vpn концентратор что это
VPN: ещё раз просто о сложном
Вы сталкивались с ошибкой “Это видео не доступно для просмотра в Вашей стране”? Пробовали заходить на LinkedIn? Подобные ограничения можно обойти с помощью включения VPN на своем девайсе. В последнее время огромное количество людей было вынуждено перейти на дистанционный формат работы и многие работодатели обязали своих сотрудников пользоваться VPN для защищенного доступа к корпоративным сервисам. Сегодня мы постараемся разобраться в том, что такое VPN и как это работает.
Disclaimer: я искала на Хабре базовую статью о VPN, но нашла из базы только часть цикла «Сети для самых маленьких«. Это очень крутая работа, но она сразу не выпадает. Поэтому я решила обобщить все собранные мной определения, знания и структуры, а в начале дать ссылку на «Сети». Надеюсь, это поможет другим пользователям Хабра.
Что такое VPN?
VPN – Virtual Private Network – виртуальная частная сеть.
Это совокупность технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет).
Расшифровка названия: сеть – объединение нескольких устройств каким-либо видом связи, позволяющее обмениваться информацией. Виртуальная – неосязаемая, не физическая, то есть не важно, по каким именно каналам связи она проложена. Физическая и логическая топологии могут как совпадать, так и отличаться. Частная – в эту сеть не может войти посторонний пользователь, там находятся только те, кому разрешили доступ. В частной сети надо маркировать участников и их трафик, чтобы отличить его от остальной, чужой информации. Также в такой сети обеспечивается защита данных криптографическими средствами, попросту говоря, шифруется.
Приведем еще одно определение: VPN – это сервис, позволяющий защитить приватные данные при пользовании Интернетом.
Зачем нужен VPN?
Для удаленной работы. Например, вы работаете из дома. По VPN вы можете получить доступ к сервисам и документации своей организации, при этом соединение будет более безопасным, данные будет сложно перехватить и расшифровать.
Чтобы объединить разные части одной компании. Офисы могут быть удалены друг от друга на любое расстояние.
Внутри компаний – для объединения и изоляции отделов.
При подключении к Wi-fi в кафе, метро и т.д., чтобы хакеры не могли украсть ваши данные. При пользовании публичной сетью безопасно, разве что просматривать сайты в браузере. А вот если использовать соц.сети, злоумышленник может не только перехватить вашу конфиденциальную информацию, но и использовать ее в своих целях, авторизовавшись в этой самой соц.сети от Вашего имени. Еще хуже, если ему удастся взломать почту. Тогда атаке подвергнутся все приложения, привязанные к этому почтовому ящику. Но самой неприятной может оказаться утечка данных вашей банковской карты, если вы решили перевести кому-то деньги, подключившись к бесплатному Wi-fi.
Для получения доступа к сайтам, которые заблокированы на определенной территории. Приведем пример: Teen Spirit снимает передачу “Орёл и Решка” и продает ее двум телеканалам: российской “Пятнице” и украинскому “Интеру”. Обычно телеканалы на следующий день после выхода премьеры по телевидению, выкладывают выпуск на свой ютуб-канал, чтобы те, кто не успел посмотреть передачу по телевизору, имели возможность сделать это в интернете и, конечно же, для того, чтобы заработать дополнительно на встроенной в ютуб рекламе. На Украине выпуски выходят на день раньше, чем в России. Соответственно, “Интер” выкладывает видео на ютуб, когда по “Пятнице” передачу еще не показали. Поэтому в России в этот день запрещен доступ к этому видео.
Для обеспечения анонимности. Нельзя вычислить, какие сайты вы посещали, каким браузером пользуетесь, где находитесь и т.д. Надобность скрыть свою геолокацию может может возникнуть в путешествиях. Например, в Турции запрещен YouTube и WhatsApp. Значит, просто так зайти в привычные соц.сети не получится, а с VPN это сделать вполне возможно.
Чтобы в браузере оставалась история поиска, на основе которой создается таргетированная реклама
Чтобы сэкономить, например, при покупке авиабилетов. Авиакомпании устанавливают разные цены на одни и те же билеты для покупателей из разных регионов. А VPN позволяет изменить информацию о геолокации.
