Организация защищенного канала между несколькими локальными сетями через Internet. Туннель на многокарточных координаторах

В транспортном режиме в конверт IPSec в криптозащищенном виде помещается только содержимое исходного IP-пакета и к полученному конверту добавляется исходный IP-заголовок. Соответственно в транспортном режиме заголовок IPSec размещается между сетевым (IP) и транспортным (TCP или UDP) заголовками обычного IP-пакета. Транспортный режим быстрее туннельного и разработан для применения на оконечных системах. Данный режим может использоваться для поддержки удаленных и мобильных пользователей, а также защиты информационных по токов внутри локальных сетей. Кроме того, транспортный режим может применяться на шлюзах для защиты внутренних связей между одноранговыми шлюзами. Это обеспечивает эффективную защиту процесса удаленного управления маршрутизаторами, коммутаторами АТМ, межсетевыми экранами и другими ключевыми компонентами инфраструктуры сети. Работа в транспортном режиме отражается на всех входящих в группу защищенного взаимодействия системах и в большинстве случаев требуется перепрограммирование сетевых приложений.

1.3.2 Протокол аутентифицирующего заголовка

Протокол аутентифицирующего заголовка (Authentication Header -- АН) обеспечивает целостность IP-пакетов и аутентификацию источника данных, а также защиту от воспроизведения ранее посланных IP-пакетов. Этот протокол полностью защищает от подлога и случайного искажения содержимое IP-пакетов, включая данные протоколов более высоких уровней. Полнота защиты полей IP-заголовков зависит от используемого режима работы-- туннельного или транспортного.

В туннельном режиме защищаются все поля IP-заголовков (рис. 1.7). При защите каждый обычный IP-пакет помещается целиком в конверт IPSec, а тот, в свою очередь инкапсулируется в другой IP-пакет. В защищенном IP- пакете внутренний (первоначальный) IP-заголовок содержит целевой адрес пакета, а внешний IP-заголовок содержит адрес конца туннеля.

Рис. 1.7. IP-пакет до и после применения протокола АН в туннельном режиме

При использовании протокола АН в транспортном режиме защита не накладывается лишь на те поля IP-заголовков, которые меняются на маршруте ) доставки непредсказуемым образом. К таким полям для протокола IPv4 от носится поле Типе to Live, задающее время жизни IP-пакета, а также поле Туре of Service, определяющее тип его обслуживания. Для IPv6 защита не накладывается на поля Prio. и Flow Label, подобные полю Туре of Service в IPv4, а также на поле Нор Limit, задающее максимальное число промежуточных систем на пути следования пакета и уменьшаемое при передаче па- кета каждым маршрутизатором на единицу. В транспортном режиме в конверт IPSec помещается только содержимое защищаемого IP-пакета и к полученному конверту добавляется исходный IP-заголовок (рис. 1.10).

Рис. 1.8. IP-пакет до и после применения протокола АН в транспортном режиме

Формат заголовка AH представлен на рис. 1.9. Поясним смысл полей этого заголовка.

* Next Header -- однобайтовое поле, содержащее код типа следующего заголовка, вложенного в IPSec пакет. Например, если в IPSec пакете содержится TCP-пакет, то данное поле будет содержать число 6 -- код протокола TCP.

* Payload Len -- длина заголовка АН в 32-битных словах минус 2. ,

* SPI -- 32-битный индекс параметров безопасности, определяющий структуру SA (Security Association), содержащую все параметры туннеля IPSec, включая типы криптографических алгоритмов и ключи шифрования.

* Sequence Number -- без знаковое 32-битное целое, увеличиваемое на единицу после передачи каждого защищенного по протоколу AH IP- пакета. Данное поле обеспечивает защиту от воспроизведения ранее по сланных IP-пакетов. Отправитель обязан поддерживать этот счетчик. При формировании каждого защищенного сеанса информационного обмена в рамках туннеля IPSec обе взаимодействующие стороны делают свои счетчики нулевыми, а потом согласованным образом увеличивают их.

* Authentication Data -- поле переменной длины, содержащее информацию, используемую для аутентификации пакета и называемую МАС- кодом (Message Authentication Code). Это поле называют также цифровой подписью, имитовставкой, хэш-значением или криптографической контрольной суммой (Integrity Check Value -- ICV) пакета. Способ вычисления этого поля определяется алгоритмом аутентификации.

Рис. 1.9. Формат заголовка АН

Для вычисления содержимого поля Authentication Data могут применяться; различные алгоритмы. В настоящее время предписывается обязательная, поддержка алгоритмов НМАС-MD5 и НМАС-SHA1, основанных на применении односторонних хэш-функций с секретными ключами. Секретные ключи генерируются в соответствии с протоколом ISAKMP.

Таким образом, независимо от режима работы, протокол АН предоставляет меры защиты от атак, ориентированных на нарушение целостности и подлинности пакетов сообщений. С помощью этого протокола аутентифицируется каждый пакет, что делает программы, пытающиеся перехватить управление сеансом, неэффективными. Несмотря на нахождение IP-заголовков за пределами защищенного IPSec конверта, протокол АН обеспечивает аутентификацию не только содержимого, но и заголовков IP-пакетов. Но следует иметь в виду, что аутентификация по протоколу АН не допускает манипулирование основными полями IP-заголовка во время прохождения пакета.. По этой причине данный протокол нельзя применять в среде, где используется механизм трансляции сетевых адресов (Network Address Translation- NAT), так как манипулирование IP-заголовками необходимо для его работы.

