2016/09/30 15:45:23

VPN-решения для корпоративных сетей

Virtual Private Network (VPN) - обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Термин виртуальной частной сети (VPN) стал широко распространенным с выходом операционной системы Microsoft Windows 95. Основная идея состояла в том, чтобы обеспечить сотрудникам безопасный доступ к внутренней сети организации, не открывая сети для атак хакеров. В этой статье мы рассмотрим лучшие варианты для организации корпоративных VPN, доступных на сегодняшний день.

Содержание

2020: Семь причин, по которым вашей компании будет полезна VPN

Удаленный доступ к данным

Вы избавляетесь от незащищенных критических точек: ваша информация не размещается изолированно в общем хранилище с единственной точкой входа. Время — деньги, и речь не только об удобстве, но и об эффективности. Вы не просто экономите время, но и повышаете гибкость ваших услуг, предоставляя клиентам возможность удаленного взаимодействия с вами. Ваши сотрудники и клиенты могут соединяться с вашей сетью, не опасаясь того, что их информация попадет в посторонние руки. При этом сотрудникам не обязательно находиться непосредственно в офисе компании, чтобы продуктивно трудиться[1].

«Принеси личное устройство» (BYOD)

Еще одно преимущество, напрямую связанное с возможностью удаленного доступа к данным. Многие сотрудники предпочитают пользоваться своими личными гаджетами для выполнения служебных обязанностей. Однако внешнее оборудование создает риск для безопасности информации вашей компании, и не стоит экономить на инфраструктурных расходах по цене чего-то настолько важного, как безопасность вашей сети.

Цензура

Правительства некоторых стран предотвращают доступ к отдельным веб-сайтам по политическим и иным причинам. Это создает определенные сложности и вызывает досаду у всех, кто привык пользоваться Интернетом без ограничений. Пользователи организации, внедрившей VPN, смогут обходить подобные ограничения, которые действуют в различных странах. Более того, без корпоративной VPN могут могут оказаться недоступными даже такие популярные онлайн-сервисы, как предоставляемые компанией Google. Ваши клиенты и сотрудники смогут везде чувствовать себя, как дома, оставаясь в сети, чьи серверы расположены в Соединенных Штатах. Отметим, что количество IP-адресов, которыми располагает компания, зависит от числа ее провайдеров VPN, а дополнительные IP-адреса повышают надежность ваших систем защиты и позволяют увеличить скорость работы Интернета благодаря уменьшению объема трафика.

Защититесь от неприятных случайностей

В период перевода веб-сайта с протокола HTTP на HTTPS пользователь легко может оказаться на незащищенной HTTP-странице. Доступ к таким страницам — потенциальный фактор риска, поскольку пароли и другие конфиденциальные данные, отправляемые на сайт, передаются в незащищенном виде.

«Аварийный выключатель»

В случае, если соединение VPN отключено или скомпрометировано, устройство или приложение, которое использует это соединение, мгновенно автоматически блокируется.

Поддержка одноранговых соединений

VPN позволяет соединяться с p2p-сетями, в которых каждое подключенное устройство может одновременно работать одновременно и в качестве сервера, и в роли клиента.

Защита мобильных приложений

VPN позволяет защитить соединение мобильных устройств с сетью: снова речь об удобстве и гибкости. Распространять среди пользователей срочные сообщения будет проще, если их мобильные телефоны и планшеты тоже подключены к корпоративной сети через VPN-сервер.

Подойдет ли вам VPN любого типа?

Убедить в том, что VPN-сервер для современной компании — необходимость, легко, но выбор VPN, подходящей именно вашей организации, потребует определенных усилий. Начать стоит с того, чтобы определиться, какие возможности вам нужны от VPN-сервера, а какие — нет. Ваш будущий провайдер VPN — это как оператор кабельного телевидения: вы можете выбрать, какие каналы вы хотите смотреть, и вам не нужно платить за большие пакеты, которые вам неинтересны. Итак, существует три вида VPN.

