книга для лек 7 8 9 vpn мэ1. Безопасность корпоративных сетей
Скачать 2.21 Mb.
|
ГЛАВА 4. Современные технологии защиты корпоративных сетей. Межсетевые экраны, системы обнаружения атак и виртуальные частные сети МЭ называют локальное или функционально распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему и/или выходящей из автоматизированной системы. МЭ основное название, определенное в РД Гостехкомиссии РФ, для данного устройства. Также встречаются общепринятые названия брандмауэр и firewall (англ. огненная стена). В строительной сфере брандмауэром (нем. brand – пожар, mauer – стена) называется огнеупорный барьер, разделяющий отдельные блоки в многоквартирном доме и препятствующий распространению пожара. МЭ выполняет подобную функцию для компьютерных сетей. По определению МЭ служит контрольным пунктом на границе двух сетей. В самом распространенном случае эта граница лежит между внутренней сетью организации и внешней сетью, обычно сетью Интернет. Однако в общем случае, МЭ могут применяться для разграничения внутренних подсетей корпоративной сети организации. Рисунок 18. Типовое размещение МЭ в корпоративной сети Internet Внутренняя сеть Межсетевой экран 75 Задачами МЭ, как контрольного пункта, являются: • Контроль всего трафика, ВХОДЯЩЕГО во внутреннюю корпоративную сеть • Контроль всего трафика, ИСХОДЯЩЕГО из внутренней корпоративной сети Контроль информационных потоков состоит в их фильтрации и преобразовании в соответствие с заданным набором правил. Поскольку в современных МЭ фильтрация может осуществляться на разных уровнях эталонной модели взаимодействия открытых систем (ЭМВОС, OSI), МЭ удобно представить в виде системы фильтров. Каждый фильтр на основе анализа проходящих через него данных, принимает решение – пропустить дальше, перебросить за экран, блокировать или преобразовать данные. Рисунок 19. Схема фильтрации в МЭ. Неотъемлемой функцией МЭ является протоколирование информационного обмена. Ведение журналов регистрации позволяет администратору выявить подозрительные действия, ошибки в конфигурации МЭ и принять решение об изменении правил МЭ. Классификация МЭ Выделяют следующую классификацию МЭ, в соответствие с функционированием на разных уровнях МВОС (OSI): • Мостиковые экраны (2 уровень OSI) • Фильтрующие маршрутизаторы (3 и 4 уровни OSI) • Шлюзы сеансового уровня (5 уровень OSI) • Шлюзы прикладного уровня (7 уровень OSI) пропустить Фильтр 1 Фильтр 2 Фильтр 3 преобразовать блокировать отправить адресату (переслать за МЭ) 76 • Комплексные экраны (3-7 уровни OSI) Рассмотрим данные категории подробнее. Мостиковые МЭ Данный класс МЭ, функционирующий на 2-м уровне модели OSI, известен также как прозрачный (stealth), скрытый, теневой МЭ. Мостиковые МЭ появились сравнительно недавно и представляют перспективное направление развития технологий межсетевого экранирования. Фильтрация трафика ими осуществляется на канальном уровне, т.е. МЭ работают с фреймами (frame, кадр). К достоинствам подобных МЭ можно отнести: • Нет необходимости в изменении настроек корпоративной сети, не требуется дополнительного конфигурирования сетевых интерфейсов МЭ. • Высокая производительность. Поскольку это простые устройства, они не требуют больших затрат ресурсов. Ресурсы требуются либо для повышения возможностей машин, либо для более глубокого анализа данных. • Прозрачность. Ключевым для этого устройства является его функционирование на 2 уровне модели OSI. Это означает, что сетевой интерфейс не имеет IP-адреса. Эта особенность более важна, чем легкость в настройке. Без IP-адреса это устройство не доступно в сети и является невидимым для окружающего мира. Если такой МЭ недоступен, то как его атаковать? Атакующие даже не будут знать, что существует МЭ, проверяющий каждый их пакет. 77 Рисунок 20. Фильтрация трафика МЭ на разных уровнях МВОС. Фильтрующие маршрутизаторы Packet-filtering firewall (Межсетевой экран с фильтрацией пакетов) — межсетевой экран, который является маршрутизатором или компьютером, на котором работает программное обеспечение, сконфигурированное таким образом, чтобы отфильтровывать определенные виды входящих и исходящих пакетов. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP-заголовках пакетов (адреса отправителя и получателя, их номера портов и др.) • Работают на 3 уровне • Также известны, как МЭ на основе порта • Каждый пакет сравнивается со списками правил (адрес источника/получателя, порт источника/получателя) • Недорогой, быстрый (производительный в силу простоты), но наименее безопасный • Технология 20-летней давности 78 • Пример: список контроля доступа (ACL, access control lists) маршрутизатора Шлюз сеансового уровня Circuit-level gateway (Шлюз сеансового уровня) — межсетевой экран, который исключает прямое взаимодействие между авторизированным клиентом и внешним хостом. Сначала он принимает запрос доверенного клиента на определенные услуги и, после проверки допустимости запрошенного сеанса, устанавливает соединение с внешним хостом. После этого шлюз просто копирует пакеты в обоих направлениях, не осуществляя их фильтрации. На этом уровне появляется возможность использования функции сетевой трансляции адресов (NAT, network address translation). Трансляция внутренних адресов выполняется по отношению ко всем пакетам, следующим из внутренней сети во внешнюю. Для этих пакетов IP-адреса компьютеров-отправителей внутренней сети автоматическип преобразуются в один IP-адрес, ассоциируемый с экранирующим МЭ. В результате все пакеты, исходящие из внутренней сети, оказываются отправленными МЭ, что исключает прямой контакт между внутренней и внешней сетью. IP- адрес шлюза сеансового уровня становится единственным активным IP- адресом, который попадает во внешнюю сеть. • Работает на 4 уровне • Передает TCP подключения, основываясь на порте • Недорогой, но более безопасный, чем фильтр пакетов • Вообще требует работы пользователя или программы конфигурации для полноценной работы • Пример: SOCKS файрвол Шлюз прикладного уровня Application-level gateways (Шлюз прикладного уровня) - межсетевой экран, который исключает прямое взаимодействие между авторизированным клиентом и внешним хостом, фильтруя все входящие и исходящие пакеты на прикладном уровне модели OSI. Связанные с приложением программы-посредники перенаправляют через шлюз информацию, генерируемую конкретными сервисами TCP/IP. Возможности: 79 • Идентификация и аутентификация пользователей при попытке установления соединения через МЭ; • Фильтрация потока сообщений, например, динамический поиск вирусов и прозрачное шифрование информации; • Регистрация событий и реагирование на события; • Кэширование данных, запрашиваемых из внешней сети. На этом уровне появляется возможность использования функций посредничества (Proxy). Для каждого обсуживаемого протокола прикладного уровня можно вводить программных посредников – HTTP-посредник, FTP-посредник и т.д. Посредник каждой службы TCP/IP ориентирован ориентирован на обработку сообщений и выполнение функций защиты, относящихся именно к этой службе. Также, как и шлюз сеансового уровня, прикалдной шлюз перехватывает с помощью соотвествующих экранирующих агентов входящие и сходящие пакеты, копирует и перенаправляет информацию через шлюз, и функционирует в качестве сервера-посредника, исключая прямые соединения между внутренней и внешней сетью. Однако, посредники, используемые прикладным шлюзом, имеют важные отличия от канальных посредников шлюзов сеансового уровня. Во-первых, посредники прикладного шлюза связаны с конкретными приложениями программными серверами), а во-вторых, они могут фильтровать поток сообщений на прикладном уровне модели МВОС. Особенности: • Работает на 7 уровне • Специфический для приложений • Умеренно дорогой и медленный, но более безопасный и допускает регистрацию деятельности пользователей • Требует работы пользователя или программы конфигурации для полноценной работы • Пример: Web (http) proxy МЭ экспертного уровня Stateful inspection firewall — межсетевой экран экспертного уровня, который проверяет содержимое принимаемых пакетов на трех уровнях модели OSI: сетевом, сеансовом и прикладном. При выполнении этой задачи используются специальные алгоритмы фильтрации пакетов, с помощью которых каждый пакет сравнивается с известным шаблоном авторизированных пакетов. 