Rambler's Top100
 
Статьи ИКС № 9 2010
Дмитрий БУРЛАКОВ  14 сентября 2010

Защита VPN-каналов – главная забота крупных компаний

Почти каждой крупной компании приходится решать задачу обеспечения непрерывного защищенного информационного обмена между центральным офисом и региональными представительствами.

Дмитрий БУРЛАКОВ, отдел информационной безопасности компании «Открытые Технологии»– Почти каждой крупной компании приходится решать задачу обеспечения непрерывного защищенного информационного обмена между центральным офисом и региональными представительствами. Конечно, можно арендовать защищенные каналы связи, но, как правило, затраты на такую аренду превышают стоимость развертывания собственной VPN.


Основные средства создания VPN можно классифицировать следующим образом:


• По используемым криптоалгоритмам – либо отечественным, на базе ГОСТ 28147-89, либо импортным: DES, 3DES, AES и др.


• По уровню работы на модели OSI: на канальном или сетевом уровнях.


Приступая к построению защищенных каналов, организация должна сделать выбор криптоалгоритма и уровня модели OSI, на котором будет выполняться шифрование.


С точки зрения выбора криптоалгоритма ситуация более или менее простая: если компания государственная (или контрольный пакет ее акций принадлежит государству), то необходимо использовать сертифицированные ФСБ решения, реализующие криптографию на базе алгоритма ГОСТ 28147-89. Такое же решение придется принять, если компания обрабатывает информацию, которая в соответствии с законодательством должна защищаться сертифицированными средствами. В остальных случаях организации могут выбирать отечественные либо импортные алгоритмы шифрования на свое усмотрение.


В том, что касается уровня работы средства шифрования на модели OSI, ситуация несколько иная: у каждого из видов есть свои достоинства и недостатки. Основные преимущества шифрования трафика на канальном уровне – высокая пропускная способность и низкая задержка при передаче пакетов. К примеру, некоторые устройства канального шифрования обеспечивают скорость до 10 Гбит/с, что, скорее всего, позволит полностью удовлетворить потребности достаточно крупной компании. А при шифровании на сетевом уровне (например, IPSec) полезная пропускная способность канала неизбежно снижается (в некоторых случаях до 50% номинальной пропускной способности). К недостаткам канального шифрования можно отнести отсутствие возможности организовать VPN-соединение типа «компьютер пользователя – сеть предприятия», а также необходимость устанавливать одинаковое оборудование на обоих концах канала связи.


Средства шифрования трафика на сетевом уровне сегодня наиболее популярны, и этому немало способствовала их универсальность. Благодаря широкой распространенности стандарта IPsec компании могут строить свои виртуальные сети, используя оборудование различных производителей и в любой топологии. Платой за такую универсальность является повышенная задержка, а также рост трафика и снижение полезной пропускной способности за счет добавления служебного заголовка.

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!