Как можно пользоваться VPN?
Итак, мы поняли, что VPN – полезный сервис, но как именно можно его включить? Если Вы работаете за компьютером и хотите посетить заблокированный сайт, используя браузер, то можно или установить специальную программу на ПК (так называемый VPN-клиент), или добавить расширение для браузера, или использовать встроенный в Opera VPN. Все эти способы просты в исполнении, но имеют некоторые недостатки. Так, VPN-клиент выдает случайный IP-адрес, то есть нет возможности выбрать страну. Еще один неудобство заключается в необходимости постоянного запуска программы, однако, существуют программы, которые запускаются одновременно с ОС. Теперь рассмотрим следующий способ – добавление расширения для браузера через Webstore. Нужно будет зарегистрироваться, после чего одним кликом можно выбрать страну, к VPN-серверу которой Вы хотите подключиться.
Использование VPN на смартфонах и айфонах реализуется через мобильные приложения. Самые популярные из них – это OpenVPN для Android и Cloak для iOS.
О плюсах VPN и о том, как его можно установить уже Вы прочитали. Самое время поговорить о минусах.
Чем приходится платить за безопасность в Интернете?
Низкая скорость интернета. На дополнительное шифрование требуется время. Также часто трафик проходит большее расстояние, что связано с удаленностью расположения VPN-сервера.
Периодический разрыв VPN-подключения, внезапный выход трафика в публичную сеть. Часто можно не заметить разрыв подключения и утечку данных, также VPN-соединение может не восстанавливаться автоматически, что не удобно. Во современных ОС на базе Windows предусмотрена функция VPN Reconnect. Если ее нет, то придется использовать особые программы или специальные настройки маршрутизации, которые контролируют VPN-соединение и в случае его разрыва сначала блокируют передаваемую информацию, закрывают приложения, потом обновляют VPN-подключение.
К сожалению, IPv6 почти никогда не поддерживается VPN. Следовательно, когда в публичной сети используется IPv6, и в интернет-ресурсе он также поддерживается, трафик пойдет по умолчанию по открытой IPv6 сети. Чтобы такого не произошло можно просто отключить IPv6 в ОС.
DNS-протечки: на практике часто DNS-запросы обрабатываются DNS-серверами публичной сети (а не виртуальной, защищенной). В случае их некорректного ответа можно получить поддельный адрес запрашиваемого домена. Так, ничего не подозревающие пользователи могут быть перенаправлены, например, на сайты мошеннических онлайн-банков. Также по DNS-серверам можно определить примерную геолокацию и интернет-провайдера пользователя.
Присутствуют также разнообразные юридические аспекты. Во-первых, это отличия в законодательстве разных государств. VPN-клиент и VPN-сервер часто находятся в разных странах. Также трафик может проходить через третью страну транзитом. Таким образом существует возможность сохранить себе копию передаваемых данных для дальнейшей расшифровки и изучения.
Существует не только вопрос что шифровать, но и как. Далеко не все криптографические средства разрешены. Из-за этого производители сетевого оборудования (в том числе для организаций VPN) при экспорте в другие страны вынуждены отключать в своей продукции ряд алгоритмов шифрования, а также уменьшать максимально возможную длину ключа.
Проблема кроется еще и в том, что сами мировые стандарты шифрования могут быть уязвимыми. Так, в 2013 году NIST (The National Institute of Standards and Technology – организация, утверждающая стандарты шифрования в США) обвинили в том, что он разрешил включить в новый стандарт уязвимую версию генератора псевдослучайных чисел. Это позволило сильно упростить расшифровку информации, защищенной с применением этого генератора. Более того, составителей стандартов нередко обвиняют в сознательном усложнении описаний стандартов.
Как работает VPN?
Соединение VPN – это, так называемый, “туннель” между компьютером пользователя и компьютером-сервером. Каждый узел шифрует данные до их попадания в “туннель”.
Вы подключаетесь к VPN, система идентифицирует вашу сеть и начинает аутентификацию (сравнивает введенный пароль с паролем в своей базе данных).