80 • Фильтрация 3 уровня • Проверка правильности на 4 уровне • Осмотр 5 уровня • Высокие уровни стоимости, защиты и сложности • Пример: CheckPoint Firewall-1 Некоторые современные МЭ используют комбинацию вышеперечисленных методов и обеспечивают дополнительные способы защиты, как сетей, так и систем. «Персональные» МЭ Этот класс МЭ позволяет далее расширять защиту, допуская управление по тому, какие типы системных функций или процессов имеют доступ к ресурсам сети. Эти МЭ могут использовать различные типы сигнатур и условий, для того, чтобы разрешать или отвергать трафик. Вот некоторые из общих функций персональных МЭ: • Блокирование на уровне приложений – позволять лишь некоторым приложениям или библиотекам исполнять сетевые действия или принимать входящие подключения • Блокирование на основе сигнатуры – постоянно контролировать сетевой трафик и блокировать все известные атаки. Дополнительный контроль увеличивает сложность управления безопасностью из-за потенциально большого количества систем, которые могут быть защищены персональным файрволом. Это также увеличивает риск повреждения и уязвимости из-за плохой настройки Динамические МЭ Динамические МЭ объединяют в себе стандартные МЭ (перечислены выше) и методы обнаружения вторжений, чтобы обеспечить блокирование «на лету» сетевых подключений, которые соответствуют определённой сигнатуре, позволяя при этом подключения от других источников к тому же самому порту. Например, можно блокировать деятельность сетевых червей, не нарушая работу нормального трафика. Политика работы МЭ МЭ функционируют по одному из двух принципов: • запрещать все, что не разрешено в явной форме • разрешать все, что не запрещено в явной форме 81 Схемы подключения МЭ • Схема единой защиты локальной сети • Схема защищаемой закрытой и не защищаемой открытой подсетями • Схема с раздельной защитой закрытой и открытой подсетей. Схема единой защиты локальной сети Наиболее простым является решение, при котором межсетевой экран просто экранирует локальную сеть от глобальной. При этом WWW-сервер, FTP-сервер, почтовый сервер и другие сервера, оказываются также защищены межсетевым экраном. При этом требуется уделить много внимания на предотвращение проникновения на защищаемые станции локальной сети при помощи средств легкодоступных WWW-серверов. Рисунок 21. Схема единой защиты локальной сети. Схема защищаемой закрытой и не защищаемой открытой подсетями Для предотвращения доступа в локальную сеть, используя ресурсы WWW-сервера, рекомендуется общедоступные серверы подключать перед межсетевым экраном. Данный способ обладает более высокой защищенностью локальной сети, но низким уровнем защищенности WWW- и FTP-серверов. 82 Рисунок 22. Схема защищаемой закрытой и не защищаемой открытой подсетями Схема с раздельной защитой закрытой и открытой подсетей Данная схема подключения обладает наивысшей защищенностью по сравнению с рассмотренными выше. Схема основана на применении двух МЭ, защищающих отдельно закрытую и открытую подсети. Участок сети между МЭ также называется экранированной подсетью или демилитаризованной зоной (DMZ, demilitarized zone). Схема 23. Схема с раздельной защитой закрытой и открытой подсетей Системы обнаружения атак Наряду со стандартными средствами защиты, без которых немыслимо нормальное функционирование АС (таких как МЭ, системы резервного копирования и антивирусные средства), существует необходимость использования СОА (IDS, систем обнаружения атак или вторжений), которые являются основным средством борьбы с сетевыми атаками [7]. В настоящее время СОА начинают все шире внедряться в практику обеспечения безопасности корпоративных сетей. Однако существует ряд проблем, с которыми неизбежно сталкиваются организации, развертывающие у себя систему выявления атак. Эти проблемы существенно затрудняют, а порой и останавливают процесс внедрения IDS. Вот некоторые из них: • высокая стоимость коммерческих СОА; 83 • невысокая эффективность современных СОА, характеризующаяся большим числом ложных срабатываний и несрабатываний (false positives and false negatives); • требовательность к ресурсам и порой неудовлетворительная производительность СОА уже на 100 Мбит/с сетях; • недооценка рисков, связанных с осуществлением сетевых атак; • отсутствие в организации методики анализа и управления рисками, позволяющей адекватно оценивать величину риска и обосновывать стоимость реализации контрмер для руководства; • высокая квалификация экспертов по выявлению атак, требующаяся для внедрения и развертывания СОА. Специфичной для России также является относительно невысокая зависимость информационной инфраструктуры предприятий от Интернет и финансирование мероприятий по обеспечению информационной безопасности по остаточному принципу, что не способствует приобретению дорогостоящих средств защиты для противодействия сетевым атакам. Тем не менее, процесс внедрения СОА в практику обеспечения информационной безопасности продолжается, в том числе и в России. Типовая архитектура системы выявления атак, как правило, включает в себя следующие компоненты: 1. Сенсор (средство сбора информации); 2. Анализатор (средство анализа информации); 3. Средства реагирования; 4. Средства управления. Конечно, все эти компоненты могут функционировать и на одном компьютере и даже в рамках одного приложения, однако чаще всего они территориально и функционально распределены. Такие компоненты СОА, как анализаторы и средства управления, опасно размещать за МЭ во внешней сети, т. к. если они будут скомпрометированы, то злоумышленник может получить доступ к информации о структуре внутренней защищаемой сети на основе анализа базы правил, используемой СОА. Типовая архитектура системы выявления атак изображена на рисунке. Сетевые сенсоры осуществляют перехват сетевого трафика, хостовые сенсоры используют в качестве источников информации журналы регистрации событий ОС, СУБД и приложений. Информация о событиях также может быть получена хостовым сенсором непосредственно от ядра ОС, МЭ или приложения. Анализатор, размещаемый на сервере безопасности, осуществляет централизованный сбор и анализ информации, полученной от сенсоров. 84 Рисунок 24. Типовая архитектура СОА. Средства реагирования могут размещаться на станциях мониторинга сети, МЭ, серверах и рабочих станциях ЛВС. Типичный набор действий по реагированию на атаки включает в себя оповещение администратора безопасности (средствами электронной почты, вывода сообщения на консоль или отправки на пэйджер), блокирование сетевых сессий и пользовательских регистрационных записей с целью немедленного прекращения атак, а также протоколирование действий атакующей стороны. Средства управления предназначены для администрирования всех компонентов системы выявления атак, разработки алгоритмов выявления и реагирования на нарушения безопасности (политик безопасности), а также для просмотра информации о нарушениях и генерации отчетов. Виртуальные частные сети В связи с широким распространением Internet, intranet, extranet при разработке и применении распределенных информационных сетей и 85 систем одной из самых актуальных задач является решение проблем информационной безопасности [8]. В последнее десятилетие в связи с бурным развитием Internet и сетей коллективного доступа в мире произошел качественный скачок в распространении и доступности информации. Пользователи получили дешевые и доступные каналы связи. Стремясь к экономии средств, предприятия используют такие каналы для передачи критичной коммерческой информации. Однако принципы построения Internet открывают злоумышленникам возможности кражи или преднамеренного искажения информации. Не обеспечена достаточно надежная защита от проникновения нарушителей в корпоративные и ведомственные сети. Для эффективного противодействия сетевым атакам и обеспечения возможности активного и безопасного использования в бизнесе открытых сетей в начале 90-х годов родилась и активно развивается концепция построения защищенных виртуальных частных сетей - VPN. (Virtual Private Networks). Концепция построения защищенных виртуальных частных сетей VPN В основе концепции построения защищенных виртуальных