Virtual Private Network (VPN) - обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Термин виртуальной частной сети (VPN) стал широко распространенным с выходом операционной системы Microsoft Windows 95. Основная идея состояла в том, чтобы обеспечить сотрудникам безопасный доступ к внутренней сети организации, не открывая сети для атак хакеров. В этой статье мы рассмотрим лучшие варианты для организации корпоративных VPN, доступных на сегодняшний день.
В 2016 году существует целый ряд решений для построения виртуальных частных сетей. Иногда эти решения являются частью комплексной системы а иногда предлагаются как самостоятельные продукты.
Российская компания "Код безопасности" предоставляет различные продукты для организации удаленного доступа в том числе для организации VPN-сетей между филиалами предприятий. Удаленный доступ может быть реализован с помощью двух продуктов из линейки «Континент»: комплекс из сервера доступа «Континент» 3.7 и СКЗИ «Континент-АП 3.7», ПАК СКЗИ «Континент TLS VPN сервер» для реализации удаленного доступа к веб-ресурсам с шифрованием по ГОСТ.
Производительность сервера доступа «Континент» 3.7 и СКЗИ «Континент-АП» 3.7
Модель | Количество поддерживаемых СКЗИ «Континент-АП» | Производительность (в режиме VPN шлюза) |
---|---|---|
IPC-25 | 25 | 50 Мбит/с |
IPC-100 | 500 | 300 Мбит/с |
IPC-400 | 1000 | 500 Мбит/с |
IPC-1000/1000F/1000F2 | 3000 | 950 Мбит/с |
IPC-3000F/3034/3034F | 3000 | 2 500 Мбит/с |
«Континент» IPC-25
«Континент» IPC-3034
Производительность ПАК СКЗИ «Континент TLS VPN сервер»
Модель | Максимальное количество одновременных SSL-подключений | Производительность в режиме HTTPS-прокси |
---|---|---|
IPC-100 | 500 | 200 Мбит/с |
IPC-400 | 5 000 | 700 Мбит/с |
IPC-1000/1000F/1000F2 | 10 000 | 900 Мбит/с |
IPC-3000F/3034/3034F | 18 000 | 3 000 Мбит/с |
Решения американской компании Cisco базируются на ряде продуктов, которые предлагают больше, чем просто терминирование VPN. AnyConnect Secure Mobility Client является основной частью программного обеспечения, предлагаемого Cisco для VPN-решений. Он может быть запущен на всех распространенных настольных и мобильных операционных системах и предлагает не только поддержку виртуальных частных сетей, но и другие функции безопасности. AnyConnect обеспечивает поддержку TLS, DTLS и IPsec IKEv2. Для поддержки выбранного решения должна использоваться модель из серии ASA 5500-X или устройство Cisco под управлением IOS версии 15.1(2)T или выше. Платформы меньшего размера, такие как Cisco серии 1941, 2900 и 3900 поддерживают аппаратное ускорение для DES, 3DES и AES как для IPsec, так и SSL VPN. Что касается показателей производительности, единственное, что Cisco гарантирует, является производительность IPsec:
Модель | Количество поддерживаемых туннелей | Производительность |
---|---|---|
Cisco 1941(используя ISM-VPN модуль) | 500 | 550 Мбит/с |
Cisco 2900 (используя ISM-VPN модуль) | 2000 | 900 Мбит/с |
Cisco 3900 (используя ISM-VPN модуль) | 3000 | 1200 Мбит/с |
Cisco 1941
Cisco 2900
Cisco 3900
Далее существует целый ряд различных вариантов, включая многие коммутаторы вплоть до серии 6500 на базе IOS, который предлагает специальные VPN-модули с аппаратным ускорением. Терминация VPN также доступна с помощью брандмауэра следующего поколения (NGFW) ASA 5500-X серии:
Модель | Количество поддерживаемых туннелей | Производительность |
---|---|---|
Cisco ASA 5512-X | 3000 | 200 Мбит/c |
Cisco ASA 5555-X | 5000 | 700 Мбит/c |
Cisco ASA 5585-X w/SSP-60 | 10000 | 5 Гбит/с |
Сisco ASA 5512-X
Сisco ASA 5555-X
Сisco ASA 5585-X w/SSP-60
VPN-решения от Citrix встроены в продукт NetScaler Gateway. Шлюз NetScaler, как и всё оборудование фирмы Citrix, легко настраивается и интегрируется во многие линейки продуктов компании. NetScaler Gateway предлагает более функциональные возможности SSL VPN, включая безопасный доступ к Citrix XenDesktop, XenApp и сессий XenMobile, а также безопасного сетевого доступа к любому серверу, наряду с анализом и определением устройства. Citrix Gateway поддерживает как TLS и DTLS сессии, в зависимости от требований к трафику. Citrix Gateway в той или иной форме входит во все версии NetScaler ADC и полностью интегрирован в приложения Citrix.
