Обзор Средства защиты информации и бизнеса 2006 подготовлен При поддержке
CNewsAnalytics 3Com TippingPoint

Особенности российского рынка VPN

На российском рынке широко представлены и западные решения VPN, и, что особенно приятно, собственные. Однако, не уступая иностранным аналогам в криптографической части, отечественные разработки все еще отстают в вопросах масштабирования и интеграции в существующую ИТ-инфраструктуру.

Услуги VPN можно разделить на три типа. Первый — VPN доступ — обеспечение защищенных соединений для удаленного доступа одиночных пользователей (мобильные и надомные работники) к корпоративным сетям через инфраструктуру оператора связи, с соблюдением той же политики, что и в частной сети.

Второй — VPN-интранет — построение внутренних корпоративных сетей через сети общего доступа, с соблюдением политики частной сети.

Третий — VPN-экстранет — построение корпоративных сетей через сети общего доступа с предоставлением дополнительного доступа для поставщиков, заказчиков и деловых партнеров при соблюдении политики частной сети.

Для построения VPN предлагается широкий выбор архитектур — виртуальные каналы Frame Relay/ATM, IP-туннели с использованием технологий GRE или IPSec, а также MPLS на маршрутизируемых магистралях, IP+ATM магистралях или Frame Relay/ATM магистралях.

Услуги и архитектура VPN

Услуги

Архитектура

Технологии

VPN доступа

От клиента, от узла доступа

L2F/L2TP, IPSec, Dial, ISDN,
DSL, Mobile IP, Cable

VPN интранет и экстранет

IP туннели
Виртуальные каналы
MPLS

GRE, IPSec, Mobile IP
GRE, IPSec, Mobile IP
IP, IP+ATM

Источник: CNews Analytics, 2006

Все варианты VPN, приведенные в данной таблице, обеспечивают функции разделения доступа. А вот функции обеспечения целостности и конфиденциальности передаваемой информации VPN обеспечивают только при использовании технологий шифрования данных. Именно об этом варианте построения VPN будет идти речь дальше.

Законодательное регулирование

Начать необходимо с вопросов законодательства, так как деятельность в области защиты информации с использованием средств шифрования является регулируемой. Основным нормативным документ здесь является постановление правительства номер 691 от 23-09-2002 «О лицензировании отдельных видов деятельности». В нем определено, что лицензируемыми являются следующие виды деятельности: распространение шифровальных (криптографических) средств; техническое обслуживание шифровальных (криптографических) средств; предоставление услуг в области шифрования информации; разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем. Лицензии на эти виды деятельности выдаются ФСБ РФ.

Если же посмотреть на это в практическом применении, то очень коротко ситуацию можно описать так. Компании, занимающиеся разработкой и производством средств построения VPN на территории России должны иметь лицензию на разработку и производство. Компании, продающие такие решения своим партнерам или клиентам должны иметь лицензию на распространение. Компании, занимающиеся сопровождением подобных систем VPN (как своих собственных, так и по договору) должны иметь лицензию на техническое обслуживание. Компании (обычно операторы связи и услуг), предоставляющие своим клиентам зашифрованные виртуальные частные сети должны иметь лицензию на предоставление услуг. В том случае, если компания имеет средства построения VPN для своих внутренних нужд, но при этом их техническим обслуживанием занимается по договору другая организация (например, системный интегратор), она может не иметь никаких лицензий.

Еще один интересный аспект, что эти требования о лицензировании соответствующих видов деятельности распространяются как на средства шифрования российского производства, так и на средства шифрования западного производства. Однако есть два принципиальных различия. Первое состоит в том, что средства российского производства могут быть сертифицированы ФСБ РФ и, в зависимости от уровня сертификации, использоваться для защиты определенных классов информации. Для западных решений понятие сертификация отсутствует как класс, и это существенно снижает область их применения. Второе отличие заключается в том, что для ввоза на территорию РФ западных средств шифрования компания-импортер должна предварительно получить лицензию МЭРТ, которая выдается на определенное количество экземпляров и действует в течение года. Таким образом, те компании, которые планируют использовать технологии VPN для обеспечения целостности и конфиденциальности передаваемой информации должны определить, необходимо им использовать сертифицированные средства или нет, а также какими лицензиями им необходимо обладать. Только после ответа на этот вопрос можно задумываться о выборе конкретного средства.

