5. Еxtranet и защита информации

          Сегодня с термином “удаленный доступ” напрямую связан термин “extranet”.
          Понятием extranet так злоупотребляют, что иногда возникает вопрос, существует ли оно вообще. Тем не менее это понятие существует.
          Сети extranet стали почти массовым явлением. Нет предела вариантам их применения: они появляются и в крошечных специализированных компаниях, и в крупных многонациональных корпорациях. Такие сети представляют собой настолько разумный и дешевый способ ведения бизнеса, что, по-видимому, его ждет большое будущее.
          По существу, сеть extranet - это IP-приложение, связывающее компанию с ее деловыми партнерами, которое чаще всего базируется на Web-технологии и использует в качестве среды передачи данных сеть Internet. В некоторых случаях в extranet применяются и другие IP-технологии, такие как электронная почта и приложения для коллективной работы.
          Основная особенность любой сети extranet состоит в том, что обеспечивается связь с конкретными людьми, находящимися вне компании. Это почти всегда требует удаленного доступа к сети, и, соответственно, порождает ряд технических и организационных проблем.
          Вопросы обеспечения безопасности и достаточной производительности в extranet решаются иначе, чем на Web-узлах или в интрасети. Для сети extranet очень важны аутентификация и конфиденциальность, тогда как для приложений intranet они играют гораздо менее серьезную роль, а для открытого Web-узла - вообще несущественны.
          Производительность приложения в extranet может рассматриваться как политический фактор, поскольку эта сеть предназначена для тех, от кого в наибольшей степени зависит жизнедеятельность компании. Конечно, безропотных сотрудников можно заставить работать с медленными громоздкими приложениями, часто дающими сбои, но так нельзя поступать с клиентами. Кроме того, деловым партнерам и сотрудникам нужна различная информация.

Модели extranet

          Один из оптимальных способов учесть специфику extranet - подобрать такую модель сети, которая бы наилучшим образом соответствовала вашим целям и удовлетворяла потребности делового партнера. Каждая модель представляет собой определенное сочетание средств защиты и вариантов разработки, в которых должны быть реализованы конкретные бизнес-требования компании и ее партнеров. Существуют несколько моделей extranet:

• модель с защищенным доступом к интрасети (или с разграничением доступа) обеспечивает в высшей степени безопасный вход деловых партнеров непосредственно в интрасеть компании;
• модель электронной коммерции служит для решения специальных технических проблем обработки EDI-транзакций (Electronic Data Interchange), т. е. сделок, заключенных с помощью обмена электронными данными;
• модель специализированного приложения хороша при большом числе партнеров, когда на первое место выходят вопросы безопасности сети;
• модель, представляющая собой узел с простой защитой с помощью пароля, прекрасно обеспечивает контакт с огромным количеством пользователей, если безопасность не имеет первостепенного значения.

          Возможно, самые сложные сети типа extranet создаются на базе модели защищенного доступа к интрасети. Такие сети позволяют деловым партнерам или разъездным служащим получать доступ непосредственно к интрасети компании через Internet.

Модель с разграничением доступа.
          Приложение, поддерживающее защищенный доступ к интрасети, обычно работает через виртуальную частную сеть (virtual private network - VPN). Это позволяет создать в открытой сети (например, Internet) зашифрованный туннель между клиентом и сервером. Сети VPN особенно полезны, если необходимо защитить транзакции широкого диапазона (предположим, для трех служб - электронной почты, HTML и telnet) или если соединения могут перебрасываться с одного сервера на другой.

