Создаём VPN-соединение: маршрутизаторы SMC7004 FW и SMC7004WFW – THG.RU

Введение

У многих компаний существует необходимость объединения нескольких территориально разделённых локальных сетей своих подразделений или подключения удалённых пользователей. При компактном расположении, конечно, возможно использование собственных или арендованных каналов связи или телефонных линий. Но, вполне очевидно, что оба эти решения будут достаточно дорогими, если расстояние, на котором необходимо установить соединение между сетями или между клиентом и сетью, велико, например, если вам, находясь на том же IDF в Калифорнии, нужно получить доступ к своей локальной сети, расположенной в России. При использовании телефонной сети вам придётся оплачивать огромные счета за международные телефонные разговоры, а скорость телефонного подключения будет, к тому же, довольно низкой. А для объединения двух офисов, находящихся на разных континентах, при помощи собственного кабеля вам потребуется огромная сумма.

Одним из способов снижения затрат на передачу данных являются технологии “Виртуальных частных сетей”, или VPN (Virtual Private Network). Технологии VPN позволяют использовать общедоступные сети в качестве надёжного и недорогого транспорта для ваших данных, обеспечивая при этом их защиту. В случае использования VPN все затраты сводятся к оплате доступа к Интернету, что существенно дешевле междугородных и международных звонков, и, естественно, дешевле организации физического канала. Подключившись к Интернету, вы устанавливаете соединение с удалённым шлюзом VPN и используете полученный канал для обмена данными.

Одной из существующих проблем в данном случае является то, что данные передаются по общим сетям и могут быть перехвачены злоумышленниками, поэтому особое внимание уделяется безопасности таких каналов. Естественно, при разработке технологии VPN были предприняты меры для надёжной защиты трафика, как от просмотра, так и от подмены.

При установлении VPN-соединения создаётся так называемый туннель, или логический путь, по которому передаются данные. Конечно же, данные не передаются по туннелю в открытом виде, ибо любые данные, передаваемые по общей сети, можно перехватить. Для того чтобы защитить информацию от попадания к злоумышленнику, используется шифрование – при отправке исходные данные зашифровываются, а затем передаются. При достижении конечной точки соединения происходит обратный процесс, и вновь появляется исходный пакет в первоначальном виде. Таким образом, в публичную сеть данные в незашифрованном виде не передаются.

Сценарии использования VPN

VPN-соединение с удалённой машиной представляет собой обычное соединение “точка-точка”, поэтому все промежуточные сетевые устройства, через которые проходит туннель, для конечного пользователя не заметны.

Вариант реализации на базе маршрутизаторов SMC

Компания SMC Networks, производитель уже достаточно хорошо знакомого нашему читателю оборудования для сетей, производит достаточно много интересных, с точки зрения функциональности, моделей. Сегодня мы обратимся именно к тем возможностям сетевого оборудования, которые становятся всё актуальнее с каждым днём, а именно, к возможностям создания защищённых туннелей VPN. К нам на тестирование попали маршрутизаторы 7004FW и 7004WFW, поддерживающие конечные точки VPN, производства компании SMC Networks. Стоимость устройств составляет около 100$ для первого из них и около 200$ – для второго. Но во втором случае вы получаете устройство, содержащее ещё и точку беспроводного доступа стандарта 802.11b, что довольно удобно, учитывая возрастающее количество беспроводных сетей. Перейдём непосредственно к работе устройств и их производительности.

“Сладкая парочка”: SMC7004FW (слева) и SMC7004WFW (справа)

Мы протестировали производительность этих устройств в качестве VPN-шлюзов PPTP и IPSec и предлагаем вам познакомиться с полученными результатами.

Реализация VPN в обоих маршрутизаторах представлена одним и тем же набором микросхем, поэтому мы использовали два абсолютно идентичных, в плане VPN, устройства. Маршрутизаторы основаны на наборе микросхем ATMEL + RFMD. Все отличия сводятся к внешнему виду, наличию поддержки беспроводной сети 802.11b у Barricade 7004WFW (у Barricade 7004FW она отсутствует) и разному количеству портов LAN (три у Barricade 7004WFW и четыре у Barricade 7004FW).

VPN на базе PPTP

PPTP (Point-to-Point Tunneling Protocol) – один из протоколов, используемых для создания виртуальных частных сетей (VPN) на основе сетей TCP/IP. Этот протокол был разработан в результате совместных трудов компаний Microsoft, Ascend Communications, 3Com/Primary Access, US Robotics и ECI-Telematics, которые ставили перед собой целью разработку стандартного протокола защищённого канала. Однако стоит отметить, что PPTP в качестве стандарта так и не был принят, что, в свою очередь, связано с параллельной разработкой другими компаниями во главе с Cisco подобного протокола, носившего название L2F (Layer Two Forwarding). L2F тоже постигла участь PPTP – он не был принят. Но был создан протокол L2TP (Layer Two Tunneling Protocol), объединивший в себе PPTP и L2F. Однако PPTP, благодаря стараниям компании Microsoft, получил достаточно широкое распространение. Отметим, что операционные системы компании Microsoft имеют встроенный клиент PPTP, настройка которого не вызывает никаких сложностей. Данный протокол позволяет создавать виртуальные частные сети на основе общедоступных сетей TCP/IP, например Интернета. PPTP осуществляет туннелирование, инкапсулируя данные протокола IP внутри дейтаграмм PPP. Таким образом, пользователи могут запускать программы, работающие с конкретными сетевыми протоколами через установленное соединение. Туннельные серверы выполняют всё необходимое для обеспечения защиты передаваемых данных, обеспечивая безопасную их передачу.

Тестирование VPN на базе PPTP

Мы протестировали пропускную способность маршрутизаторов в туннельном режиме PPTP, при этом, мы создавали туннель как между двумя маршрутизаторами, так и между маршрутизатором и машиной под управлением ОС Windows 2000. Для тестирования туннеля между маршрутизаторами мы соединили WAN-порты маршрутизаторов кабелем непосредственно друг с другом, для тестирования туннеля между маршрутизатором и компьютером, последний также был подключен непосредственно к WAN-порту маршрутизатора.

Параметры настройки режима PPTP.

Как видно, для настройки туннельного режима PPTP, следует указать ряд опций. В первых двух строках указываются имя пользователя и пароль для создания туннеля PPTP. Они должны быть одинаковыми на обеих конечных точках. В следующей строке указываем, так называемый, период бездействия, то есть период, через который соединение будет разорвано. Далее идёт набор параметров IP: в первой и второй строке необходимо указать параметры удалённой сети, к которой вы планируете установить подключение. Пункт “Шлюз/Gateway” предназначен для указания внешнего IP-адреса удалённой сети. Ниже представлены настройки соединения. Если флажок “Туннель со стороны клиента/Client tunnel” установлен, то устройство используется в качестве клиента туннельного режима PPTP, если нет – в качестве сервера. В случае, когда установлен второй флажок “Соединение в режиме узла/Host mode connection”, маршрутизатор будет работать с PPTP-клиентами Windows, а третий пункт, как видно из названия, отвечает за инициирование соединения в том случае, если произошёл его разрыв. На каждом таком маршрутизаторе вы можете настроить до двадцати туннелей, но одновременно установить можно не более трёх туннелей PPTP, чего достаточно для объединения сетей четырёх офисов. При реализации такого сценария маршрутизатор каждой сети должен будет соединяться с тремя другими. При использовании маршрутизатора в качестве PPTP-сервера для клиентов Windows, конечно же, необходима соответствующая настройка и на клиентской стороне. Для установки VPN-соединения на рабочей станции должно быть создано новое подключение. Для его создания необходимо указать IP-адрес VPN-сервера (маршрутизатора), а также имя и пароль.

На экране “Status” административного интерфейса отображаются данные о текущем состоянии устройства. Здесь же можно просмотреть и статус VPN-подключения, а также, в случае необходимости, разорвать соединение VPN. На представленном ниже скриншоте показано, что установлено одно туннельное подключение к PPTP-серверу с IP-адреса 192.168.2.42, соединение установлено от имени “api”. Ниже находится кнопка “Disconnect”, нажатие на которую инициализирует завершение туннельного соединения.

Состояние подключения.

В нижней части экрана статуса отображаются данные журналов безопасности и DHCP. Отметим, что данные из журнала безопасности могут быть сохранены в файл для дальнейшего хранения. Вы можете выполнить просмотр или сохранение на любой машине, с которой возможен доступ к административному интерфейсу маршрутизатора, что является достаточно удобным и, кроме того, полезным, с точки зрения безопасности. В журнал записываются все попытки установления туннельных соединений, поэтому, при необходимости, можно будет просмотреть журнал и найти в нём попытки взлома системы.

Журнал безопасности.

Подключаемся к VPN-серверу, встроенному в маршрутизатор, из открытой сети с помощью клиента VPN Windows 2000

Скорость передачи данных с маршрутизатор на систему Windows 2000

Скорость передачи данных с системы Windows 2000 на маршрутизатор

Туннель между двумя маршрутизаторами

Скорость передачи данных с маршрутизатора (клиент PPTP) на маршрутизатор (сервер PPTP)

Скорость передачи данных с маршрутизатора (сервер PPTP) на маршрутизатор (клиент PPTP)

Как видно по результатам тестирования, скорость передачи данных по туннелям PPTP оказалась достаточно высокой. Для маршрутизаторов данного ценового диапазона она, безусловно, достойна уважения. Также стоит обратить внимание на то, что при передаче данных по туннелю между двумя маршрутизаторами скорость оказалась на 18 – 36% выше, чем при передаче данных по туннелю между маршрутизатором и системой под управлением ОС Windows 2000. Что нас удивило, так это достаточно большое различие в пропускной способности при передаче данных от клиента к серверу и обратно. Как видно в сводной таблице и на графиках, различие нельзя назвать несущественным.

VPN на базе IPSec

IPSec (Internet Protocol Security) – ещё один протокол, или даже система стандартов, направленная на установление и поддержание защищённого канала для передачи данных. IPSec предусматривает аутентификацию при установлении канала, шифрование передаваемых данных и распространение секретных ключей, необходимых для работы протоколов аутентификации и шифрования. Средства IPSec реализуют защиту содержимого пакетов IP, а также защиту от сетевых атак путём фильтрации пакетов и использования только надёжных соединений. В разработке принимали активное участие такие компании, как Microsoft и Cisco Systems.

Для аутентификации источника данных и для обеспечения целостности пакетов здесь используется протокол AH (Authentication Header). Также шифрование, аутентификация и целостность передаваемых данных обеспечиваются средствами протокола ESP (Encapsulation Security Payload). Протокол IKE (Internet Key Exchange) используется для определения способа инициализации защищённого канала, кроме того, IKE определяет процедуры обмена и управления секретными ключами соединения.

Шифрование в IPSec может обеспечиваться любым алгоритмом симметричного шифрования.

Из ограничений IPSec можно отметить, что он работает только в том случае, если передача данных на сетевом уровне обеспечивается средствами протокола IP, то есть в случае использования другого протокола сетевого уровня, например IPX, воспользоваться средствами IPSec будет невозможно. Конечно, это уже не актуально в связи с повсеместным распространением IP сегодня. Кроме того, всегда есть возможность совместного использования шифрования IPSec с тунеллированием L2TP.

У IPSec возможны два режима работы: транспортный (для передачи пакета по сети используется оригинальный заголовок) и туннельный (исходный пакет помещается в новый пакет, в теле которого он и передаётся по сети).

Данный протокол позволяет создавать многопротокольные виртуальные частные сети на основе общедоступных TCP/IP-сетей, например Интернета. PPTP осуществляет туннелирование, инкапсулируя данные протоколов IP и IPX внутри дейтаграмм PPP. Таким образом, пользователи могут запускать программы, работающие с конкретными сетевыми протоколами через установленное соединение. Туннельные серверы выполняют всё необходимое для обеспечения защиты передаваемых данных, обеспечивая безопасную их передачу.

Тестирование VPN на базе IPsec

Мы установили туннель IPSec между двумя маршрутизаторами SMC7004WFW и SMC7004FW и протестировали соединение. Как и в случае тестирования туннельного соединения PPTP, для создания туннеля между маршрутизаторами, мы соединили WAN-порты устройств кабелем непосредственно друг с другом.

Параметры настройки режима IPSec.

