Компьютерные сети

Лекция 21.

 

• SKIP-технология, криптопротоколы SSL, S-HTTP.
• Сетевые мониторы безопастности.
• Построение защищенных виртуальных сетей.
• Средства построение защищенных VIN.

Программные методы защиты, применяемые в сети Internet

К иному классу программных методов защиты от удаленных атак относятся существующие на сегодняшний день программы, основная цель которых - анализ…

SKIP-технология и криптопротоколы SSL, S-HTTP как основное средство защиты соединения и передаваемых данных в сети Internet

Итак, понятно, что для того, чтобы дать возможность защититься всему множеству пользователей сети Internet, а не ограниченному его подмножеству,… SKIP(Secure Key Internet Protocol)-технологией называется стандарт… S-HTTP (Secure HTTP) - это разработанный компанией Enterprise Integration Technologies (EIT) специально для Web…

Сетевой монитор безопасности IP Alert-1

Сетевой монитор безопасности IP Alert-1 обладает следующими функциональными возможностями и позволяет, путем сетевого анализа, обнаружить следующие… Функциональные возможности сетевого монитора безопасности IP Alert-1 1. Контроль за соответствием IP- и Ethernet-адресов в пакетах, передаваемых хостами, находящимися внутри…

Построение защищенных виртуальных сетей

Введение в защищенные виртуальные сети

Общие сведения

Безопасность информационного взаимодействия локальных сетей и отдельных компьютеров через открытые сети, например через сеть Internet, требует качественного решения двух базовых задач (рис. В.1):

- зашиты подключенных к публичным каналам связи локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды;

- защиты информации в процессе передачи по открытым каналам связи.

Рис. В.1. Задачи по обеспечению безопасности информационного взаимодействия

Решение первой задачи основано на использовании рассмотренных выше межсетевых экранов (брандмауэров), поддерживающих безопасность информационного взаимодействия путем фильтрации двустороннего потока сообщений, а также выполнения функций посредничества при обмене информацией. Для защиты локальных сетей брандмауэр располагают на стыке между локальной и открытой сетью. Для защиты отдельного удаленного компьютера, подключенного к открытой сети, программное обеспечение межсетевого экрана устанавливается на этом же компьютере, а сам межсетевой экран в данном случае называют персональным.

Защита информации в процессе передачи по открытым каналам связи основана на выполнении следующих функций:

- аутентификации взаимодействующих сторон;

- криптографическом закрытии передаваемых данных;

- подтверждении подлинности и целостности доставленной информации;

- защите от повтора, задержки и удаления сообщений;

- защите от отрицания фактов отправления и приема сообщений.

Перечисленные функции во многом связаны друг с другом, и их реализация основана на криптографической защите передаваемых данных. Высокая эффективность такой защиты обеспечивается за счет совместного использования симметричных и асимметричных криптографических систем. Объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную сеть, обеспечивающую безопасность циркулирующих данных, называют защищенной виртуальной сетью (Virtual Private Network — VPN). Виртуальная сеть формируется на основе каналов связи открытой сети. Сам термин "виртуальная" подчеркивает, что каналы связи виртуальной сети моделируются с помощью каналов связи реальной. Открытая сеть может служить основой для одновременного сосуществования множества виртуальных сетей, количество которых определяется пропускной способностью открытых каналов связи.

Открытую внешнюю среду передачи информации можно разделить на среду скоростной передачи данных, в качестве которой может использоваться сеть Internet, а также более медленные общедоступные каналы связи, в качестве которых чаще всего применяются каналы телефонной сети. Наиболее эффективным способом объединения локальных сетей и удаленных компьютеров является объединение на основе глобальной сети Internet (рис. В.2). В случае отсутствия непосредственного подключения доступ к Internet может осуществляться и через телефонную сеть. Организация виртуальных сетей на основе Internet обладает рядом преимуществ:

- гарантирует высокое качество информационного обмена, так как магистральные каналы и маршрутизаторы Internet имеют большую пропускную способность, и характеризуются надежностью передачи информации;

Рис. В.2. Построение виртуальной сети на основе Internet

- обеспечивает масштабируемую поддержку удаленного доступа к ресурсам локальной сети, позволяя мобильным пользователям связываться по местным телефонным линиям с поставщиками услуг Internet и через них входить в свою корпоративную сеть;

- для организации удаленного доступа пользователей к локальной сети исключается необходимость в наличии модемных пулов, а трафиком дистанционного доступа можно управлять точно так же, как любым другим трафиком Internet;

- сокращаются расходы на информационный обмен через открытую внешнюю среду:

• использование Internet для объединения локальных сетей значительно дешевле аренды каналов связи телефонных и других глобальных сетей, например, сетей frame relay, не говоря уже о стоимости самостоятельного построения коммуникаций;

• при удаленном доступе вместо того, чтобы устанавливать дорогостоящие непосредственные соединения с локальной сетью по междугородной или международной телефонной связи, удаленные пользователи могут подключаться к Internet и, далее, связываться с сетью своей организации через эту глобальную сеть.

Виртуальную сеть, использующую в качестве внешней среды передачи информации глобальную сеть Internet, часто называют еще сетью Extranet. Эффективность использования виртуальных сетей во многом определяется степенью защищенности информации, циркулирующей по открытым каналам связи. Безопасность информационного обмена необходимо обеспечить как в случае объединения локальных сетей, так и в случае доступа к локальным сетям удаленных пользователей (рис. В.2).

Защита информации в процессе ее передачи по открытым каналам основана на построении защищенных виртуальных каналов связи, называемых крип-тозащищенными туннелями или туннелями VPN. Каждый такой туннель представляет собой соединение, проведенное через открытую сеть, по которому передаются криптографически защищенные пакеты сообщений виртуальной сети.

Для защиты от повтора, удаления и задержек пакетов сообщений, передаваемых по туннелю VPN, используются встроенные возможности стека протоколов TCP/IP. Для защиты от повтора, удаления и задержек на уровне отдельных сообщений в состав каждого сообщения подсистемой защиты прикладного уровня должна добавляться дополнительная информация. В качестве такой дополнительной информации могут использоваться номера, случайные числа, а также отметки времени.

С целью защиты от отказа получения сообщений подсистема защиты прикладного уровня должна предусматривать при приеме каждого сообщения передачу отправителю уведомления о получении сообщения. Такое уведомление должно криптографически подписываться получателем сообщения. Защита от отказа отправления сообщения, т. е. защита от непризнания цифровой подписи может быть обеспечена только правовыми и организационными мерами по приданию цифровой подписи юридической силы. Чтобы предотвратить отказы от открытых ключей, а соответственно и отказы от цифровой подписи, обмен открытыми ключами должен подкрепляться юридической процедурой.

Способы создания защищенных виртуальных каналов

Рис. В.3. Разновидности защищенных виртуальных каналов Поэтому если отсутствует необходимость защиты трафика внутри локальной сети, входящей в виртуальную сеть, то в…

Обзор протоколов

Канальный уровень модели OSI

Протоколы формирования защищенного туннеля на канальном уровне независимы от протоколов сетевого уровня модели OSI, по которым функционируют… Вместе с тем формирование криптозащищенных туннелей между объединяемыми… Исходя из вышесказанного, можно сделать вывод, что протоколы создания защищенных виртуальных каналов на канальном…

Сетевой уровень модели OSI

Туннель IPSec между двумя локальными сетями может поддерживать множество индивидуальных каналов передачи данных, в результате чего приложения… Для управления криптографическими ключами на сетевом уровне модели OSI…

Сеансовый уровень модели OSI

Для шифрования информации на сеансовом уровне наибольшую популярность получил протокол SSL/TLS (Secure Sockets Layer/ Transport Layer Security),… В отличие от виртуальных сетей, защищенных на сеансовом уровне модели OSI,…  

Обзор средств построения защищенных виртуальных сетей

Общие сведения

Протоколы построения защищенных виртуальных сетей (Virtual Private Network — VPN) могут быть реализованы сетевыми средствами различных категорий:

