VPN-технологии: организация защищенного обмена конфиденциальной информацией
А. С. Березин ,
В. М. Зима ,
С. А. Петренко
Сегодня самым экономически выгодным решением для организации защищенного обмена конфиденциальной информацией является построение так называемой виртуальной защищенной частной сети (Virtual Private Network/VPN). В первую очередь защищенный обмен конфиденциальной информацией требуется компаниям, осуществляющим обработку и передачу информации различной категории и степени конфиденциальности внутри распределенной корпоративной сети, поддерживающим постоянные связи с удаленными бизнес-партнерами и заказчиками, имеющим территориально разнесенные филиалы, содержащим штат мобильных или удаленных сотрудников (TOP-менеджеры, региональные представители и др.).
Виртуальная частная сеть (VPN) формируется на основе открытых каналов связи, например Internet. Термин «виртуальная» подчеркивает, что инфраструктура сети моделируется на основе реальных каналов связи (выделенные линии, коммутируемые каналы и т. д.). При этом реальная открытая сеть может служить основой для целого множества VPN, конечное число которых определяется только пропускной способностью открытых каналов связи.
При выборе средств построения корпоративных VPN необходимо учитывать следующие факторы:
- технические характеристики открытой внешней среды передачи информации;
- преимущества и недостатки используемых для построения VPN протоколов;
- варианты построения VPN;
- регулирование использования VPN-технологий со стороны российского законодательства;
- специфика (форма собственности, категорирование информации и т. д.) и финансовые возможности предприятия.
Рассмотрим названные факторы более подробно.
Характеристики открытой внешней среды передачи информации
Открытую внешнюю среду передачи информации можно разделить на среду скоростной передачи данных, в качестве которой может использоваться сеть Internet, а также более медленные общедоступные каналы связи – чаще всего каналы телефонной сети. Наиболее эффективным способом объединения локальных сетей и удаленных компьютеров является объединение на основе глобальной сети Internet. В случае отсутствия непосредственного подключения, доступ к Internet может осуществляться и через телефонную сеть. Организация виртуальных защищенных сетей на основе Internet обладает рядом преимуществ (рис. 1 и 2):
Особенности используемых для построения VPN протоколов
Технически реализация защищенных виртуальных сетей стала возможной уже достаточно давно. Инкапсуляция сетевых пакетов и фреймов использовалась раньше и применяется сейчас для передачи немаршрутизируемого трафика через маршрутизируемые сети, а также для ограничения многопротокольного трафика на базе одного протокола. Технологии шифрования также появились задолго до широкого внедрения глобальных сетевых технологий. Однако специализированные протоколы для создания защищенных виртуальных сетей разработаны сравнительно недавно (1992– 94 годы), и сейчас продолжается работа над их совершенствованием и расширением. Большинство из них являются открытыми, то есть свободными для распространения и реализации.
Для независимости от прикладных протоколов и приложений защищенные виртуальные сети формируются на одном из низших уровней модели OSI – канальном, сетевом или сеансовом. Канальному (второму) уровню соответствуют такие протоколы реализации VPN, как PPTP, L2F и L2TP, сетевому (третьему) уровню – IPSec, SKIP, а сеансовому (пятому) уровню – SSL/TLS и SOCKS. Чем ниже уровень эталонной модели, на котором реализуется защита, тем она прозрачнее для приложений и незаметнее для пользователей. Однако при снижении этого уровня уменьшается набор реализуемых услуг безопасности и становится сложнее организация управления VPN. Чем выше защитный уровень в соответствии с моделью OSI, тем шире набор услуг безопасности, надежнее контроль доступа и проще конфигурирование системы защиты. Однако в этом случае усиливается зависимость от используемых приложений и протоколов обмена.
В VPN криптозащита может одновременно выполняться на нескольких уровнях эталонной модели. При этом увеличивается криптостойкость, но по причине снижения общей скорости криптографических преобразований уменьшается пропускная способность виртуальной сети. Поэтому на практике защищенные виртуальные сети формируются на одном уровне модели OSI (канальном, сетевом, транспортном или сеансовом).
Таблица 1. Достоинства и недостатки средств создания VPN различных категорий
Категория |
Достоинства |
Недостатки |
VPN на базе
маршрутизаторов |
Функции поддержки сетей VPN могут быть встроены
в маршрутизирующие устройства, что не потребует
дополнительных расходов на приобретение средств,
реализующих эти функции.
Упрощается администрирование VPN |
Функционирование VPN может отрицательно повлиять на
выполнение функций маршрутизации.
