Защита нескольких локальных сетей, связанных через Internet c Proxy-серверами и координаторами на них

Размещено на http://www.allbest.ru/

Министерство образования российской федерации федеральное агентство по образованию

Государственное образовательное учреждение высшего профессионального образования

«Северокавказский государственный технический университет»

Кафедра защиты информации

Курсовая работа

по дисциплине «Технология построения защищенных автоматизированных систем»

Тема: «Защита нескольких локальных сетей, связанных через Internet c Proxy-серверами и Координаторами на них»

Автор курсовой работы Ньорба Максим Юрьевич

Специальность 090105 «Комплексное обеспечение

информационной безопасности автоматизированных систем»

Номер группы БАС-071

Руководитель работы доцент, к.т.н. Граков Вячеслав Иванович

Ставрополь, 2011

Содержание

Введение

Глава 1. Анализ структуры незащищенной сети и формирование требований защиты

1.1 Выявление структуры и основных свойств незащищённой сети

1.2 Выявление и анализ основных угроз безопасности данной системы

1.3 Выявление и анализ основных видов сетевых атак на данную систему

1.4 Формирование требований защиты

Выводы

Глава 2. Анализ технологии VPN и её построения

2.1 Понятие и классификация VPN сетей, их построение

2.2 Классификация VPN сетей

2.3 Построение VPN

2.4 Методы реализации VPN сетей

Выводы

Глава 3. Разработка и формирование защищенной сети

3.1 Анализ режимов безопасности сетевых интерфейсов Координатора

3.2 Выбор режима для сетевых интерфейсов и настройки правил фильтрации

3.3 Настройка фильтров координатора в сети с Proxy-серверами

Выводы

Заключение

Список литературы

Введение

Из пункта А в пункт Б необходимо передать информацию таким образом, чтобы к ней никто не смог получить доступа. Вполне реальная и часто возникающая на практике ситуация, особенно в последнее время. В качестве пунктов А и Б могут выступать отдельные узлы или целые сегменты сетей. В случае с передачей информации между сетями в качестве защитной меры может выступать выделенный канал связи, принадлежащей компании, информация которой требует защиты. Однако поддержание таких каналов связи -- очень дорогое удовольствие.

Проще и дешевле, если информация будет передаваться по обычным каналам связи (например, через Интернет), но каким-либо способом будет отделена или скрыта от трафика других компаний, циркулирующего в Сети. Но не следует думать, что потребность в конфиденциальной передаче информации возникает только в глобальных сетях. Такая потребность может возникнуть и в локальных сетях, где требуется отделить один тип трафика от другого (например, трафик платежной системы от трафика информационно-аналитической системы).

Целью данной работы является изучение защиты нескольких локальных сетей, связанных через Internet, c Proxy-серверами и Координаторами на них. Объектом исследования является защита локальных сетей, связанных через Интернет. Методы защиты локальных сетей, связанных через Интернет при данных условиях представляют собой предмет исследования в данной работе. Одним из основных методов защиты локальных сетей, связанных через Интернет является использование технологии VPN, возможности и реализация которой будут рассмотрены в данной работе.

Глава 1. Анализ структуры незащищенной сети и формирование требований защиты

1.1 Выявление структуры и основных свойств незащищённой сети

Прежде чем построить систему защиты, необходимо, вначале выработать и проанализировать модель системы, которую мы будем защищать, выделить её основные свойства и угрозы, которые могут быть реализованы.

Рисунок 1.1 Схема незащищенной автоматизированной системы

Информация об исходной схеме сети:

Адреса в локальных сетях частные.

На входах в локальные сети стоят компьютеры PROXY с реальными адресами.

Локальных сетей может быть сколько угодно.

К открытому Интернету подключается произвольное количество мобильных пользователей.

1.2 Выявление и анализ основных угроз безопасности данной системы

Современные вычислительные сети организаций представляют собой сложные системы, состоящие из множества компонентов. Среди этого множества компонентов можно выделить разнообразные компьютеры, системное и прикладное программное обеспечение (ПО) этих компьютеров, сетевые адаптеры, концентраторы, коммутаторы, маршрутизаторы и соединительные (кабельные) системы. Широкое использование Интернета и интернет-технологий привело к качественному изменению вычислительных сетей. Если ранее Интернет использовался в основном в качестве среды передачи, то в настоящее время Интернет становится не только средством интерактивного взаимодействия людей, но и средством ведения деловых операций организаций, реальным средством проведения бизнес-операций.

Популярность IP-технологий объясняется их объективными достоинствами. К числу таких достоинств можно отнести относительную простоту основополагающих принципов технологии. Одним из таких принципов является открытость, что выражается свободным обсуждением, исследованием и тестированием новых протоколов стека TCP/IP в рамках не только рабочих групп комитета Internet Engineering Task Force (IETF), но и всего мирового сообщества. Разрабатываемые и предлагаемые стандарты и спецификации доступны практически всем пользователям Интернет. Открытость технологии позволяет обеспечить относительно простую интеграцию в IP-сети других технологий, что значительно увеличивает области применения Интернета.

Другим достоинством IP-технологий является масштабируемость, которая была заложена уже при разработке Интернета. Иерархически организованный стек TCP/IP позволяет наращивать сети организаций в достаточно больших пределах.

Эти и другие достоинства обеспечили на. настоящий момент широкое применение IP-технологий. Технологии, которые привели к успеху Интернета, оказались чрезвычайно перспективными и для внутренних сетей организаций -- сетей интранет (intranet).

Корпоративная сеть (интранет) -- это сеть на уровне компании, в которой используются программные средства, основанные на стеке протоколов TCP/IP.