1.3.3 Протокол инкапсулирующей защиты содержимого

Протокол инкапсулирующей защиты содержимого (Encapsulating Security Payload -- ESP) обеспечивает выполнение следующих функций по защите информационного обмена:

* криптографическое закрытие содержимого IP-пакетов;

* частичная защита от анализа трафика путем применения туннельного режима;

* формирование и проверка цифровой подписи IP-пакетов для их защиты от нарушений подлинности и целостности;

* защита от воспроизведения Ip-пакетов.

Представленный перечень функций по защите информационного обмена показывает, что функциональность протокола ESP шире, чем у протокола AH. Протокол ESP обеспечивает конфиденциальность данных, а также поддерживает все функции протокола АН по защите зашифрованных потоков данных от подлога, воспроизведения и случайного искажения.

Обобщенно все функции защиты, поддерживаемые протоколом ESP можно свести к аутентификации, которую обеспечивает также протокол АН, и криптографическому закрытию передаваемых IP-пакетов. Спецификация IPSec допускает использование протокола ESPдля криптографического закрытия IP-пакетов без использования функций аутентификации. Кроме того, допускается использование фиктивного шифрования при выполнении функций протокола АН. Таким образом, в протоколе ESP функции аутентификации и криптографического закрытия могут быть задействованы либо вместе, либо отдельно друг от друга. При выполнении шифрования без аутентификации появляется возможность использования механизма трансляции сетевых адресов (Network Address Translation -- NAT),поскольку в этом случае адреса в заголовках IP-пакетов можно модифицировать.

Независимо от режима использования протокола ESP его заголовок формируется как инкапсулирующая оболочка для зашифрованного содержимого (рис. 1.10).

Рис. 1.10. Формат заголовка ESP

Поля SPI, Sequence Number, Next Header и Authentication Data имеют тот же смысл, что и для АН. Поле Authentication Data помещается в заголовок ESP только при включенной аутентификации. В поле Payload Data, имеющее переменную длину, включается инкапсулируемый пакет, который шифруется вместе с полями Padding, Pad Length и Next Header. Поле Padding представляет собой байты, добавляемые для обеспечения кратности длины инкапсулируемого пакета и размера блока алгоритма шифрования. Поле Pad Length содержит длину области Padding. В туннельном режиме использования протокола ESP в качестве инкапсулируемого пакета выступает весь исходный IP-пакет (рис. 1.11), а в транспортном -- только его содержимое, т. е. исходный TCP- или UDP-пакет. Алгоритм применения протокола ESP к исходящим IP-пакетам включает следующие шаги:

* инкапсулируемый пакет копируется в буфер;

* далее к этому пакету в буфере приписываются дополняющие байты (поле Padding), их число (поле Pad Length) и тип первого заголовка инкапсулируемого пакета (поле Next Header); поле Padding выбирается таким, чтобы поле Next Header было прижато к границе 32-битного слова, а размер буфера удовлетворял требованиям алгоритма шифрования;

* текущее содержимое буфера зашифровывается;

* в начало буфера приписываются поля SPI и Sequence Number с соответствующими значениями;

* пополненное содержимое буфера обрабатывается по используемому алгоритму аутентификации, и после окончания этой процедуры в конец, буфера помещается поле Authentication Раса;

* формируется результирующий IP-пакет путем приписывания соответствующего IP-заголовка в начало буфера.

Рис. 1.11. IP-пакет до и после применения протокола ESP

Таким образом, если в соответствии с протоколом ESP предусматриваются и криптографическое закрытие, и аутентификация, то аутентифицируется зашифрованный пакет. Для входящих пакетов действия выполняются в обратном порядке, то есть сначала производится аутентификация. Это позволяет не тратить ресурсы на расшифровку поддельных пакетов, что в какой то степени защищает от атак, ориентированных на отказ в обслуживании.

При использовании протокола ESP в туннельном режиме (рис. 1.11) каждый исходный IP-пакет в криптозащищенном виде помещается целиком в конверт IPSec, а тот, в свою очередь инкапсулируется в другой IP-пакет. В защищенном IP-пакете внутренний (исходный) IP-заголовок, располагаемый в зашифрованной части, содержит целевой адрес пакета, а внешний IP-заголовок содержит адрес конца туннеля. Когда ESP используется в транспортном режиме (рис. 1.11), в конверт IPSec в криптозащищенном виде помещается только содержимое исходного IP-пакета и к полученному конверту добавляется исходный IP-заголовок.

В настоящее время спецификация IPSec для криптографического закрытия IP-пакетов по протоколу ESP предписывает обязательную поддержку алгоритма шифрования DES-СВС (Data Encryption Standard in Cipher Block Chaining mode). Данный алгоритм шифрования применятся в протоколе ESP по умолчанию. Он необходим для обеспечения IPSec-совместимости. В качестве альтернативы DES определены алгоритмы Triple DES, САЯТ-128, RC5, IDEA, Blowfish и ARCFour.

Алгоритм CAST (стандарт RFC 2144) считается таким же стойким, как алгоритм Triple DES со 128-битовым ключом. Кроме того, CAST быстрее чем : DES. Алгоритм RC5 (стандарт И..С 2040) является алгоритмом шифрования потока данных, использующим ключ переменной длины. По мнению болваншинства, стойкость RC5 зависит от длины ключа, которая может достигать 256 бит. Алгоритм IDEA (International Data Encryption Algorithm) рассматривают как "быстрый" эквивалент Triple DES. Еще одним алгоритмом, использующим ключ переменной длины, является Blowfish, который также считается достаточно стойким. Алгоритм ARCFour является общедоступной версией алгоритма RC4.

Выбор алгоритма, за исключением алгоритма DES, который является обязательным, целиком зависит от разработчика. Возможность выбора алгоритма шифрования предоставляет дополнительное преимущество: ведь злоумышленник должен не только вскрыть шифр, но и определить, какой именно шифр ему надо вскрывать. Вместе с необходимостью подбора ключей это существенно снижает вероятность своевременного обхода криптозащиты. Протоколы АН и ESP могут комбинироваться разными способами. Если используется транспортный режим, то аналогично тому, как в рамках ESP аутентификация идет следом за шифрованием, протокол АН должен применяться после. протокола ESP. В туннельном режиме протоколы АН и ESP применяются к разным вложенным пакетам и, кроме того, в данном режиме допускается многократная вложенность туннелей с различными начальными и/или конечными точками. Поэтому в случае туннельного режима число возможных комбинаций по совместному использованию протоколов AH и ESP существенно больше.

1.3.4 Управление защищенным туннелем

Создание и поддержка защищенного виртуального канала невозможны без реализации функций управления. В спецификации IPSec такие функции разделяются на две группы:

* общие функции управления, основанные на использовании базы данных политики безопасности (Security Policy Database -- SPD);

* функции управления, ориентированные на согласование параметров туннеля и формирование контекста безопасности (Security Association -- SA), который описывает общие параметры защищенного виртуального канала.

В соответствии с общими функциями управления все входящие и исходящие IP-пакеты должны сопоставляться с упорядоченным набором правил политики безопасности, которая задается для следующих объектов:

* для каждого сетевого интерфейса с задействованными средствами IPSec;

* для каждого исходящего и входящего потока данных.

Cогласно спецификациям IPsec политика должна быть рассчитана на независимую обработку IP-пакетов на сетевом уровне модели OSI по современной технологии фильтрации. Соответственно должны существовать средства администрирования базы данных политики безопасности, подобные средствам администрирования базы правил межсетевых экранов. База данных политики безопасности (SPD) представляет собой упорядоченный набор правил, каждое из которых включает совокупность селекторов и допустимых контекстов безопасности. Селекторы служат для отбора пакетов, а контексты задают требуемую обработку.

При сопоставлении с упорядоченным набором правил в первую очередь обрабатываются селекторы, в которых указывается совокупность анализируемых полей сетевого и более высоких протокольных уровней. В реализациях, IPSec должна поддерживаться фильтрация IP-пакетов на основе анализа следующих элементов:

* исходного и целевого IP-адреса; при этом адреса могут быть индивидуальными и групповыми (допускается также применение в правилах диапазонов адресов и метасимволов "любой");

* имени пользователя или узла (в формате DNS или Х.500);

* номеров используемого транспортного протокола;

* номеров исходного и целевого портов (здесь также могут применяться диапазоны и метасимволы).

Первое подходящее правило из базы данных политики безопасности (SPD) определяет дальнейшую судьбу пакета:

* пакет ликвидируется;

* пакет обрабатывается без использования средств IPSec;

* пакет обрабатывается средствами IPsec с учетом набора контекстов безопасности, ассоциированных с правилом.

В случае принятия решения об обработке пакета средствами IPSec анализируются контексты безопасности выбранного правила. Каждый контекст безопасности (SA) описывает параметры допустимого IPSec-соединения, включающие типы криптографических алгоритмов, ключи шифрования, а также другую служебную информацию для защиты информационного обмена. Если правило ссылается на несуществующий контекст, то для формирования защищенного IPSec-туннеля данный контекст должен быть создан. В этом случае должно поддерживаться автоматическое управление контекстами и ключами.

При создании контекста безопасности (SA) взаимодействующие стороны должны аутентифицировать друг друга и согласовать между собой параметры туннеля, включающие, помимо различной служебной информации, типы криптографических алгоритмов и ключи шифрования. Для решения этих задач в IPSec используется протокол согласования параметров виртуального канала и управления ключами (Internet Security Association Key Management Protocol -- ISAKMP), обеспечивающий общее управление защищенным виртуальным соединением. Протокол ISAKMP описывает базовую технологию аутентификации, обмена ключами и согласования всех остальных параметров IPSec-туннеля при создании контекстов безопасности (SA). Однако ISAKMP не содержит конкретные алгоритмы обмена криптографическими ключами. Поэтому для обмена ключами могут использоваться другие протоколы. В настоящий момент в качестве такого протокола, используемого при формировании IPSec-туннеля, выбран протокол Oakley, основанный на алгоритме Диффи-Хеллмана. Объединение протоколов ISAKMP и Oakley обозначают как ISAKMP/Oakley.

