На главную страницу
На главную страницу Карта сайта Поиск по сайту Обратная связь
На страницы учебного центра
Организационно-правовые вопросы
Экономическая безопасность
Безопасность КИС
Защита речевой информации
Техническая защита объектов
Сертификация и лицензирование
Кадровая безопасность
Преступления в сфере высоких технологий
Нормативные документы
Полезные ресурсы

 

VPN-технологии: организация защищенного обмена конфиденциальной информацией

 

А. С. Березин ,

В. М. Зима ,

С. А. Петренко

 

Сегодня самым экономически выгодным решением для организации защищенного обмена конфиденциальной информацией является построение так называемой виртуальной защищенной частной сети (Virtual Private Network/VPN). В первую очередь защищенный обмен конфиденциальной информацией требуется компаниям, осуществляющим обработку и передачу информации различной категории и степени конфиденциальности внутри распределенной корпоративной сети, поддерживающим постоянные связи с удаленными бизнес-партнерами и заказчиками, имеющим территориально разнесенные филиалы, содержащим штат мобильных или удаленных сотрудников (TOP-менеджеры, региональные представители и др.).

Виртуальная частная сеть (VPN) формируется на основе открытых каналов связи, например Internet. Термин «виртуальная» подчеркивает, что инфраструктура сети моделируется на основе реальных каналов связи (выделенные линии, коммутируемые каналы и т. д.). При этом реальная открытая сеть может служить основой для целого множества VPN, конечное число которых определяется только пропускной способностью открытых каналов связи.

При выборе средств построения корпоративных VPN необходимо учитывать следующие факторы:

  • технические характеристики открытой внешней среды передачи информации;
  • преимущества и недостатки используемых для построения VPN протоколов;
  • варианты построения VPN;
  • регулирование использования VPN-технологий со стороны российского законодательства;
  • специфика (форма собственности, категорирование информации и т. д.) и финансовые возможности предприятия.

Рассмотрим названные факторы более подробно.

Характеристики открытой внешней среды передачи информации

Открытую внешнюю среду передачи информации можно разделить на среду скоростной передачи данных, в качестве которой может использоваться сеть Internet, а также более медленные общедоступные каналы связи – чаще всего каналы телефонной сети. Наиболее эффективным способом объединения локальных сетей и удаленных компьютеров является объединение на основе глобальной сети Internet. В случае отсутствия непосредственного подключения, доступ к Internet может осуществляться и через телефонную сеть. Организация виртуальных защищенных сетей на основе Internet обладает рядом преимуществ (рис. 1 и 2):

  • гарантирует высокое качество информационного обмена, так как магистральные каналы и маршрутизаторы Internet имеют большую пропускную способность и характеризуются надежностью передачи информации;
  • обеспечивает масштабируемую поддержку удаленного доступа к ресурсам локальной сети, позволяя мобильным пользователям связываться по местным телефонным линиям с поставщиками услуг Internet и через них входить в свою корпоративную сеть в защищенном режиме;
  • для организации удаленного доступа пользователей к локальной сети отпадает необходимость в модемных пулах, а трафиком дистанционного доступа можно управлять точно так же, как любым другим трафиком Internet;
  • сокращаются расходы на информационный обмен через открытую внешнюю среду:

    • использование Internet для объединения локальных сетей значительно дешевле аренды каналов связи телефонных и других глобальных сетей, например сетей frame relay, не говоря уже о стоимости самостоятельного построения коммуникаций;

    • при удаленном доступе вместо того, чтобы устанавливать дорогостоящие непосредственные соединения с локальной сетью по междугородной или международной телефонной связи, удаленные пользователи могут подключаться к Internet и связываться с сетью своей организации через эту глобальную сеть.

