Безопасность и Internet - статьи

       

Управление тысячами пользователей


Все протестированные VPN-продукты обеспечивают аутентификацию пользователей. В большинстве из них эта возможность реализована на локальном уровне. Система просматривает информацию о пользователе, которая хранится в базе данных, на VPN-устройстве или на станции управления виртуальной частной сетью. Однако, чтобы не создавать новый пароль (если пользователь забыл его), следует иметь шлюз к внешней базе данных аутентификации.

Служба дистанционной аутентификации пользователей, подключающихся по телефонной линии (Remote Authentication Dial-In User Service, RADIUS), стала стандартом де-факто для организации аутентификации в сети. Созданы хорошие серверы стандарта RADIUS, которые работают с различными базами данных аутентификации, от NT Security Access Manager и до множества систем единого пароля, таких как SecurID и Cryptocard, использующих жетоны или смарт-карты.

Мы протестировали каждый сервер, поддерживающий RADIUS, сравнивая его с нашим. Все они продемонстрировали великолепную возможность взаимодействия. Работа практически с каждой из поддерживающих RADIUS VPN-сетей была проще. Единственным исключением оказался продукт VPN-1 Gateway: в конечном счете мы добились, чтобы он заработал, но это оказалось не так просто, как с другими. Только F-Secure VPN (Data Fellows) и Permit Enterprise (TimeStep) в настоящее время не поддерживают RADIUS.

Тем не менее приходится констатировать, что некоторые из продуктов не очень удачно спроектированы. Например, в VPN-1 Gateway данные о каждом пользователе нужно заносить и в свою базу данных, и в базу данных RADIUS - а это не самая лучшая идея.

В VPNWare и VPN Concentrator Series реализован другой подход. Они не только хранят информацию о пользователе и паролях в базе данных RADIUS, но и дополнительно позволяют загружать данные о конфигурации каждого пользователя с сервера RADIUS. Вероятно, вам понравится решение, предложенное компанией Indus River в RiverWorks. Это ПО требует от сервера RADIUS возврата специального флага, который и является разрешением на доступ пользователя к виртуальной сети.

А как обстоят дела с отслеживанием "маршрутов" пользователей? Мы изучили возможности этого рода у тестируемых продуктов и, надо сказать, были разочарованы.

Наилучшие возможности учета в серверах VPN-туннеля предоставляет сервис RADIUS; он обеспечивает доступ к учетным записям этих серверов, позволяя использовать любые средства для создания отчетов. Security Management Server компании Lucent и VPN Concentrator Series фирмы Altiga поддерживают имеющуюся в RADIUS функцию учета, а LANRover VPN Gateway от Intel предоставляет этот сервис RADIUS только пользователям сервера Shiva Smart Tunnel.

Во всех остальных продуктах функции учета и создания отчетов развиты очень слабо. Например, в RiverWorks вы можете посмотреть информацию только за прошлые дни, но не получите данные за утро сегодняшнего дня. Хуже того, продукт сам создает файл отчетов за день, так что получить информацию о подключениях пользователя за период, больший чем 24 часа, не очень-то просто. Компании InfoExpress и Check Point немножко лучше организовали работу своего ПО. Однако Check Point предлагает заплатить дополнительно 1500 долл. за средство объединения файлов регистрации, создающее плохонькие отчеты с неполными данными, хотя нам кажется, что эта функция должна быть включена в базовый комплект.

Но все-таки лучше что-то, чем ничего. А именно так обстоят дела с VPNWare, cIPro System и Ravlin. Эти три продукта или вообще не предоставляли никакой отчетности, или отбрасывали столько данных, что информация, которую нам удавалось получить, оказывалась бесполезной.



Содержание раздела