- серверами удаленного доступа, позволяющими создавать защищенные туннели на канальном уровне эталонной модели сетевого взаимодействия (модели OSI);

- маршрутизаторами, которые могут поддерживать протоколы создания защищенных виртуальных сетей на канальном и сетевом уровне модели OSI;

- межсетевыми экранами, возможно включающими в свой состав серверы удаленного доступа и позволяющими создавать защищенные виртуальные сети как на канальном и сетевом, так и на сеансовом уровне модели OSI;

- автономным программным обеспечением, позволяющим создавать защищенные виртуальные сети в основном на сетевом и сеансовом уровне модели OSI;

- специализированными аппаратными средствами, ориентированными на формирование защищенных туннелей на канальном и сетевом уровне модели OSI.

Серверы удаленного доступа могут включать функции создания защищенных туннелей при удаленном доступе пользователей к локальным сетям. Эти серверы чаще всего поддерживают протоколы туннелирования РРТР, L2F и L2TP, соответствующие канальному уровню модели OSI. Следует учесть, что не все поставщики серверов удаленного доступа, позволяющих формировать защищенные туннели с удаленными компьютерами, предлагают соответствующее клиентское программное обеспечение. Поэтому, учитывая, что в качестве операционных систем, наиболее часто используемых на компьютерах удаленных пользователей, выступают Windows 95/98/NT, целесообразно выбирать серверы удаленного доступа, поддерживающие протокол РРТР. Данный протокол входит в состав операционных систем Windows 98/NT. Существует также немало автономных программных средств удаленного доступа, реализующих РРТР для Windows 95. В ближайшее время ожидается переориентация средств удаленного доступа на более совершенный протокол туннелирования L2TP, который, например, уже реализован в операционных системах Microsoft Windows 2000 (NT 5.0).

Маршрутизаторы могут поддерживать функции формирования защищенных туннелей по умолчанию или в качестве дополнительной возможности, предлагаемой за отдельную плату. Эти устройства чаще всего ориентируются на создание защищенных виртуальных сетей по протоколам L2F, L2TP и IPSec, соответствующим канальному и сетевому уровням модели OSI. При выборе маршрутизатора в качестве средства создания VPN необходимо обратить внимание на его производительность и загрузку. Если процессор маршрутизатора работает с 80-процентной загрузкой без выполнения функций VPN, то добавление большого числа защищенных туннелей ухудшит прохождение всего трафика. В качестве эффективных средств построения защищенных виртуальных сетей выступают межсетевые экраны (брандмауэры), которые могут включать в свой состав и серверы удаленного доступа. Учитывая, что межсетевые экраны специально предназначены для защиты информационного взаимодействия с открытыми сетями, можно сделать вывод, что при реализации этими устройствами и функций создания VPN обеспечивается комплексная защита информационного обмена. Брандмауэры могут поддерживать любые существующие протоколы построения защищенных туннелей. На канальном уров­не модели OSI могут быть реализованы протоколы РРТР, L2F и L2TP, на сетевом уровне — IP-Sec и SKIP, а на сеансовом — SSL/TLS и SOCKS. Важной особенностью межсетевых экранов как средств построения VPN является возможность контроля не только открытого, но и криптозащищенного трафика. Контроль доступа со стороны брандмауэра ко всему трафику, в том числе и туннелируемому, обеспечивает более высокую защиту межсетевого взаимодействия. Такой контроль особенно эффективен, если другую сторону туннеля представляет объект, стратегия защиты которого неизвестна или не внушает доверия. В случае, когда необходим контроль туннелируемого трафика и требуется защищать поток сообщений вплоть до получателя в локальной сети, конечная точка основного туннеля должна находиться на межсетевом экране, который" должен после расшифровки и контроля трафика выполнять обратное зашифровывание пропускаемых пакетов сообщений. Таким образом, одно из преимуществ использования продуктов туннелирования, тесно интегрированных с брандмауэром, состоит в том, что можно открывать туннель, применять к нему правила защиты брандмауэра, накладывать криптозащиту снова и перенаправлять трафик получателям в защищаемой брандмауэром подсети. Но если брандмауэр и без выполнения функций туннелирования обеспечивает низкую пропускную способность, то реализация VPN только усугубит ситуацию из-за необходимости дополнительных вычислений. Для реализации протоколов формирования защищенных туннелей разрабатываются также специализированные программные и аппаратные средства. Программные средства по сравнению с аппаратными устройствами обладают более высокой гибкостью, так как при невысоких денежных затратах обеспечивается возможность модернизации и обновления версий, а также оперативность устранения ошибок. Ряд чисто программных продуктов, функционирующих на соответствующих серверах, может не только создавать защищенные туннели, но и выполнять функции межсетевых экранов, а также кэшировать страницы Web. Аппаратные средства, которые могут быть как одно-, так и многофункциональными, характеризуются более высокой производительностью. Пограничные многофункциональные аппаратные устройства включают в свой состав маршрутизатор, брандмауэр, средства управления пропускной способностью и средства создания VPN. Подобные устройства, которые можно отнести к комплексным межсетевым экранам, проще обслуживать. Ведь легче использовать один интегрированный пользовательский интерфейс, чем поддерживать и конфигурировать такие отдельные устройства, как маршрутизатор, брандмауэр, VPN и модуль управления пропускной способностью. Однако в многофункциональных устройствах производительность одного приложения зачастую повышается в ущерб другому.