частных сетей VPN лежит достаточно простая идея: если в глобальной сети есть два узла, которые хотят обменяться информацией, то для обеспечения конфиденциальности и целостности передаваемой по открытым сетям информации между ними необходимо построить виртуальный туннель, доступ к которому должен быть чрезвычайно затруднен всем возможным активным и пассивным внешним наблюдателям. Термин «виртуальный» указывает на то, что соединение между двумя узлами сети не является постоянным (жестким) и существует только во время прохождения трафика по сети. Преимущества, получаемые компанией при формировании таких виртуальных туннелей, заключаются, прежде всего, в значительной экономии финансовых средств. Функции и компоненты сети VPN Защищенной виртуальной сетью VPN называют объединение локальных сетей и отдельных компьютеров через открытую внешнюю 86 среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность циркулирующих данных. При подключении корпоративной локальной сети к открытой сети возникают угрозы безопасности двух основных типов: • несанкционированный доступ к корпоративным данным в процессе их передачи по открытой сети; • несанкционированный доступ к внутренним ресурсам корпоративной локальной сети, получаемый злоумышленником в результате несанкционированного входа в эту сеть. Защита информации в процессе передачи по открытым каналам связи основана на выполнении следующих основных функций: • аутентификации взаимодействующих сторон; • криптографическом закрытии (шифровании) передаваемых данных; • проверке подлинности и целостности доставленной информации. Для этих функций характерна взаимосвязь друг с другом. Их реализация основана на использовании криптографических методов защиты информации. Для защиты локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды обычно используют межсетевые экраны, поддерживающие безопасность информационного взаимодействия путем фильтрации двустороннего потока сообщений, а также выполнения функций посредничества при обмене информацией. Межсетевой экран располагают на стыке между локальной и открытой сетью. Для защиты отдельного удаленного компьютера, подключенного к открытой сети, программное обеспечение межсетевого экрана устанавливают на этом же компьютере, и такой межсетевой экран называется персональным. Туннелирование Защита информации в процессе ее передачи по открытым каналам основана на построении защищенных виртуальных каналов связи, называемых криптозащищенными туннелями. Каждый такой туннель представляет собой соединение, проведенное через открытую сеть, по 87 которому передаются криптографически защищенные пакеты сообщений. Создание защищенного туннеля выполняют компоненты виртуальной сети, функционирующие на узлах, между которыми формируется туннель. Эти компоненты принято называть инициатором и терминатором туннеля. Инициатор туннеля инкапсулирует (встраивает) пакеты в новый пакет, содержащий наряду с исходными данными новый заголовок с информацией об отправителе и получателе. Хотя все передаваемые по туннелю пакеты являются пакетами IP, инкапсулируемые пакеты могут принадлежать к протоколу любого типа, включая пакеты немаршрутизируемых протоколов, таких, как NetBEUI. Маршрут между инициатором и терминатором туннеля определяет обычная маршрутизируемая сеть IP, которая может быть и сетью отличной от Интернет. Терминатор туннеля выполняет процесс обратный инкапсуляции – он удаляет новые заголовки и направляет каждый исходный пакет в локальный стек протоколов или адресату в локальной сети. Сама по себе инкапсуляция никак не влияет на защищенность пакетов сообщений, передаваемых по туннелю. Но благодаря инкапсуляции появляется возможность полной криптографической защиты инкапсулируемых пакетов. Конфиденциальность инкапсулируемых пакетов обеспечивается путем их криптографического закрытия, то есть зашифровывания, а целостность и подлинность – путем формирования цифровой подписи. Поскольку существует большое множество методов криптозащиты данных, очень важно, чтобы инициатор и терминатор туннеля использовали одни и те же методы и могли согласовывать друг с другом эту