Sdscompany.ru

Компьютерный журнал
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Защищенная виртуальная сеть

Концепция защищенных виртуальных частных сетей

При выходе локальной сети в открытое Internet-пространство возникают угрозы двух основных типов: несанкционированный доступ (НСД) к данным в процессе их передачи по открытой сети и НСД к внутренним ресурсам КИС. Информационная защита при передаче данных по открытым каналам реализуется следующими мерами:

  • взаимная аутентификация сторон;
  • прямое и обратное криптографическое преобразование данных;
  • проверка достоверности и целостности полученных данных.

Организация защиты с использованием технологии виртуальных частных сетей (Virtual Private Network — VPN) подразумевает формирование защищенного «виртуального туннеля» между узлами открытой сети, доступ в который невозможен потенциальному злоумышленнику. Преимущества этой технологии очевидны: аппаратная реализация довольно проста, нет необходимости создавать или арендовать дорогие выделенные физические сети, можно использовать открытый дешевый Internet, скорость передачи данных по туннелю такая же, как по выделенному каналу.

В настоящее время существует четыре вида архитектуры организации защиты информации на базе применения технологии VPN [Соколов А. В., Шаньгин В. Ф., 2002].

Локальная сеть VPN (Local Area Network-VPN). Обеспечивает защиту потоков данных и информации от НСД внутри сети компании, а также информационную безопасность на уровне разграничения доступа, системных и персональных паролей, безопасности функционирования ОС, ведение журнала коллизий, шифрование конфиденциальной информации.

Внутрикорпоративная сеть VPN (Intranet-VPN). Обеспечивает безопасные соединения между внутренними подразделениями распределенной компании.

Для такой сети подразумевается:

  • использование мощных криптографических средств шифрования данных;
  • обеспечение надежности работы критически важных транзакционных приложений, СУБД, электронной почты, Telnet, FTP;
  • скорость и производительность передачи, приема и использования данных;
  • гибкость управления средствами подключения новых пользователей и приложений.

Сети VPN с удаленным доступом (Internet-VPN). Обеспечивает защищенный удаленный доступ удаленных подразделений распределённой компании и мобильных сотрудников и отделов через открытое пространство Internet (рис. 6.17).

Такая сеть организует:

  • адекватную систему идентификации и аутентификации удалённых и мобильных пользователей;
  • эффективную систему управления ресурсами защиты, находящимися в географически распределенной информационной системе.

Рис. 6.17.Туннельная схема организации VPN сети

Межкорпоративная сеть VPN (Extranet-VPN). Обеспечивает эффективный защищённый обмен информацией с поставщиками, партнёрами, филиалами корпорации в других странах. Такая сеть предусматривает использование стандартизированных и надёжных VPN-продуктов, работающих в открытых гетерогенных средах и обеспечивающих максимальную защищенность конфиденциального трафика, включающего аудио и видео потоки информации — конфиденциальные телефонные переговоры и телеконференции с клиентами.

Можно выделить два основных способа технической реализации виртуальных туннелей:

  • построение совокупности соединений (Frame Relay или Asynchronous Transfer Mode) между двумя нужными точками единой сетевой инфраструктуры, надежно изолированной от других пользователей механизмом организации встроенных виртуальных каналов;
  • построение виртуального IP-туннеля между двумя узлами сети на базе использования технологии туннелирования, когда каждый пакет информации шифруется и «вкладывается» в поле нового пакета специального вида (конверт), который и передается по IP-туннелю — при этом пакет протокола более низкого уровня помещается в поле данных пакета более высокого уровня (рис. 6.18).

Рис. 6.18.Схема пакета, подготовленного к отправке по туннелю

VPN-туннель обладает всеми свойствами защищенной выделенной линии, проходящей через открытое пространство Internet. Особенность технологии туннелирования состоит в том, что она позволяет зашифровать не только поле данных, а весь исходный пакет, включая заголовки. Это важная деталь, так как из заголовка исходного пакета злоумышленник может извлечь данные о внутренней структуре сети — например, информацию о количестве локальных сетей и узлов и их IP-адресах.

