адрес. <SERVER_PRIVATE_KEY> - заменяем содержимым файла /etc/wireguard/privatekey.
Запустим VPN-сервис и добавим его в автозагрузку:
Убедимся, что служба запустилась корректно:
Если ваш роутер поддерживает WireGuard (Zyxel KeeneticOS >=3.3, Mikrotik RouterOS >=7.1beta2, OpenWRT) — можно настроить VPN-клиент прямо на нем. Я буду использовать для этой цели сервер Ubuntu 20.04 (локальный адрес 192.168.100.7).
Первый этап настройки аналогичен конфигурации серверной части. Выполняем с правами root-пользователя:
[Interface] PrivateKey = <PEER_LAN_PRIVATE_KEY> Address = 10.0.0.2/32 PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wlp2s0 -j MASQUERADE PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wlp2s0 -j MASQUERADE [Peer] PublicKey = <SERVER_PUBLIC_KEY> Endpoint = <SERVER_IP>:51820 AllowedIPs = 10.0.0.0/24 PersistentKeepalive = 20<PEER_LAN_PRIVATE_KEY> — заменяем содержимым /etc/wireguard/privatekey, <SERVER_PUBLIC_KEY> — /etc/wireguard/publickey с сервера, <SERVER_IP> — внешний IP-адрес сервера. Правила iptables в PostUp/PostDown необходимы для того, чтобы наш клиент выступал в роли шлюза в LAN. Указываем в правилах тот сетевой интерфейс, на который назначен локальный адрес (192.168.100.7, в моем случае это wlp2s0). Уточните его путем исполнения команды:
В параметре AllowedIPs задаются адреса, маршрутизация к которым будет осуществляться через VPN-интерфейс. В поле PersistentKeepalive — периодичность проверки доступности соединения в секундах. Запускаем службу и добавляем в автозагрузку:
На сервере добавляем в файл /etc/wireguard/wg0.conf блок:
Где <PEER_LAN_PUBLIC_KEY> — /etc/wireguard/publickey клиента. Перезапустим службу и убедимся, что все настроено корректно:
Проверим теперь с клиента:
Сборки WireGuard доступны для основных платформ: Linux, Windows, Mac, Android, FreeBSD, OpenWRT и др. Рассмотрим настройку VPN-клиента на десктопах под управлением Linux и Windows, а так же на Android-смартфоне.
На клиенте выполняем с правами root:
Конфигурационный файл /etc/wireguard/wg0.conf:
<PEER_1_PRIVATE_KEY> — заменяем содержимым /etc/wireguard/peer_1_privatekey, <SERVER_PUBLIC_KEY> — /etc/wireguard/publickey с сервера.
Обратите внимание на строку «AllowedIPs = 0.0.0.0/0» - в данной конфигурации весь трафик будет маршрутизироваться через VPN-адаптер. Это может понадобиться для сокрытия реального IP при работе в интернет или для защиты трафика при подключении к недоверенным сетям (например публичные Wi-Fi точки доступа). В этом случае указываем «DNS = 8.8.8.8» (8.8.8.8 - DNS-сервер Google), чтобы DNS-запросы выполнялись через защищенное VPN-соединение.
Если VPN-туннель необходим только для доступа к LAN 192.168.100.0/24 - убираем строчку «DNS = 8.8.8.8» и в параметре AllowedIPs меняем «0.0.0.0/0» на «10.0.0.0/24, 192.168.100.0/24».
На сервере в конфигурационный файл /etc/wireguard/wg0.conf добавляем блок:
. [Peer] PublicKey = <PEER_1_PUBLIC_KEY> AllowedIPs = 10.0.0.3/32Где <PEER_1_PUBLIC_KEY> — содержимое файла /etc/wireguard/peer_1_publickey клиента и перезапускаем службу:
Возвращаемся на клиент и проверяем доступность узлов в LAN через VPN-туннель:
Предагаемый Вашему вниманию материал открывает цикл работ по обзору рынка VPN. Приведенная здесь информация призвана помочь сетевым специалистам сориентироваться в огромном многообразии программных и аппаратных решений, предлагаемых различными компаниями. Настоящая статья посвящена наиболее дешевым "коробочным" реализациям VPN – т.н. VPN-appliances, относящимся к классу SOHO (Small Office Home Office), т. е. предназначенным для работы с малыми сетями.
Однако, прежде чем перейти непосредственно к обзору, давайте немного поговорим о том, что же такое VPN, кому и зачем это нужно.