информацию. Кроме того, для возможности расшифровывания данных и проверки цифровой подписи при приеме инициатор и терминатор туннеля должны поддерживать функции безопасного обмена ключами. Ну и наконец, чтобы туннели создавались только между уполномоченными пользователями, конечные стороны взаимодействия требуется аутентифицировать. Классификация виртуальных частных сетей VPN Наиболее часто используются следующие три признака классификации VPN: • рабочий уровень модели OSI; • конфигурация структурно-технического решения; 88 • способ технической реализации. Классификация VPN по рабочему уровню ЭМВОС Для технологий безопасной передачи данных по общедоступной (незащищенной) сети применяют обобщенное название - защищенный канал (secure channel). Защищенный канал можно построить с помощью системных средств, реализованных на разных уровнях эталонной модели взаимодействия открытых систем (ЭМВОС, OSI) (рис.25). Прикладной Представительный Сеансовый Влияют на приложения Транспортный Сетевой Канальный Протокол ы за- щищенног о доступа Физический Прозрачны для приложений Рис.25. Уровни протоколов защищенного канала От выбранного уровня OSI во многом зависит функциональность реализуемой VPN и ее совместимость с приложениями ИС, а также с другими средствами защиты. По признаку рабочего уровня модели OSI различают следующие группы VPN: • VPN второго (канального) уровня; • VPN третьего (сетевого) уровня; • VPN пятого (сеансового) уровня. VPN строятся на достаточно низких уровнях модели OSI. Причина этого в том, что чем ниже в стеке реализованы средства защищенного канала, тем проще их сделать прозрачными для приложений и прикладных протоколов. Однако здесь возникает другая проблема - зависимость протокола защиты от конкретной сетевой технологии. Если для защиты данных используется протокол одного из верхних уровней (прикладного или представительного), то такой способ защиты не зависит от того, какие сети (IP или IPX, Ethernet или ATM) применяются для транспортировки данных, что можно считать несомненным достоинством. С другой стороны, приложение при этом 89 становится зависимым от конкретного протокола защиты, то есть для приложений подобный протокол не является прозрачным. Защищенному каналу на самом высоком, прикладном уровне свойствен еще один недостаток = ограниченная область действия. Протокол защищает только вполне определенную сетевую службу - файловую, гипертекстовую или почтовую. Например, протокол S/MIME защищает исключительно сообщения электронной почты. Поэтому для каждой службы необходимо разрабатывать соответствующую защищенную версию протокола. На верхних уровнях модели OSI существует жесткая связь между используемым стеком протоколов и приложением. VPN канального уровня Средства VPN, используемые на канальном уровне модели OSI, позволяют обеспечить инкапсуляцию различных видов трафика третьего уровня (и более высоких уровней) и построение виртуальных туннелей типа «точка-точка» (от маршрутизатора к маршрутизатору или от персонального компьютера к шлюзу ЛВС). К этой группе отно- сятся VPN-продукты, которые используют протоколы L2F (Layer 2 Forwarding) и РРТР (Point-to-Point Tunneling Protocol), а также сравнительно недавно утвержденный стандарт L2TP (Layer 2 Tunneling Protocol), разработанный совместно фирмами Cisco Systems и Microsoft. Протокол защищенного канала РРТР основан на протоколе РРР и обеспечивает прозрачность средств защиты для приложений и служб прикладного уровня. Протокол РРТР может переносить пакеты как в сетях IP, так и в сетях, работающих на основе протоколов IPX, DECnet или NetBEUI. Протокол L2TP используется при организации удаленного доступа к ЛВС (поскольку базируется в основном на ОС Windows). Между тем решения второго уровня не приобретут, вероятно, такое же значение для взаимодействия ЛВС, по причине недостаточной масштабируемости при необходимости иметь несколько туннелей с общими конечными точками. VPN сетевого уровня VPN-продукты сетевого уровня выполняют инкапсуляцию IP в IP. Одним из широко известных протоколов на этом уровне является SKIP, который постепенно вытесняется новым