Построение защищенных виртуальных сетей на основе специализированного программного обеспечения

Для построения защищенных виртуальных сетей широко используются специализированные программные средства. В последнее время появилось достаточно много таких продуктов. Все программные средства построения VPN позволяют формировать защищенные туннели чисто программным образом и превращают сервер, на котором они функционируют, в маршрутизатор TCP/IP, который получает зашифрованные пакеты, расшифровывает их и передает по локальной сети дальше, к конечной точке назначения. Кратко рассмотрим лишь отдельные из них.

Продукты AltaVista Tunnel от Digital Equipment и RRAS (Routing and Remote Access Service) от Microsoft поддерживают защищенную передачу данных от одной локальной сети к другой и от удаленного компьютера к локальной сети. AltaVista Tunnel может функционировать под управлением большинства современных операционных систем — Windows NT, UNIX BSD/OS, UNIX FreeBSD и Digital Unix. RRAS от Microsoft работает только под управлением Windows NT 4.0. Несмотря на то, что RRAS от Microsoft выпускается в качестве бесплатного приложения к Windows NT 4.0, это средство защищенного туннелирования является более развитым продуктом, чем AltaVista Tunnel с минимальной ценой около 1000 долларов. Использование RRAS фактически превращает сетевой сервер в маршрутизатор среднего уровня, поддерживающий протоколы маршрутизации RIP (Routing Information Protocol) и OSPF (Open Shortest Path First). Поддерживаются также отдельные функции по фильтрации трафика.

Как показывает практика, при защите потока сообщений между локальными сетями программные системы AltaVista Tunnel и RRAS обеспечивают достаточную пропускную способность только в небольших сетях с мало загруженными серверами. Поэтому эти продукты больше подходят для защищенного взаимодействия с локальными сетями удаленных пользователей. Работа с данными системами, особенно с RRAS, позволяет набраться опыта в применении защищенного туннелирования. Их можно запускать на уже существующих серверах, ресурсы которых используются и для других задач. При не слишком интенсивном трафике, особенно при необходимости обеспечить связь с локальной сетью удаленных пользователей, обеспечивается достаточная производительность.

Продукт F-Secure VPN от компании Data Fellows имеет необычную архитектуру. В состав этого продукта входит своя собственная операционная система. В начале с помощью подсистемы администрирования VPN, функционирующей под управлением Windows 95/98/NT, настраиваются параметры формируемой защищенной виртуальной сети. Затем с помощью этой же подсистемы создаются загрузочные дискеты для компьютеров на базе Intel, содержащие встроенную операционную систему F-Secure VPN. Если на компьютере загрузить операционную систему с такой дискеты, данный компьютер будет функционировать только как специализированная VPN-система. Такой подход занимает промежуточное положение между аппаратными и программными средствами построения защищенных туннелей. Это связано с тем, что такие преимущества чисто программной системы, как возможность совместного использования ресурсов и снижения затрат, при использовании F-Secure VPN отсутствуют.

Продукт VPN Server компании Aventail в решении задач туннелирования опирается на протоколы SOCKS 5 и SSL. Туннелирование выполняют программные посредники, область действия которых распространяется за брандмауэры и завершается в хорошо конфигурируемых и управляемых точках для каждого приложения в отдельности. Такие функциональные возможности наиболее полезны в случае наличия угроз перехвата трафика внутри локальных сетей. VPN на основе протокола SOCKS заканчиваются на компьютерах пользователей, а не на брандмауэрах. Поэтому на каждой рабочей станции, выступающей в качестве клиента, должно быть установлено специальное программное обеспечение.