Согласно протоколу ISAKMP согласование параметров защищенного взаимодействия необходимо как при формировании IPSec-туннеля, так и при формировании в его рамках каждого защищенного однонаправленного соединения. Глобальные параметры туннеля образуют управляющий контекст и согласуются по протоколу ISAKMP/Oakley. Параметры каждого защищенного однонаправленного соединения согласуются на основе созданного управляющего контекста и как раз образуют упоминаемый выше контекст безопасности (Security Association -- SA), называемый еще протокольным контекстом. Для идентификации каждого из контекстов безопасности предназначен индекс параметров безопасности (Security Parameters Index -- SPI). Этот индекс включается в заголовки защищенных IPSec-пакетов, чтобы принимающая сторона смогла правильно их расшифровать или аутентифицировать, воспользовавшись указанным контекстом безопасности (SA).

Криптографические ключи для каждого защищенного однонаправленного соединения (входящие в контекст безопасности этого соединения) генерируются на основе ключей, выработанных в рамках управляющего контекста. При этом учитываются алгоритмы аутентификации и шифрования, используемые в протоколах аутентифицирующего заголовка (АН) и инкапсулирующей защиты (ESP).

В соответствии со спецификацией IPSec обработка исходящего и входящего трафика не является симметричной. Для исходящих пакетов просматривается база данных политики безопасности (SPD), находится подходящее правило, извлекаются ассоциированные с ним контексты безопасности (SA) и применяются соответствующие функции защиты. Во входящих пакетах для каждого защитного протокола уже проставлено значение индекса параметров безопасности (SPI), однозначно определяющее контекст (SA). В этом случае просмотр базы данных политики безопасности не требуется, так как политика безопасности учитывалась при формировании соответствующего контекста (SA).

Гибкость политики безопасности при использовании протокола IPSec определяется селекторами и контекстами безопасности, употребленными в правилах. Например, в случае, когда в селекторах фигурируют только IP- адреса, пара взаимодействующих компьютеров может применять один набор контекстов безопасности. Если же анализируются номера TCP- и UDP- портов, то набор контекстов может быть своим для каждого приложения. Соответственно, с одной стороны, два защитных шлюза могут организовать единый туннель для всех обслуживаемых компьютеров, а с другой -- могут разграничить туннель путем организации разных контекстов по парам компьютеров или даже приложений.

1.4 Построение защищенных виртуальных сетей на сеансовом уровне

Особенности туннелирования

Сеансовый уровень является максимально высоким уровнем модели OSI, на котором возможно формирование защищенных виртуальных каналов. При построении защищенных виртуальных сетей на данном уровне достигаются наилучшие показатели по функциональной полноте защиты информационного обмена, надежности контроля доступа, а также простоте конфигурирования системы безопасности. Протоколы формирования защищенных виртуальных каналов на сеансовом уровне прозрачны для прикладных протоколов защиты, а также высокоуровневых протоколов предоставления различных сервисов (протоколов HTTP, FTP, POPИ, SMTP, NNTP и др.). Однако на сеансовом уровне начинается непосредственная зависимость от приложений, реализующих высокоуровневые протоколы. Поэтому реализация протоколов защиты информационного обмена, соответствующих этому уровню, в большинстве случаев требует внесения изменений в высокоуровневые сетевые приложения.

Так как сеансовый уровень модели OSI отвечает за установку логических соединений и управление этими соединениями, то на данном уровне появляется возможность использования программ-посредников, проверяющих допустимость запрошенных соединений и обеспечивающих выполнение других функций защиты межсетевого взаимодействия. В общем случае программы посредники, которые традиционно используются в межсетевых экранах, могут выполнять следующие функции:

* идентификация и аутентификация пользователей;

* криптозащита передаваемых данных;

* разграничение доступа к ресурсам внутренней сети;

* разграничение доступа к ресурсам внешней сети;

* фильтрация и преобразование потока сообщений, например, динамический поиск вирусов и прозрачное шифрование информации;

* трансляция внутренних сетевых адресов для исходящих пакетов сообщений;

* регистрация событий и реагирование на задаваемые события;

* кэширование данных, запрашиваемых из внешней сети.

Таким образом, при построении защищенных виртуальных сетей на сеансовом уровне появляется возможность не только криптографической защиты информационного обмена, включая аутентификацию, но и возможность реализации ряда функций посредничества между взаимодействующими сторонами.

2. Анализ программного продукта ViPNet Custom

Технология ViPNet, обеспечивает организацию защищенного электронного документооборота с возможностями шифрования и подписания документов ЭЦП, полностью удовлетворяют требованиям Федерального закона от 10.01.2002г. № 1-ФЗ «Об электронно-цифровой подписи».

С учетом полученных и постоянно обновляемых сертификатов ФСБ и ФСТЭК России на отдельные компоненты и программные комплексы технология ViPNet является оптимальным решением вопросов защиты конфиденциальной информации, в том числе, персональных данных в соответствии с Федеральным законом от 27 июля 2006г. № 152-ФЗ «О защите персональных данных».

ViPNet CUSTOM -- это широкая линейка продуктов компании «ИнфоТеКС», включающая программные и программно-аппаратные комплексы (средства защиты информации ограниченного доступа, в том числе персональных данных).

ViPNet CUSTOM -- это более 10-ти лет развития уникальных технологий защиты информации в корпоративных сетях крупных государственных и коммерческих организаций России, проводимого в соответствии с национальными стандартами по информационной безопасности.