Канал между получателем информации внутри локальной сети
и маршрутизатором может стать уязвимым звеном в системе защиты.
Необходимость использования идентичного каналообразующего оборудования всеми участниками VPN-канала |
Программное
обеспечение VPN
для брандмауэров |
Возможен контроль туннелируемого трафика.
Достигается высокая эффективность администрирования защищенных виртуальных сетей.
Обеспечивается комплексная защита информационного обмена.
Отсутствует избыточность аппаратных платформ для
средств сетевой защиты |
Операции, связанные с шифрованием данных, могут чрезмерно
загружать процессор и снижать производительность брандмауэра.
Если защищенный туннель завершается на брандмауэре, то канал
между получателем информации внутри локальной сети и брандмауэром может стать уязвимым звеном в системе защиты.
При повышении производительности серверных продуктов аппаратное обеспечение потребуется модернизировать.
Необходимость согласования использования МЭ всеми участками защищенного взаимодействия |
VPN на базе
специализированного
программного
обеспечения |
Высокая масштабируемость, гибкость
и переносимость решения.
Не требуются специальные аппаратные средства.
Низкая стоимость |
Администрирование VPN может потребовать отдельного
приложения, возможно, даже выделенного каталога.
При повышении производительности серверных продуктов
может возникнуть необходимость модернизации аппаратного
обеспечения |
VPN на базе
аппаратных
средств
|
Обеспечивается более высокая производительность.
Многофункциональные аппаратные устройства
облегчают конфигурацию и обслуживание.
Однофункциональные аппаратные устройства
допускают тонкую настройку для достижения
наивысшей производительности |
В многофункциональных блоках производительность одного
приложения повышается зачастую в ущерб другому.
Однофункциональные устройства могут требовать отдельных
инструментов администрирования и каталогов.
Модернизация для повышения производительности нередко
оказывается слишком дорогостоящей или невозможной.
Канал между получателем информации внутри локальной сети
и аппаратным устройством шифрования трафика может стать
уязвимым звеном в системе защиты. Высокая стоимость |
Канальный уровень. По мнению специалистов, протоколы создания защищенных виртуальных каналов на канальном уровне лучше всего подходят для защиты информационного взаимодействия при удаленном доступе к локальной сети. Учитывая, что в состав операционных систем Windows 98/NT включена реализация протокола PPTP, этот протокол для организации защищенного удаленного доступа получил наиболее широкое распространение. В ближайшее время ожидается переориентация средств удаленного доступа на более совершенный протокол L2TP (Windows 2000).
Сетевой уровень. Безусловным лидером является протокол IPSec, входящий в состав новой версии Internet-протокола – IPv6. Протокол IPSec может использоваться совместно с протоколом L2TP. Эти два протокола обеспечивают наиболее высокий уровень гибкости при защите виртуальных каналов. Дело в том, что спецификация IPSec ориентирована на протокол IP и, таким образом, бесполезна для трафика любых других протоколов сетевого уровня. Протокол L2TP отличается независимостью от транспортного уровня, что может быть полезно в гетерогенных сетях, состоящих из IP-, IPX- и AppleTalk-сегментов. IPSec стремительно завоевывает популярность и станет, вероятно, доминирующим стандартом по созданию и поддержке защищенных виртуальных сетей.
Для управления криптографическими ключами на сетевом уровне модели OSI наиболее широкое распространение получили такие протоколы, как SKIP (Simple Key management for Internet Protocols) и ISAKMP (Internet Security Association and Key Management Protocol). SKIP проще в реализации, но он не поддерживает переговоров по поводу алгоритмов шифрования. Если получатель, использующий SKIP, не в состоянии расшифровать пакет, он уже не сможет согласовать метод шифрования с противоположной стороной. Протокол ISAKMP (вернее, его более поздняя реализация протокол IKE – Internet Key Exchange) поддерживает такие переговоры и выбран в качестве обязательного протокола для управления ключами в IPSec для IPv6. В текущей четвертой версии протокола IP (в протоколе IPv4) может применяться как протокол ISAKMP, так и протокол SKIP.
Сеансовый уровень. Для шифрования информации на сеансовом уровне наибольшую популярность получил протокол SSL/TLS (Secure Sockets Layer/Transport Layer Security), разработанный компанией Netscape Communications.
