Современное состояние технологии VPN позволяет обеспечить достаточную гибкость и одновременно высокую безопасность сети; а главное, виртуальные сети делают возможной существенную экономию затрат.

Развитие бизнеса — вещь, несомненно, хорошая, но и стоит она недешево. Возьмем, к примеру, компанию, собирающуюся открыть региональные офисы по всей стране или предоставить деловым партнерам доступ к некоторому сегменту своей корпоративной сети. Многие в такой ситуации соединяют свои офисы с помощью линий T1/E1 и платят за них тысячи долларов в месяц. А если нужна пропускная способность, превышающая возможности такой линии или если требуется связать международные офисы, это обходится еще дороже.

Более предпочтительной альтернативой является создание виртуальной частной сети (VPN — Virtual Private Network) на базе общедоступной Internet. Современное состояние технологии VPN позволяет обеспечить достаточную гибкость на случай будущего расширения сети при сохранении высокой надежности и безопасности. А главное, виртуальные сети обеспечивают существенную экономию затрат по сравнению с содержанием собственной сети глобального масштаба. Однако при этом надо помнить, что внедрение решений на основе VPN может привести к снижению производительности и потребовать значительных начальных затрат. Поэтому решение вопроса о выборе VPN или альтернативного решения требует тщательного анализа.

Занимайтесь своим делом

Одним из главных достоинств Internet является то, что она широкодоступна. Этот «святой источник» всех сетей может проникнуть практически в любое место, где есть телефон. Мировая паутина быстро реагирует на постоянно растущие требования к объему трафика и позволяет обращаться к необходимым бизнес-приложениям с помощью простого браузера. Кроме того, Internet обладает высоким уровнем внутренней избыточности ресурсов, что обеспечивает хорошую отказоустойчивость. Если в одном сегменте происходит сбой, весь трафик перенаправляется по альтернативному маршруту. Это означает, что при подключении предприятия к Internet избыточность необходимо закладывать только в локальные соединения.

Неудивительно, что так много компаний отказывается от своих выделенных межофисных каналов в пользу стандартных Internet-соединений. Например, компания, имеющая штаб-квартиру в Нью-Йорке и небольшой офис в Сан-Франциско, может заменить свои магистральные каналы, связывающие разные штаты, локальными Web-соединениями и направлять весь свой трафик через Internet. Одна лишь экономия затрат при подобной замене вполне достаточна, чтобы убедить всех сомневающихся. При том что ежемесячная арендная плата за канал T1 от побережья до побережья составляет около 1200 долл., стоимость локального подключения к Internet обычно находится в пределах от 200 до 300 долл.

Конечно, связь через Internet имеет свои недостатки, главным из которых является то, что она подвержена потенциальным нарушениям защиты и конфиденциальности. Используя Internet в качестве расширения собственной внутрикорпоративной сети, вы посылаете информацию по общедоступным каналам, и всякий, кто может установить на ее пути анализатор протоколов, имеет потенциальную возможность перехватить вашу информацию. Попробуйте представить себе традиционную почту без конвертов!

Это именно та сфера, где технология VPN доказала свою ценность. Виртуальные частные сети могут гарантировать, что направляемый через Internet трафик так же защищен, как и передачи внутри локальной сети, при сохранении всех финансовых преимуществ, которые можно получить, используя Internet.

Вот как это работает. VPN-устройство располагается между внутренней сетью и Internet на каждом конце соединения. В нашем примере один из них может быть в Нью-Йорке, а второй — в Сан-Франциско. Когда вы передаете данные через VPN, они исчезают «с поверхности» в точке отправки и вновь появляются только в точке назначения. Этот процесс принято называть «туннелированием». Как можно догадаться из названия, это означает создание логического туннеля в сети Internet, который соединяет две крайние точки. Благодаря туннелированию частная информация становится невидимой для других пользователей Web.

Прежде чем попасть в Internet-туннель, данные еще и шифруются, что обеспечивает их дополнительную защиту. Протоколы шифрования бывают разные. Все зависит от того, какой протокол туннелирования поддерживается тем или иным VPN-решением. IPsec поддерживает самый широкий спектр стандартов шифрования, включая DES (Data Encryption Standard) и Triple DES. Еще одной важной характеристикой VPN-решений является диапазон поддерживаемых протоколов аутентификации. Большинство популярных продуктов работают со стандартами, основанными на использовании открытого ключа, такими как X.509. Это означает, что, усилив свою виртуальную частную сеть соответствующим протоколом аутентификации, вы сможете гарантировать, что доступ к вашим защищенным туннелям получат только известные вам люди.

