Назначение
 
Возможности
 
Архитектура
 
Решения
 
Документация
 
Демо
 
F.A.Q.
 
Новости продукта
/ ПРОДУКТЫ / Тропа-Джет / F.A.Q. >

Общие вопросы

Общие вопросы

Что такое VPN?
VPN - это технология, позволяющая создавать виртуальные защищенные сети для передачи конфиденциальных данных по открытым каналам связи.

 Какие преимущества использования VPN?
Технология VPN позволяет использовать общедоступные коммутируемые каналы связи для передачи конфиденциальной информации вместо дорогостоящих и не всегда достаточно защищенных выделенных линий.
Какие платформы использует для работы "Тропа-Джет"?
Основные модули комплекса "Тропа-Джет" - Центр генерации ключей, Центр распределения ключей и Шлюз кодирования - функционируют под управлением операционной системы Solaris на аппаратной платформе SPARC или Intel (ОС Solaris производства компании Sun Microsystems). Модуль Мобильный клиент функционирует под управлением ОС Windows 98/2000.
Какова производительность кодирующего модуля?
Производительность кодирующего модуля зависит от используемой криптографии и аппаратной платформы. При необходимости комплекс "Тропа-Джет" может обеспечивать защиту каналов с пропускной способностью до 100 Мбит/с. Опытным путем были получены следующие данные:
  • 1) UltraSPARC-II/400 (Ultra5, 32 бит) и UltraSparc-IIe (Sun Blade100, 64 бит), сетевой интерфейс 100 Мбит/с. Нулевая криптография: 30 Мбит; VESTA2M: 18 Мбит.
  • 2) Pentium-4/1700 с обеих сторон, сетевой интерфейс 100 Мбит/c. Нулевая криптография: 88 Мбит; VESTA2M: 86.5 Мбит.
Криптографические ключи какой длины используются в комплексе "Тропа-Джет"?
В зависимости от используемой криптографии.
    - lancrypto-1:
  • Симметричная криптография (VESTA2M): 496 бит
  • Несимметричная криптография (цифровая подпись [SHNOR], выработка общего ключа [DH]):

    • - открытые ключи: 512 бит
    - секретные ключи: 160 бит
    - lancrypto-2:
  • Симметричная криптография (VESTA2M): 496 бит
  • Несимметричная криптография (цифровая подпись [SHNOR], выработка общего ключа [DH]):

    • - открытые ключи: 1024 бит
    - секретные ключи: 208 бит
    - cryptopro:
  • Симметричная криптография (ГОСТ): 256 бит
На каких версиях Solaris может работать комплекс "Тропа-Джет"?
  • Intel: Solaris 7 и 8, (32 бита)
  • SPARC: Solaris 7 (32 бита), Solaris 8 (32 или 64 бита).
На сколько увеличивается размер пакета его кодировании с помощью "Тропа-Джет"?
Размер пакета зависит от используемой криптографии.
В случае использования lancrypto (VESTA2M) цифры следующие:
  • 1. Объем данных возрастает на величину от 0 до 7 байт.

  • 2. Добавляется ESP-заголовок (8 байт плюс 16 байт вектора инициализации), 24 байта.

  • 3. Добавляется AH-заголовок (12 байт плюс 12 байт контрольной суммы), 24 байта.

  • 4. Добавляется новый IP-заголовок, 20 байт.
ИТОГО: от 68 до 75 байт, в зависимости от выравнивания.

Кроме того, размер пакета зависит от возможности сжатия данных. Например, при передаче длинными пакетами текстовой информации (HTTP) реальный размер пакета будет не больше, а намного меньше исходного. Для уменьшения размера пакетов используется алгоритм сжатия Ван Якобсона (Van Jacobson compression).

 Какой выигрыш дает применение алгоритма сжатия VJ header compression?
Размер TCP/IP пакета уменьшается в среднем на 35 байт. В результате этого пропускная способность VPN-канала увеличивается на 2.5%. Другими словами, благодаря применению алгоритма сжатия VJ header compression накладные расходы на туннелирование снижаются с 10% до 7.5%.

 На каких линиях работает "Тропа-Джет"?
Комплекс "Тропа-Джет" работает на линиях от 9,6 Кбит/с до 100 Мбит/с.
Требуется ли включать IP-forwarding в ядре ОС для нормального функционирования шлюза кодирования?
Да. Текущая версия ядерного модуля zcrym по умолчанию осуществляет IP-forwarding средствами ОС. Ядерный модуль zcrym можно настроить для самостоятельного осуществления данной функции, для этого нужно добавить в файл zcrym.conf строку fwd=1. Не рекомендуется использовать эту возможность на современных аппаратных средствах типа Blade/Netra (возникают проблемы с контрольными суммами TCP).

 Какой адрес будет использовать мобильный клиент при подключении по dial-up? Ведь в этом случае адреса будут динамическими?
Точка регистрации мобильных клиентов производит трансляцию сетевых адресов. Поэтому внутри виртуальной защищенной сети мобильный клиент будет "виден" всегда под одним и тем же адресом, который присвоен ему администратором.
Будут ли для мобильного клиента корректно функционировать протоколы, передающие служебные адреса внутри пакетов, а не в заголовках, например FTP?
Да, будут. Точка регистрации мобильных клиентов имеет прозрачный прикладной шлюз для протокола FTP. Он осуществляет функции посредника и обеспечивает корректное открытие как управляющего канала, так и канала данных.
Возможно ли ограничивать доступ мобильного клиента к ресурсам виртуальной защищенной сети?
Да, настройки точки регистрации мобильных клиентов позволяет ограничить доступ рамками одной подсети внутри виртуальной защищенной сети. Вопрос использования такого ограничения относится к компетенции администратора безопасности.

 Возможно ли одновременное использование ресурсов в защищенной и в общедоступной сети? Т.е. будет ли мобильный клиент разделять весь трафик на кодированый и некодированный?
Да, такой режим работы возможен, для его реализации необходимо задать одну подсеть. Все, что адресуется в эту сеть, будет кодированным, все, что нет - некодированным.

 Какие требования предъявляются к используемым каналам связи?
Канал должен пропускать пакеты UDP на 500 и 501 порты, а также пакеты IPsec (т.е. IP протокол с идентификатором 50).
Сколько необходимо серверов для установки ККМП "Тропа-Джет"?
Для установки ККМП "Тропа-Джет" необходимо минимум три сервера:
1-й - для установки Центра генерации и сертификации ключей;
2-й и 3-й - для установки шлюзов кодирования в двух различных офисах, при этом Центр распределения ключей располагается на одном из шлюзов.
top
 
 
© Copyright 2002 - 2005 Инфосистемы Джет
Home mailto Map Home mailto Map