Автор приносит свои извинения читателям за то, что он не в состоянии подробно остановиться на теоретической стороне обсуждаемой темы из-за ее объемности. Дабы компенсировать возможные пробелы, автор предлагает ссылки на другие работы и статьи, в которых подробно разбираются употребляемые здесь специальные термины.
Итак, перейдем к делу.
Для чего нужны VPN?
Представим, что нам необходимо объединить несколько локальных сетей LAN (local area network), причем сети эти разделены географически: они расположены в разных зданиях, а возможно и в разных городах. Традиционное решение: WAN (wide area network) — прокладка или аренда выделенных линий, соединяющих локальные сети.
Теперь предположим, что помимо этого нам нужно обеспечить удаленный доступ в WAN группе мобильных пользователей, постоянно переезжающих с места на место. Традиционное решение в этом случае - добавить в нашу сеть серверы RAS (remote access service), для того, чтобы клиенты могли получить доступ к сетевым ресурсам по телефонным линиям.
Если количество мобильных клиентов растет, мы вынуждены увеличивать число телефонных портов RAS.
Но как быть, если одна из сетей расположена на другом континенте? Как быть, если мобильным клиентам необходим доступ в нашу сеть из любого места планеты? Аренда межконтинентального кабеля для создания WAN обойдется в целый капитал. Мобильные пользователи вынуждены совершать дорогие междугородние и международные звонки. Неизбежно возникает вопрос, а существует ли другое решение, более дешевое, но столь же удобное и технически реализуемое?
Оказывается, да. Такое решение существует. При сегодняшнем развитии Интернета все более и более интересным становится использование общедоступных публичных сетей как основы для создания безопасных и надежных каналов, связывающих наши сети и обеспечивающих доступ к ним отдельным пользователям, постоянно меняющим свое географическое местоположение. Мы говорим о VPN (Virtual Private Networks) — частных виртуальных сетях.
VPN имеет ряд очевидных достоинств. Прежде всего, частные виртуальные сети существенно дешевле WAN, особенно при использовании в международных компаниях. По оценкам Infonetics Research, приведенным здесь, стоимость реализации VPN почти в три раза меньше затрат на WAN.
Используя VPN, мы уже не платим за кабельные линии, соединяющие локальные сети. Теперь для создания каналов между LAN мы используем Интернет, что стоит гораздо дешевле.
Рис. 3. Использование VPN для объединения двух офисных сетей
В случае с мобильными клиентами мы также экономим, существенно уменьшая количество телефонных линий RAS. В некоторых случаях мы можем обойтись вообще без сервиса удаленного доступа с использованием телефонных линий. Мобильным клиентам не нужно делать междугородние звонки. Вместо этого им достаточно воспользоваться услугами ближайшего Интернет-провайдера.
Желающие разобраться в финансовой стороне дела могут обратиться к FAQ, в которых детально рассматривается экономический эффект использования VPN. Нас же интересует техническая сторона проблемы.
Очевидно, что использование публичных сетей как транспорта для передачи информации между локальными сетями не может быть безопасным, если информация передается в открытом виде. Используя Интернет, мы не в состоянии контролировать ни маршрут, ни количество лиц, которые могли иметь доступ к нашим данным, ни их намерения или действия. Вопросы защиты информации при работе с публичными сетями выходят на первый план.
VPN предполагает комплексные решения в области защиты данных. Прежде всего, передаваемая информация передается в зашифрованном виде. Для идентификации адресата и отправителя применяются специальные меры. И наконец, проверяется, что данные не были изменены во время движения по публичным сетям, по ошибке или злонамеренно.
Итак, построение VPN предполагает создание защищенных от постороннего доступа туннелей между несколькими локальными сетями и/или удаленными клиентами. Для создания и обслуживания подобных туннелей необходимы специальные протоколы, программное обеспечение, специфическое оборудование.
Протоколы
Семейство сетевых протоколов для реализации VPN довольно обширно, однако лишь три из них получили широкое распространение. Это IPSec, PPTP и L2TP.
IPSec — Internet Protocol Security — уже был подробно рассмотрен на данном сайте в статье Станислава Коротыгина.
PPTP — Point-to-Point Tunneling Protocol — создан усилиями Microsoft, US Robotics и ряда других разработчиков. Протокол описан создателями в этой и этой работах.
