Доцент кафедры компьютеризованых систем защиты информации

Мелешко Е.А.,

студенты Наконечная Г.В., Палазюк А.В., Ткачук А.И.

Национальный авиационный університет, Украина

 

Виртуальные частные сети

 

Одной из важнейших задач является защита потоков корпоративных данных, передаваемых по открытым сетям. Открытые каналы могут быть надежно защищены лишь одним методом – криптографическим. Рассмотрим выделенные линии со стороны информационной безопасности.

Выделенные линии не обладают особыми преимуществами перед линиями общего пользования в плане информационной безопасности. Выделенные линии частично будут располагаться в неконтролируемой зоне, где их могут повредить или осуществить к ним несанкционированное подключение.

Задачу шифрования и дешифрования корпоративного трафика на пути во внешнюю сеть и из нее осуществляется с помощью межсетевого экрана. Для этого должно произойти начальное распределение ключей. Современные криптографические технологии предлагают для этого целый ряд методов.

Пожалуй, нигде слово виртуальный не получило столь широкого распространения, как в сфере информационных технологий: виртуальная память, виртуальная машина, виртуальная реальность, виртуальный канал, виртуальный офис. Это произошло благодаря возможности так запрограммировать логику функционирования объекта, что для пользователя его (логические) поведение и свойства никак не будут отличаться от реального прототипа. Бегство в «виртуальный мир» может быть вызвано, скажем, принципиальной невозможностью оперировать с реальным объектом, экономическими соображениями либо временным фактором.

Рассмотрим основные требования, которые предъявляются к виртуальным частным сетям.

Совместимость

Если VPN прямо используют службы Frame Relay и ATM, не возникают проблемы совместимости, поскольку они довольно хорошо приспособлены для работы в мультипротокольной среде и пригодны как для IP-, так и для не IP–приложений. Для этого должно быть  наличие соответствующей сетевой инфраструктуры, которая покрывает необходимый географический район. В качестве устройств доступа чаще всего используются маршрутизаторы с интерфейсами Frame Relay и ATM или Frame Relay Access Device (FRAD). Постоянные или коммутируемые виртуальные каналы могут работать с любой смесью протоколов и топологий. Если VPN базируется на Internet, то дело осложняется. Для этого случая требуется, чтобы приложения были совместимы с IP–протоколом. Для построения VPN можно использовать Internet «как она есть» (при условии выполнения этого требования), перед тем обеспечив необходимый уровень безопасности. Но так как большинство частных сетей являются мультипротокольными или используют неофициальные, внутренние IP–адреса, то они не могут прямо, без соответствующей адаптации подключиться к Internet. Существует множество решений, обеспечивающих совместимость. Вот некоторые из них:

-          преобразование существующих протоколов (IPX, NetBEUI, AppleTalk или других) в IP–протокол с официальным адресом;

-          преобразование внутренних IP–адресов в официальные IP–адреса;

-          установка специальных IP–шлюзов на серверы;

-          использование виртуальной IP–маршрутизации;

-          использование универсальной техники туннелирования.

     Преобразование внутренних IP-адресов в официальные необходимо в том случае, когда частная сеть базируется на IP-протоколе. Для внутренней адресации обычно используются адреса класса В, которые лежат в диапазоне 192.168.0.0 - 192.168.255.255, что позволяет идентифицировать 65536 узлов. Наиболее часто используют технику разделения небольшого блока официальных адресов многими пользователями. Здесь существуют два индустриальных стандарта: протокол динамической конфигурации хостов (Dynamic Host Configuration Protocol - DHCP) и трансляция сетевых адресов (Network Adress Translation - NAT), подходы которых слегка различаются. DHCP «сдает» узлу адрес в аренду на время, определяемое администратором сети, тогда как NAT транслирует внутренний IP-адрес в официальный динамически, на время сеанса связи с Internet.

Другим способом сделать частную сеть совместимой с  Internet является установка IP–шлюза. Шлюз транслирует не IP–протоколы в  IP-протоколы и наоборот. Большинство сетевых операционных систем, использующих нативные протоколы, имеют программное обеспечение для IP–шлюза.

Сущность виртуальной IP–маршрутизации заключается в расширении частных маршрутных таблиц и адресного пространства на инфраструктуру (маршрутизаторы и коммутаторы) Internet–провайдера. Виртуальный IP–маршрутизатор является логической частью физического IP–маршрутизатора, принадлежащего и функционирующего у сервис-провайдера. Каждый виртуальный маршрутизатор обслуживает определенную группу пользователей.

Для обеспечения совместимости наилучшим способом являются методы туннелирования. Эти методы наряду с различной техникой инкапсуляции уже давно используются для передачи по общей магистрали мультипротокольного потока пакетов. В настоящее время эта испытанная технология оптимизирована для Internet–базированных VPN.

Основными компонентами туннеля являются:

-          инициатор туннеля;

-          маршрутизируемая сеть;

-          туннельный коммутатор (опционально);

-          один или более туннельных терминаторов.

Туннелирование должно выполняться на обоих концах сквозного канала. Туннель должен начинаться туннельным инициатором и завершаться туннельным терминатором. Инициализация и завершение туннельных операций может выполняться различными сетевыми устройствами и программным обеспечением.

Безопасность

При условии принятия необходимых мер Internet–базированные виртуальные частные сети могут стать более безопасными, чем VPN, базирующиеся на PSTN. Если пользоваться английской терминологией, то существуют три «Р», реализация которых в совокупности обеспечивает полную защиту информации. Это:

·        Protection - защита ресурсов с помощью брандмауэров (firewall);

·        Proof - проверка идентичности (целостности) пакета и аутентификация отправителя (подтверждение права на доступ);

·        Privacy - защита конфиденциальной информации с помощью шифрования.

Но для любой VPN во всех точках ее взаимодействия с сетью общего пользования должны быть установлены брандмауэры, а пакеты должны шифроваться и выполняться их аутентификация.

Брандмауэры являются существенным компонентом в любой VPN. Они пропускают только санкционированный трафик для доверенных пользователей и блокируют весь остальной. Для обеспечения безопасности виртуальных частных сетей применяются специальные протоколы. Эти протоколы позволяют хостам «договориться» об используемой технике шифрования и цифровой подписи, что позволяет сохранить конфиденциальность и целостность данных и выполнить аутентификацию пользователя.

Протокол Microsoft Point-to-Point Encryption (MPPE) шифрует PPP–пакеты на машине клиента перед тем, как направить их в туннель. Версия с 40-битовым ключом поставляется с Windows 95 и Windows NT  (существует также версия со 128-битовым ключом). Сессия шифрования инициализируется во время установления связи с туннельным терминатором по протоколу PPP.

Такие протоколы как Secure IP (IPSec) являются серией предварительных стандартов, которые разрабатываются группой инженерных проблем Internet (Internet Engineering Task Force - IETF). Группа предложила два протокола: Authentication Header (AH) и Encapsulating Security Payload (ESP). Протокол AH добавляет цифровую подпись к заголовку, с помощью которой выполняется аутентификация пользователя, и обеспечивает целостность данных, отслеживая любые изменения в процессе их передачи. Он защищает только данные, при этом оставляя адресную часть IP–пакета неизменной. Протокол ESP, напротив, может шифровать либо весь пакет (Tunnel Mode), либо только данные (Transport Mode). Эти протоколы используются как раздельно, так и в комбинации.

Для управления безопасностью применяют индустриальный стандарт RADIUS (Remote Authentication Dial-In User Service), представляющий собой базу данных пользовательских профилей, которые содержат пароли (аутентификация) и права доступа (авторизация).

Доступность

Доступность включает три важные составляющие:  время предоставления услуг, пропускную способность и время задержки. Время предоставления услуг является предметом договора с сервис-провайдером, а остальные две составляющие относятся к элементам качества услуг (Quality of Service - QoS). Современные технологии транспорта позволяют построить VPN, которые соответствуют требованиям практически всех существующих приложений.

Управляемость

Администраторы сетей хотят, чтобы у них была возможность осуществлять сквозное, из конца в конец, управление корпоративной сетью, а также ту часть, которая относится к телекоммуникационной компании. VPN в этом плане предоставляют больше возможностей, чем обычные частные сети. Технология VPN позволяет избежать разделения «сфер влияний», предоставляя и провайдеру, и абоненту единую систему управления сетью в целом, как ее корпоративной частью, так и сетевой инфраструктурой общедоступной сети. Администратор сети предприятия может выполнять мониторинг и реконфигурацию сети, управлять фронтальными устройствами доступа, определять состояние сети в режиме реального времени.

Архитектура VPN

Есть три модели архитектуры виртуальных частных сетей: зависимая, независимая и гибридная (комбинация первых двух альтернатив). Принадлежность к той или иной модели определяется тем, где реализуются четыре основных требования, предъявляемых к VPN. Если провайдер сетевых глобальных услуг предоставляет полное решение  для VPN (обеспечивает туннелирование, безопасность, производительность и управление), то это делает архитектуру зависимой от него. В таком случае все процессы в VPN для пользователя прозрачны, и он видит только свой нативный трафик – IP-, IPX- или NetBEUI–пакеты. Преимущество заключается в том, что абонент может использовать существующую сетевую инфраструктуру «как она есть», добавляя лишь брандмауэр между VPN и частной WAN/LAN.

Независимая архитектура реализуется в том случае, когда организация обеспечивает все технологические требования на своем оборудовании, делегируя сервис-провайдеру лишь транспортные функции. Она обходится дороже, но предоставляет пользователю возможность полного контроля за всеми операциями.

Гибридная архитектура включает зависимые и независимые от организации (соответственно, от сервис-провайдера) сайты.

В чем же выгода VPN для корпоративных пользователей? Прежде всего, по оценкам индустриальных аналитиков, это снижение расходов на все виды телекоммуникаций от 30 до 80 %. А также это: повсеместный доступ к сетям корпорации или других организаций, реализация безопасных коммуникаций с поставщиками и заказчиками, улучшенный и расширенный сервис, недостижимый в сетях PSTN, и многое другое.

Литература

1. Ярочкин В.И. Інформаційна безпека. Підручник для студентів вузів / 3‑е изд. – М.: Академічний проект: Трікста, 2005. – 544 с.

2. Барсуков В.С. Сучасні технології безпеки / В.С. Барсуков, В.В. Водолазський. – М.: Нолідж, 2000. – 496 с., мул.

3. Зегжда Д.П. Основи безпеки інформаційних систем / Д.П. Зегжда, А.М. Івашко. – М.: Гаряча лінія – телеком, 2000. – 452 с., мул.

4. Комп'ютерна злочинність і інформаційна безпека / А.П. Леонов [і др.]; під общ. Ред. А.П. Леонова. – Мінськ: АРІЛ, 2000. – 552 с.

5. http://www.mirknig.com/knigi/seti/3403-virtualnye_chastnye_seti.html