Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
ПРИЛОЖЕНИЕ 1 СРАВНИТЕЛЬНЫЕ ХАРАКТЕРИСТИКИ
ОТЕЧЕСТВЕННЫХ СРЕДСТВ ПОСТРОЕНИЯ VPIVI
Для сравнительных испытаний были выбраны некоторые продукты из виртуальных приватных систем (VPN). В перечень вошли средства организации VPN на третьем уровне модели OSI (сетевом уровне), главную роль в котором в современных корпоративных сетях играет проткол IP. Это ФПСУ-IP от фирмы Амикон, «Застава» от ОАО «Элвис-плюс» и «Шип» от МО ПНИЭИ.
Продукты оценивались по их работе на различных платформах, полноте набора функций управления доступом и обеспечения защиты корпоративной системы; по величинам накладных расходов, удобству администрирования, производительности, возможностям обеспечения собственной безопасности и ценовым характеристикам. Сравнительные характеристики систем и результаты сравнения приведены в табл. П. 1.1 и П. 1.2.
1. «ФПСУ-IP». Производитель -ООО «АМИКОН», г. Москва
В настоящее время близки к завершению работы по созданию подсистемы централизованного удаленного управления и мониторинга. Повышенные требования к обслуживающему персоналу способствовали резкому снижению эффективности ФПСУ-IP. Этот недостаток отмечался как один из существенных, заметно ограничивающих сферу применения всей системы. Дело в том, что при отсутствии централизованного удаленного управления в подразделении, использующем ФПСУ-IP, должен находиться квалифицированный персонал для выполнения функций администратора системы, в полной мере владеющий технологиями и методами защиты
408
Приложение 1
информации в IP-сетях. К тому же необходимо обеспечить постоянную возможность оперативного управления и мониторинга ФПСУ-IP. С учетом сказанного использование ФПСУ-IP для защиты территориально распределенных сетей представляется достаточно проблематичным, так как в удаленных подразделениях обычно не хватает квалифицированных специалистов. Кроме того, в настоящее время стандартом является централизованное управление сетевыми и информационными ресурсами с помощью платформ сетевого управления типа Open View и протокола SNMP
Документация на систему выполнена в объеме, достаточном для администрирования и сопровождения продукта, но не лишена недостатков, к которым можно причислить отсутствие примеров построения системы защиты на основе ФПСУ-IP. Также имеется ряд мелких недочетов, не влияющих на полноту документации.
При проверке ФПСУ-IP на устойчивость к имеющимся в настоящее время атакам на стек TCP/IP применялся программный продукт фирмы ISS Internet Security Scanner 5.6 для Windows NT После проведения всех атак типа «отказ в обслуживании» (denial-of-service) работоспособность ФПСУ-IP сохранилась.
Комплекс ФПСУ-IP продемонстрировал великолепные скоростные характеристики при сжатии, шифровании трафика и построении VPN. При использовании в качестве аппаратной части компьютеров Pentium 200 с 32 Мб ОЗУ максимальная скорость передачи IP-трафика составила для режима шифрования 12 Мбит/с, а при включении сжатия - 10,7 Мбит/с.
Зависимость скорости передачи информации по протоколу TCP от MTU для WAN 64 Кбит/с (Frame Relay) в различных режимах (шифрование, сжатие, совместный режим) изображена на рис. П. 1.1.
ФПСУ-IP осуществляет сжатие трафика при MTU 1500 байт, обеспечивая для каналов 19,6, 64 и 256 Кбит увеличение скорости передачи информации в 2,4 раза для текстовой передачи ив 1,17 раза для передачи заархивированных данных. При уменьшении MTU до 128 байт сжатие становится неэффективным и не дает никакого выигрыша в скорости обмена, но и не ухудшает скоростных характеристик канала. ФПСУ-IP обеспечивает шифрование трафика, добавляя накладные расходы в количестве 18-20 байт на несжимаемый пакет. Для каналов 19,6,64 и 256 Кбит разница в скоростях обмена при использовании шифрования и без него для MTU 1500 составляет 2%, для MTU 128 - 28%.
Для ЛВС 100 Мбит применение ФПСУ-IP в режиме ретрансляции (без шифрования и сжатия) уменьшает скорость обмена в два раза при MTU 1500 и в 2,5 раза для MTU 128, что является классическим случаем использования дополнительного маршрутизатора. При включенном
Сравнительные характеристики отечественных средств построения VPN 409
TCP-PPP (Кбит/с)
2-
Сжатие (zip)
Шифрование сжатия (zip)
Шифрование (zip)
Без ФПСУ-IP (zip)
0-
1500
512
256
128
MTU (байт)
Рис. П. 7. /. Зависимость скорости передачи данных по протоколу TCP от MTU
сжатии и шифровании скорость уменьшается в 12 раз для MTU 1500 и 128 байт.
Все сказанное позволяет сделать вывод о неэффективности применения ФПСУ-IP для разделения сегментов ЛВС 100 Мбит с использованием процессоров, задействованных во время испытаний.
То, что механизмы защиты ФПСУ-IP не удовлетворяют стандартам IPSec, делает невозможным совместное использование ФПСУ-IP и остальных шифраторов IP-протоколов и средств организации VPN других производителей, ориентирующихся на использование IPSec.
Из недостатков ФПСУ-IP необходимо отметить следующие: во время произведения настроек комплекс находится в нерабочем состоянии, то есть сетевой трафик через него не проходит, не реализована возможность использования DNS, что затрудняет анализ статистической информации.
