Translated by PROMT
2016/09/30 15:45:23

VPN-решения для корпоративных сетей

Virtual Private Network (VPN) - обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Термин виртуальной частной сети (VPN) стал широко распространенным с выходом операционной системы Microsoft Windows 95. Основная идея состояла в том, чтобы обеспечить сотрудникам безопасный доступ к внутренней сети организации, не открывая сети для атак хакеров. В этой статье мы рассмотрим лучшие варианты для организации корпоративных VPN, доступных на сегодняшний день.

Содержание

2016

В 2016 году существует целый ряд решений для построения виртуальных частных сетей. Иногда эти решения являются частью комплексной системы а иногда предлагаются как самостоятельные продукты.

"Код безопасности"

Российская компания "Код безопасности" предоставляет различные продукты для организации удаленного доступа в том числе для организации VPN-сетей между филиалами предприятий. Удаленный доступ может быть реализован с помощью двух продуктов из линейки «Континент»: комплекс из сервера доступа «Континент» 3.7 и СКЗИ «Континент-АП 3.7», ПАК СКЗИ «Континент TLS VPN сервер» для реализации удаленного доступа к веб-ресурсам с шифрованием по ГОСТ.

Производительность сервера доступа «Континент» 3.7 и СКЗИ «Континент-АП» 3.7

Модель Количество поддерживаемых СКЗИ «Континент-АП» Производительность (в режиме VPN шлюза)
IPC-25 25 50 Мбит/с
IPC-100 500 300 Мбит/с
IPC-400 1000 500 Мбит/с
IPC-1000/1000F/1000F2 3000 950 Мбит/с
IPC-3000F/3034/3034F 3000 2 500 Мбит/с

«Континент» IPC-25

«Континент» IPC-3034

Производительность ПАК СКЗИ «Континент TLS VPN сервер»

Модель Максимальное количество одновременных SSL-подключений Производительность в режиме HTTPS-прокси
IPC-100 500 200 Мбит/с
IPC-400 5 000 700 Мбит/с
IPC-1000/1000F/1000F2 10 000 900 Мбит/с
IPC-3000F/3034/3034F 18 000 3 000 Мбит/с

Cisco

Решения американской компании Cisco базируются на ряде продуктов, которые предлагают больше, чем просто терминирование VPN. AnyConnect Secure Mobility Client является основной частью программного обеспечения, предлагаемого Cisco для VPN-решений. Он может быть запущен на всех распространенных настольных и мобильных операционных системах и предлагает не только поддержку виртуальных частных сетей, но и другие функции безопасности. AnyConnect обеспечивает поддержку TLS, DTLS и IPsec IKEv2. Для поддержки выбранного решения должна использоваться модель из серии ASA 5500-X или устройство Cisco под управлением IOS версии 15.1(2)T или выше. Платформы меньшего размера, такие как Cisco серии 1941, 2900 и 3900 поддерживают аппаратное ускорение для DES, 3DES и AES как для IPsec, так и SSL VPN. Что касается показателей производительности, единственное, что Cisco гарантирует, является производительность IPsec:

Модель Количество поддерживаемых туннелей Производительность
Cisco 1941(используя ISM-VPN модуль) 500 550 Мбит/с
Cisco 2900 (используя ISM-VPN модуль) 2000 900 Мбит/с
Cisco 3900 (используя ISM-VPN модуль) 3000 1200 Мбит/с

Cisco 1941

Cisco 2900

Cisco 3900

Далее существует целый ряд различных вариантов, включая многие коммутаторы вплоть до серии 6500 на базе IOS, который предлагает специальные VPN-модули с аппаратным ускорением. Терминация VPN также доступна с помощью брандмауэра следующего поколения (NGFW) ASA 5500-X серии:

Модель Количество поддерживаемых туннелей Производительность
Cisco ASA 5512-X 3000 200 Мбит/c
Cisco ASA 5555-X 5000 700 Мбит/c
Cisco ASA 5585-X w/SSP-60 10000 5 Гбит/с

