Администрирование VPN сети

После того как определена структура VPN сети, в физическую структуру сети добавлены соответствующие устройства и на узлы установлены и сконфигурированы VPN модули, а так же среди пользователей распространены секреты, необходимые для их аутентификации, VPN сеть может начать функционировать. Однако, если при настройке VPN сети соблюдаются общий принцип всех СКЗИ, который должен следовать из политики безопасности - настраивать только тот доступ, который необходим и только тем, кому он необходим, то он может требовать довольно частого администрирования VPN сети в крупной компании. Основными причинами являются следующие:

· Добавление (и удаление) узлов в VPN, а так же разрешающих связей между ними, если в компании появились новые сотрудники (или наоборот уволились). Это требует установки VPN модулей на новые узлы и конфигурирования SPD и PAD баз IPsec как новых, так и существующих узлов, чтобы они понимали какой трафик необходимо защищать при передаче друг другу и как аутентифицировать друг друга.

· Добавление прав доступа текущим сотрудникам или наоборот уменьшение прав, в зависимости от служебной необходимости. Это требует конфигурирования SPD и PAD баз IPsec для узлов: того, которому предоставляется доступ и того к которому предоставляется доступ.

· Плановая и внеплановая замена информации, необходимой для аутентификации пользователей - распределённых ключей или сертификатов. Требует корректировки PAD баз IPsec для узлов, а так же завершения всех текущих защищённых соединений, так как они должны быть повторно открыты, используя новые секреты аутентификации.

· Обновление версии программного обеспечения VPN модулей на узлах для получения нового функционала или устранения уязвимостей.

· Устранение проблем с работой VPN у пользователей

В хорошем продукте эти действия автоматизированы, чтобы облегчить администратору их выполнение. Для IPsec это выражается, как минимум, в централизованном дистанционном конфигурировании баз данных SPD и PAD, а так же поддержании их в консистентном состоянии на всех узлах.

Защита сервисов

Далее приведены сервисы, которые чаще всего присутствуют во всех организациях и, которые нужно защищать, если локальная сеть не является полностью доверенной или если они находятся в разных сетях разделенных недоверенной сетью. Предполагается, что на серверы, которые их предоставляют и на клиенты будут установлены VPN модули:

· DHCP сервер. Данный сервер отвечает за сетевое конфигурирование узлов, то есть назначение им собственного адреса, а так же задание адресов шлюза по умолчанию и DNS серверов. VPN позволяет задать подмножество легитимных серверов, с которых узел может получить данную информацию, не опасаясь, что она была подменена в процессе передачи.

· DNS сервер. Он отвечает за разрешение имен корпоративных ресурсов и кроме того может участвовать в процессе разрешения Интернет имен. Чтобы удаленные офисы или мобильные пользователи так же могли работать с корпоративными ресурсами по именам они должны иметь доступ к соответствующему DNS серверу. Обычно это достигается его туннелированием. Так же необходима проверка подлинности данного сервера и защита его ответов от подмены.

· Контроллер домена. Очень многие сети построены на технологии Active Directory, которая предполагает аутентификацию пользователя на узле, используя базу данных пользователей, хранящуюся на контроллере домена. Поэтому на контроллер домена передается информация об имени и пароле пользователя, а обратно передается профиль пользователя. Чтобы обеспечить конфиденциальность и целостность данной информации, связь между устройством пользователя и контроллером домена должна быть защищена.

· Сервер телефонии. Так как компании часто из соображений удобства, экономии средств и отсутствия доверия к телефонным сетям стационарной и сотовой связи устанавливают у себя сервер телефонии, то он является важным ресурсом, через который проходит ценная речевая информация, для которой должна обеспечиваться конфиденциальность и защита целостности. Кроме центрального сервера, возможна пиринговая схема построения телефонии, когда узлы общаются друг с другом напрямую. В этом случае должен защищаться голосовой трафик между этими узлами.

· Сервер удаленного администрирования узлов сети. В большой сети администраторы часто не имеют возможности лично подходить к каждой серверной станции для её администрирования или к рабочим станциям пользователей для устранения проблем и установки программного обеспечения. Для этого применяются специализированные программы удаленного управления, работающие по сети. Чтобы обеспечить безопасность их работы, а именно, чтобы команды не были изменены по пути на целевую систему или сфабрикованы, а так же для разрешения отправки команд только лицу, обладающему соответствующими полномочиями нужно применять VPN. Кроме того одним из серверов удаленного администрирования является сервер управления самой VPN сетью, который позволяет дистанционно конфигурировать соответствующие узлы и высылать обновление ключей, если используется способ аутентификации по распределенным ключам.

· Трансграничный обмен информацией. Такая необходимость возникает, когда части компании находятся в разных государствах, в которых действуют разные стандарты на криптографии. Причем каждое государство воспринимает криптографию другого всего лишь как вид кодирования, а не защиты информации. При таком обмене необходимо дважды защищать информацию на каждом из концов, один раз с помощью алгоритмов, которые являются сертифицированными в одном государстве, второй раз - в другом.

Необходимо отметить, что в плане защиты клиент-серверного доступа в локальной сети, серьезную конкуренцию VPN могут составить протоколы, работающие на более высоком уровне, (TLS, S/MIME, SSH), которые не нацелены на защиту трафика вообще, а на защиту отдельного соединения с программы-клиента и программы-сервера.

Заключение

В данной работе рассмотрено такое средство криптографической защиты информации как виртуальная частная сеть. Описано, почему у современных предприятий возникает потребность в её использовании с точки зрения сервисов, которые она предоставляет. Так же рассматривается возможное ядро виртуальной частной сети - технология IPsec, которая имеет форму стандарта и предоставляет функции полноценной защиты передаваемой информации, благодаря чему зарекомендовала себя во всем мире. Несмотря на то, что её задача - криптографическая защита информации, она жестко не зависит от конкретных алгоритмов, что позволяет использовать национальные стандарты в области криптографии и тем самым проходить сертификацию регуляторов рынка. В предположении, что основой реализации VPN будет данная технология, в работе описываются принципы построения корпоративной частной сети.

Выводы, которые можно сделать на основе данной работы, заключаются в том, что в современном мире вопрос защиты информации является крайне актуальным и в части обеспечения безопасности информации пересылаемой по компьютерным сетям передачи данных решить его помогает VPN. Основой же для построения VPN может быть технология IPsec, которая является пусть и негласным, но мировым стандартом взаимодействия защищенных систем.

Список литературы

· rfc4301 «Security Architecture for the Internet Protocol»

· rfc7296 «Internet Key Exchange Protocol Version 2 (IKEv2)»

· rfc6040 «Tunnelling of Explicit Congestion Notification»

· rfc4302 «IP Authentication Header»

· rfc4303 «IP Encapsulating Security Payload (ESP)»

· Ольга Полянская, Виктор Горбатов «Инфраструктуры открытых ключей»

· Брюс Шнайер «Прикладная криптография»

Размещено на Allbest.ru