протоколом IPSec, 90 предназначенным для аутентификации, туннелирования и шифрования IP-пакетов. Работающий на сетевом уровне протокол IPSec представляет компромиссный вариант. С одной стороны, он прозрачен для приложений, а с другой, может работать практически во всех сетях, так как основан на широко распространенном протоколе IP. Протокол IPSec предусматривает стандартные методы идентификации пользователей или компьютеров при инициации туннеля, стандартные способы использования шифрования конечными точками туннеля, а также стандартные методы обмена и управления ключами шифрования между конечными точками. Протокол IPSec может работать совместно с L2TP; в результате эти два протокола обеспечивают более надежную идентификацию, стандартизованное шифрование и целостность данных. Туннель IPSec между двумя локальными сетями может поддерживать множество индивидуальных каналов передачи данных, в результате чего приложения данного типа получают преимущества с точки зрения масштабирования. Говоря об IPSec, необходимо упомянуть протокол (IKE) позволяющий защитить передаваемую информацию от постороннего вмешательства. Он решает задачи безопасного управления и обмена криптографическими ключами между удаленными устройствами. VPN сеансового уровня Некоторые VPN используют другой подход под названием «посредники каналов» (circuit proxy). Этот метод функционирует над транспортным уровнем и ретранслирует трафик из защищенной сети в общедоступную сеть Internet для каждого сокета в отдельности. (Протокол IP не имеет пятого - сеансового - уровня, однако ориентированные на сокеты операции часто называют операциями сеансового уровня.) Шифрование информации, передаваемой между инициатором и терминатором туннеля часто осуществляется с помощью защиты транспортного уровня TLS. Для стандартизации аутентифицированного прохода через межсетевые экраны консорциум IETF определил протокол под названием SOCKS, и в настоящее время протокол SOCKS v.5 применяется для стандартизованной реализации посредников каналов. 91 В протоколе SOCKS v.5 клиентский компьютер устанавливает аутентифицированный сокет (или сеанс) с сервером, выполняющим роль посредника (proxy). Этот посредник - единственный способ связи через межсетевой экран. Посредник, в свою очередь, проводит любые операции, запрашиваемые клиентом. Поскольку посреднику известно о трафике на уровне сокета, он может осуществлять тщательный контроль, например блокировать конкретные приложения пользователей, если они не имеют необходимых полномочий. Классификация VPN п о архитектуре технического решения По архитектуре технического решения принято выделять три основных вида виртуальных частных сетей: • VPN с удаленным доступом; • внутрикорпоративные VPN; • межкорпоративные VPN. Виртуальные частные сети VPN с удаленным доступом (Remote Access) предназначены для обеспечения защищенного удаленного доступа к корпоративным информационным ресурсам мобильным и/или удаленным (home-office) сотрудникам компании. Внутрикорпоративные сети VPN (intranet-VPN) предназначены для обеспечения защищенного взаимодействия между подразделениями внутри предприятия или между группой предприятий, объединенных корпоративными сетями связи, включая выделенные линии. Межкорпоративные сети VPN (extranet-VPN) обеспечивают сотрудникам предприятия защищенный обмен информацией со стратегическими партнерами по бизнесу, поставщиками, крупными заказчиками, пользователями, клиентами и т.д. Extranet-VPN обеспечивает прямой доступ из сети одной компании к сети другой, тем самым способствуя повышению надежности связи, поддерживаемой в ходе делового сотрудничества. В межкорпоративных сетях большое значение придается контролю доступа посредством межсетевых экранов и аутентификации пользователей. Классификация VPN по способу технической реализации По способу технической реализации различают следующие группы V.PN: 92 • VPN на основе сетевой операционной системы; • VPN на основе межсетевых экранов; • VPN на основе маршрутизаторов; • VPN на основе программных решений; • VPN на основе специализированных аппаратных средств со встроенными