Под экстранет-сетями понимается интранет-сеть, подключенная к Интернету, т.е. это сеть типа интранет, но санкционирующая доступ к ее ресурсам определенной категории пользователей, наделенной соответствующими полномочиями.

Поскольку в дальнейшем будут рассматриваться средства защиты, то все сети представляются как локальные сети, подключенные к Интернету. При этом рассмотрении не важно, используется ли в данной сети Web-технология, поэтому далее будем называть такие сети корпоративными.

Главные особенности корпоративных сетей -- глобальность связей, масштабность и гетерогенность -- представляют и повышенную опасность для выполнения ими своих функциональных задач. Поскольку протоколы семейства TCP/IP разработаны достаточно давно, когда проблема безопасности еще не стояла так остро, как сейчас, то они, в первую очередь, разрабатывались как функциональные и легко переносимые, что помогло распространиться стеку TCP/IP на множество компьютерных платформ. Кроме того, в настоящее время при использовании Интернета в распоряжении злоумышленников появляются многочисленные средства и методы проникновения в корпоративные сети.

В связи с гигантским ростом численности хостов, подключенных к Интернету, и ростом числа компаний, использующих технологии Интернета для ведения своего бизнеса, значительно увеличилось число инцидентов, связанных с информационной безопасностью (ИБ). Данные CERT (Computer Emergency Response Team) показывают, что число обнаруженных уязвимостей и число зарегистрированных инцидентов постоянно увеличиваются.

Под уязвимостью (vulnerability) информационной системы понимается любая характеристика, использование которой нарушителем может привести к реализации угрозы.

Угрозой (threat) информационной системе называется потенциально возможное событие, действие, процесс или явление, которое может вызвать нанесение ущерба (материального, морального или иного) ресурсам системы.

К настоящему времени известно большое количество разноплановых угроз различного происхождения, таящих в себе различную опасность для информации. Системная классификация угроз приведена в табл. 1.1.

Виды угроз -- это основополагающий параметр, определяющий целевую направленность защиты информации.

Под случайным понимается такое происхождение угроз, которое обусловливается спонтанными и не зависящими от воли людей обстоятельствами, возникающими в системе обработки данных в процессе ее функционирования. Наиболее известными событиями данного плана являются отказы, сбои, ошибки, стихийные бедствия и побочные влияния:

* отказ -- нарушение работоспособности какого-либо элемента системы, приводящее к невозможности выполнения им основных своих функций;

Таблица1.1 Системная классификация угроз

Параметры классификации	Значения параметров	Содержание значения
Виды угроз	Физическая целостность Логическая структура Содержание Конфиденциальность Право собственности	Уничтожение (искажение) Искажение структуры Несанкционированная модификация Несанкционированное получение, утечка информации Присвоение чужого труда
Происхождение угроз	Случайное Преднамеренное	Отказы, сбои, ошибки Стихийные бедствия Побочные влияния Злоумышленные действия людей
Предпосылки появления угроз	Объективное Субъективное	Количественная и качественная недостаточность элементов системы Промышленный шпионаж, недобросовестные сотрудники, криминальные и хулиганствующие элементы, службы других государств
Источники угроз	Люди Технические устройства Модели, алгоритмы, программы Технологические схемы обработки данных Внешняя среда	Пользователи, персонал, посторонние люди Регистрации, ввода, обработки, хранения, передачи и выдачи Общего назначения, прикладные, вспомогательные Ручные, интерактивные, внутримашинные, сетевые Состояние среды, побочные шумы, побочные сигналы

сбой -- временное нарушение работоспособности какого-либо элемента системы, следствием чего может быть неправильное выполнение им в этот момент своей функции;

ошибка -- неправильное (разовое или систематическое) выполнение элементом одной или нескольких функций, происходящее вследствие специфического (постоянного или временного) его состояния;

побочное влияние -- негативное воздействие на систему в целом или отдельные ее элементы, оказываемое какими-либо явлениями, происходящими внутри системы или во внешней среде.

Преднамеренное происхождение угрозы обусловливается злоумышленными действиями людей, осуществляемыми в целях реализации одного или нескольких видов угроз.

Отмечены две разновидности предпосылок появления угроз: объективные (количественная или качественная недостаточность элементов системы) и субъективные (деятельность разведывательных служб иностранных государств, промышленный шпионаж, деятельность криминальных и хулиганствующих элементов, злоумышленные действия недобросовестных сотрудников системы). Перечисленные разновидности предпосылок интерпретируются следующим образом:

количественная недостаточность -- физическая нехватка одного или нескольких элементов системы обработки данных, вызывающая нарушения технологического процесса обработки и (или) перегрузку имеющихся элементов;

качественная недостаточность -- несовершенство конструкции (организации) элементов системы, в силу чего могут появляться возможности для случайного или преднамеренного негативного воздействия на обрабатываемую или хранимую информацию;

деятельность разведывательных служб иностранных государств -- специально организуемая деятельность государственных органов, профессионально ориентированных на добывание необходимой информации всеми доступными способами и средствами;

промышленный шпионаж -- негласная деятельность организации (ее представителей) по добыванию информации, специально охраняемой от несанкционированной ее утечки или похищения, а также по созданию для себя благоприятных условий в целях получения максимальной выгоды;

действия криминальных и хулиганствующих элементов -- хищение информации или компьютерных программ в целях наживы или их разрушение в интересах конкурентов;

злоумышленные действия недобросовестных сотрудников -- хищение (копирование) или уничтожение информационных массивов и (или) программ по эгоистическим или корыстным мотивам.

