Эффективное применение информационных технологий - общепризнанный стратегический фактор роста конкурентоспособности компании. Электронный бизнес как способ взаимодействия деловых партнеров, сотрудников и клиентов. Защита от несанкционированного доступа.
Без знания и квалифицированного применения современных технологий, стандартов, протоколов и средств защиты информации невозможно достичь требуемого уровня информационной безопасности корпоративных систем и сетей. Преимущества, получаемые компанией при формировании таких виртуальных туннелей, заключаются, прежде всего, в значительной экономии финансовых средств, поскольку в рассматриваемой ситуации компания может отказаться от построения или аренды дорогих выделенных каналов связи для создания собственных intranet/extranet сетей и использовать для этого де Internet-каналы, надежность и скорость передачи которых в большинстве своем сегодня уже не уступают выделенным линиям. Исторически техническая реализация виртуальных туннелей шла по двум направлениям: - построение совокупности соединений (Frame Relay или АТМ) между двумя точками единой инфраструктуры сети, изолированными от других пользователей, путем применения встроенных механизмов организации виртуальных каналов; С помощью таких туннелей можно разделить местоположение сервера удаленного доступа, к которому подключается пользователь, используя местные коммутируемые линии связи, и точки, где происходит непосредственная обработка протокола удаленного доступа (SLIP, PPP), и пользователь получает доступ в сеть. Комплекс продуктов VPN ЗАСТАВА 5.3 состоит из Центра управления ЗАСТАВА и трех полнофункциональных VPN/FW-агентов: ЗАСТАВА - Клиент, ЗАСТАВА - Сервер и ЗАСТАВА - Офис и предоставляет пользователям полное обеспечение для построения защищенных корпоративных сетей.При подключении корпоративной локальной сети к открытой сети возникают угрозы безопасности, такие как несанкционированный доступ к корпоративным данным и к внутренним ресурсам корпоративной локальной сети. В дипломной работе рассмотрены способы защиты данной корпоративной сети от несанкционированного доступа, с использованием программных продуктов ЗАСТАВА, разработанных компанией «Элвис ». В первой главе рассмотрена концепция построения защищенных виртуальных частных сетей VPN, а также функции и компоненты VPN-сети. Во второй главе ведется рассмотрение конкретного программного продукта ЗАСТАВА, разработанного компанией ООО «Элвис » на основе современного стандарта IPSEC, образующего целостный масштабируемый ряд продуктов для построения защищенных корпоративных сетей VPN. VPN-продукт ЗАСТАВА включает в себя центр управления, который представляет собой программный продукт для централизированного управления клиентскими VPN-устройствами; ЗАСТАВА-Клиент - это программное обеспечение для защиты трафика рабочей станции пользователя; ЗАСТАВА-Сервер - программный продукт, обеспечивающий защиту серверов от несанкционированного доступа из внешних сетей, а также организацию защищенных соединений с отдельными компьютерами; ЗАСТАВА-Офис - программный продукт предназначенный для защиты локальной сети предприятия, в которой могут находиться как защищенные другими продуктами ЗАСТАВА, так и незащищенными компьютерами.
Введение
В современном мире информация и ее обработка играют ключевую роль в управлении и функционировании предприятий. Реалии современного мира таковы, что эффективность работы любой компании напрямую зависит от качества и оперативности управления бизнес-процессами. Имея доступ к нужной информации, можно правильно оценить текущую ситуацию, принять своевременные решения.
Конкуренция вынуждает каждую компанию становиться все более открытой для своего окружения, все более чувствительной к постоянно меняющейся внешней среде. Установить четкие границы для любого бизнеса сегодня практически невозможно - информация выходит за пределы корпорации к ее клиентам, поставщикам и партнерам, за пределы границ различных сетевых сред.
Общепризнанным стратегическим фактором роста конкурентоспособности компании является эффективное применение информационных технологий. Новые технологические возможности облегчают распространение информации, повышают эффективность производственных процессов, способствуют расширению деловых операций в сфере бизнеса. Одним из главных инструментов управления являются корпоративные информационные системы. Предприятия нового типа - это разветвленная сеть распределенных подразделений, филиалов и групп, взаимодействующих друг с другом. Распределенные корпоративные информационные системы становятся сегодня важнейшим средством производства современной компании, они позволяют преобразовать традиционные формы бизнеса в электронный бизнес.
Электронный бизнес - это новый способ взаимодействия деловых партнеров, сотрудников и клиентов. Он является исключительно перспективным и потенциально может принести большие доходы. Электронный бизнес использует глобальную сеть Internet и современные информационные для повышения эффективности всех сторон деловых отношений, включая продажи, маркетинг, платежи, финансовый анализ, поиск сотрудников, поддержке клиентов и партнерских отношений.
