Организация защищенного канала между несколькими локальными сетями через Интернет

Методы защиты автоматизированных систем. Анализ сетевых уровней на предмет организации виртуальных частных сетей. Варианты построения виртуальных защищенных каналов. Безопасность периметра сети и обнаружение вторжений. Управление безопасностью сети.

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык русский
Дата добавления 22.06.2011
Размер файла 817,8 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Министерство образования и науки Российской федерации

Северо-Кавказский Государственный Технический Университет

Кафедра защиты информации

ПОЯСНИТЕЛЬНАЯ ЗАПИСКА

к курсовой работе по дисциплине

«Технология построения защищенных автоматизированных систем»

На тему: Организация защищенного канала между несколькими локальными сетями через Интернет

Автор проекта (работы) Бабкин В. Ю

Специальность 090105

Комплексное обеспечение информационной

шифр, наименование безопасности автоматизированных систем

Обозначение курсовой работы

КР-СевКавГТУ-090105-ДС-071042-02 группа БАС - 071

Руководитель работы В. И. Граков

Ставрополь, 2011

Введение

Администраторы ЛВС все чаще сталкиваются с проблемами защиты информации. Особенно важно это становится в сетях, в которых приходится работать с информацией, требующей дополнительной защиты. Это сети государственных учреждений, предприятий, связанных с выпуском определенной продукции, иных организаций, которым раскрытие внутренней информации может принести серьезный экономический ущерб. Тем более важное значение приобретает проблема в тех случаях, когда локальные сети должны быть доступны из сети Интернет, когда к ним должны подключаться мобильные пользователи или сотрудники удаленных подразделений либо когда пользователи локальной сети должны иметь доступ к сети Интернет.

Решение предполагается осуществить на базе комплекса программных и программно-аппаратных средств защиты информации производства ОАО «Инфотекс». Данные решения позволяют строить надежные и высокозащищенные каналы передачи персональных данных в рамках локальных сетей и сети Интернет (VРN), и решать широкий спектр вопросов защиты информации, включая развертывание инфраструктуры открытых ключей (PKI) в корпоративных и государственных распределенных системах обработки персональных данных любого уровня сложности.

В основе концепции построения виртуальных сетей VРN лежит достаточно простая идея: если в сети Интернет имеются два узла, которым нужно обменяться информацией, то между этими двумя узлами необходимо построить виртуальный защищенный канал для обеспечения конфиденциальности и целостности информации, передаваемой через открытые сети; доступ к этому виртуальному каналу должен быть чрезвычайно затруднен всем возможным активным и пассивным внешним наблюдателям.

Преимущества, получаемые компанией от создания таких виртуальных каналов, заключаются прежде всего в значительной экономии финансовых средств, поскольку в этом случае компания может отказаться от построения или аренды дорогих выделенных каналов связи для создания собственных intranet/экстранет сетей и использовать для этого дешевые Интернет-каналы, надежность и скорость передачи которых в большинстве своем уже не уступает выделенным линиям. Очевидная экономическая эффективность от внедрения VРN-технологий стимулирует предприятия к активному их внедрению.

Глава 1. Анализ методов защиты автоматизированных систем

1.1 Основные понятия и функции сети VРN

При подключении корпоративной локальной сети к открытой сети возникают угрозы безопасности двух основных типов:

несанкционированный доступ к внутренним ресурсам корпоративной локальной сети, получаемый злоумышленником в результате несанкционированного входа в эту сеть;

несанкционированный доступ к корпоративным данным в процессе их передачи по открытой сети.

Обеспечение безопасности информационного взаимодействия локальных сетей и отдельных компьютеров через открытые сети, в частности через сеть Интернет, возможно путем эффективного решения следующих задач:

защита подключенных к открытым каналам связи локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды;

защита информации в процессе ее передачи по открытым каналам связи.

Для защиты локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды обычно используют межсетевой экран, поддерживающие безопасность информационного взаимодействия путем фильтрации двустороннего потока сообщений, а также выполнения функций посредничества при обмене информацией. Межсетевой экран располагают на стыке между локальной и открытой сетью. Для защиты отдельного удаленного компьютера, подключенного к открытой сети, на этом компьютере устанавливают ПО сетевого экрана, и такой сетевой экран называется персональным.

Защита информации в процессе ее передачи по открытым каналам основана на использовании виртуальных защищенных сетей VРN. Виртуальной защищенной сетью VРN (Virtual Private Network) называют объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность циркулирующих данных. Виртуальная защищенная сеть VРN определяется путем построения виртуальных защищенных каналов связи, создаваемых на базе открытых каналов связи общедоступной сети. Эти виртуальные защищенные каналы связи называются тyннелями VРN. Сеть VРN позволяет с помощью тyннелей VРN соединить главный офис, офисы филиалов, офисы бизнес-партнеров и удаленных пользователей и безопасно передавать информацию через Интернет (рис 10.1).