Далее сервер Вас авторизует, то есть предоставляет право на выполнение определенных действий: чтение почты, интернет-серфинг и т.д. После установления соединения весь трафик передается между вашим ПК и сервером в зашифрованном виде. Ваш ПК имеет IP-адрес, предоставленный интернет-провайдером. Этот IP блокирует доступ к некоторым сайтам. VPN сервер меняет ваш IP на свой. Уже с VPN-сервера все данные передаются к внешним ресурсам, которые вы запрашиваете. Теперь можно просматривать любые ресурсы и не быть отслеженным.
Однако, следует помнить, что не вся информация шифруется. У разных VPN-провайдеров могут отличаться такие характеристики как степень шифрования, сокрытие факта подключения к серверу, хранение логов (журнал, в который сохраняется информация о посещаемых сайтах, реальный IP адреси т.п.) и сотрудничество при выдаче информации третьим лицам.
Если VPN-провайдер вообще не записывает логи, то передавать третьим лицам просто нечего. А сокрытие факта подключения к серверу – уже более редкая услуга. При некорректном подключении или резком разрыве соединения может произойти утечка части данных. Решить проблему поможет технология Multihop VPN, которая предполагает соединение с сайтом сразу через несколько серверов.
Рассмотрим популярные VPN:
PPTP – Point-to-Point Tunneling Protocol
+ поддерживается всеми ОС
+ не требует много вычислительных мощностей
— плохая защищенность. Методы шифрования устарели, плохая архитектура, есть ошибки в реализации протокола от Microsoft. Нет шифрования по умолчанию, на взлом требуется менее суток.
Используется, когда защита данных не очень важна или когда нет других вариантов.
L2TP – Layer 2 Tunneling Protocol
+ более эффективен для построения виртуальных сетей
— более требователен к вычислительным ресурсам
— не предполагает шифрования по умолчанию
Работает совместно с другими протоколами, чаще всего IPSec.
Используется интернет-провайдерами и корпоративными пользователями.
IPSec – Internet Protocol Security – группа протоколов и стандартов для безопасных соединений.
— сложен в настройке (следовательно, снижение защиты, если настроить неправильно)
— требует много вычислительных ресурсов
+ этот недостаток компенсируется путем аппаратного ускорения алгоритма шифрования АЕС
Часто используется совместно с другими технологиями.
SSL – Secure Sockets Layer & TLS – Transport Layer Security – группа методов, включающая в себя протоколы SSL и TLS и другие методы защиты.
+ беспрепятственно пропускаются большинством публичных сетей
— довольно низкая производительность
— сложность в настройке, необходимость установки дополнительного ПО
используется на веб-сайтах, URL которых начинается с https (там еще виден зеленый замочек)
некоторые реализации: OpenVPN, Microsoft SSTP.
+ OpenVPN имеет открытый код, реализован практически для всех платформ, считается очень надежным.
Заключение
VPN – комплекс технологий, позволяющих создать логическую сеть поверх физической. Используется для обеспечения защиты трафика от перехвата злоумышленниками и безопасной деятельности в интернете. VPN открывает доступ к заблокированным ресурсам, так что многие готовы мириться с более низкой скоростью интернета и возможными логами программ. Хотя VPN использует довольно надежные алгоритмы шифрования, включение VPN-клиента на вашем ПК не гарантирует 100% сохранности конфиденциальной информации, поэтому следует внимательно отнестись к выбору VPN-провайдера.
Первый кирпич в стене VPN
Предисловие
Предагаемый Вашему вниманию материал открывает цикл работ по обзору рынка VPN. Приведенная здесь информация призвана помочь сетевым специалистам сориентироваться в огромном многообразии программных и аппаратных решений, предлагаемых различными компаниями. Настоящая статья посвящена наиболее дешевым «коробочным» реализациям VPN – т.н. VPN-appliances, относящимся к классу SOHO (Small Office Home Office), т. е. предназначенным для работы с малыми сетями.
Однако, прежде чем перейти непосредственно к обзору, давайте немного поговорим о том, что же такое VPN, кому и зачем это нужно.