ViPNet CUSTOM позволяет организовывать защиту информации в крупных сетях (от нескольких десятков до десятков тысяч сетевых узлов -- рабочих станций, серверов и мобильных компьютеров) и нацелен на решение двух важных задач информационной безопасности:

· Создание защищенной, доверенной среды передачи информации ограниченного доступа с использованием публичных и выделенных каналов связи (Интернет, телефонные и беспроводные линии связи) путем организации виртуальной частной сети (VPN) с одним или несколькими центрами управления.

· Развертывание инфраструктуры открытых ключей (PKI) с организацией Удостоверяющего Центра с целью использования механизмов электронно-цифровой подписи в прикладном программном обеспечении заказчика (системах документооборота и делопроизводства, электронной почте, банковском программном обеспечении, электронных торговых площадках и витринах), с поддержкой возможности взаимодействия с PKI-продуктами других отечественных производителей

С использованием ViPNet CUSTOM могут разрабатываться решения по защите информации, требующие проведения разработки (доработки) функционала компонентов комплекса по требованиям заказчика. Поэтому ViPNet CUSTOM -- это постоянное развитие функциональных возможностей и следование современным требованиям российского рынка средств защиты информации.

Компания «ИнфоТеКС» особое внимание уделяет вопросам сертификации своих разработок в соответствии с требованиями ФСБ и ФСТЭК России. Отдельные продукты и наборы продуктов из состава ViPNet CUSTOM регулярно проходят сертификацию по требованиям к СКЗИ, средствам сетевого экранирования (межсетевым и персональным сетевым экранам), по отсутствию недекларированных возможностей. Так, например, под общим названием СКЗИ «Домен-КС2/КМ» проходит сертификацию набор продуктов, состоящий из ViPNet Administrator (в части Ключевого центра), ViPNet MFTP и ViPNet CryptoService. А под названием ПАК «Удостоверяющий центр корпоративного уровня ViPNet КС2/КМ» проходит сертификацию набор из ViPNet Administrator (в части Удостоверяющего центра), ViPNet Publication Service, ViPNet Registration Point и ViPNet Client. Необходимость объединения продуктов в такие наборы для сертификации вызвана различиями в специфике систем сертификации ФСБ и ФСТЭК России и разными требованиями, по которым сертификация осуществляется, а также невозможностью выделить из комплексного решения, которым является ViPNet CUSTOM, отдельно сетевой экран или отдельно Удостоверяющий центр.

С 2008 года компоненты продуктовой линейки ViPNet CUSTOM также сертифицируются в системе сертификации Газпромсерт.

Технические преимущества ViPNet CUSTOM

· ViPNet CUSTOM ориентирован на организацию защищенного взаимодействия «клиент-клиент», в то время как большинство VPN-решений других производителей обеспечивают только соединения уровня «сервер-сервер» или «сервер-клиент». Это дает возможность реализовать любую необходимую политику разграничения доступа в рамках всей защищенной сети, а также снизить нагрузку на VPN-серверы, так как в общем случае при взаимодействии «клиент-клиент» VPN-сервер не задействован в операциях шифрования трафика между этими клиентами.

· Большое внимание в ViPNet CUSTOM уделено решению проблемы функционирования в условиях наличия разнообразного сетевого оборудования и программного обеспечения, реализующего динамическую или статическую трансляцию адресов и портов ( NAT / PAT ), что существенно облегчает процесс интеграции системы защиты в существующую инфраструктуру сети. В большинстве случаев настройка ПО ViPNet Client вручную не требуется.

· В ViPNet CUSTOM реализована раздельная фильтрация открытого и шифруемого трафиков, что позволяет даже среди доверенных сетевых узлов ограничивать возможность работы через несанкционированные порты, протоколы и за счет этого повышать уровень безопасности защищенной сети.

· Каждый компонент ViPNet CUSTOM содержит встроенный сетевой экран и систему контроля сетевой активности приложений или работают совместно с ПО ViPNet Client, что позволяет получить надежную распределенную систему межсетевых и персональных сетевых экранов.

· Для разрешения возможных конфликтов IP-адресов в локальных сетях, включаемых в единую защищенную сеть, ViPNet CUSTOM предлагает развитую систему виртуальных адресов. Во многих случаях она позволяет упростить настройку прикладного ПО пользователя, так как наложенная виртуальная сеть со своими виртуальными адресами скрывает реальную сложную структуру сети. Также становится возможным решение проблем взаимодействия локальных сетей с пересекающейся IP-адресацией.

· ViPNet CUSTOM поддерживает возможность межсетевого взаимодействия, что позволяет устанавливать необходимые защищенные каналы связи между произвольным числом защищенных сетей, построенных с использованием ViPNet CUSTOM.

· ViPNet CUSTOM обеспечивает защиту информации в современных мультисервисных сетях связи, предоставляющих услуги IP-телефонии и аудио- и видеоконференцсвязи. Поддерживается приоритезация трафика и протоколы H.323, Skinny, SIP.

· ПО ViPNet Coordinator поддерживает работу на современных многопроцессорных и многоядерных серверных платформах, что позволяет обеспечивать высокую скорость шифрования трафика.

Коммерческие преимущества ViPNet CUSTOM

· По сравнению с обычными VPN-решениями ViPNet CUSTOM предоставляет целый ряд дополнительных возможностей по защищенному обмену информацией: встроенные службы мгновенного обмена сообщениями (чат и конференция) и файлами, а также собственная защищенная почтовая служба с элементами автоматизации обмена письмами, файлами и поддержкой механизмов ЭЦП.