Зашифрованный пакет, называемый SKIP-пакетом, инкапсулируется в другой пакет с открытым заголовком, который транспортируется по соответствующему туннелю (рис. 6.19).

При достижении конечной точки туннеля из внешнего пакета извлекается внутренний, расшифровывается, и его заголовок используется для дальнейшей передачи во внутренней сети или подключенному к локальной сети мобильному пользователю. Туннелирование применяется не только для обеспечения конфиденциальности внутреннего пакета данных, но и для его целостности и аутентичности, механизм туннелирования часто применяется в различных протоколах формирования защищенного канала связи. Технология позволяет организовать передачу пакетов одного протокола в логической среде, использующей другой протокол.

Таким образом, можно реализовать взаимодействие нескольких разнотипных сетей, преодолевая несоответствие внешних протоколов и схем адресации.

Рис. 6.19.Структура SKIP-пакета

Средства построения защищенной VPN достаточно разнообразны — они могут включать маршрутизаторы с механизмом фильтрации пакетов (Filtering Router), многофункциональные межсетевые экраны (Multifunction Firewall), промежуточные устройства доступа в сеть (Proxy Server), программно-аппаратные шифраторы (Firmware Cryptograph). По технической реализации можно выделить следующие основные виды средств формирования VPN:

  • специализированные программные решения, дополняющие стандартную операционную систему функциями VPN;
  • программно-аппаратное устройство на базе специализированной ОС реального времени, имеющее два или несколько сетевых интерфейсов и аппаратную криптографическую поддержку;
  • средства VPN, встроенные в стандартный маршрутизатор или коммутатор;
  • расширение охвата защищаемой зоны канала передачи и приёма данных за счет дополнительных функций межсетевого экрана.

Туннели VPN создаются для различных типов конечных пользователей: это может быть локальная сеть (Local Area Network — LAN) со шлюзом безопасности (Security Gateway) или отдельные компьютеры удаленных или мобильных пользователей с сетевым программным обеспечением для шифрования и аутентификации трафика — клиенты VPN (рис. 6.17). Через шлюз безопасности проходит весь трафик для внутренней корпоративной сети. Адрес шлюза VPN указывается как внешний адрес входящего туннелируемого пакета, а расшифрованный внутренний адрес пакета является адресом конкретного хоста за шлюзом.

Наиболее простым и относительно недорогим способом организации VPN-канала является схема, в соответствии с которой защищенный туннель прокладывается только в открытой сети для транспортировки зашифрованных пакетов. В качестве конечных точек туннеля выступают провайдеры Internet-сети или пограничные межсетевые экраны (маршрутизаторы) локальной сети. Защищенный туннель формируется компонентами виртуальной сети, функционирующим на узлах, между которыми он создается. В настоящее время активно функционирует рынок VPN-средств — приведем некоторые примеры популярных и широко используемых решений для каждого класса продуктов.

VPN на базе сетевых операционных систем. Для формирования виртуальных защищённых туннелей в IP сетях сетевая операционная система Windows NT использует протокол PPTP (Point-to-Point Transfer Protocol). Туннелирование информационных пакетов производится инкапсулированием и шифрованием (криптоалгоритм RSA RC4) стандартных блоков данных фиксированного формата (РРР Data Frames) в IP-дейтаграммы, которые и передаются в открытых IP-сетях. Данное решение является недорогим, и его можно эффективно использовать для формирования VPN-каналов внутри локальных сетей, домена Windows NT или для построения Internet- и Extranet- VPN для небольших компаний малого и среднего бизнеса для защиты не критичных приложений.

VPN на базе маршрутизаторов. В России лидером на рынке VPN-продуктов является компания Cisko Systems. Построение каналов VPN на базе маршрутизаторов Cisko осуществляется средствами ОС версии Cisko IOS 12.х. Для организации туннеля маршрутизаторы Cisko используют протокол L2TP канального уровня эталонной модели OSI, разработанного на базе «фирменных» протоколов Cisko L2F и Microsoft PPTP, и протокол сетевого уровня IPSec, созданного ассоциацией «Проблемная группа проектирования Internet (Internet Engineering Task Force — IETF). Эффективно применяется Cisko VPN Client, который предназначен для создания защищенных соединений Point-to Point между удаленными рабочими станциями и маршрутизаторами Cisko — это позволяет построит практически все виды VPN-соединений в сетях.

