VPN глазами клиента

VPN глазами клиента

В.В. Мяснянкин, начальник отдела
защиты информации банка "Северная казна"

Возможные решения по обеспечению защиты трафика

Обеспечение непрерывности ведения бизнеса для территориально распределенной компании неразрывно связано с обеспечением защищенности передаваемой информации. В настоящее время наиболее экономически выгодным является соединение территориально распределенных объектов через сети общего пользования, через Интернет. Конечно, у этого решения есть и отрицательные моменты — в частности, невозможность гарантирования требуемой полосы пропускания, наличие предельных задержек, что делает весьма сложным реализацию QoS (Quality of Service).

Более того, если при аренде канала к передаваемой информации потенциально может получить доступ только персонал провайдера, то через Internet — кто угодно. Передавать ценную информацию без дополнительных мер защиты в таких условиях все равно, что носить крупную сумму денег в прозрачном пакете в криминальном районе.

Очевидно, что обеспечение безопасности информации в канале, который мы не можем контролировать полностью, удобнее всего криптографическими методами. Их использование возможно почти на всех уровнях семиуровневой модели OSI - от прикладного до канального.

Защита на прикладном и представительном уровне требует от приложения явного обращения к соответствующему сервису, то есть не является "прозрачной".

Этого недостатка лишена защита на сетевом уровне. Данный способ особенно удобен для организации защиты информации при ее передаче между двумя сетями: информация шифруется на границе одной сети и расшифровывается на границе другой. Если при этом используется режим инкапсуляции, то дополнительно обеспечивается маскирование внутренней структуры сетей.

По месту реализации криптографических функций можно выделить следующие типы VPN (Virtual Personal Networks -виртуальные частные сети):

• VPN на базе операционных систем;
• VPN на базе маршрутизаторов;
• VPN на базе межсетевых экранов (МСЭ);
• VPN на базе специализированного устройства.

Реализовывать функции VPN в каждом сетевом компьютере нецелесообразно по причине сложности управления такой системой.

Использование для этой цели маршрутизатора или МСЭ также имеет многочисленные отрицательные стороны, в конце концов, это не их предназначение. Кроме того, в них наверняка отсутствуют сертифицированные реализации российских криптографических алгоритмов.

Таким образом, для организации VPN лучше всего приме-нять специализированное устройство.

Критерии выбора VPN

Сертификация
Для начала необходимо определиться, обязательно ли использовать решения с сертифицированным криптоядром. С одной стороны, запрещается применение несертифициро-ванных средств криптографической защиты информации (СКЗИ), с другой — Закон РФ "О коммерческой тайне" позволяет собственнику самостоятельно устанавливать режим защиты своей конфиденциальной информации.

На мой взгляд, банку лучше остановить свой выбор на сертифицированном решении. Если VPN будет использоваться для защищенного доступа клиентов к ресурсам банка, то несертифицированное решение не позволит пользоваться данной услугой ряду клиентов, режим защиты информации у которых не допускает применение несертифицированных средств. По этой же причине данная категория клиентов откажется от обслуживания в банке, межфилиальные каналы которого защищены несер-тифицированными СКЗИ, поскольку по этим каналам передается в том числе и информация, составляющая тайну клиентов.

Стандартизация
Обычно стоит выбирать стандартизированные VPN, что упростит проблему совместимости. Кроме того, стандарты тщательно проработаны, и риск допустить ошибку ниже. Однако в некоторых случаях выгоднее использовать частные решения (например, для минимизации "накладных расходов" на реализацию VPN, в "клинических случаях" подключения мобильного клиента, например через NAT или прокси-сервер).

Производительность
Немаловажным аспектом при выборе VPN является производительность продукта. Иногда в рекламе указывается производительность, полученная на самой мощной из предлагаемых аппаратных конфигураций, а цены указываются для более скромной платформы из предлагаемой линейки вариантов. Следует также обратить внимание на условия, в которых производилось тестирование. Скорость, полученная в "лабораторных" условиях специальной утилитой, может существенно отличаться от скорости в реальной сети при обработке прикладных протоколов.

Сокетный фильтр
Исторически сложилось так, что разработчики VPN, стремясь предложить рынку сертифицированные решения, реа-лизовывали в рамках VPN функции МСЭ, что позволяло сертифицировать устройство по РД Гостехкомиссии РФ на МСЭ. Для многих потребителей данный функционал является излишним, так как они используют специализированные МСЭ (CheckPoint, CyberGuard, CiscoPIX и т.п.). Невозможность отключить сокетный фильтр, который даже при заданной конфигурации "allow any to any" содержит определенный набор правил по умолчанию, также может привести к возникновению проблем.

Система диагностики
В любой сложной системе априори присутствуют ошибки. Чаще всего это ошибки, вызванные неправильным конфигурированием, хотя не исключены и ошибки разработчика Для их поиска и устранения необходима удобная система диагностики. Здесь мы в очередной раз сталкиваемся с антагонизмом удобства и безопасности. Конечно, устройство, выполненное по принципу "черного ящика" и управляемое по сети со специализированного пульта, более безопасно, чем "обычная" операционная система (ОС) с криптомодулем. Но невозможность получить доступ (штатным образом) к системным журналам или запустить анализатор трафика существенно затрудняет (а зачастую делает просто невозможной) диагностику.

Работа с криптографическими ключами
Удобство и безопасность работы с криптографическими ключами также является одним из важных критериев при выборе. В идеале система должна позволять управлять ключами в ручном, автоматическом и полуавтоматическом режиме и быть PKI-ready, то есть интегрироваться в инфраструктуру открытых ключей, желательно произвольную. Хорошо, если VPN позволяет использовать различные СКЗИ через стандартный API, например PKCS#11, это решает проблему безопасного хранения и использования ключей. Не секрет, что большинство VPN-продуктов представляют собой компьютер (в обычном или промышленном корпусе) с "обрезанной" версией сетевой ОС, хранящей ключи в файловой системе. Между тем на западном рынке уже давно имеются криптографические модули (HSM), реализующие криптографические функции (включая выработку и хранение ключей) внутри себя. Они особенно актуальны для банков, устанавливающих оконечные VPN-устройства в торговых точках при обслуживании пластиковых карт, поскольку не всегда возможно ограничить физический доступ персонала торговой точки к устройству.

Говоря об обслуживании пластиковых карт, нельзя не упомянуть о еще одной (опциональной) возможности VPN. До сих пор мы говорили о защищенном взаимодействии сетей и компьютеров, однако существует целый ряд устройств, не имеющих сетевых адаптеров, но нуждающихся в защите коммуникаций. К ним относятся, в частности, компактные терминалы для обслуживания пластиковых карт. Обычно эти терминалы имеют интерфейс RS-232, и для обеспечения связи с банковским сервером их подключают либо к компьютеру, либо к специальному преобразователю, осуществляющему транспорт потока последовательного порта по IP-сетям до аналогичного преобразователя или драйвера виртуального порта. Очевидным преимуществом VPN-решения для банковского потребителя будет наличие в линейке предлагаемых устройств компактного VPN-терминатора, к которому можно подключить один или несколько терминалов. Сфера применения таких преобразователей не ограничена банками: они подойдут и для удаленного подключения разного рода датчиков телеметрии, контроллеров, консолей и т.п. На западном рынке подобные устройства (в том числе со встроенной и сертифицированной NIST-реализацией криптографического алгоритма AES) имеются.

Обратимся теперь к экономическим критериям.

Суммарная стоимость
Сравнивая цены на VPN-ре-шения, необходимо учитывать все возможные затраты, то есть вести сравнение по суммарной стоимости владения. Кроме стоимости непосредственно VPN-устройств следует учитывать стоимость системы управления. В одних решениях функцию координатора системы берет на себя одно из устройств, в других для этого существует специальный центр управления сетью, в третьих решениях для этой цели могут использоваться продукты сторонних фирм.
Немаловажную роль играет техническая поддержка и гарантийное обслуживание. Следует учитывать не только их стоимость (если она уже не включена в цену продукта), но и заявленные сроки реагирования (24х7, 8х5 и т.п.) и ремонтопригодность, особенно при использовании специализированных аппаратных решений.