L2TP — Layer 2 Tunneling Protocol — гордость "сетевого монстра" — Cisco. Более подробную информацию о нем можно почерпнуть здесь и здесь.
Особенности, недостатки и преимущества каждого из протоколов — это отдельная и весьма обширная тема, которая выходит за рамки настоящей статьи. Необходимо отметить, что по ряду причин наиболее распространенным протоколом VPN в настоящее время является IPSec. Более 65 процентов частных виртуальных сетей созданы на его основе. Поэтому в этот раз мы будем говорить лишь об аппаратно-программных решениях, в которых IPSec является основным.
Реализация
Для технической реализации VPN, помимо стандартного сетевого оборудования, нам необходим шлюз VPN (VPN Gateway). Он выполняет все функции по формированию туннелей, защите информации, контролю трафика, а нередко и функции централизованного управления.
Защита информации
Защита информации в понимании VPN включает в себя кодирование (encryption), подтверждение подлинности (authentication) и контроль доступа (access control). Кодирование подразумевает шифрование передаваемой через VPN информации. Прочитать полученные данные может лишь обладатель ключа к шифру.
Наиболее часто используемыми в VPN-решениях алгоритмами кодирования в наше время являются DES, Triple DES и различные реализации AES. Степень защищенности алгоритмов, подходы к выбору наиболее оптимального из них — это тоже отдельная тема, которую мы не в состоянии обсудить.
Подтверждение подлинности включает в себя проверку целостности данных и идентификацию лиц и объектов, задействованных в VPN. Первая гарантирует, что данные дошли до адресата именно в том виде, в каком были посланы. Самые популярные алгоритмы проверки целостности данных на сегодня — MD5 и SHA1.
Контроль трафика подразумевает определение и управление приоритетами использования пропускной полосы VPN. С его помощью мы можем установить различные пропускные полосы для сетевых приложений и сервисов в зависимости от степени их важности.
Что нужно для построения VPN?
Прежде всего, шлюз — VPN Gateway. В нашем случае достаточно приобрести у одной из фирм-производителей совершенно готовое к работе устройство, требующее для начала работы лишь подключения к LAN, Интернету и, возможно, минимального конфигурирования.
Для небольших сетей и администраторов, не обладающих большим опытом работы с VPN, это решение является наиболее удобным и эффективным.
Перейдем непосредственно к обзору.
VPN-appliances класса Small Office Home Office
Американская фирма Assured Digital предлагает свое комплексное решение для реализации VPN начального уровня под именем ADI-1000.
Разработчики называют это устройство сетевым коммутатором (switch) с возможностями VPN. Оно имеет 2 интерфейса Ethernet со скоростью 10 Mbit/sec.
Сведения о количестве поддерживаемых VPN-туннелей противоречивы. На сайте разработчиков утверждается, что ADI-1000 может поддерживать до 16 независимых IPSec туннелей. Однако независимые эксперты говорят всего лишь о 4 туннелях.
Среди криптографических алгоритмов, используемых в данном решении, названы DES и Triple DES, а также MD5 и SHA-1 в качестве алгоритма проверки целостности данных. Устройство умеет работать с сертификатами и PKI по протоколу X.509v3.
Производитель предлагает также как отдельный продукт: программу — менеджер для управления и администрирования. Управлять работой ADI-1000 можно с помощью GUI-интерфейса или из командной строки.
Стоимость ADI-1000 составляет $1700. Система особых скидок позволяет в некоторых случаях снизить цену на 10-25%.
Всемирно известный производитель огромного множества сетевых устройств Cisco также внес свой вклад — Cisco 1720 VPN Router. Как явствует из названия, это роутер начального уровня с VPN-расширением.
Роутер имеет стомегабитный Ethernet-интерфейс и от двух до пяти serial-интерфейсов для подключения к WAN. Управление VPN и роутером в целом осуществляется посредством Cisco IOS® — специальной операционной системы, созданной Cisco. На мой вкус, она могла быть и чуть поудобнее. Отсутствие интуитивно понятного и доступного GUI — отличительная черта всех роутеров Cisco, в том числе и обсуждаемого нами.
Возможности VPN радуют. Поддерживаются DES, Triple DES MD5, SHA-1, а также CA и сертификаты с использованием X.509v3.
Однако некоторые эксперты отмечают низкую производительность роутера при работе с VPN.
Цена зависит от комплектации и начинается с суммы около $1000.