VPN на базе межсетевых экранов. Эта технология считается наиболее сбалансированной и оптимальной с точки обеспечения комплексной безопасности КИС и её защиты от атак из внешней открытой сети. В России нашел широкое применение программный продукт Check Point Firewall-1/VPN-1 компании Check Point Software Technologies. Это решение позволяет построить глубоко комплексную эшелонированную систему защиты КИС.

В состав продукта входят: Check Point Firewall-1, набор средств для формирования корпоративной виртуальной частной сети Check Point VPN-1, средства обнаружения атак и вторжений Real Secure, средства управления полосой пропускания информационных пакетов Flood Gate, средства VPN-1 Secure Remote, VPN-1 Appliance и VPN-1 Secure Client для построения Localnet/Intranet/Internet/Extranet VPN-каналов. Весь набор продуктов Check Point VPN-1 построен на базе открытых стандартов IPSec, имеет развитую систему идентификации и аутентификации пользователей, взаимодействует с внешней системой распределения открытых ключей PKI, поддерживает цетрализованную систему управления и аудита.

Виртуализация сетей

В предыдущей лекции была приведена классификация решений виртуализации . В рамках текущей лекции мы более подробно рассмотрим ключевые особенности виртуализации сетей.

В 1960-х инженерно — технический отдел американской телефонной компании разработал систему автоматического соединения абонентов АТС — Centrex. Данный факт можно считать началом истории виртуализации сетей, поскольку использовались уже существующие каналы связи, т.е. создавались виртуальные каналы передачи сигнала.

Виртуальной частной сетью ( VPN — Virtual Private Network ) называют обобщенную группу технологий, обеспечивающих возможность установления сетевых соединений поверх другой сети. Иными словами, VPN можно назвать имитацией сети, построенной на выделенных каналах связи.

Технически виртуальная сеть — это криптосистема , защищающая данные при передаче их по незащищенной сети. Т.е. потоки данных одной группы пользователей (предприятия), использующих VPN , в рамках одной публичной сети защищены от влияния иных потоков данных.

На базе одной физической сети может функционировать несколько виртуальных.

Структура VPN включает в себя: каналы связи, маршрутизаторы и защищенные протоколы. Локальные сети объединяются в виртуальную при помощи «виртуальных выделенных каналов», для создания которых применяется механизм туннелирования (пакеты локальной сети инкапсулируются в новые IP — пакеты инициатором туннеля , на обратном конце » туннеля » происходит обратный процесс).

Подключение нового пользователя к VPN осуществляется через VPN — сервер .

Цели и задачи виртуальных частных сетей

Основной целью виртуальной сети является максимально возможное обособление потока данных компании (определенной группы пользователей) от потока данных других пользователей общей сети.

Соответственно, глобальной задачей виртуальной сети является обеспечение указанной обособленности данных, которую можно разделить на следующие подзадачи, решаемые средствами VPN :

  • Конфиденциальность — гарантия того, что данные не будут просмотрены третьими лицами.
  • Целостность — обеспечение сохранности передаваемых данных.
  • Доступность — санкционированные пользователи должны иметь возможность подключения к VPN постоянно.
Читать еще:  Наш портал социальная сеть работников

Защита информации в виртуальных частных сетях

Основной угрозой при использовании виртуальных частных сетей , очевидно, является несанкционированный доступ к данным, который можно разделить на два типа:

  • несанкционированной доступ в процессе передачи данных по открытой (общей) сети;
  • несанкционированный доступ к внутренним корпоративным сетям.

Основными функциями защиты информации при передаче данных по виртуальным сетям являются:

  • аутентификация;
  • шифрование;
  • авторизация.

Также отметим, что угрозу по перехвату пакетов по пути следования ряд специалистов считает преувеличенной. Пакеты проходят через маршрутизаторы и коммутаторы провайдеров, т.е. фактически не заходят в сети сторонних лиц и организаций. Таким образом, основная угроза перехвата исходит со стороны самих провайдеров. От входа во внутренние сети организаций и перехвата данных по пути существуют такие способы защиты, как межсетевые экраны, proxy — сервера и средства организации защищенного канала соответственно.

