Что нужно для построения vpn?

Прежде всего, шлюз — VPN Gateway. В нашем случае достаточно приобрести у одной из фирм-производителей совершенно готовое к работе устройство, требующее для начала работы лишь подключения к LAN, Интернету и, возможно, минимального конфигурирования.

Для небольших сетей и администраторов, не обладающих большим опытом работы с VPN, это решение является наиболее удобным и эффективным.

Перейдем непосредственно к обзору.

VPN-appliances класса Small Office Home Office

ADI-1000

Американская фирма Assured Digitalпредлагает свое комплексное решение для реализации VPN начального уровня под именемADI-1000.

Рис. 5. ADI-1000

Разработчики называют это устройство сетевым коммутатором (switch) с возможностями VPN. Оно имеет 2 интерфейса Ethernet со скоростью 10 Mbit/sec.

Сведения о количестве поддерживаемых VPN-туннелей противоречивы. На сайте разработчиков утверждается, что ADI-1000 может поддерживать до 16 независимых IPSec туннелей. Однако независимые эксперты говорят всего лишь о 4 туннелях.

Среди криптографических алгоритмов, используемых в данном решении, названы DES и Triple DES, а также MD5 и SHA-1 в качестве алгоритма проверки целостности данных. Устройство умеет работать с сертификатами и PKI по протоколу X.509v3.

Производитель предлагает также как отдельный продукт: программу — менеджер для управления и администрирования. Управлять работой ADI-1000 можно с помощью GUI-интерфейса или из командной строки.

Стоимость ADI-1000 составляет $1700. Система особых скидок позволяет в некоторых случаях снизить цену на 10-25%.

Cisco 1720 VPN Router

Всемирно известный производитель огромного множества сетевых устройств Cisco также внес свой вклад — Cisco 1720 VPN Router. Как явствует из названия, это роутер начального уровня с VPN-расширением.

Рис. 6. Cisco 1720 VPN Router

Роутер имеет стомегабитный Ethernet-интерфейс и от двух до пяти serial-интерфейсов для подключения к WAN. Управление VPN и роутером в целом осуществляется посредством Cisco IOS® — специальной операционной системы, созданной Cisco. На мой вкус, она могла быть и чуть поудобнее. Отсутствие интуитивно понятного и доступного GUI — отличительная черта всех роутеров Cisco, в том числе и обсуждаемого нами.

Возможности VPN радуют. Поддерживаются DES, Triple DES  MD5, SHA-1, а также CA и сертификаты с использованием X.509v3.

Однако некоторые эксперты отмечают низкую производительностьроутера при работе с VPN.

Цена зависит от комплектации и начинается с суммы около $1000.

Intel Express 8205 VPN Broadband Router

Фирма Intelименует свое решение для создания VPN класса SOHOIntel Express 8205 VPN Broadband Router.

Рис. 7. Intel Express 8205 VPN Broadband Router

Роутер с возможностями VPN может быть использован с ADSL, SDSL, IDSL, ISDN и кабельными соединениями. К локальной сети он подключается c помощью Ethernet — интерфейса на скорости до 100 Mbit/sec.

Максимальная пропускная способность роутера при работе с VPN не превышает 1.3 Mbit/sec при работе с 3DES. Не могу удержаться от соблазна привести по этому поводу цитату. Со свойственным фирме Intelюмором на сайте разработчиков отмечается, что такая выдающаяся производительность достигается благодаря мощной архитектуре Intel:

The powerful Intel Express Router architecture delivers outstanding VPN throughput that enables up to 1.3 Mbps with 3DES encryption.

Число независимых VPN-туннелей не превышает 50-ти.

Помимо 3DES роутер умеет работать с DES и морально устаревшим RC4, также MD5 и SHA-1.

К серьезным недостаткам надо отнести невозможность работы с PKI и LDAP, а также отсутствие какой бы то ни было поддержки мобильных VPN-клиентов.

Цена невелика и составляет $899.

Avaya VPN Firewall Brick 80

Решение, которое предлагает Avaya Inc., называется просто: "кирпич" —VPN Firewall Brick 80.

Рис. 8. VPN Firewall Brick 80.

Это сетевой мост с функциями VPN Gateway и firewall, оснащенный 4-мя 100 Mbit/sec Ethernet портами.

Производитель с гордостью отмечает, что в США это устройство сертифицировано NSA и американской армией.

"Кирпич" работает с DES, 3DES, RC4, MD5, SHA1, цифровыми сертификатами. Поддерживает до 400 одновременных IPSec-туннелей. Пропускная способность для шифрованного трафика составляет не более 8 Mbit/sec.

Управлять работой "кирпича" можно с помощью Java-интерфейса.

Устройство продается также и под маркой Lucent.

Дистрибьюторы предлагают его по цене от $2800 до $2900.

Travlin Ravlin

Фирма RedCreek Communications® Inc. предлагает довольно интересный недорогой продукт с забавным именемTravlin Ravlin.

Рис.9. Travlin Ravlin

Устройство имеет 2 интерфейса Ethernet и встроенный модем V.90; помимо функций VPN работает как firewall. В нем реализована концепция dial-on demand: связь с Интернетом, а следовательно и VPN, устанавливается только при необходимости. По замыслу производителей это должно существенно экономить телефонные счета и оплату услуг Интернет-провайдера.