шифропроцессорами. VPN на основе сетевой ОС Реализацию VPN на основе сетевой ОС можно рассмотреть на примере операционной системы Windows NT. Для создания VPN компания Microsoft предлагает протокол РРТР, интегрированный в сетевую операционную систему Windows NT. Такое решение выглядит привлекательно для организаций, использующих Windows в качестве корпоративной ОС. В сетях VPN, основанных на Windows NT, используется база данных клиентов, хранящаяся в контроллере PDC (Primary Domain Controller). При подключении к РРТР-серверу пользователь авторизуется по протоколам PAP, CHAP или MS CHAP. Для шифрования применяется нестандартный фирменный протокол Point-to-Point Encryption с 40-битовым ключом, получаемым при установлении соединения. В качестве достоинства приведенной схемы следует отметить, что стоимость решения на основе сетевой ОС значительно ниже стоимости других решений Несовершенство такой системы - недостаточная защищенность протокола РРТР. VPN на основе маршрутизаторов Данный способ построения VPN предполагает применение маршрутизаторов для создания защищенных каналов. Поскольку вся информация, исходящая из локальной сети, проходит через маршрутизатор, то вполне естественно возложить на него и задачи шифрования. VPN на основе межсетевых экранов Межсетевые экраны большинства производителей содержат функции туннелирования и шифрования данных. К программному обеспечению собственно межсетевого экрана добавляется модуль шифрования. 93 К недостаткам этого метода относятся высокая стоимость решения в пересчете на одно рабочее место и зависимость производительности от аппаратного обеспечения, на котором работает межсетевой экран. При использовании межсетевых экранов на базе ПК надо помнить, что подобный вариант подходит только для небольших сетей с ограниченным объемом передаваемой информации. VPN на основе программного обеспечения Для построения сетей VPN также применяются программные решения. При реализации подобных схем используется специализированное ПО, работающее на выделенном компьютере и в большинстве случаев выполняющее функции proxy-сервера. Компьютер с таким программным обеспечением может быть расположен за межсетевым экраном, VPN на основе специализированных аппаратных средств со встроенными шифропроцессорами Вариант построения VPN на специализированных аппаратных средствах может быть использован в сетях, требующих высокой производительности. Недостаток подобного решения - его высокая стоимость. Технические и экономические преимущества внедрения технологий VPN в корпоративные сети Технология виртуальных частных сетей VPN позволяет эффективно решать задачи, связанные с циркуляцией конфиденциальной информации по каналам связи. Она обеспечивает связь между сетями, а также между удаленным пользователем и корпоративной сетью с помощью защищенного канала (туннеля), «проложенного» в общедоступной сети Internet. Таким образом, на современном этапе развития, в условиях, когда филиалы одного и того же предприятия находятся на значительном удалении друг от друга, потребность в оперативном и надежном обмене информацией стала наиболее острой. Использование дорогих высокопропускных каналов связи не всегда оказывается целесообразным и экономически выгодным. Развитие же средств связи, особенно недорогих и наиболее доступных (например, Internet), приводит к тому, что их практическое использование, особенно пред- приятиями, становится все более массовым. В этих условиях становится 94 заманчивым их использование для передачи ценной корпоративной информации, убытки от потери или искажения которой могут пагубно сказаться на деятельности компании. Поэтому использование защищенных виртуальных частных сетей VPN с учетом всех их достоинств становится все более актуальным и жизненно необходимым. Концепция таких сетей позволяет организовывать столь необходимый обмен информацией внутри компании и с клиентами при наилучшем сочетании производительности, оперативности, защищенности и стоимости. Надо предположить, что такие технологии, как VPN, будут активно развиваться, совершенствоваться и приобретать все более массовый характер. |