Методы, способы и средства защиты информации

ТЕХНОЛОГИЯ ПОСТРОЕНИЯ ВИРТУАЛЬНЫХ ЗАЩИЩЕННЫХ СЕТЕЙ ViPNet

Учебно-методическое пособие

Москва

ББК: 32.973.26-018.2

Т 38

 

 

Технология построения виртуальных защищенных сетей ViPNet: Учебно-методическое пособие.– Москва: 11-формат, 2007. - 323 c.

 

 

Составители: А.О. Чефранова, А.А. Бурков, В.В. Игнатов и др.

Пособие посвящено теоретическим и практическим вопросам использования технологии ViPNet. Рассмотрена терминология, концепции, формы, методы и средства, применяемые в технологии построения виртуальных защищенных сетей. Особое место отведено вопросам, связанным с особенностями ключевой структуры ViPNet-сети, а также вопросам обработки трафика ViPNet-драйвером.

Пособие предназначено для учебных курсов по технологии ViPNet, а также для авторизованных центров ОАО “ИнфоТеКС”, на базе которых проходит обучение по учебным программам подготовки специалистов ViPNet. Также оно может быть рекомендовано специалистам служб компьютерной безопасности по вопросам построения комплексных систем защиты информации и применения средств защиты в автоматизированных системах.

Рецензенты:

 

Кандидат технических наук Д.М.Гусев,

Д.С.Задонский

 

 

Все права защищены. Любая часть этого издания не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения ОАО “ИнфоТеКС”.
Предисловие

Тенденции рынка средств защиты информации сегодня и завтра определяются все большей интеграцией информационных технологий в единое сетевое пространство. Глобальные сети, включая, конечно Интернет, интегрируются с корпоративными сетями. Все большее число корпоративных сетей строится на базе услуг, предоставляемых местными телекоммуникационными провайдерами. Все проще становится получить высококлассный доступ в Интернет, а через него к своим корпоративным ресурсам любым индивидуальным пользователям из любой точки мира. Качество предоставляемых общедоступных услуг возрастает быстрыми темпами. Ясно уже, что современный бизнес не может обойтись без инфокоммуникаций, а процесс интеграции сетевых технологий все более остро предъявляет требования к их безопасности, что позволило бы бизнесу и отраслям экономики с высокой степенью уверенности использовать современные инфокоммуникации для повышения эффективности своей деятельности.

Но, к сожалению, постоянно усложняющиеся операционные и прикладные системы современных компьютеров, повышают возможность проведения различного рода сетевых атак, как из внутренних, так и внешних сетей, что может, наоборот, при активном использовании инфокоммуникаций привести к существенному снижению эффективности деятельности бизнеса и различных секторов экономики.

К серьезным проблемам безопасности может привести и наблюдающаяся сегодня тенденция к безоглядной ориентации на технологии, основанные на открытом распределении ключей (PKI), надежность которых очень сильно зависит от достижений современной математики. Эта же проблема относится и к механизмам электронной цифровой подписи, использование которой в критически важных системах без дополнительных мер защиты вызывает серьезные опасения.

Поэтому в условиях интеграции сетевых технологий, все возрастающей роли технологий беспроводных соединений, постоянно повышающейся мобильности пользователей все большее значение приобретают средства сетевой защиты информации, обеспечивающие персональную защиту компьютеров, которые независимо от используемых коммуникаций позволяли бы гарантировать целостность данных, безопасность компьютеров и конфиденциальность информации.

К таким средствам, безусловно, относятся программные средства VPN, интегрированные с персональными сетевыми экранами, которые, будучи установленными на компьютеры, позволяют обеспечить высокий уровень безопасности на самых небезопасных коммуникациях и позволяют пользователю спокойно воспользоваться всем спектром сервисов и услуг. Это объясняется тем, что такое программное обеспечение при его правильной реализации, в отличие от других средств, выполняющих защиту на других более высоких уровнях (SSL и др.), способно контролировать любой трафик данного компьютера, с высокой надежностью предотвратить возможные сетевые атаки, сохранить целостность и конфиденциальность данных. А в наиболее ответственных случаях может осуществлять исключительно криптографическую, (то есть гарантированно аутентифицированную) фильтрацию трафика с блокировкой любого открытого трафика. Это полностью исключает любые возможности по доступу к информации и компьютеру со стороны других компьютеров, не имеющих необходимых ключей связи, и гарантирует возможность доступа компьютеров, имеющих соответствующие ключи, только в рамках разрешенных протоколов.

