Концепция защищенных виртуальных частных сетей

При выходе локальной сети в открытое Internet-пространство возникают угрозы двух основных типов: несанкционированный доступ (НСД) к данным в процессе их передачи по открытой сети и НСД к внутренним ресурсам КИС. Информационная защита при передаче данных по открытым каналам реализуется следующими мерами:

  • • взаимная аутентификация сторон;
  • • прямое и обратное криптографическое преобразование данных;
  • • проверка достоверности и целостности полученных данных.

Организация защиты с использованием технологии виртуальных частных сетей (Virtual Private Network — VPN) подразумевает формирование защищенного "виртуального туннеля" между узлами открытой сети, доступ в который невозможен потенциальному злоумышленнику. Преимущества этой технологии очевидны: аппаратная реализация довольно проста, нет необходимости создавать или арендовать дорогие выделенные физические сети, можно использовать открытый дешевый Internet, скорость передачи данных по туннелю такая же, как по выделенному каналу.

В настоящее время существует четыре вида архитектуры организации защиты информации на базе применения технологии VPN [Соколов А. В., Шаньгин В. Ф., 2002].

Локальная сеть VPN (Local Area Network-VPN). Обеспечивает защиту потоков данных и информации от НСД внутри сети компании, а также информационную безопасность на уровне разграничения доступа, системных и персональных паролей, безопасности функционирования ОС, ведение журнала коллизий, шифрование конфиденциальной информации.

Внутрикорпоративная сеть VPN (Intranet- VPN). Обеспечивает безопасные соединения между внутренними подразделениями распределенной компании.

Для такой сети подразумевается:

  • • использование мощных криптографических средств шифрования данных;
  • • обеспечение надежности работы критически важных транзакционных приложений, СУБД, электронной почты, Telnet, FTP;
  • • скорость и производительность передачи, приема и использования данных;
  • • гибкость управления средствами подключения новых пользователей и приложений.

Сети VPN с удаленным доступом (Internet-VPN). Обеспечивает защищенный удаленный доступ удаленных подразделений распределённой компании и мобильных сотрудников и отделов через открытое пространство Internet Грис. 6.17).

Такая сеть организует:

  • • адекватную систему идентификации и аутентификации удалённых и мобильных пользователей;
  • • эффективную систему управления ресурсами защиты, находящимися в географически распределенной информационной системе.
Туннельная схема организации VPN сети

Рис. 6.17. Туннельная схема организации VPN сети

Межкорпоративная сеть VPN (Extranet-VPN). Обеспечивает эффективный защищённый обмен информацией с поставщиками, партнёрами, филиалами корпорации в других странах. Такая сеть предусматривает использование стандартизированных и надёжных VPN-продуктов, работающих в открытых гетерогенных средах и обеспечивающих максимальную защищенность конфиденциального трафика, включающего аудио и видео потоки информации — конфиденциальные телефонные переговоры и телеконференции с клиентами.

Можно выделить два основных способа технической реализации виртуальных туннелей:

  • • построение совокупности соединений (Frame Relay или Asynchronous Transfer Mode) между двумя нужными точками единой сетевой инфраструктуры, надежно изолированной от других пользователей механизмом организации встроенных виртуальных каналов;
  • • построение виртуального IP-туннеля между двумя узлами сети на базе использования технологии туннелирования, когда каждый пакет информации шифруется и "вкладывается" в поле нового пакета специального вида (конверт), который и передается по IP- туннелю — при этом пакет протокола более низкого уровня помещается в поле данных пакета более высокого уровня (рис. 6.18).
Схема пакета, подготовленного к отправке по туннелю

Рис. 6.18. Схема пакета, подготовленного к отправке по туннелю

VPN-туннель обладает всеми свойствами защищенной выделенной линии, проходящей через открытое пространство Internet. Особенность технологии туннелирования состоит в том, что она позволяет зашифровать не только поле данных, а весь исходный пакет, включая заголовки. Это важная деталь, так как из заголовка исходного пакета злоумышленник может извлечь данные о внутренней структуре сети — например, информацию о количестве локальных сетей и узлов и их IP- адресах.

Зашифрованный пакет, называемый SKIP-пакетом, инкапсулируется в другой пакет с открытым заголовком, который транспортируется по соответствующему туннелю (рис. 6.19~).

При достижении конечной точки туннеля из внешнего пакета извлекается внутренний, расшифровывается, и его заголовок используется для дальнейшей передачи во внутренней сети или подключенному к локальной сети мобильному пользователю. Туннелирование применяется не только для обеспечения

конфиденциальности внутреннего пакета данных, но и для его целостности и аутентичности, механизм туннелирования часто применяется в различных протоколах формирования защищенного канала связи. Технология позволяет организовать передачу пакетов одного протокола в логической среде, использующей другой протокол.

Таким образом, можно реализовать взаимодействие нескольких разнотипных сетей, преодолевая несоответствие внешних протоколов и схем адресации.

Структура SKIP-пакета

Рис. 6.19. Структура SKIP-пакета

Средства построения защищенной VPN достаточно разнообразны — они могут включать маршрутизаторы с механизмом фильтрации пакетов (Filtering Router), многофункциональные межсетевые экраны (Multifunction Firewall), промежуточные устройства доступа в сеть (Proxy Server), программно-аппаратные шифраторы (Firmware Cryptograph). По технической реализации можно выделить следующие основные виды средств формирования VPN:

  • • специализированные программные решения, дополняющие стандартную операционную систему функциями VPN;
  • • программно-аппаратное устройство на базе специализированной ОС реального времени, имеющее два или несколько сетевых интерфейсов и аппаратную криптографическую поддержку;
  • • средства VPN, встроенные в стандартный маршрутизатор или коммутатор;
  • • расширение охвата защищаемой зоны канала передачи и приёма данных за счет дополнительных функций межсетевого экрана.

Туннели VPN создаются для различных типов конечных пользователей: это может быть локальная сеть (Local Area Network — LAN) со шлюзом безопасности (Security Gateway) или отдельные компьютеры удаленных или мобильных пользователей с сетевым программным обеспечением для шифрования и аутентификации трафика — клиенты VPN Грис. 6.17L Через шлюз безопасности проходит весь трафик для внутренней корпоративной сети. Адрес шлюза VPN указывается как внешний адрес входящего туннелируемого пакета, а расшифрованный внутренний адрес пакета является адресом конкретного хоста за шлюзом.

Наиболее простым и относительно недорогим способом организации VPN-канала является схема, в соответствии с которой защищенный туннель прокладывается только в открытой сети для транспортировки зашифрованных пакетов. В качестве конечных точек туннеля выступают провайдеры Internet-сети или пограничные межсетевые экраны (маршрутизаторы) локальной сети. Защищенный туннель формируется компонентами виртуальной сети, функционирующим на узлах, между которыми он создается. В настоящее время активно функционирует рынок VPN-средств — приведем некоторые примеры популярных и широко используемых решений для каждого класса продуктов.

VPN на базе сетевых операционных систем. Для формирования виртуальных защищённых туннелей в IP сетях сетевая операционная система Windows NT использует протокол РРТР (Point-to-Point Transfer Protocol). Туннелирование информационных пакетов производится инкапсулированием и шифрованием (криптоалгоритм RSA RC4) стандартных блоков данных фиксированного формата (РРР Data Frames) в IP-дейтаграммы, которые и передаются в открытых IP-сетях. Данное решение является недорогим, и его можно эффективно использовать для формирования VPN-каналов внутри локальных сетей, домена Windows NT или для построения Internet- и Extranet- VPN для небольших компаний малого и среднего бизнеса для защиты не критичных приложений.

VPN на базе маршрутизаторов. В России лидером на рынке VPN- продуктов является компания Cisko Systems. Построение каналов VPN на базе маршрутизаторов Cisko осуществляется средствами ОС версии Cisko IOS 12.x. Для организации туннеля маршрутизаторы Cisko используют протокол L2TP канального уровня эталонной модели OSI, разработанного на базе "фирменных" протоколов Cisko L2F и Microsoft РРТР, и протокол сетевого уровня IPSec, созданного ассоциацией "Проблемная группа проектирования Internet (Internet Engineering Task Force — IETF). Эффективно применяется Cisko VPN Client, который предназначен для создания защищенных соединений Point-to Point между удаленными рабочими станциями и маршрутизаторами Cisko — это позволяет построит практически все виды VPN-соединений в сетях.

VPN на базе межсетевых экранов. Эта технология считается наиболее сбалансированной и оптимальной с точки обеспечения комплексной безопасности КИС и её защиты от атак из внешней открытой сети. В России нашел широкое применение программный продукт Check Point Firewall-1/VPN-1 компании Check Point Software Technologies. Это решение позволяет построить глубоко комплексную эшелонированную систему защиты КИС.

В состав продукта входят: Check Point Firewall-1, набор средств для формирования корпоративной виртуальной частной сети Check Point VPN-1, средства обнаружения атак и вторжений Real Secure, средства управления полосой пропускания информационных пакетов Flood Gate, средства VPN-1 Secure Remote, VPN-1 Appliance и VPN-1 Secure Client для построения Localnet/Intxanet/Internet/Extranet VPN-каналов. Весь набор продуктов Check Point VPN-1 построен на базе открытых стандартов IPSec, имеет развитую систему идентификации и аутентификации пользователей, взаимодействует с внешней системой распределения открытых ключей PKI, поддерживает цетрализованную систему управления и аудита.

На российском рынке можно указать два продукта, получивших достаточно широкую известность — это криптографический комплекс "Шифратор IP пакетов" производства объединения МО ПН ИЭИ (ссылка: http://www.security.Ri - httpУ/www.security.ru) и ряд программных продуктов ЗАСТАВА компании ЭЛВИС+ (ссылка: http//www.elvis.ru - httpУ/www.elvis.ru). Самым быстрорастущим сегментом рынка систем информационной безопасности по исследованиям IDC, Price Waterhouse Cooper и Gartner Group являются системы блокировки корпоративных каналов связи. Быстрее всего растут продажи систем защиты от утечек внутренней информации (Intrusion Detection and Prevention — IDP), которые позволяют контролировать трафик электронной почты и доступ к внешним Internet-ресурсам.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >