Современные
информационные технологии/ 4. Информационная безопасность.
Магістр Чернявський І. О., к.т.н. Савельєва Т.В.
Черкаський державний технологічний університет, Україна
МОДЕРНІЗАЦІЯ ТЕХНОЛОГІЇ ЗАХИЩЕНОГО МЕРЕЖЕВОГО З’ЄДНАННЯ
В сучасних умовах розвинених інформаційних технологій, переваги створення
віртуальних приватних мереж не можуть бути не оцінені. Кілька років тому
неможливо було уявити, наскільки може змінитися стиль життя і роботи. У
багатьох організаціях використовується праця сумісників і віддалених
співробітників, які працюють на домашніх комп'ютерах, а також використовують
послуги інтернет–кафе, або зон доступу бездротових мереж загального
користування.
На даний момент для користувачів більш важливим є питання про те, як
з'єднатися з корпоративною інформаційною системою. При цьому їм потрібне
широкосмугове з'єднання незалежно від того, чи використовується фіксована
мережа або ж Wi–Fi–доступ, так як нерідко користувачі змушені працювати в
дорозі. У наш час все більш популярними стають віртуальні технології, які
займають в сучасній компанії пріоритетне становище. Так як вони дають
можливість усунення прив'язки голосових сервісів до одного робочого місця. Для
отримання даних послуг не потрібно однозначне розміщення співробітників в
офісі, немає необхідності взагалі там перебувати – досить використовувати
віддалене підключення. Багато організацій впроваджують рішення з фіксованим і
мобільним зв'язком, щоб забезпечити ефективне підключення мобільних
співробітників за допомогою терміналів, які можуть працювати з голосовими
сервісами та послугами з передачі даних. Це дає можливість таким працівникам
постійно перебувати на зв'язку. Особливо гостро постає питання про доступ і
аутентифікацію користувачів, коли є віддалений доступ, особливо при переході з
однієї мережі загального користування в іншу Крім того, багато компаній
передбачають можливість доступу тільки до певних корпоративних ресурсів і
додатків для партнерів, консультантів і клієнтів. Тобто дуже багатьом може
знадобитися доступ до вищевказаних ресурсів із зовні, не потрапляючи під
контроль IT–служб організації.
У міру більшої поширеності високошвидкісного доступу до інтернету все
більше користувачів звертаються до корпоративних мереж, застосовуючи
широкосмугові підключення.
Для резервування інформаційної системи можуть застосовуватися різні
можливості доступу. Широкосмугові резервні канали мають можливість
забезпечувати відмовостійкість
методом реплікації даних на віддалених серверах. Це дозволить зменшити втрати
даних, а також підтримати працездатність всієї мережі, як при неприємності
місцевого масштабу, таких, як вихід з ладу вузла зв'язку у зв'язку з ударом
блискавки, обслуговуючого головний офіс компанії, так і в разі масштабних стихійних
лих, на зразок ураганів і землетрусів.
Метою роботи є дослідження використання
VPN–технологій та процеси захисту інформації переданої в рамках розподіленої
корпоративної мережі, яка використовує мережі відкритого доступу, з використання
технології VPN –з'єднань. На основі цих дослідження модернізувати вихідну мережу,
яка використовується на підприємстві.
Провідні підприємства спираються на свої комп'ютерні мережі для надання
безпечного постійного доступу до даних компанії, додаткам і електронній пошті [1].
Повний розв'язок для захисту мережі дозволить організації зберігати
стійкість до атак, захищати конфіденційність даних компанії й забезпечувати безперервний
цілодобовий доступ до них. Завдання створення комп'ютерної мережі підприємства
в межах однієї будівлі може бути вирішене відносно легко. Однак сучасна
інфраструктура корпорацій включає в собі географічно розподілені підрозділи
самої корпорації, її партнерів, клієнтів і постачальників. Тому створення
корпоративної мережі стало істотно більш складним завданням.
З бурхливим розвитком Internet і мереж колективного доступу стався якісний
стрибок у поширенні й доступності інформації. Користувачі отримали дешеві й
доступні канали Internet. Підприємства прагнуть використовувати такі канали для
передачі критичної комерційної та управлінської інформації [2].
Функції й компоненти мережі VPN.
Захищеною віртуальною мережею VPN називають об'єднання локальних мереж і окремих
комп'ютерів через відкрите зовнішнє середовище передачі інформації в єдину віртуальну
корпоративну мережу, що забезпечує безпеку циркулюючих даних.
При підключенні корпоративної локальної мережі до відкритої мережі
виникають загрози безпеці двох основних типів:
-
несанкціонований
доступ до корпоративних даних в процесі їх передачі по відкритій мережі;
-
несанкціонований
доступ до внутрішніх ресурсів корпоративної локальної мережі, одержуваний
зловмисником в результаті несанкціонованого входу в цю мережу.
Методи реалізації VPN мереж:
Віртуальна приватна мережа базується на трьох методах реалізації:
·
туннелювання;
·
шифрування;
·
аутентифікація.