С целью стандартизации процедуры взаимодействия клиентсерверных приложений TCP/IP через сервер-посредник (брандмауэр) комитет IETF утвердил протокол под названием SOCKS, и в настоящее время пятая версия данного протокола (SOCKS 5) применяется для стандартизованной реализации посредников каналов. SOCKS поддерживает приложения, требующие контроля над направлениями информационных потоков и настройки условий доступа в зависимости от атрибутов пользователя и информации.
В отличие от виртуальных сетей, защищенных на сеансовом уровне модели OSI, виртуальные сети, защищенные на канальном или сетевом уровне, обычно просто открывают или закрывают канал для всего трафика по аутентифицированному туннелю. Это может представлять проблему, если локальная сеть на другом конце туннеля является неблагонадежной. Кроме того, созданные туннели канального и сетевого уровня функционируют одинаково в обоих направлениях, а виртуальные сети, защищенные на сеансовом уровне, допускают независимое управление передачей в каждом направлении.
Виртуальные сети с посредником канала типа IPSec ориентированы на протокол IP. Если IPSec, по существу, разграничивает защищенные виртуальные каналы между разными парами взаимодействующих сторон, то протокол SOCKS 5 обеспечивает создание защищенных туннелей для каждого приложения и сеанса в отдельности. Аналогично протоколу IPSec и протоколам туннелирования канального уровня, виртуальные сети сеансового уровня можно использовать с другими типами виртуальных частных сетей, поскольку данные технологии не являются взаимоисключающими.
Прикладной уровень. Следует отметить, что имеются протоколы для реализации защищенного взаимодействия и на прикладном уровне модели OSI. Эти протоколы, как правило, являются дополнениями к различным протоколам прикладного уровня. Например, протокол Secure HTTP (SHTTP) является дополнением по функциям защиты к протоколу передачи гипертекста HTTP, а протокол Secure MIME (S/MIME) – дополнением по защитным функциям к протоколу электронной почты MIME. Прикладные протоколы защиты информационного взаимодействия не относят к протоколам построения защищенных виртуальных сетей, так как они полностью зависят от используемых сервисов и приложений. Протоколы формирования защищенных виртуальных каналов прозрачны для прикладных протоколов защиты. Соответственно, применение приложений, реализующих, например, SHTTP или S/MIME наряду с криптографической защитой на более низком уровне, нисколько не уменьшает, а только увеличивает уровень безопасности.
Варианты построения VPN
Сегодня широкое распространение получили следующие варианты построения корпоративной VPN:
- на основе маршрутизаторов, например CISCO,
- на основе брандмауэров (МЭ), например FireWall-1 CheckPoint,
- на базе специализированного ПО,
- на базе специализированных аппаратных средств.
Достоинства и недостатки каждого из вариантов представлены в табл. 1.
Заметим, что перспективным протоколом построения защищенных виртуальных сетей является протокол IPSec. Желательно, чтобы выбираемые средства создания VPN поддерживали данный протокол. Однако при этом необходимо учитывать, что стандарт IPSec характеризуется недостаточной зрелостью и пока еще не гарантирует совместимости решений разных производителей. Разработчики, поддерживающие IPSec, только приступили к выявлению и устранению проблем несовместимости. Поэтому при выборе соответствующего средства целесообразно запросить у его поставщика отчет о поддерживаемых совместимых продуктах, особенно если в объединяемых локальных сетях используются средства создания VPN разных производителей. Нестандартные схемы туннелирования и алгоритмы шифрования хороши только в том случае, если нет необходимости взаимодействовать с другими системами. Однако с учетом роста масштабов компьютерных сетей вопросы взаимодействия и совместимости становятся приоритетными для любой организации.
Таблица 2. Характеристики отдельных средств построения VPN
Продукт |
Описание продукта |
Возможности
фильтрации
|
Центр
сертификации |
Поддерживаемые
алгоритмы шифрования |
CIPro
фирмы Radguard |
Двухпортовое для VPN;
10/100 Мбит/с.
Возможна работа с Token
Ring. Специализированное
устройство |
Блокировать/пропустить/
шифровать/не шифровать –
по любому набору бит
в IP-пакете |
Специализированное
устройство X.509
RSA/Internet Secure
Association Key
Management Protocol
(ISAKMP) |
Data Encryption Standard
(DES), Triple-DES. Смена ключей по истечении заданного
промежутка времени или
после передачи заданного
объема данных |
Ravlin 10
фирмы RedCreek
Communications |
Двухпортовое специализированное устройство для VPN;
4 и 100 Мбит/с |
Блокироваться или пропускаться без шифрования могут
только сообщения под определенными протоколами
(RADIUS, DNS, BOOTP, SNMP).
