Материалы круглого стола "Как мы выбираем VPN. Требования потребителя"

Материалы круглого стола "Как мы выбираем VPN. Требования потребителя"

Разветвленная структура современной крупной компании требует наличия постоянной, надежной и безопасной связи между филиалами. И здесь другого доступного решения, кроме использования виртуальных частных сетей (VPN), не просматривается. Именно поэтому VPN-технологии широко применяются фирмами и набирают все большую популярность.

В целях обсуждения проблем VPN нашим журналом был организован круглый стол, состоявшийся в рамках выставки Infosecurity'2005. Представляем материалы этого круглого стола.

Вначале слово было дано представителю потребителей — В.В. Мяснянкину Сокращенный вариант его выступления читайте в статье "VPN глазами клиента", публикуемой в данном номере журнала (см. с. 32).

Затем слово взял интегратор К.Б. Феоктистов ("Открытые технологии"). Ниже приводится сокращенный текст его выступления.

"В одном из проектов мы решали задачу по выбору средств защиты каналов с помощью VPN-устройств, что потребовало от нас нахождения оптимального продукта, соответствующего требованиям заказчика. Некоторые требования, предъявляемые заказчиками, оказались несовместимы с рынком российских средств криптографической защиты информации. С одной стороны, требовалось наличие "сертифицированной криптографии", с другой — достаточно высокая производительность и масштабируемость продуктов, масштабируемость решения. Заказчику было необходимо шифровать трафик в канале пропускной способностью 1 Гбит. На рынке не удалось найти сертифицированных устройств, обеспечивающих такую производительность.

В процессе работы над этой проблемой мы сформулировали несколько требований к подобным устройствам.

Во-первых, для многих крупных предприятий необходимы сертифицированные решения VPN, позволяющие шифровать трафик на скорости порядка 1 Гбит.

Во-вторых, по каналам все больше передаются сигналы IP-телефонии, видеоконференц-связи, чувствительные к задержке распространения, поэтому поддержка современных протоколов управления качеством сервиса тоже является важной характеристикой VPN.

В-третьих, нужна интеграция в корпоративную систему управления средствами обеспечения информационной безопасности. На сегодняшний день практически все продукты VPN, представленные на российском рынке, являются автономными средствами и управляются только со специализированных консолей. Интегрировать такие решения достаточно сложно и, как правило, приходится иметь отдельные стенды для управления.

В-четвертых, для VPN-устройств важна совместимость криптографических средств со средствами построения VPN-каналов".

Затем слово взял С.Д. Рябко, представитель разработчиков. Он изложил свое видение принципов построения VPN-продуктов на основе максимального использования протоколов и изделий западных фирм, в которые встраивается отечественная криптография.

В ходе дискуссии поднимался вопрос о совместимости ключевых схем VPN, методов генерации пакетных ключей, об инфраструктуре открытых ключей. Как отметил Рябко С.Д. "если IPSeс — это дюжина стандартов и спецификаций, то интеграция инфраструктуры — это полсотни стандартов, нужно просто брать и внедрять".

С.Д. Рябко ответил на вопросы участникам круглого стола о том, что должна сделать фирма-разработчик аппаратного шифратора, которая решила создать продукт, совместимый с конкретной VPN, и существуют ли профили, на которые можно было бы сослаться.

По словам С.Д. Рябко, необходимо реализовать совместимость по КРИПТО алгоритмам, например, по спецификации ГОСТ 28147-89, а затем реализовать совместимость по коммуникационным протоколам. Ориентироваться целесообразно на IPSec как на общепринятый стандарт VPN. Есть дополнительные спецификации-расширения протоколов IKE/IPsec здесь мы используем профили Cisco, но это — за пределами базовой функциональности, которая у ведущих производителей разработана в совместимых профилях.

Несколько отличную точку зрения на проблему VPN высказал В.В. Игнатов, вице-президент компании "Инфотекс". По его мнению, методы симметричной криптографии более надежны, а вопросы распределения ключей, например, в продукции "Инфотекс", решаются даже лучше, чем в стандартных PKI.