Высокая привлекательность этих технологий определяется их прозрачностью для любых приложений и независимостью от операционной среды, что позволяет практически полностью отделить развитие всевозможных сервисов и прикладных систем от проблем безопасности.

При использовании таких технологий на существующую информационную инфраструктуру легко накладывается распределенная система персональных и межсетевых экранов, взаимодействующих между собой по технологии VPN и осуществляющих фильтрацию и шифрование трафика, что позволяет обеспечить конфиденциальность и достоверность информации при наличии сетевых атак, как из глобальных, так и из локальных сетей. При этом обеспечивается возможность построения защищенных подсистем произвольных топологий и размерности, возможность создания внутри распределенной сети взаимно – недоступных виртуальных защищенных контуров для обеспечения функционирования в единой телекоммуникационной среде различных по конфиденциальности или назначению информационных задач. В виртуальный контур могут включаться, как отдельные компьютеры, так и группы компьютеров, находящиеся в локальных или глобальных сетях.

Технология виртуальных защищенных сетей ViPNet, одновременно ориентированная на персональную сетевую защиту компьютеров и локальных сетей в целом предназначена для решения именно таких задач. Технология ViPNet основана на использовании программных модулей, применяется на любых существующих IP-сетях, коммутируемых и выделенных каналах, сетях MPLS, технологиях и протоколах GPRS, xDSL, Wireless и др., не требует специального оборудования и настроек со стороны пользователя, совместима с любым прикладным программным обеспечением. Технология поддерживается в любых операционных системах Windows, ОС Linux, Sun Solaris.

Данное пособие является результатом работы целого коллектива сотрудников компании ОАО “ИнфоТеКС”. Появившись в начале в виде отдельных лабораторных работ, пособие в настоящее время приняло вид полноценного практикума, использование которого позволит повысить эффективность учебных курсов по технологии ViPNet, а также даст возможность получить необходимый опыт при самостоятельном разворачивании виртуальных защищенных сетей ViPNet.

Выражаем огромную благодарность отделу сопровождения и клиентских проектов ОАО “ИнфоТеКС” за те предложения и замечания, которые позволили приблизить задания, приводимые в пособии, к реальным потребностям клиентов, персонально: Начальнику отдела ОСКП Задонскому Дмитрию Сергеевичу, Начальнику отдела проектов Набережному Роману Владимировичу, а также сотруднику отдела ОСКП Семенову Андрею Викторовичу и др. Также мы очень благодарны Начальнику отдела прикладного ПО Центра разработки ОАО “ИнфоТеКС” Поташникову Александру Викторовичу, который консультировал весь наш отдел во время подготовки пособия, а также программисту отдела Семенову Алексею Викторовичу.

Заранее выражаем признательность всем, кому предстоит работать с данным пособием, за предложения и замечания, которые можно направлять по адресу [email protected].

 

Отдел учебных программ ОАО “ИнфоТеКС”

Используемые в пособии сокращения и аббревиатуры

- АКШ – асимметричный ключ шифрования;

- АММК – асимметричный межсетевой мастер-ключ;

- АП – абонентский пункт;

- АПК – аппаратно-программный комплекс;

- АРМ – автоматизированное рабочее место;

- ВК – виртуальный компьютер (см. также «виртуальная машина»);

- ВМ – виртуальная машина (см. также «виртуальный компьютер»);

- ДП – Деловая Почта;

- ЗК – закрытый (секретный) ключ;

- ИСММК – индивидуальный симметричный межсетевой мастер-ключ;

- КД – ключевая дискета;

- КН – ключевой набор;

- КЦ – ключевой центр;