Классификация виртуальных сетей

Существует несколько различных вариантов классификации виртуальных сетей. Приведем наиболее распространенные из них.

Классификация по архитектуре:

  1. VPN с удаленным доступом.

Данные сети предназначены для обеспечения защищенного удаленного доступа к корпоративным сетевым информационным ресурсам.

Предназначены для объединения различных структурных подразделений компании, или групп предприятий в единую защищенную информационную сеть.

Данные сети предназначены для обеспечения взаимодействия с поставщиками, клиентами, партнерами и т.д.

Классификация по уровню ЭМВОС (Эталонная модель взаимодействия открытых систем, Open System Interconnection Basic Reference Model — OSI):

  1. VPN канального уровня.

Данный тип обеспечивает инкапсуляцию трафика сетевого и более высоких уровней и построение виртуальных туннелей «точка — точка». На данном уровне используются протоколы L2F и PPTP (протоколы построения VPN будут рассмотрены в завершающей части данной лекции).

Данный тип осуществляет инкапсуляцию IP в IP. К протоколам данного уровня относят SKIPP и IPSec .

Данный тип VPN использует подход под названием «посредник каналов» — трафик из защищенной сети ретранслируется в общедоступную для каждого программного интерфейса в отдельности. Часто используется протокол TLS для шифрования информации.

Классификация по способу реализации:

  1. Программно — аппаратное обеспечение.

Реализация осуществляется на базе аппаратно — программного комплекса, обеспечивающего высокую производительность и защищенность.

Обеспечение работы VPN осуществляется специальным ПО, установленным на ПК пользователя.

Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания .

Сравнение с частными сетями

Для более наглядной иллюстрации основных отличий между виртуальной сетью и частной рассмотрим следующий пример.

Задача: организовать безопасные каналы связи в компании, имеющей несколько удаленных филиалов.

Решение на основе частной корпоративной сети.

В данном случае, филиалы связаны с центральным офисом посредством LAN , доступ в Интернет может осуществляться как через центральный офис , так и каждым филиалом самостоятельно.

  • Скорость передачи данных. Фактически скорость будет ограничена возможностями локальной сети предприятия.
  • Безопасность. При должной организации можно минимизировать риск нежелательной утечки данных.
  • Стоимость решения. Поскольку предприятие использует собственные каналы передачи данных, нет необходимости в аренде таковых. С другой стороны, стоимость организации корпоративной сети может быть более, чем высока.

Решение на основе виртуальной частной сети.

В данном решении предприятие арендует каналы связи у провайдеров, центральный офис и филиалы объединены в виртуальную частную сеть .

Особенности решения, по сравнению с частной сетью:

  • Скорость передачи данных. Зависит от условий, предоставляемых поставщиком услуг связи (провайдером), сильно зависит от региональных особенностей.
  • Безопасность. Учитывая, что данные предприятия попадают в общедоступную сеть, то для обеспечения безопасности необходимо использовать различные средства и алгоритмы защиты информации (шифрование).
  • Стоимость. Необходимо оплачивать услуги провайдера, но нет затрат связанных с организацией корпоративной локальной сети.

Исходя из сравнения решений по параметрам Скорость/Безопасность/Стоимость, выгода от использования VPN , строго говоря, неочевидна. Но виртуальные сети обладают рядом иных преимуществ:

  1. Масштабируемость. В случае расширения штата, открытии нового филиала и т.п. не требуется затрат для обеспечения коммуникаций. Новые пользователи просто подключаются к уже организованной виртуальной сети предприятия.
  2. Гибкость и мобильность. Не имеет значения физическое местоположение пользователя сети. Для подключения к виртуальной сети предприятия достаточно наличия любого канала связи с внешним миром.

Исходя из всего вышеизложенного, можно выделить основные сценарии использования VPN :

  1. Организация удаленного доступа к корпоративным сетевым ресурсам через любую общедоступную сеть. Для реализации данного сценария обязательным является только наличие корпоративного VPN — сервера, к которому могут подключаться удаленные клиенты.
  2. Intranet VPN . Объединение территориально распределенных филиалов компании в единую сеть передачи данных. Для реализации сценария необходимо наличие VPN — сервера в каждом из связываемых организационных объединений.
  3. Extranet VPN . Предоставление клиентам и партнерам доступа к корпоративным сетевым ресурсам.

Таким образом, несмотря на ряд недостатков, можно утверждать, что виртуальная частная сеть , в ряде случаев, может оказаться более предпочтительной, чем частная корпоративная локальная сеть .

Защищенные виртуальные сети (VPN на базе ViPNeT)

ООО «ИнформТоргСервис» реализует работы по проектированию и развертыванию виртуальных защищенных сетей (VPN) на базе Технологии VipNet.

Наше предприятие предлагает Вам услуги по аутсорсингу информационной безопасности.

Технология ViPNet представляет собой программный комплекс, позволяющий организовать виртуальную сеть, защищенную от несанкционированного доступа по классу 1В для автоматизированных систем и 3 классу для межсетевых экранов.

В качестве криптографического ядра системы может использоваться «Домен-КС2», сертифицированная ФСБ России. Уникальное сочетание симметричных и асимметричных процедур распределения ключей, электронной цифровой подписи (ЭЦП), автоматических процедур ключевого взаимодействия обеспечивает высокий уровень безопасности в системе.

Полностью безопасная работа пользователей и использование информационных и технических ресурсов обеспечивается при установке средств защиты на каждый компьютер, участвующий в виртуальной защищенной сети. Информация, которой обменивается пара компьютеров, становится недоступной для любых других компьютеров. Информация, расположенная на самом компьютере, недоступна с компьютеров, не участвующих в VPN. Доступ с компьютеров, участвующих в VPN, определяется наличием соответствующих связей, настройкой фильтров и полностью контролируется администраторами безопасности.

Компьютеры виртуальной сети могут располагаться внутри локальных сетей любого типа, поддерживающих протокол IP, находиться за другими типами сетевых экранов, иметь реальные или виртуальные адреса, подключаться через общедоступные сети путем выделенных или коммутируемых соединений.

Часто при соединении с другими сетями, использующими внутреннюю адресную структуру, возникает проблема конфликта IP-адресов. Технология ViPNet предоставляет возможность не перестраивать в этом случае имеющуюся адресную структуру. Каждый из ее объектов автоматически формирует для других объектов уникальный виртуальный адрес, который и может быть использован приложением.

Технология ViPNet обеспечивает:

