Чтобы открытые сети хранили ваши секреты

Чтобы открытые сети хранили ваши секреты

В.К. Клянчин, В.Д. Десятов

Безопасность информационного взаимодействия локальных сетей и отдельных компьютеров через открытые сети, например через Интернет, требует качественного решения двух базовых задач:

• защита подключенных к публичным каналам связи локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды;
• защита информации в процессе передачи по открытым каналам связи.

Данные защитит виртуальный туннель

Для обеспечения конфиденциальности и целостности информации, передаваемой по открытым сетям, между взаимодействующими узлами необходимо построить виртуальный туннель, доступ к которому всем возможным активным и пассивным внешним наблюдателям должен быть предельно затруднен. Для организации подобных соединений применяется механизм инкапсуляции. Туннель создается двумя пограничными устройствами, которые размещаются в точках входа в публичную сеть. Туннелирование само по себе не защищает данные от несанкционированного доступа или искажения, но открывает перспективу полной криптографической защиты инкапсулируемых исходных пакетов.

Защищенный канал допускается строить с помощью системных средств, реализованных на разных уровнях модели взаимодействия открытых систем. Создать универсальную и прозрачную для пользователя защиту возможно лишь на нижних уровнях (канальном и сетевом), поскольку на этих уровнях зависимость приложений от протоколов защиты исчезает совсем.

В соответствии с протоколом

Из протоколов канального уровня для создания VPN применяются протоколы PPTP, L2F, L2TP. Хотя все три часто относят к протоколам образования защищенного канала, строго говоря, этому определению соответствует один PPTP, обеспечивающий как туннелирование, так и шифрование данных. Протоколы L2TP и L2F являются только протоколами туннелирования, а функции защиты данных (шифрование, аутентификация, целостность) в них не поддерживаются. В целом — в связи с использованием разных канальных протоколов в разных частях крупной составной сети — проложить защищенный канал через гетерогенную среду с помощью единого протокола канального уровня оказывается невозможно.

Из протоколов сетевого уровня наибольшее распространение в VPN имеет протокол IPSec, осуществляющий инкапсуляцию IP в IP. В настоящее время в мире всего 1% компьютеров не поддерживает IP вообще, а 99% используют его либо как единственный, либо как один из нескольких. IPSec обеспечивает целостность данных и их конфиденциальность в двух формах — с помощью заголовка аутентификации AH и протокола инкапсулирующей защиты ESP.

Протокол IPSec AH гарантирует только целостность информации и аутентификацию источника данных. Протокол IPSec ESP шифрует передаваемые данные, обеспечивая конфиденциальность. Он также способен поддерживать аутентификацию и целостность передаваемой информации. Для шифрования подходит любой симметричный алгоритм, использующий секретные ключи.

Высокий уровень обязывает

Поэтому наш метод состоит в применении протокола IPSec ESP, причем в туннельном режиме, когда исходный IP-пакет шифруется целиком.

По способу технической реализации предлагается выделить следующие группы VPN:

• VPN на основе сетевой ОС;
• VPN на основе межсетевых экранов;
• VPN на основе маршрутизаторов;
• VPN на основе специализированных программных средств (шлюзов);
• VPN на основе специализированных аппаратных средств со встроенными шифропроцессорами.

Первые четыре позиции являются по сути программными решениями и при относительно малой затратности этапа разработки и производства требуют существенных вложений на этапе сертификации — тем больших, чем выше заявляемый уровень защиты.

Будучи исторически связанным с разработкой шифро-средств высокого уровня защищенности, филиал в своих решениях ориентируется на специализированные аппаратные средства, которые по своей основной функции являются криптомаршрутизаторами и криптошл юзами.

В направлении криптомарш-рутизаторов, развиваемом совместно с ОАО «Институт Сетевых Технологий» (г. Санкт-Петербург), стандартом де-факто стала схема с независимыми модулями маршрутизации защищенной и незащищенной зон и проходным протокольно-независимым пакетным шифратором между ними (рис. 1).

Качество — гарантируется

При такой архитектуре наиболее прозрачно и надежно обеспечивается качество криптографической защиты. Появляется возможность реализовать достаточно сложные политики безопасности в защищенной и незащищенной зоне -без опасности негативного влияния на криптографическую подсистему.

В разработанном на основе вышеизложенного подхода и серийно выпускаемом криптомаршрутизаторе на 10 Мбит «Вулкан», помимо внушительного набора коммуникационных и сервисных функций, реализованы следующие возможности:

• статическая и динамическая маршрутизация (RIP v1, RIP v2, Triggered RIP);
• служебные протоколы ICMP, ARP, Telnet, Syslog;
• протоколы «точка — точка» PPP, HDLC LAPB, Cisco HDLC, Cisco LAPB;
• эффективная защита от НСД. Предусмотрено дискреционное и мандатное управление доступом.

Средства дискреционного управления доступом в объеме, соответствующем требованиям РД Гостехкомиссии по 2-му классу, позволяют осуществлять фильтрацию передаваемой информации на основе таблиц допустимых адресов отправителя и получателя, протоколов, портов и других значимых протокольных полей.

Средства мандатного управления доступом служат выполнению дифференцированной обработки пакетов на основе иерархических и неиерархических меток безопасности.

Иерархические метки обеспечивают функциональность, аналогичную грифу секретности и уровню допуска. Например, отдельные сегменты сети могут иметь ограничения по максимальному грифу обрабатываемой информации.

Неиерархические метки помогают выделять информацию абонентов, принадлежащих к различным тематическим группам (подразделениям, ведомствам).

Положительное решение принимается только в том случае, если доступ разрешен как мандатными, так и дискреционными правилами разграничения доступа.

Преимущество использования для управления доступом меток безопасности состоит в том, что объем информации, необходимой для настройки дискреционного управления, чрезвычайно мал, что значительно снижает вероятность ошибки администратора, а также упрощает проверку правильности текущей конфигурации.

Все зависит от количества точек

Использование устройств типа криптомаршрутизатора наиболее эффективно для защиты масштабных распределенных корпоративных сетей, реализующих сложную внутреннюю политику безопасности и требующих нескольких точек доступа в открытые сети. Для защиты сетей организаций, имеющих лишь одну такую точку, более экономичным представляется использование криптошлюза сетевого уровня на выходе из корпоративной сети. Филиал предлагает такого рода устройство, предназначенное для защиты сетей до 1-го класса включительно и обеспечивающее пропускную способность до 70 Мбит/с.