- МК – мастер-ключ;

- МККЗ – мастер-ключ ключей защиты;

- МККО – мастер-ключ ключей обмена;

- МКПК – мастер-ключ персональных ключей;

- ММК – межсетевой мастер-ключ;

- МЭ (МСЭ) – межсетевой экран;

- НРПК (РНПК) – набор резервных персональных ключей;

- ОИ – Открытый Интернет (технология обработки информации в ПО ViPNet);

- ОК – открытый (несекретный) ключ;

- ОС – операционная система;

- ПЗ – прикладная задача;

- ПО – программное обеспечение;

- ПФ – Пенсионный Фонд России;

- ПЭ (ПСЭ) – персональный сетевой экран;

- РНПК (НРПК) – резервный набор персональных ключей;

- РО – региональное отделение (ФСС);

- СГ – сетевая группа;

- СО – сетевой объект;

- СКЗИ – система криптографической защиты информации;

- СМ – сервер-маршрутизатор;

- СОС – список отозванных сертификатов;

- СП – Сервис публикаций, программа семейства ViPNet;

- СУ – сетевой узел;

- СУБД – система управления базами данных;

- ТК – тип коллектива;

- УКЦ – удостоверяющий и ключевой центр, программа семейства ViPNet;

- УЛ – уполномоченное лицо;

- УП – уполномоченное представительство (либо РО либо филиала РО);

- УСММК – универсальный симметричный межсетевой мастер-ключ;

- УЦ – удостоверяющий центр;

- ФСС – Фонд Социального Страхования России;

- ЦА – центральный аппарат (ФСС);

- ЦР – Центр регистрации, программа семейства ViPNet;

- ЦУ – центральный узел (связи ФСС);

- ЦУС – центр управления сетью, программа семейства ViPNet;

- ЭЦП – электронная цифровая подпись;

- AD – Active Directory (служба каталогов корпорации Microsoft);

- BOOTP – bootstrap protocol (протокол загрузки);

- DHCP – dynamic host configuration protocol (протокол динамической конфигурации хоста);

- DNS – domain name system (служба доменных имен);

- DST – расширение наименования файла (т.н. dst-файл).

- FTP – File Transfer Protocol (протокол передачи файлов);

- ICMP – internet control message protocol (межсетевой протокол управления сообщениями) (сетевой протокол стека протоколов TCP\IP);

- IP – internet protocol (межсетевой протокол) (сетевой протокол стека протоколов TCP\IP);

- KC – key center (ключевой центр);

- LDAP – lightweight directory access protocol (облегченный протокол службы каталогов);

- NAT – network address translation (трансляция сетевых адресов);

- NCC – network control center (центр управления сетью);

- POP – post office protocol (протокол почтового отделения) (прикладной протокол стека протоколов TCP\IP);

- SGA – secure gateway applet (апплет для наблюдения и управления Coordinator Linux);

- SMTP – simple mail transfer protocol (простой протокол передачи данных) (прикладной протокол стека протоколов TCP\IP);

- SNMP - simple network management protocol (простой протокол управления сетью) (прикладной протокол стека протоколов TCP\IP);

- SS – security service (служба безопасности);

- TCP – transmission control protocol (протокол управления передачей данных) (транспортный протокол стека протоколов TCP\IP);

- UDP – user datagram protocol (пользовательский протокол данных) (транспортный протокол стека протоколов TCP\IP);

- VPN – [Virtual Private Network] – виртуальная защищенная сеть;

ViPNet – торговая марка, принадлежащая ОАО «ИнфоТеКС».
Введение

Компания “ИнфоТеКС” (Информационные Технологии и Коммуникационные Системы), являющаяся компанией - разработчиком комплекса ViPNet, была создана в 1989 году и до сегодняшнего времени осуществляет свою деятельность в двух направлениях: как производитель программного обеспечения для защиты информации и как управляющая компания, осуществляющая развитие и сопровождение проектов в области телефонной связи.

Краткие исторические вехи в развитии Компании:

· 1990-1991 гг. Компания делает решительные шаги на рынке программного обеспечения для территориально распределенных защищенных от несанкционированного вмешательства банковских компьютерных сетей.