Автор приносит свои извинения читателям за то, что он не в состоянии подробно остановиться на теоретической стороне обсуждаемой темы из-за ее объемности. Дабы компенсировать возможные пробелы, автор предлагает ссылки на другие работы и статьи, в которых подробно разбираются употребляемые здесь специальные термины.
Итак, перейдем к делу.
Для чего нужны VPN?
Представим, что нам необходимо объединить несколько локальных сетей LAN (local area network), причем сети эти разделены географически: они расположены в разных зданиях, а возможно и в разных городах. Традиционное решение: WAN (wide area network) — прокладка или аренда выделенных линий, соединяющих локальные сети.
Если количество мобильных клиентов растет, мы вынуждены увеличивать число телефонных портов RAS.
Но как быть, если одна из сетей расположена на другом континенте? Как быть, если мобильным клиентам необходим доступ в нашу сеть из любого места планеты? Аренда межконтинентального кабеля для создания WAN обойдется в целый капитал. Мобильные пользователи вынуждены совершать дорогие междугородние и международные звонки. Неизбежно возникает вопрос, а существует ли другое решение, более дешевое, но столь же удобное и технически реализуемое?
Оказывается, да. Такое решение существует. При сегодняшнем развитии Интернета все более и более интересным становится использование общедоступных публичных сетей как основы для создания безопасных и надежных каналов, связывающих наши сети и обеспечивающих доступ к ним отдельным пользователям, постоянно меняющим свое географическое местоположение. Мы говорим о VPN (Virtual Private Networks) — частных виртуальных сетях.
VPN имеет ряд очевидных достоинств. Прежде всего, частные виртуальные сети существенно дешевле WAN, особенно при использовании в международных компаниях. По оценкам Infonetics Research, приведенным здесь, стоимость реализации VPN почти в три раза меньше затрат на WAN.
Используя VPN, мы уже не платим за кабельные линии, соединяющие локальные сети. Теперь для создания каналов между LAN мы используем Интернет, что стоит гораздо дешевле.
В случае с мобильными клиентами мы также экономим, существенно уменьшая количество телефонных линий RAS. В некоторых случаях мы можем обойтись вообще без сервиса удаленного доступа с использованием телефонных линий. Мобильным клиентам не нужно делать междугородние звонки. Вместо этого им достаточно воспользоваться услугами ближайшего Интернет-провайдера.
Желающие разобраться в финансовой стороне дела могут обратиться к FAQ, в которых детально рассматривается экономический эффект использования VPN. Нас же интересует техническая сторона проблемы.
Очевидно, что использование публичных сетей как транспорта для передачи информации между локальными сетями не может быть безопасным, если информация передается в открытом виде. Используя Интернет, мы не в состоянии контролировать ни маршрут, ни количество лиц, которые могли иметь доступ к нашим данным, ни их намерения или действия. Вопросы защиты информации при работе с публичными сетями выходят на первый план.
VPN предполагает комплексные решения в области защиты данных. Прежде всего, передаваемая информация передается в зашифрованном виде. Для идентификации адресата и отправителя применяются специальные меры. И наконец, проверяется, что данные не были изменены во время движения по публичным сетям, по ошибке или злонамеренно.
Итак, построение VPN предполагает создание защищенных от постороннего доступа туннелей между несколькими локальными сетями и/или удаленными клиентами. Для создания и обслуживания подобных туннелей необходимы специальные протоколы, программное обеспечение, специфическое оборудование.
Протоколы
Семейство сетевых протоколов для реализации VPN довольно обширно, однако лишь три из них получили широкое распространение. Это IPSec, PPTP и L2TP.
IPSec — Internet Protocol Security — уже был подробно рассмотрен на данном сайте в статье Станислава Коротыгина.
PPTP — Point-to-Point Tunneling Protocol — создан усилиями Microsoft, US Robotics и ряда других разработчиков. Протокол описан создателями в этой и этой работах.
L2TP — Layer 2 Tunneling Protocol — гордость «сетевого монстра» — Cisco. Более подробную информацию о нем можно почерпнуть здесь и здесь.
