Организация отказоустойчивых VPN с использованием сертифицированных криптографических алгоритмов

Современную организацию трудно представить без использования сети Интернет, кроме того, в настоящий момент это самый доступный способ связи между офисами распределенной организации. Доступный, но не безопасный и далеко не самый надежный... И если для решения первой проблемы уже давно и повсеместно используется технология VPN (Virtual Private Network - виртуальная частная сеть), то обеспечение отказоустойчивости Интернет-каналов связи обычно достигается резервированием. Это не всегда удобно, поскольку автоматическое переключение VPN-подключений с одного провайдера на другого организовать не так-то просто. Кроме того, задача усугубляется проблемой выбора: из огромного числа средств VPN, которые имеются на российском рынке, есть смысл рассматривать только сертифицированные, поддерживающие сертифицированные российские криптографические алгоритмы. К тому же государственным организациям или предприятиям, работающим в системе госзакупок, а также для защиты персональных данных и другой информации согласно закону разрешено использовать только сертифицированные криптографические средства.

Привычный вариант...

Рассмотрим традиционную схему построения системы защиты информационного обмена между центральным офисом и филиалами при использовании открытых каналов связи нескольких провайдеров на базе оборудования Cisco Systems. В качестве шлюзов VPN, реализующих российские криптографические алгоритмы, выберем RVPN-модули с программным обеспечением S-terra.

Итак, в центральном офисе и филиалах устанавливаются маршрутизаторы Cisco, которые необходимы для терминирования ISP-каналов и динамической маршрутизации трафика, "за" маршрутизатором устанавливаются VPN-шлюзы (в данном случае модули RVPN), а следом за ним - межсетевые экраны.

При этом в филиале для установления защищенной связи необходимо будет выполнить:

настройку динамической маршрутизации трафика на пограничных маршрутизаторах для автоматического резервирования каналов связи;

инициализацию и настройку VPN-шлюза через командную строку для поднятия VPN-канала с центральным офисом, при этом прописать в конфигурации второго пира (peer) для терминирования резервного VPN-туннеля и возможности перехода на него;

• настройку политик на межсетевом экране для запрета/пропускания определенного трафика в сеть филиала и из нее;
• настройку политик QoS на маршрутизаторах для обеспечения приоритизации трафика;
• для центрального МЭ обязательно корректную настройку оконечной маршрутизации, чтобы все шлюзы виделись для него как один.

В итоге с точки зрения удобства работы с этой системой получим:

• несколько точек конфигурации в каждом филиале;
• невозможно сделать автоматически динамическую балансировку нагрузки VPN-трафика по каналам связи;
• невозможно централизованно обрабатывать логи с межсетевого экрана и VPN-шлюза (равно как и маршрутизатора), вести на МЭ подсчет VPN-трафика и т.п.
• отсутствие контроля на МЭ, что попадает в туннель, реально невозможно контролировать, пришел ли трафик из туннеля или через нешифрованный канал;
• слабый контроль за использованием VPN-туннелей.

Альтернатива есть!

Теперь рассмотрим альтернативное решение на базе решения StoneGate производства финской компании Stonesoft. В данном случае и маршрутизатор, и межсетевой экран, и VPN-шлюз представлены одним устройством - StoneGate FW/VPN. Таким образом, получается и единая точка контроля трафика, и единая точка настройки, и единая точка мониторинга. Все это упрощает внедрение и делает легким последующее сопровождение решения.

На схеме изображен набор VPN-туннелей, которые будут устанавливаться между центральным офисом и удаленными филиалами. В данном случае понятия "основной" и "резервный" туннель теряют свой первоначальный смысл, поскольку, в отличие от решения на базе классических технологий, все туннели строятся динамически и автоматически резервируются без вмешательства администратора или настройки сложных протоколов динамической маршрутизации. Подключение к разного типа Интернет-провайдерам осуществляется без проблем, их количество способно достигать 16. Администратор в состоянии управлять задействованием того или иного туннеля под определенные типы трафика, производить приоритизацию, и не только самого VPN-потока, но и отдельных потоков внутри VPN-туннеля. Например, можно поставить
в филиалах IP-Office и обеспечить голосовую связь по зашифрованным каналам связи, что позволит значительно сэкономить на телефонных переговорах. При этом все настройки осуществляются через единую систему управления, через которую производится централизованный мониторинг, управление, сбор журналов со всех филиалов с возможностью строгого учета VPN-трафика и контроля того, что попадает в туннель.