  • Быстрое развертывание корпоративных защищенных решений на базе имеющихсялокальных сетей, доступных ресурсов глобальных (включая Интернет) и ведомственных телекоммуникационных сетей, телефонных и выделенных каналов связи, средств стационарной, спутниковой и мобильной радиосвязи и др. При этом в полной мере может использоваться уже имеющееся у корпорации оборудование (компьютеры, серверы, маршрутизаторы, коммутаторы, Межсетевые Экраны (МЭ) и т.д.).
  • Создание внутри распределенной корпоративной сети информационно–независимых виртуальных защищенных контуров, включающих как отдельные компьютеры, так и сегменты сетей, для обеспечения функционирования в единой телекоммуникационной среде различных по конфиденциальности или назначению информационных задач. Такие контуры создаются только исходя из логики требуемых (разрешенных) информационных связей, независимо от приложений, сетевой операционной системы, без каких-либо настроек сетевого оборудования. При этом достигается еще одно очень важное свойство – независимость режимов безопасности, установленных в виртуальной корпоративной сети (VPN), от сетевых администраторов, управляющих различными физическими сегментами большой корпоративной сети, и от ошибочных или преднамеренных действий с их стороны, представляющих одну из наиболее вероятных и опасных угроз.
  • Защиту, как локальных сетей в целом, их сегментов, так и отдельных компьютеров и другого оборудования от несанкционированного доступа и различных атак, как из внешних, так и из внутренних сетей.
  • Поддержку защищенной работы мобильных и удаленных пользователей корпоративной сети. Организацию контролируемого и безопасного для корпоративной сети подключения внешних пользователей для защищенного обмена информацией с ресурсами корпоративной сети.
  • Организацию безопасного для локальных сетей подключения отдельных рабочих станций этих сетей к открытым ресурсам сети Интернет и исключение риска атаки из Интернет на всю локальную сеть через подключенные к открытым ресурсам компьютеры сети.
  • Защиту (обеспечение конфиденциальности, подлинности и целостности) любого вида трафика, передаваемого между любыми компонентами сети, будь то рабочая станция (мобильная, удаленная, локальная), информационные серверы доступа, сетевые устройства или узлы. При этом становится недоступной для перехвата из сети и любая парольная информация различных приложений, баз данных, почтовых серверов и др., что существенно повышает безопасность этих прикладных систем.
  • Защиту управляющего трафика для систем и средств удаленного управления объектами сети: маршрутизаторами, межсетевыми экранами, серверами и пр., а также защиту самих средств удаленного управления от возможных атак из глобальной или корпоративной сети.
  • Контроль доступа к любому узлу и сегменту сети, включая фильтрацию трафика, правила которой могут быть определены для каждого узла отдельно, как с помощью набора стандартных политик, так и с помощью индивидуальной настройки.
  • Защиту от НСД к информационным ресурсам корпоративной сети, хранимым на рабочих станциях (мобильных, удаленных и локальных), серверах (WWW, FTP, SMTP, SQL, файл-серверах и т.д.) и других хранилищах группового доступа.
  • Организацию безопасной работы участников VPN с совместным информационным групповым и/или корпоративным информационным ресурсом.
  • Аутентификацию пользователей и сетевых объектов VPN как на основе использования системы симметричных ключей, так и на основе использования инфраструктуры открытых ключей (PKI) и сертификатов стандарта X.509.
  • Оперативное управление распределенной VPN-сетью и политикой информационной безопасности на сети из единого центра.
  • Исключение возможности использования недекларированных возможностей операционных систем и приложений для совершения информационных атак, кражи секретных ключей и сетевых паролей.

Технология ViPNet представляет собой программный комплекс, позволяющий организовать виртуальную сеть, защищенную от несанкционированного доступа по классу 1В для автоматизированных систем и 3 классу для межсетевых экранов.

В качестве криптографического ядра системы может использоваться «Домен-КС2», сертифицированная ФСБ России. Уникальное сочетание симметричных и асимметричных процедур распределения ключей, электронной цифровой подписи (ЭЦП), автоматических процедур ключевого взаимодействия обеспечивает высокий уровень безопасности в системе.

Читать еще:  Почему iphone не ловит сеть

Полностью безопасная работа пользователей и использование информационных и технических ресурсов обеспечивается при установке средств защиты на каждый компьютер, участвующий в виртуальной защищенной сети. Информация, которой обменивается пара компьютеров, становится недоступной для любых других компьютеров. Информация, расположенная на самом компьютере, недоступна с компьютеров, не участвующих в VPN. Доступ с компьютеров, участвующих в VPN, определяется наличием соответствующих связей, настройкой фильтров и полностью контролируется администраторами безопасности.

Компьютеры виртуальной сети могут располагаться внутри локальных сетей любого типа, поддерживающих протокол IP, находиться за другими типами сетевых экранов, иметь реальные или виртуальные адреса, подключаться через общедоступные сети путем выделенных или коммутируемых соединений.

Часто при соединении с другими сетями, использующими внутреннюю адресную структуру, возникает проблема конфликта IP-адресов. Технология ViPNet предоставляет возможность не перестраивать в этом случае имеющуюся адресную структуру. Каждый из ее объектов автоматически формирует для других объектов уникальный виртуальный адрес, который и может быть использован приложением.