Тyннель VРN представляет собой соединение, проведенное через открытую сеть, по которому передаются криптографически защищенные пакеты сообщений виртуальной сети. Защита информации в процессе ее передачи по тyннелю VРN основана:

* на аутентификации взаимодействующих сторон;

* криптографическом закрытии (шифровании) передаваемых данных;

* проверке подлинности и целостности доставляемой информации.

Для этих функций характерна взаимосвязь друг с другом. При их реализации используются криптографические методы защиты информации. Эффективность такой защиты обеспечивается за счет совместного использования симметричных и асимметричных криптографических систем. ТyннельVРN, формируемый устройствами VРN, обладает свойствами защищенной выделенной линии, которая развертывается в рамках общедоступной сети, например Интернета. Устройства VРN могут играть в виртуальных частных сетях роль VРN-клиента, VРN-сервера или шлюза безопасности VРN.

VРN-клиент представляет собой программный или программно-аппаратный комплекс, выполняемый обычно на базе персонального компьютера. Его сетевое ПО модифицируется для выполнения шифрования и аутентификации трафика, которым это устройство обменивается с другими VРN-клиентами, VРN-серверами или шлюзами безопасности VРN. Обычно реализация VРN-клиента представляет собой программное решение, дополняющее стандартную ОС -- Windows NT/2000/XP или Unix.

VРN-сервер представляет собой программный или программно-аппаратный комплекс, устанавливаемый на компьютере, выполняющем функции сервера. VРN-сервер обеспечивает защиту серверов от НСД из внешних сетей, а также организацию защищенных соединений (ассоциаций) с отдельными компьютерами и с компьютерами из сегментов локальных сетей, защищенных соответствующими VРN-продуктами. VРN-сервер является функциональным аналогом продукта VРN-клиент для серверных платформ. Он отличается прежде всего расширенными ресурсами для поддержания множественных соединений с VРN-клиентами. VРN-сервер может поддерживать защищенные соединения с мобильными пользователями.

Шлюз безопасности VРN (security gateway) -- это сетевое устройство, подключаемое к двум сетям и выполняющее функции шифрования и аутентификации для многочисленных хостов, расположенных за ним. Размещен шлюз безопасности VРN так, чтобы через него проходил весь трафик, предназначенный для внутренней корпоративной сети. Сетевое соединение шлюза VРN сквозное для пользователей позади шлюза, и представляется им выделенной линией, хотя на самом деле прокладывается через открытую сеть с коммутацией пакетов. Адрес шлюза безопасности VРN указывается как внешний адрес входящего тyннелируемого пакета, а внутренний адрес пакета является адресом конкретного хоста позади шлюза. Шлюз безопасности VРN может быть реализован в виде отдельного программного решения, отдельного аппаратного устройства, а также в виде маршрутизатора или межсетевой экран, дополненных функциями VРN.

Открытая внешняя среда передачи информации включает как каналы скоростной передачи данных, в качестве которой используется сеть Интернет, так и более медленные общедоступные каналы связи, в качестве которых обычно применяются каналы телефонной сети. Эффективность виртуальной частной сети VРN определяется степенью защищенности информации, циркулирующей по открытым каналам связи. Для безопасной передачи данных через открытые сети широко используют инкапсуляцию и тyннелирование. С помощью методики тyннелирования пакеты данных передаются через общедоступную сеть, как по обычному двухточечному соединению. Между каждой парой «получатель данных - отправитель» устанавливается своеобразный тyннель - логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого.

Суть тyннелирования состоит в том, чтобы инкапсулировать, т. е. «запечатать», передаваемую порцию данных, вместе со служебными полями, в новый «конверт». При этом пакет протокола более низкого уровня помещается в поле данных пакета протокола более высокого или такого же уровня. Следует отметить, что тyннелирование само по себе не защищает данные от НСД или искажения, но благодаря тyннелированию появляется возможность полной криптографической защиты инкапсулируемых исходных пакетов. Чтобы обеспечить конфиденциальность передаваемых данных, отправитель шифрует исходные пакеты, упаковывает их во внешний пакет с новым IP-заголовком и отправляет по транзитной сети (рис. 10.2).

