Концепция защищенных виртуальных частных сетей

При выходе локальной сети в открытое интернет-пространство возникают угрозы двух основных типов: несанкционированный доступ к данным в процессе их передачи по открытой сети и к внутренним ресурсам КИС. Информационная защита при передаче данных по открытым каналам реализуется следующими мерами: взаимная аутентификация сторон, прямое и обратное криптографическое преобразование данных, проверка достоверности и целостности полученных данных.

Организация защиты с использованием технологии виртуальных частных сетей VPN подразумевает формирование защищенного «виртуального туннеля» между узлами открытой сети, доступ в который невозможен потенциальному злоумышленнику. Преимущества этой технологии очевидны: аппаратная реализация довольно проста, нет необходимости создавать или арендовать дорогие выделенные физические сети, можно использовать открытый дешевый Интернет, скорость передачи данных по туннелю такая же, как по выделенному каналу.

В настоящее время существует четыре вида архитектуры организации защиты информации на базе применения технологии VPN [8].

Локальная сеть VPN (Local Area Network-VPN)

Обеспечивает защиту потоков данных и информации от несанкционированного доступа внутри сети компании, информационную безопасность на уровне разграничения доступа, системных и персональных паролей, безопасности функционирования операционной системы, ведение журнала коллизий, шифрование конфиденциальной информации.

Внутрикорпоративная сеть VPN (Intranet-VPN)

Обеспечивает безопасные соединения между внутренними подразделениями распределенной компании. Для такой сети подразумеваются:

¦ мощные криптографические средства шифрования данных;

¦ надежность работы критически важных транзакционных приложений, СУБД, электронной почты, Telnet, FTP;

¦ скорость и производительность передачи, приема и использования данных;

¦ гибкость управления средствами подключения новых пользователей и приложений.

Сети VPN с удаленным доступом (Internet-VPN)

Обеспечивают защищенный удаленный доступ удаленных подразделений распределенной компании и мобильных сотрудников и отделов через открытое пространство Интернет. Такая сеть организует: адекватную систему идентификации и аутентификации удаленных и мобильных пользователей; эффективную систему управления ресурсами защиты, находящимися в географически распределенной ИС.

Межкорпоративная сеть VPN (Extranet-VPN)

Обеспечивает эффективный защищенный обмен информацией с поставщиками, партнерами, филиалами корпорации в других странах. Предусматривает использование стандартизированных и надежных VPN-npoдуктов, работающих в открытых гетерогенных средах и обеспечивающих максимальную защищенность конфиденциального трафика, включающего в себя аудиои видеопотоки информации — конфиденциальные телефонные переговоры и телеконференции с клиентами.

Можно выделить два основных способа технической реализации виртуальных туннелей:

• 1) построение совокупности соединений (Frame Relay или Asynchronous Transfer Mode) между двумя нужными точками единой сетевой инфраструктуры, надежно изолированной от других пользователей механизмом организации встроенных виртуальных каналов;
• 2) построение виртуального IP-туннеля между двумя узлами сети на базе использования технологии туннелирования, когда каждый пакет информации шифруется и «вкладывается» в поле нового пакета специального вида (конверт), который и передается по 1Р-туннелю — при этом пакет протокола более низкого уровня помещается в поле данных пакета более высокого уровня.

Виртуальный туннель обладает всеми свойствами защищенной выделенной линии, проходящей через открытое пространство Интернет. Особенность технологии туннелирования состоит в том, что она позволяет зашифровать не только поле данных, а весь исходный пакет, включая заголовки. Это важная деталь, так как из заголовка исходного пакета злоумышленник может извлечь данные о внутренней структуре сети, например информацию о числе локальных сетей и узлов и их IP-адресах. Зашифрованный пакет инкапсулируется в другой пакет с открытым заголовком, который транспортируется по соответствующему туннелю. При достижении конечной точки туннеля из внешнего пакета извлекается внутренний, расшифровывается, и его заголовок используется для дальнейшей передачи во внутренней сети или подключенному к локальной сети мобильному пользователю (рис. 30.10).

Туннелирование используется не только для обеспечения конфиденциальности внутреннего пакета данных, но и для его целостности и аутентичности. Механизм туннелирования часто применяется в различных протоколах формирования защищенного канала связи. Технология позволяет организовать передачу пакетов одного протокола в логической среде, использующей другой протокол. Таким образом, можно реализовать взаимодействие нескольких разнотипных сетей, преодолевая несоответствие внешних протоколов и схем адресации.

Средства построения защищенной VPN достаточно разнообразны — они могут включать в себя маршрутизаторы с механизмом фильтрации пакетов (Filtering Router), многофункциональные межсетевые экраны (Multifunction Firewall), промежуточные устройства доступа в сеть (Proxy Server), программно-аппаратные шифраторы (Firmware Cryptograph). По технической реализации.

Рис. 30.10. Туннельная схема организации VPN-сети можно выделить следующие основные виды средств формирования VPN:

¦ специализированные программные решения, дополняющие стандартную операционную систему функциями VPN;

¦ программно-аппаратное устройство на базе специализированной операционной системы реального времени, имеющее два или несколько сетевых интерфейсов и аппаратную криптографическую поддержку;

¦ средства VPN, встроенные в стандартный маршрутизатор или коммутатор;

¦ расширение охвата защищаемой зоны канала передачи и приема данных за счет дополнительных функций МЭ.

Туннели VPN создаются для различных типов конечных пользователей: это может быть локальная сеть LAN со шлюзом безопасности (Security Gateway) или отдельные компьютеры удаленных или мобильных пользователей с сетевым программным обеспечением для шифрования и аутентификации трафика — клиенты VPN (см. рис. 30.10). Через шлюз безопасности проходит весь трафик для внутренней корпоративной сети. Адрес шлюза VPN указывается как внешний адрес входящего туннелируемого пакета, а расшифрованный внутренний адрес пакета является адресом конкретного хоста за шлюзом.

Технологии VPN на базе сетевых операционных систем

Для формирования виртуальных защищенных туннелей в IP-сетях сетевая операционная система Windows NT использует протокол РРТР (Point-to-Point Transfer Protocol). Туннелирование информационных пакетов производится инкапсулированием и шифрованием (криптоалгоритм RSA RC4) стандартных блоков данных фиксированного формата (РРР Data Frames) в IP-дейтаграммы, которые и передаются в открытых IP-сетях. Данное решение является недорогим, и его можно эффективно использовать для формирования VPN-каналов внутри локальных сетей, домена Windows NT или для построения internetи extranet-VPN для небольших компаний малого и среднего бизнеса с целью защиты некритичных приложений.

Технология VPN на базе маршрутизаторов

В России лидером на рынке VPN-продуктов является компания «Cisko Systems» .

Построение каналов VPN на базе маршрутизаторов Cisko осуществляется средствами операционной системы версии Cisko IOS 12.x. Для организации туннеля маршрутизаторы Cisko используют протокол L2TP канального уровня эталонной модели OSI, разработанный на базе «фирменных» протоколов Cisko L2 °F и Microsoft РРТР, и протокол сетевого уровня IPSec, созданный ассоциацией «Проблемная группа проектирования Internet (Internet Engineering Task Force — IETF). Эффективно применяется Cisko VPN Client, который предназначен для создания защищенных соединений Point-to Point между удаленными рабочими станциями и маршрутизаторами Cisko, что позволяет построить практически все виды VPN-соединений в сетях.

Технология VPN на базе межсетевых экранов

Эта технология считается наиболее сбалансированной и оптимальной с точки зрения обеспечения комплексной безопасности КИС и ее защиты от атак из внешней открытой сети. В России нашел широкое применение программный продукт Check Point Firewall-1/VPN-1 компании «Check Point Software Technologies». Это решение позволяет построить глубоко комплексную эшелонированную систему защиты КИС. В состав продукта входят: Check Point Firewall-1, набор средств для формирования корпоративной виртуальной частной сети Check Point VPN-1, средства обнаружения атак и вторжений Real Secure, средства управления полосой пропускания информационных пакетов Flood Gate, средства VPN-1 Secure Remote, VPN-1 Appliance и VPN-1 Secure Client для построения Localnet/Intranet/Internet/Extranet VPN-каналов. Весь набор продуктов Check Point VPN-1 построен на базе открытых стандартов IPSec, имеет развитую систему идентификации и аутентификации пользователей, взаимодействует с внешней системой распределения открытых ключей PKI, поддерживает цетрализованную систему управления и аудита.

На российском рынке можно указать два продукта, получивших достаточно широкую известность: криптографический комплекс «Шифратор IP-пакетов» производства Московского отделения Пензенского научно-исследовательского электротехнического института^[1] и ряд программных продуктов ЗАСТАВА компании «ЭЛВИС + «^[2]. Самым быстрорастущим сегментом рынка систем информационной безопасности по исследованиям «ГОС», «Price Waterhouse Cooper» и «Gartner Group» являются системы блокировки корпоративных каналов связи. Быстрее всего растут продажи систем защиты от утечек внутренней информации (Intrusion Detection and Prevention — IDP), которые позволяют контролировать трафик электронной почты и доступ к внешним интернет-ресурсам.

• [1] Режим доступа: security.ru.
• [2] Режим доступа: elvis.ru.