Продукты торговой марки ViPNet позволяют индивидуальному и корпоративному пользователю решить ряд задач, таких как:

  • Объединение нескольких локальных сетей в одну глобальную.
  • Организация защищенного Web-хостинга и защищенного доступа к серверам
    приложений.
  • Защита встроенными сетевыми экранами информационных ресурсов клиентов VPN-сети (рабочих станций, серверов WWW, баз данных и приложений).
  • Защита TCP/IP трафика в сети, создаваемого любыми стандартными приложениями и программами работающими в ОС Windows 95OSR2/98/Me/NT/2000/XP и Linux, включая программы аудио- и видео-конференцсвязи и всевозможные платформы В2В.
  • Защищенный автопроцессинг для финансовых и банковских приложений, защита транзакций для платежных систем, сети финансовой отчетности.

Что такое VPN и зачем это нужно?

Про VPN много говорят: то его собираются запретить, то рекомендуют использовать. В этой статье мы расскажем о том, что такое VPN и зачем он нужен

VPN нынче актуален, как никогда прежде. Даже в домашних роутерах стали появляться не просто VPN-серверы, а еще и с аппаратным ускорением шифрования. Что же такое VPN и для чего он вообще нужен? Попробуем рассказать об этом простыми словами.

Что такое VPN?

Как-то так получилось, что даже в учебниках не дают расширенного и глубокого определения того, что это такое, VPN. Мол, и так ведь все понятно: аббревиатура VPN расшифровывается как Virtual Private Network, то есть виртуальная частная сеть. И зачем еще что-то обсуждать? Что такое «сеть» — понятно: на примитивном уровне это объединение двух и более узлов каким-либо видом связи для того, чтобы они могли обмениваться информацией. Естественно, наиболее удобным способом и с поддержкой всех необходимых сервисов.

Что такое «частная», тоже вроде бы очевидно — не публичная, поэтому и частная. То есть такая, в которой находится не абы кто, а только дозволенные узлы. Если копнуть чуть глубже, то именно эта составляющая VPN и является самой главной, так как она определяет ряд требований к этой самой «частности».

— Kaspersky Lab (@Kaspersky_ru) May 23, 2013

Во-первых, надо как-то маркировать участников этой сети и ту информацию, которой они обмениваются, чтобы она не смешивалась с чужой. Во-вторых, определенно полезно эту информацию защитить от посторонних глаз. Ну хотя бы зашифровать, что снова накладывает следующий круг ограничений, связанных со стойкостью этого шифрования.

В-третьих, надо сохранять целостность такого способа передачи информации — не пускать посторонних в частную сеть, проверять источник передаваемых сообщений и следить за тем, чтобы информация нигде не просачивалась в «голом виде». В общем, все как на приватных вечеринках у сильных мира сего: шумят на всю округу, а кто и что там делает — не ясно. И суровая охрана на входе и выходе устраивает не только фейс-, но и прочих мест контроль.

Собрали вместе самые интересные карты интернета: спутники, подводные кабели и все такое https://t.co/nt1a2KrNyy pic.twitter.com/3UWpYLLivT

— Kaspersky Lab (@Kaspersky_ru) November 3, 2015

С понятием «виртуальная» все чуть попроще. Это всего лишь значит, что такая сеть абстрагирована от физической составляющей — ей не важно, по каким и скольким каналам связи она проложена, так как для участников этой сети она работает прозрачно. Или же, с другой стороны, физическая сеть чаще всего просто не принадлежит пользователю виртуальной.

Например, в серьезных организациях сотрудников при подсоединении рабочего ноутбука к любым проводным или беспроводным сетям, находящимся за пределами стен этой самой организации, обязуют сразу же задействовать VPN-подключение до офисной сети. При этом не важно, через какие именно дебри будет установлено это соединение, но можно не сомневаться, что пойдет оно по публичным, чужим сетям связи. Такое соединение принято называть туннелем, впоследствии этот термин нам встретится еще не раз.

Мы раскрываем все секреты безопасного пользования открытыми Wi-Fi-сетями https://t.co/yPoP8nyTzq pic.twitter.com/2VRpZCvqHV

— Kaspersky Lab (@Kaspersky_ru) January 21, 2016

Для чего нужен VPN?

Приведенный выше пример подключения удаленного пользователя к корпоративной сети — один из наиболее типичных сценариев использования VPN. Пользователь ощущает себя как дома — вернее, дома, на отдыхе или в командировке он способен ощутить себя как на работе и может без проблем пользоваться корпоративными сервисами.