Источниками угроз являются люди, технические устройства, программы и алгоритмы, технологические схемы обработки данных и внешняя среда:

люди -- персонал, пользователи и посторонние лица, которые могут взаимодействовать с ресурсами и данными организации непосредственно с рабочих мест и удаленно, используя сетевое взаимодействие;

технические средства -- непосредственно связанные с обработкой, хранением и передачей информации (например, средства регистрации данных, средства ввода и т.д.), и вспомогательные (например, средства электропитания, кондиционирования и т.д.);

модели, алгоритмы и программы -- эту группу источников рассматривают как недостатки проектирования, реализации и конфигурации (эксплуатации) и называют недостатками программного обеспечения (общего назначения, прикладного и вспомогательного);

технологическая схема обработки данных -- выделяют ручные, интерактивные, внутримашинные и сетевые технологические схемы обработки;

внешняя среда -- выделяют состояние среды (возможность пожаров, землетрясений и т.п.), побочные шумы (особенно опасные при передаче данных) и побочные сигналы (например, электромагнитное излучение аппаратуры).

Основными причинами утечки информации являются:

несоблюдение персоналом норм, требований, правил эксплуатации;

ошибки в проектировании системы и систем защиты;

ведение противостоящей стороной технической и агентурной разведок.

Несоблюдение персоналом норм, требований, правил эксплуатации может быть как умышленным, так и непреднамеренным. От ведения противостоящей стороной агентурной разведки этот случай отличает то, что в данном случае лицом, совершающим несанкционированные действия, двигают личные побудительные мотивы. Причины утечки информации достаточно тесно связаны с видами утечки информации. В соответствии с ГОСТ Р 50922--96 рассматриваются три вида утечки формации:

разглашение;

несанкционированный доступ к информации;

получение защищаемой информации разведками (как отечественными, так и иностранными).

Под разглашением информации понимается несанкционированное доведение защищаемой информации до потребителей, не имеющих права доступа к защищаемой информации.

Под несанкционированным доступом понимается получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации. При этом заинтересованным субъектом, осуществляющим несанкционированный доступ к информации, может быть государство, юридическое лицо, группа физических лиц (в том числе общественная организация), отдельное физическое лицо.

Получение защищаемой информации разведками может осуществляться с помощью технических средств (техническая разведка) или агентурными методами (агентурная разведка).

Канал утечки информации -- совокупность источника информации, материального носителя или среды распространения несущего указанную информацию сигнала и средства выделения информации из сигнала или носителя. Одним из основных свойств канала является месторасположение средства выделения информации из сигнала или носителя, которое может располагаться в пределах контролируемой зоны, охватывающей систему, или вне ее.

Далее будем рассматривать только угрозы, связанные с межсетевым взаимодействием.

1.3 Выявление и анализ основных видов сетевых атак на данную систему

Рассмотрим угрозы при сетевом взаимодействии. Общепринято выделять следующие основные угрозы:

угрозы целостности;

угрозы конфиденциальности;

угрозы доступности.

Эти обобщенные виды угроз не дают представления о конкретной угрозе. Поэтому, исходя из общей схемы межсетевого взаимодействия, для случая удаленных атак можно выделить два основных типа угроз.

Угрозы, вызываемые участниками информационного обмена:

отказ от получения данных после их получения;

отказ от передачи данных после их передачи;

отказ от достигнутого соглашения.

Угрозы, вызываемые третьей стороной (атакующим):

вставка данных в обмен;

отказ в обслуживании.

Среди угроз для сети организации и ее систем можно выделить старые и новые угрозы.

Старые угрозы реализуются атаками, базирующимися на использовании хорошо известных уязвимостей и скриптов атак (эксплойтов). Такие угрозы исходят от недостаточно компетентных хакеров (называемыхscript kiddies) или совершенно некомпетентных (называемых newbies). Эти категории нарушителей используют готовые скрипты атак и могут совершенно не понимать действительных механизмов применяемых (используемых) эксплойтов, а также их возможных побочных действий. Но это не уменьшает их опасность для организаций, так как реализация старых незащищенных угроз может нанести значительный ущерб, если организация не примет соответствующих мер.

Новые угрозы являются более серьезными и потенциально опасными для организации. Эти угрозы характеризуются направленными попытками нанести ущерб, получить информацию, нарушить операции функционирования и т.д. Реализуют новые угрозы обычно квалифицированные взломщики, обладающие детальными знаниями механизмов сетевого взаимодействия и логики функционирования приложений. Для получения необходимой информации нарушители используют специально разработанные средства и скрипты (которые потом могут использовать более слабые категории нарушителей для проведения своих атак). Как правило, новые угрозы используют неизвестные или только что обнаруженные уязвимости.

Все множество угроз можно разделить на внешние и внутренние. Внешними угрозами являются те, которые исходят извне. Внутренние угрозы инициируются субъектом, имеющим доступ к инфраструктуре организации. Классическим примером внутренней угрозы является случай, когда обиженный увольнением сотрудник наносит ущерб информации организации.

Каждый год открываются новые уязвимости, но знания, необходимые для проведения атаки, уменьшаются, чему в значительной мере способствует сеть Интернет.

Новые и старые внешние угрозы реализуются посредством сетевых атак или удаленных сетевых атак. Под удаленной сетевой атакой будем понимать воздействие на программные компоненты целевой системы с помощью программных средств. Таким образом, атака является попыткой получить данные или осуществить проникновение. Обычно выделяют три основных типа атак:

атаки разведки (проб, сбора информации);

атаки получения доступа;

атаки отказа в обслуживании.

Эти типы атак не всегда используются отдельно и обычно применяются в сочетании для достижения атакующим своих целей.

