Построение виртуальных защищенных сетей. Лекция 5 Построение виртуальных защищенных сетей. Лекция 5 Построение виртуальных защищенных сетей
 Скачать 27.42 Kb.
|
|
Лекция 5 Построение виртуальных защищенных сетей Для эффективного противодействия сетевым атакам и обеспечения возможности активного и безопасного использования в бизнесе открытых сетей в начале 1990-х годов родилась и активно развивается идея построения виртуальных частных сетей – VPN ( Virtual Private Network ). Фундаментом VPN на основе Интернет являются две основных технологии. Во-первых, это туннелирование, позволяющее создавать виртуальные каналы; во-вторых, это различные методы обеспечения конфиденциальности и целостности передаваемой информации. VPN-технология четко ассоциируется с криптографическими средствами защиты информации (СЗИ). Сегодня направление создания виртуальных защищенных сетей VPN вышло на первый план. 3.2.1. Концепция построения виртуальных защищенных сетей VPN В основе концепции построения виртуальных сетей VPN лежит достаточно простая идея: если в глобальной сети имеются два узла, которым нужно обменяться информацией, тогда между этими двумя узлами необходимо построить виртуальный защищенный туннель для обеспечения конфиденциальности и целостности информации, передаваемой через открытые сети. Доступ к этому виртуальному туннелю должен быть чрезвычайно затруднен всем возможным активным и пассивным внешним наблюдателям. Преимущества, получаемые компанией от создания таких виртуальных туннелей, заключаются, прежде всего, в значительной экономии финансовых средств, поскольку в этом случае компания может отказаться от построения или аренды дорогих выделенных каналов связи для создания собственных Интранет-сетей и использовать для этого дешевые Интернет-каналы, надежность и скорость передачи которых в большинстве своем сегодня уже не уступает выделенным линиям. При подключении корпоративной локальной сети к открытой сети возникают угрозы безопасности двух основных типов: несанкционированный доступ к внутренним ресурсам корпоративной локальной сети, получаемый злоумышленником в результате несанкционированного входа в эту сеть; несанкционированный доступ к корпоративным данным в процессе их передачи по открытой сети. Обеспечение безопасности информационного взаимодействия локальных сетей и отдельных компьютеров через открытые сети, в частности через сеть Интернет, возможно путем эффективного решения следующих задач: защита подключенных к открытым каналам связи локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды; защита информации в процессе ее передачи по открытым каналам связи. Как уже отмечалось ранее, для защиты локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды обычно используют межсетевые экраны, поддерживающие безопасность информационного взаимодействия путем фильтрации двустороннего потока сообщений, а также выполнения функций посредничества при обмене информацией. Межсетевой экран располагают на стыке между локальной и открытой сетями. Для защиты отдельного удаленного компьютера, подключенного к открытой сети, на этом компьютере устанавливают программное обеспечение сетевого экрана, и такой сетевой экран называется персональным. Защита информации в процессе ее передачи по открытым каналам основана на использовании виртуальных защищенных сетей VPN. Виртуальной защищенной сетью VРN называют объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность циркулирующих данных Виртуальная защищенная сеть VPN формируется путем построения виртуальных защищенных каналов связи, создаваемых на базе открытых каналов связи общедоступной сети. Эти виртуальные защищенные каналы связи называются туннелями VPN. Сеть VPN позволяет с помощью туннелей VPN соединить центральный офис, офисы филиалов, офисы бизнес-партнеров и удаленных пользователей и безопасно передавать информацию через Интернет. Туннель VPN представляет собой соединение, проведенное через открытую сеть, по которому передаются криптографически защищенные пакеты сообщений виртуальной сети. Защита информации в процессе ее передачи по туннелю VPN основана на выполнении следующих функций: аутентификации взаимодействующих сторон; криптографического закрытия (шифрования) передаваемых данных; проверки подлинности и целостности доставляемой информации. Для этих функций характерна взаимосвязь. При их реализации используются криптографические методы защиты информации. Эффективность такой защиты обеспечивается за счет совместного использования симметричных и асимметричных криптографических систем. Туннель VPN, формируемый устройствами VPN, обладает свойствами защищенной выделенной линии, причем эта защищенная выделенная линия развертывается в рамках общедоступной сети, например Интернет. Устройства VPN могут играть в виртуальных частных сетях роль VPN-клиента, VPN-сервера или шлюза безопасности VPN. VРN-клиент представляет собой программный или программно-аппаратный комплекс, выполняемый обычно на базе персонального компьютера. Его сетевое программное обеспечение модифицируется для выполнения шифрования и аутентификации трафика, которым это устройство обменивается с другими VPN-клиентами, VPN-серверами или шлюзами безопасности VPN. Обычно реализация VPN-клиента представляет собой программное решение, дополняющее стандартную операционную систему Windows NT /2000 или UNIX. VРN-сервер представляет собой программный или программно-аппаратный комплекс, устанавливаемый на компьютере, выполняющем функции сервера. VPN-сервер обеспечивает защиту серверов от несанкционированного доступа из внешних сетей, а