При выборе средств построения защищенных виртуальных сетей необходимо учитывать такие характеристики этих средств, как функциональная полнота, надежность, гибкость, производительность, управляемость и совместимость. Обобщенные достоинства и недостатки средств создания VPN различных категорий представлены в табл. 4.

 

Таблица 4. Достоинства и недостатки средств создания VPN различных категорий

Категория	Достоинства	Недостатки
VPN на базе маршрутизаторов	Функции поддержки сетей VPN могут быть встроены в маршрутизирующие устройства, что не потребует дополнительных расходов на приобретение средств, реализующих эти функции. Упрощается администрирование VPN	Функционирование VPN может отрицательно повлиять на другой трафик. Канал между получателем информации внутри локальной сети и маршрутизатором может стать уязвимым звеном в системе защиты.
Программное обеспечение VPN для брандмауэров	Возможен контроль туннелируемого трафика Достигается высокая эффективность администрирования защищённых виртуальных сетей Обеспечивается комплексная защита информационного обмена. Отсутствует избыточность аппаратных платформ для средств сетевой защиты.	Операции, связанные с шифрованием данных, могут чрезмерно загружать процессор и снижать производительность брандмауэра. Если защищённый туннель завершается на брандмауэре, то канал между получателем информации внутри локальной сети и брандмауэром может стать уязвимым звеном в системе защиты. При повышении производительности серверных продуктов аппаратное обеспечение потребуется модернизировать
VPN на базе специализированного программного обеспечения	Возможность модернизации и обновления версий. Оперативность устранения ошибок. Не требуется специальных аппаратных средств.	Администрирование VPN может потребовать отдельного приложения, возможно, даже выделенного каталога. При повышении производительности серверных продуктов аппаратное обеспечение может потребоваться модернизировать
VPN на базе аппаратных средств	Обеспечивается более высокая производительность. Многофункциональные аппаратные устройства облегчают конфигурацию и обслуживание. Однофункциональные аппаратные устройства допускают тонкую настройку для достижения наивысшей производительности.	В многофункциональных блоках производительность одного приложения повышается зачастую в ущерб другому. Однофункциональные устройства могут потребовать отдельных инструментов администрирования и каталогов. Модернизация для повышения производительности нередко оказывается слишком дорогостоящей или невозможной. Канал между получателем информации внутри локальной сети и аппаратным устройством шифрования трафика может стать уязвимым звеном в системе защиты.