· Дополнительные сетевые возможности комплекса ViPNet CUSTOM, такие как контроль сетевой активности приложений, строгий контроль доступа в Интернет, механизмы аварийной перезагрузки и защиты от вторжений на этапе загрузки операционной системы, -- позволяют организовать защиту от большинства сетевых атак и минимизировать затраты на систему безопасности в целом.

· ViPNet CUSTOM является самодостаточным комплексом продуктов, поэтому нет необходимости приобретать дополнительные элементы, такие как базы данных, почтовые серверы и специализированные серверные платформы. ViPNet CUSTOM не несет скрытых затрат -- Вы платите только за те компоненты ViPNet CUSTOM, которые Вам необходимы.

· Так как ViPNet CUSTOM может поставляться в виде программного комплекса, его установка и настройка не потребует приобретения специализированного оборудования и может быть произведена на уже существующем компьютерном парке заказчика. В большинстве случаев также не требуется переконфигурация сетевого оборудования.

· Гибкое ценообразование и возможность по мере необходимости пополнения лицензий на компоненты ViPNet CUSTOM позволяют формировать оптимальное ценовое решение для каждого конкретного заказчика. Вы платите только за то, что Вам нужно сейчас, остальное можно купить позже.

· Компания «ИнфоТеКС» проводит на регулярной основе учебные курсы по подготовке администраторов защищенных сетей, построенных с использованием продуктовой линейки ViPNet CUSTOM. Обучив собственных специалистов, можно существенно сэкономить на работах по установке, настройке и эксплуатации защищенной сети.

3. Разработка схемы защищенной сети

3.1 Требования безопасности

Рис. 3.1. Схема незащищенной сети

Информация об исходной схеме сети

· Адреса в локальных сетях частные.

· На входах в локальные сети стоят компьютеры PROXY с реальными адресами.

· Возможности по количеству локальных сетей не ограничены.

Требуемая защита

· Требуется защита информационного обмена при прохождении через открытый Интернет.

· Требуется, чтобы защищенный туннель был прозрачен для пользователей, которые работают с ресурсами удаленных ЛВС.

· Требуется, чтобы пользователи локальной сети не имели доступа к ресурсам открытого Интернета, за исключением ресурсов других локальных сетей, определенных администратором, с которыми организуется защищенное взаимодействие.

Из схемы видно, что информационный обмен между локальными сетями осуществляется по открытым каналам передачи данных, т.е. через Интернет. Ни для кого не секрет, что при передаче данных через Интернет имеется множество различных угроз информационной безопасности. Следовательно, безопасность информационного обмена между локальными сетями полностью отсутствует, а это в свою очередь влечет за собой возможность нанесения ущерба компании, использующей данную сеть.

При использовании данной схемы в реальных условиях имеются следующие угрозы:

- Нарушение конфиденциальности информации, циркулирующей в данной сети, что может нанести прямой ущерб ее владельцу, т.е. фирме

- Нарушение целостности информации. Ценная информация может быть утрачена или обесценена путем ее несанкционированного удаления или модификации. Ущерб от таких действий может быть много больше, чем при нарушении конфиденциальности

- Нарушение работоспособности сети, что является причиной нарушения доступности информации. Вывод из строя или некорректное изменение режимов работы компонентов сети, их модификация или подмена могут привести к получению неверных результатов или отказу сети от потока информации. Последнее означает непризнание одной из взаимодействующих сторон факта передачи или приема сообщений. Имя в виду, что такие сообщения могут содержать важные донесения, заказы, финансовые согласования и т.п., ущерб в этом случае может быть весьма значительным.

Реализация данных угроз возможна путем осуществления следующих удаленных атак:

- Анализ сетевого трафика

- Сканирование сети с целью выявления уязвимостей

- Использование эксплойтов программного обеспечения

- Подмена доверенного объекта или субъекта сети

- Внедрение ложного объекта сети

- Внедрение вредоносного ПО в сеть

- Перехват сетевого трафика

Перейдем к формированию требований конкретной защиты данной сети.

Из анализа схемы незащищенной сети можно выявить требования к защите данной сети.

Главное требование - организация безопасного информационного обмена при прохождении трафика через Интернет. Для реализации этого требования необходимо использовать технологию туннелирования.

Помимо этого так же требуется наличие аутентификации пользователей с проверкой их аутентичности, использующих информационный туннель, на машинах, которые его реализуют, а сама процедура защищенного обмена должна быть совершенно прозрачной для пользователей.

Доступ к ресурсам открытого Интернета должен быть закрыт для пользователей локальных сетей, за исключением ресурсов, необходимых для работы. Доступ к ресурсам других локальных сетей и ресурсам мобильных пользователей должен быть разграничен администратором для каждого пользователя в соответствии с выполняемой работой и занимаемым положением в компании.

Мобильные пользователи должны иметь доступ к туннелируемым ресурсам локальных сетей, но и в этом случае доступ должен быть определен администратором.

Каждое автоматизированное рабочее место сети должно быть защищено межсетевым экраном.

Также в сети должен проводиться общий аудит любой сетевой активности, что поможет обнаружить вторжение или удаленную атаку.

Выполнение данных требований снизит до минимума вероятность осуществления успешной удаленной атаки на сеть и повысит уровень информационную безопасность предприятия

3.2 Схема защиты

Для организации безопасного обмена между локальными сетями необходимо организовать зашифрованный канал передачи. Такой канал называется информационным туннелем и создается он структурными единицами локальных сетей, называемыми координаторами. В большинстве случаев координаторы используют больше одного сетевого интерфейса, поэтому называются многокарточными. Это дает большую гибкость в конфигурации сети. Узлы, между которыми формируется туннель, называются инициатором и терминатором туннеля. Инициатор туннеля инкапсулирует (встраивает) пакеты в новый пакет, содержащий наряду с исходными данными новый заголовок с информацией об отправителе и получателе. Терминатор туннеля выполняет процесс обратный инкапсуляции - он удаляет новые заголовки и направляет каждый исходный пакет в локальный стек протоколов или адресату в локальной сети.

Благодаря инкапсуляции появляется возможность полной криптографической защиты инкапсулируемых пакетов. Конфиденциальность инкапсулируемых пакетов обеспечивается путем их криптографического закрытия, то есть зашифровывания, а целостность и подлинность - путем формирования цифровой подписи.

Рис. 3.2. Схема защиты, обеспечивающая выполнение сформулированных требований

Схематично нашу сеть после реализации функций защиты можно представить, как показано на рисунке 2. Из схемы видно, что открытый сигнал (схематично показан молнией) в Интернет не проходит. Обмен данными возможен только по созданному туннелю, который показан жирной пунктирной линией. Для пользователей процесс обмена информационными потоками совершенно прозрачен.

Весь трафик, проходящий через созданный туннель, шифруется, но с учетом того, что при шифровании используется многопоточность, на скорости передачи данных это почти не отражается, и пользователи не замечают разницы между закрытым обменом и открытым, как было изначально, что не делает их работу менее комфортной, а передаваемая информация даже при осуществлении успешного перехвата злоумышленником не будет раскрыта.

Доступ к каждому рабочему месту закрыт персональной ключевой информацией, которая проверяется на координаторах в процессе аутентификации, и которую пользователи хранят в секрете. Так же проверяется аутентичность каждого пользователя на основе его электронно-цифровой подписи, что исключает внедрение ложных объектов или субъектов в сеть.

Доступ пользователей к ресурсам Интернет ограничен локальными политиками безопасности, и каждый пользователь может посещать только те сайты, которые указаны в политике его локальной сети.

Каждый компьютер в результате оказался защищен межсетевым экраном, что предотвращает доступ извне в локальную сеть.

Мобильные компьютеры так же имеют доступ к информационному туннелю, что дает им возможность участвовать в информационном обмене всей сети, и они также защищены межсетевым экраном, что делает работу пользователей за ними безопасной.

Аудит сетевой активности в данной системе также присутствует.

Комментарии к схеме:

ПО ViPNet [Администратор] устанавливается на один из компьютеров (администратор безопасности) распределенной сети (обычно в центральном офисе). ПО ViPNet [Координатор] устанавливается на шлюзы локальных сетей (PROXY-серверы). IP-адреса таких компьютеров должны быть статическими. ПО выполняет следующие функции:

· туннелирует открытый информационный обмен между компьютерами удаленных ЛВС в защищенное соединение от ViPNet [Координатора] данной ЛВС до ViPNet [Координатора] удаленной ЛВС;

· туннелирует открытый информационный обмен между компьютерами своей ЛВС в защищенное соединение от ViPNet [Координатора] данной ЛВС до защищенного мобильного пользователя с ПО ViPNet [Клиент];

· разграничивает доступ удаленных туннелируемых компьютеров и защищенных мобильных пользователей к ресурсам «своей» ЛВС (компьютеры удаленной ЛВС и защищенные мобильные пользователи смогут получить доступ не к каждому компьютеру данной ЛВС);

· разграничивает доступ «своих» туннелируемых компьютеров к ресурсам удаленной ЛВС и защищенных мобильных пользователей (не каждый компьютер данной ЛВС сможет получить доступ к компьютерам удаленной ЛВС и защищенным мобильным пользователям);

· является сервером IP-адресов, то есть является справочным бюро, которое сообщает защищенным мобильным пользователям о текущем состоянии других объектов VPN (включены или выключены) и их IP-адресах;

· является сервером для рассылки обновлений (ПО, справочная и ключевая информация);

· является сервером-маршрутизатором для рассылки почтовых сообщений (если используется программа «Деловая Почта») и файлов, посылаемых по «файловому обмену» между объектами VPN;

· является Межсетевым Экраном, который запрещает несанкционированный доступ в ЛВС из Интернета.

ПО ViPNet [Клиент] устанавливается на компьютеры всех мобильных пользователей.

Заключение

Эффективное применение ИТ в сочетании с технологиями в области информационной безопасности является важнейшим стратегическим фактором повышения конкурентоспособности современных предприятий и организаций. Технология виртуальных частных сетей VPN позволяет решать эти задачи, обеспечивая связь между сетями, а также между удаленным пользователем и корпоративной сетью с помощью защищенного канала (туннеля), «проложенного» в общедоступной сети Интернет.

