Оборудование для VPN и сетевой безопасности Nortel CONTIVITY

Вопросы теории: Технология VPN;

Публикации: "Виртуальные частные сети", Элизабет Кларк исполнительный редактор Network Magazine.

Безопасные службы IP

Интенсивное использование Internet и приложений на базе протокола IP требует от предприятий сокращения расходов на обмен информацией. Сеть Internet создавалась без учета аспектов информационной безопасности, и предприятиям с критически важными Internet-приложениями требуется обеспечить безопасность передаваемых данных и предотвратить несанкционированный доступ в корпоративную сеть извне. Традиционные маршрутизаторы (обычно именно они используются для подключения к Internet) не обеспечивают требуемого сегодня уровня масштабирования для обеспечения высокого уровня безопасности без добавления дорогостоящих узлов и снижения производительности. Шлюзы Contivity Secure IP созданы для обеспечения требуемого современным бизнесом уровня безопасности корпоративных сетей IP и предоставления широкого спектра служб IP с современным уровнем производительности.

Contivity Secure IP - семейство продукции нового поколения, обеспечивающее средства безопасности и службы IP на базе одной интегрированной платформы. Разработанное для использования по периметру (граница между частной сетью предприятия и сетью IP общего пользования) корпоративных сетей семейство Contivity оптимизировано для более эффективного использования ресурсов Internet и обеспечения безопасного обмена информацией через IP-инфраструктуру общего пользования. За счет реализации полнофункционального набора служб IP семейство Contivity обеспечивает предприятиям простоту разворачивания требуемых служб и высокий уровень гибкости при добавлении новых типов сервиса без необходимости обновления имеющегося оборудования. Сервис-провайдеры могут использовать Contivity для предоставления своим заказчикам новых типов сервиса IP и услуг по обеспечению безопасности без изменения существующей сетевой инфраструктуры оператора или заказчиков.

Одно устройство обеспечивает поддержку маршрутизации IP, VPN, межсетевой экран, шифрование, аутентификацию, службу проверки правил, QoS и управление полосой с полной интеграцией всех служб. За счет широкого набора поддерживаемых служб IP одно устройство Contivity может решать задачи, для которых обычно используется множество специализированных устройств. Более того, гибкая система лицензирования программ позволяет заказчикам активизировать IP-службы по мере возникновения потребности в них. Например, Contivity можно использовать поначалу как маршрутизатор доступа, а потом добавить брандмауэр или поддержку VPN, указав соответствующие лицензионные ключи.

Встроенная поддержка технологии SRT (Secure Routing Technology - безопасная маршрутизация) компании Nortel Networks делает Contivity эффективным средством обеспечения сетевой безопасности. SRT объединяет основные функциональные компоненты Contivity (управление, доступ, маршрутизация, политика) в единую структуру, обеспечивающую безопасность всех служб. Это обеспечивает масштабируемость и высокую производительность даже при использовании многочисленных служб IP в одном устройстве. SRT также поддерживает такие функции, как динамическая маршрутизация (RIP/OSPF) с использованием безопасных туннелей IPsec, единая политика безопасности для пользователей, связанных через VPN, брандмауэры и маршрутизаторы, а также возможность реализации новых типов сервиса IP по мере возникновения потребности и без снижения производительности системы в целом.

Семейство шлюзов Contivity Secure IP обеспечивает поддержку полного набора служб IP и включает целый ряд устройств - от простейшего шлюза Contivity 1010 до мощной системы Contivity 4600, удовлетворяющей всем требованиям крупного предприятия. Такой спектр возможностей делает Contivity эффективным решением как для мелких компаний, так и для индустриальных гигантов. За счет гибкой схемы лицензирования программ Contivity можно покупать с тем набором функций, который требуется реально - маршрутизатор доступа, шлюз IP VPN или межсетевой экран. Набор интерфейсов ЛВС/WAN позволяет без проблем встраивать шлюз во все сетевые среды.

Безопасность системы

Поддержка VPN и безопасность являются отличительными признаками линейки Contivity. Устройства серии Contivity разработаны с учетом современных требований информационной безопасности - они обеспечивают безопасную передачу данных и защиту самого устройства и его системы управления. Например, по умолчанию Contivity блокирует любой доступ к интерфейсу в сеть общего пользования за исключением безопасного туннеля системы управления. Эффективная защита от атак на службы (DOS) также обеспечивается для внешнего интерфейса шлюза. Это ограничивает шансы атакующих даже в процессе настройки конфигурации Contivity. Шлюз не имеет "черного хода", через который в сеть или само устройство могут проникнуть хакеры. Безопасность является одним из элементов шлюза Contivity независимо от того, работает он в качестве простого маршрутизатора IP или межсетевого экрана/VPN.

Эволюционное развитие сети

В шлюзах Contivity используются только стандартные решения, обеспечивающие интероперабельность с существующими системами маршрутизации, аутентификации, безопасности и службами каталогов. Это означает, что Contivity может служить "мостом" на переходном этапе внедрения новых сетевых служб IP. Шлюз Contivity можно установить сначала позади существующего устройства IP-доступа (маршрутизатор, DSL-модем и пр.) без нарушения работы сети. Предприятия, использующие Contivity для развертывания VPN, могут впоследствии добавить поддержку функций межсетевого экрана или сделать Contivity основным устройством доступа для данного сайта.

Наилучшее решение для VPN

Платформа Contivity является одной из лидирующих систем на рынке IP VPN и может обеспечить безопасные сквозные соединения IP VPN на долгие годы. Поддержка IP VPN является стандартной функцией всех моделей Contivity (устройства поставляются с поддержкой по крайней мере 5 туннелей VPN).

Что такое технология безопасной маршрутизации (SRT)?

SRT - программная часть, на основе которой работают все IP-службы Contivity. Эта технология обеспечивает поддержку безопасности всеми компонентами Contivity, что дает целый ряд преимуществ.

Безопасная маршрутизация - SRT обеспечивает динамическую маршрутизацию через безопасные туннели IPsec. Традиционные маршрутизаторы, как и многие брандмауэры/VPN зачастую требуют организации отдельного туннеля для каждой пары адресов IP или поддерживают только статические маршруты через туннели, вынуждая администраторов выполнять кропотливую работу по настройке многочисленных статических маршрутов. В соответствии со стандартами IPsec шлюз Contivity может отображать "виртуальные интерфейсы IP" на туннели Ipsec и туннели просто выглядят для протокола RIP или OSPF как дополнительные маршруты. Система динамической маршрутизации Contivity позволяет избежать дополнительной обработки состояний и включения в пакеты дополнительной служебной информации (по крайней мере 24 байта на каждый пакет) при передаче трафика IP через туннели.

Безопасный доступ - доступ с использованием шлюзов Contivity является совершенно безопасным, независимо от использования туннелей. Пользователи, группы и удаленные сайты имеют уникальные профили фильтрации, которые хранятся в базе данных LDAP для обеспечения единой политики безопасности в сети, содержащей один или множество шлюзов Contivity. Поддерживается аутентификация с использованием различных методов, включая RADIUS, цифровые сертификаты, смарт-карты и маркерные карты (token card).

Политика обеспечения безопасности - SRT поддерживает средства создания и проверки правил, позволяющие каждому пользователю, группе или удаленному филиалу работать со своим набором правил (профиль) в рамках единой политики безопасности. Профили пользователей сохраняются независимо от места и способа подключения к сети - пользователь работает в одинаковых условиях, подключившись к корпоративной сети Ethernet или через каналы Internet общего пользования. Более того, аутентификация и права доступа применяются одинаковым способом при работе через туннели и прямом соединении.

