Test bram VPN

Dzięki bramom VPN opartym na IPSec (IP Security) można utworzyć bezpieczne połączenie punkt-punkt. Przyjrzymy się bliżej tego typu produktom, a nie ma na to lepszego sposobu niż testy.

Dzięki bramom VPN opartym na IPSec (IP Security) można utworzyć bezpieczne połączenie punkt-punkt. Przyjrzymy się bliżej tego typu produktom, a nie ma na to lepszego sposobu niż testy.

Zespół Network World Global Test Alliance (amerykańskie IDG) przetestował 13 produktów z rynku VPN. Wyniki zestawione w tabeli zaskakują - żaden z produktów nie wyróżnił się tak wyraźnie, aby jego producenta można było nazwać zwycięzcą. Zespół testujący zrezygnował ze wskazania najlepszego produktu - ósmy system dzieli od pierwszego zaledwie 0,4 pkt. Rzadki przypadek, skoro uwzględni się fakt, że badania koncentrowały się na jakości zarządzania, wydajności i kompatybilności.

Skoro mowa o kompatybilności, to z IPSec wiąże się już ponad 13 RFC i nie trudno się dopatrzyć pewnych niejednoznaczności w specyfikacjach tej rodziny protokołów warstwy sieciowej - IPSec (ESP, AH) i aplikacyjnej - IPSec (ISAKMP). Toteż nie wszystkie systemy wytworzone przez różne firmy będą ze sobą współdziałały i z tego względu zapewnienie kompatybilność jest jednym z najważniejszych problemów, przed którymi stoją dzisiaj producenci zajmujący się VPN.

Przed testami ustanowiono hipotetyczne reguły bezpieczeństwa dla dużej, wielopunktowej sieci. Testy pokazały, jak każdy z produktów VPN wpasowuje się w taką sieć. Przetestowana została kompatybilność każdego produktu z wszystkimi pozostałymi. Wszechstronne testowanie zabezpieczonego połączenia trwało cały dzień. Szczególną uwagę, oprócz wspomnianej kompatybilności, zwrócono na pracę produktów z testowymi certyfikatami autoryzującymi i popularnymi klientami programowymi VPN, a także, jak każdy z nich radzi sobie z różnymi metodami identyfikacji sieci wirtualnych.

Bardzo ważną częścią testów było sprawdzenie, jak produkty pracują w pełnej siatce, czyli każdy z każdym. O ile prawie każdy dostawca VPN może stworzyć pewien model zgodności, w którym negocjuje się bezpieczeństwo wspólnie z innym dostawcą, o tyle zespół badawczy chciał ocenić, w jaki sposób profesjonaliści zajmujący się sieciami poradziliby sobie z połączeniem produktów pochodzących od wielu producentów. Najlepszy wynik w teście kompatybilności osiągnął Sidewinder firmy Secure Computing. Zaraz za nim uplasowały się produkty znanych firm: Avaya, Check Point, Cisco Systems, Microsoft, Nortel Networks i Nokia.

Jakkolwiek ustanowione kryteria oceny okazały się bardzo korzystne dla Cisco, to trzeba przyznać, że znaleziono w produktach tego koncernu kilka bardzo poważnych ograniczeń. Produkt Cisco dysponuje interfejsem konfiguracyjnym linii poleceń. Choć wielu menedżerom sieciowym bardzo to odpowiada, to jednak wśród projektantów VPN panuje opinia, że takie ujęcie konfigurowania nie jest zbyt wygodne.

Aby konfiguracja VPN dawała się zarządzać w środowisku linii poleceń, Cisco zezwala tylko na jedną politykę IKE (Internet Key Exchange) na system. O ile w teście, w którym ustanowiono jedną politykę korporacyjną, system funkcjonował dobrze, o tyle rezultaty nie musiałyby być tak dobre w środowisku, w którym polityka IKE zmienia się w różnych punktach. I rzeczywiście, kiedy dodano klienta SafeNet do testów kompatybilności, testujący byli zmuszeni przerwać konfigurację systemu Cisco PIX. Mogła ona funkcjonować albo z wybranym zestawem reguł, albo z klientem SafeNet.

Test bram VPN

Zaletą platformy 7140 VN Router firmy Cisco jest, oczywiście, świetne trasowanie

Podczas testów użyto cyfrowych certyfikatów wydanych przez serwer PKI (Public-Key Infrastructure) firmy Entrust do identyfikacji topologii punkt-punkt. Zaobserwowano duże różnice we współdziałaniu testowanych systemów VPN z tą infrastrukturą klucza publicznego. Sidewinder, Contivity 1600 Nortela czy VPN-1 firmy Check Point prezentowały zadowalający poziom ewidencjonowania - zespół kontrolował, kto wchodził do sieci i do jakich zasobów miał dostęp. Wszystkie trzy produkty pozwalały wyszczególniać, jakie rodzaje certyfikatów były wymagane, ażeby można było wejść do sieci. Natomiast Access Point 1000 Lucenta, IOS i PIX 525 (Cisco zaprezentował zoptymalizowaną platformę 7140 VN Router ze sprzętowym akceleratorem i PIX 525 jako produkty z różnymi możliwościami i do rożnych celów) odznaczyły się mniej rygorystycznym podejściem do problemu kontroli dostępu: kiedy użytkownik otrzymuje certyfikat od PKI, może w trakcie połączenia VPN robić, co chce. Mogłoby to mieć bardzo poważne konsekwencje w środowisku ekstranetowym, gdzie nie wszyscy partycypują w tym samym PKI i gdzie użytkownik otrzymuje swój cyfrowy certyfikat.

VPN Server Appliance HP, 2000 firmy RapidStream, Ravlin 7160 z RedCreek I FireBox III 4500 firmy WatchGuard miały dużo gorsze wyniki w teście kompatybilności certyfikatu. W przypadku RedCreek i WatchGuard właściwie żaden nie wspierał zewnętrznych certyfikatów dla identyfikacji konfiguracji punkt-punkt.


TOP 200