Атаки разведки используются для сбора информации о целевой сети или системе. Такие атаки кажутся безобидными для целевой системы и могут рассматриваться сетевыми администраторами как «сетевой шум» или надоедливое поведение. Но информация, собранная на этапе разведки, используется для проведения атаки. Средства проведения разведки могут быть как обычными, входящими в состав операционной системы (ОС), так и специально разработанными. Поскольку точные знания о целевой системе и ее уязвимостях могут обеспечить успешность атаки, атаки разведки должны рассматриваться как серьезная угроза.

Атаками получения доступа являются такие атаки, которые включают неавторизованное использование целевого хоста или группы хостов. Средство, с помощью которого атакующий получает доступ к инфраструктуре, обычно зависит от используемой уязвимости, которая присутствует в ОС, в приложении или в защитном механизме. Часто эти уязвимости открываются атакующим при проведении разведки. Атаки получения доступа могут осуществляться вручную или с использованием автоматизированных или даже автоматических средств.

Атаки получения доступа можно разбить на три вида неавторизованной деятельности:

извлечение данных (чтение, копирование, перемещение);

доступ к системе (нарушитель получает реальный доступ к системе с различным уровнем привилегий);

расширение привилегий (необходимо атакующему, как для полного управления системой, так и для скрытия своего взлома).

Третьим типом атак являются атаки отказа в обслуживании, когда атакующий пытается препятствовать доступу легальных пользователей к системе или службе. Часто эти атаки реализуются переполнением ресурсов инфраструктуры запросами (легитимными или поддельными) на доступ к службе. Такие атаки могут быть направлены как на отдельный хост, так и на сеть в целом.

Одной из серьезных проблем в области компьютерной безопасности является отсутствие единой терминологии. Данная проблема усугубляется следующими обстоятельствами:

многообразием используемых терминов, которые уже существуют в языке;

преобладанием переводных книг, в которых переводчики используют неоднозначные термины (исключением из этого правила является блестящий перевод книги «Новый словарь хакера», в котором, к сожалению, не содержатся термины, вошедшие в компьютерный обиход за последние годы);

некорректным использованием производителями и продавцами средств защиты терминов, которые должны убедить покупателя приобретать именно их продукт;

отсутствием стандартизованных списков терминов и устоявшейся терминологии.

Любая сетевая атака направлена на программное средство атакуемого хоста. В качестве атакуемого программного средства может выступать сетевой стек операционной системы, другой системный код, прикладная программа, т.е. элемент прикладного или системного программного обеспечения. Атака, как правило, возможна из-за наличия ошибок и просчетов при разработке, реализации, настройке или использовании данного программного средства.

Рассмотрим основные элементы терминологии сетевых атак.

Ошибка -- погрешность в программном коде данного программного средства. Возможны ошибки, которые не проявились или еще не были использованы злоумышленниками.

Просчет -- недостаток программного средства, который определяется как его программным кодом, так и недостатком самого проекта или способом применения средства.

Ошибки и просчеты представляют собой уязвимости.

Уязвимость -- это недостаток программного средства, которым может воспользоваться злоумышленник.

Злоумышленник для известной ему уязвимости разрабатывает или использует готовые (разработанные другими) шаблоны атак. Экземпляр шаблона атаки, созданный для компрометации конкретного фрагмента кода программного средства, является программой атаки, или эксплойтом.

При проведении атаки злоумышленник использует сценарий атаки, который предусматривает использование различных шаблонов в зависимости от поведения (реакции) атакуемой системы. Таким образом, атака -- это процесс реализации некоторого сценария атаки. В ходе атаки злоумышленник получает данные (реакции атакуемой системы), которые свидетельствуют об успехе (неудаче) применения данного шаблона или служат основанием для применения определенного шаблона атаки. Описание каждой атаки может быть основано на используемых ею уязвимостях атакуемой системы.

Успешная атака называется вторжением. При осуществлении вторжения злоумышленник достигает своей основной цели -- получает доступ к системе, приобретает возможность исполнения своего программного кода или вызывает прекращение (ограничение) выполнения функций атакованной системы. Дальнейшие цели или этапы действий злоумышленника могут включать в себя расширение полученных привилегий, внедрение своего программного кода, принятие мер по маскировке своего присутствия и факта вторжения и т.д.

Обобщенный сценарий атаки

Статистика нарушений безопасности показывает, что количество атак имеет тенденцию к экспоненциальному росту. Сама сеть Интернет является благодатной почвой для вторжений в компьютерные системы. Объединение компьютеров в сети позволяет пользователям совместно использовать данные, программы и вычислительные ресурсы. Кроме того, громадное число эксплойтов доступно в Интернете. Поэтому даже пользователи с минимальными познаниями могут осуществить успешный взлом. Это связано с тем, что значительная часть пользователей Интернета не уделяет достаточного внимания проблемам обеспечения безопасности. При обнаружении уязвимости в программном продукте требуется время для ее устранения. Это время складывается из времени разработки корректирующей программы (заплатки, патча -- patch), установки этого патча на соответствующий сервер компании и выставления объявления о наличии патча. Это требует от пользователя или системного администратора постоянного просмотра соответствующих сайтов производителей программного обеспечения и программных продуктов. Далее требуется установка соответствующего патча на компьютер. При наличии в организации множества компьютерных систем, множества операционных систем и программных продуктов такие операции становятся достаточно дорогими и ресурсоемкими. Поэтому значительная часть пользователей и не подозревает о наличии уязвимостей, наличии соответствующих патчей и необходимости их установки. В таком случае злоумышленнику нужно только найти соответствующую компьютерную систему.

Рассмотрим обобщенный сценарий атаки, который можно представить в виде следующих шагов:

пассивная разведка;

активная разведка;

выбор (разработка) эксплойта;

взлом целевой системы;

загрузка «полезного груза» (которым, как правило, является вредоносная программа);

сокрытие следов взлома.