В последнее время ряд западных производителей средств VPN заявил о встраивании в свои продукты российских криптографических алгоритмов и даже получении сертификата на них. Это небольшое лукавство. Наличие сертификата на российскую криптографию не снимает необходимости легитимного ввоза оборудования, содержащего функции шифрования, на территорию России. Такое оборудование должно ввозиться только по лицензии Министерства по экономическому развитию и торговле и только после получения разрешения со стороны ФСБ в соответствии с существующим законодательством. Иными словами, поддержка российских ГОСТов это хорошо, но не является достаточным основанием для обхода таможенного законодательства и бесконтрольного ввоза VPN-решений на территорию России.

При этом не надо забывать про то, что сертификат ФСБ выдается не на западный VPN-продукт, а на встраиваемую криптобиблиотеку (криптоядро), что приводит к необходимости дополнительной сертификации самого средства защиты, особенно если оно будет использоваться в госструктурах, так как согласно российскому законодательству системы защиты в государственных структурах можно использовать только при условии наличия у него сертификата (на изделие целиком, а не его отдельные компоненты).

Разрыв сокращается

Если посмотреть правде в глаза, то за счет того, что рынок средств шифрования за рубежом был менее «зарегулированным» и более конкурентным, развитие подобных технологий там шло быстрее. Мы с грустью вынуждены констатировать, что также как и в других областях инфокоммуникаций, продукты зарубежных производителей превосходят отечественные. Причем эта разница лежит не в стойкости криптографических алгоритмов, а в удобстве внедрения, управления качеством обслуживания для различных типов потоков данных, масштабируемости, взаимной совместимости и тому подобных вещах. Интеграция технологий VPN с другими технологиями, такими как межсетевое экранирование и/или маршрутизация также является большим преимуществом западных решений.

Магический квадрант Garthner, IPsec VPN

Источник: Gartner, 2006

Мировыми лидерами, делящими между собой рынок VPN, являются такие компании как Cisco Systems, Checkpoint Software, Juniper Networks и ряд других. При этом приятно отметить, что российские разработчики VPN в последние годы активно трудились, чтобы уменьшить отставание. И, что особенно вызывает уважение, не только в технологической области. Разработка и опубликование в IETF информационного RFC 4357 «Additional Cryptographic Algorithms for Use with GOST 28147-89, GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms» явилось весьма значительным шагом, в том числе в области совместимости между собой и самих Российских решений. Активное добавление функций поддержки качества обслуживания и отказоустойчивости позволяет обеспечить стабильное функционирование подобных систем в больших распределенных сетях. Подтверждением этого является очень распространенная ситуация, когда сама по себе сетевая инфраструктура строиться на оборудовании западных производителей, а уже на эту инфраструктуру накладываются сети VPN построенные на базе сертифицированных решений. Подобный подход используется во многих государственных учреждениях РФ.

К основным российским производителям средств VPN можно отнести следующие компании: «Амикон» — с продуктами ФПСУ-IP и ФПСУ-IP-мини, «Информзащиту» — с продуктом «Континет», «Инфотекс» — с серией продуктов VipNet, «Фактор ТС» — с серией продуктов Дионис, «Инфосистемы Джет» — с продуктом «Тропа», «Элвис Плюс» — с продуктом «Застава», «С-Терра» — с продуктом CSP VPN, «Голлард» — c продуктом «Заслон». Краткий сравнительный анализ продуктов можно увидеть в таблице.

В заключение, хотелось бы еще раз подчеркнуть основные тенденции российского рынка VPN, а именно: высокий уровень государственного регулирования, что приводит к медленному росту этого сегмента рынка ИБ; технологическое преимущество западных продуктов по критериям масштабируемости, простоты обслуживания, и интеграции дополнительных функций; широкий выбор и активное технологическое развитие российских средств построения VPN.

