Построение защищенных виртуальных сетей на базе маршрутизаторов

В связи с тем, что маршрутизатор пропускает через себя все пакеты, передаваемые из локальной сети, он может использоваться также для зашифровывания этих пакетов. Кроме того, маршрутизатор может выполнять и функцию расшифровывания криптозащищенного входящего трафика. Поддержка функций построения защищенных виртуальных сетей в настоящее время включается во многие маршрутизирующие и коммутирующие устройства. Лидерами в этой области являются компании Cisco Systems и 3Com. Компания Cisco Systems включила в операционную систему IOS 11.3 (Internetwork Operating System 11.3), разработанную для своих маршрутизаторов, поддержку протоколов L2TP и IP-Sec. Протокол L2F стал компонентом IOS еще раньше и поддерживается во всех выпускаемых Cisco устройствах межсетевого взаимодействия и удаленного доступа. Разработанная Cisco Systems технология построения VPN отличается высокой производительностью и гибкостью. Обеспечивается туннелирование с шифрованием для любого IP-потока, передаваемого в "чистом" или инкапсулированном виде. Защищенный туннель строится на основании заданных адресов источника и назначения, номеров портов TCP/UDP и установленных параметров качества сервиса IP (IP Quality of Service). Если в локальной сети уже имеется маршрутизатор с операционной системой IOS, не поддерживающей протоколы L2TP и IP-Sec, можно установить на нем дополнительное программное обеспечение шифрования данных. При необходимости повысить производи­тельность целесообразно воспользоваться производимой Cisco Systems пла­той расширения ESA (Encryption Service Adapter). На ней установлен специализированный сопроцессор для шифрования.

Подобно прочим устройствам шифрования данных, плата ESA не только криптографически защищает информацию, но и предотвращает проникновение злоумышленника в систему, а также реагирует на все подозрительные ситуации. Если просто вытащить плату из маршрутизатора (даже отключив напряжение питания), то на лицевой панели загорится индикатор "Tamper" ("Злоумышленник") и для повторного запуска маршрутизатора понадобится вмешательство обслуживающего персонала. Для повторного запуска маршрутизатора необходимо либо знать пароль, устанавливаемый при первом вводе платы в эксплуатацию, либо быть готовым к тому, что вся ее оперативная память будет очищена. Если вскрыть модуль ESA, то активизируется специальный выключатель и произойдет очистка оперативной памяти. Шифрование данных на аппаратном уровне позволяет повысить производительность и снижает влияние функций поддержки защищенных туннелей на пропускную способность маршрутизатора.

Как и Cisco Systems, компания 3Com при реализации технологии VPN с самого начала ориентировалась на стандарты. Она является одним из крупнейших производителей концентраторов удаленного доступа, поддерживающих протоколы РРТР и L2TP. Поддержка VPN встроена в ее маршрутизаторы NetBuilder II, продукты SuperStack II NetBuilder и платформы OfficeConnect NetBuilder Platform. Сети VPN от 3Com совместимы и IP-Sec и разработаны для взаимодействия с внешними каталогами, включая Novell NDS и Windows NT Directory Services. Компания разработала также программное приложение TranscendWare Secure VPN Manager, основанное на Web-технологии и предназначенное для контроля загруженности VPN, а также сбора статистики и информации о происходящих событиях. Кроме того, 3Com выпускает инструментарий настройки на базе Web, позволяю­щий легко создавать криптозащищенные туннели. Еще одним уникальным предложением от 3Com является поддержка коммутации защищенных туннелей. Такая коммутация позволяет туннелю миновать брандмауэр и завершиться в конкретной подсети или даже на конкретной клиентской машине.