Особенности, недостатки и преимущества каждого из протоколов — это отдельная и весьма обширная тема, которая выходит за рамки настоящей статьи. Необходимо отметить, что по ряду причин наиболее распространенным протоколом VPN в настоящее время является IPSec. Более 65 процентов частных виртуальных сетей созданы на его основе. Поэтому в этот раз мы будем говорить лишь об аппаратно-программных решениях, в которых IPSec является основным.
Реализация
Для технической реализации VPN, помимо стандартного сетевого оборудования, нам необходим шлюз VPN (VPN Gateway). Он выполняет все функции по формированию туннелей, защите информации, контролю трафика, а нередко и функции централизованного управления.
Защита информации
Защита информации в понимании VPN включает в себя кодирование (encryption), подтверждение подлинности (authentication) и контроль доступа (access control). Кодирование подразумевает шифрование передаваемой через VPN информации. Прочитать полученные данные может лишь обладатель ключа к шифру.
Наиболее часто используемыми в VPN-решениях алгоритмами кодирования в наше время являются DES, Triple DES и различные реализации AES. Степень защищенности алгоритмов, подходы к выбору наиболее оптимального из них — это тоже отдельная тема, которую мы не в состоянии обсудить.
Подтверждение подлинности включает в себя проверку целостности данных и идентификацию лиц и объектов, задействованных в VPN. Первая гарантирует, что данные дошли до адресата именно в том виде, в каком были посланы. Самые популярные алгоритмы проверки целостности данных на сегодня — MD5 и SHA1.
Идентификация — это процесс удостоверения того, что объект действительно является тем, за кого/что он себя выдает. Здесь, помимо традиционных схем имя — пароль, все более и более активно используются системы сертификатов и специальных серверов для их проверки — CA (Certification Authorities). Такие серверы являются, как правило, частью систем PKI (Public Key Infrastructure). Популярные ныне PKI, например Verisign или Entrust, могут обслуживать сертификаты и идентифицировать их держателей по протоколам HTTP и LDAP (X.509). Кроме того, для идентификации могут быть использованы биометрия, неизменяемые характеристики оборудования (например, MAC-адреса) или специальные идентификационные комплексы (Tacacs, Radius).
Контроль трафика подразумевает определение и управление приоритетами использования пропускной полосы VPN. С его помощью мы можем установить различные пропускные полосы для сетевых приложений и сервисов в зависимости от степени их важности.
Что нужно для построения VPN?
Прежде всего, шлюз — VPN Gateway. В нашем случае достаточно приобрести у одной из фирм-производителей совершенно готовое к работе устройство, требующее для начала работы лишь подключения к LAN, Интернету и, возможно, минимального конфигурирования.
Для небольших сетей и администраторов, не обладающих большим опытом работы с VPN, это решение является наиболее удобным и эффективным.
Перейдем непосредственно к обзору.
VPN-appliances класса Small Office Home Office
Американская фирма Assured Digital предлагает свое комплексное решение для реализации VPN начального уровня под именем ADI-1000.
Разработчики называют это устройство сетевым коммутатором (switch) с возможностями VPN. Оно имеет 2 интерфейса Ethernet со скоростью 10 Mbit/sec.
Сведения о количестве поддерживаемых VPN-туннелей противоречивы. На сайте разработчиков утверждается, что ADI-1000 может поддерживать до 16 независимых IPSec туннелей. Однако независимые эксперты говорят всего лишь о 4 туннелях.
Среди криптографических алгоритмов, используемых в данном решении, названы DES и Triple DES, а также MD5 и SHA-1 в качестве алгоритма проверки целостности данных. Устройство умеет работать с сертификатами и PKI по протоколу X.509v3.
Производитель предлагает также как отдельный продукт: программу — менеджер для управления и администрирования. Управлять работой ADI-1000 можно с помощью GUI-интерфейса или из командной строки.
Всемирно известный производитель огромного множества сетевых устройств Cisco также внес свой вклад — Cisco 1720 VPN Router. Как явствует из названия, это роутер начального уровня с VPN-расширением.