Два последних аспекта в результате дают нам самое главное — наличие на рынке и возможность выбора именно того решения, которое наилучшим образом будет соответствовать потребностям каждого конкретного предприятия, в зависимости от его масштаба, вида собственности, категорий обрабатываемой информации и т.д.

Михаил Кадер / CNews Analytics

Краткий сравнительный анализ популярных российских VPN-продуктов

Решение

Производитель

Алгоритмы шифрования

Протоколы передачи данных

Сетевая среда

Скорость шифрования

Поддерживаемые операционные системы

Программно-аппаратный комплекс «ФПСУ-IP»

Амикон

ГОСТ 28147-89

IP v. 4, Протокол VPN — © AMICON.

Ethernet, TCP-IP

До 270 Мбит/c на процессоре Intel Pentium 4 3.4 ГГц.

Собственная, функционально замкнутая, 32-разрядная.

Программно-аппаратный VPN-агент «КРИПТОН IP Mobile»

Анкад

ГОСТ 28147-89

Ethernet/Fast Ethernet, TCP/IP

Ethernet/Fast Ethernet

До 80 Мбит/с

Windows 2000/2003/XP, Linux

Широкополосный аппаратный IP-шифратор «Заслон»

Голлард

ГОСТ 28147-89

IP v. 4

Основанная на протоколе IP

180 Мбит/с

Любые

Аппаратно-программный комплекс шифрования «Континент»

Информзащита

ГОСТ 28147-89

Собственный, на основе ГОСТ 28147-89

 

До 80 Мбит/с (на процессоре Pentium IV, 2,4 МГц)

Аппаратно-программная реализация. Собственная ОС на базе FreeBSD Windows 98/NT/2000/XP

VPN-шлюз
Тропа-Джет

Инфосистемы Джет

ГОСТ 28147-89
Хэш ГОСТ Р 34.11-94

IPsec, UDP

TCP/IP

До 100 Мбит/с

Solaris SPARC и x86

Программный комплекс ViPNet

Инфотекс

ГОСТ 28147-89

TCP/IP

Ethernet

До 100 Мбит/с

Windows 98/ME/NT/2000/2003/XP, Linux, Solaris 8

Многоуровневый криптомаршрутизатор DioNIS FW/KM

Фактор-ТС

ГОСТ 28147-89

TCP/IP, TCP/IP over X.25

TCP/IP, X.25

100 Мбит/с

Собственная, DOS

VPN-клиент CSP VPN Client

(Шлюз безопасности CSP VPN Gate)

С-Терра СиЭсПи

Возможность встроить любую внешнюю криптобиблиотеку

ГОСТ 28147-89,
ГOCT P 34-10-94, ГOCT P 34-10-2001,
ГОСТ Р 34.11-94

Западные криптостандарты (не сертифицированы; используются в режиме теста/совместимости с западными продуктами):
DES
3DES
AES
RSA
MD5
SHA-1

Протоколы защиты информации:

IPsec (RFC 2401)
AH (RFC 2402)
ESP (RFC 2406)
IKE (RFC 2409)
OAKLEY (RFC 2412)
ISAKMP (RFC 2408)
ISAKMPDOI (RFC 2407)
XAUTH

Ethernet 10/100/1000 BaseT

V.35, RS530, X.21, G.703, G.704, G823 (в шлюзах CSP VPN Gate 3000, 7000 при использовании сетевых адаптеров Cronyx)

До 230 Мбит/с (IPsec ESP ГОСТ 28147) на одном процессоре Intel Xeon 3.06 ГГц.


Windows 2000/XP
(Solaris 8, 9/Linux)

Застава

Элвис-Плюс

ГОСТ 28147-89, ВЕСТА-2М, AES, DES, 3DES, IDEA, RC4-40, RC2, NULL

IPSec

Протоколы IP

160 Мбит/с на однопроцессор-ной системе.
450 Мбит/с на
4-хпроцессор-ной системе.

Solaris 8 (64 bit)
МСВС 3.0, Windows NT/ 2000/XP

Источник: CNews Analytics, 2006

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2006 г.

Toolbar | КПК-версия | Подписка на новости  | RSS