Контакты
Подписка
МЕНЮ
Контакты
Подписка

VPN: плюсы и минусы

VPN: плюсы и минусы

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

VPN: плюсы и минусы

Александр Шахлевич
Специалист отдела маркетинга компании "Информзащита"

О технологии виртуальных частных сетей VPN не писал еще только ленивый, да и в мире ИБ VPN уже стала де-факто стандартом построения защищенных каналов связи.

Плата за сохранность

Технология VPN отвечает основополагающим критериям сохранности информации: целостность, конфиденциальность, авторизованный доступ. При правильном выборе VPN обеспечивается масштабирование, то есть использование VPN не создаст проблем роста и поможет сохранить сделанные инвестиции в случае расширения бизнеса. Да и в сравнении с выделенными линиями и сетями на основе Frame Relay виртуальные частные сети не менее надежны в плане защиты информации, однако в 5-10, а иногда и в 20 раз дешевле.

Но у всего есть обратная сторона, и технология VPN не исключение. Одним из недостатков VPN является падение производительности сети, связанное с криптографической обработкой трафика, проходящего через VPN-устройство. Возникающие задержки можно разделить на три основных типа:

  • задержки при установлении защищенного соединения между VPN-устройствами;
  • задержки, связанные с зашифровыванием и расшифровыванием защищаемых данных, а также с преобразованиями, необходимыми для контроля их целостности;
  • задержки, связанные с добавлением нового заголовка к передаваемым пакетам.

Давайте подробнее остановимся на каждом из обозначенных типов.

  1. С учетом криптографической стойкости применяемых алгоритмов смена ключа возможна через достаточно длительный интервал времени. Поэтому при использовании средств построения VPN такие задержки практически не влияют на скорость обмена данными.
  2. Задержки этого типа начинают сказываться на производительности каналов связи только при передаче данных по высокоскоростным линиям (от 100 Мбит/с). В остальных случаях быстродействие программной или аппаратной реализации выбранных алгоритмов шифрования и контроля целостности обычно достаточно велико, и в цепочке операций над пакетом "зашифровывание - передача в сеть" и "прием из сети - расшифровывание" время зашифровывания (расшифровывания) значительно меньше времени, необходимого для передачи данного пакета в сеть.
  3. Здесь-то мы и сталкиваемся с основной проблемой, каковой является добавление дополнительного заголовка к каждому пакету, пропускаемому через VPN-устройство. Для примера можно рассмотреть систему управления, которая в реальном времени осуществляет обмен данными между удаленными станциями и центральным пунктом. Размер передаваемых данных не велик - не более 25 байт, что сопоставимо с размером данных в банковской сфере (платежные поручения) и IP-телефонии. Интенсивность передаваемых данных - 50-100 переменных в секунду. Взаимодействие между узлами осуществляется по каналам с пропускной способностью в 64 кбит/с. Пакет со значением одной переменной процесса имеет длину 25 байт (имя переменной - 16 байт, значение переменной - 8 байт, служебный заголовок - 1 байт). IP-протокол добавляет к длине пакета еще 24 байта (заголовок IP-пакета).

В случае использования каналов Frame Relay добавляется еще 10 байт FR-заголовка. Всего 59 байтов (472 бита). Таким образом, для нормальной работы необходима полоса пропускания, что хорошо вписывается в имеющиеся ограничения пропускной способности в 64 кбит/с.

Что мы получаем при использовании средств VPN? Для протокола IPSec и указанных параметров требуемая пропускная способность будет превышена на 6% (67,8 кбит/с). Для протокола, используемого в программно-аппаратном комплексе "Континент", дополнительный заголовок, добавляемый к каждому пакету, составляет всего 36 байт (или 26 - в зависимости от режима работы), что в данных условиях не вызовет задержек в работе (57 и 51 кбит/с соответственно). Для протокола SSL и тех же условий дополнительный заголовок составит 21 или 25 байт, в зависимости от алгоритма шифрования, это также не вызовет падения производительности.

