Защищенные виртуальные частные сети (Virtual Private Net — VPN)

Для защиты информации, передаваемой по открытым каналам связи, поддерживающим протоколы TCP/IP, существует ряд технологий и программных продуктов, предназначенных для постросния VPN на основе международных стандартов IPSec. Виртуальные сети создаются чаще всего на базе арендуемых и коммутируемых каналов связи в сетях общего пользования (Интернет). Для небольших и средних компаний они являются хорошей альтернативой изолированным корпоративным сетям, так как обладают очевидными преимуществами: высокая гарантированная надежность, изменяемая топология, простота конфигурирования, легкость масштабирования, контроль всех событий и действий в сети, относительно невысокая стоимость аренды каналов и коммуникационного оборудования.

При выходе локальной сети в открытое интернет-пространство возникают угрозы двух основных типов: НСД к данным в процессе их передачи по открытой сети и НСД к внутренним ресурсам КИС. Информационная защита при передаче данных по открытым каналам реализуется следующими мерами: взаимная аутентификация сторон, прямое и обратное криптографическое преобразование данных, проверка достоверности и целостности полученных данных.

Организация защиты с использованием технологии виртуальных частных сетей подразумевает формирование защищенного «виртуального туннеля» между узлами открытой сети, доступ в который невозможен потенциальному злоумышленнику. Преимущества этой технологии очевидны: аппаратная реализация довольно проста, нет необходимости создавать или арендовать дорогие выделенные физические сети, можно использовать открытый дешевый Интернет, скорость передачи данных по туннелю такая же, как по выделенному каналу.

В настоящее время существуют четыре вида архитектуры организации защиты информации на базе применения технологии VPN.

• 1. Локальная сеть VPN (Local Area Network-VPN). Обеспечивает защиту потоков данных и информации от НСД внутри сети компании, ИБ на уровне разграничения доступа, системных и персональных паролей, безопасности функционирования ОС, ведение журнала коллизий, шифрование конфиденциальной информации.
• 2. Внутрикорпоративная сеть VPN (Intranet-VPN). Обеспечивает безопасные соединения между внутренними подразделениями распределенной компании. Для такой сети подразумевается:
  • • использование мощных криптографических средств шифрования данных;
  • • обеспечение надежности работы критически важных транзакционных приложений, СУБД, электронной почты, Telnet, FTP;
  • • скорость и производительность передачи, приема и использования данных;
  • • гибкость управления средствами подключения новых пользователей и приложений.
• 3. Сети VPN с удаленным доступом (Internet-VPN). Обеспечивают защищенный удаленный доступ удаленных подразделений распределенной компании и мобильных сотрудников, и отделов через открытое пространство Интернета. Такая сеть организует: адекватную систему идентификации и аутентификации удаленных и мобильных пользователей; эффективную систему управления ресурсами защиты, находящимися в географически распределенной ИС.
• 4. Межкорпоративная сеть VPN (Extranct-VPN). Обеспечивает эффективный защищенный обмен информацией с поставщиками, партнерами, филиалами корпорации в других странах. Предусматривает использование стандартизированных и надежных VPNпродуктов, работающих в открытых гетерогенных средах и обеспечивающих максимальную защищенность конфиденциального трафика, включающего в себя аудиои видеопотоки информации — конфиденциальные телефонные переговоры и телеконференции с клиентами.

Можно выделить два основных способа технической реализации виртуальных туннелей:

• 1) построение совокупности соединений (Frame Relay или Asynchronous Transfer Mode) между двумя нужными точками единой сетевой инфраструктуры, надежно изолированной от других пользователей механизмом организации встроенных виртуальных каналов;
• 2) построение виртуального IP-туннеля между двумя узлами сети на базе использования технологии туннелирования, когда каждый пакет информации шифруется и «вкладывается» в поле нового пакета специального вида (конверт), который и передается по IP-туннелю — при этом пакет протокола более низкого уровня помещается в поле данных пакета более высокого уровня.