Конечно, данная последовательность может быть нарушена или могут быть исключены отдельные шаги данного сценария. Кратко рассмотрим эти этапы.

1.4 Формирование требований защиты

По итогам реализации системы защиты, должны выполняться следующие требования:

Требуется защита информационного обмена при прохождении через открытый Интернет.

Требуется защита информационного обмена внутри локальных сетей.

Требуется, чтобы виртуальная защищенная сеть была невидима для всех, кто в нее не входит.

Требуется, чтобы пользователи виртуальной защищенной сети не имели доступа к ресурсам открытого Интернета, за исключением ресурсов данной виртуальной защищенной сети.

Выводы

В 1 главе я рассмотрел незащищенную схему нескольких локальных сетей, связанных через Интернет, c Proxy-серверами. Затем, сформировал модель системы, которую требуется защитить. Так же были определены основные свойства системы. По итогам анализа угроз безопасности и возможных атак было выяснено, что данная система является абсолютно незащищенной и требуется разработать вариант защиты ее на основе выделенных угроз.

Был выделен основной сценарий сетевой атаки на данную систему:

пассивная разведка;

активная разведка;

выбор (разработка) эксплойта;

взлом целевой системы;

загрузка «полезного груза» (которым, как правило, является вредоносная программа);

сокрытие следов взлома.

Для построения защищённой сети, мною была выработана система требований к ней, которые должны выполняться.

В следующей главе будет подробно рассмотрено, какие меры необходимо предпринять для противодействия выделенным сетевым атакам.

Глава 2. Анализ технологии vpn и её построения

2.1 Понятие и классификация VPN сетей, их построение

VPN (англ. Virtual Private Network - виртуальная частная сеть) - логическая сеть, создаваемая поверх другой сети, например Internet. Несмотря на то, что коммуникации осуществляются по публичным сетям с использованием небезопасных протоколов, за счёт шифрования создаются закрытые от посторонних каналы обмена информацией. VPN позволяет объединить, например, несколько офисов организации в единую сеть с использованием для связи между ними неподконтрольных каналов.

По своей сути VPN обладает многими свойствами выделенной линии, однако развертывается она в пределах общедоступной сети, например Интернета. С помощью методики туннелирования пакеты данных транслируются через общедоступную сеть как по обычному двухточечному соединению. Между каждой парой «отправитель-получатель данных» устанавливается своеобразный туннель - безопасное логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого. Основными компонентами туннеля являются:

инициатор

маршрутизируемая сеть;

туннельный коммутатор;

один или несколько туннельных терминаторов.

Сам по себе принцип работы VPN не противоречит основным сетевым технологиям и протоколам. Например, при установлении соединения удаленного доступа клиент посылает серверу поток пакетов стандартного протокола PPP. В случае организации виртуальных выделенных линий между локальными сетями их маршрутизаторы также обмениваются пакетами PPP. Тем не менее, принципиально новым моментом является пересылка пакетов через безопасный туннель, организованный в пределах общедоступной сети.

Туннелирование позволяет организовать передачу пакетов одного протокола в логической среде, использующей другой протокол. В результате появляется возможность решить проблемы взаимодействия нескольких разнотипных сетей, начиная с необходимости обеспечения целостности и конфиденциальности передаваемых данных и заканчивая преодолением несоответствий внешних протоколов или схем адресации.

Существующая сетевая инфраструктура корпорации может быть подготовлена к использованию VPN как с помощью программного, так и с помощью аппаратного обеспечения. Организацию виртуальной частной сети можно сравнить с прокладкой кабеля через глобальную сеть. Как правило, непосредственное соединение между удаленным пользователем и оконечным устройством туннеля устанавливается по протоколу PPP.

Наиболее распространенный метод создания туннелей VPN - инкапсуляция сетевых протоколов (IP, IPX, AppleTalk и т.д.) в PPP и последующая инкапсуляция образованных пакетов в протокол туннелирования. Обычно в качестве последнего выступает IP или (гораздо реже) ATM и Frame Relay. Такой подход называется туннелированием второго уровня, поскольку «пассажиром» здесь является протокол именно второго уровня.

Альтернативный подход - инкапсуляция пакетов сетевого протокола непосредственно в протокол туннелирования (например, VTP) называется туннелированием третьего уровня.

Независимо от того, какие протоколы используются или какие цели преследуются при организации туннеля, основная методика остается практически неизменной. Обычно один протокол используется для установления соединения с удаленным узлом, а другой - для инкапсуляции данных и служебной информации с целью передачи через туннель.

2.2 Классификация VPN сетей

Классифицировать VPN решения можно по нескольким основным параметрам:

1. По типу используемой среды:

Защищённые VPN сети. Наиболее распространённый вариант приватных частных сетей. C его помощью возможно создать надежную и защищенную подсеть на основе ненадёжной сети, как правило, Интернета. Примером защищённых VPN являются: IPSec, OpenVPN и PPTP.

Доверительные VPN сети. Используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Вопросы обеспечения безопасности становятся неактуальными. Примерами подобных VPN решении являются: MPLS и L2TP. Корректнее сказать, что эти протоколы перекладывают задачу обеспечения безопасности на другие, например L2TP, как правило, используется в паре с IPSec.

2. По способу реализации:

VPN сети в виде специального программно-аппаратного обеспечения. Реализация VPN сети осуществляется при помощи специального комплекса программно-аппаратных средств. Такая реализация обеспечивает высокую производительность и, как правило, высокую степень защищённости.

VPN сети в виде программного решения. Используют персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN.

VPN сети с интегрированным решением. Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.

3. По назначению:

Intranet VPN. Используют для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи.

Remote Access VPN. Используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера или, находясь в командировке, подключается к корпоративным ресурсам при помощи ноутбука.

Extranet VPN. Используют для сетей, к которым подключаются «внешние» пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации.

4. По типу протокола:

Существуют реализации виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN решений поддерживает именно его.

5. По уровню сетевого протокола:

По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI.

2.3 Построение VPN

Существуют различные варианты построения VPN. При выборе решения требуется учитывать факторы производительности средств построения VPN. Например, если маршрутизатор и так работает на пределе мощности своего процессора, то добавление туннелей VPN и применение шифрования / дешифрования информации могут остановить работу всей сети из-за того, что этот маршрутизатор не будет справляться с простым трафиком, не говоря уже о VPN. Опыт показывает, что для построения VPN лучше всего использовать специализированное оборудование, однако если имеется ограничение в средствах, то можно обратить внимание на чисто программное решение. Рассмотрим некоторые варианты построения VPN.

VPN на базе брандмауэров

Брандмауэры большинства производителей поддерживают туннелирование и шифрование данных. Все подобные продукты основаны на том, что трафик, проходящий через брандмауэр, шифруется. К программному обеспечению собственно брандмауэра добавляется модуль шифрования. Недостатком этого метода можно назвать зависимость производительности от аппаратного обеспечения, на котором работает брандмауэр. При использовании брандмауэров на базе ПК надо помнить, что подобное решение можно применять только для небольших сетей с небольшим объемом передаваемой информации.

В качестве примера VPN на базе брандмауэров можно назвать FireWall-1 компании Check Point Software Technologies. FairWall-1 использует для построения VPN стандартный подход на базе IPSec. Трафик, приходящий в брандмауэр, дешифруется, после чего к нему применяются стандартные правила управления доступом. FireWall-1 работает под управлением операционных систем Solaris и Windows NT 4.0.

VPN на базе маршрутизаторов

Другим способом построения VPN является применение для создания защищенных каналов маршрутизаторов. Так как вся информация, исходящая из локальной сети, проходит через маршрутизатор, то целесообразно возложить на этот маршрутизатор и задачи шифрования.

Примером оборудования для построения VPN на маршрутизаторах является оборудование компании Cisco Systems. Начиная с версии программного обеспечения IOS 11.3, маршрутизаторы Cisco поддерживают протоколы L2TP и IPSec. Помимо простого шифрования проходящей информации Cisco поддерживает и другие функции VPN, такие как идентификация при установлении туннельного соединения и обмен ключами.

Для повышения производительности маршрутизатора может быть использован дополнительный модуль шифрования ESA. Кроме того, компания Cisco System выпустила специализированное устройство для VPN, которое так и называется Cisco 1720 VPN Access Router (маршрутизатор доступа к VPN), предназначенное для установки в компаниях малого и среднего размера, а также в отделениях крупных организаций.

VPN на базе программного обеспечения

Следующим подходом к построению VPN являются чисто программные решения. При реализации такого решения используется специализированное программное обеспечение, которое работает на выделенном компьютере, и в большинстве случаев выполняет роль proxy-сервера. Компьютер с таким программным обеспечением может быть расположен за брандмауэром.

В качестве примера такого решения можно выступает программное обеспечение AltaVista Tunnel компании Digital. При использовании данного программного обеспечения клиент подключается к серверу Tunnel, аутентифицируется на нем и обменивается ключами. Шифрация производится на базе 56 или 128 битных ключей, полученных в процессе установления соединения. Далее, зашифрованные пакеты инкапсулируются в другие IP-пакеты, которые в свою очередь отправляются на сервер. Кроме того, данное программное обеспечение каждые 30 минут генерирует новые ключи, что значительно повышает защищенность соединения.

Положительными качествами AltaVista Tunnel являются простота установки и удобство управления. Минусами данной системы можно считать нестандартную архитектуру (собственный алгоритм обмена ключами) и низкую производительность.

VPN на базе сетевой ОС

Решения на базе сетевой ОС мы рассмотрим на примере системы Windows NT компании Microsoft. Для создания VPN Microsoft использует протокол PPTP, который интегрирован в систему Windows NT. Данное решение очень привлекательно для организаций использующих Windows в качестве корпоративной операционной системы. Необходимо отметить, что стоимость такого решения значительно ниже стоимости прочих решений. В работе VPN на базе Windows NT используется база пользователей NT, хранящаяся на Primary Domain Controller (PDC). При подключении к PPTP-серверу пользователь аутентифицируется по протоколам PAP, CHAP или MS-CHAP. Передаваемые пакеты инкапсулируются в пакеты GRE/PPTP. Для шифрования пакетов используется нестандартный протокол от Microsoft Point-to-Point Encryption c 40 или 128 битным ключом, получаемым в момент установки соединения. Недостатками данной системы являются отсутствие проверки целостности данных и невозможность смены ключей во время соединения. Положительными моментами являются легкость интеграции с Windows и низкая стоимость.

VPN на базе аппаратных средств

Вариант построения VPN на специальных устройствах может быть использован в сетях, требующих высокой производительности. Примером такого решения служит продукт c IPro-VPN компании Radguard. Данный продукт использует аппаратное шифрование передаваемой информации, способное пропускать поток в 100 Мбит/с. IPro-VPN поддерживает протокол IPSec и механизм управления ключами ISAKMP/Oakley. Помимо прочего, данное устройство поддерживает средства трансляции сетевых адресов и может быть дополнено специальной платой, добавляющей функции брандмауэра

2.4 Методы реализации VPN сетей

Виртуальная частная сеть базируется на трех методах реализации:

Туннелирование;

Шифрование;

Аутентификация.

Туннелирование обеспечивает передачу данных между двумя точками - окончаниями туннеля - таким образом, что для источника и приемника данных оказывается скрытой вся сетевая инфраструктура, лежащая между ними.

Транспортная среда туннеля, как паром, подхватывает пакеты используемого сетевого протокола у входа в туннель и без изменений доставляет их к выходу. Построения туннеля достаточно для того, чтобы соединить два сетевых узла так, что с точки зрения работающего на них программного обеспечения они выглядят подключенными к одной (локальной) сети. Однако нельзя забывать, что на самом деле «паром» с данными проходит через множество промежуточных узлов (маршрутизаторов) открытой публичной сети.

Такое положение дел таит в себе две проблемы. Первая заключается в том, что передаваемая через туннель информация может быть перехвачена злоумышленниками. Если она конфиденциальна (номера банковских карточек, финансовые отчеты, сведения личного характера), то вполне реальна угроза ее компрометации, что уже само по себе неприятно. Хуже того, злоумышленники имеют возможность модифицировать передаваемые через туннель данные так, что получатель не сможет проверить их достоверность. Последствия могут быть самыми плачевными. Учитывая сказанное, мы приходим к выводу, что туннель в чистом виде пригоден разве что для некоторых типов сетевых компьютерных игр и не может претендовать на более серьезное применение. Обе проблемы решаются современными средствами криптографической защиты информации. Чтобы воспрепятствовать внесению несанкционированных изменений в пакет с данными на пути его следования по туннелю, используется метод электронной цифровой подписи (ЭЦП). Суть метода состоит в том, что каждый передаваемый пакет снабжается дополнительным блоком информации, который вырабатывается в соответствии с асимметричным криптографическим алгоритмом и уникален для содержимого пакета и секретного ключа ЭЦП отправителя. Этот блок информации является ЭЦП пакета и позволяет выполнить аутентификацию данных получателем, которому известен открытый ключ ЭЦП отправителя. Защита передаваемых через туннель данных от несанкционированного просмотра достигается путем использования сильных алгоритмов шифрования.

Обеспечение безопасности является основной функцией VPN. Все данные от компьютеров-клиентов проходят через Internet к VPN-серверу. Такой сервер может находиться на большом расстоянии от клиентского компьютера, и данные на пути к сети организации проходят через оборудование множества провайдеров. Как убедиться, что данные не были прочитаны или изменены? Для этого применяются различные методы аутентификации и шифрования.

Для аутентификации пользователей PPTP может задействовать любой из протоколов, применяемых для PPP

EAP или Extensible Authentication Protocol;

MSCHAP или Microsoft Challenge Handshake Authentication Protocol (версии 1 и 2);

CHAP или Challenge Handshake Authentication Protocol;

SPAP или Shiva Password Authentication Protocol;

PAP или Password Authentication Protocol.

Лучшими считаются протоколы MSCHAP версии 2 и Transport Layer Security (EAP-TLS), поскольку они обеспечивают взаимную аутентификацию, т.е. VPN-сервер и клиент идентифицируют друг друга. Во всех остальных протоколах только сервер проводит аутентификацию клиентов.

Хотя PPTP обеспечивает достаточную степень безопасности, но все же L2TP поверх IPSec надежнее. L2TP поверх IPSec обеспечивает аутентификацию на уровнях «пользователь» и «компьютер», а также выполняет аутентификацию и шифрование данных.

Аутентификация осуществляется либо отрытым тестом (clear text password), либо по схеме запрос/отклик (challenge/response). С прямым текстом все ясно. Клиент посылает серверу пароль. Сервер сравнивает это с эталоном и либо запрещает доступ, либо говорит «добро пожаловать». Открытая аутентификация практически не встречается.

Схема запрос/отклик намного более продвинута. В общем виде она выглядит так:

клиент посылает серверу запрос (request) на аутентификацию;

сервер возвращает случайный отклик (challenge);

клиент снимает со своего пароля хеш (хешем называется результат хеш-функции, которая преобразовывает входной массив данных произвольной длины в выходную битовую строку фиксированной длины), шифрует им отклик и передает его серверу;

то же самое проделывает и сервер, сравнивая полученный результат с ответом клиента;

если зашифрованный отклик совпадает, аутентификация считается успешной;

На первом этапе аутентификации клиентов и серверов VPN, L2TP поверх IPSec использует локальные сертификаты, полученные от службы сертификации. Клиент и сервер обмениваются сертификатами и создают защищенное соединение ESP SA (security association). После того как L2TP (поверх IPSec) завершает процесс аутентификации компьютера, выполняется аутентификация на уровне пользователя. Для аутентификации можно задействовать любой протокол, даже PAP, передающий имя пользователя и пароль в открытом виде. Это вполне безопасно, так как L2TP поверх IPSec шифрует всю сессию. Однако проведение аутентификации пользователя при помощи MSCHAP, применяющего различные ключи шифрования для аутентификации компьютера и пользователя, может усилить защиту.

Шифрование с помощью PPTP гарантирует, что никто не сможет получить доступ к данным при пересылке через Internet. В настоящее время поддерживаются два метода шифрования:

Протокол шифрования MPPE или Microsoft Point-to-Point Encryption совместим только с MSCHAP (версии 1 и 2);

EAP-TLS и умеет автоматически выбирать длину ключа шифрования при согласовании параметров между клиентом и сервером.

MPPE поддерживает работу с ключами длиной 40, 56 или 128 бит. Старые операционные системы Windows поддерживают шифрование с длиной ключа только 40 бит, поэтому в смешанной среде Windows следует выбирать минимальную длину ключа.

PPTP изменяет значение ключа шифрации после каждого принятого пакета. Протокол MMPE разрабатывался для каналов связи точка-точка, в которых пакеты передаются последовательно, и потеря данных очень мала. В этой ситуации значение ключа для очередного пакета зависит от результатов дешифрации предыдущего пакета. При построении виртуальных сетей через сети общего доступа эти условия соблюдать невозможно, так как пакеты данных часто приходят к получателю не в той последовательности, в какой были отправлены. Поэтому PPTP использует для изменения ключа шифрования порядковые номера пакетов. Это позволяет выполнять дешифрацию независимо от предыдущих принятых пакетов.

Оба протокола реализованы как в Microsoft Windows, так и вне ее (например, в BSD), на алгоритмы работы VPN могут существенно отличаться. В NT (и производных от нее системах).

Таким образом, связка «туннелирование + аутентификация + шифрование» позволяет передавать данные между двумя точками через сеть общего пользования, моделируя работу частной (локальной) сети. Иными словами, рассмотренные средства позволяют построить виртуальную частную сеть.

Дополнительным приятным эффектом VPN-соединения является возможность (и даже необходимость) использования системы адресации, принятой в локальной сети.

Реализация виртуальной частной сети на практике выглядит следующим образом. В локальной вычислительной сети офиса фирмы устанавливается сервер VPN. Удаленный пользователь (или маршрутизатор, если осуществляется соединение двух офисов) с использованием клиентского программного обеспечения VPN инициирует процедуру соединения с сервером. Происходит аутентификация пользователя - первая фаза установления VPN-соединения. В случае подтверждения полномочий наступает вторая фаза - между клиентом и сервером выполняется согласование деталей обеспечения безопасности соединения. После этого организуется VPN-соединение, обеспечивающее обмен информацией между клиентом и сервером в форме, когда каждый пакет с данными проходит через процедуры шифрования / дешифрования и проверки целостности - аутентификации данных.

Основной проблемой сетей VPN является отсутствие устоявшихся стандартов аутентификации и обмена шифрованной информацией. Эти стандарты все еще находятся в процессе разработки и потому продукты различных производителей не могут устанавливать VPN-соединения и автоматически обмениваться ключами. Данная проблема влечет за собой замедление распространения VPN, так как трудно заставить различные компании пользоваться продукцией одного производителя, а потому затруднен процесс объединения сетей компаний-партнеров в, так называемые, extranet-сети.

сеть безопасность фильтр координатор сервер

Выводы

В качестве технологии защиты сети выбрана технология VPN

Путем исследования существующих программных средств реализации технологии VPN был выбран программный комплекс ViPNet фирмы «InfoTeCS».

Путем анализа состава и функциональных возможностей комплекса ViPNet были выявлены необходимые функции для системы защиты нашей сети. Теперь необходимо перейти непосредственно к реализации системы защиты.

Глава 3. Разработка и формирование защищённой сети

Схема защиты, обеспечивающая выполнение сформулированных требований:

Рис 2.1 Схема защиты, обеспечивающая выполнение сформулированных требований

Комментарии к схеме:

ПО ViPNet [Администратор] устанавливается на один из компьютеров (администратор безопасности) распределенной сети (обычно в центральном офисе).

ПО ViPNet [Координатор] устанавливается на шлюзы локальных сетей (PROXY-серверы). IP-адреса таких компьютеров должны быть статическими реальными адресами Интернет. ПО выполняет следующие функции:

является сервером IP-адресов, то есть является справочным бюро, которое сообщает объектам VPN о текущем состоянии других объектов VPN (включены или выключены) и их IP-адресах;

является сервером для рассылки обновлений (ПО, справочная и ключевая информация);

является сервером-маршрутизатором для рассылки почтовых сообщений (если используется программа «Деловая Почта») и файлов, посылаемых по «файловому обмену» между объектами VPN;

является Межсетевым Экраном, который запрещает несанкционированный доступ в ЛВС из Интернета;

выполняет подмену IP-адресов для зашифрованных IP-пакетов.

ПО ViPNet [Клиент] устанавливается на все остальные компьютеры всех локальных сетей и на компьютеры мобильных пользователей.

Использование Proxy-сервера:

Прокси очень безопасны, так как они предлагают широкий выбор решений проблем безопасности:

Запись информации;

Интерфейсы;

Аутентификация;

Инвертированный прокси;

Запись информации.

Прокси - серверы позволяют протоколировать все, что происходит в вашей системе: подключения, отключения, успешную и неудачную проверку логина, а также ошибки.

Интерфейсы.

Прокси-серверы позволяют выбрать, с каким интерфейсом работать. У компьютера может быть больше одной сетевой карты. Прокси серверы дают возможность выбрать для каждого сервиса отдельно, с какой сетью работать и данными какой из сетей пользоваться.

Чтобы настроить прокси, который обслуживает Интернет, интерфейсу достаточно быть локальным. Локальный интерфейс дает прокси указание получать запросы только от внутренней сети.

Аутенфикация.

Прокси-сервер поддерживает несколько видов аутентификации:

Проверка подлинности имени пользователя/пароля, которая является частью протокола (SOCKS5);

Допустимое имя пользователя, которое проверяется на соответствие имени/IP компьютера;

Аутенфикация клиента, для которой компьютер компьютер запускает отдельного клиента, который совпадает со специальным прокси, чтобы пройти аутенфикацию на нем.

Инвертированный прокси.

Можно настроить прокси так, чтобы разрешить подключения из Интернета (в этом случае интерфейсом будет Интернет, а не локальная сеть) и направлять их к особому серверу, такому как веб-сервер или SMTP/POP3 сервер. Таким образом, если хакеры будут считать прокси-сервер компьютером, им может удаться остановить сервис, но у них не получится удалить или испортить данные.