Туннелирование на основе специализированных аппаратных средств

Наиболее высокую производительность обеспечивают аппаратные средства защищенного туннелирования. Такие средства чаще всего совместимы с протоколом IPSec и применяются для формирования криптозащищенных туннелей между локальными сетями. Однако оборудование для формирования VPN от некоторых производителей одновременно поддерживает и связь в режиме "удаленный компьютер — локальная сеть". Программы под Windows, обеспечивающие туннелирование данных от удаленного пользователя к локальной сети, поставляют компании Bay Networks, Isolation Systems, RedCreek и Timestep. Другими производителями средств аппаратного туннелирования являются компании Radguard, Unified Access Communications, Internet Devices. Простейший вариант работы аппаратных туннелей — мостовая связь с шифрованием. Такие устройства чаще всего устанавливают на стыке между локальной и глобальной сетью сразу же после маршрутизатора (рис. В.4). Они встраиваются в существующие сети TCP/IP и выполняют автоматиче­ское шифрование заданного трафика. Основное преимущество данного под­хода состоит в том, что рабочие станции и маршрутизаторы никаким образом не связаны с формируемым криптотуннелем, а соответственно, их не нужно переконфигурировать при установке VPN. Криптотуннель оказывается совершенно невидимым для всех сетевых устройств. Определить факт шифрования пакетов сообщений на участке сети между устройствами туннелирования можно только с помощью сетевого анализатора, подключенного к этому участку.

Рис. В.4. Схема туннелирования на основе специализированных аппаратных средств

Аппаратные устройства построения VPN отличаются простотой установки и дальнейшего использования. Управление такими устройствами фактически требует решения двух задач: управления ключами через сертификационный центр и управления защищенным туннелированием. Большинство аппаратных устройств построения VPN поставляются вместе с управляющим программным обеспечением, способным функционировать под управлением операционных систем Windows 95/98/NT. Такие программы управления обеспечивают выполнение основных защитных функций туннеля и обработку ошибок. Аппаратными туннелями можно управлять централизованно с одного рабочего места. В большинстве средств аппаратного туннелирования сертификационные центры представляют собой программные приложения под Windows. В отдельных продуктах, например в cIPro-VPN от компании Radguard, за управление ключами отвечает специальное дополнительное устройство. Некоторые аппаратные туннели не способны работать при отсутствии связи с сертификационным центром.

Аппаратные туннели различаются и по своей гибкости. Хороший туннель позволяет администратору указывать, какой трафик следует шифровать, какой пересылать без шифрования, а какой — просто блокировать. Например, изделие cIPro-VPN от Radguard позволяет устанавливать следующие параметры фильтрации: адреса источника и точки назначения, используемые порты и протоколы, а также любой набор бит в IP-пакетах. Данный продукт, выполняя аппаратное шифрование, обеспечивает пропускную способность до 100 Мбит/с. Устройство с собственными средствами трансляции сетевых адресов можно дополнить платой брандмауэра. Поддерживается протокол IPSec, а также связанные с ним спецификации ISAKMP/Oakley и Х.509.

В 1998 г. компания Bay Networks приобрела фирму New Oak Communications, в результате чего получила многоцелевой аппаратный продукт Contivity Extranet Switch, который кроме создания VPN способен исполнять роль маршрутизатора, брандмауэра, мультиплексора для интерфейсов Т1 или ТЗ, а также диспетчера пропускной способности. Как средство построения VPN, продукт Contivity Extranet Switch поддерживает протоколы L2F, РРТР, L2TP и IPSec. Для проверки полномочий доступа, подлинности ключевой информа­ции и других аналогичных данных, а также распределения ресурсов он может использовать службы каталогов NDS, Windows NT Directory Services, LDAP и RADIUS (Remote Authentication Dial-In User Service). В настоящее время этот продукт является одним из наиболее развитых аппаратных средств туннелирования. Кроме того, компания Bay Networks включила поддержку VPN в свое семейство концентраторов удаленного доступа.