Cum de a construi o rețea VPN

Mesajele de tunelare prin firewall-uri

Produsele cele mai multe dintre principalii furnizori de firewall oferă mesaje de tunelare. Am ales doi reprezentanți ai acestui sector al pieței: BorderWare Firewall Server de la Secure Computing și de producție Firewall Appliance Tehnologică.
Toate aceste produse sunt bazate pe aceeași idee: dacă nu-mi pasă toate IP-trafic trece prin firewall, este în valoare de nimic, în același timp, și criptați. Dar această idee nu este la fel de bun ca ar putea părea la prima vedere. Faptul este că producătorii sunt furnizarea de tunelare de trafic IP nu este atât de strâns pentru a crea un paravan de protecție adecvat.
interfața cu utilizatorul BorderWare și procedura de configurare a Secure Computing sunt bazate pe Java. Inspaimantator muncesc din greu cu ei; În plus, a trebuit să luptăm documentația nu prea clară pentru a profita de avantajele procedurilor de non-evidente de colectare cheie pentru FTP (File Transfer Protocol). Sincer, ne-am așteptat ca toate aceste caracteristici vor fi mai integrat cu firewall-ul și că sistemul de control distribuit va fi mai bine organizat.
Deși Interceptor de la Tehnologică este un preț mai rezonabil, și atunci când se lucrează cu ei obligați să nu utilizeze FTP pentru a transfera cheile de la instalarea sistemului avem încă nevoie de ajutor de specialitate Tehnologică. Tunel câștigat numai după ce expertul a făcut unele treceri a intrat în rețeaua noastră de la distanță. Problema este, din nou, a rezultat din documentele de calitate slabă.
În ambele firewall-uri ne confruntăm cu sistemul de control prost conceput. Compușii sunt considerați ca punct final de un singur domeniu; Este nevoie de o coordonare atentă a managementului și configurația lor. În ambele firewall același canal configurat să seteze manual separat pe fiecare capăt; nu este deosebit de convenabil, și de multe ori generează erori.
Cu toate acestea, chiar și documentația îmbunătățită și interfața cu utilizatorul nu va salva tuneluri firewall-uri bazate pe. Ele sunt caracterizate de o productivitate foarte scăzută. BorderWare, montat pe un PC bazat pe Pentium-200 au prezentat cea mai scăzută rată de date (1,6 Mbit / s). Interceptor, care a lucrat la Pentium-166, sa dovedit a fi un pic mai rapid (2,2 Mbit / s). În ambele cazuri, produsele în testele efectuate nici alte caracteristici de firewall (de exemplu, ca un filtru sau servere proxy).
Tunelurilor prin firewall-uri ar trebui să se aplice doar în anumite cazuri - această abordare este potrivit pentru rețele mici atunci când trimit mici cantități de date într-un sisteme relativ statice. Pentru toate celelalte cazuri, există soluții mai bune care necesită costuri mai mici, oferă un nivel mai ridicat de protecție a datelor și o performanță mai bună.

routere bazate pe Tuneluri

Ideea de plasare tunel pe firewall-uri pare destul de rezonabil, dar mai evident este ideea de a folosi în acest scop routere. Router-ul trebuie să treacă prin toate pachetele care părăsesc rețeaua locală - așa că de ce nu-l face chiar și criptarea datelor?
Ca un exemplu, utilizarea de criptare a datelor de pe router, am testat producția funcția de sistem IOS corespunzătoare Cisco Systems. Am fost impresionați de performanță și flexibilitate oferite de aceasta. Cisco a fost singura companie de producție, care oferă, în plus față de criptare a datelor și alte funcții VPN. Produsul acestei companii numit RRAS sprijinit încapsularea AppleTalk, VIȚELE IP, Conectionless rețea proto-col, DECnet, IP, IPX. (RRAS de la Microsoft, de asemenea, "poate" îngloba IPX și IP.)

Întârzieri în transmiterea VPN mijloace de comunicații.
Numerele indică de câte ori întârzierea atunci când se utilizează această soluție mai mult decât cea observată la configurația de referință (nu utilizați echipamentul pentru VPN în ea)

Performanța resurselor VPN.
Soluții de productivitate este exprimată ca procent din performanța configurației de referință (nu utilizează echipamentul pentru VPN)

Este aceste caracteristici pentru a asigura o protecție maximă a datelor, și dispun de dispozitiv serios pentru date de tunelare securizate de la simple dispozitive de transmitere a traficului confidențiale pe Internet.
Deși tunele routere bazate sunt caracterizate prin aceleași dezavantaje potențiale ca și pentru firewall-uri bazate pe tunel, am soluție încă mai impresionat Cisco. Criptarea datelor la nivel de hardware pentru a îmbunătăți performanța, și costul relativ scăzut de instalare a funcțiilor de criptare și alte,, funcții mai sofisticate VPN îmbunătățește în continuare recursul acestei decizii.

tunele de software

Am luat în considerare trei produse software pentru construirea unui tunel. Primele două, AltaVista Tunelul 97 pe Digital și RRAS de la Microsoft, care lucrează în cadrul sistemului de operare standard - Unix sau Windows NT. Structura unui al treilea produs, F-Secure Virtual Private Network (VPN) de la Fellows de date, include propriul sistem de operare.
Produse digitale și Microsoft este ușor de estimat și de a descrie. Ele permit pur mod de software pentru a transfera date din rețea într-o formă criptată prin TCP / IP. AltaVista tunel prin Digital acceptă transferul de date de la o rețea la alta și de la client la rețea sub Windows NT, BSD / OS, FreeBSD, și Unix Digital. RRAS de la Microsoft oferă aceleași caracteristici, dar funcționează numai pe Windows NT 4.0. În ambele cazuri, software-ul utilizat transformă serverul pe router TCP / IP, care primește pachetele criptate, le decriptează și trimite într-o rețea locală cu privire la destinația finală.
RRAS și AltaVista Tunel direcționate la administratorii de rețea cu constrângeri bugetare. AltaVista preț minim tunel este de $ 1.000. și RRAS Microsoft este disponibil ca o aplicație gratuită pentru Windows NT 4.0. Cu toate acestea, am constatat că aceste programe funcționează bine numai în rețele mici cu sarcină redusă de server. Ele sunt mai potrivite pentru utilizatorii de la distanță (client-to-LAN configurare) decât segmentele LAN la distanță.
RRAS - un produs mai avansat decât AltaVista tunelului. Folosirea acestuia este de fapt serverul de rețea în router gama medie de sprijin protocoalelor de rutare RIP (Routing Information Protocol) și OSPF (Open calea cea mai scurtă întâi). Filtrarea pachetelor este de asemenea prevăzut la reguli predeterminate (ca în firewall).
Lucrul cu aceste produse - o modalitate foarte bună de a câștiga experiență în utilizarea de tunelare. Ele pot fi rulate pe servere existente ale căror resurse sunt folosite pentru alte sarcini. Pentru trafic nu este prea greu, mai ales atunci când nevoia de a asigura conectarea clienților la distanță la rețelele locale, este posibil să se înceapă cu instalarea RRAS sau AltaVista tunel.
Produsul F-Secure VPN de la Fellows de date are o arhitectură neobișnuită. Acesta include o interfață grafică cu utilizatorul bazată pe Windows 95 / NT, cu care a format o rețea de tunele criptate. Apoi, creați o dischetă de încărcare pentru computerele bazate pe tehnologia Intel. În cazul în care sistemul pornește de la o dischetă, computerul este capabil să lucreze numai ca un sistem VPN specializat.
Această abordare are o poziție intermediară între tunelurile hardware și software. Din păcate, el a moștenit deficiențe ale ambelor abordări. Pe capul administratorului de rețea chinuiți toate dificultățile și costurile asociate cu construcția sistemului de hardware. În plus, avantajele unui sistem software pur, cum ar fi capacitatea de a partaja resursele și de a reduce costurile, nu deloc. F-Secure VPN este în valoare de $ 2.500 de. ca și cu orice sistem de specialitate nu permite utilizarea echipamentului pentru orice alt scop. Această soluție este, în principal pentru a atrage atenția administratorilor de rețea în școli, în cazul în care disponibilitatea forței de muncă ieftină și o reducere de 50 la suta din Fellows de date va servi ca o justificare pentru neplăcerile asociate cu utilizarea acestuia.

tunele hardware

În general, cel mai mult ne-a placut solutia de criptare hardware. Cel care este puternic preocupat de protecția datelor, chiar în cazul în care transferul în aceeași clădire, cel mai bine este de a profita de Cipro Radguard. Aceasta companie îi pasă de protecție a datelor. Cu toate acestea, rețineți că Ravlin de la RedCreek costă aproximativ jumătate la fel de mult mai rapid și furnizează un link la modul „rețea de client“. În cazul în care organizația dvs. a instalat high-end Cisco, opțiune foarte bună este de a utiliza ESA. Performanță înaltă și conversie ușoară a canalelor de comunicare existente la datele criptate depășesc complexitatea sistemului de control al interfeței.

construirea unei rețele VPN înseamnă caracteristici comparative