Однако применение информационных технологий немыслимо без повышенного внимания к вопросам информационной безопасности. Информация должна быть доступна только тем, кому она предназначена, и скрыта от сторонних наблюдателей. Разрушение информационного ресурса, его временная недоступность или несанкционированное использование могут нанести компании значительный материальный ущерб. Без должной степени защиты информации внедрение информационных технологий может оказаться экономически невыгодным в результате значительного ущерба изза потерь конфиденциальных данных, хранящихся и обрабатываемых в компьютерных сетях.
В дипломной работе рассматривается корпоративная сеть предприятия ООО «Эклор», которая специализируется на производстве детских игрушек из пластмассы в широком ассортименте и цветовой гамме, а так же в производстве офисной мебели и комплектующих. Сеть ООО «Эклор» состоит из центрального офиса в г. Екатеринбург и двух филиалов в Н-Новгороде и Ростове-на-Дону (Приложение А).
Использование Internet в качестве глобальной публичной сети означает для средств безопасности предприятия не только резкое увеличение количества внешних пользователей и разнообразие типов коммуникационных связей, но и сосуществование с новыми сетевыми и информационными технологиями. Поэтому информационные ресурсы и средства осуществления электронных сетевых транзакций (серверы, маршрутизаторы, серверы удаленного доступа, каналы связи, операционные системы, базы данных и приложения) нужно защищать особенно надежно и качественно.
Следует отметить, что средства взлома компьютерных сетей и хищения информации развиваются так же быстро, как и все высокотехнологичные компьютерные отрасли. Без знания и квалифицированного применения современных технологий, стандартов, протоколов и средств защиты информации невозможно достичь требуемого уровня информационной безопасности корпоративных систем и сетей. В этих условиях обеспечение информационной безопасности корпоративной информационной системы является приоритетной задачей для руководства компании, поскольку от сохранения конфиденциальности, целостности и доступности корпоративных информационных ресурсов во многом зависит качество и оперативность принятия стратегических решений, и эффективность их реализации.
Однако применение информационных технологий немыслимо без повышенного внимания к вопросам информационной безопасности. Информация должна быть доступна только тем, кому она предназначена, и скрыта от сторонних наблюдателей. Разрушение информационного ресурса, его временная недоступность или несанкционированное использование могут нанести компании значительный материальный ущерб. Без должной степени защиты информации внедрение информационных технологий может оказаться экономически невыгодным в результате значительного ущерба изза потерь конфиденциальных данных, хранящихся и обрабатываемых в компьютерных сетях.
1. Защищенные виртуальные частные сети VPN
1.1 Концепция построения защищенных виртуальных частных сетей VPN
В основе концепции построения защищенных виртуальных частных сетей VPN лежит достаточно простая идея: если в глобальной сети есть два узла, которые хотят обменяться информацией, то для обеспечения конфиденциальности и целостности передаваемой по открытым сетям информации между ними необходимо построить виртуальный туннель, доступ к которому должен быть чрезвычайно затруднен всем активным и пассивным внешним наблюдателям. Термин «виртуальный» указывает на то, что соединение между двумя узлами сети не является постоянным (жестким) и существует только во время прохождения трафика по сети.
Преимущества, получаемые компанией при формировании таких виртуальных туннелей, заключаются, прежде всего, в значительной экономии финансовых средств, поскольку в рассматриваемой ситуации компания может отказаться от построения или аренды дорогих выделенных каналов связи для создания собственных intranet/extranet сетей и использовать для этого де Internet-каналы, надежность и скорость передачи которых в большинстве своем сегодня уже не уступают выделенным линиям.
Очевидная экономическая эффективность от внедрения VPN-технологии активно стимулирует предприятия к скорейшему ее внедрению.
Исторически техническая реализация виртуальных туннелей шла по двум направлениям: - построение совокупности соединений (Frame Relay или АТМ) между двумя точками единой инфраструктуры сети, изолированными от других пользователей, путем применения встроенных механизмов организации виртуальных каналов;
- применения технологии туннелирования, согласно которой каждый IP- построение виртуального IP-туннеля между двумя узлами сети путем пакет шифруется и помещается в поле данных нового пакета специального вида.
Однако скоро VPN-технология стала четко ассоциироваться со средствами защиты информации, и направление создания защищенных виртуальных сетей VPN постепенно вышло на первый план.
1.1.1 Функции и компоненты сети VPN
Защищенной виртуальной сетью VPN называют объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность циркулирующих данных.
При подключении корпоративной локальной сети к открытой сети возникают угрозы безопасности двух основных типов: - несанкционированный доступ к корпоративным данным в процессе их передачи по открытой сети;
- несанкционированный доступ к внутренним ресурсам корпоративной локальной сети, получаемый злоумышленником в результате несанкционированного входа в эту сеть.
Обеспечение безопасности информационного взаимодействия локальных сетей и отдельных компьютеров через открытые сети, в частности через Internet, возможно при эффективном решении задач защиты: - информации в процессе ее передачи по открытым каналам связи;
- подключенных к открытым каналам связи локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды.