Пример взят для наглядности, но чем больше объем передаваемых данных, тем больше вносимые задержки. Такое падение производительности сети не критично для большинства приложений и сервисов, но, например, губительно для передачи потокового аудио и видео. Вдобавок с развитием информационных технологий потребность в скоростной передаче трафика большого объема все возрастает, соответственно растут и требования как к самим каналам связи, так и к средствам их защиты.

По мнению западных аналитиков, пока лишь 5% пользователей, работающих, например, в финансовом секторе, нуждаются в таких высоких стандартах. Остальные 95% не столь серьезно относятся к проблемам со связью, а затраты большего количества времени на получение информации не приводят к колоссальным убыткам.

Модные тренды

Потребности бизнеса и подходы к построению ИБ сформировали к настоящему моменту два ключевых направления развития технологии VPN: это IPsec VPN и SSL VPN. Посмотрим, в чем основные плюсы и минусы каждой из них.

1. IPSec (IP Security) - это набор протоколов, решающих проблемы по шифрованию данных, их целостности и аутентификации. IPSec работает на сетевом уровне. Таким образом, защита данных будет прозрачна для сетевых приложений. В то время как SSL (Secure Socket Layer) - протокол уровня приложений, в основном используется для защищенного обмена информацией между удаленными приложениями (по большей части это обращение к Web-серверам), IPSec одинаково обращается с пакетами протоколов более высокого уровня, то есть аутенти-фицируются и шифруются, не обращая внимания на их содержание. А вот для работы SSL необходим надежный транспортный протокол (например, TCP). Надежность IPSec еще гарантируется тем, что информация о порте, с которым установлено соединение, также недоступна для злоумышленника.

2. IPSec поддерживает три вида установления соединения:

  • Gateway-to-Gateway;
  • Gateway-to-Host;
  • Host-to-Host.

SSL поддерживает только соединение между двумя хостами или клиентом и сервером.

3. IPSec поддерживает цифровую подпись и использование Secret Key Algorithm, в то время как SSL - только цифровую подпись. И IPsec и SSL могут использовать PKI. Преимущество IPSec: для малых систем можно вместо PKI применять preshared keys, что заметно упрощает задачу. Методы, которые используются в SSL, идеально подходят для установления защищенного соединения между сервером и клиентом. Основное различие между способами аутентификации опять же заключается в том, что IPSec функционирует на сетевом уровне, что позволяет прослеживать адрес получателя и источника с тем же успехом, что и аутентификацию более высоких уровней. SSL же имеет доступ только к информации транспортного уровня и выше.

4. Среди недостатков IPSec - большой объем дополнительной информации, добавляемой к исходному пакету. В случае SSL этот размер значительно меньше.

5. Для сжатия IPSec применяется протокол IPComp. SSL в меньшей мере использует сжатие, и только OpenSSL поддерживает его полностью. В случае IPSec использование алгоритмов сжатия может приводить к разным результатам при применении их в разных условиях: производительность способна как увеличиваться, так и уменьшаться.

Результат зависит от соотношения скоростей шифрования, сжатия и скорости  передачи данных.

Большинство алгоритмов шифрования работают быстрее алгоритмов сжатия. Следовательно, это будет приводить к замедлению работы. Но в случае низкой скорости передачи использование сжатия заметно увеличит производительность.

В качестве заключения

SSL очень быстро развивается в сегменте "клиент-сервер VPN" (по сравнению с IPSec), так как при небольших издержках предоставляет необходимый уровень защищенности информации. И хотя пока SSL пытается на равных конкурировать с IPSec, но с появлением и окончательной стандартизацией IPv6 ситуация должна измениться.

Что выбрать - решать только заказчику. Лидеры по производству средств защиты информации отлично справляются с развитием обоих направлений и способны предложить оптимальное решение, соответствующее индивидуальным потребностям конкретного клиента.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2009
Посещений: 32621


  Автор
Александр Шахлевич

Александр Шахлевич

Ведущий специалист департамента маркетинга компании "Информзащита"

Всего статей:  6

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций