Все о хостинге » VPN: поделенный рынок

VPN: поделенный рынок

Спектр продуктов, предназначенных для организации и использования виртуальных частных сетей (VPN), сегодня необычайно широк - от простых устройств шифрования данных до средств многопротокольного туннелирования. Однако все они обладают одним и тем же недостатком - их возможности администрирования никак не назовешь изощренными.

Бизнес компаний, предлагающих средства для сетей VPN, сегодня на подъеме. Кажется, не проходит недели без сообщения о новом продукте, который пользователи, интересующиеся виртуальными частными сетями, должны внести в список своих возможных приобретений.

Негативным последствием бума, охватившего сектор VPN, стала излишняя фрагментированность этого рынка. В настоящее время вам не составит особого труда подыскать себе приложение для шифрования трафика или развертывания сети VPN, однако законченного решения, способного охватить все проблемы заказчика (подключить удаленных пользователей к корпоративной сети, организовать защищенные туннели для передачи трафика от филиалов компании и реселлеров через Internet в центральный офис, обеспечить шифрование наиболее критичных компонентов внутреннего трафика), на рынке не существует.

Подавляющее большинство поставщиков VPN-продуктов сегодня сконцентрировалось на средствах туннелирования и шифрования, тогда как другие, например средства обеспечения качества сервиса (QoS), которые имело бы смысл реализовать в поставляемом заказчику решении, попросту не поддерживаются. Такое положение вещей заметно осложняет жизнь сетевых администраторов, стремящихся построить настоящую виртуальную частную сеть, зато избавляет от ненужных финансовых и временных затрат тех, кто заинтересован всего в одной операции, например в шифровании данных.

При отсутствии универсальной договоренности о том, что же должна включать в себя сеть VPN и как ее следует строить, производители разделились на три лагеря - в соответствии с тремя “рабочими” уровнями (вторым, третьим и четвертым) семиуровневой модели OSI.

Кроме того, следовало учитывать и расходы: прокладка подводного кабеля по дну штормовой Южной Атлантики и создание наземных линий связи от побережья до станции обошлись бы в целом более чем в 200 млн. долл., а построение системы микроволновой связи со станцией Мак-Мердо, крупнейшей базой США на побережье Антарктиды, с круглосуточным доступом по линии Т1 - в 45 млн. долл. Другие варианты также считались чрезмерно дорогостоящими.

Средства VPN, используемые на нижнем, втором, уровне модели OSI, инкапсулируют трафик IP и других протоколов - IPX, AppleTalk. Они же обеспечивают независимость создаваемой сети от конкретной платформы, поскольку в данном случае клиентские системы обычно не требуется оснащать специальными программными или аппаратными средствами, за исключением адаптера, поддерживающего доступ по коммутируемой линии. К отрицательным сторонам этого подхода следует отнести его ориентацию исключительно на одиночных удаленных пользователей (а не на филиалы компаний) и отсутствие гибкости, необходимой администраторам для управления связью между локальными сетями.

К этой группе относятся продукты, которые используют как давно появившиеся протоколы, скажем Layer 2 Forwarding (L2F) и Point-to-Point Tunneling Protocol (PPTP), так и сравнительно недавно утвержденный стандарт Layer 2 Tunneling Protocol (L2TP), пришедший им на смену.

Есть основания прогнозировать дальнейший рост данного сегмента рынка, особенно в связи с тем, что ведущие фирмы, вроде Cisco Systems и 3Com, начали поставлять продукты, поддерживающие L2TP, Internet-провайдерам и телефонным компаниям. Наименьший же вклад в этот процесс дадут поставки VPN-продуктов корпоративным заказчикам. Администраторы корпоративных сетей скорее потратят выделенные им средства на инвестиции в постепенно набирающую вес технологию VPN третьего уровня, которая обеспечивает связь между удаленными отделениями компаний и функционирование экстрасетей.

В то время как продукты второго уровня осуществляют инкапсуляцию различных видов трафика в IP-пакеты, средства третьего уровня выполняют инкапсуляцию IP в IP. Основные события в этом секторе разворачиваются вокруг протокола аутентификации, туннелирования и шифрования IP-пакетов IP Security (IPSec), стандартизованного консорциумом Internet Engineering Task Force (IETF). Более ранние технологии шифрования и обмена ключами, например SKIP компании Sun Microsystems, постепенно вытесняются стандартами IETF. Основанные на них продукты заметно выигрывают перед своими конкурентами, поскольку реализуют лучшие идеи, возникшие в процессе разработки стандартов. В такой сфере, как шифрование данных, это имеет первостепенное значение.

Виртуальные сети, поддерживающие IPSec, позволяют использовать в одной сети оборудование и программное обеспечение нескольких поставщиков. Вы можете приобрести клиентские приложения для ПК, компьютеров Macintosh и Unix-станций, аппаратные средства VPN для удаленных филиалов, а для центрального офиса использовать оборудование различных фирм, выбрав лучшее из того, что предлагает каждый из них. Так обстоит дело в теории. Однако уже первые проведенные нами тесты показали, что многочисленным заявлениям производителей о совместимости выпускаемых ими изделий с разработками других компаний не стоит доверять безоговорочно.

Подобно своим собратьям, средства VPN четвертого уровня в сущности представляют собой шифраторы, выполняющие инкапсуляцию пакетов. Правда, продукты этой категории зачастую привязаны к единственному приложению, например электронной почте. Что же касается общераспространенных реализаций вроде, HTTP over SSL, то сегодня они присутствуют в любом браузере: наберите http:// и можете считать, что вы уже находитесь в виртуальной частной сети четвертого уровня. Тем не менее средства электронной почты с шифрованием, например SMTP over Transport Layer Security, и поддерживающие шифрование программные оболочки на базе наполовину патентованных протоколов, наподобие Secure Shell, продолжают активно распространяться.

“Ширпотребом” обеспечивается выбор

Несмотря на сегментированность рынка, сегодня здесь доминируют продукты для VPN третьего уровня. Вы наталкиваетесь на них повсюду - в маршрутизаторах, брандмауэрах, программном обеспечении и выделенных аппаратных средствах. Хотя стандарты VPN и их конкретные реализации довольно сложны, эта сложность оказывается скрытой от сетевых администраторов, что, кстати, делает предложения разных производителей весьма схожими, даже если они ориентированы на различные платформы.

Наиболее сильные различия между VPN-продуктами обнаруживаются на уровне административного интерфейса. До настоящего времени управляющие утилиты остаются ахиллесовой пятой разработок для виртуальных частных сетей третьего уровня. Большинство поставщиков вынуждают вас возиться с каждым VPN-устройством по отдельности, что вполне приемлемо, если требуется обеспечить связь между двумя клиентскими станциями, но превращается в непосильную задачу, когда число устройств перевалило за две сотни.

Компании Internet Dynamics, VPNet, Check Point Software и некоторые другие предлагают неплохие средства администрирования, позволяющие контролировать несколько узлов VPN в рамках единого домена управления. Возможность отслеживать работу сотен и даже тысяч удаленных пользователей заметно выделяет разработки таких фирм, как Intel и Microsoft. Мы надеемся, что в будущем году предоставлять своим клиентам усовершенствованные средства управления начнут и другие производители

По самой своей природе сети VPN, использующие третий уровень модели OSI, довольно просты, что затрудняет реализацию в предлагаемых продуктах каких-либо изощренных функций. Несмотря на то что важность IP-сжатия (которому обычно подвергаются IP-пакеты перед шифрованием) практически общепризнана, эта процедура сегодня выполняется далеко не во всех продуктах. Лишь третья часть приведенных в нашей таблице разработок поддерживает IP-сжатие.

Какие-то иные дополнительные функциональные возможности удается встретить еще реже. Так, молодая компания Network Alchemy, приступившая к поставкам своего первого VPN-продукта в июне, пока в гордом одиночестве предлагает интегрированные средства выравнивания нагрузки и кластеризации.

“Когда я в первый раз прибыл на полюс в 1992 году, доступ к связи был очень ограниченным, - рассказал он. - Чтобы связь использовалась только по делу, электронная почта подвергалась цензуре. Личные сообщения передавались по радиолюбительской связи. Иногда ваш звонок слушали сразу четыре человека, поэтому о конфиденциальности не было и речи”. По мнению Барвика, существует прямая корреляция между интегрированной системой VoIP/трафик данных и объемом научных исследований, которые могут быть проведены группой AMANDA.

Как ни странно это звучит, но одна из причин отмеченной скудости дополнительных функций может быть связана с большим количеством производителей, проявляющих активность в данном секторе рынка. Жесткая конкуренция заставляет менеджеров по продуктам сконцентрировать все усилия на продажах, а не тратить и без того ограниченные ресурсы на коренную модернизацию уже существующих разработок.

Впрочем, возникшая среди производителей “давка” имеет и безусловно положительное следствие, вынуждая их значительно снижать цены. Некоторые поставщики аппаратных средств, включая Intel, Nortel Networks, Lucent Technologies и VPNet, предпочли в качестве аппаратной платформы для своих решений использовать обычные персональные компьютеры, что позволило сократить как финансовые затраты на разработку, так и продолжительность производственного цикла.

Но, на наш взгляд, верх в ценовой войне в конечном счете одержат те компании, которые не пожалеют времени и средств на создание собственного оригинального оборудования; в качестве примера можно назвать фирмы RADGUARD, RedCreek и TimeStep. После того как процесс разработки завершится, продукция этих производителей наверняка окажется дешевле, поскольку они будут избавлены от необходимости приобретать необязательные компоненты для своих изделий.

Возможно, кому-то покажется, что поставщики программных продуктов для виртуальных частных сетей имеют большие прибыли. Однако сетевым администраторам хорошо известна стоимость NT-серверов, на которых предстоит установить программное обеспечение VPN, предлагаемое такими компаниями, как Check Point Software, Data Fellows и Axent. Именно эти дополнительные расходы и не позволяют разработчикам ПО занять господствующее положение на рынке VPN-продуктов.

Ключевая инфраструктура

Один из важнейших компонентов VPN, до сих пор практически не представленный на рынке, - инфраструктура общедоступных ключей (public-key infrastructure, PKI). При наличии глобальной PKI пользователи получают возможность организовать безопасный обмен данными, не устанавливая предварительно специальных отношений друг с другом. Достаточно знать почтовые адреса и иметь минимум дополнительной информации, чтобы отсылать и получать надежно зашифрованные сообщения электронной почты.

В отсутствии инфраструктуры общедоступных ключей реальные виртуальные частные сети на базе Internet оказываются ограничеными рамками специализированных решений. Построить же подобную инфраструктуру, поддерживающую несколько тысяч пользователей, даже в пределах одной компании - задача не из простых.

Необходимость организации PKI в крупных сетях VPN некоторые производители уже понимают. Соответствующие средства появились в составе продуктов, предлагаемых фирмами TimeStep и Check Point. Корпорация Microsoft, без особого шума, также включила средства PKI в операционную систему Windows NT и приложения BackOffice.

Доминирование виртуальных частных сетей третьего уровня сегодня очевидно, и корпоративные заказчики постепенно начинают осознавать, что они без особого труда могут реализовать в своих сетях шифрование IP-трафика такой степени надежности, которая еще недавно была доступна только военным ведомствам. Однако неспособность продуктов разных компаний к взаимодействию, отсутствие дополнительных функций и средств для обмена ключами с PKI сильно увеличивают риск, связанный с выбором решений конкретного поставщика. Несмотря на то что ряд VPN-продуктов практически перешел в категорию товаров массового потребления, процесс построения виртуальной частной сети все еще обещает вам немало приключений.