Сisco ASA 5512-X

Сisco ASA 5555-X

Сisco ASA 5585-X w/SSP-60

Citrix

VPN-решения от Citrix встроены в продукт NetScaler Gateway. Шлюз NetScaler, как и всё оборудование фирмы Citrix, легко настраивается и интегрируется во многие линейки продуктов компании. NetScaler Gateway предлагает более функциональные возможности SSL VPN, включая безопасный доступ к Citrix Virtual Apps и Desktops (ранее XenApp и XenDesktop), XenApp и сессий XenMobile, а также безопасного сетевого доступа к любому серверу, наряду с анализом и определением устройства. Citrix Gateway поддерживает как TLS и DTLS сессии, в зависимости от требований к трафику. Citrix Gateway в той или иной форме входит во все версии NetScaler ADC и полностью интегрирован в приложения Citrix.

Лицензирование является немного запутанным в зависимости от конкретных платформ. Наша рекомендация - обсудить доступные варианты с представителем Citrix, прежде чем принять окончательное решение по выбору конкретного продукта, особенно если другие приложения Citrix используются или будут использоваться в сети. Как правило, существует два различных типа лицензий: Platform license и Universal license. Большая часть функционала SSL Citrix требует Universal license.

Далее приведены технические характеристики некоторых из доступных устройств NetScaler, которые могут быть использованы для развертывания решения на основе шлюза NetScaler (самая младшая MPX платформа - 5550 и последняя - 22120):

Модель Максимальное количество SSL транзакций
Citrix NetScaler MPX 5550 1500
Citrix NetScaler MPX 22120 56000

Citrix NetScaler MPX-8005

Citrix Netscaler MPX-221201

Dell SonicWALL

С приобретением SonicWALL, Dell теперь предлагает линейку устройств, которые предназначены для обеспечения мобильного и удаленного доступа, в том числе устройства SRA и SRA E-класса. Устройства SRA ориентированы на малый бизнес и компании с менее чем 500 сотрудников. Они более ограничены по функционалу, чем их старшие братья E-класса. Устройства E-класса SRA являются не только VPN-концентраторами, но включают в себя управление удаленным доступом, а также защиту от вредоносного программного обеспечения и защиту доступа к устройству, управление политиками BYOD и регистрацию. Устройства SRA разделены на три основные группы: SRA 1600, SRA 4600 и SRA - виртуальные устройства. Далее представлены их соответствующие спецификации:

Модель Максимальное количество пользователей
Dell SonicWALL SRA 1600 50
Dell SonicWALL SRA 4600 500
Dell SonicWALL SRA Virtual Appliance 500
Dell SonicWALL EX6000 250
Dell SonicWALL EX7000 5000
Dell SonicWALL EX9000 20000
Dell SonicWALL EX Virtual Appliance 5000

SRA 1600

SRA 4600

SRA-e9000

SRA-ex6000

SRA-ex7000

Infotecs

ИнфоТеКС занимает устойчивые позиции лидера российского рынка информационной безопасности и является одним из ведущих поставщиков программных и программно-аппаратных VPN-решений, средств криптографической защиты информации на рабочих станциях, серверах и мобильных компьютерах. ViPNet Coordinator - программный сервер защищенной сети ViPNet, функционирующий под управлением операционной системы, позволят выполнять функции приоритизации, фильтрации, шифрования и аутентификации, надежно защищая передаваемую по каналам связи информацию от несанкционированного доступа и подмены. Ниже рассмотрены самые популярные решения:

Модель Количество поддерживаемых туннелей
ViPNet Coordinator HW 100 С 10
ViPNet Coordinator HW1000 500
ViPNet Coordinator HW2000 6000

ViPNet Coordinator HW1000

ViPNet Coordinator HW2000 v2

F5 Networks

F5 Networks предлагает комплексные решения и автономные VPN-устройства. С 2016 года компания сделала акцент на комплексных решениях, и изолированные VPN-концентраторы постепенно перестают выпускаться.