Travlin Ravlin поддерживает DES, 3DES, MD5, SHA1, работает с сертификатами по протоколу X.509.

Особо высокой производительности ожидать не приходится, о количестве одновременно поддерживаемых туннелей информации нет.

Цена составляет $700.

NetScreen-5XP

Устройство американской фирмы NetScreen Technologies, Inc.имеет два Ethernet-интерфейса со скоростью 10 Mbit/sec, встроенные VPN и Firewall. Может обрабатывать до 10 IPSec-туннелей одновременно.

Рис. 10. NetScreen-5XP

Утверждается, что устройство может работать с шифрованным VPN трафиком на скорости до 10 Mbit/sec. Это один из лучших показателей в рассматриваемом классе устройств для малого офиса.

Поддерживаются все распространенные разновидности цифровых сертификатов: DES, 3DES, MD5, SHA1, а также набирающий популярность AES. Работает с клиентом VPN, который производители продают как отдельный программный продукт

Стоимость зависит от количества лицензированных пользователей и колеблется в пределах $500 — $1000.

3com OfficeConnect NetBuilder Firewall 25 + VPN upgrade

3com Corp. продает устройство NetBuilder Firewall 25 с опцией VPN-расширения.

Рис. 11. NetBuilder Firewall 25

Программный VPN-модуль способен поддерживать до 10 IPSec-туннелей с криптографией на основе DES, 3DES, RC4 , MD5, SHA-1. В комплекте прилагаемого программного обеспечения имеется VPN-клиент. Как и в случае с Intel, поддержка сертификатов отсутствует.

Для соединения с LAN и WAN используются 2 Ethernet-порта с пропускной способностью 10 Mbit/sec. Данные о пропускной способности VPN-трафика отсутствуют.

Цена комплекта с VPN-модулем составляет около $1000.

Nokia IP55

В рамках сетевых решений для малого офиса фирма Nokiaпредлагает целый ряд продуктов. Мы рассмотрим лишь один из них — Nokia IP55.

Рис. 12. Nokia IP55

Это устройство имеет 4 интерфейса Ethernet 100 Mbit/sec и один интерфейс ADSL для соединения с WAN. В качестве программного обеспечения выбран Firewall1/VPN1 Small Office— продукт известной компании-разработчика в области VPN —Checkpoint Software Technologies.

Как и другие реализации Checkpoint VPN1,Nokia IP55поддерживает DES, 3DES, AES, MD5, SHA1, работает со всеми видами сертификатов, включая LDAP.

Для управления VPN и устройством в целом используется WEB-интерфейс. Nokia отмечает высокою эффективность и производительность устройства, использующего мощный RISC-процессор, однако конкретные цифры отсутствуют, как и данные о количестве одновременно обрабатываемых IPSec-туннелей.

Стоимость составляет примерно $1200, включая лицензию на 25 пользователей.

PDS 2000 Security Appliance Series

Еще одна разработка из серии решений VPN, созданных на базе Checkpoint VPN1, принадлежит фирмеIntrusion.comи называетсяPDS 2000 Security Appliance.

Рис. 13. PDS 2000 Security Appliance

Также, как и в предыдущем случае, поддерживаются DES, 3DES, AES, MD5, SHA1, цифровые сертификаты. Та же возможность управления через Web-интерфейс.

Однако "железное" воплощение, конечно же, иное. Различные варианты PDS 2000имеют от двух до трех портов Ethernet, один порт Serial и 2 USB порта.

Стоимость составляет примерно $1500.

Firebox™ SOHO

Эта симпатичная красная коробочка сделана фирмой WatchGuard Technologies, Inc.

Рис. 14. Firebox ™ SOHO

Как уже видно из названия, она несет в себе не только функции VPN, но и Firewall.

Для подключения к сетям используются 5 портов Ethernet, способных работать на скорости до 100 Mbit/sec.

В качестве VPN-gateway устройство способно обслуживать 5 одновременных IPSec-туннелей типа gateway-to-gateway и столько же туннелей client-to-gateway. Поддерживается DES, 3DES, MD5, SHA1. Максимальная пропускная способность для шифрованного IPSec-трафика с использованием 3DES составляет 1.3 Mbit/sec. PKI и цифровые сертификаты не поддерживаются.

Стоимость составляет $900 в максимально возможной комплектации.

SonicWALL SOHO2

Рис. 15. SonicWALL SOHO2

Это устройство производит фирма SonicWall. Изначально оно предназначено для защиты локальной сети в качестве Firewall’а, а функции VPN-gateway доступны как апгрейд.

Для соединения с LAN и WAN имеются два порта Ethernet 100 Mbit/sec.

Поддерживаются лишь DES, 3DES и MD5, нет возможности работать с сертификатами и PKI.

Стоимость с учетом VPN upgrade составляет около $1300.

InstaGate EX2

Рис. 16. InstaGate EX2

Еще одно интересное решение принадлежит фирме eSoft Inc.и называетсяInstaGate EX2.

Согласно спецификации, устройство с пропускной способностью до 20 Mbit/sec поддерживает Triple DES, MD5 и SHA. В зависимости от комплектации имеются два или три 100-мегабитных порта Ethernet. Помимо функции VPN-Gateway прибор работает еще и как Firewall.

К сожалению, не поддерживается подтверждение подлинности с использованием цифровых сертификатов.

Цена составляет около $950 в минимальной комплектации.