Лицензирование является немного запутанным в зависимости от конкретных платформ. Наша рекомендация - обсудить доступные варианты с представителем Citrix, прежде чем принять окончательное решение по выбору конкретного продукта, особенно если другие приложения Citrix используются или будут использоваться в сети. Как правило, существует два различных типа лицензий: Platform license и Universal license. Большая часть функционала SSL Citrix требует Universal license.
Далее приведены технические характеристики некоторых из доступных устройств NetScaler, которые могут быть использованы для развертывания решения на основе шлюза NetScaler (самая младшая MPX платформа - 5550 и последняя - 22120):
Модель | Максимальное количество SSL транзакций |
---|---|
Citrix NetScaler MPX 5550 | 1500 |
Citrix NetScaler MPX 22120 | 56000 |
Citrix NetScaler MPX-8005
Citrix Netscaler MPX-221201
С приобретением SonicWALL, Dell теперь предлагает линейку устройств, которые предназначены для обеспечения мобильного и удаленного доступа, в том числе устройства SRA и SRA E-класса. Устройства SRA ориентированы на малый бизнес и компании с менее чем 500 сотрудников. Они более ограничены по функционалу, чем их старшие братья E-класса. Устройства E-класса SRA являются не только VPN-концентраторами, но включают в себя управление удаленным доступом, а также защиту от вредоносного программного обеспечения и защиту доступа к устройству, управление политиками BYOD и регистрацию. Устройства SRA разделены на три основные группы: SRA 1600, SRA 4600 и SRA - виртуальные устройства. Далее представлены их соответствующие спецификации:
Модель | Максимальное количество пользователей |
---|---|
Dell SonicWALL SRA 1600 | 50 |
Dell SonicWALL SRA 4600 | 500 |
Dell SonicWALL SRA Virtual Appliance | 500 |
Dell SonicWALL EX6000 | 250 |
Dell SonicWALL EX7000 | 5000 |
Dell SonicWALL EX9000 | 20000 |
Dell SonicWALL EX Virtual Appliance | 5000 |
SRA 1600
SRA 4600
SRA-e9000
SRA-ex6000
SRA-ex7000
ИнфоТеКС занимает устойчивые позиции лидера российского рынка информационной безопасности и является одним из ведущих поставщиков программных и программно-аппаратных VPN-решений, средств криптографической защиты информации на рабочих станциях, серверах и мобильных компьютерах. ViPNet Coordinator - программный сервер защищенной сети ViPNet, функционирующий под управлением операционной системы, позволят выполнять функции приоритизации, фильтрации, шифрования и аутентификации, надежно защищая передаваемую по каналам связи информацию от несанкционированного доступа и подмены. Ниже рассмотрены самые популярные решения:
Модель | Количество поддерживаемых туннелей |
---|---|
ViPNet Coordinator HW 100 С | 10 |
ViPNet Coordinator HW1000 | 500 |
ViPNet Coordinator HW2000 | 6000 |
ViPNet Coordinator HW1000
ViPNet Coordinator HW2000 v2
F5 Networks предлагает комплексные решения и автономные VPN-устройства. С 2016 года компания сделала акцент на комплексных решениях, и изолированные VPN-концентраторы постепенно перестают выпускаться.
Access Policy Manager (APM) – это специальный модуль программного обеспечения, который включает в себя функциональные возможности VPN, а также множество различных функций, включая BIG-IP - полный прокси между пользователями и серверами приложений, обеспечивающий безопасность, оптимизацию трафика приложений и балансировку его нагрузки. Ранее об использовании этого решения упоминал российский Лето Банк (сейчас Почта Банк).
Клиент BIG-IP VPN использует TLS (безопасность транспортного уровня) и DTLS (Datagram TLS), что позволяет чувствительным к задержке приложениям работать без проблем. Данный клиент доступен на всех распространенных настольных и мобильных платформах.