     

 

 

Особенности используемых для построения VPN протоколов

Технически реализация защищенных виртуальных сетей стала возможной уже достаточно давно. Инкапсуляция сетевых пакетов и фреймов использовалась раньше и применяется сейчас для передачи немаршрутизируемого трафика через маршрутизируемые сети, а также для ограничения многопротокольного трафика на базе одного протокола. Технологии шифрования также появились задолго до широкого внедрения глобальных сетевых технологий. Однако специализированные протоколы для создания защищенных виртуальных сетей разработаны сравнительно недавно (1992– 94 годы), и сейчас продолжается работа над их совершенствованием и расширением. Большинство из них являются открытыми, то есть свободными для распространения и реализации.

Для независимости от прикладных протоколов и приложений защищенные виртуальные сети формируются на одном из низших уровней модели OSI – канальном, сетевом или сеансовом. Канальному (второму) уровню соответствуют такие протоколы реализации VPN, как PPTP, L2F и L2TP, сетевому (третьему) уровню – IPSec, SKIP, а сеансовому (пятому) уровню – SSL/TLS и SOCKS. Чем ниже уровень эталонной модели, на котором реализуется защита, тем она прозрачнее для приложений и незаметнее для пользователей. Однако при снижении этого уровня уменьшается набор реализуемых услуг безопасности и становится сложнее организация управления VPN. Чем выше защитный уровень в соответствии с моделью OSI, тем шире набор услуг безопасности, надежнее контроль доступа и проще конфигурирование системы защиты. Однако в этом случае усиливается зависимость от используемых приложений и протоколов обмена.

В VPN криптозащита может одновременно выполняться на нескольких уровнях эталонной модели. При этом увеличивается криптостойкость, но по причине снижения общей скорости криптографических преобразований уменьшается пропускная способность виртуальной сети. Поэтому на практике защищенные виртуальные сети формируются на одном уровне модели OSI (канальном, сетевом, транспортном или сеансовом).

 

Таблица 1. Достоинства и недостатки средств создания VPN различных категорий

 

Категория Достоинства Недостатки
VPN на базе
маршрутизаторов

Функции поддержки сетей VPN могут быть встроены
в маршрутизирующие устройства, что не потребует
дополнительных расходов на приобретение средств,
реализующих эти функции.
Упрощается администрирование VPN
Функционирование VPN может отрицательно повлиять на
выполнение функций маршрутизации.
Канал между получателем информации внутри локальной сети
и маршрутизатором может стать уязвимым звеном в системе защиты.
Необходимость использования идентичного каналообразующего оборудования всеми участниками VPN-канала
Программное
обеспечение VPN
для брандмауэров

Возможен контроль туннелируемого трафика.
Достигается высокая эффективность администрирования защищенных виртуальных сетей.
Обеспечивается комплексная защита информационного обмена.
Отсутствует избыточность аппаратных платформ для
средств сетевой защиты
Операции, связанные с шифрованием данных, могут чрезмерно
загружать процессор и снижать производительность брандмауэра.
Если защищенный туннель завершается на брандмауэре, то канал
между получателем информации внутри локальной сети и брандмауэром может стать уязвимым звеном в системе защиты.
При повышении производительности серверных продуктов аппаратное обеспечение потребуется модернизировать.
Необходимость согласования использования МЭ всеми участками защищенного взаимодействия
VPN на базе
специализированного
программного
обеспечения
Высокая масштабируемость, гибкость
и переносимость решения.
Не требуются специальные аппаратные средства.
Низкая стоимость
Администрирование VPN может потребовать отдельного
приложения, возможно, даже выделенного каталога.
При повышении производительности серверных продуктов
может возникнуть необходимость модернизации аппаратного
обеспечения
VPN на базе
аппаратных
средств


Обеспечивается более высокая производительность.
Многофункциональные аппаратные устройства
облегчают конфигурацию и обслуживание.
Однофункциональные аппаратные устройства
допускают тонкую настройку для достижения
наивысшей производительности
В многофункциональных блоках производительность одного
приложения повышается зачастую в ущерб другому.
Однофункциональные устройства могут требовать отдельных
инструментов администрирования и каталогов.
Модернизация для повышения производительности нередко
оказывается слишком дорогостоящей или невозможной.
Канал между получателем информации внутри локальной сети
и аппаратным устройством шифрования трафика может стать
уязвимым звеном в системе защиты. Высокая стоимость

Канальный уровень. По мнению специалистов, протоколы создания защищенных виртуальных каналов на канальном уровне лучше всего подходят для защиты информационного взаимодействия при удаленном доступе к локальной сети. Учитывая, что в состав операционных систем Windows 98/NT включена реализация протокола PPTP, этот протокол для организации защищенного удаленного доступа получил наиболее широкое распространение. В ближайшее время ожидается переориентация средств удаленного доступа на более совершенный протокол L2TP (Windows 2000).

Сетевой уровень. Безусловным лидером является протокол IPSec, входящий в состав новой версии Internet-протокола – IPv6. Протокол IPSec может использоваться совместно с протоколом L2TP. Эти два протокола обеспечивают наиболее высокий уровень гибкости при защите виртуальных каналов. Дело в том, что спецификация IPSec ориентирована на протокол IP и, таким образом, бесполезна для трафика любых других протоколов сетевого уровня. Протокол L2TP отличается независимостью от транспортного уровня, что может быть полезно в гетерогенных сетях, состоящих из IP-, IPX- и AppleTalk-сегментов. IPSec стремительно завоевывает популярность и станет, вероятно, доминирующим стандартом по созданию и поддержке защищенных виртуальных сетей.

Для управления криптографическими ключами на сетевом уровне модели OSI наиболее широкое распространение получили такие протоколы, как SKIP (Simple Key management for Internet Protocols) и ISAKMP (Internet Security Association and Key Management Protocol). SKIP проще в реализации, но он не поддерживает переговоров по поводу алгоритмов шифрования. Если получатель, использующий SKIP, не в состоянии расшифровать пакет, он уже не сможет согласовать метод шифрования с противоположной стороной. Протокол ISAKMP (вернее, его более поздняя реализация протокол IKE – Internet Key Exchange) поддерживает такие переговоры и выбран в качестве обязательного протокола для управления ключами в IPSec для IPv6. В текущей четвертой версии протокола IP (в протоколе IPv4) может применяться как протокол ISAKMP, так и протокол SKIP.

Сеансовый уровень. Для шифрования информации на сеансовом уровне наибольшую популярность получил протокол SSL/TLS (Secure Sockets Layer/Transport Layer Security), разработанный компанией Netscape Communications.

С целью стандартизации процедуры взаимодействия клиентсерверных приложений TCP/IP через сервер-посредник (брандмауэр) комитет IETF утвердил протокол под названием SOCKS, и в настоящее время пятая версия данного протокола (SOCKS 5) применяется для стандартизованной реализации посредников каналов. SOCKS поддерживает приложения, требующие контроля над направлениями информационных потоков и настройки условий доступа в зависимости от атрибутов пользователя и информации.

В отличие от виртуальных сетей, защищенных на сеансовом уровне модели OSI, виртуальные сети, защищенные на канальном или сетевом уровне, обычно просто открывают или закрывают канал для всего трафика по аутентифицированному туннелю. Это может представлять проблему, если локальная сеть на другом конце туннеля является неблагонадежной. Кроме того, созданные туннели канального и сетевого уровня функционируют одинаково в обоих направлениях, а виртуальные сети, защищенные на сеансовом уровне, допускают независимое управление передачей в каждом направлении.

Виртуальные сети с посредником канала типа IPSec ориентированы на протокол IP. Если IPSec, по существу, разграничивает защищенные виртуальные каналы между разными парами взаимодействующих сторон, то протокол SOCKS 5 обеспечивает создание защищенных туннелей для каждого приложения и сеанса в отдельности. Аналогично протоколу IPSec и протоколам туннелирования канального уровня, виртуальные сети сеансового уровня можно использовать с другими типами виртуальных частных сетей, поскольку данные технологии не являются взаимоисключающими.

