Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
Также необходима реализация подсистемы синхронизации времени между распределенными ФПСУ-IP. Ее отсутствие не позволяет четко контролировать выполнение правил фильтрации по времени.
Требуется исследовать вопрос о целесообразности использования ФПСУ-IP с более чем двумя сетевыми картами, что, возможно, расширит область применения ФПСУ-IP при организации виртуальных сетей в рамках корпоративных сетей.
Стабильность и корректность работы ФПСУ-IP зависит от конкретной сетевой платы и аппаратного обеспечения. При использовании некоторых драйверов сетевых карт наблюдались фатальные ошибки и сбои в работе ФПСУ-IP. Таким образом, для обеспечения стабильного и надежного
410
Приложение 1
функционирования этой системы разработчику рекомендуется производить поставки ФПСУ-IP в виде законченного аппаратно-программного комплекса («под ключ»), включающего в себя аппаратное устройство с предустановленным ПО и сетевыми картами.
Для обеспечения возмолшости создания более гибких VPN представляется целесообразным разработка клиентской части ФПСУ-IP под Windows 95/98/NT для обеспечения возможности организации VPN внутри одного сегмента ЛВС и с удаленных станций. При реализации клиентской части необходимо предусмотреть работу пользователей по протоколу Mobile IP. Также полезной была бы реализация открытого криптоинтерфейса и описание требований к встраиваемому криптоядру. Из положительных качеств следует сказать о довольно низкой цене ФПСУ-IP.
В заключение заметим, ФПСУ-IP показал себя надежным, динамично развивающимся продуктом, который в ближайшем будущем станет хорошим средством организации корпоративных VPN.
2. «Застава», Производитель -ОАО «Элвис-Плюс», г. Зеленоград
По результатам тестовых испытаний продукт «Застава» версии 2.01 зарекомендовал себя как хорошее, вполне пригодное для создания VPN программное обеспечение. СЗИ «Криптон-Застава» надежна, достаточно проста, удобна в эксплуатации и обладает практически всеми функциональными возможностями, описанными в документации на комплекс программных компонентов. Средства управления дают возмолшость с достаточной гибкостью заниматься администрированием всего программного комплекса, в том числе и ключевой системы. Система регистрации обеспечивает сбор и анализ необходимой статистической информации.
Представленная документация на СЗИ «Криптон-Застава» в полном объеме описывает администрирование всего программного комплекса, однако в ней отсутствуют разделы, содерлсащие анализ аварийных ситуаций и рекомендации по восстановлению работоспособности системы, а также квалификационные требования к обслуживающему персоналу. Кроме того, разработчику необходимо реализовать обозначенные в документации некоторые возмолшости программных компонентов СЗИ «Застава», а именно: журналирование пакетов в ПС «Застава-Офис» и графическую оболочку администрирования МЭ «Застава».
На испытаниях было обнаружено, что особенности протокола SKIP, в частности требование передачи пакетного ключа вместе с каждым
Сравнительные характеристики отечественных средств построения VPN 411
IP-пакетом, а это 112 байт служебной информации для ГОСТа, приводят к значительному возрастанию служебного трафика во время использования некоторых клиент-серверных технологий. При превалировании в сети пакетов длиной равной или близкой MTU (Maximum Transfer Unit, для Ethernet это 1500 байт) подобная нагрузка может и не считаться избыточной - примерно 10% от общего объема трафика, однако для большинства клиент-серверных технологий средняя длина IP-пакета в сети намного меньше и служебный трафик SKIP может составлять больше половины от всего сетевого IP-трафика. Это сказывается на производительности вычислительных систем, работающих в распределенной среде с использованием низкоскоростных (меньше 64 Кбит) каналов связи, связывающих подсети корпоративной сети. Зависимость скорости передачи данных по протоколу FTP от MTU для WAN 64 Кбит/с (Frame Relay) с использованием и без использования криптографической защиты канала с помощью «Заставы» приведена на рис. П. 1.2. Для опытов с WAN были задействованы рабочие станции SunUltra 5 277 МГц с 64 Мб ОЗУ и установленной ОС Solaris 2.6.
FTP, WAN 64 Кбит/с
-А— Шифрование -^- Без шифрования
1400 512 256 128
MTU (байт)
Рис. П. 1.2. Влияние «Заставы-Офис» на производительность WAN
Из этого рисунка видно, что в канале WAN при уменьшении размера IP-пакета скорость передачи данных падает более чем в два раза, что вызвано ростом служебного трафика при сохранении полосы пропускания. Максимальная скорость шифрования, декларируемая разработчиком, составляет 8 Мбит/с.
412
Приложение 1
К недостаткам также можно отнести невозможность «Заставы-Офис» версии 2.01 работать с фрагментированными IP-пакетами (с установленным флагом IP-заголовка DF). Такие пакеты системой просто игнорируются. Это молсет вызвать проблемы при взаимодействии различных телекоммуникационных сред, характеризующихся разными MTU. В настоящее время эти проблемы решены в версии 2.5. Кроме того, по сравнению с другими средствами защиты информации, располагающимися в том же сегменте рынка, что и «Застава», данный продукт имеет более высокую цену. Производителем декларируется совместимость SKIP-продуктов серии «Застава» с продуктами других компаний (среди них SUN и Checkpoint). Однако SKIP-продукты «Застава» различных версий, например 1.62 и 2.01, несовместимы между собой при использовании ГОСТа в качестве алгоритма шифрования по причине того, что в версии 2.01 были исправлены отдельные ошибки реализации SKIP. Отметим, что обновление версии в этом случае производится бесплатно.