Возможно блокирование
незашифрованного трафика |
Свой собственный,
работает поверх
Windows 95 или NT.
X.509/ ISAKMP |
DES/Triple-DES (CFB64 и CBC).
Смена ключей
по истечении заданного
промежутка времени |
IOS Software
фирмы Cisco Systems |
Аппаратное или программное
расширение к установленной
ранее системе под Cisco IOS
(v11.2), обеспечивающее
шифрование данных |
Блокировать/пропустить/
шифровать – в зависимости от
адреса источника/адреса назначения/порта источника/
порта назначения/уровня
обслуживания IP |
|
DES-CFB64/CFB8.
Смена ключей
по истечении заданного
промежутка времени |
Permit/Gate
фирмы TimeStep |
Двухпортовое специализированное устройство для VPN |
Блокировать/пропустить/
шифровать – в зависимости
от адреса источника/
адреса назначения |
На базе X.509,
поверх Windows 95
или NT |
DES |
InfoCrypt Enterprise
фирмы Isolation Systems |
Двухпортовое специализированное устройство для VPN;
100 Мбит/с |
Блокировать/пропустить/
шифровать – в зависимости
от адреса источника/адреса
назначения/порта
источника/порта назначения |
Свой собственный,
работает поверх
Windows 95 или NT |
DES/Triple-DES.
Смена ключей по истечении
заданного промежутка
времени |
AltaVista Tunnel 97
фирмы Digital Equipment |
Программный маршрутизатор
под IP, обеспечивающий шифрование/туннелирование
данных. ПО под Windows NT,
BSD/OS, FreeBSD и Digital Unix |
В явном виде не заданы;
могут использоваться
возможности, заложенные
в используемую ОС |
|
RC4 56/128.
Смена ключей
каждые 30 минут |
Interceptor
фирмы Technologic |
Брандмауэр
с интегрированными средствами туннелирования.
Оборудование входит в комплект поставки |
Отбросить/пропустить/
шифровать – в зависимости
от адреса источника/
адреса назначения/ порта источника/ порта назначения.
При использовании
устройств-посредников
(proxy) – в зависимости от
адреса источника/адреса
назначения/порта источника/
порта назначения/
времени суток |
|
DES-CBC/
DES-EDE-K3/
RC2-40/
RC4-40/
Safer-128SK-CBC |
PN7
фирмы Unified Access
Communications |
Многопортовое
специализированное
устройство для VPN |
Блокировать/пропустить –
в зависимости от адреса источника/адреса назначения/
порта источника/порта
назначения;
блокировать/пропустить все
сообщения, кроме заданных |
|
DES/Triple-
DES-CBC/RC2-112.
Автоматическая смена
ключей через каждые
30 минут |
Routing and Remote
Access Service
фирмы Microsoft |
Программное расширение
для маршрутизации
под IP и IPX.
Работает поверх Windows NT
Server
|
Блокировать/пропустить –
в зависимости от адреса источника/адреса назначения/
порта источника/порта назначения/типа сообщения по
ICMP/идентификатора
протокола IP |
|
RC4 |
F-Secure
Virtual Private Network
(VPN)
фирмы Data Fellows |
Программный маршрутизатор
под IP, обеспечивающий
шифрование/туннелирование данных. ПО на базе
встроенной ОС Unix |
Блокировать/пропустить –
в зависимости от того,
шифруется ли сообщение |
|
DES-CBC/Triple-DES/ Idea/
Blowfish. Смена ключей по
истечении заданного проме
жутка времени |
BorderWare Firewall Server
фирмы Secure Computing |
Брандмауэр
с интегрированными средствами туннелирования |
Блокировать/пропустить –
в зависимости от адреса
источника/адреса назначения |
|
DES-CBC/ Triple-DES-CBC/
RC4-40/ RC4-128 |
В заключение еще раз перечислим факторы, которые необходимо учитывать при построении корпоративных VPN: технические характеристики открытой внешней среды передачи информации; преимущества и недостатки используемых для построения VPN протоколов; варианты построения VPN; регулирование использования VPN-технологий со стороны российского законодательства; специфика (форма собственности, категорирование информации и т. д.) и финансовые возможности предприятия. Очевидно, что в одной небольшой статье невозможно подробно осветить все возникающие проблемы, связанные с построением конкретной корпоративной VPN. Поэтому авторы еще вернутся к этой теме и, в частности, к вопросу о правовом регулировании использования VPN-технологий в корпоративных сетях.
"Защита информации. Кофидент", №6, 2000