Туннелювання – забезпечує передачу даних між двома точками – закінченнями тунелю
таким чином, що для джерела і приймача даних виявляється прихованою вся
мережева інфраструктура, що лежить між ними.
Аутентифікація здійснюється або відритим тестом (clear text passwоrd), або
за схемою запит/відгук (challenge/espоnse). Тобто клієнт посилає серверу
пароль. Сервер порівнює це з еталоном і або забороняє доступ, або дозволяє.
Відкрита аутентифікація практично не зустрічається.
Схема запит/відгук набагато більш розповсюджена. У загальному вигляді вона
виглядає так:
-
клієнт
посилає серверу запит (request) на аутентифікацію;
-
сервер
повертає випадковий відгук (challenge);
-
клієнт
знімає зі свого пароля хеш (хешем називається результат хеш-функції, яка
перетворює вхідний масив даних довільної довжини в вихідний бітовий рядок
фіксованої довжини), шифрує їм відгук і передає його серверу;
-
якщо
зашифрований відгук збігається, аутентифікація вважається успішною [3];
На першому етапі аутентифікації клієнтів і серверів VPN, L2TP рівень IPSec використовує
локальні сертифікати, отримані від служби сертифікації. Клієнт і сервер обмінюються
сертифікатами і створюють захищене з'єднання ESP SA (security assоciatiоn).
Після того як L2TP (рівень IPSec) завершує процес аутентифікації
комп'ютера, виконується аутентифікація на рівні користувача. Для аутентифікації
можна задіяти будь-який протокол, навіть PAP, передає ім'я користувача і пароль
у відкритому вигляді. Це цілком безпечно, так як L2TP шифрує всю сесію. Однак
проведення аутентифікації користувача за допомогою MSCHAP, що застосовує різні
ключі шифрування для аутентифікації комп'ютера і користувача, може посилити
захист.
Шифрування за допомогою PPTP гарантує, що ніхто не зможе отримати доступ до
даних при пересиланні через Internet. В даний час підтримуються два методи
шифрування: протоколи шифрування MPPE або Micrоsоft
Pоint-tо-Pоint Encryptiоn, який сумісний тільки з MSCHAP;
Реалізація віртуальної приватної мережі на практиці виглядає наступним
чином. У локальної обчислювальної мережі офісу фірми встановлюється сервер VPN.
Віддалений користувач (або маршрутизатор, якщо здійснюється з'єднання двох
офісів) з використанням клієнтського програмного забезпечення VPN ініціює процедуру
з'єднання з сервером [4].
Відбувається аутентифікація користувача – перша фаза встановлення
VPN-з'єднання. У разі підтвердження повноважень настає друга фаза – між клієнтом
і сервером виконується узгодження деталей забезпечення безпеки з'єднання. Після
цього організовується VPN з'єднання, що забезпечує обмін інформацією між
клієнтом і сервером у формі, коли кожен пакет з даними проходить через
процедури шифрування / дешифрування і перевірки цілісності – аутентифікації
даних. Основною проблемою мереж VPN є відсутність усталених стандартів аутентифікації
і обміну інформації в зашифрованому вигляді [5]. Ці стандарти все ще
знаходяться в процесі розробки і тому продукти різних виробників не можуть
встановлювати VPN-з'єднання і автоматично обмінюватися ключами. Дана проблема
тягне за собою уповільнення поширення VPN, так як важко змусити різні компанії
користуватися продукцією одного виробника [6].
Ідея побудови власних віртуальних мереж актуальна в тому випадку, коли потрібно
поєднувати кілька локальних мереж у різних будинках або організаціях для
створення власної мережі дорого або занадто довго, однак необхідно забезпечити
захист переданих між сегментами мережі даних. Адже далеко не завжди
дозволяється передавати дані по загальнодоступних мережах у відкритому вигляді.
Для розв'язку багатьох проблем застосовується архітектура VPN, при використанні
якої весь потік інформації, переданий по загальнодоступних мережах, шифрується.
Література:
1. Биячуев Т.А. / под ред. Л.Г.Осовецкого. Безопасность корпоративных
сетей. – СПб: СПб ГУ ИТМО, 2004.- 161 с.
2. Олифер. В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии,
протоколы: учебник для вузов.3-е изд. – СПб.: Питер, 2006. – 958 с.
3. Соколов А.В., Шаньгин В.Ф. Защита информации в распределённых корпоративных
сетях и системах, - M.:ДМК Пресс, 2002. – 626с.
4. С. Браун. Виртуальные частные сети.. – Лори, 2001– 503 с.
5. С.В. Запечников, Н.Г. Милославская, А. И. Толстой. Основы построения
виртуальных частных сетей. Для высших учебных заведений. СПб.: Питер, 2003. –
248 с.
6. Кулаков Ю.А., Луцкий Г.М. Локальные сети, - К.: Юниор, 2008. – 336с.