Access Policy Manager (APM) – это специальный модуль программного обеспечения, который включает в себя функциональные возможности VPN, а также множество различных функций, включая BIG-IP - полный 
прокси
 между
 пользователями 
и серверами 
приложений, обеспечивающий
 безопасность,
 оптимизацию
 трафика приложений 
и 
балансировку 
его
 нагрузки. Ранее об использовании этого решения упоминал российский Лето Банк (сейчас Почта Банк).

Клиент BIG-IP VPN использует TLS (безопасность транспортного уровня) и DTLS (Datagram TLS), что позволяет чувствительным к задержке приложениям работать без проблем. Данный клиент доступен на всех распространенных настольных и мобильных платформах.

На 2016 год BIG-IP предложения компании F5 начинаются с BIG-IP 1600 и заканчиваются BIG-IP 11050, которое является их крупнейшим автономным VPN-устройством. Самым большим решением на основе блэйд-сервера является Viprion 4800, характеристики представлены ниже:

Модель Максимальное количество SSL транзакций
F5 BIG-IP 1600 1000
F5 BIG-IP 11050 20000
F5 Viprion 4800 Шаси (4340N Blade) 30000

F5 BIG-IP 1600

F5 BIG-IP 11050

F5 Viprion 4800

Pulse Secure (ранее Juniper)

Решение Pulse Secure для VPN представляет собой набор приложений, который включает в себя Pulse Secure MAG Gateway, Pulse Connect Secure и Plus Policy Secure. Pulse Connect Secure предлагает удаленному пользователю возможность безопасного соединения через SSL VPN с использованием либо доступа через браузер, либо через Pulse Secure Client. Pulse Secure MAG шлюз включает в себя четыре различных варианта физических устройств и виртуальное устройство; в нижеследующей таблице перечислены их спецификации:

Модель Максимальное количество SSL сессий Максимальное количество пользователей
MAG 2600 100 250
MAG 4610 1 5
MAG 6610 20 30
MAG 6611 40 60

Mag-600

Mag4610

Mag6610

Mag6611

S-Terra

Российская компания ООО «С-Терра СиЭсПи» - один из ведущих отечественных разработчиков и производителей продуктов сетевой безопасности (VPN-продукты). Продукты "С-Терра" используют набор протоколов IPsec и российские криптографические алгоритмы ГОСТ, сертифицированы ФСБ России и ФСТЭК России и включены в Единый реестр российских программ для электронных вычислительных машин и баз данных (Реестр российского ПО).

Решения "С-Терра" обеспечивают защиту каналов связи в корпоративной сети, между двумя ЦОД, в виртуальной инфраструктуре, при удаленном доступе, в том числе с мобильных платформ, при доступе к VDI и с использованием технологии построения доверенного сеанса.

Программно-аппаратный комплекс "С-Терра Шлюз" обеспечивает шифрование и контроль целостности передаваемых данных, аутентификацию, межсетевое экранирование, выполняет приоритизацию и маркировку трафика, реализует интеграцию с Radius сервером и событийное протоколирование. "С-Терра Шлюз" представлен широкой линейкой моделей разной производительности и доступен на аппаратных платформах как российских, так и иностранных производителей, а также в исполнении для работы в виртуальной среде.

Производительность и назначение С-Терра Шлюз:

МодельМаксимальная производительность шифрования IMIX, Мбит/сМаксимальная производительность шифрования TCP, Мбит/сМаксимальное количество туннелей
С-Терра Шлюз 100
30
50
200
С-Терра Шлюз 1000
160
300
500
С-Терра Шлюз 3000
700
900
1000
С-Терра Шлюз 7000
2000
3200 (до 7 Гбит/с на Jumbo Frame)
не ограничено

С-Терра Шлюз 100

С-Терра Шлюз 1000

С-Терра Шлюз 7000

Итоги и таблица по числу поддерживаемых сессий

Мы рассмотрели самые актуальные на данный момент решения для организации корпоративных VPN.

«При выборе системы удаленного доступа необходимо в первую очередь ориентироваться на соответствие требованиям регуляторов, - считает Павел Коростелев, менеджер по маркетингу продуктов компании «Код безопасности». - Если оператор системы персональных данных (ИСПДн) принял решение об использовании средства криптографической защиты информации (СКЗИ) для обеспечения безопасности трафика, передаваемого по открытым каналам связи, то такой продукт должен быть в обязательном порядке сертифицирован ФСБ как СКЗИ. Необходимый класс СКЗИ выбирается исходя из уровня защищенности ИСПДн и актуальных угроз. Соответствие уровней защищенности, актуальных угроз, организационных и технических мер прописаны в приказе ФСБ России №378.
Вторым важным параметром является возможность интеграции системы защищенного удаленного доступа с имеющейся сетевой инфраструктурой либо инфраструктурой сетевой безопасности на уровне управления или (как минимум) мониторинга. Для системы корпоративного удаленного доступа крайне желательна интеграция с Active Directory или другим LDAP-каталогом.
Третьим параметром выбора является поддержка системой удаленного доступа необходимых стационарных и мобильных операционных систем. В силу широкого распространения мобильных устройств у рядовых сотрудников необходимо иметь техническую возможность организовать удаленный доступ не только со стационарных ОС (Windows, Linux, Mac OS), но и с мобильных – iOS, Android».

Важным критерием также является количество поддерживаемых сессий (сравнительная таблица для всех рассмотренных вендоров представлена ниже), но стоит также учитывать и другие факторы, такие как архитектура сети, поддержка необходимых протоколов аутентификации и шифрования, стоимость и другие, поэтому каждый случай индивидуален и требует особого подхода.

Модель Количество поддерживаемых сессий
ViPNet Coordinator HW 100 С 10
«Континент» IPC-25 25
Dell SonicWALL SRA 1600 50
С-Терра Шлюз 100 200
Dell SonicWALL EX6000 250
Cisco 1941 500
Dell SonicWALL SRA 4600 500
Dell SonicWALL SRA Virtual Appliance 500
Cisco 1941 500
«Континент» IPC-100 500
ViPNet Coordinator HW 1000 v3 500
С-Терра Шлюз 1000 500
С-Терра Шлюз 3000 1000
«Континент» IPC-400 1000
MAG 4610 1000
F5 BIG-IP 1600 1000
Citrix NetScaler MPX 5550 1500
Cisco 2900 2000
«Континент» IPC-1000/1000F/1000F2/3000F/3034/3034F 3000
Cisco 3900 3000
Cisco ASA 5512-X 3000
Cisco ASA 5555-X 5000
Dell SonicWALL EX7000 5000
Dell SonicWALL EX Virtual Appliance 5000
ViPNet Coordinator HW 2000 v3 6000
Cisco ASA 5585-X w/SSP-60 10000
MAG 6610 20000
F5 BIG-IP 11050 20000
F5 Viprion 4800 Chassis (4340N Blade) 30000
MAG 6611 40000
Citrix NetScaler MPX 221201 560000

На сентябрь 2016 года, отдельные автономные концентраторы уходят в прошлое, так как они интегрированы в контроллеры доставки приложений (ADC), фаерволы следующего поколения (NGFW) и шлюзы безопасности (UTM). Даже SonicWALL и Pulse Secure - два относительно автономные варианты, обсуждаемые в этой статье полны интегрированных и дополнительных функций.

В большинстве современных сетей уже имеются решения для удаленного доступа, но новые угрозы возникают каждый день, особенно это актуально с широким распространением BYOD. Рассмотренные решения предлагают гибкость и дополнительную безопасность, которая отвечает требованиям современных сетей.