Фирма Intel именует свое решение для создания VPN класса SOHO Intel Express 8205 VPN Broadband Router.
Роутер с возможностями VPN может быть использован с ADSL, SDSL, IDSL, ISDN и кабельными соединениями. К локальной сети он подключается c помощью Ethernet — интерфейса на скорости до 100 Mbit/sec.
The powerful Intel Express Router architecture delivers outstanding VPN throughput that enables up to 1.3 Mbps with 3DES encryption.
Число независимых VPN-туннелей не превышает 50-ти.
Помимо 3DES роутер умеет работать с DES и морально устаревшим RC4, также MD5 и SHA-1.
К серьезным недостаткам надо отнести невозможность работы с PKI и LDAP, а также отсутствие какой бы то ни было поддержки мобильных VPN-клиентов.
Цена невелика и составляет $899.
Avaya Inc., называется просто: "кирпич" —
Рис. 8. VPN Firewall Brick 80.
Это сетевой мост с функциями VPN Gateway и firewall, оснащенный 4-мя 100 Mbit/sec Ethernet портами.
Производитель с гордостью отмечает, что в США это устройство сертифицировано NSA и американской армией.
"Кирпич" работает с DES, 3DES, RC4, MD5, SHA1, цифровыми сертификатами. Поддерживает до 400 одновременных IPSec-туннелей. Пропускная способность для шифрованного трафика составляет не более 8 Mbit/sec.
Управлять работой "кирпича" можно с помощью Java-интерфейса.
Устройство продается также и под маркой Lucent.
Дистрибьюторы предлагают его по цене от $2800 до $2900.
Фирма RedCreek Communications® Inc. предлагает довольно интересный недорогой продукт с забавным именем Travlin Ravlin.
Устройство имеет 2 интерфейса Ethernet и встроенный модем V.90; помимо функций VPN работает как firewall. В нем реализована концепция dial-on demand: связь с Интернетом, а следовательно и VPN, устанавливается только при необходимости. По замыслу производителей это должно существенно экономить телефонные счета и оплату услуг Интернет-провайдера.
Travlin Ravlin поддерживает DES, 3DES, MD5, SHA1, работает с сертификатами по протоколу X.509.
Особо высокой производительности ожидать не приходится, о количестве одновременно поддерживаемых туннелей информации нет.
Цена составляет $700.
Устройство американской фирмы NetScreen Technologies, Inc. имеет два Ethernet-интерфейса со скоростью 10 Mbit/sec, встроенные VPN и Firewall. Может обрабатывать до 10 IPSec-туннелей одновременно.
Утверждается, что устройство может работать с шифрованным VPN трафиком на скорости до 10 Mbit/sec. Это один из лучших показателей в рассматриваемом классе устройств для малого офиса.
Поддерживаются все распространенные разновидности цифровых сертификатов: DES, 3DES, MD5, SHA1, а также набирающий популярность AES. Работает с клиентом VPN, который производители продают как отдельный программный продукт
Стоимость зависит от количества лицензированных пользователей и колеблется в пределах $500 — $1000.
3com Corp. продает устройство NetBuilder Firewall 25 с опцией VPN-расширения.
Программный VPN-модуль способен поддерживать до 10 IPSec-туннелей с криптографией на основе DES, 3DES, RC4 , MD5, SHA-1. В комплекте прилагаемого программного обеспечения имеется VPN-клиент. Как и в случае с Intel, поддержка сертификатов отсутствует.
Для соединения с LAN и WAN используются 2 Ethernet-порта с пропускной способностью 10 Mbit/sec. Данные о пропускной способности VPN-трафика отсутствуют.
Цена комплекта с VPN-модулем составляет около $1000.
В рамках сетевых решений для малого офиса фирма Nokia предлагает целый ряд продуктов. Мы рассмотрим лишь один из них — Nokia IP55.
Это устройство имеет 4 интерфейса Ethernet 100 Mbit/sec и один интерфейс ADSL для соединения с WAN. В качестве программного обеспечения выбран Firewall1/VPN1 Small Office — продукт известной компании-разработчика в области VPN — Checkpoint Software Technologies.
Как и другие реализации Checkpoint VPN1, Nokia IP55 поддерживает DES, 3DES, AES, MD5, SHA1, работает со всеми видами сертификатов, включая LDAP.
Для управления VPN и устройством в целом используется WEB-интерфейс. Nokia отмечает высокою эффективность и производительность устройства, использующего мощный RISC-процессор, однако конкретные цифры отсутствуют, как и данные о количестве одновременно обрабатываемых IPSec-туннелей.