Прикладной уровень. Следует отметить, что имеются протоколы для реализации защищенного взаимодействия и на прикладном уровне модели OSI. Эти протоколы, как правило, являются дополнениями к различным протоколам прикладного уровня. Например, протокол Secure HTTP (SHTTP) является дополнением по функциям защиты к протоколу передачи гипертекста HTTP, а протокол Secure MIME (S/MIME) – дополнением по защитным функциям к протоколу электронной почты MIME. Прикладные протоколы защиты информационного взаимодействия не относят к протоколам построения защищенных виртуальных сетей, так как они полностью зависят от используемых сервисов и приложений. Протоколы формирования защищенных виртуальных каналов прозрачны для прикладных протоколов защиты. Соответственно, применение приложений, реализующих, например, SHTTP или S/MIME наряду с криптографической защитой на более низком уровне, нисколько не уменьшает, а только увеличивает уровень безопасности.

Варианты построения VPN

Сегодня широкое распространение получили следующие варианты построения корпоративной VPN:

  • на основе маршрутизаторов, например CISCO,
  • на основе брандмауэров (МЭ), например FireWall-1 CheckPoint,
  • на базе специализированного ПО,
  • на базе специализированных аппаратных средств.

Достоинства и недостатки каждого из вариантов представлены в табл. 1.

Заметим, что перспективным протоколом построения защищенных виртуальных сетей является протокол IPSec. Желательно, чтобы выбираемые средства создания VPN поддерживали данный протокол. Однако при этом необходимо учитывать, что стандарт IPSec характеризуется недостаточной зрелостью и пока еще не гарантирует совместимости решений разных производителей. Разработчики, поддерживающие IPSec, только приступили к выявлению и устранению проблем несовместимости. Поэтому при выборе соответствующего средства целесообразно запросить у его поставщика отчет о поддерживаемых совместимых продуктах, особенно если в объединяемых локальных сетях используются средства создания VPN разных производителей. Нестандартные схемы туннелирования и алгоритмы шифрования хороши только в том случае, если нет необходимости взаимодействовать с другими системами. Однако с учетом роста масштабов компьютерных сетей вопросы взаимодействия и совместимости становятся приоритетными для любой организации.

 

Таблица 2. Характеристики отдельных средств построения VPN

 

Продукт Описание продукта Возможности
фильтрации
Центр
сертификации
Поддерживаемые алгоритмы шифрования
CIPro
фирмы Radguard

Двухпортовое для VPN;
10/100 Мбит/с.
Возможна работа с Token
Ring. Специализированное
устройство


Блокировать/пропустить/
шифровать/не шифровать –
по любому набору бит
в IP-пакете
Специализированное
устройство X.509
RSA/Internet Secure
Association Key
Management Protocol
(ISAKMP)
Data Encryption Standard
(DES), Triple-DES. Смена ключей по истечении заданного
промежутка времени или
после передачи заданного
объема данных
Ravlin 10
фирмы RedCreek
Communications

Двухпортовое специализированное устройство для VPN;
4 и 100 Мбит/с


Блокироваться или пропускаться без шифрования могут
только сообщения под определенными протоколами
(RADIUS, DNS, BOOTP, SNMP).
Возможно блокирование
незашифрованного трафика
Свой собственный,
работает поверх
Windows 95 или NT.
X.509/ ISAKMP
DES/Triple-DES (CFB64 и CBC).
Смена ключей
по истечении заданного
промежутка времени
IOS Software
фирмы Cisco Systems

Аппаратное или программное
расширение к установленной
ранее системе под Cisco IOS
(v11.2), обеспечивающее
шифрование данных

Блокировать/пропустить/
шифровать – в зависимости от
адреса источника/адреса назначения/порта источника/
порта назначения/уровня
обслуживания IP
  DES-CFB64/CFB8.
Смена ключей
по истечении заданного
промежутка времени
Permit/Gate
фирмы TimeStep

Двухпортовое специализированное устройство для VPN


Блокировать/пропустить/
шифровать – в зависимости
от адреса источника/
адреса назначения
На базе X.509,
поверх Windows 95
или NT
DES
InfoCrypt Enterprise
фирмы Isolation Systems

Двухпортовое специализированное устройство для VPN;
100 Мбит/с


Блокировать/пропустить/
шифровать – в зависимости
от адреса источника/адреса
назначения/порта
источника/порта назначения
Свой собственный,
работает поверх
Windows 95 или NT
DES/Triple-DES.
Смена ключей по истечении
заданного промежутка
времени
AltaVista Tunnel 97
фирмы Digital Equipment

Программный маршрутизатор
под IP, обеспечивающий шифрование/туннелирование
данных. ПО под Windows NT,
BSD/OS, FreeBSD и Digital Unix

В явном виде не заданы;
могут использоваться
возможности, заложенные
в используемую ОС
  RC4 56/128.
Смена ключей
каждые 30 минут
Interceptor
фирмы Technologic

Брандмауэр
с интегрированными средствами туннелирования.
Оборудование входит в комплект поставки

Отбросить/пропустить/
шифровать – в зависимости
от адреса источника/
адреса назначения/ порта источника/ порта назначения.
При использовании
устройств-посредников
(proxy) – в зависимости от
адреса источника/адреса
назначения/порта источника/
порта назначения/
времени суток
  DES-CBC/
DES-EDE-K3/
RC2-40/
RC4-40/
Safer-128SK-CBC
PN7
фирмы Unified Access
Communications

Многопортовое
специализированное
устройство для VPN

Блокировать/пропустить –
в зависимости от адреса источника/адреса назначения/
порта источника/порта
назначения;
блокировать/пропустить все
сообщения, кроме заданных
  DES/Triple-
DES-CBC/RC2-112.
Автоматическая смена
ключей через каждые
30 минут
Routing and Remote
Access Service
фирмы Microsoft

Программное расширение
для маршрутизации
под IP и IPX.
Работает поверх Windows NT Server
Блокировать/пропустить –
в зависимости от адреса источника/адреса назначения/
порта источника/порта назначения/типа сообщения по
ICMP/идентификатора
протокола IP
  RC4
F-Secure
Virtual Private Network
(VPN)
фирмы Data Fellows

Программный маршрутизатор
под IP, обеспечивающий
шифрование/туннелирование данных. ПО на базе
встроенной ОС Unix

Блокировать/пропустить –
в зависимости от того,
шифруется ли сообщение
  DES-CBC/Triple-DES/ Idea/
Blowfish. Смена ключей по
истечении заданного проме жутка времени
BorderWare Firewall Server
фирмы Secure Computing

Брандмауэр
с интегрированными средствами туннелирования

Блокировать/пропустить –
в зависимости от адреса
источника/адреса назначения
  DES-CBC/ Triple-DES-CBC/
RC4-40/ RC4-128

В заключение еще раз перечислим факторы, которые необходимо учитывать при построении корпоративных VPN: технические характеристики открытой внешней среды передачи информации; преимущества и недостатки используемых для построения VPN протоколов; варианты построения VPN; регулирование использования VPN-технологий со стороны российского законодательства; специфика (форма собственности, категорирование информации и т. д.) и финансовые возможности предприятия. Очевидно, что в одной небольшой статье невозможно подробно осветить все возникающие проблемы, связанные с построением конкретной корпоративной VPN. Поэтому авторы еще вернутся к этой теме и, в частности, к вопросу о правовом регулировании использования VPN-технологий в корпоративных сетях.

 

 

"Защита информации. Кофидент", №6, 2000

 

| Начало | Новости | О проекте | О ЦПР | Правовая информация | Сотрудничество | Наши партнеры | Координаты |

Copyright © 2004-2016 ЧОУ ДПО «ЦПР». Все права защищены
info@cprspb.ru