· Начало 1992 года. Создание DOS версии продукта " Корпоративная наложенная сеть ИнфоТеКС".

· 1992-1993 гг. Компания расширяет свою деятельность на рынке корпоративных телекоммуникаций, оказывая инжиниринговые услуги по телефонизации крупных предприятий Тюменского региона.

· 1992 - 1993 г.г. - управление проектом создания выделенной корпоративной сети Сбербанка РФ на каналах связи ОАО " Ростелеком" для ряда областных банков СБ РФ, реализация проектов выделенной телефонной связи для нефтегазодобывающей и перерабатывающей отрасли.

· 1994 год - создание пилотной корпоративной защищенной сети для ЦБ РФ на базе системы спутниковой связи " Сокол - Банкир", которая впоследствии охватила около 40 ГУ ЦБ РФ по территории России.

· 1994 год – Компания выходит на рынок услуг местной связи и создает свое подразделение в г.Элиста, которое по итогам 1996-1997 гг. охватывает примерно 50% местного рынка услуг радиотелефонной связи.

· 1995 - 1996 г.г. - управление проектом создания транкинговой радиотелефонной сети связи в Республике Калмыкия. В 1999 - 2000 г.г. под управлением ОАО " ИнфоТеКС" была проведена модернизация существующей сети и построена новая сеть цифровой междугородней телефонной связи.

· 1996 - 1997 г.г. - Компания захватила 20% рынка корпоративных решений для финансовых и банковских организаций.

· 1997 - 1998 годы - Компания управляла строительством цифровой телефонной сети общего пользования на юге России. В настоящее время указанная сеть охватывает предоставлением услуг более 8000 пользователей, в том числе около 2000 корпоративных пользователей. Услуги сети предоставляются в г.г. Ростов-на-Дону и Таганрог с общей численностью населения более 2 миллионов человек. Услуги сети имеют международный сертификат качества (ISO 9001).

· 1997 - 1998 годы - создана Windows версия " Корпоративной наложенной сети ИнфоТеКС", что позволило в посткризисный период сохранить объем продаж и увеличить долю на зарождающемся Российском рынке Интернет-приложений.

· 1999 - 2000 г.г. - создан целый ряд продуктов и сетевых решений, объединенных торговой маркой ViPNet. Ряд продуктов и среди них ViPNet Corporate, ViPNet Custom получили значительное признание на рынке.

· 2001- по настоящее время – Создание и развитие технологии ViPNet для построения полноценных корпоративных VPN с развитой клиентской частью в TCP/IP сетях под ОС Windows. Дальнейшее развитие технологии ViPNet в сторону поддержки PKI, включая разработку ПО Удостоверяющий центр, разработка многоплатформенных решений под ОС Linux, FreeBSD, Sun Solaris. Проекты: ПФ РФ, Госкомстат, МЭРиТ, ЮГБАНК, ЮТК МИД РФ, МПС, МинАтом, ВЭБ, Альфа Капитал, Reuters. Организация собственных учебных курсов.

ОАО " ИнфоТеКС" является частью группы компаний ИнфоТеКС, в которую также входят операторские компании ОАО " ИнфоТеКС Таганрог Телеком", ОАО " ИнфоТеКС Элиста Телеком" и провайдер сервиса информационной безопасности ОАО " ИнфоТеКС Интернет Траст". Быстрый рост всей группы был бы невозможен без технологии ViPNet, которая является не только средством для организации защищенных коммуникаций, но и одним из инструментов эффективного управления бизнесом предприятий.

Деятельность компании на рынке информационных технологий регламентируется лицензиями ФСБ (ФАПСИ) и Гостехкомиссии:

· Лицензия Министерства обороны Российской федерации на деятельность в области создания средств защиты информации №171 от 30 сентября 2003 года, действительна до 30 сентября 2006 года, на право осуществлять проектирование, разработку, производство и сервисное обслуживание средств защиты информации на всей территории Российской Федерации;

· Лицензия Федеральной службы по техническому и экспортному контролю Российской федерации на деятельность по разработке и (или) производству средств защиты конфиденциальной информации №0203 от 16 февраля 2005 года, действительна до 16 февраля 2010 года, на право осуществлять разработки и производства средств защиты конфиденциальной информации;

· Лицензия Центра ФСБ по лицензированию, сертификации и защите государственной тайны на осуществление работ с использованием сведений, составляющих государственную тайну №1611 от 15.02.03;

· Лицензия Федеральной службы по техническому и экспортному контролю Российской федерации № 164 от 11 апреля 2005 года, действительна до 11 апреля 2008 года, на проведение работ, связанных с созданием средств защиты информации;

· Лицензия ФАПСИ на право осуществлять производство средств защиты информации №ЛФ/07-3715 от 01.03.03;

· Лицензия ФАПСИ на право осуществлять проектирование средств защиты информации №ЛФ/07-3714 от 01.03.03;

· Лицензия ФАПСИ на право осуществлять деятельность по техническому обслуживанию шифровальных средств №ЛФ/07-3717 от 01.03.03;

· Лицензия ФАПСИ на право осуществлять деятельность по распространению шифровальных средств №ЛФ/07-3716 от 01.03.03;

· Лицензия ФАПСИ на право осуществлять проведение работ, связанных с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну №ЛФ/07-3478 от 30.12.02;

· Лицензия ФАПСИ на право осуществлять проведение работ, связанных с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны
№ЛФ/07-3479 от 30.12.02.

Вся линия продуктов ViPNet имеет сертификаты соответствия:

· Сертификат соответствия № СФ/114-0613 от 19.05.03, удостоверяющий, что программное средство криптографической защиты информации (СКЗИ) " Домен-К" (версия 2.0) соответствует требованиям ГОСТ 28147-89, ГОСТ Р34.10-94, ГОСТ Р34.11-94, ГОСТ Р34.10-2001 и требованиям ФАПСИ к стойкости СКЗИ Класса КНВ 2.99 и может использоваться для выработки ключей шифрования и электронной цифровой подписи, шифрования, имитозащиты, электронной цифровой подписи информации, не содержащей сведений, составляющих государственную тайну (уровень КС1);

· Сертификат соответствия № СФ/124-0614 от 19.05.2003 г., удостоверяющий, что аппаратно-программное средство криптографической защиты информации (СКЗИ) " Домен-К" (версия 2.0) соответствует требованиям ГОСТ 28147-89, ГОСТ Р34.10-94, ГОСТ Р34.11-94, ГОСТ Р34.10-2001 и требованиям ФАПСИ к стойкости СКЗИ Класса КНВ 2.99 и может использоваться для выработки ключей шифрования и электронной цифровой подписи, шифрования, имитозащиты, электронной цифровой подписи информации, не содержащей сведений, составляющих государственную тайну (уровень КС2);

· Сертификат Государственной технической комиссии № 939 от 04.10.04 г. на программный комплекс ViPNet SafeDisk версия 2.9 - по 3 уровню контроля отсутствия НДВ и 5 классу СВТ;

· Сертификат соответствия Федеральной службы безопасности РФ № СФ/128-0755 от 19.01.05 г. на программно-аппаратный комплекс " Удостоверяющий центр корпоративного уровня сети " ViPNet" (версия 3.0) на соответствие требованиям к информационной безопасности класса КС2 удостоверяющих центров;

· Сертификат ФСТЭК России №545/1 от 29.03.05 г. на программный комплекс " ViPNet" на соответствие 3 уровню контроля отсутствия НДВ и классу защищенности 1В для автоматизированных систем;

· Сертификат ФСТЭК России №546/1 от 29.03.05 г. на программный комплекс " ViPNet" на соответствие 3 уровню контроля отсутствия НДВ и 3 классу защищенности для межсетевых экранов.

Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ ОБ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ

 

1.1. Виды угроз информационной безопасности в телекоммуникационных системах

Существует множество классификаций угроз информационной безопасности (по способу воздействия, по результату атаки, по типу атакующего, по происхождению атаки).