 

 

Перспективным протоколом построения защищенных виртуальных сетей является протокол IPSec. Соответственно желательно, чтобы выбираемые средства создания VPN поддерживали данный протокол. Однако при этом необходимо учитывать, что стандарт IPSec характеризуется недостаточной зрелостью и не гарантирует совместимости решений разных производителей. Разработчики, поддерживающие IPSec, только приступили к выявлению и устранению проблем несовместимости. Поэтому при выборе соответствующего средства целесообразно запросить у его поставщика отчет о поддерживаемых совместимых продуктах, особенно если в объединяемых локальных сетях используются средства создания VPN разных производителей. Нестандартные схемы туннелирования и алгоритмы шифрования хороши только в том случае, если нет необходимости взаимодействовать с другими системами. Однако с учетом роста масштабности компьютерных сетей вопросы взаимодействия и совместимости становятся приоритетными для любой организации.

Технология построения защищенных виртуальных сетей основана на аутентификации пользователей и криптозащите информации. Наиболее высокая эффективность выполнения данных функций обеспечивается при комплексном использовании асимметричных и симметричных криптосистем. Комплексное применение одноключевых и двухключевых шифров обеспечивается в протоколах туннелирования IPSec и SSL/TLS, которые предполагают наличие инфраструктуры с открытыми ключами (Public Key Infrastructure — PKI). Данная инфраструктура, обеспечивающая управление открытыми ключами и аутентификацию пользователей на основе цифровых сертификатов, будет приобретать все большую значимость. Информацию, входящую в PKI, лучше всего хранить в глобальном каталоге, обращаться к которому можно по упрощенному протоколу доступа к каталогу (Lightweight Directory Access Protocol — LDAP). Создания новых каталогов для хранения такой информации потребует дополнительных издержек. Поэтому многие производители считают разумным использовать включать содержимое PKI непосредственно в другие, уже реализованные, каталоги, например, в каталоги NDS ОС NetWare, Directory Services ОС Windows NT. Использование одной службы каталогов, управляющей всей служебной информацией в компьютерной сети, позволяет существенно повысить эффективность администрирования сети и работы конечных пользователей. В центральном каталоге, способном полностью взаимодействовать с другими каталогами и приложениями, должны храниться не только данные, имеющие отношение к политике защиты, но и информация для управления производительностью, а также выделении вычислительных ресурсов.

При выборе средств создания VPN следует также учитывать, что шифрование требует значительных вычислительных ресурсов. Например, обычные серверы класса Pentium имеют достаточную производительность шифрования для заполнения канала на 10 Мбит/с, но не 100 Мбит/с. Для обеспечения высокой скорости шифрования некоторые производители предлагают специальные аппаратные дополнения к платформе общего назначения. Однако использование специализированных аппаратных устройств снижает гибкость средств построения защищенных туннелей. Поэтому наиболее перспективным решением является реализация алгоритмов скоростной крипто-защиты.

Построение защищенных виртуальных сетей на базе маршрутизаторов

Подобно прочим устройствам шифрования данных, плата ESA не только криптографически защищает информацию, но и предотвращает проникновение… Как и Cisco Systems, компания 3Com при реализации технологии VPN с самого…

Создание защищенных туннелей с помощью межсетевых экранов

Семейство брандмауэров FireWall-1, выпускаемых компанией Check Point, включает подсистему формирования защищенных туннелей, названную как VPN-1. В… Check Point. Для аутентификации пакетов сообщений могут использоваться… - защита передаваемого по Internet трафика между брандмауэрами FireWall-1;

Построение защищенных виртуальных сетей на основе специализированного программного обеспечения

Продукты AltaVista Tunnel от Digital Equipment и RRAS (Routing and Remote Access Service) от Microsoft поддерживают защищенную передачу данных от… Как показывает практика, при защите потока сообщений между локальными сетями… Продукт F-Secure VPN от компании Data Fellows имеет необычную архитектуру. В состав этого продукта входит своя…

Туннелирование на основе специализированных аппаратных средств

Рис. В.4. Схема туннелирования на основе специализированных аппаратных… Аппаратные устройства построения VPN отличаются простотой установки и дальнейшего использования. Управление такими…