  • Самый популярный из них — VPN для удаленного доступа с коммутируемым соединением. Сотрудники, находящиеся вне офиса, могут безопасно осуществлять доступ к частной виртуальной сети, которая предоставляется им компанией. Как правило, клиенты нанимают для организации и сопровождения такой VPN поставщика соответствующих услуг, который настраивает сервер и предоставляет пользователям необходимое программное обеспечение. Те затем просто набирают бесплатный номер и при помощи предоставленного им ПО связываются с виртуальной сетью. Пользуясь бесплатными номерами, компания экономит деньги, и обеспечивает удобство работы мобильных пользователей.
  • VPN двух остальных видов основаны на связи между несколькими фиксированными сетями. Такие виртуальные частные сети называются VPN типа «сеть-сеть». Для их организации требуется оборудование, обеспечивающее шифрование туннелей между сетями, формируемых в общедоступном Интернете. Сильная сторона VPN такого типа — гибкость.
  • VPN-интрасети позволяют соединить несколько удаленных офисов единой частной сетью. В таких VPN предоставляется множество всевозможных сервисов, и при этом они относительно недороги и отлично подходят для подключения удаленных филиалов компании.
  • В VPN-экстрасетях, в свою очередь, при помощи межсетевых соединений несколько организаций подключаются к общей среде. Этот тип VPN подходит для ситуаций, когда нужно обеспечить предоставить доступ к вашей сети пользователям из других компаний.


Какие еще факторы можно учесть при выборе VPN

  • Наличие защиты, реализованной при помощи облачных сервисов.
  • Наличие защиты при работе вне офиса.
  • Наличие защиты от сбора данных, осуществляемого интернет-провайдерами.
  • Наличие средств управления учетными записями, защиты от вредоносных программ и централизованного выставления счетов.
  • Ведет ли VPN журналы доступа?
  • Какая часть функций управления VPN находится в ведении компании-клиента, а за какую отвечает провайдер.
  • Наличие средств управления активностью, позволяющих контролировать доступ сотрудников к вредоносным и посторонним сайтам.
  • Нужны ли вам в VPN возможности отслеживания?
  • Удобство доступа к службе технической поддержки провайдера.
  • Стабильность работы вашего потенциального провайдера.
  • Местонахождение серверов провайдера по отношению к вашему информационному хранилищу и месту хостинга основных сервисов.
  • Старается ли провайдер внедрять самые новые технологии, связанные с предоставляемыми им услугами?

2019: Шифрование по ГОСТу: кому оно показано и как применять

Ситуация с рисками информационной безопасности (ИБ) во всем мире развивается таким образом, что специальная защита корпоративных каналов связи становится объективной необходимостью — вопрос только в выборе наиболее удобных и экономически выгодных ИБ-решений. Дополнительными стимулами в этом направлении стали программа «Цифровая экономика» и стратегия импортозамещения в сфере ИТ. Как регулируется VPN-шифрование в нашей стране, почему в целом растет популярность ГОСТ-криптографии и в каких случаях целесообразно приобретать ее как сервис — разбираемся вместе с руководителем направления ГОСТ VPN компании «Ростелеком-Солар» Александром Веселовым. Подробнее здесь.

2016

В 2016 году существует целый ряд решений для построения виртуальных частных сетей. Иногда эти решения являются частью комплексной системы а иногда предлагаются как самостоятельные продукты.

"Код безопасности"

Российская компания "Код безопасности" предоставляет различные продукты для организации удаленного доступа в том числе для организации VPN-сетей между филиалами предприятий. Удаленный доступ может быть реализован с помощью двух продуктов из линейки «Континент»: комплекс из сервера доступа «Континент» 3.7 и СКЗИ «Континент-АП 3.7», ПАК СКЗИ «Континент TLS VPN сервер» для реализации удаленного доступа к веб-ресурсам с шифрованием по ГОСТ.

Производительность сервера доступа «Континент» 3.7 и СКЗИ «Континент-АП» 3.7

Модель Количество поддерживаемых СКЗИ «Континент-АП» Производительность (в режиме VPN шлюза)
IPC-25 25 50 Мбит/с
IPC-100 500 300 Мбит/с
IPC-400 1000 500 Мбит/с
IPC-1000/1000F/1000F2 3000 950 Мбит/с
IPC-3000F/3034/3034F 3000 2 500 Мбит/с

«Континент» IPC-25

«Континент» IPC-3034

Производительность ПАК СКЗИ «Континент TLS VPN сервер»

Модель Максимальное количество одновременных SSL-подключений Производительность в режиме HTTPS-прокси
IPC-100 500 200 Мбит/с
IPC-400 5 000 700 Мбит/с
IPC-1000/1000F/1000F2 10 000 900 Мбит/с
IPC-3000F/3034/3034F 18 000 3 000 Мбит/с

Cisco

Решения американской компании Cisco базируются на ряде продуктов, которые предлагают больше, чем просто терминирование VPN. AnyConnect Secure Mobility Client является основной частью программного обеспечения, предлагаемого Cisco для VPN-решений. Он может быть запущен на всех распространенных настольных и мобильных операционных системах и предлагает не только поддержку виртуальных частных сетей, но и другие функции безопасности. AnyConnect обеспечивает поддержку TLS, DTLS и IPsec IKEv2. Для поддержки выбранного решения должна использоваться модель из серии ASA 5500-X или устройство Cisco под управлением IOS версии 15.1(2)T или выше. Платформы меньшего размера, такие как Cisco серии 1941, 2900 и 3900 поддерживают аппаратное ускорение для DES, 3DES и AES как для IPsec, так и SSL VPN. Что касается показателей производительности, единственное, что Cisco гарантирует, является производительность IPsec:

Модель Количество поддерживаемых туннелей Производительность
Cisco 1941(используя ISM-VPN модуль) 500 550 Мбит/с
Cisco 2900 (используя ISM-VPN модуль) 2000 900 Мбит/с
Cisco 3900 (используя ISM-VPN модуль) 3000 1200 Мбит/с

Cisco 1941

Cisco 2900

Cisco 3900

Далее существует целый ряд различных вариантов, включая многие коммутаторы вплоть до серии 6500 на базе IOS, который предлагает специальные VPN-модули с аппаратным ускорением. Терминация VPN также доступна с помощью брандмауэра следующего поколения (NGFW) ASA 5500-X серии:

Модель Количество поддерживаемых туннелей Производительность
Cisco ASA 5512-X 3000 200 Мбит/c
Cisco ASA 5555-X 5000 700 Мбит/c
Cisco ASA 5585-X w/SSP-60 10000 5 Гбит/с

Сisco ASA 5512-X

Сisco ASA 5555-X

Сisco ASA 5585-X w/SSP-60

Citrix

VPN-решения от Citrix встроены в продукт NetScaler Gateway. Шлюз NetScaler, как и всё оборудование фирмы Citrix, легко настраивается и интегрируется во многие линейки продуктов компании. NetScaler Gateway предлагает более функциональные возможности SSL VPN, включая безопасный доступ к Citrix Virtual Apps и Desktops (ранее XenApp и XenDesktop), XenApp и сессий XenMobile, а также безопасного сетевого доступа к любому серверу, наряду с анализом и определением устройства. Citrix Gateway поддерживает как TLS и DTLS сессии, в зависимости от требований к трафику. Citrix Gateway в той или иной форме входит во все версии NetScaler ADC и полностью интегрирован в приложения Citrix.

Лицензирование является немного запутанным в зависимости от конкретных платформ. Наша рекомендация - обсудить доступные варианты с представителем Citrix, прежде чем принять окончательное решение по выбору конкретного продукта, особенно если другие приложения Citrix используются или будут использоваться в сети. Как правило, существует два различных типа лицензий: Platform license и Universal license. Большая часть функционала SSL Citrix требует Universal license. TAdviser выпустил Карту российского рынка цифровизации строительства 25.4 т

Далее приведены технические характеристики некоторых из доступных устройств NetScaler, которые могут быть использованы для развертывания решения на основе шлюза NetScaler (самая младшая MPX платформа - 5550 и последняя - 22120):

Модель Максимальное количество SSL транзакций
Citrix NetScaler MPX 5550 1500
Citrix NetScaler MPX 22120 56000

Citrix NetScaler MPX-8005

Citrix Netscaler MPX-221201

Dell SonicWALL

С приобретением SonicWALL, Dell теперь предлагает линейку устройств, которые предназначены для обеспечения мобильного и удаленного доступа, в том числе устройства SRA и SRA E-класса. Устройства SRA ориентированы на малый бизнес и компании с менее чем 500 сотрудников. Они более ограничены по функционалу, чем их старшие братья E-класса. Устройства E-класса SRA являются не только VPN-концентраторами, но включают в себя управление удаленным доступом, а также защиту от вредоносного программного обеспечения и защиту доступа к устройству, управление политиками BYOD и регистрацию. Устройства SRA разделены на три основные группы: SRA 1600, SRA 4600 и SRA - виртуальные устройства. Далее представлены их соответствующие спецификации:

Модель Максимальное количество пользователей
Dell SonicWALL SRA 1600 50
Dell SonicWALL SRA 4600 500
Dell SonicWALL SRA Virtual Appliance 500
Dell SonicWALL EX6000 250
Dell SonicWALL EX7000 5000
Dell SonicWALL EX9000 20000
Dell SonicWALL EX Virtual Appliance 5000

SRA 1600

SRA 4600

SRA-e9000

SRA-ex6000

SRA-ex7000

Infotecs

ИнфоТеКС занимает устойчивые позиции лидера российского рынка информационной безопасности и является одним из ведущих поставщиков программных и программно-аппаратных VPN-решений, средств криптографической защиты информации на рабочих станциях, серверах и мобильных компьютерах. ViPNet Coordinator - программный сервер защищенной сети ViPNet, функционирующий под управлением операционной системы, позволят выполнять функции приоритизации, фильтрации, шифрования и аутентификации, надежно защищая передаваемую по каналам связи информацию от несанкционированного доступа и подмены. Ниже рассмотрены самые популярные решения:

Модель Количество поддерживаемых туннелей
ViPNet Coordinator HW 100 С 10
ViPNet Coordinator HW1000 500
ViPNet Coordinator HW2000 6000

ViPNet Coordinator HW1000

ViPNet Coordinator HW2000 v2

F5 Networks

F5 Networks предлагает комплексные решения и автономные VPN-устройства. С 2016 года компания сделала акцент на комплексных решениях, и изолированные VPN-концентраторы постепенно перестают выпускаться.

Access Policy Manager (APM) – это специальный модуль программного обеспечения, который включает в себя функциональные возможности VPN, а также множество различных функций, включая BIG-IP - полный 
прокси
 между
 пользователями 
и серверами 
приложений, обеспечивающий
 безопасность,
 оптимизацию
 трафика приложений 
и 
балансировку 
его
 нагрузки. Ранее об использовании этого решения упоминал российский Лето Банк (сейчас Почта Банк).

Клиент BIG-IP VPN использует TLS (безопасность транспортного уровня) и DTLS (Datagram TLS), что позволяет чувствительным к задержке приложениям работать без проблем. Данный клиент доступен на всех распространенных настольных и мобильных платформах.

На 2016 год BIG-IP предложения компании F5 начинаются с BIG-IP 1600 и заканчиваются BIG-IP 11050, которое является их крупнейшим автономным VPN-устройством. Самым большим решением на основе блэйд-сервера является Viprion 4800, характеристики представлены ниже:

Модель Максимальное количество SSL транзакций
F5 BIG-IP 1600 1000
F5 BIG-IP 11050 20000
F5 Viprion 4800 Шаси (4340N Blade) 30000

F5 BIG-IP 1600

F5 BIG-IP 11050

F5 Viprion 4800

Pulse Secure (ранее Juniper)

Решение Pulse Secure для VPN представляет собой набор приложений, который включает в себя Pulse Secure MAG Gateway, Pulse Connect Secure и Plus Policy Secure. Pulse Connect Secure предлагает удаленному пользователю возможность безопасного соединения через SSL VPN с использованием либо доступа через браузер, либо через Pulse Secure Client. Pulse Secure MAG шлюз включает в себя четыре различных варианта физических устройств и виртуальное устройство; в нижеследующей таблице перечислены их спецификации:

Модель Максимальное количество SSL сессий Максимальное количество пользователей
MAG 2600 100 250
MAG 4610 1 5
MAG 6610 20 30
MAG 6611 40 60

Mag-600

Mag4610

Mag6610

Mag6611

S-Terra

Российская компания ООО «С-Терра СиЭсПи» - один из ведущих отечественных разработчиков и производителей продуктов сетевой безопасности (VPN-продукты). Продукты "С-Терра" используют набор протоколов IPsec и российские криптографические алгоритмы ГОСТ, сертифицированы ФСБ России и ФСТЭК России и включены в Единый реестр российских программ для электронных вычислительных машин и баз данных (Реестр российского ПО).

Решения "С-Терра" обеспечивают защиту каналов связи в корпоративной сети, между двумя ЦОД, в виртуальной инфраструктуре, при удаленном доступе, в том числе с мобильных платформ, при доступе к VDI и с использованием технологии построения доверенного сеанса.

Программно-аппаратный комплекс "С-Терра Шлюз" обеспечивает шифрование и контроль целостности передаваемых данных, аутентификацию, межсетевое экранирование, выполняет приоритизацию и маркировку трафика, реализует интеграцию с Radius сервером и событийное протоколирование. "С-Терра Шлюз" представлен широкой линейкой моделей разной производительности и доступен на аппаратных платформах как российских, так и иностранных производителей, а также в исполнении для работы в виртуальной среде.

Производительность и назначение С-Терра Шлюз:

МодельМаксимальная производительность шифрования IMIX, Мбит/сМаксимальная производительность шифрования TCP, Мбит/сМаксимальное количество туннелей
С-Терра Шлюз 100
30
50
200
С-Терра Шлюз 1000
160
300
500
С-Терра Шлюз 3000
700
900
1000
С-Терра Шлюз 7000
2000
3200 (до 7 Гбит/с на Jumbo Frame)
не ограничено

С-Терра Шлюз 100

С-Терра Шлюз 1000

С-Терра Шлюз 7000

Итоги и таблица по числу поддерживаемых сессий

Мы рассмотрели самые актуальные на данный момент решения для организации корпоративных VPN.

«При выборе системы удаленного доступа необходимо в первую очередь ориентироваться на соответствие требованиям регуляторов, - считает Павел Коростелев, менеджер по маркетингу продуктов компании «Код безопасности». - Если оператор системы персональных данных (ИСПДн) принял решение об использовании средства криптографической защиты информации (СКЗИ) для обеспечения безопасности трафика, передаваемого по открытым каналам связи, то такой продукт должен быть в обязательном порядке сертифицирован ФСБ как СКЗИ. Необходимый класс СКЗИ выбирается исходя из уровня защищенности ИСПДн и актуальных угроз. Соответствие уровней защищенности, актуальных угроз, организационных и технических мер прописаны в приказе ФСБ России №378.
Вторым важным параметром является возможность интеграции системы защищенного удаленного доступа с имеющейся сетевой инфраструктурой либо инфраструктурой сетевой безопасности на уровне управления или (как минимум) мониторинга. Для системы корпоративного удаленного доступа крайне желательна интеграция с Active Directory или другим LDAP-каталогом.
Третьим параметром выбора является поддержка системой удаленного доступа необходимых стационарных и мобильных операционных систем. В силу широкого распространения мобильных устройств у рядовых сотрудников необходимо иметь техническую возможность организовать удаленный доступ не только со стационарных ОС (Windows, Linux, Mac OS), но и с мобильных – iOS, Android».

Важным критерием также является количество поддерживаемых сессий (сравнительная таблица для всех рассмотренных вендоров представлена ниже), но стоит также учитывать и другие факторы, такие как архитектура сети, поддержка необходимых протоколов аутентификации и шифрования, стоимость и другие, поэтому каждый случай индивидуален и требует особого подхода.

Модель Количество поддерживаемых сессий
ViPNet Coordinator HW 100 С 10
«Континент» IPC-25 25
Dell SonicWALL SRA 1600 50
С-Терра Шлюз 100 200
Dell SonicWALL EX6000 250
Cisco 1941 500
Dell SonicWALL SRA 4600 500
Dell SonicWALL SRA Virtual Appliance 500
Cisco 1941 500
«Континент» IPC-100 500
ViPNet Coordinator HW 1000 v3 500
С-Терра Шлюз 1000 500
С-Терра Шлюз 3000 1000
«Континент» IPC-400 1000
MAG 4610 1000
F5 BIG-IP 1600 1000
Citrix NetScaler MPX 5550 1500
Cisco 2900 2000
«Континент» IPC-1000/1000F/1000F2/3000F/3034/3034F 3000
Cisco 3900 3000
Cisco ASA 5512-X 3000
Cisco ASA 5555-X 5000
Dell SonicWALL EX7000 5000
Dell SonicWALL EX Virtual Appliance 5000
ViPNet Coordinator HW 2000 v3 6000
Cisco ASA 5585-X w/SSP-60 10000
MAG 6610 20000
F5 BIG-IP 11050 20000
F5 Viprion 4800 Chassis (4340N Blade) 30000
MAG 6611 40000
Citrix NetScaler MPX 221201 560000

На сентябрь 2016 года, отдельные автономные концентраторы уходят в прошлое, так как они интегрированы в контроллеры доставки приложений (ADC), фаерволы следующего поколения (NGFW) и шлюзы безопасности (UTM). Даже SonicWALL и Pulse Secure - два относительно автономные варианты, обсуждаемые в этой статье полны интегрированных и дополнительных функций.

В большинстве современных сетей уже имеются решения для удаленного доступа, но новые угрозы возникают каждый день, особенно это актуально с широким распространением BYOD. Рассмотренные решения предлагают гибкость и дополнительную безопасность, которая отвечает требованиям современных сетей.

VPN-статьи

VPN-протоколы, которые развивались в течение последних десятилетий:

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания