Надежные и высокозащищенные каналы передачи персональных данных в рамках локальных сетей и сети Интернет (VPN)

Размещено на http://www.allbest.ru/

Введение

Администраторы локальных сетей все чаще сталкиваются с проблемами защиты информации. Особенно важно это становится в сетях, в которых приходится работать с информацией, требующей дополнительной защиты. Это сети государственных учреждений, предприятий, связанных с выпуском определенной продукции, иных организаций, которым раскрытие внутренней информации может принести серьезный экономический ущерб. Тем более важное значение приобретает проблема в тех случаях, когда локальные сети должны быть доступны из Глобальной сети, когда к ним должны подключаться мобильные пользователи или сотрудники удаленных подразделений либо когда пользователи локальной сети должны иметь доступ к Глобальной сети.

Решение предполагается осуществить на базе комплекса программных и программно-аппаратных средств защиты информации производства ОАО «Инфотекс». Данные решения позволяют строить надежные и высокозащищенные каналы передачи персональных данных в рамках локальных сетей и сети Интернет (VPN), и решать широкий спектр вопросов защиты информации, включая развертывание инфраструктуры открытых ключей (PKI) в корпоративных и государственных распределенных системах обработки персональных данных любого уровня сложности.

Ядром комплекса является набор программного обеспечения ViPNet Administrator, выполняющий функции центра управления защищенной сетью, центра выработки ключей шифрования и удостоверяющего центра. Для решения задач сетевого экранирования и шифрования каналов передачи персональных данных между локальными сетями в ViPNet CUSTOM используется сервер ViPNet Coordinator, который может поставляться как в виде программного обеспечения для ОС Windows и Linux, так и в виде программно-аппаратных комплексов.

Для защиты рабочих станции и мобильных компьютеров в составе ViPNet CUSTOM предназначено ПО ViPNet Client, выполняющее функции персонального сетевого экрана и пункта абонентского шифрования. ПО ViPNet Client поддерживает режим шифрования «точка-точка», что позволяет его использовать на компьютерах локальной сети для обеспечения разграничения доступа к информации без необходимости физического сегментирования локальной.

В состав ViPNet CUSTOM также входит ряд дополнительных компонентов, позволяющих разворачивать инфраструктуру открытых ключей и создавать на ее основе системы юридически значимого электронного документооборота: ViPNet CryptoService (содержит Microsoft Windows и Office совместимый криптопро-вайдер), ViPNet Registration Point (пункт регистрации абонентов сети - для построения разветвленной сети центров регистрации), ViPNet Publication Service (сервис публикации сертификатов в сетевых хранилищах, поддержка Active Directory).

ПО ViPNet Administrator совместно с ПО ViPNet CryptoService составляют пакет программ, объединенных общим названием - средство криптографической защиты (СКЗИ) «Домен-К». Компания ИнфоТеКС выпускает несколько версий СКЗИ «Домен-К», отвечающих разным уровням требований к СКЗИ.

Глава 1. Организация защищённого канала между несколькими локальными сетями через Internet и мобильными пользователями. Туннель на однокарточных координаторах

Схема незащищённой автоматизированной системы

Информация об исходной схеме сети

· Адреса в локальных сетях частные.

· На входах в локальные сети стоят компьютеры PROXY с реальными адресами.

· Локальных сетей может быть сколько угодно.

· К открытому Интернету подключается произвольное количество мобильных пользователей.

Требуемая защита

· Требуется защита информационного обмена при прохождении через открытый Интернет.

· Требуется, чтобы защищенный туннель был прозрачен для пользователей, которые работают с ресурсами удаленных ЛВС.

· Требуется, чтобы пользователи локальной сети не имели доступа к ресурсам открытого Интернета, за исключением ресурсов других локальных сетей, определенных администратором, с которыми организуется защищенное взаимодействие и, возможно, ресурсов мобильных пользователей.

· Требуется организовать защищенный доступ мобильных пользователей к туннелируемым ресурсам ЛВС.

Требуется исключить необходимость установки ПО ViPNet [Координатор] на шлюзы ЛВС.

Схема защиты, обеспечивающая выполнение сформулированных требований

Комментарии к схеме:

ПО ViPNet [Администратор] устанавливается на один из компьютеров (администратор безопасности) распределенной сети (обычно в центральном офисе).

ПО ViPNet [Координатор] устанавливается на один из компьютеров в каждой из объединяемых ЛВС (выбранный для этого компьютер не должен быть шлюзом ЛВС). IP-адреса таких компьютеров должны быть статическими. В составе этой схемы ViPNet [Координатор] выполняет такие же функции кроме функции Межсетевого экрана. Эти функции должны быть реализованы программным обеспечением шлюза (PROXY-сервера).

ПО ViPNet [Клиент] устанавливается на компьютеры всех мобильных пользователей.

Глава 2. Технология VipNet

2.1 Основные характеристики

Продукты «Инфотекс» имеются как в аппаратно-программной так и только в программной реализации. К примеру, аналогичные продукты большинства конкурентов имеются только в аппаратно-программной реализации. Отсутствие акцента на конкретную аппаратную основу позволяет быстро восстановить работоспособность системы на базе продуктов «Инфотекс» в случае сбоев. Любой из модулей системы быстро и просто переносится на любой персональный компьютер.

В ViPNet CUSTOM, продукте компании «Инфотекс» присутствует возможность построения защищенного VPN-канала между двумя пользователями. В других аналогичных продуктах такой возможности нет. Возможность построения VPN-каналов между двумя пользователями дает дополнительную защиту при передаче данных и позволяет организовать более качественное обслуживание населения отдаленных территорий за счет оперативного доступа ко всем ресурсам медицинских и социальных учреждений.

Вместе с ViPNet Client Mobile обычный КПК или ноутбук включается в защищенную сеть ViPNet и превращается в устройство удаленного защищенного доступа к ресурсам корпоративной сети - внутрикорпоративный WEB-портал, почтовые сервисы, доступ к базам данных и т.п. - вся информация будет зашифрована и передана по сетям сотовых операторов и Интернету в закрытом виде. ViPNet Client Mobile поддерживает работу через интерфейсы WiFi и GPRS/EDG.

В ViPNet CUSTOM компании «Инфотекс» реализован комплексный подход к задачам защиты данных. Так, в ViPNet CUSTOM уже реализованы:

· полноценный Удостоверяющий центр, который может работать как с внешними пользователями, так и с пользователями продуктов компании «Инфотекс».

· межсетевой экран (в различной конфигурации) - позволяет обеспечить в соответствии с заданной политикой безопасности фильтрацию трафика по множеству параметров (порты, протоколы, диапазоны адресов и др.) между сегментами защищенной и открытой сетей, а также и обеспечить защиту отдельного рабочего места;

· возможность работы одновременно по каналам связи различных типов, а также одновременно пользоваться услугами разных операторов связи, что позволит значительно повысить доступность ресурсов.

· система защищенной электронной почты (модуль «Деловая почта»), которая позволяет передавать сообщения по защищенным каналам связи, при этом дополнительно шифруя и подписывая их на ключах пользователя. Внедренный электронный документооборот полностью юридически значим, функционирует в рамках правовых норм Федерального закона «Об электронной цифровой подписи»;

· система гарантированной передачи файлов произвольных размеров по защищенным каналам связи

· ViPNet обеспечивает защиту информации в современных мультисервисных сетях связи, предоставляющих услуги IP-телефонии и аудио- и видеоконференцсвязи. Поддерживается приоритезация трафика и протоколы H.323, Skinny.

· ряд других возможностей (при необходимости готовы развернуть более наглядную презентацию о технических и коммерческих преимуществах).

· Система ViPNet CUSTOM очень гибкая. Добавление и удаление модулей занимает мало времени (порядка 10-30 минут в зависимости от размера сети) и не требует дополнительных настроек и переконфигурирования остальной части защищенной сети ViPNet. Переконфигурирование сети, что не маловажно, проходит прозрачно для пользователей и может выполняться централизовано. Неработоспособность части защищенной сети не оказывает влияния на остальную сеть, что позволяет достигнуть непрерывности работы.

· Система ViPNet CUSTOM реализована по модульному принципу. Приобретаются только те модули системы, которые необходимы для решения поставленной задачи. При появлении других задач система легко дооснащается дополнительными модулями. Такой подход позволяет значительно экономить финансовые средства как при приобретении, так и в случае масштабирования системы.

· Средства ЭЦП и шифрования ViPNet могут быть легко встроены в другие системы. Например, шифрование и подписание ЭЦП файлов при передаче с их помощью электронной почты, подписание ЭЦП электронных документов при их загрузке в базы данных или при формировании электронного архива. Эта же возможность раскрывает широкие перспективы при реализации различных задач в рамках межведомственного электронного документооборота.

Система ViPNet CUSTOM сертифицирована ФСБ и ФСТЭК и позволяет построить систему защиты ИСПД до первой категории включительно.

виртуальная сеть локальная интернет

2.2 Топология сети

Для формирования обобщенной схемы защищенного электронного взаимодействия приведем только список типовых схем построения VPN на базе программных продуктов ViPNet:

· Полная защита нескольких локальных сетей, связанных через Internet без Proxy-серверов.

· Полная защита нескольких локальных сетей, связанных через Internet без Proxy-серверов + мобильные пользователи.

· Организация защищенного канала между несколькими локальными сетями через Internet. Туннель на многокарточных Координаторах.

· Организация защищенного канала между несколькими локальными сетями через Internet. Туннель на однокарточных Координаторах.

· Организация защищенного канала между несколькими локальными сетями через Internet + мобильные пользователи. Туннель на многокарточных Координаторах.

· Организация защищенного канала между несколькими локальными сетями через Internet + мобильные пользователи. Туннель на однокарточных Координаторах.

· Полная защита нескольких локальных сетей, связанных через Internet c Proxy-серверами и Координаторами на них.

· Полная защита нескольких локальных сетей, связанных через Internet c Proxy-серверами и Координаторами внутри локальных сетей.

· Полная защита нескольких локальных сетей, связанных через Internet c Proxy-серверами и Координаторами на них + мобильные пользователи.

· Полная защита нескольких локальных сетей, связанных через Internet c Proxy-серверами и Координаторами внутри локальных сетей + мобильные пользователи.

Безопасный доступ из локальной сети в Интернет с использованием технологии «Открытый Интернет».

При более детальном уточнении исходных данных технического задания и анализе всех поставленных задач, возможна гибридная реализация комбинированной схемы, включающей компоненты из обеих схем, либо дополненной иными комплексными решениями (в том числе по защите от НСД, участия мобильных пользователей и пр.).

Данные схемы реализуются в двух решениях - ViPNet Office и ViPNet Custom. Они отличаются тем, что второе решение позволяет создавать произвольные сети неограниченного масштаба. Определимся с различиями, а потом рассмотрим принцип создания VPN. В качестве базовой программы в решении ViPNet Custom используется программа "Администратор", во втором решении - "Менеджер". ViPNet Manager - это облегченная версия программного обеспечения ViPNet "Администратор", позволяющая простым образом, на интуитивном уровне, задавать и изменять структуру защищенной сети ViPNet.

В первом решении имеется возможность работы с ЭЦП. При этом в качестве удостоверяющего центра выступает программа "Администратор", а в качестве регистрационного центра - "Центр регистрации". Соответственно, во втором варианте отсутствуют все возможности, связанные с использованием дополнительных криптографических модулей, компрометацией ключей и так далее. В качестве криптографического ядра в программном обеспечении решений ViPNet используется СКЗИ "Домен-К". Криптографическое ядро реализует следующие криптоалгоритмы: AES (256 бит), ГОСТ (256 бит), 3DES (168 бит) и DES (56 бит). Алгоритмом по умолчанию является ГОСТ (256 бит), остальные алгоритмы могут быть свободно выбраны самим пользователем. Длина ключа для асимметричной ключевой системы (открытый и секретный ключи) равна 1024 бит (ГОСТ Р 34.10-2001).

Программное обеспечение ViPNet Office устанавливается поверх существующей физической сети и не ухудшает ее показателей. Система защищает сеть от атак как извне, так и изнутри локальной сети. Ядром программного обеспечения ViPNet является так называемый ViPNet-драйвер, главными функциями которого являются фильтрация и шифрование/дешифрирование исходящих/входящих IP-пакетов. ViPNet-драйвер является сетевым драйвером и работает над вторым уровнем модели OSI, что позволяет вести обработку пакетов (дешифрирование, контроль целостности, фильтрацию и блокирование) до того, как они будут переданы на транспортный уровень. Модули ViPNet обрабатывают весь TCP/IP-трафик, осуществляя его шифрование и дешифрирование, контроль целостности и фильтрацию согласно установленной политике безопасности. В результате соединение любого компьютера с модулем ViPNet (находящегося как во внешней сети, так и во внутреннем защищенном сегменте) с другим ViPNet-компьютером является шифрованным соединением (туннелем) и поэтому изолированным от внешних сетевых соединений.

Дополнительно ViPNet-модуль обеспечивает расширенный набор средств безопасности, включая, но не ограничиваясь, фильтрацию нешифрованного и только что расшифрованного трафика согласно установленной политике безопасности. Технология ViPNet совместима с любыми технологиями доступа к сети - xDSL, ISDN, GPRS, UMTS, WiFi и т. д.

Процесс создания VPN выполняется за несколько этапов. Первой программой, которая должна быть установлена в сети, является "Менеджер". Она служит для конфигурирования сети ViPNet и создания справочно-ключевой информации (дистрибутивов ключей и паролей пользователей), требующейся для установки и работы узлов сети ViPNet. При первом запуске программы запускается мастер "Создание сети ViPNet". На этом этапе выполняются создание структуры сети, дистрибутивы ключей для всех пользователей и парольная информация. Следующий шаг - создание связей между узлами сети. Возможны три варианта:связать все сетевые узлы (все СУ будут связаны между собой); связать все абонентские пункты каждого координатора - абонентские пункты каждого координатора будут иметь связи только со своим координатором и другими абонентскими пунктами своего координатора, при этом все координаторы между собой будут иметь связи; связать каждый абонентский пункт со своим координатором - каждый абонентский пункт будет иметь связь только со своим координатором, при этом все координаторы будут иметь связи между собой.

Как структуру, так и связи можно редактировать после их создания, переносить абонентов от одного координатора к другому, при этом следует учитывать, что количество координаторов и абонентских пунктов не может превышать количества приобретенных лицензий. Компьютеры, на которых будет установлено программное обеспечение ViPNet ("Координатор", "Клиент"), становятся частью защищенной виртуальной сети, что означает, что информация, которой каждый компьютер обменивается с другими, становится недоступной для любых других компьютеров, не участвующих в данном соединении. А информация, расположенная на самом компьютере, недоступна с любого компьютера, не участвующего в VPN. Доступ с компьютеров, участвующих в VPN, определяется наличием соответствующих связей, ключей, настройкой фильтров и полностью контролируем.

После установки "Менеджера" и настройки структуры сети устанавливается ПО "Координатор". Как правило, компьютер с этой системой устанавливается на границах локальных сетей и их сегментов и обеспечивает: включение в VPN открытых и защищенных компьютеров, находящихся в этих локальных сетях или их сегментах, независимо от типа адреса, выделяемого им;

разделение и защиту сетей от сетевых атак и оповещение компьютера с ViPNet ("Клиент") о состоянии других сетевых узлов, связанных с ним.

Эта система также обеспечивает защитой компьютеры, на которых по тем или иным причинам невозможна установка клиентской части. Для таких компьютеров "Координатор" может создавать для защиты трафика защищенный туннель до аналогичного "Координатора" или до конечного компьютера.

"Координатор" в рамках VPN может нести различную нагрузку, выполнять разнообразные функции:

функцию сервера-маршрутизатора, обеспечивающую маршрутизацию почтовых конвертов и управляющих сообщений при взаимодействии объектов сети между собой;

функцию сервера IP-адресов, обеспечивающую регистрацию и предоставление информации о текущих IP-адресах и способах подключения объектов корпоративной сети;

функцию сервера ViPNet-Firewall, обеспечивающую работу защищенных компьютеров локальной сети в VPN от имени одного адреса; работу защищенных компьютеров локальной сети через другие Firewall; туннелирование пакетов в защищенное соединение от заданных адресов незащищенных компьютеров; фильтрацию открытых пакетов, в том числе и туннелируемых, в соответствии с заданной политикой безопасности (функции межсетевого экрана);

функцию ViPNet-сервера открытого Интернета, обеспечивающую организацию безопасного подключения части компьютеров локальной сети к Интернету без их физического отключения от локальной сети организации.

Для ускорения работы с шифрованным трафиком с использованием алгоритма ГОСТ 28147-89 и разгрузки центрального процессора на компьютерах, где обрабатывается большой объем информации, рекомендуется использовать специальную плату-ускоритель криптопреобразований. Все операции шифрования/дешифрирования, загружающие центральный процессор, выполняются криптоакселератором, и, тем самым, загрузка процессора такая же, как при обработке нешифрованного трафика.

"Координатор" обеспечивает выполнение нескольких режимов работы с открытыми ресурсами - от разрешения до их полной блокировки. Одной из важных возможностей программы является перехват и фильтрация (пропуск или блокирование) любых открытых IP-пакетов, проходящих через каждый его сетевой интерфейс. Для защиты компьютера от несанкционированных попыток приложений, работающих на этом компьютере, выполнить сетевую операцию в программе реализована возможность мониторинга активности приложений. В него встроена система обнаружения вторжений (intrusion detection system, IDS). Она служит для обнаружения и предотвращения действий со стороны злоумышленника (хакера либо взломщика), которые могут привести к проникновению внутрь системы или совершению по отношению к ней каких-либо злоупотреблений. (Две последние функции включены и в состав пакета "Клиент".).

"Координатор" фиксирует различного рода информацию по результатам своей работы на компьютере. Эту информацию можно просматривать через интерфейс программы. Там можно просмотреть список пропущенных и блокированных IP-пакетов, блокированных адресов, событий, атак.

"Координатор" управляет компьютерами, зарегистрированными в его базе данных.

В состав пакетов "Координатор" и "Клиент" входят дополнительные модули, обеспечивающие защищенный обмен транспортными конвертами (файлами, сообщениями, электронной почтой) между клиентами защищенной сети. Основной транспортный модуль называется MFTP и предназначен для обеспечения надежной и безопасной передачи транспортных конвертов между узлами сети ViPNet посредством протоколов TCP (канал передачи MFTP) и SMTP/POP3. При связи по каналу MFTP устанавливается TCP-соединение с узлом-получателем конвертов, проводится взаимная аутентификация узлов и осуществляется прием/передача конвертов друг для друга. При связи по каналу SMTP/POP3 транспортный модуль переадресует конверты для отправки модулю MailTrans, который передает их через сервер SMTP, а также забирает с сервера POP3 конверты, предназначенные для этого узла.

Транспортные конверты для передачи формируются прикладными задачами сети, например "Деловой почтой". Эта система предназначена для организации защищенной передачи электронных документов по открытым каналам связи по всему маршруту следования документа, от отправителя к получателю в сети ViPNet. Помимо обычных функций по работе с электронной почтой "Деловая почта" обеспечивает шифрование и простановку ЭЦП на отправляемые сообщения, ведение регистрационных данных на них, а также предоставляет гибкие возможности по работе с документами: сортировку документов, архивацию, поиск, автоматическую обработку файлов и входящих писем в соответствии с различными правилами, задаваемыми пользователем (автопроцессинг).

Остается лишь сказать, что на рабочие места устанавливается ПО "Клиент", во многом повторяющее функции "Координатора", за исключением тех, которые связаны с преобразованием адресов, организацией связи между зарегистрированными на "Координаторе" членами групп, защитой от внешних проникновений из открытой сети и некоторыми иными функциями.

Использование системы ViPNet Office позволяет создать защищенную виртуальную сеть, решить многие вопросы по защите как самой сети, так и информации, циркулирующей в ней. Это решение апробировано во многих организациях и зарекомендовало себя с положительной стороны.

Глава 3. Архитектура VPN технологии, построение информационного канала

3.1 Понятие и классификация VPN сетей, их построение

VPN (англ. Virtual Private Network - виртуальная частная сеть) - логическая сеть, создаваемая поверх другой сети, например Internet. Несмотря на то, что коммуникации осуществляются по публичным сетям с использованием небезопасных протоколов, за счёт шифрования создаются закрытые от посторонних каналы обмена информацией. VPN позволяет объединить, например, несколько офисов организации в единую сеть с использованием для связи между ними неподконтрольных каналов.

По своей сути VPN обладает многими свойствами выделенной линии, однако развертывается она в пределах общедоступной сети, например Интернета. С помощью методики туннелирования пакеты данных транслируются через общедоступную сеть как по обычному двухточечному соединению. Между каждой парой «отправитель-получатель данных» устанавливается своеобразный туннель - безопасное логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого. Основными компонентами туннеля являются:

инициатор;

маршрутизируемая сеть;

туннельный коммутатор;

один или несколько туннельных терминаторов.

Сам по себе принцип работы VPN не противоречит основным сетевым технологиям и протоколам. Например, при установлении соединения удаленного доступа клиент посылает серверу поток пакетов стандартного протокола PPP. В случае организации виртуальных выделенных линий между локальными сетями их маршрутизаторы также обмениваются пакетами PPP. Тем не менее, принципиально новым моментом является пересылка пакетов через безопасный туннель, организованный в пределах общедоступной сети.

Туннелирование позволяет организовать передачу пакетов одного протокола в логической среде, использующей другой протокол. В результате появляется возможность решить проблемы взаимодействия нескольких разнотипных сетей, начиная с необходимости обеспечения целостности и конфиденциальности передаваемых данных и заканчивая преодолением несоответствий внешних протоколов или схем адресации.

Существующая сетевая инфраструктура корпорации может быть подготовлена к использованию VPN как с помощью программного, так и с помощью аппаратного обеспечения. Организацию виртуальной частной сети можно сравнить с прокладкой кабеля через глобальную сеть. Как правило, непосредственное соединение между удаленным пользователем и оконечным устройством туннеля устанавливается по протоколу PPP.

Наиболее распространенный метод создания туннелей VPN - инкапсуляция сетевых протоколов (IP, IPX, AppleTalk и т.д.) в PPP и последующая инкапсуляция образованных пакетов в протокол туннелирования. Обычно в качестве последнего выступает IP или (гораздо реже) ATM и Frame Relay. Такой подход называется туннелированием второго уровня, поскольку «пассажиром» здесь является протокол именно второго уровня.

Альтернативный подход - инкапсуляция пакетов сетевого протокола непосредственно в протокол туннелирования (например, VTP) называется туннелированием третьего уровня.

Независимо от того, какие протоколы используются или какие цели преследуются при организации туннеля, основная методика остается практически неизменной. Обычно один протокол используется для установления соединения с удаленным узлом, а другой - для инкапсуляции данных и служебной информации с целью передачи через туннель.

3.2 Классификация VPN сетей

Классифицировать VPN решения можно по нескольким основным параметрам:

1. По типу используемой среды:

Защищённые VPN сети. Наиболее распространённый вариант приватных частных сетей. C его помощью возможно создать надежную и защищенную подсеть на основе ненадёжной сети, как правило, Интернета. Примером защищённых VPN являются: IPSec, OpenVPN и PPTP.

Доверительные VPN сети. Используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Вопросы обеспечения безопасности становятся неактуальными. Примерами подобных VPN решении являются: MPLS и L2TP. Корректнее сказать, что эти протоколы перекладывают задачу обеспечения безопасности на другие, например L2TP, как правило, используется в паре с IPSec.

2. По способу реализации:

VPN сети в виде специального программно-аппаратного обеспечения. Реализация VPN сети осуществляется при помощи специального комплекса программно-аппаратных средств. Такая реализация обеспечивает высокую производительность и, как правило, высокую степень защищённости.

VPN сети в виде программного решения. Используют персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN.

VPN сети с интегрированным решением. Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.

3. По назначению:

Intranet VPN. Используют для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи.

Remote Access VPN. Используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера или, находясь в командировке, подключается к корпоративным ресурсам при помощи ноутбука.

Extranet VPN. Используют для сетей, к которым подключаются «внешние» пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации.

4. По типу протокола:

Существуют реализации виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN решений поддерживает именно его.

5. По уровню сетевого протокола:

По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI.

3.3 Построение VPN

Существуют различные варианты построения VPN. При выборе решения требуется учитывать факторы производительности средств построения VPN. Например, если маршрутизатор и так работает на пределе мощности своего процессора, то добавление туннелей VPN и применение шифрования / дешифрования информации могут остановить работу всей сети из-за того, что этот маршрутизатор не будет справляться с простым трафиком, не говоря уже о VPN. Опыт показывает, что для построения VPN лучше всего использовать специализированное оборудование, однако если имеется ограничение в средствах, то можно обратить внимание на чисто программное решение. Рассмотрим некоторые варианты построения VPN.

VPN на базе брандмауэров

Брандмауэры большинства производителей поддерживают туннелирование и шифрование данных. Все подобные продукты основаны на том, что трафик, проходящий через брандмауэр шифруется. К программному обеспечению собственно брандмауэра добавляется модуль шифрования. Недостатком этого метода можно назвать зависимость производительности от аппаратного обеспечения, на котором работает брандмауэр. При использовании брандмауэров на базе ПК надо помнить, что подобное решение можно применять только для небольших сетей с небольшим объемом передаваемой информации.

В качестве примера VPN на базе брандмауэров можно назвать FireWall-1 компании Check Point Software Technologies. FairWall-1 использует для построения VPN стандартный подход на базе IPSec. Трафик, приходящий в брандмауэр, дешифруется, после чего к нему применяются стандартные правила управления доступом. FireWall-1 работает под управлением операционных систем Solaris и Windows NT 4.0.

VPN на базе маршрутизаторов

Другим способом построения VPN является применение для создания защищенных каналов маршрутизаторов. Так как вся информация, исходящая из локальной сети, проходит через маршрутизатор, то целесообразно возложить на этот маршрутизатор и задачи шифрования.

Примером оборудования для построения VPN на маршрутизаторах является оборудование компании Cisco Systems. Начиная с версии программного обеспечения IOS 11.3, маршрутизаторы Cisco поддерживают протоколы L2TP и IPSec. Помимо простого шифрования проходящей информации Cisco поддерживает и другие функции VPN, такие как идентификация при установлении туннельного соединения и обмен ключами.

Для повышения производительности маршрутизатора может быть использован дополнительный модуль шифрования ESA. Кроме того, компания Cisco System выпустила специализированное устройство для VPN, которое так и называется Cisco 1720 VPN Access Router (маршрутизатор доступа к VPN), предназначенное для установки в компаниях малого и среднего размера, а также в отделениях крупных организаций.

VPN на базе программного обеспечения

Следующим подходом к построению VPN являются чисто программные решения. При реализации такого решения используется специализированное программное обеспечение, которое работает на выделенном компьютере, и в большинстве случаев выполняет роль proxy-сервера. Компьютер с таким программным обеспечением может быть расположен за брандмауэром.

В качестве примера такого решения можно выступает программное обеспечение AltaVista Tunnel 97 компании Digital. При использовании данного программного обеспечения клиент подключается к серверу Tunnel 97, аутентифицируется на нем и обменивается ключами. Шифрация производится на базе 56 или 128 битных ключей, полученных в процессе установления соединения. Далее, зашифрованные пакеты инкапсулируются в другие IP-пакеты, которые в свою очередь отправляются на сервер. Кроме того, данное программное обеспечение каждые 30 минут генерирует новые ключи, что значительно повышает защищенность соединения.

Положительными качествами AltaVista Tunnel 97 являются простота установки и удобство управления. Минусами данной системы можно считать нестандартную архитектуру (собственный алгоритм обмена ключами) и низкую производительность.

VPN на базе сетевой ОС

Решения на базе сетевой ОС мы рассмотрим на примере системы Windows NT компании Microsoft. Для создания VPN Microsoft использует протокол PPTP, который интегрирован в систему Windows NT. Данное решение очень привлекательно для организаций использующих Windows в качестве корпоративной операционной системы. Необходимо отметить, что стоимость такого решения значительно ниже стоимости прочих решений. В работе VPN на базе Windows NT используется база пользователей NT, хранящаяся на Primary Domain Controller (PDC). При подключении к PPTP-серверу пользователь аутентифицируется по протоколам PAP, CHAP или MS-CHAP. Передаваемые пакеты инкапсулируются в пакеты GRE/PPTP. Для шифрования пакетов используется нестандартный протокол от Microsoft Point-to-Point Encryption c 40 или 128 битным ключом, получаемым в момент установки соединения. Недостатками данной системы являются отсутствие проверки целостности данных и невозможность смены ключей во время соединения. Положительными моментами являются легкость интеграции с Windows и низкая стоимость.

VPN на базе аппаратных средств

Вариант построения VPN на специальных устройствах может быть использован в сетях, требующих высокой производительности. Примером такого решения служит продукт c IPro-VPN компании Radguard. Данный продукт использует аппаратное шифрование передаваемой информации, способное пропускать поток в 100 Мбит/с. IPro-VPN поддерживает протокол IPSec и механизм управления ключами ISAKMP/Oakley. Помимо прочего, данное устройство поддерживает средства трансляции сетевых адресов и может быть дополнено специальной платой, добавляющей функции брандмауэра.

3.4 Протоколы VPN сетей

Сети VPN строятся с использованием протоколов туннелирования данных через сеть связи общего пользования Интернет, причем протоколы туннелирования обеспечивают шифрование данных и осуществляют их сквозную передачу между пользователями. Как правило, на сегодняшний день для построения сетей VPN используются протоколы следующих уровней:

канальный уровень

сетевой уровень

транспортный уровень

Канальный уровень

На канальном уровне могут использоваться протоколы туннелирования данных L2TP и PPTP, которые используют авторизацию и аутентификацию.

PPTP

В настоящее время наиболее распространенным протоколом VPN является протокол двухточечной туннельной связи или Point-to-Point Tunnelling Protocol - PPTP. Разработан он компаниями 3Com и Microsoft с целью предоставления безопасного удаленного доступа к корпоративным сетям через Интернет. PPTP использует существующие открытые стандарты TCP/IP и во многом полагается на устаревший протокол двухточечной связи РРР. На практике РРР так и остается коммуникационным протоколом сеанса соединения РРТР. РРТР создает туннель через сеть к NT-серверу получателя и передает по нему РРР-пакеты удаленного пользователя. Сервер и рабочая станция используют виртуальную частную сеть и не обращают внимания на то, насколько безопасной или доступной является глобальная сеть между ними. Завершение сеанса соединения по инициативе сервера, в отличие от специализированных серверов удаленного доступа, позволяет администраторам локальной сети не пропускать удаленных пользователей за пределы системы безопасности Windows NT Server.

Хотя компетенция протокола РРТР распространяется только на устройства, работающие под управлением Windows, он предоставляет компаниям возможность взаимодействовать с существующими сетевыми инфраструктурами и не наносить вред собственной системе безопасности. Таким образом, удаленный пользователь может подключиться к Интернету с помощью местного провайдера по аналоговой телефонной линии или каналу ISDN и установить соединение с сервером NT. При этом компании не приходится тратить большие суммы на организацию и обслуживание пула модемов, предоставляющего услуги удаленного доступа.

Далее рассматривается работа РРТР. PPTP инкапсулирует пакеты IP для передачи по IP-сети. Клиенты PPTP используют порт назначения для создания управляющего туннелем соединения. Этот процесс происходит на транспортном уровне модели OSI. После создания туннеля компьютер-клиент и сервер начинают обмен служебными пакетами. В дополнение к управляющему соединению PPTP, обеспечивающему работоспособность канала, создается соединение для пересылки по туннелю данных. Инкапсуляция данных перед пересылкой через туннель происходит несколько иначе, чем при обычной передаче. Инкапсуляция данных перед отправкой в туннель включает два этапа:

1. Сначала создается информационная часть PPP. Данные проходят сверху вниз, от прикладного уровня OSI до канального.

2. Затем полученные данные отправляются вверх по модели OSI и инкапсулируются протоколами верхних уровней.

Таким образом, во время второго прохода данные достигают транспортного уровня. Однако информация не может быть отправлена по назначению, так как за это отвечает канальный уровень OSI. Поэтому PPTP шифрует поле полезной нагрузки пакета и берет на себя функции второго уровня, обычно принадлежащие PPP, т.е. добавляет к PPTP-пакету PPP-заголовок и окончание. На этом создание кадра канального уровня заканчивается.

Далее, PPTP инкапсулирует PPP-кадр в пакет Generic Routing Encapsulation (GRE), который принадлежит сетевому уровню. GRE инкапсулирует протоколы сетевого уровня, например IPX, AppleTalk, DECnet, чтобы обеспечить возможность их передачи по IP-сетям. Однако GRE не имеет возможности устанавливать сессии и обеспечивать защиту данных от злоумышленников. Для этого используется способность PPTP создавать соединение для управления туннелем. Применение GRE в качестве метода инкапсуляции ограничивает поле действия PPTP только сетями IP.

После того как кадр PPP был инкапсулирован в кадр с заголовком GRE, выполняется инкапсуляция в кадр с IP-заголовком. IP-заголовок содержит адреса отправителя и получателя пакета. В заключение PPTP добавляет PPP заголовок и окончание. На приложении 3 показана структура данных для пересылки по туннелю PPTP.

Система-отправитель посылает данные через туннель. Система-получатель удаляет все служебные заголовки, оставляя только данные PPP.

L2TP

В ближайшем будущем ожидается рост количества виртуальных частных сетей, развернутых на базе нового протокола туннелирования второго уровня Layer 2 Tunneling Protocol - L2TP.

L2TP появился в результате объединения протоколов PPTP и L2F (Layer 2 Forwarding). PPTP позволяет передавать через туннель пакеты PPP, а L2F-пакеты SLIP и PPP. Во избежание путаницы и проблем взаимодействия систем на рынке телекоммуникаций, комитет Internet Engineering Task Force (IETF) рекомендовал компании Cisco Systems объединить PPTP и L2F. По общему мнению, протокол L2TP вобрал в себя лучшие черты PPTP и L2F. Главное достоинство L2TP в том, что этот протокол позволяет создавать туннель не только в сетях IP, но и в таких, как ATM, X.25 и Frame Relay. К сожалению, реализация L2TP в Windows 2000 поддерживает только IP.

L2TP применяет в качестве транспорта протокол UDP и использует одинаковый формат сообщений как для управления туннелем, так и для пересылки данных. L2TP в реализации Microsoft использует в качестве контрольных сообщений пакеты UDP, содержащие шифрованные пакеты PPP. Надежность доставки гарантирует контроль последовательности пакетов.

Функциональные возможности PPTP и L2TP различны. L2TP может использоваться не только в IP-сетях, служебные сообщения для создания туннеля и пересылки по нему данных используют одинаковый формат и протоколы. PPTP может применяться только в IP-сетях, и ему необходимо отдельное соединение TCP для создания и использования туннеля. L2TP поверх IPSec предлагает больше уровней безопасности, чем PPTP, и может гарантировать почти 100-процентную безопасность важных для организации данных. Особенности L2TP делают его очень перспективным протоколом для построения виртуальных сетей.

Протоколы L2TP и PPTP отличаются от протоколов туннелирования третьего уровня рядом особенностей:

1. Предоставление корпорациям возможности самостоятельно выбирать способ аутентификации пользователей и проверки их полномочий - на собственной «территории» или у провайдера Интернет-услуг. Обрабатывая туннелированные пакеты PPP, серверы корпоративной сети получают всю информацию, необходимую для идентификации пользователей.

2. Поддержка коммутации туннелей - завершения одного туннеля и инициирования другого к одному из множества потенциальных терминаторов. Коммутация туннелей позволяет, как бы продлить PPP - соединение до необходимой конечной точки.

3. Предоставление системным администраторам корпоративной сети возможности реализации стратегий назначения пользователям прав доступа непосредственно на брандмауэре и внутренних серверах. Поскольку терминаторы туннеля получают пакеты PPP со сведениями о пользователях, они в состоянии применять сформулированные администраторами стратегии безопасности к трафику отдельных пользователей. (Туннелирование третьего уровня не позволяет различать поступающие от провайдера пакеты, поэтому фильтры стратегии безопасности приходится применять на конечных рабочих станциях и сетевых устройствах.) Кроме того, в случае использования туннельного коммутатора появляется возможность организовать «продолжение» туннеля второго уровня для непосредственной трансляции трафика отдельных пользователей к соответствующим внутренним серверам. На такие серверы может быть возложена задача дополнительной фильтрации пакетов.

Также на канальном уровне для организации туннелей может использоваться технология MPLS.

MPLS

От английского Multiprotocol Label Switching - мультипротокольная коммутация по меткам - механизм передачи данных, который эмулирует различные свойства сетей с коммутацией каналов поверх сетей с коммутацией пакетов. MPLS работает на уровне, который можно было бы расположить между канальным и третьим сетевым уровнями модели OSI, и поэтому его обычно называют протоколом канально-сетевого уровня. Он был разработан с целью обеспечения универсальной службы передачи данных как для клиентов сетей с коммутацией каналов, так и сетей с коммутацией пакетов. С помощью MPLS можно передавать трафик самой разной природы, такой как IP-пакеты, ATM, SONET и кадры Ethernet.

Решения по организации VPN на канальном уровне имеют достаточно ограниченную область действия, как правило, в рамках домена провайдера.

Сетевой уровень

Сетевой уровень (уровень IP). Используется протокол IPSec реализующий шифрование и конфедициальность данных, а также аутентификацию абонентов. Применение протокола IPSec позволяет реализовать полнофункциональный доступ эквивалентный физическому подключению к корпоративной сети. Для установления VPN каждый из участников должен сконфигурировать определенные параметры IPSec, т.е. каждый клиент должен иметь программное обеспечение реализующее IPSec.

IPSec

Естественно, никакая компания не хотела бы открыто передавать в интернет финансовую или другую конфиденциальную информацию. Каналы VPN защищены мощными алгоритмами шифрования, заложенными в стандарты протокола безопасности IРsec. IPSec или Internet Protocol Security - стандарт, выбранный международным сообществом, группой IETF - Internet Engineering Task Force, создает основы безопасности для Интернет-протокола (IP/ Протокол IPSec обеспечивает защиту на сетевом уровне и требует поддержки стандарта IPSec только от общающихся между собой устройств по обе стороны соединения. Все остальные устройства, расположенные между ними, просто обеспечивают трафик IP-пакетов.

Способ взаимодействия лиц, использующих технологию IPSec, принято определять термином «защищенная ассоциация» - Security Association (SA). Защищенная ассоциация функционирует на основе соглашения, заключенного сторонами, которые пользуются средствами IPSec для защиты передаваемой друг другу информации. Это соглашение регулирует несколько параметров: IP-адреса отправителя и получателя, криптографический алгоритм, порядок обмена ключами, размеры ключей, срок службы ключей, алгоритм аутентификации.

IPSec - это согласованный набор открытых стандартов, имеющий ядро, которое может быть достаточно просто дополнено новыми функциями и протоколами. Ядро IPSec составляют три протокола:

АН или Authentication Header - заголовок аутентификации - гарантирует целостность и аутентичность данных. Основное назначение протокола АН - он позволяет приемной стороне убедиться, что:

пакет был отправлен стороной, с которой установлена безопасная ассоциация;

содержимое пакета не было искажено в процессе его передачи по сети;

пакет не является дубликатом уже полученного пакета.

Две первые функции обязательны для протокола АН, а последняя выбирается при установлении ассоциации по желанию. Для выполнения этих функций протокол АН использует специальный заголовок. Его структура рассматривается по следующей схеме:

В поле следующего заголовка (next header) указывается код протокола более высокого уровня, то есть протокола, сообщение которого размещено в поле данных IP-пакета.

В поле длины полезной нагрузки (payload length) содержится длина заголовка АН.

Индекс параметров безопасности (Security Parameters Index, SPI) используется для связи пакета с предусмотренной для него безопасной ассоциацией.

Поле порядкового номера (Sequence Number, SN) указывает на порядковый номер пакета и применяется для защиты от его ложного воспроизведения (когда третья сторона пытается повторно использовать перехваченные защищенные пакеты, отправленные реально аутентифицированным отправителем).

Поле данных аутентификации (authentication data), которое содержит так называемое значение проверки целостности (Integrity Check Value, ICV), используется для аутентификации и проверки целостности пакета. Это значение, называемое также дайджестом, вычисляется с помощью одной из двух обязательно поддерживаемых протоколом АН вычислительно необратимых функций MD5 или SAH-1, но может использоваться и любая другая функция.

ESP или Encapsulating Security Payload - инкапсуляция зашифрованных данных - шифрует передаваемые данные, обеспечивая конфиденциальность, может также поддерживать аутентификацию и целостность данных;

Протокол ESP решает две группы задач.

К первой относятся задачи, аналогичные задачам протокола АН, - это обеспечение аутентификации и целостности данных на основе дайджеста.

Ко второй - защита передаваемых данных путем их шифрования от несанкционированного просмотра.

Заголовок делится на две части, разделяемые полем данных.

Первая часть, называемая собственно заголовком ESP, образуется двумя полями (SPI и SN), назначение которых аналогично одноименным полям протокола АН, и размещается перед полем данных.

Остальные служебные поля протокола ESP, называемые концевиком ESP, расположены в конце пакета.

Два поля концевика - следующего заголовка и данных аутентификации - аналогичны полям заголовка АН. Поле данных аутентификации отсутствует, если при установлении безопасной ассоциации принято решение не использовать возможностей протокола ESP по обеспечению целостности. Помимо этих полей концевик содержит два дополнительных поля - заполнителя и длины заполнителя.

Протоколы AH и ESP могут защищать данные в двух режимах:

в транспортном - передача ведется с оригинальными IP-заголовками;

в туннельном - исходный пакет помещается в новый IP-пакет и передача ведется с новыми заголовками.

Применение того или иного режима зависит от требований, предъявляемых к защите данных, а также от роли, которую играет в сети узел, завершающий защищенный канал. Так, узел может быть хостом (конечным узлом) или шлюзом (промежуточным узлом). Соответственно, имеются три схемы применения протокола IPSec:

хост-хост;

шлюз-шлюз;

хост-шлюз.

Возможности протоколов АН и ESP частично перекрываются: протокол АН отвечает только за обеспечение целостности и аутентификации данных, протокол ESP может шифровать данные и, кроме того, выполнять функции протокола АН (в урезанном виде). ESP может поддерживать функции шифрования и аутентификации / целостности в любых комбинациях, то есть либо всю группу функций, либо только аутентификацию / целостность, либо только шифрование.

IKE или Internet Key Exchange - обмен ключами Интернета - решает вспомогательную задачу автоматического предоставления конечным точкам защищенного канала секретных ключей, необходимых для работы протоколов аутентификации и шифрования данных.

Транспортный уровень.

На транспортном уровне используется протокол SSL/TLS или Secure Socket Layer/Transport Layer Security, реализующий шифрование и аутентификацию между транспортными уровнями приемника и передатчика. SSL/TLS может применяться для защиты трафика TCP, не может применяться для защиты трафика UDP. Для функционирования VPN на основе SSL/TLS нет необходимости в реализации специального программного обеспечения так как каждый браузер и почтовый клиент оснащены этими протоколами. В силу того, что SSL/TLS реализуется на транспортном уровне, защищенное соединение устанавливается «из-конца-в-конец».

TLS-протокол основан на Netscape SSL-протоколе версии 3.0 и состоит из двух частей - TLS Record Protocol и TLS Handshake Protocol. Различие между SSL 3.0 и TLS 1.0 незначительные.

SSL/TLS включает в себя три основных фазы: 1) Диалог между сторонами, целью которого является выбор алгоритма шифрования; 2) Обмен ключами на основе криптосистем с открытым ключом или аутентификация на основе сертификатов; 3) Передача данных, шифруемых при помощи симметричных алгоритмов шифрования.

3.5 Понятие туннелирования

Туннелирование обеспечивает передачу данных между двумя точками - окончаниями туннеля - таким образом, что для источника и приемника данных оказывается скрытой вся сетевая инфраструктура, лежащая между ними.

Транспортная среда туннеля, как паром, подхватывает пакеты используемого сетевого протокола у входа в туннель и без изменений доставляет их к выходу. Построения туннеля достаточно для того, чтобы соединить два сетевых узла так, что с точки зрения работающего на них программного обеспечения они выглядят подключенными к одной (локальной) сети. Однако нельзя забывать, что на самом деле «паром» с данными проходит через множество промежуточных узлов (маршрутизаторов) открытой публичной сети.

Такое положение дел таит в себе две проблемы. Первая заключается в том, что передаваемая через туннель информация может быть перехвачена злоумышленниками. Если она конфиденциальна (номера банковских карточек, финансовые отчеты, сведения личного характера), то вполне реальна угроза ее компрометации, что уже само по себе неприятно. Хуже того, злоумышленники имеют возможность модифицировать передаваемые через туннель данные так, что получатель не сможет проверить их достоверность. Последствия могут быть самыми плачевными. Учитывая сказанное, мы приходим к выводу, что туннель в чистом виде пригоден разве что для некоторых типов сетевых компьютерных игр и не может претендовать на более серьезное применение. Обе проблемы решаются современными средствами криптографической защиты информации. Чтобы воспрепятствовать внесению несанкционированных изменений в пакет с данными на пути его следования по туннелю, используется метод электронной цифровой подписи (ЭЦП). Суть метода состоит в том, что каждый передаваемый пакет снабжается дополнительным блоком информации, который вырабатывается в соответствии с асимметричным криптографическим алгоритмом и уникален для содержимого пакета и секретного ключа ЭЦП отправителя. Этот блок информации является ЭЦП пакета и позволяет выполнить аутентификацию данных получателем, которому известен открытый ключ ЭЦП отправителя. Защита передаваемых через туннель данных от несанкционированного просмотра достигается путем использования сильных алгоритмов шифрования.