Туннель VPN обладает всеми свойствами защищенной выделенной линии, проходящей через открытое пространство Интернета. Особенность технологии туннелирования состоит в том, что она позволяет зашифровать не только поле данных, а весь исходный пакет, включая заголовки. Это важная деталь, так как из заголовка исходного пакета злоумышленник может извлечь данные о внутренней структуре сети, например информацию о числе локальных сетей и узлов и их IP-адресов. Зашифрованный пакет инкапсулируется в другой пакет с открытым заголовком, который транспортируется по соответствующему туннелю. При достижении конечной точки туннеля из внешнего пакета извлекается внутренний, расшифровывается, и его заголовок используется для дальнейшей передачи во внутренней сети или подключенному к локальной сети мобильному пользователю (рис. 20.5).

Туннелирование предназначено не только для обеспечения конфиденциальности внутреннего пакета данных, но и для его целостности и аутентичности. Механизм туннелирования часто применяется в различных протоколах формирования защищенного канала связи. Технология позволяет организовать передачу пакетов одного протокола в логической среде, использующей другой протокол. Таким образом, можно реализовать взаимодействие нескольких разнотипных сетей, преодолевая несоответствие внешних протоколов и схем адресации.

Рис. 20.5. Туннельная схема организации VPN-сети

Средства построения защищенной VPN достаточно разнообразны — они могут включать в себя маршрутизаторы с механизмом фильтрации пакетов (Filtering Router), многофункциональные МЭ (Multifunction Firewall), промежуточные устройства доступа в сеть (Proxy Server), программно-аппаратные шифраторы (Firmware Cryptograph). По технической реализации можно выделить следующие основные виды средств формирования VPN:

• • специализированные программные решения, дополняющие стандартную ОС функциями VPN;
• • программно-аппаратное устройство на базе специализированной ОС реального времени, имеющее два или несколько сетевых интерфейсов и аппаратную криптографическую поддержку;
• • средства VPN, встроенные в стандартный маршрутизатор или коммутатор;
• • расширение охвата защищаемой зоны канала передачи и приема данных за счет дополнительных функций МЭ.

Туннели VPN создаются для различных типов конечных пользователей: это может быть локальная сеть (Local Area Network — LAN) со шлюзом безопасности (Security Gateway) или отдельные компьютеры удаленных или мобильных пользователей с сетевым программным обеспечением для шифрования и аутентификации трафика — клиенты VPN. Через шлюз безопасности проходит весь трафик для внутренней корпоративной сети. Адрес шлюза VPN указывается как внешний адрес входящего туннелируемого пакета, а расшифрованный внутренний адрес пакета является адресом конкретного хоста за шлюзом.

Наиболее простым и относительно недорогим способом организации VPN-канала является схема, в соответствии с которой защищенный туннель прокладывается только в открытой сети для транспортировки зашифрованных пакетов. В качестве конечных точек туннеля выступают провайдеры интернет-сети или пограничные МЭ (маршрутизаторы) локальной сети. Защищенный туннель формируется компонентами виртуальной сети, функционирующими на узлах, между которыми он создается. В настоящее время активно функционирует рынок VPN-средств. Приведем некоторые примеры популярных и широко используемых решений для каждого класса продуктов.

VPN на базе сетевых ОС. Для формирования виртуальных защищенных туннелей в IP сетях сетевая ОС Windows NT использует протокол РРТР (Point-to-Point Transfer Protocol). Туннелирование информационных пакетов производится инкапсулированием и шифрованием (криптоалгоритм RSA RC4) стандартных блоков данных фиксированного формата (РРР Data Frames) в IP-дейтаграммы, которые и передаются в открытых IP-сетях. Данное решение является недорогим, и его можно эффективно использовать для формирования VPN-каналов внутри локальных сетей, домена Windows NT или с целью построения Internetи Extranet-VPN для небольших компаний малого и среднего бизнеса для защиты не критичных приложений.