Рассмотрим следующие виды угроз информационной безопасности:

1. незаконное копирование данных и программ;

2. незаконное уничтожение информации;

3. нарушение адресности и оперативности информационного обмена;

4. нарушение технологии обработки данных и информационного обмена;

5. внедрение программных вирусов;

6. внедрение программных закладок, позволяющих осуществить несанкционированный доступ или действия по отношению к информации и системам ее защиты, приводящие к компрометации системы защиты.

Результатом подобных действий злоумышленника может стать нарушение целостности и конфиденциальности информации, отказ в доступе к сервисам и информации и нарушение аутентичности передаваемых сведений.

Под целостностью будем понимать способность системы обеспечить точность, достоверность и полноту передаваемой информации. В процессе хранения или передачи данных злоумышленник, получив к ним доступ, может модифицировать их. Тем самым он скомпрометирует их точность и достоверность.

Если говорить о конфиденциальности, то будем рассматривать два вида конфиденциальной информации: государственная тайна и коммерческая тайна. Утечка или утрата этих данных может повлечь за собой материальный ущерб, послужить причиной снижения рейтинга организации, сказаться на лояльности клиентов, вызвать скандал, долгие судебные разбирательства и т.п.

Конфиденциальность защищаемой информации обеспечивают на всех этапах ее циркуляции в системе: при хранении, передаче, использовании.

Установка аутентичности может осуществляться следующим образом. Получив какие-либо сведения, получатель может усомниться в их достоверности, то есть поставить под вопрос личность отправителя и факт отправки, время отправки и получения сообщения.

Если говорить о доступности, то существует целый класс атак, целью которых является сделать недоступными какие-либо сервисы или информацию (например, DoS-атаки (Denial of Service)). Результатом DoS-атаки может стать «повисание», перезагрузка компьютера или отказ какого-либо его программного или аппаратного компонента.

Таким образом, целями информационной безопасности являются:

- обеспечение целостности и конфиденциальность информации,

- проверка аутентичности информации и ее отправителя,

- обеспечение доступности информации.

Методы, способы и средства защиты информации

При создании системы информационной безопасности необходимо учитывать, что защититься от всех атак невозможно, поскольку реализация подобной системы может стоить очень дорого. Поэтому требуется четкое представление о том, какие атаки могут произойти и с какой вероятностью. На основании этих сведений составляется список актуальных угроз, исходя из которого возможно создание комплекса мер противодействия. В него могут быть включены списки методов, средств и способов противодействия угрозам. Все вместе это и составляет политику информационной безопасности. Политика безопасности – это основополагающий документ, регламентирующий работу системы информационной безопасности. Политика безопасности может включать в себя сведения об актуальных угрозах и требования к инструментарию обеспечения защиты информации. Кроме того, в ней могут быть рассмотрены административные процедуры. Примером политики информационной безопасности может быть Доктрина Информационной Безопасности РФ.

Рассмотрим некоторые наиболее популярные методы защиты информации.

Физическая безопасность. Упущения в обеспечении физической безопасности делает бессмысленным защиту более высокого уровня. Так, например, злоумышленник, получив физический доступ к какому-либо компоненту системы информационной безопасности, скорее всего сможет провести удачную атаку.

Шифрование – математическая процедура преобразования открытого текста в закрытый. Может применяться для обеспечения конфиденциальности передаваемой и хранимой информации. Существует множество алгоритмов шифрования (DES, IDEA, ГОСТ и др.).

Электронная цифровая подпись (ЭЦП), цифровые сигнатуры. Применяются для аутентификации получателей и отправителей сообщений. Строятся на основе схем с открытыми ключами.

Резервирование, дублирование. Резервирование оборудования позволяет динамично переходить с вышедшего из строя компонента на дубликат с сохранением функциональной нагрузки. Например, в случае DoS-атаки может стать выход из строя какого-либо программного или аппаратного компонента информационной системы и тогда резервирование позволит «перебросить» часть задач с недоступного или перегруженного элемента на резервные элементы.