также организацию защищенных соединений (ассоциаций) с отдельными компьютерами и с компьютерами из сегментов локальных сетей, защищенных соответствующими VPN-продуктами. VPN-сервер является функциональным аналогом VPN-клиента для серверных платформ. Он отличается, прежде всего, расширенными ресурсами для поддержания множественных соединений с VPN-клиентами. VPN-сервер может поддерживать защищенные соединения с мобильными пользователями. Шлюз безопасности VPN - это сетевое устройство, подключаемое к двум сетям, которое выполняет функции шифрования и аутентификации для многочисленных хостов, расположенных за ним. Размещение шлюза безопасности VPN выполняется таким образом, чтобы через него проходил весь трафик, предназначенный для внутренней корпоративной сети. Сетевое соединение шлюза VPN прозрачно для пользователей позади шлюза, оно представляется им выделенной линией, хотя на самом деле прокладывается через открытую сеть с коммутацией пакетов. Адрес шлюза безопасности УРК указывается как внешний адрес входящего туннелируемого пакета, а внутренний адрес пакета является адресом конкретного хоста позади шлюза. Шлюз безопасности VPN может быть реализован в виде отдельного программного решения, отдельного аппаратного устройства, а также в виде маршрутизатора или межсетевого экрана, дополненных функциями VPN. Реализацию механизма туннелирования можно представить как результат работы протоколов трех типов: протокола-«пассажира», несущего протокола и протокола туннелирования. Например, в качестве протокола-«пассажира» может быть использован транспортный протокол I РХ, переносящий данные в локальных сетях филиалов одного предприятия. Наиболее распространенным вариантом несущего протокола является протокол I Р сети Интернет. В качестве протоколов туннелирования могут быть использованы протоколы канального уровня РРТР и L 2ТР, а также протокол сетевого уровня IPSec. Существует ряд вариантов схем виртуальных защищенных каналов. В принципе, любой из двух узлов виртуальной корпоративной сети, между которыми формируется виртуальный защищенный канал, может принадлежать конечной или промежуточной точке защищаемого потока сообщений. С точки зрения обеспечения информационной безопасности лучшим является вариант, при котором конечные точки защищенного туннеля совпадают с конечными точками защищаемого потока сообщений. В этом случае обеспечивается защищенность канала вдоль всего пути следования пакетов сообщений. Однако такой вариант ведет к децентрализации управления и избыточности ресурсных затрат. В этом случае необходима установка средств создания VPN на каждом клиентском компьютере локальной сети. Это усложняет централизованное управление доступом к компьютерным ресурсам и не всегда оправдано экономически. Отдельное администрирование каждого клиентского компьютера с целью конфигурирования в нем средств защиты является достаточно трудоемкой процедурой в большой сети. Если внутри локальной сети, входящей в виртуальную сеть, не требуется защита трафика, тогда в качестве конечной точки защищенного туннеля можно выбрать межсетевой экран или пограничный маршрутизатор этой локальной сети. Если же поток сообщений внутри локальной сети должен быть защищен, тогда в качестве конечной точки туннеля в этой сети должен выступать компьютер, который участвует в защищенном взаимодействии. При доступе к локальной сети удаленного пользователя компьютер этого пользователя должен быть конечной точкой виртуального защищенного канала. 3.2.2. Классификация сетей VPN Рынок VPN-продуктов в настоящее время развивается очень бурно. Потенциальным клиентам предлагается широкий спектр оборудования и программного обеспечения для создания виртуальных защищенных сетей: от интегрированных многофункциональных и специализированных устройств до чисто программных продуктов. Существуют разные варианты классификации VPN. Наиболее часто используются следующие три признака классификации: рабочий уровень модели OSI; архитектура технического решения VPN; способ технической реализации VPN. Классификация VPN по рабочему уровню модели OSI Для технологий безопасной передачи данных по общедоступной (незащищенной) сети применяют обобщенное название - защищенный канал. Термин «канал» подчеркивает тот факт, что защита данных обеспечивается между двумя узлами сети (хостами или шлюзами) вдоль некоторого виртуального пути, проложенного в сети с коммутацией пакетов. Защищенный канал можно построить с помощью системных средств, реализованных на разных уровнях модели взаимодействия открытых систем OSI. Классификация VPN по рабочему уровню модели OSI представляет значительный интерес, поскольку от выбранного уровня OSI во многом зависит функциональность реализуемой VPN и ее совместимость с приложениями корпоративной информационной системы, а также с другими средствами защиты. По признаку «рабочий уровень модели OSI» различают следующие группы: VPN канального уровня; VPN сетевого уровня; VPN сеансового уровня. Важно отметить, что VPN строятся на достаточно низких уровнях модели OSI. Причина этого достаточно проста: чем ниже в стеке реализованы средства защищенного канала, тем проще их сделать прозрачными для приложений и прикладных протоколов. На сетевом и канальном уровнях зависимость приложений от протоколов защиты исчезает совсем. Поэтому построить универсальную и прозрачную защиту для пользователя возможно только на нижних уровнях модели. Классификация VPN по архитектуре технического решения По архитектуре технического решения принято выделять три основных вида виртуальных частных сетей: внутрикорпоративные VPN; VPN с удаленным доступом; межкорпоративные VPN. Классификация VPN по способу технической реализации Конфигурация и характеристики виртуальной частной сети во многом определяются типом применяемых VPN-устройств. По способу технической реализации различают следующие группы VPN: VPN на основе маршрутизаторов; VPN на основе межсетевых экранов; VPN на основе программных решений; VPN на основе специализированных аппаратных средств со встроенными шифропроцессорами. VPN на основе маршрутизаторов Данный способ построения УРМ предполагает применение маршрутизаторов для создания защищенных каналов. Поскольку вся информация, исходящая из локальной сети, проходит через маршрутизатор, то вполне естественно возложить на него и задачи шифрования. VPN на основе межсетевых экранов Межсетевые экраны большинства производителей поддерживают функции туннелирования и шифрования данных. При использовании межсетевых экранов на базе персональных компьютеров надо помнить, что подобное решение подходит только для небольших сетей с относительно малым объемом передаваемой информации. Недостатками этого метода являются высокая стоимость решения в пересчете на одно рабочее место и зависимость производительности от аппаратного обеспечения, на котором работает межсетевой экран. VPN на основе программного обеспечения VPN-продукты, реализованные программным способом, с точки зрения производительности уступают специализированным устройствам, однако обладают достаточной мощностью для реализации VPN-сетей. Следует отметить, что в случае удаленного доступа требования к необходимой полосе пропускания невелики. Поэтому чисто программные продукты легко обеспечивают производительность, достаточную для удаленного доступа. Несомненным достоинством программных продуктов является гибкость и удобство в применении, а также относительно невысокая стоимость. VPN на основе специализированных аппаратных средств Главным преимуществом VPN на основе специализированных аппаратных средств является их высокая производительность. Более высокое быстродействие специализированных VPN-систем обусловлено тем, что шифрование в них осуществляется специализированными микросхемами. Специализированные VPN-устройства обеспечивают высокий уровень безопасности, однако они довольно дороги. 3.2.3. Основные варианты архитектуры VPN Существует множество разновидностей виртуальных частных сетей. Их спектр варьируется от провайдерских сетей, позволяющих управлять обслуживанием клиентов непосредственно на их площадях, до корпоративных сетей VPN, разворачиваемых и управляемых самими компаниями. Тем не менее, принято выделять три основных вида виртуальных частных сетей: VPN с удаленным доступом, внутрикорпоративные VPN и межкорпоративные VPN. VPN с удаленным доступом Виртуальные частные сети VPN с удаленным доступом обеспечивают защищенный удаленный доступ к информационным ресурсам предприятия для мобильных или удаленных сотрудников корпорации (руководство компанией, сотрудники, находящиеся в командировках, сотрудники-надомники и т.д.). Виртуальные частные сети с удаленным доступом завоевали всеобщее признание благодаря тому, что они позволяют значительно сократить ежемесячные расходы на использование коммутируемых и выделенных линий. Принцип их работы прост: пользователи устанавливают соединения с местной точкой доступа к глобальной сети, после чего их вызовы туннелируются через Интернет, что позволяет избежать платы за междугороднюю и международную связь или выставления счетов владельцам бесплатных междугородних номеров. Затем все вызовы концентрируются на соответствующих узлах и передаются в корпоративные сети. Внутрикорпоративная сеть VPN Внутрикорпоративные сети VPN используются для организации защищенного взаимодействия между подразделениями внутри предприятия или между группой предприятий, объединенных корпоративными сетями связи, включая выделенные линии. Компании, нуждающиеся в организации доступа к централизованным хранилищам информации для своих филиалов и отделений, обычно подключают удаленные узлы посредством выделенных линий. Но использование выделенных линий означает возрастание текущих расходов по мере увеличения занимаемой полосы пропускания и расстояния между объектами. В результате этого расходы на связь по выделенным линиям превращаются в одну из основных статей расходов на эксплуатацию сети VPN. Чтобы сократить их, компания может соединить узлы при помощи виртуальной частной сети. Компании отказываются от использования дорогостоящих выделенных линий, заменив их более дешевой связью через Интернет. Это существенно сокращает расходы на использование полосы пропускания, поскольку в Интернет расстояние никак не влияет на стоимость соединения. Межкорпоративная сеть VPN Межкорпоративные сети VPN используются для организации эффективного взаимодействия и защищенного обмена информацией со стратегическими партнерами по бизнесу, в том числе зарубежными, основными поставщиками, крупными заказчиками, клиентами и т.д. Это сетевая технология, которая обеспечивает прямой доступ из сети одной компании к сети другой компании и таким образом способствует повышению надежности связи, поддерживаемой в ходе делового сотрудничества. Межкорпоративные сети VPN в целом похожи на внутрикорпоративные виртуальные частные сети с той лишь разницей, что проблема защиты информации является для них более острой. Для них характерно использование стандартизированных VPN -продуктов, гарантирующих способность к взаимодействию с различными VPN-решениями, которые деловые партнеры могли бы применять в своих сетях. |