На 2016 год BIG-IP предложения компании F5 начинаются с BIG-IP 1600 и заканчиваются BIG-IP 11050, которое является их крупнейшим автономным VPN-устройством. Самым большим решением на основе блэйд-сервера является Viprion 4800, характеристики представлены ниже:
Модель | Максимальное количество SSL транзакций |
---|---|
F5 BIG-IP 1600 | 1000 |
F5 BIG-IP 11050 | 20000 |
F5 Viprion 4800 Шаси (4340N Blade) | 30000 |
F5 BIG-IP 1600
F5 BIG-IP 11050
F5 Viprion 4800
Решение Pulse Secure для VPN представляет собой набор приложений, который включает в себя Pulse Secure MAG Gateway, Pulse Connect Secure и Plus Policy Secure. Pulse Connect Secure предлагает удаленному пользователю возможность безопасного соединения через SSLVPN с использованием либо доступа через браузер, либо через Pulse Secure Client. Pulse Secure MAG шлюз включает в себя четыре различных варианта физических устройств и виртуальное устройство; в нижеследующей таблице перечислены их спецификации:
Модель | Максимальное количество SSL сессий | Максимальное количество пользователей |
---|---|---|
MAG 2600 | 100 | 250 |
MAG 4610 | 1 | 5 |
MAG 6610 | 20 | 30 |
MAG 6611 | 40 | 60 |
Mag-600
Mag4610
Mag6610
Mag6611
Мы рассмотрели самые актуальные на данный момент решения для организации корпоративных VPN.
«При выборе системы удаленного доступа необходимо в первую очередь ориентироваться на соответствие требованиям регуляторов, - считает Павел Коростелев, менеджер по маркетингу продуктов компании «Код безопасности». - Если оператор системы персональных данных (ИСПДн) принял решение об использовании средства криптографической защиты информации (СКЗИ) для обеспечения безопасности трафика, передаваемого по открытым каналам связи, то такой продукт должен быть в обязательном порядке сертифицирован ФСБ как СКЗИ. Необходимый класс СКЗИ выбирается исходя из уровня защищенности ИСПДн и актуальных угроз. Соответствие уровней защищенности, актуальных угроз, организационных и технических мер прописаны в приказе ФСБ России №378.
Вторым важным параметром является возможность интеграции системы защищенного удаленного доступа с имеющейся сетевой инфраструктурой либо инфраструктурой сетевой безопасности на уровне управления или (как минимум) мониторинга. Для системы корпоративного удаленного доступа крайне желательна интеграция с Active Directory или другим LDAP-каталогом.
Третьим параметром выбора является поддержка системой удаленного доступа необходимых стационарных и мобильных операционных систем. В силу широкого распространения мобильных устройств у рядовых сотрудников необходимо иметь техническую возможность организовать удаленный доступ не только со стационарных ОС (Windows, Linux, Mac OS), но и с мобильных –iOS, Android».
Важным критерием также является количество поддерживаемых сессий (сравнительная таблица для всех рассмотренных вендоров представлена ниже), но стоит также учитывать и другие факторы, такие как архитектура сети, поддержка необходимых протоколов аутентификации и шифрования, стоимость и другие, поэтому каждый случай индивидуален и требует особого подхода.
Модель | Количество поддерживаемых сессий |
---|---|
ViPNet Coordinator HW 100 С | 10 |
«Континент» IPC-25 | 25 |
Dell SonicWALL SRA 1600 | 50 |
Dell SonicWALL EX6000 | 250 |
Cisco 1941 | 500 |
Dell SonicWALL SRA 4600 | 500 |
Dell SonicWALL SRA Virtual Appliance | 500 |
Cisco 1941 | 500 |
«Континент» IPC-100 | 500 |
ViPNet Coordinator HW 1000 v3 | 500 |
«Континент» IPC-400 | 1000 |
MAG 4610 | 1000 |
F5 BIG-IP 1600 | 1000 |
Citrix NetScaler MPX 5550 | 1500 |
Cisco 2900 | 2000 |
«Континент» IPC-1000/1000F/1000F2/3000F/3034/3034F | 3000 |
Cisco 3900 | 3000 |
Cisco ASA 5512-X | 3000 |
Cisco ASA 5555-X | 5000 |
Dell SonicWALL EX7000 | 5000 |
Dell SonicWALL EX Virtual Appliance | 5000 |
ViPNet Coordinator HW 2000 v3 | 6000 |
Cisco ASA 5585-X w/SSP-60 | 10000 |
MAG 6610 | 20000 |
F5 BIG-IP 11050 | 20000 |
F5 Viprion 4800 Chassis (4340N Blade) | 30000 |
MAG 6611 | 40000 |
Citrix NetScaler MPX 221201 | 560000 |
На сентябрь 2016 года, отдельные автономные концентраторы уходят в прошлое, так как они интегрированы в контроллеры доставки приложений (ADC), фаерволы следующего поколения (NGFW) и шлюзы безопасности (UTM). Даже SonicWALL и Pulse Secure - два относительно автономные варианты, обсуждаемые в этой статье полны интегрированных и дополнительных функций.
В большинстве современных сетей уже имеются решения для удаленного доступа, но новые угрозы возникают каждый день, особенно это актуально с широким распространением BYOD. Рассмотренные решения предлагают гибкость и дополнительную безопасность, которая отвечает требованиям современных сетей.
Источник: Tadviser