Кроме перечисленных методов защиты информации существуют методики, такие как: проверка соответствия стандартам; проверка корректности применения протоколов; ограничение передачи опасных данных; контроль операций на уровне приложений.

Перейдем теперь к вопросу использования отдельных средств защиты информации, позволяющие использовать перечисленные методы защиты.

 

1.2. VPN как средство информационной защиты

Аббревиатуру VPN можно расшифровать не только как Virtual Private Network (Виртуальная Частная Сеть), но и как Virtual Protected Network, т.е. Виртуальная Защищенная Сеть.

Термин “private” имеет два основных значения: частный (собственный) и конфиденциальный (закрытый). Если говорить о первом значении, то частная сеть – это сеть, в которой всё оборудование, включая территориальные кабельные системы, коммутирующие устройства, средства управления, являются собственностью предприятия. Такая сеть отвечает требованиям и второго определения, так как в собственной сети легче соблюдать конфиденциальность, поскольку все ресурсы сети используются только сотрудниками предприятия – владельца сети.

VPN – это частная сеть передачи данных, использующая открытую телекоммуникационную инфраструктуру и сохраняющая при этом конфиденциальность передаваемых данных посредством применения протоколов туннелирования и средств защиты информации.

Цель VPN-технологий состоит в максимальной степени обособления потоков данных одного предприятия от потоков данных всех других пользователей сети общего пользования. Обособленность должна быть обеспечена в отношении параметров пропускной способности потоков и в конфиденциальности передаваемых данных.

Таким образом, задачами технологий VPN являются обеспечение в сетях общего пользования гарантированного качества обслуживания для потоков данных, а также защита их от возможного НСД.

Так как основной задачей VPN является защита трафика, поэтому виртуальная сеть должна удовлетворять большому числу требований и, в первую очередь, обладать надежной криптографией, гарантирующей защиту от прослушивания, изменения, отказа от авторства. Кроме того, VPN должна иметь надежную систему управления ключами и криптоинтерфейс, позволяющий осуществлять криптооперации: защищенная почта, программы шифрования дисков и файлов и др.

В настоящее время интерес к использованию средств для построения VPN постоянно растёт, что обусловлено целым рядом причин:

1.Низкой стоимостью эксплуатации за счет использования сетей общего пользования вместо собственных или арендуемых линий связи;

2.Масштабируемостью решений;

3.Простотой изменения конфигурации;

4.“Прозрачностью” для пользователей и приложений.

При использовании VPN-технологий можно обеспечить:

-защиту (конфиденциальность, подлинность и целостность) передаваемой по сетям информации;

-защиту внутренних сегментов сети от НСД со стороны сетей общего пользования;

-контроль доступа в защищаемый периметр сети;

-сокрытие внутренней структуры защищаемых сегментов сети;

-идентификацию и аутентификацию пользователей сетевых объектов;

-централизованное управление политикой корпоративной сетевой безопасности и настройками VPN-сети.

Перейдём к рассмотрению видов виртуальных частных сетей.

По наиболее распространенной классификации существуют следующие виды VPN [1]:

1. Интранет VPN (Intranet VPN) – внутрикорпоративная виртуальная сеть, объединяет в единую защищенную сеть несколько распределенных филиалов одной организации, взаимодействующих по открытым каналам связи.

 

 

2. VPN удаленного доступа (Remote Access VPN) – виртуальная сеть с удаленным доступом, реализует защищенное взаимодействие между сегментом корпоративной сети и удаленным пользователем, который подключается к корпоративным ресурсам, используя беспроводные устройства связи и мобильный компьютер (мобильный пользователь), либо модем и компьютер (домашний пользователь).

 

 

 

3. Клиент-сервер VPN (Client-Server VPN) – обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети.

 

 

4. Экстранет VPN (Extranet VPN) – межкорпоративная виртуальная сеть, реализует защищенное соединение компании с ее деловыми партнерами и клиентами, уровень доверия к которым намного ниже, чем к своим сотрудникам.

 

Все продукты для создания VPN можно условно разделить на следующие категории: программные, аппаратные и интегрированные.