Роутер имеет стомегабитный Ethernet-интерфейс и от двух до пяти serial-интерфейсов для подключения к WAN. Управление VPN и роутером в целом осуществляется посредством Cisco IOS® — специальной операционной системы, созданной Cisco. На мой вкус, она могла быть и чуть поудобнее. Отсутствие интуитивно понятного и доступного GUI — отличительная черта всех роутеров Cisco, в том числе и обсуждаемого нами.
Возможности VPN радуют. Поддерживаются DES, Triple DES MD5, SHA-1, а также CA и сертификаты с использованием X.509v3.
Однако некоторые эксперты отмечают низкую производительность роутера при работе с VPN.
Фирма Intel именует свое решение для создания VPN класса SOHO Intel Express 8205 VPN Broadband Router.
Роутер с возможностями VPN может быть использован с ADSL, SDSL, IDSL, ISDN и кабельными соединениями. К локальной сети он подключается c помощью Ethernet — интерфейса на скорости до 100 Mbit/sec.
Максимальная пропускная способность роутера при работе с VPN не превышает 1.3 Mbit/sec при работе с 3DES. Не могу удержаться от соблазна привести по этому поводу цитату. Со свойственным фирме Intel юмором на сайте разработчиков отмечается, что такая выдающаяся производительность достигается благодаря мощной архитектуре Intel:
The powerful Intel Express Router architecture delivers outstanding VPN throughput that enables up to 1.3 Mbps with 3DES encryption.
Число независимых VPN-туннелей не превышает 50-ти.
Помимо 3DES роутер умеет работать с DES и морально устаревшим RC4, также MD5 и SHA-1.
К серьезным недостаткам надо отнести невозможность работы с PKI и LDAP, а также отсутствие какой бы то ни было поддержки мобильных VPN-клиентов.
Решение, которое предлагает Avaya Inc., называется просто: «кирпич» — VPN Firewall Brick 80.
Это сетевой мост с функциями VPN Gateway и firewall, оснащенный 4-мя 100 Mbit/sec Ethernet портами.
Производитель с гордостью отмечает, что в США это устройство сертифицировано NSA и американской армией.
«Кирпич» работает с DES, 3DES, RC4, MD5, SHA1, цифровыми сертификатами. Поддерживает до 400 одновременных IPSec-туннелей. Пропускная способность для шифрованного трафика составляет не более 8 Mbit/sec.
Управлять работой «кирпича» можно с помощью Java-интерфейса.
Устройство продается также и под маркой Lucent.
Фирма RedCreek Communications® Inc. предлагает довольно интересный недорогой продукт с забавным именем Travlin Ravlin.
Устройство имеет 2 интерфейса Ethernet и встроенный модем V.90; помимо функций VPN работает как firewall. В нем реализована концепция dial-on demand: связь с Интернетом, а следовательно и VPN, устанавливается только при необходимости. По замыслу производителей это должно существенно экономить телефонные счета и оплату услуг Интернет-провайдера.
Travlin Ravlin поддерживает DES, 3DES, MD5, SHA1, работает с сертификатами по протоколу X.509.
Особо высокой производительности ожидать не приходится, о количестве одновременно поддерживаемых туннелей информации нет.
Устройство американской фирмы NetScreen Technologies, Inc. имеет два Ethernet-интерфейса со скоростью 10 Mbit/sec, встроенные VPN и Firewall. Может обрабатывать до 10 IPSec-туннелей одновременно.
Утверждается, что устройство может работать с шифрованным VPN трафиком на скорости до 10 Mbit/sec. Это один из лучших показателей в рассматриваемом классе устройств для малого офиса.
Поддерживаются все распространенные разновидности цифровых сертификатов: DES, 3DES, MD5, SHA1, а также набирающий популярность AES. Работает с клиентом VPN, который производители продают как отдельный программный продукт
3com Corp. продает устройство NetBuilder Firewall 25 с опцией VPN-расширения.
Для соединения с LAN и WAN используются 2 Ethernet-порта с пропускной способностью 10 Mbit/sec. Данные о пропускной способности VPN-трафика отсутствуют.
В рамках сетевых решений для малого офиса фирма Nokia предлагает целый ряд продуктов. Мы рассмотрим лишь один из них — Nokia IP55.
Это устройство имеет 4 интерфейса Ethernet 100 Mbit/sec и один интерфейс ADSL для соединения с WAN. В качестве программного обеспечения выбран Firewall1/VPN1 Small Office — продукт известной компании-разработчика в области VPN — Checkpoint Software Technologies.
Как и другие реализации Checkpoint VPN1, Nokia IP55 поддерживает DES, 3DES, AES, MD5, SHA1, работает со всеми видами сертификатов, включая LDAP.
Для управления VPN и устройством в целом используется WEB-интерфейс. Nokia отмечает высокою эффективность и производительность устройства, использующего мощный RISC-процессор, однако конкретные цифры отсутствуют, как и данные о количестве одновременно обрабатываемых IPSec-туннелей.
Еще одна разработка из серии решений VPN, созданных на базе Checkpoint VPN1, принадлежит фирме Intrusion.com и называется PDS 2000 Security Appliance.
Также, как и в предыдущем случае, поддерживаются DES, 3DES, AES, MD5, SHA1, цифровые сертификаты. Та же возможность управления через Web-интерфейс.
Однако «железное» воплощение, конечно же, иное. Различные варианты PDS 2000 имеют от двух до трех портов Ethernet, один порт Serial и 2 USB порта.
Эта симпатичная красная коробочка сделана фирмой WatchGuard Technologies, Inc.
Как уже видно из названия, она несет в себе не только функции VPN, но и Firewall.
Для подключения к сетям используются 5 портов Ethernet, способных работать на скорости до 100 Mbit/sec.
В качестве VPN-gateway устройство способно обслуживать 5 одновременных IPSec-туннелей типа gateway-to-gateway и столько же туннелей client-to-gateway. Поддерживается DES, 3DES, MD5, SHA1. Максимальная пропускная способность для шифрованного IPSec-трафика с использованием 3DES составляет 1.3 Mbit/sec. PKI и цифровые сертификаты не поддерживаются.
Это устройство производит фирма SonicWall. Изначально оно предназначено для защиты локальной сети в качестве Firewallа, а функции VPN-gateway доступны как апгрейд.
Для соединения с LAN и WAN имеются два порта Ethernet 100 Mbit/sec.
Поддерживаются лишь DES, 3DES и MD5, нет возможности работать с сертификатами и PKI.
Еще одно интересное решение принадлежит фирме eSoft Inc. и называется InstaGate EX2.
Согласно спецификации, устройство с пропускной способностью до 20 Mbit/sec поддерживает Triple DES, MD5 и SHA. В зависимости от комплектации имеются два или три 100-мегабитных порта Ethernet. Помимо функции VPN-Gateway прибор работает еще и как Firewall.
К сожалению, не поддерживается подтверждение подлинности с использованием цифровых сертификатов.
Заключение
Несмотря на большое число рассмотренных устройств, сложно сделать какие-то выводы, кроме, пожалуй, одного. Создается впечатление, что рынок шлюзов VPN класса SOHO не сложился как отдельный, независимый сегмент рынка решений VPN. Нет единых подходов ни к ценовой политике, ни к функциональным характеристикам продуктов.
Как ни странно, это вполне объяснимо. В использовании VPN нуждаются более крупные компании, с многочисленными штаб-квартирами и офисами в разных городах или даже странах, бизнес которых связан с разъездами. Для таких потребителей VPN-услуг устройства класса SOHO могут существовать как часть общей организации сетей. В этом случае при выборе конкретного решения для малых офисов на первый план выходит не стоимость, и даже не технические характеристики приборов, а возможность их интеграции в рамках единой инфраструктуры корпоративных частных сетей.
Немного о грустном
Все это не делает положение потребителя проще, а имеющиеся на рынке предложения дешевле и эффективнее. Хочется надеяться, что рано или поздно нынешние тенденции изменятся, и мы увидим не только новые имена, но и новые продукты, которые, кто знает, могут изменить мир сетей и даже наше представление о возможном в этом мире.
Приложение — сводная таблица характеристик шлюзов VPN класса SOHO.