VPN на базе маршрутизаторов. В России лидером на рынке VPNпродуктов является компания «Cisko Systems». Построение каналов VPN на базе маршрутизаторов Cisko осуществляется средствами ОС версии Cisko IOS 12.x. Для организации туннеля маршрутизаторы Cisko используют протокол L2TP канального уровня эталонной модели OSI, разработанного на базе «фирменных» протоколов Cisko L2 °F и Microsoft РРТР, и протокол сетевого уровня IPSec, созданного ассоциацией «Проблемная группа проектирования Internet (Internet Engineering Task Force — IETF). Эффективно применяется Cisko VPN Client, который предназначен для создания защищенных соединений Point-to-Point между удаленными рабочими станциями и маршрутизаторами Cisko — это позволяет построить практически все виды VPN-соединений в сетях.

VPN па базе МЭ. Эта технология считается наиболее сбалансированной и оптимальной с точки обеспечения комплексной безопасности КИС и ее защиты от атак из внешней открытой сети. В России нашел широкое применение программный продукт Check Point Firewall- 1/VPN-1 компании «Check Point Software Technologies». Это решение позволяет построить глубоко комплексную эшелонированную систему защиты КИС. В состав продукта входят: Check Point Firewall-1, набор средств для формирования корпоративной виртуальной частной сети Check Point VPN-1, средства обнаружения атак и вторжений Real Secure, средства управления полосой пропускания информационных пакетов Flood Gate, средства VPN-1 Secure Remote, VPN-1 Appliance и VPN-1 Secure Client для построения Localnet/Intranet/Internet/Extranet VPN-каналов. Весь набор продуктов Check Point VPN-1 построен на базе открытых стандартов IPSce, имеет развитую систему идентификации и аутентификации пользователей, взаимодействует с внешней системой распределения открытых ключей PKI, поддерживает централизованную систему управления и аудита.

На российском рынке можно указать два продукта, получивших достаточно широкую известность, — это криптографический комплекс «Шифратор IP-пакетов» производства объединения МО IIII ИЭИ (www.security.ru) и ряд программных продуктов ЗАСТАВА компании «ЭЛВИС+» (www.elvis.ru). Самым быстрорастущим сегментом рынка систем информационной безопасности по исследованиям «ГОС», «Price Waterhouse Cooper» и «Gartner Group» являются системы блокировки корпоративных каналов связи. Быстрее всего растут продажи систем защиты от утечек внутренней информации (Intrusion Detection and Prevention — IDP), которые позволяют контролировать трафик электронной почты и доступ к внешним интернет-ресурсам.

Программные продукты обеспечивают:

• • защиту (конфиденциальность, подлинность и целостность) передаваемой по сетям информации;
• • контроль доступа в защищаемый периметр сети;
• • идентификацию и аутентификацию пользователей сетевых объектов;
• • централизованное управление политикой корпоративной сетевой безопасности.

Системы шифрования с открытым криптографическим интерфейсом позволяют использовать различные реализации криптоалгоритмов. Это дает возможность использовать продукты в любой стране мира в соответствии с принятыми национальными стандартами. Наличие разнообразных модификаций (линейка продуктов включает в себя до десятка наименований для клиентских, серверных платформ, сети масштаба офиса, генерации ключевой информации) позволяет подбирать оптимальное по стоимости и надежности решение с возможностью постепенного наращивания мощности системы защиты.

В зависимости от масштаба деятельности компании методы и средства обеспечения ИБ могут различаться, но любой «продвинутый» СЮ или специалист IT-службы скажет, что любая проблема в области И Б не решается односторонне — всегда требуется комплексный, интегральный подход. В настоящее время с сожалением приходится констатировать, что в российском бизнесе многие высшие менеджеры компаний и руководители крупных государственных организаций считают, что все проблемы в сфере И Б можно решить, не прилагая особых организационных, технических и финансовых усилий.

В заключение следует отметить, что нередко со стороны людей, позиционирующих себя в качестве IT-специалистов, приходится слышать высказывания: «Проблемы информационной безопасности в нашей компании мы уже решили — установили межсетевой экран и купили лицензию на средства антивирусной защиты». Такой подход свидетельствует, что существование проблемы уже признается, но сильно недооценивается масштаб и сложность необходимых срочных мероприятий по ее решению. В тех компаниях, где руководство и специалисты всерьез задумались над тем, как обезопасить свой бизнес и избежать финансовых потерь, признано, что одними локальными мерами или «подручными» средствами уже не обойтись, а нужно применять именно комплексный подход.