Программное решение для VPN – это, как правило, готовое приложение, которое устанавливается на подключенные к сети компьютеры. С одной стороны, программное решение относительно недорого, но с другой стороны, создание подобной системы предусматривает целый ряд настроек рабочих станций и серверов, что может быть затруднительным даже для опытных специалистов. Особое место в этом случае будет иметь вопрос совместимости программного обеспечения для VPN и операционной системы, а также сетевых настроек каждого отдельного компьютера.

В отличие от них аппаратные VPN-решения включают в себя все, что необходимо для соединения – аппаратное устройство и компьютер, частную (как правило) операционную систему и специальное программное обеспечение. Развертывать аппаратные решения значительно легче, но зато стоимость их достаточно высокая и позволить их себе приобрести может не каждая организация.

Существуют также интегрированные решения, в которых функции построения VPN реализуются наряду с функцией фильтрации сетевого трафика, обеспечения качества обслуживания и др.

Как правило, построение VPN для распределенных компаний даже с небольшим количеством удаленных филиалов является достаточно трудоемкой задачей, сложность которой объясняется следующими причинами:

- гетерогенностью используемых аппаратно-программных платформ,

- разнообразием задач (защищенный обмен между головным офисом и филиалами, офисом и мобильными или удаленными сотрудниками, сегментами внутренней сети),

- необходимостью построения централизованной системы управления всей корпоративной VPN,

- наличием низкоскоростных каналов связи.

Сложность определяется еще и тем, что у заказчиков определенные критерии отбора средств для построения VPN, такие как: масштабируемость, интегрируемость, легальность используемых алгоритмов и решений, пропускная способность защищаемой сети, стойкость применяемых криптоалгоритмов, унифицируемость VPN-решений, стоимость.

Перейдем к рассмотрению возможных вариантов построения виртуальных частных сетей.

Варианты построения и средства защиты информации, дополняющие VPN

Построение VPN может быть реализовано сетевыми средствами различных категорий:

1.серверами удаленного доступа и маршрутизаторами, позволяющими создавать защищенные туннели на канальном уровне сетевой модели (модели OSI);

2.межсетевыми экранами, включающими в свой состав серверы удаленного доступа и позволяющими создавать VPN как на канальном и сетевом, так и на сеансовом уровнях;

3.автономным программным обеспечением, позволяющим создавать защищенные виртуальные сети в основном на сетевом и сеансовом уровнях;

4.отдельными специализированными аппаратными средствами на основе специализированной ОС реального времени, имеющими два или более сетевых интерфейса и аппаратную криптографическую поддержку и ориентированными на формирование защищенных туннелей на канальном и сетевом уровнях;

5.комбинированными пограничными устройствами, которые включают в себя функции маршрутизатора, межсетевого экрана, средства управления пропускной способностью и функции VPN.

Гарантируя защиту передаваемой информации, VPN не обеспечивает её защиту во время хранения на конечных компьютерах. Эта задача решается целым рядом специальных средств: систем криптозащиты файлов и дисков; систем защиты от НСД к компьютерам; антивирусных систем; межсетевых экранов (МЭ).

Например, вопрос совместного использования МЭ и VPN возникает в случае защиты компьютерных сетей во всех вариантах, кроме VPN на базе МЭ. МЭ - это “ограда” вокруг сети, которая препятствует проникновению сквозь неё злоумышленников, а VPN - “бронированный автомобиль”, который защищает ценности при вывозе их за пределы такой ограды.

Существуют несколько крайностей – устанавливать МЭ перед VPN-устройством и после него. В первом случае возникает ситуация, когда на МЭ из Интернет попадает нерасшифрованный трафик, что приводит к невозможности контроля передаваемого содержимого. В другом случае само устройство VPN становится уязвимым к внешним атакам. Идеальным решением, к которому пришло большинство зарубежных производителей, а также отечественные разработчики, является совмещение в одном устройстве функций МЭ и VPN. Именно такое использование обоих решений обеспечивает необходимый уровень защищенности информационных ресурсов.