Модель 1: защищенный доступ к intranet

          Позволяет деловым партнерам получать доступ в корпоративную интрасеть. Чаще всего партнеры используют Internet, иногда - телефонные линии связи. Например, компания может предоставить партнеру доступ к ПО для групповой работы и обеспечить участие в конференциях сети intranet. Источник:Building an Extranet, издательство Jphn Wiley & Sons.
          Возможен вариант, исключающий Internet при предоставлении прямого доступа к интрасети компании. Для этого можно использовать обычные телефонные линии связи, однако более высокая стоимость эксплуатации extranet сведет на нет преимущества ее высокой окупаемости. Заключение контракта с оператором частной IP-сети, таким как Infonet Services или Sprint Communications, гарантирует уровень обслуживания (QoS), в том числе определенную производительность, но это тоже обойдется дороже, чем при подключении деловых партнеров через Internet.
          Разработчики систем extranet, в которых разрешается доступ к сети intranet из Internet, заинтересованы в том, чтобы иметь в своем распоряжении все возможные способы и варианты ограничения доступа к сети extranet (разрешить его с определенными ограничениями потребителям и временно закрыть для поставщиков и т. п.).
          Модель с защищенным доступом к интрасети получила наибольшее распространение в крупных многонациональных корпорациях, использующих инфраструктуры телефонных сетей. Например, в Hudson's Bay - компании, которая владеет сетью, включающей в себя более 400 универмагов в Канаде, - разрабатывается сеть extranet, которая позволит поставщикам ежедневно получать доступ в имеющиеся торговые системы и собирать сведения о том, сколько их продуктов было продано. Реализовать такой доступ, применяя телефонную сеть компании Hudson, было невозможно, поскольку стоимость предоставления каждому поставщику защищенной высокоскоростной линии достаточно высока. Кроме того, очень сложно создать схему защиты телефонной сети, в которой каждому поставщику будет доступна только определенная информация.
          Как сообщил Роберт Кайджек, проектировщик коммуникационных систем Hudson's Bay, эта сеть будет обслуживать по меньшей мере 300 поставщиков. Функции extranet можно будет расширить для работы с системой электронной коммерции, что особенно важно для поставщиков, не являющихся торговыми партнерами в рамках существующих EDI-систем Hudson. "Основная идея - использование открытой сети, ведь большинство компаний уже имеет связь с Internet по выделенному высокоскоростному каналу", - утверждает Кайджек. По его мнению, extranet позволит снизить затраты на персонал, оборудование, управление телефонными линиями и улучшить обслуживание клиентов.

Модель электронной коммерции
          Модель сети extranet для электронной коммерции общеизвестна. В ней используются такие же способ защиты и архитектура сети, что и на узле предприятия, предназначенном для электронной коммерции. Тем не менее подобные extranet часто разрабатываются специально для осуществления коммерческих сделок между предприятиями. Для шифрования и дешифрования каждого сеанса связи между сервером и клиентом можно применять протокол SSL (Secure Sockets Layer), дополнив защиту цифровыми подписями (сертификатами), что обеспечит надежную аутентификацию и ответственность участников контракта.

Модель 2: электронная коммерция

          Позволяет обслуживать разнообразных деловых партнеров, используя обычные технологии систем электронной коммерции, в том числе защиту и обработку транзакций. Например, компания может предоставить дистрибуторам доступ к базе данных, содержащей секретную корпоративную информацию, такую как оптовые цены и планы стимулирования торговли.Источник:Building an Extranet, издательство John Wiley & Sons.
          Такие сети используются многими компаниями, которые можно условно разделить на две группы. Первая состоит из небольших и средних предприятий, которые хотя и не применяют EDI-системы при сделках с бизнес-партнерами, но хотят воспользоваться преимуществами электронной коммерции. В частности, они стремятся сэкономить за счет электронного размещения заказов или получить возможность с помощью электронных средств выписывать счета-фактуры и связывать сделки с системами бухгалтерского учета и материально-технического снабжения.
          Вторую группу составляют компании, которые хотят расширить существующие EDI-системы средствами торговли на базе Web-технологий, чтобы иметь возможность продавать электронную информацию мелким партнерам, не имеющим собственной EDI-системы. Однако если extranet строится на основе модели электронной коммерции, а не EDI, сеть, скорее всего, должна работать через VPN.
          Использование EDI-систем для сети типа extranet на базе Web пока является редкостью, однако этот подход достаточно перспективен. Сегодня внимание многих компаний приковано к промышленной группе AIAG (Automotive Industry Action Group), которая заменяет старую, громоздкую и дорогую EDI-систему на сеть extranet для торговых партнеров, названную ANX (Automotive Network eXchange).
          Сеть ANX будет традиционным способом обрабатывать данные при обмене типа EDI между торговыми партнерами, а также при обмене сообщениями электронной почты, документами CAD, данными приложений для коллективной работы и др. Через эту сеть будут торговать около 40 тыс. производителей и поставщиков автомобильной промышленности, утверждает Роберт Московиц, сопредседатель рабочей группы IETF по IP-защите и бывший руководитель группы по средствам защиты в сети ANX корпорации Chrysler.

Специализированная модель
          Модель, ориентированная на специализированные приложения, определяет, по-видимому, самый типичный способ построения сети extranet. Эта модель не требует множества мероприятий для обеспечения безопасности сети и сводит к минимуму риск нарушения защиты внутренней сети компании. Доступ из приложения extranet к интрасети в такой модели ограничен или отсутствует.
          Общепринятым методом защиты для специализированной модели является обычная аутентификация. Когда необходимо иметь более высокий уровень конфиденциальности, в таких сетях можно использовать протокол SSL и более мощные средства аутентификации.

Модель 3: специализированное приложение

          В соответствии с этой моделью компания разрабатывает приложение специально для одного или более партнеров. Ее сотрудники способны получать доступ к приложению из интрасети, доступ к которой партнеров ограничен или совсем закрыт. Например, компания может установить узел extranet, через который производители будут объявлять тендер на поставку материалов.Источник:Building an Extranet, издательство John Wiley & Sons.
          Примеров модели специализированных приложений множество. Компании, занимающиеся разработкой технологий, часто используют extranet для связи с клиентами, обслуживаемыми по контракту, и для своих дилеров.
          Специализированное приложение может оказаться очень сложным, и пример тому - extranet компании Ingram Micro, дистрибутора компьютерных продуктов с оборотом в несколько миллиардов долларов. Эта компания создала сеть, с помощью которой зарегистрированные компьютерные дилеры могут размещать заказы и отслеживать их выполнение.
          В сущности, узел www.ingrammicro.com является внешним Web-интерфейсом к старым мэйнфреймовским системам заказов товаров. Фактически, любые коммерческие сделки, которые ранее заключались через телефонный Call Center, теперь осуществляются через Web-сервер компании Ingram.
          Применение SSL и простой аутентификации (незашифрованный пароль и идентификатор пользователя) до минимума снизило сложность и стоимость защиты между браузером и Web-сервером. По мнению разработчиков приложений компании Ingram, труднее всего оказалось написать Java-приложения, взаимодействующие с данными и приложениями мэйнфрейма.
          Однако практические выгоды от реализации такой extranet превзошли все ожидания. Клиенты Ingram смогли получать самые свежие прейскуранты, размещать заказы и проверять их состояние, при этом компания Ingram не должна оплачивать работу служащих Call Center. И поскольку все клиенты Ingram предпочитают использовать сеть Web, а не телефон, возросла степень их удовлетворенности услугами компании.
          Еще один пример модели специализированного приложения - extranet, созданная агентством DAPRA (Defense Advanced Research Projects Agency). С помощью этой сети, названной ESP (Extranet for Security Professionals), комиссии по разработке правительственных программ могут работать в онлайновом режиме.
          До появления ESP они тратили на такие разработки не только годы, но и миллионы долларов, поскольку совместная работа была возможна лишь при личных встречах, телефонных переговорах и обменах факсимильными сообщениями. Сейчас члены комиссий просто получают доступ в сеть через SSL-соединение, используя цифровые сертификаты, и участвуют в виртуальных совещаниях. Они способны создавать программные агенты, "выслеживающие" информацию, которая представляет для них интерес, и посылающие широковещательные предупреждающие сообщения всем членам комиссии.
          "Сеть ESP - очень разумное средство. Это простой способ ведения бизнеса в XXI веке", - утверждает Мэтт Донлон, директор бюро Security & Intelligence Office агентства DAPRA. Действительно, по оценкам, основанным на расчетах внутренней окупаемости, DAPRA сохранит 1,5 млн дол., только на обслуживании комиссии по разработке программ, за счет экономии времени, сокращения затрат на авиабилеты, телефонные переговоры и др.
          Некоторые специализированные приложения создавать несложно, особенно если они представляют собой простые защищенные паролем Web-узлы, размещенные за пределами брандмауэра. Однако в качестве такого Web-узла не рекомендуется применять узел, связывающий предприятие с потребителем и использующий простую аутентификацию, поскольку сеть extranet должна ограничивать доступ для всех и предоставлять его только определенному кругу пользователей.
          Например, Web-узел CEOlink представляет собой "частное сообщество в сети Web" для членов Совета The Council of Growing Companies. Сеть extranet CEOlink (www.ceolink.org) предоставляет информацию членам Совета, большинство из которых - главные исполнительные директора (CEO) быстрорастущих предпринимательских компаний, информацию по вопросам управления предприятиями, обеспечивает сеансы "онлайновых" переговоров и др.
          "Узел CEOlink - дешевый источник информации, дополняющий ежегодные конференции Совета. Мы размещаем на узле уникальную информацию и постоянно добавляем к ней новые данные, которые нигде не публикуются", - объясняет Марк Таулер, разрабочик Web-узла совета и президент корпорации Phase 2 Development. - "Сеть extranet оказывает Совету неоценимые услуги. Она не только служит удобной и дешевой трибуной CEO для обмена идеями, но и привлекает новых членов. Большим достоинством сети является и то, что ее пользователи получают только необходимую им информацию".
          Последняя из моделей extranet - простой, защищенный паролем узел - требует минимальных вложений в обеспечение безопасности. Такая сеть защищена хуже extranet других типов; если деловые партнеры должны обмениваться конфиденциальными данными, эту модель выбирать не следует.

