Praktyczne aspekty wirtualnych sieci prywatnych

O szybkości przetwarzania

Od producentów wymaga się wsparcia wydajnego szyfrowania Triple-DES z dwóch powodów. Po pierwsze Triple-DES oferuje poziom bezpieczeństwa porównywalny z systemami wojskowymi; nie odnotowano żadnego skutecznego włamania do strumienia danych szyfrowanego tym algorytmem. Po drugie są już dostępne akceleratory sprzętowe z wbudowanym Triple-DES. Inne algorytmy, powszechnie stosowane w systemach VPN, jak Blowfish, CAST i RC5, zapewniają porównywalny poziom bezpieczeństwa z Triple-DES, lecz żaden nie może być przyśpieszony za pomocą rynkowych akceleratorów sprzętowych.

Szyfrowanie wymaga intensywnych obliczeń. Zdziwienie może budzić fakt, że produkt firmy Axent zapewniał szybkość 8,3 Mb/s na standardowym Pentium II 350 MHz i był dosyć wolny w porównaniu z systemem firmy Lucent Technologies, charakteryzującym się szybkością 30,2 Mb/s, z akceleratorem sprzętowym na mikroprocesorze Pentium II 300 MHz.

Produkty z akceleratorem i bez niego wykazują spore różnice. I tak LanRover VPN Gateway, oparty na Pentium Intela, osiągał bez akceleratora szybkość 2,7 Mb/s, a po zainstalowaniu akceleratora - 8,9 Mb/s. Podobnie zachował się Check Point, standardowo oparty na Sun SPARC 20 Workstation, z 6 Mb/s bez akceleratora przeskoczył na 23,1 Mb/s po zainstalowaniu VPN-1 Accelerator Card. Wydajność jednak kosztuje. Za VPNware i PathBuilder, które osiągają 60 Mb/s z szyfrowaniem Triple-DES i 100 Mb/s w rzeczywistym ruchu LAN, trzeba zapłacić po 16 tys. USD.

Niestety VPN oddziałuje ze szkodą dla ruchu IP. Dodatkowe obciążenie funkcjami VPN wpływa na zmniejszenie rozmiaru pakietów IP: powoduje ich fragmentację, która oznacza nieefektywne wykorzystanie zasobów sieciowych. Szyfrowanie zwiększa czas oczekiwania, który z kolei zmniejsza ogólną szybkość przesyłania danych. Nawet w idealnej sytuacji, w Internecie, dodanie szyfrowania pochłania prawie 30 Mb/s więcej w porównaniu z linią bez szyfrowania. Po zainstalowaniu VPN trzeba się więc liczyć ze zmniejszeniem szerokości pasma.

Kiedy planuje się dodanie VPN do istniejącej zapory ogniowej lub serwera, trzeba jeszcze bardziej zatroszczyć się o wydajność. Szyfrowanie łącza T1 spowoduje wyraźne obniżenie mocy przetwarzania zapory ogniowej opartej na Pentium. W tej sytuacji dobrze jest zastosować szyfrowanie wspomagane sprzętowo lub serwer dedykowany, jeżeli przewiduje się przesyłanie znacznego wolumenu danych. Oferta RADguard wydaje się najlepsza - kupujący otrzymuje szyfrowanie sprzętowe i płaci najniższą cenę za jeden megabit.

Testowaniu poddana została również kompresja IP w następujących produktach: Contivity Extranet Switch 1500 2.0 Nortela i VPNware firmy VPNet. Kompresja IP zwalcza sztormy pakietów VPN. Z powodu szyfrowania danych produkty muszą stosować kompresję przed szyfrowaniem, np. jeszcze w warstwie aplikacji. Szyfrowanie typu link-based nie zmniejsza wydajności. Przy testach Contivity Nortela przełącznik bez kompresji przetwarzał dane z szybkością 11,9 Mb/s, a z kompresją - 26,7 Mb/s. Testy VPNet dały odmienne rezultaty. Kompresja obniżyła szybkość przetwarzania z 60 Mb/s do 48,5 Mb/s. Mogło to być spowodowane przesyłaniem pakietów między specjalizowanym sprzętowym urządzeniem szyfrującym a jednostką centralną (CPU).

Najsłabsze ogniwo - zarządzanie

Największe różnice testowanych produktów znaleziono w ich systemach zarządzania. Jeśli nie liczyć dwu wyjątków, producenci mają jeszcze wiele do zrobienia w tej dziedzinie. Wielu z nich traktuje jeszcze każde urządzenie VPN jako oddzielne i oddzielnie zarządzane. Ponieważ urządzenia VPN są prawie zawsze używane w parach, więc takie podejście nie ma większego sensu.

Oferty ze strony 3Com i Compatible Systems okazały się mniej interesujące. Obydwaj producenci zastosowali komunikację z systemem operacyjnym opartą na nieprzyjaznym i po prostu nie lubianym wypisywaniu zlecenia z klawiatury. Compatible Systems udostępniał także graficzny interfejs użytkownika, ale bieżąca wersja kodu nie była zsynchronizowana z bieżącym GUI (Graphical User Interface). I tak np. GUI nie mógł być wykorzystany do tworzenia tuneli VPN między urządzeniami. Potencjalnych użytkowników powinno to uczulić na zwracanie uwagi na wszystko, nawet na drobiazgi.

RedCreek, RADguard i TimeStep wykonały lepszą niż inni pracę w ułatwianiu życia administratorowi sieciowemu. Chociaż traktują one każde urządzenie jako oddzielnie zarządzaną jednostkę, to jednak umożliwiły szersze spojrzenie na wiele urządzeń równocześnie i zsynchronizowanie takiej konfiguracji. Dzięki GUI można było utworzyć pewną liczbę tuneli szyfrowanych.