Особенность технологии тyннелирования в том, что она позволяет зашифровывать исходный пакет целиком, вместе с заголовком, а не только его поле данных. Это важно, поскольку некоторые поля заголовка содержат информацию, которая может быть использована злоумышленником. В частности, из заголовка исходного пакета можно извлечь сведения о внутренней структуре сети -- данные о количестве подсетей и узлов и их IP-адресах. Злоумышленник может использовать такую информацию при организации атак на корпоративную сеть. Исходный пакет с зашифрованным заголовком не может быть использован для организации транспортировки по сети. Поэтому для защиты исходного пакета применяют его инкапсуляцию и тyннелирование. Исходный пакет зашифровывают полностью, вместе с заголовком, и затем этот зашифрованный пакет помещают в другой внешний пакет с открытым заголовком. Для транспортировки данных по открытой сети используются открытые поля заголовка внешнего пакета.

По прибытии в конечную точку защищенного канала из внешнего пакета извлекают внутренний исходный пакет, расшифровывают его и используют его восстановленный заголовок для дальнейшей передачи по внутренней сети (рис. 10.3).

Тyннелирование может быть использовано для защиты не только конфиденциальности содержимого пакета, но и его целостности и аутентичности, при этом электронную цифровую подпись можно распространить на все поля пакета.

В дополнение к сокрытию сетевой структуры между двумя точками, тyннелирование может также предотвратить возможный конфликт адресов между двумя локальными сетями. При создании локальной сети, не связанной с сетью Интернет, компания может использовать любые IP-адреса для своих сетевых устройств и компьютеров. При объединении ранее изолированных сетей эти адреса могут начать конфликтовать друг с другом и с адресами, которые уже используются в сети Интернет. Инкапсуляция пакетов решает эту проблему, поскольку позволяет скрыть первоначальные адреса и добавить новые, уникальные в пространстве IP-адресов сети Интернет, которые затем используются для пересылки данных по разделяемым сетям. Сюда же входит задача настройки IP-адреса и других параметров для мобильных пользователей, подключающихся к локальной сети.

Механизм тyннелирования широко применяется в различных протоколах формирования защищенного канала. Обычно тyннель создается только на участке открытой сети, где существует угроза нарушения конфиденциальности и целостности данных, например между точкой входа в открытый Интернет и точкой входа в корпоративную сеть. При этом для внешних пакетов используются адреса пограничных маршрутизаторов, установленных в этих двух точках, а внутренние адреса конечных узлов содержатся во внутренних исходных пакетах в защищенном виде. Следует отметить, что сам механизм тyннелирования не зависит от того, с какой целью применяется тyннелирование. VРN может применяться не только для обеспечения конфиденциальности и целостности всей передаваемой порции данных, но и для организации перехода между сетями с разными протоколами (например, IPv4 и IPv6). Тyннелирование позволяет организовать передачу пакетов одного протокола в логической среде, использующей другой протокол. В результате появляется возможность решить проблемы взаимодействия нескольких разнотипных сетей, начиная с необходимости обеспечения целостности и конфиденциальности передаваемых данных и заканчивая преодолением несоответствий внешних протоколов или схем адресации.

Реализацию механизма тyннелирования можно представить как результат работы протоколов трех типов: протокола-«пассажира», несущего протокола и протокола тyннелирования. В качестве протокола-«пассажира» может быть использован транспортный протокол IPX, переносящий данные в локальных сетях филиалов одного предприятия. Наиболее распространенным вариантом несущего протокола является протокол IP сети Интернет. В качестве протоколов тyннелирования могут быть использованы протоколы канального уровня РРТР и L2TP, а также протокол сетевого уровня IPSec. Благодаря тyннелированию становится возможным сокрытие инфраструктуры сети Интернет от VРN-приложений.

Тyннели VРN могут создаваться для различных типов конечных пользователей -- либо это локальная сеть LAN со шлюзом безопасности, либо отдельные компьютеры удаленных и мобильных пользователей. Для создания виртуальной частной сети крупного предприятия нужныVРN-шлюзы, VРN-серверы и VРN-клиенты. VРN-шлюзы целесообразно использовать для защиты локальных сетей предприятия, VРN-серверы и VРN-клиенты используют для организации защищенных соединений удаленных и мобильных пользователей с корпоративной сетью через Интернет.

1.2 Варианты построения виртуальных защищенных каналов

Безопасность информационного обмена необходимо обеспечивать как в случае объединения локальных сетей, так и в случае доступа к локальным сетям удаленных или мобильных пользователей. При проектировании VРN обычно рассматриваются две основные схемы:

1) виртуальный защищенный канал между локальными сетями (канал ЛВС--ЛВС);

2) виртуальный защищенный канал между узлом и локальной сетью (канал клиент--ЛВС) (рис. 10.4).

Схема 1 соединения позволяет заменить дорогостоящие выделенные линии между отдельными офисами и создать постоянно доступные защищенные каналы между ними. В этом случае шлюз безопасности служит интерфейсом между тyннелем и локальной сетью, при этом пользователи локальных сетей используют тyннель для общения друг с другом. Многие компании используют данный вид VРN в качестве замены или дополнения к имеющимся соединениям сети Интернет, таким как frame relay (ретрансляция кадров).

Схема 2 защищенного канала VРN предназначена для установления соединений с удаленными или мобильными пользователями. Создание тyннеля инициирует клиент (удаленный пользователь). Для связи со шлюзом, защищающим удаленную сеть, он запускает на своем компьютере специальное клиентское ПО.

Этот тип VРN заменяет собой коммутируемые соединения и может использоваться наряду с традиционными методами удаленного доступа.

Существуют варианты схем виртуальных защищенных каналов. В принципе любой из двух узлов виртуальной корпоративной сети, между которыми формируется виртуальный защищенный канал, может принадлежать конечной или промежуточной точке защищаемого потока сообщений.

С точки зрения обеспечения информационной безопасности лучшим является вариант, при котором конечные точки защищенного тyннеля совпадают с конечными точками защищаемого потока сообщений. В этом случае обеспечивается защищенность канала вдоль всего пути следования пакетов сообщений. Однако такой вариант ведет к децентрализации управления и избыточности ресурсных затрат. В этом случае необходима установка средств создания VРN на каждом клиентском компьютере локальной сети. Это усложняет централизованное управление доступом к компьютерным ресурсам и не всегда оправдано экономически. Отдельное администрирование каждого клиентского компьютера с целью конфигурирования в нем средств защиты является достаточно трудоемкой процедурой в большой сети.

Если внутри локальной сети, входящей в виртуальную сеть, не требуется защита трафика, тогда в качестве конечной точки защищенного тyннеля можно выбрать межсетевой экран или пограничный маршрутизатор этой локальной сети. Если же поток сообщений внутри локальной сети должен быть защищен, тогда в качестве конечной точки тyннеля в этой сети должен выступать компьютер, который участвует в защищенном взаимодействии. При доступе к локальной сети удаленного пользователя компьютер этого пользователя должен быть конечной точкой виртуального защищенного канала.

Достаточно распространенным является вариант, когда защищенный тyннель прокладывается только внутри открытой сети с коммутацией пакетов, например внутри Интернета. Этот вариант отличается удобством применения, но обладает сравнительно низкой безопасностью. В качестве конечных точек такого тyннеля обычно выступают провайдеры Интернета или пограничные маршрутизаторы (межсетевые экраны) локальной сети.

При объединении локальных сетей тyннель формируется только между пограничными провайдерами Интернета, или маршрутизаторами (межсетевыми экранами) локальной сети. При удаленном доступе к локальной сети тyннель создается между сервером удаленного доступа провайдера Интернета, а также пограничным провайдером Интернета или маршрутизатором (межсетевым экраном) локальной сети. Построенные по данному варианту виртуальные корпоративные сети обладают хорошей масштабируемостью и управляемостью. Сформированные защищенные тyннели полностью прозрачны для клиентских компьютеров и серверов локальной сети, входящей в такую виртуальную сеть. ПО этих узлов остается без изменений. Однако данный вариант характеризуется сравнительно низкой безопасностью информационного взаимодействия, поскольку частично трафик проходит по открытым каналам связи в незащищенном виде. Если создание и эксплуатацию такой VРN берет на себя провайдер ISP, тогда вся виртуальная частная сеть может быть построена на его шлюзах прозрачно для локальных сетей и удаленных пользователей предприятия. Но в этом случае возникают проблемы доверия к провайдеру и постоянной оплаты его услуг.

Защищенный тyннель создается компонентами виртуальной сети, функционирующими на узлах, между которыми формируется тyннель. Эти компоненты принято называть инициатором тyннеля и терминатором тyннеля.

Инициатор тyннеля инкапсулирует исходный пакет в новый пакет, содержащий новый заголовок с информацией об отправителе и получателе. Инкапсулируемые пакеты могут принадлежать к протоколу любого типа, включая пакеты протоколов не использующихся в интернете. Все передаваемые по тyннелю пакеты являются пакетами IP. Маршрут между инициатором и терминатором тyннеля определяет обычная маршрутизируемая сеть IP, которая может быть сетью, отличной от Интернета.

Инициировать и разрывать тyннель могут различные сетевые устройства и ПО. Например, тyннель может быть инициирован ноутбуком мобильного пользователя, оборудованным модемом и соответствующим ПО для установления соединений удаленного доступа. В качестве инициатора может выступить также маршрутизатор локальной сети, наделенный соответствующими функциональными возможностями. Тyннель обычно завершается коммутатором сети или шлюзом провайдера услуг.

Терминатор тyннеля выполняет процесс, обратный инкапсуляции. Терминатор удаляет новые заголовки и направляет каждый исходный пакет адресату в локальной сети.

