Виртуальные частные сети. Модные тренды

Автор: Александр Шахлевич, специалист департамента маркетинга компании «Информзащита»

"VPN -- это технология, которая объединяет доверенные сети, узлы и пользователей через открытые сети, которым нет доверия".

Потребности бизнеса и подходы к построению ИБ сформировали к настоящему момент два ключевых направления развития технологии VPN: это IPsec VPN и SSL VPN. Посмотрим, в чем основные плюсы и минусы каждой из них.

IPsec VPN и SSL VPN. Сравнительная характеристика

1. IPSec (IP Security) -- это набор протоколов, решающих проблемы по шифрованию данных, их целостности и аутентификации. IPSec работает на сетевом уровне. Таким образом, защита данных будет прозрачна для сетевых приложений. В то время как SSL (Secure Socket Layer) -- протокол уровня приложений, в основном используется для защищенного обмена информацией между удаленными приложениями (по большей части это обращение к Web-серверам). IPSec одинаково обращается с пакетами протоколов более высокого уровня, то есть аутентифицируются и шифруются, не обращая внимания на их содержание. А вот для работы SSL необходим надежный транспортный протокол (например, TCP). Надежность IPSec еще гарантируется тем, что информация о порте, с которым установлено соединение, так же недоступна для злоумышленника.

2. IPSec поддерживает три вида установления соединения:

• Gateway-to-Gateway
• Gateway-to-Host
• Host-to-Host

SSL поддерживает только соединение между двумя host’ами или клиентом и сервером.

3. IPSec поддерживает цифровую подпись и использование Secret Key Algorithm, в то время как SSL -- только цифровую подпись. И IPsec и SSL могут использовать PKI. Преимущество IPSec: для малых систем можно вместо PKI использовать preshared keys, что заметно упрощает задачу. Методы, которые используются в SSL, идеально подходят для установления защищенного соединения между сервером и клиентом. Основное различие между способами аутентификации опять же заключается в том, что IPSec функционирует на сетевом уровне, что позволяет прослеживать адрес получателя и источника с тем же успехом, что и аутентификацию более высоких уровней. SSL же имеет доступ только к информации транспортного уровня и выше.

4. Среди недостатков IPSec -- большой объем дополнительной информации, добавляемой к исходному пакету. В случае SSL этот размер значительно меньше.

5. Для сжатия IPSec применяется протокол IPComp. SSL в меньшей мере использует сжатие, и только OpenSSL поддерживает его полностью. В случае IPSec использование алгоритмов сжатия может приводить к разным результатам при использовании их в разных условиях: производительность способна как увеличиваться, так и уменьшаться. Результат зависит от соотношения скоростей шифрования, сжатия и скорости передачи данных. Большинство алгоритмов шифрования работают быстрее алгоритмов сжатия. Следовательно, это будет приводить к замедлению работы. Но в случае низкой скорости передачи, использование сжатия заметно увеличит производительность.

Некоторые выводы

SSL очень быстро развивается в сегменте клиент-сервер VPN (по сравнению с IPSec) и постепенно заменит его, так как при меньших издержках предоставляет необходимый уровень защищенности информации. Большим преимуществом IPSec остается то, что он работает на любом производителе поддерживающем IPSec RFC. Например, теоретически возможно установить VPN-соединение между Cisco и Nortel маршрутизаторами. Теоретически, потому что время показало: даже если различные производители поддерживают IPSec-стандарты, иногда встречаются проблемы совместимости. Поэтому в site-to-site сегменте преимущество остается за IPSec. Это связано и с отсутствием стандарта (RFC) на создание site-to-site SSL VPN-сетей, и с тем, что IPSec работает на более низком уровне модели OSI, а это позволяет ему решать более сложные задачи. И хотя пока что SSL пытается на равных конкурировать с IPSec, но с появлением и окончательной стандартизацией IPv6 ситуация должна измениться.

Что выбрать - решать только заказчику. Лидеры по производству средств защиты информации отлично справляются с развитием обоих направлений и способны предложить оптимальное решение, соответствующее индивидуальным потребностям конкретного клиента.