Стоимость составляет примерно $1200, включая лицензию на 25 пользователей.
Рис. 13. PDS 2000 Security Appliance
Также, как и в предыдущем случае, поддерживаются DES, 3DES, AES, MD5, SHA1, цифровые сертификаты. Та же возможность управления через Web-интерфейс.
Однако "железное" воплощение, конечно же, иное. Различные варианты PDS 2000 имеют от двух до трех портов Ethernet, один порт Serial и 2 USB порта.
Стоимость составляет примерно $1500.
Эта симпатичная красная коробочка сделана фирмой WatchGuard Technologies, Inc.
Как уже видно из названия, она несет в себе не только функции VPN, но и Firewall.
Для подключения к сетям используются 5 портов Ethernet, способных работать на скорости до 100 Mbit/sec.
В качестве VPN-gateway устройство способно обслуживать 5 одновременных IPSec-туннелей типа gateway-to-gateway и столько же туннелей client-to-gateway. Поддерживается DES, 3DES, MD5, SHA1. Максимальная пропускная способность для шифрованного IPSec-трафика с использованием 3DES составляет 1.3 Mbit/sec. PKI и цифровые сертификаты не поддерживаются.
Стоимость составляет $900 в максимально возможной комплектации.
Для соединения с LAN и WAN имеются два порта Ethernet 100 Mbit/sec.
Поддерживаются лишь DES, 3DES и MD5, нет возможности работать с сертификатами и PKI.
Стоимость с учетом VPN upgrade составляет около $1300.
Еще одно интересное решение принадлежит фирме eSoft Inc. и называется InstaGate EX2.
Согласно спецификации, устройство с пропускной способностью до 20 Mbit/sec поддерживает Triple DES, MD5 и SHA. В зависимости от комплектации имеются два или три 100-мегабитных порта Ethernet. Помимо функции VPN-Gateway прибор работает еще и как Firewall.
К сожалению, не поддерживается подтверждение подлинности с использованием цифровых сертификатов.
Цена составляет около $950 в минимальной комплектации.
Заключение
Несмотря на большое число рассмотренных устройств, сложно сделать какие-то выводы, кроме, пожалуй, одного. Создается впечатление, что рынок шлюзов VPN класса SOHO не сложился как отдельный, независимый сегмент рынка решений VPN. Нет единых подходов ни к ценовой политике, ни к функциональным характеристикам продуктов.
Как ни странно, это вполне объяснимо. В использовании VPN нуждаются более крупные компании, с многочисленными штаб-квартирами и офисами в разных городах или даже странах, бизнес которых связан с разъездами. Для таких потребителей VPN-услуг устройства класса SOHO могут существовать как часть общей организации сетей. В этом случае при выборе конкретного решения для малых офисов на первый план выходит не стоимость, и даже не технические характеристики приборов, а возможность их интеграции в рамках единой инфраструктуры корпоративных частных сетей.
Немного о грустном
Драматические изменения, происходящие в области высоких технологий с середины 2000 года, не обошли и рынок VPN. За последние пять лет этот рынок развивался очень бурно. Мы были свидетелями яркого успеха некоторых фирм, интересных идеологических и технических решений. К сожалению, падение инвестиций и уменьшение спроса нанесло всем игрокам на поле VPN тяжелый удар, который не все оказались в состоянии выдержать. Некоторые компании просто закрылись, как например, израильская фирма RadGuard с ее блестящими сетевыми устройствами, но слабым менеджментом. Другие стали жертвой очень агрессивной политики крупных корпораций, устранявших молодых и опасных конкурентов с рынка путем их приобретения или слияния. Так, Cisco приобрел Compatible Systems и Altiga. Lucent купил фирму Xedia, а Nokia — компании Ramp и Network Alchemy. Совсем недавно дочернее предприятие Lucent’a Avaya стало владельцем ныне закрытой компании VPNet Technologies.
Все это не делает положение потребителя проще, а имеющиеся на рынке предложения дешевле и эффективнее. Хочется надеяться, что рано или поздно нынешние тенденции изменятся, и мы увидим не только новые имена, но и новые продукты, которые, кто знает, могут изменить мир сетей и даже наше представление о возможном в этом мире.
Приложение — сводная таблица характеристик шлюзов VPN класса SOHO.
Читайте также: