Сравнение вариантов VPN
Виртуальные частные сети стали скорее необходимостью, чем роскошью для бизнес-пользователей, которым нужен способ доступа к файлам в офисной сети, когда они находятся в дороге, работают из дома или иным образом физически отделены от сети. Конечно, они могут напрямую подключаться к серверу удаленного доступа, но у этого решения есть пара существенных недостатков:
- Если ваше удаленное местоположение не находится в той же зоне вызова, что и сервер удаленного доступа, вам придется платить за междугородную связь, и они могут быстро накапливаться, если вам нужно проводить много времени в сети.
- Серверу удаленного доступа потребуется несколько телефонных линий и модемов, чтобы поддерживать более одного входящего соединения за раз — эти затраты также могут возрасти, если их много.
Решение, конечно же, это VPN-соединение. Если удаленный компьютер имеет подключение к Интернету (через модем, широкополосное соединение или локальную сеть), а офисная сеть имеет постоянное подключение к Интернету, такое как T-1 или широкополосный доступ бизнес-класса, наиболее экономичным способом подключения удаленных пользователей является путем туннелирования через общедоступную сеть. Технологии VPN используют протоколы туннелирования для создания соединения и протоколы шифрования для обеспечения «частной» части, позволяя вам безопасно получать доступ к VPN-серверу в сети компании и через него (если VPN-сервер настроен на это) к другим компьютерам. в локальной сети компании.
Таким образом, вопрос сегодня заключается не в том, использовать ли технологию VPN, а в том, какую технологию VPN использовать. Существует четыре популярных протокола VPN, каждый из которых имеет свои преимущества и недостатки. В этой статье мы рассмотрим каждый из них и обсудим их сравнение в зависимости от вашей цели.
Четыре любимых вкуса VPN
Поскольку VPN создает безопасный «туннель» через общедоступную сеть, протоколы, используемые для установления этого туннельного соединения, называются протоколами туннелирования. Если вы попросите типичного администратора Windows назвать пять протоколов туннелирования VPN, он может оказаться в тупике, имея дело только с двумя методами VPN, для которых Windows предоставляет встроенную поддержку. К пяти наиболее распространенным методам создания виртуальной частной сети относятся:
- РРТР
- L2TP
- IPSec
- SSL
Первые два, конечно же, знакомы админам Windows. Последние два могут быть меньше. К сожалению, не существует однозначного универсального решения. Наилучший выбор для вашей организации зависит от ряда факторов: развернутых серверных и клиентских операционных систем, сетевых ресурсов, к которым необходим доступ, требуемого уровня безопасности, проблем с производительностью, административных издержек и т. д.
РРТР
Протокол двухточечного туннелирования (PPTP), разработанный Microsoft совместно с другими технологическими компаниями, является наиболее широко поддерживаемым методом VPN среди клиентов Windows и единственным протоколом VPN, встроенным в операционные системы Windows 9x и NT. PPTP является расширением стандартного интернет-протокола точка-точка (PPP), протокола канального уровня, используемого для передачи IP-пакетов по последовательным каналам. PPTP использует те же типы аутентификации, что и PPP (PAP, SPAP, CHAP, MS-CHAP, EAP).
PPTP устанавливает туннель, но не обеспечивает шифрование. Он используется в сочетании с протоколом Microsoft Point-to-Point Encryption (MPPE) для создания безопасной VPN. PPTP имеет относительно низкие накладные расходы, что делает его быстрее, чем некоторые другие методы VPN.
Поскольку клиентское программное обеспечение встроено в большинство операционных систем Microsoft, серверы PPTP можно развертывать, не беспокоясь об установке клиентского программного обеспечения в этих системах. Клиенты PPTP также доступны для Linux (см. http://pptpclient.sourceforge.net/) и Macintosh OS 9.x (см. http://www.rochester.edu/its/vpn/tunnelbuilder.html). Mac OS X 10.2 поставляется со встроенной поддержкой PPTP, также для OS X доступны сторонние клиенты (см. http://www.gracion.com/vpn/). PPTP VPN поддерживаются многими основными межсетевыми экранами и программными межсетевыми экранами корпоративного уровня, включая ISA Server, Cisco PIX, SonicWall и некоторые модели WatchGuard.
В прошлом PPTP подвергался критике за различные недостатки безопасности; многие из этих проблем были решены в текущих версиях протокола. Использование аутентификации EAP значительно повышает безопасность PPTP VPN. Одним из преимуществ использования PPTP является отсутствие требований к инфраструктуре открытых ключей; однако EAP использует цифровые сертификаты для взаимной аутентификации (как клиента, так и сервера) и обеспечения максимальной безопасности.
L2TP
Протокол туннелирования уровня 2 (L2TP) был разработан в сотрудничестве между Cisco и Microsoft и сочетает в себе функции PPTP с функциями собственного протокола Cisco Layer 2 Forwarding (L2F). Одним из преимуществ L2TP по сравнению с PPTP является то, что его можно использовать в сетях, отличных от IP, таких как ATM, Frame Relay и X.25. Подобно PPTP (и как следует из его названия), L2TP работает на канальном уровне сетевой модели OSI. L2TP VPN поддерживаются многими основными брандмауэрами, включая ISA Server, CheckPoint, Cisco PIX и WatchGuard.
Клиент L2TP встроен в Windows 2000, XP и 2003, но вы можете загрузить клиентское программное обеспечение для большинства операционных систем до Windows 2000 (Windows 98, ME и NT 4.0).
IP Security (IPSec), а точнее его протокол Encapsulating Security Payload (ESP), обеспечивает шифрование для туннелей L2TP.
L2TP требует использования цифровых сертификатов. Аутентификация пользователя может выполняться с помощью тех же механизмов аутентификации PPP, что и PPTP, но L2TP также обеспечивает аутентификацию компьютера. Это добавляет дополнительный уровень безопасности.
L2TP имеет несколько преимуществ перед PPTP. PPTP обеспечивает конфиденциальность данных, но L2TP идет еще дальше, а также обеспечивает целостность данных (защиту от модификации данных между моментом, когда они были отправлены отправителем, и моментом, когда они достигли получателя), аутентификацию источника (подтверждение того, что пользователь, утверждающий, что он действительно отправлял данные) и защиту от повторного воспроизведения (которая не позволяет хакеру перехватывать отправляемые данные, такие как отправка учетных данных, а затем «воспроизводить» их, чтобы «обмануть» сервер). С другой стороны, накладные расходы, связанные с обеспечением этой дополнительной безопасности, могут привести к несколько более низкой производительности, чем PPTP.
IPSec
Администраторы Windows знают IPSec как протокол, используемый для шифрования в сочетании с протоколом туннелирования L2TP. Однако IPSec сам по себе может использоваться в качестве протокола туннелирования, и многие считают его «стандартным» решением VPN, особенно для VPN типа «шлюз-шлюз» (сайт-сайт), которые соединяют две локальные сети. IPSec работает на более высоком уровне модели OSI, сетевом уровне (уровень 3).
Многие аппаратные устройства VPN используют реализацию IPSec. Например, VPN-концентраторы Cisco и межсетевые экраны PIX поддерживают IPSec, как и устройства NetScreen, SonicWall и WatchGuard. Программные брандмауэры корпоративного уровня, такие как ISA Server, CheckPoint и Symantec Enterprise Firewall, также поддерживают IPSec VPN.
IPSec в туннельном режиме защищает пакеты, которые передаются между двумя шлюзами или между клиентским компьютером и шлюзом. Как следует из названия, IPSec VPN работает только с сетями и приложениями на базе IP. Подобно PPTP и L2TP, IPSec требует, чтобы на клиентских компьютерах VPN было установлено клиентское программное обеспечение.
Аутентификация осуществляется по протоколу обмена ключами в Интернете (IKE) либо с помощью цифровых сертификатов (что является более безопасным методом), либо с помощью предварительного общего ключа. Виртуальные частные сети IPSec могут защитить от многих наиболее распространенных методов атак, включая отказ в обслуживании (DoS), повтор и атаки «человек посередине».
Многие поставщики включают функции «управляемого клиента» в свое клиентское программное обеспечение VPN, что позволяет вам устанавливать политики в отношении таких вещей, как требование, чтобы на клиентской машине было установлено антивирусное программное обеспечение или персональный брандмауэр, чтобы иметь возможность подключаться. к VPN-шлюзу.
Поддержка IPSec включена в Windows 2000/XP/2003, но не в более старые операционные системы Windows. Поставщики VPN-шлюзов, такие как Cisco и CheckPoint, предоставляют клиентское программное обеспечение для своих VPN на основе IPSec. Обратите внимание, что вам, возможно, придется приобрести лицензии на клиентское программное обеспечение.
SSL
Технология VPN, популярность которой растет, — это VPN Secure Sockets Layer (SSL). Большим преимуществом SSL VPN является то, что вам не нужно специальное программное обеспечение VPN-клиента на VPN-клиентах. Это связано с тем, что SSL VPN использует веб-браузер в качестве клиентского приложения. Таким образом, SSL VPN известны как «бесклиентские» решения. Это также означает, что протоколы, которые могут обрабатываться SSL VPN, более ограничены. Однако это также может быть преимуществом в плане безопасности. При использовании SSL VPN вместо предоставления VPN-клиентам доступа ко всей сети или подсети, как в случае с IPSec, вы можете ограничить их доступ к определенным приложениям. Однако, если приложения, к которым вы хотите предоставить им доступ, не основаны на браузере, может потребоваться специальное программирование для создания подключаемых модулей Java или Active-X, чтобы сделать приложение доступным через браузер. Недостатком этого является то, что для использования таких подключаемых модулей необходимо открыть настройки браузера клиента, чтобы разрешить активное содержимое, что делает браузер уязвимым для вредоносных апплетов, если только вы не настроите его на блокировку неподписанного активного содержимого и убедитесь, что плагины имеют цифровую подпись.
SSL VPN работают на еще более высоком уровне модели OSI, чем IPSec VPN: сеансовом уровне. Это дает им возможность более детально контролировать доступ. SSL VPN используют цифровые сертификаты для аутентификации сервера. Для аутентификации клиента можно использовать и другие методы, но сертификаты предпочтительнее как наиболее безопасные.
Несмотря на отсутствие установленного клиентского программного обеспечения (кроме веб-браузера), шлюзы SSL VPN по-прежнему могут обеспечивать преимущества «управляемых клиентов», заставляя браузер запускать апплеты, например, для проверки наличия антивирусного программного обеспечения. прежде чем VPN-соединение может быть установлено.
Резюме
Виртуальные частные сети часто являются лучшим и наиболее экономичным способом предоставления удаленного доступа к сети вашей компании. Первым шагом в развертывании VPN-сервера/шлюза является выбор типа используемой технологии VPN. Четырьмя наиболее распространенными технологиями VPN являются PPTP, L2TP, IPSec и SSL. Каждый из них имеет свои преимущества и недостатки, поэтому важно ознакомиться с характеристиками каждого из них и с потребностями ваших пользователей, прежде чем принимать решение. В этой статье мы предоставили краткий обзор каждого из этих протоколов VPN.