Защита информации в процессе передачи по открытым каналам связи основана на выполнении следующих основных функций: - аутентификации взаимодействующих сторон;
- проверке подлинности и целостности доставленной информации.
Для этих функций характерна взаимосвязь друг с другом. Их реализация основана на использовании криптографических методов защиты информации, эффективность которой обеспечивается за счет совместного использования симметричных и асимметричных криптографических систем.
Для защиты локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды обычно используют межсетевые экраны (брандмауэры), поддерживающие безопасность информационного взаимодействия путем фильтрации двустороннего потока сообщений, а также выполнения функций посредничества при обмене информацией. Межсетевой экран располагают на стыке между локальной и открытой сетью. Для защиты отдельного удаленного компьютера, подключенного к открытой сети, программное обеспечение межсетевого экрана устанавливают на этом же компьютере, и такой межсетевой экран называется персональным.
Виртуальная частная сеть VPN формируется на основе каналов связи открытой сети. Открытую внешнюю среду передачи информации можно разделить на среду скоростной передачи данных, в качестве которой используется Internet, и более медленные общедоступные каналы связи, в качестве которых обычно применяются каналы телефонной сети. Эффективность виртуальной частной сети VPN определяется степенью защищенности информации, циркулирующей по открытым каналам связи.
Защита информации в процессе ее передачи по открытым каналам основана на построении защищенных виртуальных каналов связи, называемых туннелями VPN. Туннель VPN обладает свойствами защищенной выделенной линии, причем эта защищенная выделенная линия развертывается в рамках общедоступной сети, например Internet. Туннель VPN представляет собой соединение, проведенное через открытую сеть, по которому передаются криптографически защищенные пакеты сообщений виртуальной сети [1].
Туннелирование широко используется для безопасной передачи данных через открытые сети. С помощью этой методики пакеты данных передаются через общедоступную сеть как по обычному двухточечному соединению. Между каждой парой «отправитель-получатель данных» устанавливается своеобразный туннель - безопасное логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого. Суть туннелирования состоит в том, чтобы «упаковать» передаваемую порцию данных (вместе со служебными полями) в новый «конверт». При этом пакет протокола более низкого уровня помещается в поле данных пакета протокола более высокого или такого же уровня. Следует отметить, что туннелирование само по себе не защищает данные от несанкционированного доступа или искажения, но обеспечивает возможность полной криптографической защиты инкапсулируемых исходных пакетов.
Чтобы обеспечить конфиденциальность передаваемых данных, отправитель шифрует исходные пакеты, упаковывает их во внешний пакет с новым IP-заголовком и отправляет по транзитной сети (рисунок 1.1).
Рисунок 1.1 Пример пакета, приготовленного для туннелирования
Особенность туннелирования заключается в том, что эта технология позволяет зашифровать исходный пакет целиком вместе с заголовком, а не только его поле данных. Это важно, поскольку некоторые поля заголовка содержат информацию, которая может быть использована злоумышленником. В частности, из заголовка исходного пакета можно извлечь сведения о внутренней структуре сети - данные о количестве подсетей и узлов и их IP-адресах. Злоумышленник получает шанс использовать такую информацию при организации атак на корпоративную сеть.
Исходный пакет с зашифрованным заголовком нельзя использовать для организации транспортировки по сети. Поэтому для защиты исходного пакета применяют его инкапсуляцию и туннелирование. Исходный пакет зашифровывают полностью вместе с заголовком, а затем помещают в другой внешний пакет с открытым заголовком. Для транспортировки данных по открытой сети используются открытые поля заголовка внешнего пакета.
Рисунок 1.2 Схема виртуального туннеля
По прибытии в конечную точку защищенного канала из внешнего пакета извлекают и расшифровывают внутренний исходный пакет и используют его восстановленный заголовок для дальнейшей передачи по внутренней сети (рисунок 1.2).
Туннелирование может быть использовано для обеспечения не только конфиденциальности содержимого пакета, но и его целостности и аутентичности; при этом электронную цифровую подпись можно распространить на все поля пакета.
В дополнение к сокрытию сетевой структуры между двумя точками туннелирование может также предотвратить возможный конфликт адресов между двумя локальными сетями.
Механизм туннелирования широко применяется в различных протоколах формирования защищенного канала.
Обычно туннель создается только на участке открытой сети, где существует угроза нарушения конфиденциальности и целостности данных, например между точками входа в открытую сеть Internet и в корпоративную сеть. При этом для внешних пакетов используются адреса пограничных маршрутизаторов, установленных в двух названных точках, а внутренние адреса конечных узлов содержатся во внутренних исходных пакетах в защищенном виде.