Виртуальные частные сети часто используются в сочетании с межсетевыми экранами. Ведь VPN обеспечивает защиту корпоративных данных только во время их движения по Internet и не может защитить внутреннюю сеть от проникновения злоумышленников.

Решайтесь!

Все продукты для создания VPN можно условно разделить на две категории: программные и аппаратные. Программное решение для VPN — это, как правило, готовое приложение, которое устанавливается на подключенном к сети компьютере со стандартной операционной системой. Из соображений защиты и производительности для установки VPN-приложений лучше всего выделять отдельные машины, которые должны устанавливаться на всех концах соединения. Ряд производителей, такие как компании Axent Technologies, Check Point Software Technologies и NetGuard, поставляют VPN-пакеты, которые легко интегрируются с программными межсетевыми экранами и работают на различных операционных системах, включая Windows NT/2000, Sun Solaris и Linux.

Поскольку для построения VPN на базе специализированного программного обеспечения требуется создание отдельной компьютерной системы, такие решения обычно сложнее для развертывания, чем аппаратные. Создание подобной системы предусматривает конфигурирование сервера для распознавания данного компьютера и его операционной системы, VPN-пакета, сетевых плат для каждого соединения и специальных плат для ускорения операций шифрования. Такая работа в ряде случаев может оказаться затруднительной даже для опытных специалистов ИТ-службы.

С другой стороны, программные решения для VPN стоят относительно недорого. В зависимости от размера сети можно приобрести VPN-пакет за сумму от 2 до 25 тыс. долл. без стоимости оборудования, локальных соединений и времени, которое ИТ-персонал или консультанты должны будут потратить на установку и обслуживание системы.

В отличие от них аппаратные VPN-решения включают в себя все, что необходимо для соединения, — компьютер, частную (как правило) операционную систему и специальное программное обеспечение. Ряд компаний, в том числе Cisco Systems, NetScreen и Sonic, предлагают целый спектр решений, которые могут масштабироваться в зависимости от количества одновременных VPN-соединений, с которыми предполагается работать, и ожидаемого объема трафика.

Развертывать аппаратные решения, безусловно, легче. Они включают в себя все, что необходимо для конкретных условий, поэтому время, за которое их можно запустить, исчисляется минутами или часами, но никак не днями или неделями. Еще одним серьезным преимуществом аппаратных VPN-решений является гораздо более высокая производительность. В них используются специальные печатные платы и операционные системы, оптимизированные под данную задачу и освобожденные от необходимости поддерживать какие-либо избыточные функции, которые содержатся в универсальных ОС.

К минусам аппаратных VPN-решений можно отнести их высокую стоимость. Целесообразно ориентироваться на диапазон цен от 10 тыс. долл. за устройство для удаленного офиса до сотен тысяч долларов за VPN-концентратор уровня предприятия.

Какое решение лучше всего подходит той или иной организации? Выбор определяется тремя факторами: размер сети, технические навыки, которыми обладают сотрудники организации, и объем трафика, который планируется обрабатывать. Процесс шифрования данных требует существенных вычислительных ресурсов и может перегрузить компьютер, когда несколько VPN-соединений одновременно участвуют в передаче данных. В этом случае, чтобы разгрузить центральный процессор, возможно, придется установить специальные ускорительные платы.

Какой бы путь ни был выбран, все равно придется столкнуться с проблемой управления VPN-устройствами и поддержания согласованных правил безопасности для VPN и межсетевых экранов в масштабах всей организации. Еще раз стоит напомнить, что в этой области успех или неудача в очень значительной степени зависят от квалификации персонала ИТ-службы. Если сотрудники не обладают достаточными навыками в этой области, можно доверить создание виртуальной частной сети независимой компании, оказывающей соответствующие услуги. Эта компания проанализирует потребности, поможет выбрать оптимальную конфигурацию и примет на себя все работы по обслуживанию системы. Конечно, придется заплатить за установку и обслуживание, но, по крайней мере, это избавит от ненужной головной боли.

Internet — не только плацдарм для электронной торговли, это еще и отличная среда передачи данных, которая, кроме всего прочего, значительно дешевле выделенных каналов. Применяя технологию VPN, можно не только сэкономить деньги, но и открыть новые возможности для бизнеса. Представьте себе, например, что у вас появился экономически целесообразный способ электронного взаимодействия со своими заокеанскими партнерами. В любом случае вы получите конкурентное преимущество, которым вряд ли захотите делиться с вашими соперниками.


«Полет» по Internet без видимости для радаров

Виртуальные частные сети могут гарантировать, что направляемый через Internet трафик так же защищен, как и передачи внутри локальной сети, при сохранении всех финансовых преимуществ, которые можно получить, используя Internet