Создание защищенных туннелей с помощью межсетевых экранов

Через брандмауэр локальной сети, как и через маршрутизатор, пропускается весь трафик. Соответственно функции зашифровывания исходящего и расшифровывания входящего трафика может с успехом выполнять и межсетевой экран. Ведущими производителями брандмауэров, поддерживающих функции построения защищенных виртуальных сетей, являются компании Check Point Software Technologies, Axent Technologies, Network Associates и Secure Computing. Поддержка VPN обеспечивается также в брандмауэрах, выпускаемых отдельными производителями сетевых операционных систем. К таким продуктам относится, например, межсетевой экран BorderManager компании Novell.

Семейство брандмауэров FireWall-1, выпускаемых компанией Check Point, включает подсистему формирования защищенных туннелей, названную как VPN-1. В основу криптозащиты потока сообщений положен протокол IP-Sec. На обычных настольных рабочих станциях развиваются скорости шифрования более 10 Мбит/с. Fire Wall-1 обеспечивает контроль не только открытого, но и криптозащищенного трафика. С помощью VPN-1 брандмауэр расшифровывает поступившие к нему данные, затем применяет к ним установленные администратором правила управления доступом, а потом снова зашифровывает пакеты сообщений, пропускаемые дальше. Подсистема VPN-1 выполняет не только криптографическое закрытие трафика, но и аутентификацию пакетов сообщений. Для распределения ключей может использоваться стандарт IP-Sec, а также протокол SKIP, разработанный компанией Sun Microsystems. Реализованы симметричные криптосистемы DES, RC4 и FWZ1, используемые для криптографического закрытия информации. Криптосистема FWZ1 является собственной разработкой компании

Check Point. Для аутентификации пакетов сообщений могут использоваться алгоритмы MD5, SHA-1, CBC DES и MAC. Поддерживаются два режима криптографической защиты:

- защита передаваемого по Internet трафика между брандмауэрами FireWall-1;

- защита трафика при удаленном доступе к локальной сети, защищаемой брандмауэром FireWall-1.

В первом случае все функции защиты реализуются прозрачно системами FireWall-1, между которыми устанавливается связь. Во втором случае функции криптографической защиты выполняются брандмауэром FireWall-1 локальной сети, к которой осуществляется удаленный доступ, и специальным компонентом FireWall-1 SecuRemote, который должен быть установлен на удаленном компьютере. В компьютерах с шиной PCI для ускорения шифрования может использоваться поставляемая Check Point дополнительная плата. Компания Axent Technologies, которая в 1998 году приобрела фирму Raptor, являющуюся производителем брандмауэра Eagle FireWall, переименовала этот продукт в Raptor FireWall. Версия Raptor FireWall 5.0 обеспечивает построение защищенных виртуальных сетей по протоколу IP-Sec. Как и Fire Wall-1 компании Check Point, межсетевой экран Raptor FireWall может применять установленные правила доступа к туннелируемому трафику. Компания Axent также поставляет семейство мобильных клиентов для VPN между пользователями и локальной сетью.

Компания Trusted Information Systems, разработавшая брандмауэр Gauntlet FireWall, вошла в состав компании Network Associates. Подсистема данного брандмауэра Gauntlet Global VPN, основанная на протоколе IPSec, поддерживает два режима криптографической защиты трафика:

- от брандмауэра до брандмауэра, реализуемого с помощью шлюзов SmartGate;

- от брандмауэра до компьютера удаленного пользователя, реализуемого программным обеспечением удаленного клиента, называемым как Gauntlet PC Extender.

В Gauntlet Global VPN используется алгоритм шифрования DES. Наряду с поддержкой IPSec, продукт Gauntlet Global VPN поставляется с программным обеспечением центра сертификации. С помощью этого программного обеспечения организации могут выполнять генерацию и проверку цифровых сертификатов, соответствующих стандарту Х.509.