Безопасное управление - шлюз Contivity не имеет "черных ходов", через которые в систему могут проникнуть хакеры. Настройка через туннель с шифрованием является единственным способом доступа к системе управления через внешний (Internet) интерфейс Contivity. Кроме того, обеспечивается мощная защита от атак на службы (DOS) для внешнего интерфейса шлюза. Contivity также записывает в журнал сведения о всех транзакциях и событиях, связанных с безопасностью и аутентификацией. Журнальные файлы могут храниться на локальном диске Contivity или ином устройстве в зависимости от принятой на предприятии политики безопасности.

Технические возможности

Маршрутизация и доступ в сети

• RIPv1, v2, OSPF, VRRP;
• PPPoE, DHCP (сервер и клиент), DNS с поддержкой VPN, DNS-прокси.

Протоколы туннелирования VPN

• IPSec с поддержкой заголовка аутентификации (AH), протокола ESP, и обмена ключами IKE;
• поддержка протокола PPTP с компрессией и шифрованием;
• поддержка протокола L2TP, включая L2TP/IPsec;
• L2F;
• по крайней мере 5 туннелей VPN в каждой базовой конфигурации, включая поддержку туннеля для управления.

Шифрование

• Сертифицированное IPSec шифрование TruSecure (International Computer Security Association - ICSA);
• DES, 3DES, AES, RC4;
• аутентификация MD5 и SHA-1;
• 3DES с использованием 3 независимых 56-битовых ключей; ключи размером 168 битов (эффективная длина ключа 128 битов).

Протоколы и службы WAN

• PPP;
• Frame Relay;
• резервирование по коммутируемым линиям с использованием встроенного модема V.90 или консольного порта управления и внешнего модема или терминального адаптера ISDN.

Управление полосой

• настройка минимальной полосы на уровне групп или отдельных пользователей;
• распределение уровней приоритета с использованием RED (random early detection);
• 4 уровня допусков; 4 уровня приоритета для пересылки пакетов;
• 8 очередей DiffServ; маркирование; качество обслуживания (QoS);
• поддержка протокола RSVP.

Службы аутентификации

• допуск в домены NT по имени и пароля;
• работа с внутренними и внешними серверами LDAP;
• поддержка протокола RADIUS;
• поддержка маркеров (аппаратных и программных) SecureID и AXENT;
• цифровые сертификаты X.509 и смарт-карты (всех основных производителей и MS-CAPI).

Компрессия данных

• поддержка стандартной компрессии LZS (Hifn).

Учет

• учет на основе внутреннего или внешнего сервера RADIUS;
• учет событий (системные, безопасность, настройка конфигурации);
• автоматическое архивирование учетных данных на внешних системах.

Управление

• программа Contivity Configuration Manager обеспечивает возможность настройки до 2500 шлюзов Contivity;
• управление из командной строки (интерфейс NNCLI);
• Web-интерфейс для настройки;
• мастер конфигураций для упрощения установки и начальной настройки;
• управление по протоколу SNMP (мониторинг и сигналы тревоги);
• 4 уровня доступа к системе управления; ролевое управление для разделения сервис-провайдеров и пользователей.

Межсетевой экран

• многоуровневая проверка пакетов (SPI) со скоростью среды более чем для 100 шлюзов прикладного уровня (ALG), включая TCP, UDP, FTP, HTTP, H.323, RealAudio, Java, Active X;
• защита от основных типов атак со стороны хакеров, включая DOS, SYN flood, Smurf, Ping, Spoofing, Fraggle, ICMP unreachable;
• аутентификация для прокси, расширенная поддержка NAT;
• эффективные и настраиваемые опции протоколирования;
• неограниченное число пользователей в сети за брандмауэром, поддержка правил для туннелей и прямых соединений.

VPN-клиент Contivity

• Microsoft Windows 95, 98, 2000, ME, NT, XP (бесплатно);
• IBM-AIX, SUN-Solaris, HP-UX, Linux, Macintosh (лицензия);
• беспроводные устройства Palm и Windows CE поддерживаются с использованием лицензий других фирм (MovianVPN).