Конфиденциальность инкапсулируемых пакетов обеспечивается путем их шифрования, а целостность и подлинность -- путем формирования электронной цифровой подписи. Существует множество методов и алгоритмов криптографической защиты данных, поэтому необходимо, чтобы инициатор и терминатор тyннеля своевременно согласовали друг с другом и использовали одни и те же методы и алгоритмы защиты. Для обеспечения возможности расшифровывания данных и проверки цифровой подписи при приеме инициатор и терминатор тyннеля должны также поддерживать функции безопасного обмена ключами. Кроме того, конечные стороны информационного взаимодействия должны пройти аутентификацию, чтобы гарантировать создание тyннелей VРN только между уполномоченными пользователями.

Существующая сетевая инфраструктура корпорации может быть подготовлена к использованию VРN как с помощью программного, так и с помощью аппаратного обеспечения.

1.3 Средства обеспечения безопасности VРN

При построении защищенной виртуальной сети VРN первостепенное значение имеет задача обеспечения информационной безопасности. Согласно общепринятому определению, под безопасностью данных понимают их конфиденциальность, целостность и доступность. Применительно к задачам VРN критерии безопасности данных могут быть определены следующим образом:

* конфиденциальность -- гарантия того, что в процессе передачи данных по защищенным каналам VРN эти данные могут быть известны только легальным отправителю и получателю;

* целостность -- гарантия сохранности передаваемых данных во время прохождения по защищенному каналу VРN. Любые попытки изменения, модификации, разрушения или создания новых данных будут обнаружены и станут известны легальным пользователям;

* доступность -- гарантия того, что средства, выполняющие функции VРN, постоянно доступны легальным пользователям. Доступность средств VРN является комплексным показателем, который зависит от надежности реализации, качества обслуживания и степени защищенности самого средства от внешних атак.

Конфиденциальность обеспечивается с помощью различных методов и алгоритмов симметричного и асимметричного шифрования. Целостность передаваемых данных обычно достигается с помощью различных вариантов технологии электронной подписи, основанных на асимметричных методах шифрования и односторонних функциях.

Аутентификация осуществляется на основе многоразовых и одноразовых паролей, цифровых сертификатов, смарт-карт, протоколов строгой аутентификации, обеспечивает установление VРN-соединения только между легальными пользователями и предотвращает доступ к средствам VРN нежелательных лиц.

Авторизация подразумевает предоставление абонентам, доказавшим свою легальность (аутентичность), разных типов обслуживания, в частности разных способов шифрования их трафика. Авторизация и управление доступом часто реализуются одними и теми же средствами.

Для обеспечения безопасности передаваемых данных в виртуальных защищенных сетях должны быть решены следующие основные задачи сетевой безопасности:

* взаимная аутентификация абонентов при установлении соединения;

* обеспечение конфиденциальности, целостности и аутентичности передаваемой информации;

* авторизация и управление доступом;

* безопасность периметра сети и обнаружение вторжений;

* управление безопасностью сети.

1.3.1 Аутентификация абонентов

Процедура аутентификации (установление подлинности) разрешает вход для легальных пользователей и предотвращает доступ к сети нежелательных лиц.

Обеспечение конфиденциальности, целостности и аутентичности информации. Задача обеспечения конфиденциальности информации заключается в защите передаваемых данных от несанкционированного чтения и копирования. Основным средством обеспечения конфиденциальности информации является шифрование.

1.3.2 Авторизация и управление доступом

Ключевым компонентом безопасности VРN является гарантия того, что доступ к компьютерным ресурсам получают авторизованные пользователи, в то время как для неавторизованных пользователей сеть полностью закрыта.

При построении программных средств авторизации применяются:

* централизованная схема авторизации;

* децентрализованная схема авторизации.

Основное назначение централизованной системы авторизации -- реализовать принцип единого входа. Управление процессом предоставления ресурсов пользователю осуществляется сервером. Централизованный подход к процессу авторизации реализован в системах Kerberos, RADIUS и TACACS.

В последнее время активно развивается так называемое ролевое управление доступом. Оно решает не столько проблемы безопасности, сколько улучшает управляемость систем. Суть ролевого управления доступом заключается в том, что между пользователями и их привилегиями помещают промежуточные сущности -- роли. Для каждого пользователя одновременно могут быть активными несколько ролей, каждая из которых дает ему вполне определенные права.

Поскольку ролей много меньше, чем пользователей и привилегий, использование ролей способствует понижению сложности и, следовательно, улучшению управляемости системы. Кроме того, на основании ролевой модели управления доступом можно реализовать такой важный принцип, как разделение обязанностей (например, невозможность в одиночку скомпрометировать критически важный процесс).

1.3.3 Безопасность периметра сети и обнаружение вторжений

Жесткий контроль доступа к приложениям, сервисам и ресурсам защищаемой сети является важной функцией правильно построенной сети. Использование таких средств безопасности, как межсетевой экран, системы обнаружения вторжений, системы аудита безопасности, антивирусные комплексы обеспечивает системную защиту перемещаемых по сети данных.

Важной частью общего решения безопасности сети являются межсетевой экран, которые контролируют трафик, пересекающий периметр защищаемой сети и накладывают ограничения на пропуск трафика в соответствии с политикой безопасности организации.

Дополнительным элементом гарантии безопасности периметра сети является система обнаружение вторжений IDS (Intrusion Detection System), работающая в реальном времени и предназначенная для обнаружения, фиксации и прекращения неавторизованной сетевой активности как от внешних, так и от внутренних источников.

Системы анализа защищенности сканируют корпоративную сеть с целью выявления потенциальных уязвимостей безопасности, давая возможность менеджерам сети лучше защитить сеть от атак.

1.3.4 Управление безопасностью сети

Сети VРN интегрируют как сами сетевые устройства, так и многочисленные сервисы управления безопасностью и пропускной способностью. Компаниям необходимо целостное управление этими устройствами и сервисами через инфраструктуру VРN, включая пользователей удаленного доступа и средств экстранет. В связи с этим управление средствами VРN становится одной из важнейших задач обеспечения эффективного функционирования VРN. Система управления корпоративной сетью должна включать необходимый набор средств для управления политиками безопасности, устройствами и сервисами VРN любого масштаба.

Система управления безопасностью сети является краеугольным камнем семейства продуктов, обеспечивающих сквозную безопасность VРN. Для обеспечения высокого уровня безопасности и управляемости VРN, и в частности системы распределения криптографических ключей и сертификатов, необходимо обеспечить централизованное скоординированное управление безопасностью всей защищаемой корпоративной сети.

Ниже я рассмотрю некоторые продукты для организации взаимодействия между локальными сетями по VРN (Таблицу 1).

Таблица 1

Категория продукта

Достоинства

Недостатки

Программное обеспечение VРN для брандмауэров

Общее администрирование VРN. Если VРN должны завершаться вне брандмауэра, то канал между окончанием тyннеля и брандмауэром может стать уязвимым звеном в системе защиты. При повышении производительности серверных продуктов аппаратное обеспечение потребуется модернизировать.

Операции, связанные с шифрованием данных, могут чрезмерно загружать ЦП и снижать производительность брандмауэра. В случае интегрированных продукта VРN и брандмауэра оба они могут оказаться не лучшими в своем классе.

VРN на базе маршрутизатора или коммутатора

Интегральные сети VРN могут не потребовать дополнительных расходов на приобретение. Упрощение администрирования VРN.

Функционирование VРN может отрицательно повлиять на другой трафик.

VРN на базе автономного программного обеспечения

Завершение VРN нередко представляет собой сложную задачу. При повышении производительности серверных продуктов аппаратное обеспечение может потребоваться модернизировать. Старые аппаратные средства могут послужить для решения новых задач.

Администрирование VРN может потребовать отдельного приложения, возможно, даже выделенного каталога.

VРN на базе аппаратных средств

Многофункциональные устройства облегчают конфигурацию и обслуживание в удаленных офисах. Одно функциональные устройства допускают тонкую настройку для достижения наивысшей производительности.

В многофункциональных блоках производительность одного приложения повышается зачастую в ущерб другому. Одно функциональные устройства могут требовать отдельных инструментов администрирования и каталогов. Модернизация для повышения производительности нередко оказывается слишком дорогостоящей или невозможной.

Анализ сетевых уровней на предмет организации виртуальных частных сетей:

Канальный уровень. По мнению специалистов, протоколы создания защищенных виртуальных каналов на канальном уровне лучше всего подходят для защиты информационного взаимодействия при удаленном доступе к локальной сети. Учитывая, что в состав операционных систем Windows NT включена реализация протокола PPTP, этот протокол для организации защищенного удаленного доступа получил наиболее широкое распространение. В ближайшее время ожидается переориентация средств удаленного доступа на более совершенный протокол L2TP (Windows 2000).

Сетевой уровень. Безусловным лидером является протокол IPSec, входящий в состав новой версии Интернет-протокола - IPv6. Протокол IPSec может использоваться совместно с протоколом L2TP. Эти два протокола обеспечивают наиболее высокий уровень гибкости при защите виртуальных каналов. Дело в том, что спецификация IPSec ориентирована на протокол IP и, таким образом, бесполезна для трафика любых других протоколов сетевого уровня. Протокол L2TP отличается независимостью от транспортного уровня, что может быть полезно в гетерогенных сетях, состоящих из IP-, IPX- и AppleTalk-сегментов. IPSec стремительно завоевывает популярность и станет, вероятно, доминирующим стандартом по созданию и поддержке защищенных виртуальных сетей.

Для управления криптографическими ключами на сетевом уровне модели OSI наиболее широкое распространение получили такие протоколы, как SKIP (Simple Key management for Internet Protocols) и ISAKMP (Internet Security Association and Key Management Protocol). SKIP проще в реализации, но он не поддерживает переговоров по поводу алгоритмов шифрования. Если получатель, использующий SKIP, не в состоянии расшифровать пакет, он уже не сможет согласовать метод шифрования с противоположной стороной. Протокол ISAKMP (вернее, его более поздняя реализация протокол IKE - Internet Key Exchange) поддерживает такие переговоры и выбран в качестве обязательного протокола для управления ключами в IPSec для IPv6. В текущей четвертой версии протокола IP (в протоколе IPv4) может применяться как протокол ISAKMP, так и протокол SKIP.

Сеансовый уровень. Для шифрования информации на сеансовом уровне наибольшую популярность получил протокол SSL/TLS (Secure Sockets Layer/Transport Layer Security), разработанный компанией Netscape Communications.

С целью стандартизации процедуры взаимодействия клиентсерверных приложений TCP/IP через сервер-посредник (брандмауэр) комитет IETF утвердил протокол под названием SOCKS, и в настоящее время пятая версия данного протокола (SOCKS 5) применяется для стандартизованной реализации посредников каналов. SOCKS поддерживает приложения, требующие контроля над направлениями информационных потоков и настройки условий доступа в зависимости от атрибутов пользователя и информации.

В отличие от виртуальных сетей, защищенных на сеансовом уровне модели OSI, виртуальные сети, защищенные на канальном или сетевом уровне, обычно просто открывают или закрывают канал для всего трафика по аутентифицированному тyннелю. Это может представлять проблему, если локальная сеть на другом конце тyннеля является неблагонадежной. Кроме того, созданные тyннели канального и сетевого уровня функционируют одинаково в обоих направлениях, а виртуальные сети, защищенные на сеансовом уровне, допускают независимое управление передачей в каждом направлении.

Виртуальные сети с посредником канала типа IPSec ориентированы на протокол IP. Если IPSec, по существу, разграничивает защищенные виртуальные каналы между разными парами взаимодействующих сторон, то протокол SOCKS 5 обеспечивает создание защищенных тyннелей для каждого приложения и сеанса в отдельности. Аналогично протоколу IPSec и протоколам тyннелирования канального уровня, виртуальные сети сеансового уровня можно использовать с другими типами виртуальных частных сетей, поскольку данные технологии не являются взаимоисключающими.

Прикладной уровень. Следует отметить, что имеются протоколы для реализации защищенного взаимодействия и на прикладном уровне модели OSI. Эти протоколы, как правило, являются дополнениями к различным протоколам прикладного уровня. Например, протокол Secure HTTP (SHTTP) является дополнением по функциям защиты к протоколу передачи гипертекста HTTP, а протокол Secure MIME (S/MIME) - дополнением по защитным функциям к протоколу электронной почты MIME. Прикладные протоколы защиты информационного взаимодействия не относят к протоколам построения защищенных виртуальных сетей, так как они полностью зависят от используемых сервисов и приложений. Протоколы формирования защищенных виртуальных каналов прозрачны для прикладных протоколов защиты. Соответственно, применение приложений, реализующих, например, SHTTP или S/MIME наряду с криптографической защитой на более низком уровне, нисколько не уменьшает, а только увеличивает уровень безопасности.

безопасность сеть виртуальный частный

Глава 2. Разработка схемы защищенной сети

2.1 Требования безопасности

Организация защищенного канала между несколькими

локальными сетями через Интернет.

Тyннель на многокарточных Координаторах

Схема незащищенной автоматизированной системы

Информация об исходной схеме сети

· Адреса в локальных сетях частные.

· На входах в локальные сети стоят компьютеры PROXY с реальными адресами.

· Возможности по количеству локальных сетей не ограничены.

Требуемая защита

· Требуется защита информационного обмена при прохождении через открытый Интернет.

· Требуется, чтобы защищенный тyннель был прозрачен для пользователей, которые работают с ресурсами удаленных ЛВС.

· Требуется, чтобы пользователи локальной сети не имели доступа к ресурсам открытого Интернета, за исключением ресурсов других локальных сетей, определенных администратором, с которыми организуется защищенное взаимодействие.

2.2 Формирование защищенной сети

Предлагаемое решение: Установка программного обеспечения VipNet:

1) ПО ViPNet [Администратор] устанавливается на один из компьютеров (администратор безопасности) распределенной сети.

2) ПО ViPNet [Координатор] устанавливается на шлюзы локальных сетей (PROXY-серверы). IP-адреса таких компьютеров должны быть статическими.

Функции ПО ViPNet [Администратор]:

· Создает топологию (логическую конфигурацию) VРN-сети и генерирует ключевую информацию для объектов VРN-сети, задает названия объектам VРN-сети и разрешает или запрещает связи между ними.

· Модифицирует (добавление или удаление объектов) VРN-сети с последующей рассылкой обновленной справочной и ключевой информации тем объектам VРN-сети, которых коснулось конкретное изменение.

· Централизованное обновление установленного ПО (ViPNet [Клиент] и ViPNet [Координатор]) в случае выхода новой версии.

Функции ПО ViPNet [Координатор]:

· тyннелирует открытый информационный обмен между компьютерами удаленных ЛВС в защищенное соединение от ViPNet [Координатора] данной ЛВС до ViPNet [Координатора] удаленной ЛВС;

· тyннелирует открытый информационный обмен между компьютерами своей ЛВС в защищенное соединение от ViPNet [Координатора] данной ЛВС до защищенного мобильного пользователя с ПО ViPNet [Клиент];

· разграничивает доступ удаленных тyннелируемых компьютеров и защищенных мобильных пользователей к ресурсам «своей» ЛВС (компьютеры удаленной ЛВС и защищенные мобильные пользователи смогут получить доступ не к каждому компьютеру данной ЛВС);

· разграничивает доступ «своих» тyннелируемых компьютеров к ресурсам удаленной ЛВС и защищенных мобильных пользователей (не каждый компьютер данной ЛВС сможет получить доступ к компьютерам удаленной ЛВС и защищенным мобильным пользователям);

· является сервером IP-адресов, то есть является справочным бюро, которое сообщает защищенным мобильным пользователям о текущем состоянии других объектов VРN (включены или выключены) и их IP-адресах;

· является сервером для рассылки обновлений (ПО, справочная и ключевая информация);

· является сервером-маршрутизатором для рассылки почтовых сообщений (если используется программа «Деловая Почта») и файлов, посылаемых по «файловому обмену» между объектами VРN;

· является Межсетевым Экраном, который запрещает несанкционированный доступ в ЛВС из Интернета.

Схема защищенной сети

После установки соответствующего ПО на компьютер администратора, управляющий сетью формирует ключевую и адресную информацию для пользователей в защищенной сети. Сформированные дистрибутивы устанавливаются пользователями на своих рабочих местах. Так как в задании не требуется защиты информации внутри каждой ЛВС, установка ПО VipNet [Клиент] не была произведена. Для установки ViPNet [Координатор] необходимо иметь: Соответствующий инсталляционный комплект, находящийся на данном компакт-диске. Адресную информацию для Координатора, предоставляемую Центром Управления Сетью. Ключевую информацию для Координатора, предоставляемую Ключевым Центром. Ключевую информацию для пользователя, предоставляемую Ключевым Центром. Парольную информацию, предоставляемую Ключевым Центром.

Заключение

Технологии построения виртуальных частных сетей прочно вошли в арсенал практически любой современной компании или государственного учреждения. Взаимодействие распределённых территориальных офисов, сдача отчетности в контролирующие органы, клиент-банковские технологии, мобильные офисы, удаленный доступ к корпоративным ресурсам и многие другие сферы деятельности требуют использования технологий VРN.
Современные средства построения VРN, помимо организации собственно виртуальной сети, также позволяют выполнить требования защиты данных при сетевом обмене.

Программные и программно-аппаратные комплексы, разработанные компанией «ИнфоТеКС», предоставляют возможность построения сетей VРN практически любой конфигурации и использования средств VРN, удовлетворяющих требованиям самых разных потребителей -- от малого бизнеса до государственных организаций.

Список использованной литературы

1) Зепченков С.В., Милославкая Н.Г., Толстой А.И. Основы построения виртуальных частных сетей: Учеб. Пособие для вузов. М.: Горячая линия - Телеком, 2003, - 249 с.

2) Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов - М: Горячая линия - Телеком, 2004 - 280 с. Ил.

3) ViPNet Администратор: Руководство администратора

4) ViPNet Координатор: Руководство администратора

5) http://www.infotecs.ru/solutions/VРN/

6) http://hostinfo.ru/articles/501/

7) Олифeр В. Г., Олифeр Н. А. Компьютерные сети. Принципы, технологии, протоколы: учебник для вузов [Текст] / В. Г. Олифeр, Н. А. Олифeр. - СПб.: Питер, 2010. - 944 с.: ил.

8) Платонов В.В. - Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей: учеб. пособие для студ. высш. учебн. заведений [Текст] / В. В. Платонов. - М.: Издательский центр «Академия», 2006. - 240 с.

Размещено на Allbest.ru


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.