Программные средства построения VPN на базе брандмауэров выпускает и компания Secure Computing. Ее продукты, известные ранее как BorderWare и Sidewinder, теперь переименованы и получили название SecureZone. Технология VPN от Secure Computing реализована в виде встроенной функции брандмауэра SecureZone. С помощью SecureZone можно комбинировать сети VPN в группы с единообразной политикой и затем каждой группой управлять как единым целым. Межсетевой экран SecureZone является IPSec-совместимым. Кроме того, SecureZone поддерживает сертификаты Х.509 Netscape Certificate Server, а также программные центры сертификации таких компаний, как Entrust и VeriSign. Брандмауэр SecureZone включает и IPSec-совместимый клиентский модуль для удаленного доступа, а также собственную нестандартную операционную систему для компьютеров на платформе Intel. Пользовательский интерфейс и процедуры конфигурирования SecureZone построены на базе Java. Компания Secure Computing объявила о намерении реализовать поддержку вспомогательного аппаратного средства шифрования Ravlin от RedCreek Communications. Межсетевой экран BorderManager от компании Novell также поддерживает функции построения защищенных виртуальных сетей. Своей универсальностью данный продукт напоминает швейцарский армейский нож. Помимо возможности построения VPN он обеспечивает разграничение пользовательского доступа, фильтрацию пакетов и трансляцию сетевых адресов, предлагает услуги посредника HTTP, кэширует страницы Web, имеет шлюзы на уровне канала, выполняет многопротокольную маршрутизацию и поддерживает удаленный доступ. BorderManager с выгодой использует свою тесную интеграцию со службой каталогов NDS (Novell Directory Services), которая обеспечивает эффективное управление защищенными виртуальными сетями. При использовании межсетевых экранов BorderManager распределение ключей шифрования выполняется на основе криптосистемы RSA и алгоритма Диффи-Хеллмана. Для криптографического закрытия и аутентификации пакетов сообщений используются криптосистемы RC2 и RSA. В новой версии BorderManager, появившейся в конце 1998 года, поддерживается протокол IPSec.

В защищенной виртуальной сети, построенной на основе межсетевых экра­нов BorderManager, один из брандмауэров должен быть основным, исполняющим роль центра управления. В качестве основного брандмауэра рекомендуется выбирать межсетевой экран, защищающий центральную локальную сеть организации. Процесс конфигурации VPN начинается с настройки основного брандмауэра с помощью специальной утилиты VPNCFG.NLM. Во время этого процесса будет собрана или получена следующая информация об основном межсетевом экране:

- IP-адрес его интерфейса Internet;

- IP-адрес его VPN туннеля;

- открытый и закрытый ключи RSA;

- параметры алгоритма Диффи-Хеллмана;

- открытый и закрытый ключи Диффи-Хеллмана.

IP-адрес сетевого интерфейса, подключенного к Internet, будет использоваться всеми внешними клиентами и должен быть уникальным в Internet.

Во время конфигурации сервера также необходимо определить IP-адрес VPN интерфейса. Этот адрес может быть любым. Остальные параметры будут созданы процедурой конфигурации и нужны для шифрования информации, пересылаемой через защищенную виртуальную сеть. После того как эта информация получена, необходимо передать ее, за исключением закрытых ключей, в удаленные локальные сети, где она будет использоваться для аналогичной процедуры конфигурации остальных брандмауэров защищенной виртуальной сети. Полученные во время конфигурации параметры остальных брандмауэров должны быть переданы для окончательной настройки главному межсетевому экрану. После этого брандмауэры удаленных локальных сетей могут устанавливать безопасные туннели через Internet с брандмауэром центральной локальной сети.

В защищенной виртуальной сети, построенной на основе межсетевых экранов BorderManager, обеспечивается формирование защищенных туннелей не только между брандмауэрами, но и между брандмауэром каждой локальной сети и компьютерами удаленных пользователей. Все клиенты, пользующие­ся удаленным доступом, должны иметь уникальный идентификатор и пароль удаленного доступа, которые хранятся в NDS. Поддерживаются стандартные протоколы NCAP (NetWare Connect Authentication Protocol), PAP (Password Authentication Protocol), а также CHAP (Challenge Handshake Authentication).