Протоколы Internet для Extranet

          Когда стандарты изменяются настолько быстро, конечным пользователям не следует надолго "привязываться" к какому-либо протоколу. Сеть extranet (или экстрасеть) является IP-приложением - обычно на основе протокола HTTP, - предназначенным в основном для использования между организациями (а не внутри них), между организацией и клиентами или между клиентами. Вследствие четкой ориентации экстрасетей на взаимодействие между компаниями стандарты имеют огромное значение. Ни одна компания не может диктовать другой, какие использовать технологии, но если обе они не будут говорить на одном и том же языке, ни о какой коммуникации между ними не может быть и речи.
          Теперь, когда браузеры и ISP-провайдеры имеются повсюду, решена самая крупная проблема стандартов extranet. Клиенты могут взаимодействовать с серверами независимо от используемой платформы. Однако остается нерешенной такая важная проблема, как обеспечение безопасности. Как можно гарантировать, что к экстрасети получают доступ только выбранные вами деловые партнеры? Как понять, что ваши посетители - именно те, за кого они себя выдают? Наиболее полезными для сетей extranet для достижения двух целей защиты - конфиденциальности и аутентификации - оказываются две технологии: Secure Sockets Layer (SSL) и виртуальные частные сети (VPN). Однако следует иметь в виду, что в экстрасетях у каждой из них проявляются свои недостатки.

Экстрасеть на базе SSL
          Стандарт SSL был разработан компанией Netscape Communications с целью защиты транзакций по кредитным карточкам. Однако разработчики считают, что он полезен и для экстрасетей - по крайней мере, пока вы в состоянии компенсировать некоторые его внутренние ограничения. "SSL - очень надежный механизм шифрования трафика в Internet, - считает Джордж Джонсон, директор по ИТ компании SecTeK. - Единственный его недостаток состоит в том, что он чересчур интенсивно использует сервер. Для шифрования всего трафика 128-разрядными ключами требуются большие вычислительные мощности. Мы создали свой узел, применяя совсем мало графических элементов, причем небольших по объему. Это существенно сократило объем обработки, требуемой от ЦПУ".
          Компания SecTeK разработала для агентства Defence Advanced Research Projects Agency (DARPA) сеть extranet, позволяющую фирмам и промышленным организациям сотрудничать в разработке правительственных проектов (именно агентство DARPA, если вы помните, создало сеть Internet). Узел агентства DARPA позволяет иметь доступ к секретным документам и совместно работать с ними через сеть Internet, посещать виртуальные собрания, отслеживать данные с использованием "интеллектуальных агентов" и направлять такую информацию в рабочие группы, объясняет Джонсон. Применение экстрасетей сокращает затраты времени и денег. Например, рабочим группам больше не нужно посылать документы по факсу, чтобы передать информацию.
          "Одно официальное лицо, связанное с разработкой правительственных проектов, определило экономию от использования нашей сети extranet только в одном проекте примерно в 1,5 млн дол. Аналогичные оценки мы получаем от многих наших пользователей, - сообщает Джонсон. - Наша система обеспечивает такую колоссальную окупаемость вложений, что мы рассматриваем возможность приобретения более мощного компьютера, чтобы обслуживать документы, передаваемые с помощью SSL. Вложив 20 тыс. дол. в сервер высокой мощности, мы сэкономим как минимум в 100 раз больше за счет сокращения затрат рабочего времени".
          Однако при работе в сети extranet на базе SSL возникает по меньшей мере одна важная административная проблема: аутентификация конечных пользователей. В SSL применяется шифрование с открытыми/секретными ключами (с использованием алгоритмов, разработанных компанией RSA Data Security). Попросту говоря, при шифровании открытыми/секретными ключами применяются отдельные, но математически связанные алгоритмы шифрования/дешифрования. Шифрующий алгоритм использует открытый ключ, а дешифрующий - секретный. Открытый ключ распространяется свободно, поскольку, получив его в свои руки, фактически невозможно определить секретный ключ. Очевидно, что последний должен иметься только у адресата.
          Сервер SSL укомплектован набором открытых/секретных ключей, так что он может принимать зашифрованные данные, однако пока не выпускаются браузеры, поддерживающие SSL своим собственным набором ключей. Браузер компании Netscape работает только тогда, когда посетитель посылает на сервер конфиденциальные данные, например номер кредитной карточки. Однако при работе в экстрасети сервер будет передавать и другую личную информацию.
          Администраторы такой сети должны обеспечить всех пользователей соответствующими "сертификатами", которые идентифицируют пользователя и содержат набор открытых/секретных ключей. Их можно получить через сторонние органы выдачи сертификатов, такие как VeriSign и CyberTrust (отделение компании GTE). Использование сертификатов, однако, вызывает необходимость в дополнительном административном звене. Они должны издаваться, оплачиваться, обновляться при истечении срока их действия, стираться в случае увольнения сотрудника и т. д.

Конкуренты DSL
          Другое важно средство защиты информации в экстрасети - применение виртуальных частных сетей (VPN), или туннелирования. Туннелирование больше, чем SSL, подходит в том случае, когда компания хочет сделать всю связь между двумя конечными точками конфиденциальной (включая другие - помимо HTTP) - протоколы, файловые и принтерные службы и т. д.). Его также стоит использовать, когда компания намерена предоставить пользователям возможность переходить от одного сервера к другому, не размещая всю информацию на защищенных SSL-серверах.
          Принцип туннелирования состоит в создании закрытого потока данных в открытой сети, обычно - в Internet. Технически он сводится к вложению одного пакета в другой, поясняет Бернард Абоба, старший менеджер по средствам маршрутизации компании Microsoft. Таким образом, конфиденциальность обеспечивается путем помещения IP-пакета внутрь зашифрованного. Основными протоколами, обеспечивающими создание сетей VPN, стали Point to Point Tunneling Protocol, или PPTP (вместе с его производным - протоколом Layer 2 Tunneling Protocol, известным как L2TP), и IP Securitу (обычно называемый IPSec).
          PPTP упоминается чаще, поскольку его поддержка включена в ПО Windows NT Server и Workstation. Компания Microsoft объявила, что включит поддержку PPTP и в Windows 98. Она выпускает PPTP для клиентов Windows 95, а также для Windows-приложений других фирм (таких как Network TeleSystems). Кроме того, протокол PPTP поддерживается в продуктах компаний Cisco Systems, U.S.Robotics (принадлежащей теперь 3Com), Novell, New Oak Communication и Extended Systems.
          Если на стороне клиентов широкая поддержка PPTP уже обеспечивается, то в сетях extranet этот протокол пока реализовать трудно. Некоторые пользователи считают, что его вполне можно применять между двумя маршрутизаторами, поддерживающими PPTP. Например, норвежская компания NorConnect Internet Services AS предоставляет техническую поддержку главному национальному ISP-провайдеру; сети VPN используются для обеспечения безопасного доступа к ее штаб-квартире из некоторых местных отделений.

Никаких стандартов
          Однако протокол PPTP не является стандартом, утвержденным IETF и, вероятно, никогда им не станет. В настоящее время Microsoft совместно с Cisco работает над тем, чтобы сделать стандартом протокол L2TP. Ожидается, что предложение утвердить PPTP в качестве стандарта будет отозвано. В любом случае, вариант PPTP с привкусом Microsoft отличается от PPTP, предложенного в качестве стандарта IETF.
          PPTP - это расширение протокола Point to Point Protocol (PPP), с которым хорошо знакомы все подключающиеся к Internet по коммутируемым телефонным линиям. В PPP используются довольно слабые алгоритмы шифрования CHAP и PAP. Они приемлемы для быстрого подключения, но могут оказаться недостаточными для VPN. Поэтому Microsoft заменила их существенно более сильным алгоритмом (основанным на RC4), который называется Microsoft Point to Point Encryption, сообщает Дэвид Эйтелбах, старший менеджер по продуктам компании Microsoft.
          Кроме применения в многочисленных клиентских программах PPTP имеет по меньшей мере еще одно существенное преимущество перед IPSec: он является протоколом уровня 2 модели OSI. Поэтому он "гладко" поддерживает многие из ныне популярных технологий управления защитой, такие как аутентификация на базе маркеров (token) или служба Remote Authentication Dial-In User Service (RADIUS), которая отслеживает использование прав доступа и паролей. По словам Эйтелбаха, решение второго уровня распознается протоколом защиты RADIUS как терминальный сервер.
          "Протоколы PPTP и L2TP для IP-потока можно сравнить с неизолированным проводом, - говорит Эйтелбах. - Имеются широко распространенные протоколы защиты типа RADIUS, которые мы называем "учет, аудит и сигнализация". Они ведут регистрацию тех, кто подключается к туннельному серверу. Иногда пользователи, находящиеся в сети совершенно законно, способны сделать что-то нежелательное для вас. Если учет осуществляется с помощью протокола RADIUS, то за этим можно следить".
          Однако протокол L2TP, представляющий собой сочетание PPTP с протоколом Layer 2 Forwarding (L2F) компании Cisco, также относится к уровню 2, а теперь Microsoft и Cisco стараются сделать его стандартом. Версия 7 протокола опубликована на Web-узле группы IETF, и компания Microsoft передает ее на рассмотрение в качестве стандарта. L2TP обладает одним основным преимуществом перед PPTP: он намного легче воспринимается большинством брандмауэров. В нем канал данных и канал управления объединены в один поток User Datagram Protocol (UDP), тогда как PPTP посылает управляющую информацию через протокол TCP, а данные - через протокол Generic Routing Encapsulation (GRE).
          "Брандмауэры отображают внутренний IP-адрес на внешний (Internet) адрес брандмауэра, добавляя к нему уникальный номер TCP- или UPDP-порта, - объясняет Эйтелбах. - Чтобы работать с PPTP, брандмауэры должны распознавать протокол GRE, хотя многие из них с ним "не знакомы". В L2TP не используется GRE, а применяемый в нем UDP может быть воспринят большинством брандмауэров. По тем же причинам его проще использовать с сетевыми блоками преобразования".
          Недостатком можно считать большее количество пробелов в заголовке L2TP, чем в PPTP, который способен обеспечить большую производительность. Кроме того, L2TP намного менее зрелый, и его поддержка менее распространена, чем поддержка PPTP.

IPSec стоит особняком
          Интересно отметить, что когда дело касается шифрования, L2TP фактически вынужден использовать конкурирующий протокол IPSec. IPSec осуществляет проверку целостности, гарантируя соответствие посылаемых и принимаемых потоков данных. Он также производит обмен ключами в защищенном (зашифрованном) потоке и поддерживает более мощные алгоритмы шифрования, такие как DES, Triple DES, IDEA и т.д.
          Какой алгоритм использовать, можно договариваться каждый раз при установке контакта между двумя машинами, указывает Бретт Ховард, вице-президент по технологии компании TimeStep. Эта компания-производитель туннельных серверов поддерживает IPSec и не поддерживает PPTP/L2TP. Если поддержка IPSec на другом конце туннеля отсутствует, L2TP по умолчанию проводит шифрование по PPP, утверждают Абоба и Эйтельбах.
          Самым приятным свойством протокола IPSec, возможно, является то, что он представляет собой почти готовый стандарт IETF и уже прошел многочисленные испытания на совместимость. В последней такой "разборке", проведенной компанией TimeStep в сентябре 1997 г., участвовало около 27 производителей.
          Плохо то, что IPSec привязан к IP, тогда как PPTP/L2TP независимы от протоколов. Кроме того, в своем исходном виде он осуществляет аутентификацию только на уровне машины, а не на уровне пользователя. В большинство продуктов IPSec включена поддержка аутентификации на уровне пользователя, например в виде маркерных карт, но опять-таки эти функции пока еще не разработаны.
          Поклонники протокола IPSec полагают, что он лучше других работает в большинстве ситуаций, требующих применения туннельной технологии. "PPTP - это в лучшем случае тактическое средство. IPSec будет вытеснять его по мере выхода соответствующих продуктов", - считает Боб Московиц, технический специалист отделения MIS Division корпорации Chrysler и член бюро Internet Architecture Board. Он полагает, что от IPSec следует отказываться лишь в тех случаях, "когда вы собираетесь реализовать сеть VPN на втором уровне ISO, скажем - с применением технологий трансляции кадров или ATM".
          Московиц призывает использовать метод обмена ключами, разработанный рабочей группой по IPSec. Он решает проблему обмена ключами в реальном времени лучше, чем самый распространенный метод обмена ключами RSA, применяемый в SSL. В действительности, полагает Московиц, следующая реализация стандарта SSL группы IETF, известная как Transport Layer Security 2.0, может включать в себя протокол Internet Secure Assiciation Key Management Protocol. "RSA не имеет протокола управления ключами в реальном времени. Компоненты, входящие в SSL, очень слабы с точки зрения функциональности, безопасности, масштабируемости и возможностей роста".
          Очевидно, что разработчикам сетей extranet необходимо поразмышлять, прежде чем они смогут правильно выбрать протокол для применения в сетях между предприятиями. Для сетей, в которых используются только Windows-клиенты и имеется много пользователей, подключающихся по коммутируемым телефонным линиям, протокол PPTP может стать самым разумным решением - особенно если учесть перспективы перехода на L2TP.
          Для тех разработчиков сетей extranet, которые поддерживают более широкий диапазон клиентов, наилучшим вариантом, скорее всего, является протокол IPSec. А для тех, кто будет строить экстрасеть и все ее приложения на отдельном защищенном сервере, более чем достаточным окажется SSL.
          "SSL - очень надежный механизм шифрования трафика в Internet. Его единственный недостаток - слишком интенсивное использование сервера", - говорит Джордж Джонсон, компания SecTeK

Информационная защита в сетях extranet

Информационная защита в сетях extranet имеет следующие особенности:

Заключение

          Удаленный доступ к корпоративным сетям вызывает у конечных пользователей множество самых разнообразных вопросов к персоналу служб поддержки или администраторам безопасности. В данной теме была сделана попытка дать по возможности глубокие и квалифицированные ответы на некоторые часто встречающиеся вопросы.
          Что же касается сети extranet – это не всегда сказка со счастливым концом, что и подтверждает пример одной из компаний. Ее затраты на разработку Web-узлов для своих дистрибуторов составили несколько тысяч долларов, но все усилия пропали даром. Эти узлы посетило всего несколько пользователей, хотя они были привлекательны, хорошо организованы и имели хорошую реакцию.
          Итак, если деловые партнеры компании еще не стали активными пользователями электронной почты и системы Web, extranet может оказаться для них бесполезным видом услуг. Но даже если партнеры применяют Internet, сеть extranet должна продемонстрировать настолько привлекательные свойства, чтобы у них возникло желание воспользоваться ею. Например, она должна предлагать им важную и даже уникальную информацию, предоставлять более быстрый и дешевый способ заказа продуктов или выписывания счетов-фактур на проданные товары. Extranet призвана решать имеющиеся проблемы бизнеса или открывать новые деловые перспективы.
          Сети extranet большинства компаний предоставляют именно такие услуги, реализуя их быстрее и дешевле, чем любая другая современная конкурирующая технология.