Следует отметить, что сам механизм туннелирования не зависит от того, с какой целью оно применяется. Туннелирование может использоваться не только для обеспечения конфиденциальности и целостности всей передаваемой порции данных, но и для организации перехода между сетями с разными протоколами (например, IPV4 и IPV6). Туннелирование позволяет организовать передачу пакетов одного протокола в логической среде, использующей другой протокол. В результате появляется возможность решить проблемы взаимодействия нескольких разнотипных сетей, начиная с необходимости обеспечения целостности и конфиденциальности передаваемых данных и заканчивая преодолением несоответствий внешних протоколов или схем адресации.
Реализацию механизма туннелирования можно представить как результат работы протоколов трех типов: протокола-«пассажира», несущего протокола и протокола туннелирования. Например, в качестве протокола-«пассажира» может быть использован транспортный протокол IPX, переносящий данные в локальных сетях филиалов одного предприятия. Реализацию механизма туннелирования можно представить как результат работы протоколов трех типов: протокола-«пассажира», несущего протокола и протокола туннелирования.
1.2.1 Основные варианты VPN-решений
Можно выделить три основных вида VPN-решений: - интегрированные;
- специализированные;
- программные.
Интегрированные VPN-решения включают функции межсетевого экрана, маршрутизации и коммутации. Главное преимущество такого подхода состоит в централизации управления компонентами. Для компаний, которым не требуется высокая производительность корпоративной сети, а задача снижения расходов на сетевое оборудование является одной из приоритетных, наиболее эффективным будет интегрированное решение, позволяющее сосредоточить все функции в одном устройстве. При этом все же следует сказать, что чем больше функций исполняется одним устройством, тем чаще становятся заметными потери в производительности.
Специализированные VPN-решения. Высокая производительность - самое главное преимущество специализированных VPN-устройств. Более высокое быстродействие подобных систем обусловлено тем, что шифрование в них осуществляется специализированными микросхемами.
Объем вычислений, которые необходимо выполнить при обработке VPN-пакета, в 50 - 100 раз превышает тот, который требуется для обработки обычного пакета. Если в корпоративной сети проводятся различные мероприятия, требующие обмена большим трафиком данных, то для эффективной обработки VPN-пакетов целесообразно использовать специализированную аппаратуру. Специализированные VPN-устройства обеспечивают высокий уровень безопасности, однако обладают высокой стоимостью.
Программные VPN-решения. VPN-продукты, реализованные программным способом, с точки зрения производительности уступают специализированным устройствам, однако обладают достаточной мощностью для реализации VPNB настоящее время существует несколько типов физических реализаций VPN-технологий, каждая из которых характеризуется определенным набором функциональных требований. Следует отметить, что в случае удаленного доступа требования к необходимой полосе пропускания невелики, поэтому чисто программные продукты легко обеспечивают производительность, достаточную для удаленного доступа. Несомненными достоинствами программных продуктов являются гибкость и удобство в применении, а также относительно невысокая стоимость.
Внутрикорпоративная сеть (intranet-VPN) обеспечивает создание безопасных соединений между внутренними отделами компании и ее филиалами. Для нее характерны следующие свойства: - применение мощных криптографических протоколов шифрования данных для защиты конфиденциальной информации;
- надежность функционирования при выполнении таких критических приложений, как системы автоматизированной продажи и управления базами данных;
- гибкость управления для более эффективного размещения быстро возрастающего количества пользователей, новых офисов и программных приложений.
Сети VPN с удаленным доступом (Internet-VPN) обеспечивают защищенный удаленный доступ к информационным ресурсам предприятия для мобильных или удаленных сотрудников корпорации (руководство компанией, сотрудники, находящиеся в командировках, сотрудники-надомники и т.д.). Для Internet-VPN характерны следующие основные свойства: - мощная система установления подлинности удаленных и мобильных пользователей, которая должна с максимальной точностью и эффективностью провести процедуру аутентификации;
- эффективная система централизованного управления для обеспечения высокой степени гибкости при увеличении количества пользователей, работающих с VPN.
Межкорпоративная сеть (extranet-VPN) обеспечивает эффективное взаимодействие и защищенный обмен информацией со стратегическими партнерами по бизнесу, в том числе зарубежными, основными поставщиками, крупными заказчиками, клиентами и т.д. Для extranet-VPN характерно использование стандартизированных VPN-продуктов, гарантирующих способность к взаимодействию с различными VPN-решениями, которые деловые партнеры могли бы применять в своих сетях.
Иногда выделяют в отдельную группу локальный вариант сети VPN.
Локальная сеть (localnet-VPN) обеспечивает защиту информационных потоков, циркулирующих внутри локальных сетей компании (как правило, центрального офиса) от несанкционированного доступа со стороны «излишне любопытных» сотрудников компании.
Несмотря на наличие проработанных основных вариантов VPN-решений построение VPN для распределенных компаний даже с небольшим количеством удаленных (5-10) подразделений (филиалов), как правило, является достаточно трудоемкой задачей, сложность которой обусловлена следующими основными причинами: - значительная гетерогенность существующих в российских компаниях технических решений, которая заключается не только в большом разнообразии и малой совместимости используемых аппаратных платформ, программного обеспечения, сетевых операционных систем, качественно различных каналах связи между подразделениями компании, но и в многообразии практически аналогичных решений у существующих и потенциальных партнеров и заказчиков, с которыми необходимо строить защищенные extranet-VPN;
- разнообразие применяемых для построения корпоративной VPN частных технический решений;
- необходимость построения централизованной системы управления всей корпоративной VPN из центрального офиса компании для обеспечения высокого уровня безопасности и управляемости VPN, особенно системой распределения криптографических ключей и сертификатов, а также изза отсутствия квалифицированного обслуживающего персонала в региональных подразделениях и т.д.;
- узкая полоса пропускания и относительно плохое качество существующих каналов связи, особенно с региональными подразделениями, и т.д.
Указанные сложности построения корпоративных VPN усугубляется еще и тем, что, как правило, предъявляются достаточно жесткие требования в отношении: - масштабируемости применяемых технических решений;
- интегрируемости с уже существующими в подразделениях компании средствами защиты информации, а также прозрачности работы VPN для всех работающих внутрикорпоративных приложений (системы документооборота, аудита и управления компьютерными сетями, IP-телефонии и т.д.);
- легальности общего решения, то есть применяемые для построения VPN-средства должны отвечать национальным стандартам и требованиям;
- пропускной способности защищаемой сети, то есть VPN-устройства не должны вносить существенные задержки в процесс обработки и передачи информации, а также заметно суживать полосу пропускания канала связи;
- стойкости применяемых криптоалгоритмов, благодаря которой корпоративная информация была бы надежно защищена от криптоаналитических атак злоумышленников и недобросовестных конкурентов;
- обеспечение целостности передаваемой по сетям информации и надежной аутентификации пользователей VPN;
- унифицируемости VPN-решения, позволяющей данной компании в будущем без особых технических и организационных проблем устанавливать защищенные соединения с новыми партнерами по бизнесу;
- общей совокупной стоимости построения корпоративной VPN, которая может варьироваться практически от нуля до нескольких сотен тысяч долларов.
Нетрудно заметить, что многие из перечисленных выше требований находятся в определенном противоречии друг с другом, что в большинстве случаев не позволяет предложить какое-то общее оптимальное по всем критериям техническое решение. Поэтому, как правило, на практике приходится либо пренебрегать некоторыми из перечисленных требований, либо строить комбинированные VPN на базе существующих решений: - сетевых операционных систем;
- маршрутизаторов;
- межсетевых экранов;
- специализированного программного обеспечения.
1.2.2 VPN на базе сетевых операционных систем
Построение VPN на базе сетевой операционной системы - достаточно удобный и, главное, дешевый способ создания инфраструктуры защищенных виртуальных каналов. Сегодня в России наибольшее распространение среди сетевых операционных систем, позволяющих строить VPN штатными средствами самой операционной системы, получила Windows NT. Данное решение оказалось популярным, прежде всего, благодаря общей распространенности данной ОС [4].
Для построения виртуальных защищенных туннелей в IP-сетях Windows NT использует разработанный фирмой Microsoft протокол РРТР, который является расширением хорошо известного протокола РРР (Point-to-Point Protocol). Туннелирование трафика происходит за счет инкапсуляции и последующего шифрования (криптоалгоритм RSA RC4 с ключом 40 бит) стандартных РРР-фреймов в ІР-датаграммы, которые и передаются по открытым IP-сетям. С точки зрения обеспечения безопасности соединения протокол РРТР унаследовал практически все качества протокола РРР.
По мнению специалистов, данное решение является оптимальным для построения VPN внутри локальных сетей или домена Windows NT, а также для построения intranet- и extranet-VPN для небольших компаний с целью защиты некритичной для их бизнеса информации. В то же время крупный бизнес вряд ли доверит свои секреты этому решению, поскольку многочисленные испытания VPN, построенных на базе Windows NT, показали, что протокол РРТР достаточно уязвим с точки зрения безопасности.
1.2.3 VPN на базе маршрутизаторов
Сегодня практически все ведущие производители маршрутизаторов и других сетевых устройств заявляют о поддержке в своих продуктах различных VPN-протоколов. В России безусловным лидером на этом рынке является компания Cisco Systems, поэтому построение корпоративных VPN целесообразнее всего продемонстрировать на решениях именно этой компании.
Построение VPN-каналов на базе маршрутизаторов компании Cisco осуществляется средствами самой операционной системы, начиная с версии Cisco IOS 12.x. Если на пограничные маршрутизаторы Cisco других отделений компании установлена данная операционная система, то имеется возможность сформировать корпоративную VPN, состоящую из совокупности виртуальных защищенных туннелей типа «точка-точка» от одного маршрутизатора к другому (рисунок 1.3). Как правило, для шифрования данных в канале по умолчанию применяется криптоалгоритм DES с длиной ключа 56 бит.
Рисунок 1.3 Типовая схема построения корпоративной VPN на базе маршрутизаторов Cisco
Сравнительно недавно появился продукт компании - Cisco VPN client, который позволяет создавать защищенные соединения «точка-точка» между рабочими станциями (в том числе и удаленными) и маршрутизаторами Cisco, что делает возможным построение Internet- и localnet-VPN.
Для организации VPN-туннеля маршрутизаторы компании Cisco в настоящее время используют протокол канального уровня L2TP (созданный на базе фирменных протоколов L2F (Cisco Systems) и PPTP(Microsoft Co.)) и протокол сетевого уровня IPSEC, разработанный ассоциацией IETF.
Протокол эстафетной передачи на втором уровне (Layer 2 Forwarding - L2F) был разработан компанией Cisco Systems. Он обеспечивает туннелирование протоколов канального уровня с использованием протоколов более высокого уровня, например, IP. С помощью таких туннелей можно разделить местоположение сервера удаленного доступа, к которому подключается пользователь, используя местные коммутируемые линии связи, и точки, где происходит непосредственная обработка протокола удаленного доступа (SLIP, PPP), и пользователь получает доступ в сеть. Эти туннели дают возможность использовать приложения, требующие удаленного доступа с частными адресами IP, IPX и APPLETALK через протокол SLIP/PPP по существующей инфраструктуре Интернет. Поддержка таких многопротокольных приложений виртуального удаленного доступа очень выгодна конечным пользователям и независимым поставщикам услуг, поскольку позволяет разделить на всех расходы на средства доступа и базовую инфраструктуру и дает возможность осуществлять доступ через местные линии связи. Кроме того, такой подход защищает инвестиции, сделанные в существующие приложения, работающие не по протоколу IP, предоставляя защищенный доступ к ним и в то же время поддерживая инфраструктуру доступа к Интернет.
Сквозной туннельный протокол Point-to-Point Tunneling Protocol (PPTP) создан корпорацией Microsoft. Он никак не меняет протокол PPP, но предоставляет для него новое транспортное средство. В рамках этого протокола опред Сравнительно недавно появился продукт компании - Cisco VPN client, который позволяет создавать защищенные соединения «точка-точка» между рабочими станциями (в том числе и удаленными) и маршрутизаторами Cisco, что делает возможным построение Internet- и localnet-VPN.
Как видно, протоколы L2F и PPTP имеют сходную функциональность. Компании Cisco и Microsoft согласились вместе (в рамках IETF) разработать единый стандартный протокол, который получил название туннельного протокола второго уровня (Layer 2 Tunneling Protocol - L2TP).
Протокол L2TP обеспечивает инкапсулирование протоколов сетевого уровня (IP, IPX, NETBEUI и др.) в пакеты канального уровня (PPP), которые и передаются по сетям, поддерживающим доставку датаграмм в каналах «точка-точка». Хотя этот протокол и претендует на решение проблем безопасности в VPN, он никак не специфицирует процедуры шифрования, аутентификации (процедура аутентификации происходит один раз в начале сессии) и проверки целостности каждого передаваемого по открытой сети пакета, а также процедуры управления криптографическими ключами. Основное преимущество L2TP состоит в его независимости от транспортного уровня, что позволяет использовать его в гетерогенных сетях. Достаточно важным качеством L2TP является его поддержка в операционной системе Windows 2000, благодаря чему в принципе можно строить комбинированные VPN на базе продуктов Microsoft и Cisco. Однако «канальная природа» протокола L2TP послужила причиной его существенного недостатка: для гарантированной передачи защищенного пакета через составные сети все промежуточные маршрутизаторы должны поддерживать данный протокол, что, очевидно, весьма трудно гарантировать. Видимо, в связи с этим компания Cisco сегодня обратила более пристальный взгляд на продвижение более современного VPN-протокола - IPSEC.
Безопасный протокол IP (IPSEC) представляет собой набор стандартов, используемых для защиты данных и для аутентификации на уровне IP. Протокол IPSEC также включает криптографические методы, удовлетворяющие потребности управления ключами на сетевом уровне безопасности. Протокол управления ключами Ассоциации безопасности Интернет (Internet Security Association Key Management Protocol - ISAKMP) создает рамочную структуру для управления ключами в сети Интернет и предоставляет конкретную протокольную поддержку для согласования атрибутов безопасности. Стандарт IPSEC позволяет поддержать на уровне IP потоки безопасных и аутентичных данных между взаимодействующими устройствами, включая центральные компьютеры, межсетевые экраны (сетевые фильтры) различных типов и маршрутизаторы [4].
На сегодняшний день IPSEC - один из самых проработанных и совершенных Internet-протоколов в плане безопасности. В частности, он обеспечивает аутентификацию, проверку целостности и шифрование сообщений на уровне каждого пакета (для управления криптографическими ключами IPSEC использует протокол IKE, хорошо зарекомендовавший себя в своей более ранней версии Oakley). Кроме того, работа протокола на сетевом уровне является одним из стратегических преимуществ IPSEC, поскольку VPN на его базе работают полностью прозрачно как для всех без исключения приложений и сетевых сервисов, так и для сетей передачи данных канального уровня. Также IPSEC позволяет маршрутизировать зашифрованные пакеты сетям без дополнительной настройки промежуточных маршрутизаторов, поскольку сохраняет стандартный IP-заголовок, принятый в IPV4. А тот факт, что IPSEC включен в качестве неотъемлемой части в будущий Internet-протокол IPV6, делает его еще более привлекательным для организации корпоративных VPN.
Но IPSEC присущи и некоторые недостатки: поддержка только стека TCP/IP и довольно большой объем служебной информации, который может вызвать существенное снижение скорости обмена данными на низкоскоростных каналах связи.
Возвращаясь к построению корпоративных VPN на базе маршрутизаторов, отметим, что в основную задачу этих устройств входит маршрутизация трафика, а значит, криптообработка пакетов является некоторой дополнительной функцией, требующей, очевидно, дополнительных вычислительных ресурсов. Другими словами, если ваш маршрутизатор имеет достаточно большой запас по производительности, то ему вполне можно «поручить» и формирование VPN. Однако если маршрутизатор работает «на пределе», он вряд ли справится с этой задачей, не нарушая общей функциональности своей работы.
В случае построения VPN на базе маршрутизаторов необходимо помнить еще и о том, что сам по себе такой подход не решает проблему обеспечения общей информационной безопасности компании, поскольку все внутренние информационные ресурсы все равно остаются открытыми для атак извне. Для защиты этих ресурсов, как правило, применяются межсетевые экраны, которые располагаются за пограничными маршрутизаторами, а, следовательно, на канале от маршрутизатора к МЭ и далее вся конфиденциальная информация идет в «открытом» виде. Это, в частности, означает, что маршрутизатор необходимо ставить как можно «ближе» к МЭ, желательно в общем охраняемом помещении.
Один из существенных недостатков построения VPN на базе маршрутизаторов состоит в том, что решение единой задачи защиты информационных ресурсов компании от атак извне распределяется по нескольким функционально независимым устройствам (например, маршрутизатор и МЭ). Такой подход может привести к серьезным организационным и техническим проблемам в случаях, например, определения ответственности за нарушение информационной безопасности сети [1].
1.2.4 VPN на базе межсетевых экранов
Ряд специалистов по информационной безопасности считает, что построение VPN на базе межсетевых экранов является единственным оптимальным вариантом с точки зрения обеспечения комплексной безопасности корпоративной информационной системы от атак из открытых сетей. Действительно, объединение функций МЭ и VPN-шлюза в одной точке под контролем единой системы управления и аудита - не только технически грамотное, но и удобное для администрирования решение. В качестве примера рассмотрим типовую схему построения корпоративной VPN на базе популярного в России программного продукта CHECKPOINT Firewall-1/VPN-1 компании CHECKPOINT Software Technologies.
Данная компания является одним из лидеров в области производства продуктов комплексного обеспечения информационной безопасности при работе с Internet. Межсетевой экран CHECKPOINT Firewall-1 позволяет в рамках единого комплекса построить глубокоэшелонированный рубеж обороны для корпоративных информационных ресурсов. В состав такого комплекса входит как сам CHECKPOINT Firewall-1, так и набор продуктов для построения корпоративной VPN: CHECKPOINT Firewall-1, средства обнаружения вторжений REALSECURE, средства управления полосой пропускания FLOODGATE и т.д. (рисунок 1.4).
Рисунок 1.4 Типовая схема построения корпоративной VPN на базе CHECKPOINT Firewall-1/VPN-1
Подсистема построения VPN на базе CHECKPOINT FW-1 включает в себя программные продукты VPN-1: - Gateway и VPN-1 Appliance, предназначенные для построения intranet-VPN;
- VPN-1 SECURESERVER - для защиты выделенных серверов;
- VPN-1 SECUREMOTE и VPN-1 SECURECLIENT - для построения internet/externet/localnet-VPN.
Для шифрования трафика в каналах CHECKPOINT Firewall-1 использует известные криптоалгоритмы DES, CAST, IDEA, FWZ и др. [5].
Весь ряд продуктов CHECKPOINT VPN-1 реализован на базе открытых стандартов (IPSEC), имеет развитую систему аутентификации пользователей, поддерживает взаимодействие с внешними системами распределения открытых ключей (PKI), позволяет строить централизованную систему управления и аудита и т.д.
Подводя итоги, можно сказать, что построение VPN на базе МЭ представляется вполне сбалансированным решением. Однако ему тоже присущи некоторые недостатки. Прежде всего, это высокая стоимость в пересчете на одно рабочее место корпоративной сети и достаточно большие требования к производительности МЭ даже при умеренной ширине полосы пропускания выходного канала связи. Очевидно, что вопросу производительности межсетевого экрана должно уделяться повышенное внимание при построении VPN, поскольку фактически вся нагрузка по криптообработке трафика ложится на МЭ [7].
1.2.5 VPN-продукты российских производителей
Всех российских производителей VPN-продуктов можно разделить на две группы: компании, предлагающие VPN-продукты, разработанные на базе известных мировых стандартов, и компании, предлагающие VPN-продукты на основе собственных разработок. Следует отметить, что вторая группа в данное время выглядит более многочисленной.
Как правило, при построении корпоративной VPN более предпочтительным представляется выбор в пользу VPN-продуктов из первой группы, то есть реализующие известные и всесторонне изученные мировые стандарты. Интерес к таким продуктам еще более повышается, если они используют сильные отечественные криптографические алгоритмы, такой, например, как (кстати, совершенно открытый) криптоалгоритм ГОСТ 28147-89 с длиной ключа 256 бит [8].
Среди отечественных производителей VPN-продуктов указанной группы наибольшую известность и распространенность на сегодняшний день приобрели, пожалуй, два: криптографический комплекс «Шифратор IP-пакетов» (ШИП) производства МО ПНИЭИ и линейка программных продуктов серии ЗАСТАВА от компании ООО «ЭЛВИС ». Поскольку указанные продукты являются специализированными VPN-продуктами, набор предоставляемых ими функциональных возможностей в некоторых случаях даже шире, чем у западных конкурентов, а криптостойкость используемых криптоалгоритмов, безусловно, многократно превышает соответствующие параметры поставляемых в Россию западных функциональных аналогов.
2. VPN-продукты ЗАСТАВА
2.1 Состав и преим
Вывод
При подключении корпоративной локальной сети к открытой сети возникают угрозы безопасности, такие как несанкционированный доступ к корпоративным данным и к внутренним ресурсам корпоративной локальной сети. В дипломной работе рассмотрены способы защиты данной корпоративной сети от несанкционированного доступа, с использованием программных продуктов ЗАСТАВА, разработанных компанией «Элвис ».
В первой главе рассмотрена концепция построения защищенных виртуальных частных сетей VPN, а также функции и компоненты VPN-сети. Описаны VPN-решения для построения защищенных корпоративных сетей, среди которых выделены интегрированные, специализированные и программные VPN-решения. Рассмотрены существующие в настоящее время типы физических реализаций VPN-технологий. Здесь же описаны защищенные корпоративные сети на базе сетевых операционных систем, на базе маршрутизаторов и на базе сетевых экранов, а также VPN-продукты российских производителей.
Во второй главе ведется рассмотрение конкретного программного продукта ЗАСТАВА, разработанного компанией ООО «Элвис » на основе современного стандарта IPSEC, образующего целостный масштабируемый ряд продуктов для построения защищенных корпоративных сетей VPN. Выделены основные преимущества данного продуктного ряда и его описание. VPN-продукт ЗАСТАВА включает в себя центр управления, который представляет собой программный продукт для централизированного управления клиентскими VPN-устройствами; ЗАСТАВА-Клиент - это программное обеспечение для защиты трафика рабочей станции пользователя; ЗАСТАВА-Сервер - программный продукт, обеспечивающий защиту серверов от несанкционированного доступа из внешних сетей, а также организацию защищенных соединений с отдельными компьютерами; ЗАСТАВА-Офис - программный продукт предназначенный для защиты локальной сети предприятия, в которой могут находиться как защищенные другими продуктами ЗАСТАВА, так и незащищенными компьютерами.
В третьей главе приведен расчет надежности услуги VPN, значение которого указывает на высокую надежность разрабатываемой сети.
Список используемых источников информации
1 Соколов А.В., Шаньгин В.Ф. Защита информации в распределенных корпоративных сетях и системах. - М.:ДМК Пресс, 2002.
6 Балакшин Е.В., Хлупнов С.В. Опыт работы с межсетевым экраном FIREWALL-1 компании Check Point // Конфидент, 1999. - №2.
7 Гвоздев И.М., Зайчиков В.Н., Мошак Н.Н. и др. Отечественные средства для построение виртуальных частных сетей // Сети и системы связи. - 1999. - №12.
8 Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. - М.: Горячая линия - Телеком, 2000.
9 ЭЛВИС . Информационная безопасность. Продукты и решения. - М.: ОАО ЭЛВИС , 2000.
10 http://www.zastava.ru
11 Турский А., Панов С. Защита информации при взаимодействии корпоративных сетей в Internet // Конфидент. - 1998. - №5.
12 Петренко С.А. Централизованное управление антивирусной защитой корпоративных систем Internet/Intranet // Кофидент. - 2001. - №2.
Размещено на .ru
Вы можете ЗАГРУЗИТЬ и ПОВЫСИТЬ уникальность своей работы