Достоинства использования VPN-технологий для защиты информации в распределенных сетевых ИС масштаба предприятия:

* возможность защиты всей корпоративной сети -- от крупных локальных сетей офисов до отдельных рабочих мест. Защита может быть распространена на все звенья сети -- от сегментов локальных сетей до коммуникационных каналов глобальных сетей, в том числе выделенных и коммутируемых линий;

* масштабируемость системы защиты, т. е. для защиты объектов различной сложности и производительности можно использовать адекватные по уровню сложности, производительности и стоимости программные или программно-аппаратные средства защиты;

* использование ресурсов открытых сетей в качестве отдельных коммуникационных звеньев корпоративной сети; все угрозы, возникающие при использовании сетей общего пользования, будут компенсироваться средствами защиты информации;

* обеспечение подконтрольности работы сети и достоверная идентификация всех источников информации. При необходимости может быть обеспечена аутентификация трафика на уровне отдельных пользователей;

* сегментация ИС и организация безопасной эксплуатации системы, обрабатывающей информацию различных уровней конфиденциальности, программными и программно-аппаратными средствами защиты информации.

Технология VPN входит в число важнейших технологий, которые планируют использовать предприятия в ближайшем будущем.

В ходе данной работы я провел анализ незащищенной сети и выявил требования, которые должны быть выполнены для создания системы защиты данной сети. Затем был проведен анализ средств защиты, и выбор наиболее подходящего, на мой взгляд, средства - программно-аппаратного комплекса ViPNet. На основе этого комплекса была реализована система защиты, с помощью которой были все требования по информационной безопасности были выполнены: организован закрытый информационный туннель для обмена информацией, в котором происходит шифрование всей информации, пользователи имеют электронно-цифровую подпись, их компьютеры защищены межсетевым экраном, а любая сетевая активность фиксируется в специальном модуле данного ПО.

Все это снизило вероятность проведения успешной удаленной атаки из Интернет до минимума.

Но, как известно, совершенной защиты не бывает. Поэтому необходимо постоянно следить за сетевой активностью, проводить аудит, анализировать подозрительную активность. И если данная система когда-нибудь не сдержит злоумышленника, то в ней должен быть квалифицированный специалист, который сможет распознать злоумышленные действия и пресечь их еще до появления серьезных последствий.

Я считаю, что на сегодняшний день, эта система защиты является наиболее рациональной и достаточно стойкой в своей сфере применения.

Список использованной литературы:

1) Алексеев, В.М., Андрианов, В.В., Зефиров, С.Л. Международные критерии оценки безопасности информационных технологий и их практическое применение: учебное пособие./В.М. Алексеев, В.В. Андрианов, С.Л. Зефиров - М.: Гелиос АРВ, 2006.

2) Галицкий, А.В., Рябко, С.Д., Шаньгин, В.Ф. Защита информации в сети. Анализ технологий и синтез решений. / А.В. Галицкий, С.Д. Рябко, В.Ф. Шаньгин - М. : ДМК Пресс, 2004.

3) Девянин, П.Н. Модели безопасности компьютерных систем: учебное пособие./ П.. Девянин - Изд. центр «Академия», 2005.

4) Запечников, С.В. Основы построения виртуальных частных сетей: учебное пособие для вузов / С.В. Запечников. - Изд. центр «Академия», 2005.

5) Зепченков С.В., Милославкая Н.Г., Толстой А.И. Основы построения виртуальных частных сетей: Учеб. Пособие для вузов. М.: Горячая линия - Телеком, 2003, - 249 с.

6) Корт, С.С. Теоретические основы защиты информации. / С.С. Корт - М. : Гелиос АРВ, 2004.

7) Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов - М: Горячая линия - Телеком, 2004 - 280 с. Ил.

8) Медведев, Н.Г., Москалик, Д.В. Аспекты информационной безопасности виртуальных частных сетей: учебное пособие. / Н.Г. Медведев, Д.В. Москалик - М. : изд-во Европейского ун-та, 2002.

9) Олифeр В.Г., Олифeр Н.А. Компьютерные сети. Принципы, технологии, протоколы: учебник для вузов [Текст] / В. Г. Олифeр, Н.А. Олифeр. - СПб.: Питер, 2010. - 944 с.: ил.

10) Платонов В.В. - Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей: учеб. пособие для студ. высш. учебн. заведений [Текст] / В.В. Платонов. - М.: Издательский центр «Академия», 2006. - 240 с.

11) Соболев, А.Н., Кириллов, В.М. Физические основы технических средств обеспечения информационной безопасности. / А. Н. Соболев, В. М. Кириллов - М. : Гелиос АРВ, 2004.

12) Тарасюк, М.В. Защищенные информационные технологии. Проектирование и применение. / М В. Тарасюк - М. : Солон, 2004.

13) Торокин, А.А. Инженерно-техническая защита информации: учебное пособие. / А.А. Торокин - М.: Гелиос АРВ, 2005

14) Устинов, Г.Н., Новиков, А.А. Уязвимость и информационная безопасность телекоммуникационных технологий. / Г.Н. Устинов, А.А. Новиков - М.: Радио и связь, 2003.

15) Хореев, П.Б. Методы и средства защиты информации в компьютерных системах: учебное пособие. / П.Б. Хореев - Изд. центр «Академия», 2005.

16) Хорошко, А.В., Чекатков, И.И. Методы и средства защиты информации. / А. В. Хорошко, И.И. Чекатков - М. : ЮНИОР, 2003.

17) http://hostinfo.ru/articles/501/

18) http://www.infotecs.ru/solutions/VРN/

19) ViPNet Администратор: Руководство администратора

ViPNet Координатор: Руководство администратора

Размещено на Allbest.ru