АРХИВ СТАТЬИ МНЕНИЯ ИНТЕРВЬЮ ТЕРРАЛАБ КОЛУМНИСТЫ ГОЛУБЯТНЯ БЛОГИ ГИД СОФТЕРРА БЛОГ РЕДАКЦИИ ЖУРНАЛ
Архивы: по дате | по разделам | по авторам

Реальная виртуальность

Архив
автор : Сергей Леонов   09.03.1998

Компьютерная техника настолько прочно входит сегодня в трудовой процесс, что во многих отраслях производства единственным "осязаемым" результатом труда являются подготовленные или обработанные с помощью компьютера документы, тексты программ или графические файлы. Сам процесс выполнения работы зачастую практически не требует присутствия сотрудника в конторе или офисе, особенно при наличии у него домашнего или переносного компьютера. В связи с этим на одно из первых мест выходит проблема информационного обмена, для решения которой все чаще применяются различные телекоммуникационные средства.

Одним из наиболее часто используемых способов обмена данными является использование электронной почты Интернета. Служба, изначально предназначавшаяся только для переписки (и то на английском языке), чрезвычайно активно используется сегодня для передачи двоичных файлов. Если несколько лет назад передача по почте документов размером более 60-80 Кбайт считалась, не то чтобы запрещенной, но, по крайней мере, некорректной, то сегодня через почтовые серверы проходят десятки, если не сотни мегабайт в день. Большинство этих данных, между тем, удобнее было бы передавать напрямую, без использования промежуточных звеньев в виде почтовых серверов, которые иногда обходятся с такой информацией не вполне корректно. К тому же сам принцип приема и передачи электронной почты - это все-таки off-line-технология, хотя и максимально автоматизированная. Использование технологии FTN-сетей вообще не выдерживают сегодня никакой критики, не обеспечивая ни оперативности, ни надежности доставки информации. Одним из возможных решений называют иногда метод прямого соединения с корпоративной сетью с использованием телефонных каналов и модемного пула. Решение это обладает значительно более широкими возможностями, но и не без недостатков, основным из которых является территориальная ограниченность доступа к сети, как по причине возрастающей с расстоянием оплаты за прямое телефонное соединение, так и из-за непредсказуемого качества связи. Положение может быть улучшено применением выделенных каналов связи, однако такое решение слишком дорого.

Существует, однако, технология, которая вполне может совместить оперативность, надежность, простоту и низкую стоимость, обладая к тому же массой других полезных возможностей. Речь идет о так называемых виртуальных сетях, использующих в качестве среды передачи ресурсы глобальных публичных информационных сетей. Бурное развитие этой технологии во всем мире объясняется не только технологическими причинами.

Информация должна быть доступна в любом месте и в любое время. Потребности бизнеса диктуют все увеличивающуюся необходимость работы сотрудников за пределами территории компании, притом, что потребность в оперативном доступе к данным, хранящимся в корпоративной сети, не только не снижается, но и, наоборот, растет.

Люди - наиболее критичный фактор производственного процесса. Любые средства, позволяющие одновременно увеличить производительность труда и обеспечить свободу выбора стиля работы для персонала (в данном случае работа на дому) предоставляют компаниям существенно больше возможностей по привлечению квалифицированных сотрудников.

Виртуальные сети - реальность сегодняшнего дня. Значительные успехи технологии модемов в отношении скорости и качества связи позволяют использовать существующие коммуникационные каналы, а число домашних компьютеров, имеющих возможность выхода в глобальные сети, стабильно растет.

Рисунок 1. Отношение количества домашних компьютеров, имеющих подключение к глобальным сетям, к общему количеству домашних компьютеров в США.

Терминология

Словом "Интернет" сейчас уже трудно кого-либо удивить. Не так давно появилось понятие "интранет" - внутренний Интернет, применение принципов и технологий Интернета в корпоративной сети организации. А с появлением туннельных методов передачи данных возникло и еще одно понятие - "экстранет" - комбинация двух предыдущих, "интранет глобального масштаба", обозначающее глобальную корпоративную сеть, обладающую всеми свойствами локальных сетей в отношении доступа к информации, и использующую в качестве среды передачи данных относительно дешевую и постоянно расширяющуюся инфраструктуру Интернета.

Основным свойством этой технологии является то, что информация передается через публичные каналы, узлы и маршрутизаторы не в открытом виде, а с использованием так называемого туннеля - механизма, который помещает пакеты протокола локальной сети внутрь IP-пакетов, которые и передаются через Интернет. Для обеспечения секретности передаваемой информации исходные пакеты шифруются. Таким образом, получается виртуальная сеть, которая соединяет клиента с корпоративной сетью или несколько сетей между собой. Данные, проходящие по "туннелю", скрыты от посторонних глаз, а образовавшееся соединение, с точки зрения пользователя, ничем не отличается от локальной сети или выделенного канала связи. Технология эта получила название Virtual Private Network (VPN).

Сам термин VPN существует достаточно давно и первоначально использовался применительно к сетям с интегрированной передачей голоса и данных. Сети с технологией Frame Relay также можно принципиально отнести к категории VPN, поскольку различные клиенты используют разделяемую сетевую инфраструктуру. Однако в последнее время это понятие достаточно прочно утвердилось именно применительно к виртуальным сетям на базе Интернета с использованием туннельных механизмов.

VPN против частных телекоммуникационных каналов

Корпоративные сети прошли достаточно долгий путь эволюционного развития, за время которого сменилось не одно поколение стандартов и оборудования передачи данных. Сети, охватывающие большие территории и созданные достаточно давно, не отличаются единообразием, тут можно найти весь спектр технических решений, от аналоговых модемов до современных каналов FDDI или ATM. Постоянный рост потребности компаний в обеспечении связи на расстояниях, превышающих ограничения локальных сетей, приводит не только к росту затрат на прокладку и обслуживание новых каналов, но и к непомерному усложнению сетевой структуры, что ведет к значительному увеличению затрат на администрирование.

Рисунок 2. Пример структуры корпоративной сети с собственными каналами связи.

На рынке телекоммуникационных услуг, между тем, существует множество провайдеров, готовых предоставлять ресурсы Интернета и других глобальных публичных сетей компаниям, заинтересованным в телекоммуникационных услугах. Корпоративные каналы связи и глобальные публичные сети сосуществуют сегодня параллельно. Однако успехи и темпы развития Интернета, а, соответственно, улучшение качества и снижение цен на предоставляемые провайдерами услуги заставляют компании, использующие технологии удаленного доступа, обратить внимание на Интернет как на возможную альтернативу собственным телекоммуникационным каналам. Виртуальные сети на базе Интернета как раз и являются тем недостающим звеном, которое позволит соединить удаленные сетевые ресурсы без существенного изменения инфраструктуры имеющихся корпоративных сетей.

Рисунок 3. Структура VPN.

По данным компании IDC, около 90% организаций США предпочли бы использовать Интернет для организации удаленного доступа своих сотрудников к корпоративной информации. Многие из них имеют также планы использования VPN между удаленными подразделениями для работы с общими приложениями, офисными системами документооборота или внутренней почты и создания, таким образом, структуры "глобального интранета".

Что могут, и что не могут VPN

Виртуальные сети могут с успехом использоваться не только как средство удаленного доступа. В круг решаемых задач входит также следующее:

  • замена существующих сегментов и каналов глобальных корпоративных сетей;
  • внедрение новых сетевых приложений для глобального применения без изменения структуры существующих корпоративных сетей;
  • свободное добавление к корпоративной сети новых удаленных сетевых сегментов и клиентов независимо от их местоположения;
  • использование в качестве запасного транспорта для глобальных корпоративных сетей на случай отказа или перегрузки собственных каналов;
  • организация взаимодействия между компаниями, имеющими свои сетевые ресурсы, стыковка которых традиционными способами сопряжена со значительными трудностями.

Есть, однако, условия, в которых применение VPN затруднено или вообще невозможно:

  • в тех случаях, когда основным требованием является обеспечение производительности любой ценой;
  • при использовании специфических протоколов, которые не совместимы с протоколом IP;
  • в приложениях, которые требуют гарантированной и постоянной во времени полосы пропускания, таких как аудио- и видеоданные (хотя для этого случая существуют решения, которые могут использоваться параллельно с VPN и обеспечивать необходимый трафик).

Реализация

Основным требованием для функционирования VPN на базе Интернета является совместимость с Internet Protocol layer-3. Это подразумевает наличие официального IP-адреса, причем для VPN-серверов эти адреса должны быть постоянными, а клиенты могут использовать как постоянные, так и динамически выделяемые адреса.

Второе обязательное условие - наличие устройства, транслирующего пакеты внутрисетевых протоколов в пакеты IP (IP-gateway). На сегодняшний день существует большое количество программных и аппаратных решений, предлагаемых отдельно или в составе систем, таких как ОС Microsoft Windows NT или маршрутизаторы Cisco.

Обмен информацией производится следующим способом:

  • компьютер клиента устанавливает соединение с локальным провайдером Интернета;
  • специальное клиентское программное обеспечение находит указанный сервер в сети и устанавливает с ним прямое соединение;
  • сервер проверяет права доступа клиента, после чего производится обмен ключами, которые будут использоваться для шифрования данных;
  • информационные пакеты шифруются и включаются в поле данных IP-пакетов, которые затем отправляются получателю;
  • сервер VPN принимает, распаковывает и расшифровывает приходящие пакеты;
  • расшифрованные данные передаются в локальную сеть так, как если бы клиент имел непосредственное подключение к этой сети.

Следует заметить, что как программным, так и аппаратным адаптерам VPN присваиваются собственные сетевые адреса, так же как, например, модемам, в результате чего удаленный клиент становится абсолютно полноправным членом сети. При этом для прикладного программного обеспечения такое соединение является полностью "прозрачным", что позволяет использовать без модификации все программы, рассчитанные на работу в локальной сети.

Любая реализация VPN базируется на принципе "туннелирования" - включения исходных пакетов в поле данных IP-пакетов. В качестве данных, подлежащих передаче, могут использоваться пакеты других протоколов, таких, как, например, IPX, NetBEUI или AppleTalk.

Рисунок 4. Пример формирования пакета VPN.

Возможность создания "туннеля" для передачи данных между двумя точками, между тем, не является достаточным условием создания VPN, кроме этого необходимо применение и других механизмов, наиболее важным из которых является обеспечение защиты информации от постороннего доступа. Некоторые реализации VPN имеют встроенные средства, другие же требуют применения одного или более внешних механизмов защиты информации. Предъявляемые обычно в этом отношении к корпоративным каналам требования таковы:

  • невозможность прочтения (за разумное время) передаваемой по каналу связи информации посторонними лицами;
  • возможность надежного обнаружения случаев умышленного или неумышленного изменения информации в процессе передачи;
  • возможность надежной авторизации лиц, имеющих право доступа к ресурсам сети.

Защита от прочтения обеспечивается шифрованием поля данных передаваемого IP-пакета с использованием различных алгоритмов. Существующие реализации используют DES, тройной DES, IDEA, RC2, RC4 и другие методы. Наиболее сложным моментом здесь является обмен ключами, так как он должен производиться еще до установления закрытого соединения, для чего сами ключи также подвергаются шифрованию. Обнаружение изменений обеспечивается включением в пакет избыточной контрольной информации. Для авторизации пользователей применяются методы с передачей шифрованных паролей, например, протоколы PAP, CHAP или Kerberos, дополнительно могут использоваться такие методы, как, например, обратный вызов (Call-back).

В отличие от прямого соединения, реализация туннельного механизма требует применения достаточно мощных вычислительных ресурсов, определяемых необходимой скоростью работы VPN.

Рисунок 5. Вычислительные ресурсы, необходимые для работы узла VPN.

Пропускная способность виртуального соединения зависит от двух факторов: скорости передачи данных через Интернет и эффективности туннельного механизма, включающего установку соединения, шифрование данных и добавление контрольного кода с одной стороны соединения и дешифрацию и контроль сохранности информации с другой. Необходимая скорость передачи данных может быть в некоторых случаях обеспечена приобретением у провайдеров каналов связи, гарантирующих требуемую пропускную способность, таких как Frame Relay или ATM. В некоторых реализациях для увеличения пропускной способности канала применяется компрессия пакетов, что, однако, требует и более мощных вычислительных ресурсов. Наиболее ресурсоемкой операцией является процесс шифрования-дешифрования, так как, в отличие от маршрутизации и фильтрации, обработке подвергается не только заголовок пакета, а весь объем данных с использованием, к тому же, сложных математических методов.

Требуемая скорость обмена обуславливает применение различных технических решений. Так, например, для аналоговых каналов и ISDN обычно достаточно чисто программной реализации, тогда как при использовании каналов T1 и более скоростных используется частичная (типа шифрующих аппаратных модулей) или полная аппаратная реализация процесса туннелирования.

Рисунок 6. Прогноз рынка VPN.

Перспективы

Технология виртуальных сетей сохраняет сегодня, по оценкам ведущих аналитических компаний, устойчивую тенденцию роста. Это обусловлено как заинтересованностью компаний в подключении к корпоративным сетям территориально удаленных филиалов, партнеров и работающих на дому сотрудников, так и интересом провайдеров в привлечении потребителей телекоммуникационных услуг.

Наряду с этим, существует ряд моментов не столь очевидных, но могущих оказать некоторое негативное влияние на развитие этой технологии. К ним относится, в первую очередь, проблема стандартизации. Вероятность того, что все компании, выходящие сегодня на рынок продуктов для создания VPN, договорятся об использовании единых стандартов, крайне низка, и сегодняшняя ситуация напоминает ту, которая складывалась на рынке продуктов для локальных сетей в начальные моменты его развития.

Другим важным фактором является то, что Интернет изначально не предназначался для передачи конфиденциальной информации, и представление о нем, как о сети без какой либо защиты информации вообще, до сегодняшнего дня практически не изменилось. Соответствующее мнение об этом руководителей компаний и менеджеров, отвечающих за развитие информационных технологий, зачастую приводит к активному сопротивлению с их стороны внедрению не только средств удаленного доступа к корпоративным сетям через Интернет, но и подключению к Интернету вообще. Мне известны случаи, когда крупные предприятия, имеющие сотни компьютеров и хорошие каналы связи, категорически отказывались подключать к этим каналам более одного изолированного компьютера исключительно из соображений безопасности. Данный фактор может потребовать вложения дополнительных средств и усилий разработчиков как в области создания надежных средств авторизации удаленных пользователей, так и в области механизмов обмена паролями и шифрования передаваемых данных.

Еще одним важным моментом является то, что Интернет не обеспечивает сегодня ни гарантированной пропускной способности, ни гарантированного времени доставки данных, хотя работы в этом направлении ведутся (достаточно вспомнить протокол RSVP или все более широкое применение ATM).

Ну и, наконец, существуют чисто технические причины, затрудняющие применение VPN, в виде брандмауэров, прокси-серверов и маршрутизаторов, не приспособленных для работы с существующими туннельными протоколами.

Между тем, образовавшийся всего несколько лет назад рынок VPN является сегодня одним из наиболее быстро растущих направлений развития информационных технологий.

Рисунок 7. Распределение рынка среди производителей оборудования удаленного доступа и VPN.

В индустрии VPN сегодня заняты как телекоммуникационные компании, так и производители аппаратного и программного обеспечения, среди которых AT&T, MCI, WorldCom, Cisco, Ascend, 3Com/US Robotics, Netscape, Microsoft и другие. В условиях быстро растущего повсеместного распространения услуг Интернет-провайдеров и увеличения пропускной способности каналов связи технология виртуальных частных сетей на базе Интернета получает несомненные преимущества перед многими другими методами удаленного доступа к корпоративным сетям и широкое ее распространение - это только вопрос времени.

 

Туннельные протоколы

Наиболее широкое применение имеют на сегодняшний день два туннельных протокола - PPTP (Point-to-Point Tunnelling Protocol) и L2F (Layer 2 Forwarding protocol). PPTP поддерживается компаниями Microsoft и 3COM/US Robotics, а L2F - компаниями CISCO Systems, Northern Telecom и Shiva.

PPTP является расширением протокола PPP (Point-to-Point Protocol) и относится к протоколам второго уровня модели OSI, обеспечивая двухточечное соединение с использованием туннельного механизма. Спецификация протокола была разработана фирмами Ascend и Microsoft и опубликована в виде RFC Draft. Первое применение протокол нашел в аппаратных серверах удаленного доступа Ascend и в операционной системе Windows NT 4.0. Полная поддержка PPTP встроена в бета-версии Windows 98, а также может быть дополнительно установлена в Windows 95. PPTP является протоколонезависимым в отношении передаваемых через "туннель" пакетов, реализация Microsoft, например, позволяет передавать пакеты IP, IPX, NetBEUI и NetBIOS. Существенным недостатком PPTP является невозможность установления многоточечного (multipoint) соединения, так как он базируется на двухточечном протоколе PPP, хотя этого можно добиться установкой нескольких соединений одновременно. PPTP поддерживает регистрацию пользователей с использованием протоколов PAP или CHAP и шифрование данных с помощью алгоритма RSA RC4 с ключом длиной 40 бит.

Протокол L2F, в отличие от PPTP, обеспечивает соединение "поверх" PPP или SLIP (он также опубликован в виде RFC Draft). L2F имеет несколько большее быстродействие, чем PPTP, и позволяет устанавливать многоточечное соединение с использованием UDP. Он допускает несколько более широкое применение, в том числе в синхронных каналах связи. В последнее время применяется также "гибридный" протокол, полученный путем слияния этих двух стандартов в один, который получил название Layer 2 Tunneling Protocol (L2TP).

Ни один из этих протоколов не оговаривает, однако, ни алгоритмов шифрования, ни методов работы с ключами, ни средств авторизации пользователей, в связи с чем в последнее время находит применение еще один стандарт, специально созданный для обеспечения конфиденциальности TCP/IP соединений, - IPSec. Этот протокол относится к третьему уровню модели OSI и предназначен для работы поверх PPTP, L2F или L2TP. Он позволяет создавать многоточечные туннельные соединения и определяет методы шифровки данных и работы с ключами.


 

Как установить поддержку VPN в Windows NT

На клиентской стороне

  • открыть окно "Network" в панели управления и выбрать ярлык "Protocols";
  • добавить в список установленных протоколов "Point to Point Tunneling Protocol";
  • выбрать необходимое количество виртуальных сетей (для клиентского подключения обычно достаточно одной);
  • там же, в окне "Network", выбрать ярлык "Services" и установить службу "Remote Access Service";
  • установить адаптер VPN в качестве устройства для удаленного доступа;
  • выбрать и настроить необходимые протоколы для адаптера VPN;
  • перезагрузить компьютер.

На стороне сервера

Процедура установки аналогична описанной выше за исключением того, что при запросе количества виртуальных сетей необходимо выбрать число, равное максимально возможному количеству одновременно работающих с VPN пользователей.

Замечание: в свойствах протокола TCP/IP имеется пункт "PPTP Filtering", выбор его для одного или более адаптеров приведет к тому, что весь трафик данного адаптера будет проходить только через туннельный механизм.

Средства поддержки VPN для Windows-95 поставляются компанией Microsoft отдельно, под названием "Dial-Up Networking Upgrade" (www.microsoft.com/windows/getisdn/dload.htm). Процедура установки практически аналогична описанной выше.

PPTP и firewall

Установка поддержки PPTP в Windows NT/95/98 не представляет особых сложностей, однако внедрение этой технологии в реальной сети может привести к не вполне очевидным трудностям. Дело в том, что некоторые брандмауэры (Firewall) и прокси-серверы не приспособлены для передачи трафика PPTP. Причиной этого является специфика реализации протокола, состоящая в том, что для передачи данных PPTP не использует ни TCP, ни UDP, а вместо этого применяется протокол GRE (Generic Router Encapsulation). Этот IP-протокол имеет номер 47 и используется в Интернете для организации взаимодействия между маршрутизаторами. Дополнительно к этому, для управления процессом передачи данных используется порт 1723 протокола TCP. Большинство брандмауэров отфильтровывают пакеты GRE, не пропуская их во внутреннюю сеть Если настройка прохождения пакетов TCP для порта 1723 является задачей тривиальной, то с GRE дело обстоит несколько сложнее, так как многие системы защиты обеспечивают поддержку фильтрации пакетов только на уровне TCP- или UDP-портов. В некоторых случаях для обеспечения прохождения пакетов GRE может возникнуть необходимость полностью отключить проверку номера IP-протокола, что представляет собой достаточно серьезную дыру в защите сети.


Написание этой статьи не обошлось без практической проверки того, о чем здесь шла речь, в реальных московских условиях. Разговоры о подключении к офисной сети подобным способом идут в редакции достаточно давно, однако до сих пор в практической работе эта технология не использовалась. Между тем, многие из сотрудников работают дома, используя стационарный или переносной компьютер и обмениваясь информацией с офисом посредством электронной почты. Все минусы такого обмена хорошо известны. Это и периодическая перекодировка, иногда не только текста письма, но и вложенных документов (!), и необходимость перезванивать и осведомляться о получении файла, и перегрузка почтовых серверов, когда отправка нескольких страниц занимает десятки минут, и письма, идущие из Москвы в Москву в течение двух-трех часов через Америку. Перегрузка особенно заметна у почтовых серверов, находящихся за пределами России, а таких адресов используется немало. Прямое же VPN-соединение позволяет не только работать с удаленной сетью по кратчайшему пути, но и обеспечивает пользователю стандартную сетевую среду независимо от его местонахождения, что особенно удобно при использовании мобильного компьютера, носимого между домом и офисом.

Необходимость изменения настройки брандмауэра редакции заставила меня воспользоваться для первых опытов корпоративной сетью другой организации… Наконец-то все настройки сделаны, и я приступаю к самому интересному. Подключаться напрямую к сети офиса из дома для меня не в диковинку, но до этого момента я всегда пользовался прямым модемным соединением, а это было возможно только в вечернее и ночное время, так как для удаленного доступа в офисе задействованы общие телефонные линии. Теперь же я выбираю из списка провайдеров телефон "РЕЛКОМа" и с первой попытки (в субботу днем - это вам не в будни вечером) соединяюсь с ним. Надо заметить, что прямая связь с модемами офиса у меня не очень хорошая, скорость соединения устанавливается в пределах 7200-16800. С "РЕЛКОМом" же связь очень приличная, ниже 28800 вообще не бывает. На этот раз модемы работают на пределе - 33600 бит/с. После установки соединения обращаюсь к окошку удаленного доступа еще раз, но теперь выбираю соединение VPN. Для чистоты эксперимента я запретил использование протокола TCP/IP в свойствах этого соединения, а оставил только IPX/SPX. В строке "Номер телефона" набираю IP-адрес сервера (я долго думал, где его указать, после чего все же воспользовался принципом "если ничего не помогает - прочти инструкцию"). Связь устанавливается чрезвычайно быстро, проверка имени/пароля и регистрация компьютера в домене проходят значительно быстрее, чем при прямом соединении (тут, вероятно, сказывается как качество самого соединения, так и то, что основным протоколом в офисной сети является именно IPX). В окошке монитора телефонных соединений появляется новое подключение, скорость соединения почему-то указана равной 10000 кбит/с, протокол - как и положено - IPX/SPX. Дальше уже не интересно, все серверы видны, файлы доступны, права доступа соблюдаются. Полная иллюзия работы в офисе, разве что несколько медленнее. Что бы еще такое попробовать? Ага, вот я сейчас напечатаю что-нибудь на сетевом офисном принтере. "А драйвер-то не установлен, - сообщает мне система, - установить?" Почему бы и нет, я соглашаюсь. В течение шести минут моргают окошки монитора телефонных соединений, счетчик количества принятых байт шустро отсчитывает 570 Кбайт и рядом с моим домашним Canon'ом появляется офисный Xerox-4520PS. Печать пробной страницы занимает еще две с чем-то минуты и 200 Кбайт по счетчику. Страница отображается в очереди принтера, и я получаю сообщение о завершении задания. Уже не сомневаясь, а просто чтобы довести дело до логического конца, обрываю соединение и звоню дежурному оператору: "Напечаталось?" - "Да, только откуда - не понял. А ты, вообще, где?" Хотел, было, ответить, как в рекламе сотовых телефонов: "Извини, старик, я не в Москве". И вообще, какая теперь разница, когда виртуальное сетевое пространство стало реальностью.

С автором можно связаться по e-mail: sleo@computerra.ru

© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.