VPN odporny na wszystko?

Oprogramowanie StoneGate tworzy wirtualne kanały VPN wykorzystujące kilka łączy fizycznych i równoważy obciążenie między nimi.

Oprogramowanie StoneGate tworzy wirtualne kanały VPN wykorzystujące kilka łączy fizycznych i równoważy obciążenie między nimi.

Dotychczas fiński StoneSoft był znany w Polsce głównie dzięki oprogramowaniu StoneBeat zapewniającemu wysoką dostępność m.in. routerom, systemom zaporowym i serwerom VPN oraz działającemu na podobnej zasadzie oprogramowaniu ServerCluster dla skanerów antywirusowych, serwerów buforowych i WWW oraz baz danych. Firma założona w 1990 r. z partnera Checkpoint przeistoczyła się w producenta oprogramowania typu high availability dla większości liczących się producentów systemów zabezpieczających. Od około dwóch lat StoneSoft rozwija także własne, kompleksowe rozwiązanie firewall/VPN o nazwie StoneGate.

Wszystko w jednym

VPN odporny na wszystko?

Zasada działania technologii Multilink VPN

Współpracując z głównymi dostawcami, StoneSoft rzeczywiście miał wyjątkową możliwość poznania słabych punktów ich produktów. Oświadczenia producenta o wyższości jego rozwiązań nad oferowanymi przez konkurencję, pod względem bogactwa funkcji, wydajności czy łatwości obsługi - zwłaszcza w dziedzinie tak skomplikowanej, jak bezpieczeństwo - trzeba jednak traktować ostrożnie. Niemniej pakietowi StoneGate nie można odmówić innowacyjności, choćby dlatego że łączy on m.in. funkcje systemu zaporowego, serwera VPN, serwera NAT z mechanizmami równoważącymi obciążenie z klastrowaniem. Zestawienie wszystkich tych funkcji w jednym systemie jest niewątpliwie rozwiązaniem nowatorskim. "Kod źródłowy naszych produktów - przynajmniej na razie - nie jest obciążony wieloletnią spuścizną. Staramy się w ogóle do tego nie dopuścić. Tworzymy oprogramowanie zgodnie z zasadami «extreme programming», tak by zawsze móc je łatwo zmodyfikować" - mówi dr Tobias Christen, odpowiedzialny w StoneSoft za rozwój produktów z linii StoneGate.

StoneSoft jest przekonany o swojej przewadze, tym bardziej że otrzymał już kilka prestiżowych nagród, m.in. właśnie za wydajność. Według producenta oprogramowanie firewall StoneGate, działające na standardowym PC, przy założeniu umiarkowanego skomplikowania reguł filtrowania pakietów, jest w stanie obsłużyć ruch rzędu ok. 250 Mb/s. StoneSoft twierdzi, że przy tej samej konfiguracji może ono utrzymywać nawet kilka tysięcy połączeń VPN.

Zamiast dynamicznego routingu

Jedną z najważniejszych cech funkcjonalnych rozwiązania StoneGate jest opatentowana przez firmę technologia Multilink VPN, umożliwiająca tworzenie metakanałów VPN za pośrednictwem wielu równolegle działających łączy fizycznych (ATM, xDSL, Frame Relay, dial-up itp.). Co więcej, oprogramowanie równoważy obciążenie między nimi i utrzymuje sesję nawet wtedy, gdy jedno z nich ulega awarii.

Takie rozwiązanie ma oczywiste korzyści. Jeżeli każdą z lokalizacji korzystających z firmowej sieci WAN wyposażyć w dwa niezależne łącza i StoneGate VPN, awaria pojedynczego łącza nie zerwie sesji VPN, lecz przeniesie ją na inne łącze fizyczne (patrz rysunek). Ponieważ oprogramowanie StoneGate zapewnia dynamiczny routing między sieciami różnych operatorów, znikają ograniczenia w doborze operatorów stosujących ten sam protokół dynamicznego routingu. Tego typu rozwiązania można znaleźć w ofercie innych dostawców (np. Cisco BGP, Radware Link Proof), jednak trzeba je nabywać oddzielnie - zazwyczaj w formie dedykowanych urządzeń, zazwyczaj w cenie powyżej 50 tys. USD. Niestety, rozwiązanie to działa tylko w przypadku połączenia między serwerami StoneGate - oprogramowanie klienckie VPN nie umożliwia utrzymania sesji.

Firma StoneSoft jest ekspertem w dziedzinie wysokiej dostępności, oprogramowanie StoneGate jest niemal z definicji odporne na awarie sprzętu, na którym działa. Skalowalność rozwiązania jest imponująca. Pojedyncza instalacja może się składać nawet z 16 węzłów równoważących obciążenie między sobą i przejmujących sesje węzła, który uległ awarii. Oczywiście, zazwyczaj jest ich mniej, np. z powodu ograniczonej liczby interfejsów sieciowych i wydłużającego się wraz z przyrostem liczby węzłów czasu potrzebnego do synchronizacji informacji o sesjach między urządzeniami.

Nowe funkcje w drodze

Oprogramowanie klienckie StoneGate to również hybryda: zawiera nie tylko klienta VPN, lecz także oprogramowanie do filtrowania pakietów. Status i konfiguracja systemu zaporowego zainstalowanego na stacji roboczej może być wykonywana centralnie. Jest możliwa np. dystrybucja polityk bezpieczeństwa i sprawdzanie, czy są one wdrożone zanim klient otrzyma dostęp do firmowej sieci za pośrednictwem bezpiecznego kanału.

Funkcjonalność oprogramowania klienckiego StoneGate zostanie wkrótce rozszerzona. W wersji 2.1 (bieżąca wersja ma oznaczenie 2.0), która ukaże się we wrześniu br., pojawią się m.in. możliwość logowania przy użyciu kart procesorowych i tokenów oraz wsparcie dla Microsoft Crypto API. Ma być także możliwe pobieranie przez stację roboczą numeru IP z serwera DHCP poprzez tunel IPsec.

Zmiany będą zachodzić również po stronie serwera. Mniej więcej w połowie roku firma zamierza wprowadzić na rynek wersję przeznaczoną dla mainframe, usprawnić funkcje związane z równoważeniem obciążenia i udostępnić wsparcie dla protokołu SIP. System zostanie wyposażony w API umożliwiające oprogramowanie dowolnych reguł filtracji dla wszystkich obsługiwanych protokołów. Pod koniec roku w systemie znajdą się: wsparcie dla IPv6, możliwość zarządzania poprzez protokół SNMP oraz narzędzia do monitorowania i wizualizacji pracy systemu w czasie zbliżonym do rzeczywistego.

Pojedynczo lub hurtowo

Licencje na oprogramowanie StoneGate można kupować na dwa sposoby. Pierwsza opcja - klient może nabyć licencję dla każdego chronionego numeru IP (w zależności od liczby licencji będzie to kilkadziesiąt euro). Druga polega na tym, że za cenę ok. 40 tys. euro klient nabywa licencję na dwa węzły systemu zaporowego/VPN wraz z licencją na serwer rejestrujący logi i jedną stację zarządzającą - w tym przypadku nie ma żadnych ograniczeń co do liczby chronionych adresów IP. Licencje obejmują dostęp do serwera firewall/VPN - klient VPN jest dostępny bezpłatnie.

Dystrybutorem StoneSoft w Polsce jest krakowskie Clico, partnerami integracyjnymi zaś: ATM SA, CC Otwarte Systemy Komputerowe i Sun Microsystems Polska. StoneSoft intensywnie poszukuje też nowych partnerów w Polsce.

Partnerzy StoneSoft w Polsce

Dystrybutor

  • Clico sp. z o.o., Kraków

    Integratorzy

  • ATM SA, Warszawa

  • CC Otwarte Systemy Komputerowe, Warszawa

  • Sun Microsystems Polska, Warszawa

  • W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

    TOP 200