Настройка IPSec, так же, как и PPTP, выполняется последовательным указанием параметров устанавливаемого туннеля. Первая строка настроек IPSec предназначена для указания имени туннеля, далее указывается режим использования IPSec: транспортный или туннельный. Естественно, что если вы используете туннельный режим, то его следует указать на обоих устройствах, участвующих в соединении. Далее, как и в случае PPTP, идёт набор параметров IP: сначала параметры локального сегмента сети, затем адрес внешнего порта удалённого шлюза и затем IP-параметры удалённой сети. После того, как мы разобрались с IP, переходим к управлению ключами – выбираем механизм (стандартно используется IKE) и ещё ниже задаётся пароль для соединения. Пароль – это не ключ! Кстати, чуть ниже вы можете определить время жизни ключа, по умолчанию оно составляет 3600 секунд (1 час). И последние две строки этого экрана настройки предназначены для выбора алгоритмов аутентификации и шифрования. Алгоритмом аутентификации по умолчанию является MD5, алгоритмом шифрования – 3DES_CBC. Всего вы можете создать до десяти подобных туннелей.

Данные о текущем состоянии подключения можно посмотреть ниже. Здесь указываются также параметры соединения, кроме того, в случае необходимости, отсюда же вы можете разорвать туннель, для этого в правой части находится кнопка, нажатие которой при установленном соединении приводит к его разрыву, а повторное нажатие – к установлению. На представленном ниже изображении показано, что установлено одно туннельное подключение к PPTP-серверу с IP-адреса 192.168.2.42, соединение установлено от имени “api”. Ниже находится кнопка “Disconnect”, нажатие на которую инициализирует завершение туннельного соединения.

Состояние подключения.

Туннель IPSec между двумя маршрутизаторами

Скорость передачи данных маршрутизатор -> маршрутизатор

Скорость передачи данных маршрутизатор -> маршрутизатор

Скорость передачи данных маршрутизатор -> маршрутизатор (обратно)

Скорость передачи данных маршрутизатор -> маршрутизатор (обратно)

Как видно по результатам тестирования, скорость передачи данных по туннелям IPSec оказалась ниже, чем в случае использования PPTP. Однако если обратить внимание на задержки, то их значения окажутся достаточно хорошими даже для работы с потоковыми мультимедиа-средствами. Что касается скорости, то для обоих направлений скорость оказалась одинаковой, что вполне объяснимо.

Заключение

Сегодня всё больше организаций прибегают к установлению связи между своими офисами через открытые незащищённые сети, типа Интернета. Конечно же, при этом необходимо предотвратить несанкционированный доступ в сети организации, что достигается прокладыванием, так называемого, туннеля – защищённой связи между локальными сетями организации. Несмотря на то, что туннель прокладывается по открытой сети, внутрь туннеля проникнуть нельзя. Создание туннеля осуществляется с помощью использования протоколов шифрования. В нашем случае мы рассмотрели создание туннеля с помощью маршрутизаторов SMC и протоколов PPTP и IPSec.

В проведённом тестировании оборудование показало неплохие результаты. Пропускная способность туннеля протокола PPTP составила от 1,7 до 3,2 Мбит/с (в зависимости от направления), а туннеля IPSec – 0,6 Мбит/с. Отметим, что маршрутизаторы можно использовать не только для создания туннелей между двумя сетями организации, но и для подключения удалённых сотрудников к локальной сети компании через Интернет (то есть оба маршрутизатора работают и как VPN-серверы).

Кроме того, обе модели имеют полный набор функций, позволяющий использовать их для создания защищённых локальных сетей с возможностью доступа в Интернет для небольших предприятий. Обладая множеством возможностей, таких как встроенный сервер DHCP, брандмауэр, NAT, возможность фильтрации контента и многими другими, устройства позволяют создать на их основе полноценную сеть со всем необходимым как для эффективной, так и для безопасной работы. Кроме того, модель 7004WFW имеет также встроенную точку беспроводного доступа стандарта 802.11b, что обеспечивает ещё большую универсальность данной модели. Обладая прекрасной функциональностью, устройства сохранили, при этом, приемлемую стоимость. В целом, мы рекомендуем оба решения к покупке. Если вы желаете осуществить защищённый доступ вашей локальной сети в Интернет, связать две локальные сети между собой с помощью туннеля, осуществить доступ удалённых сотрудников в вашу локальную сеть, то мы рекомендуем модель 7004FW. Если же вам нужна ещё и беспроводная сеть, то здесь поможет модель 7004WFW.