Заодно и злоумышленник не сможет просто так пронюхать, чем конкретно занят этот пользователь, какие данные он передает и получает. Более того, в компаниях, озабоченных собственной безопасностью, на всех используемых работниками устройствах принудительно включается обязательное использование VPN-подключений где бы то ни было. Даже использование Интернета в таком случае идет сквозь корпоративную сеть и под строгим надзором службы безопасности!

Второй по распространенности вариант использования схож с первым, только подключаются к корпоративной сети не отдельные пользователи, а целые офисы или здания. Цель та же — надежно и безопасно объединить географически удаленные элементы одной организации в единую сеть.

Это могут быть как крупные представительства корпораций в разных странах, так и раскиданные по городу мясные ларьки ООО «Рога и копыта». Или даже просто камеры, сигнализации и прочие охранные системы. При такой простоте создания VPN — благо кабель каждый раз протягивать не нужно — виртуальные частные сети могут создавать и внутри компаний для объединения и изоляции тех или иных отделов или систем.

Не менее часто организовываются VPN-сети и между серверами или целыми вычислительными кластерами для поддержания их доступности и дублирования данных. Частота их использования напрямую связана с ростом популярности облачных технологий. Причем все вышеперечисленное — это не какие-то временные решения: такие подключения могут поддерживаться (и поддерживаются) годами.

Впрочем, сейчас наметился переход к следующему уровню абстракции — SDN (Software Defined Networks, программно-определяемые сети), которые преподнесут еще немало сюрпризов, в равной степени приятных и не очень. Однако это отдельная и весьма обширная тема, касаться которой мы сейчас не будем.

Центр прикладных исследований компьютерных сетей выпустил первый российский SDN-контроллерhttp://t.co/kNyW7FWqqB pic.twitter.com/Ebgy7lf1AE

У России свой, особый путь применения VPN на практике. Когда-то крупные ISP строили свои сети на основе простых неуправляемых коммутаторов — очевидно, в целях экономии. Для разделения трафика клиентов стали использовать различные варианты VPN-подключений к серверу провайдера, через который и выдавали доступ в Интернет.

Удивительно, но такой метод используется до сих пор, а производители домашних роутеров для российского региона все еще вынуждены добавлять поддержку таких подключений в прошивку своих устройств. Так что в каком-то смысле Россия была лидером по числу одновременных VPN-подключений среди пользователей Сети.

Контрпример таких постоянных VPN-соединений — это сессионные подключения. Они нередко используются при предоставлении клиентского доступа к различным сервисам, которые, как правило, связаны с обработкой очень чувствительной информации в области финансов, здравоохранения, юриспруденции.

Впрочем, для обычного пользователя гораздо важнее другой вариант практического использования VPN. В наших советах по безопасности Android и iOS настоятельно рекомендуется применять защищенное VPN-соединение до надежного узла (будь то домашний роутер или специальный VPN-провайдер) при подключении к любым публичным сетям, чтобы защитить свой трафик от возможного вмешательства злоумышленников!

Наконец, последний вариант применения VPN в частном порядке — это обход разнообразных сетевых ограничений. Например, для получения доступа к ресурсам, которые заблокированы или не предоставляют свои услуги на определенной территории. Согласно отчету GlobalWebIndex, только в 2014 году для доступа к социальным сетям VPN использовали около 166 млн человек.

Заключение

В общем, очевидно, что VPN нынче — штука полезная, нужная и постоянно набирающая популярность. Конечно, рассказали мы об этой технологии и ее возможностях в самых общих чертах — в реальной жизни есть множество нюансов, связанных с ее использованием, в том числе и законодательных, а не только технических. И уж точно наш рассказ будет неполным без описания популярных реализаций VPN и их развития. Об этом мы и поговорим в следующих двух частях нашего сериала.

Виртуальные частные сети и другие способы защиты информации

В предыдущих номерах нашего журнала уже были описаны основные методы защиты информации: шифрование (cм. «Мир ПК», №2/02, c. 70) и электронная цифровая подпись (№3/02, с. 78). Сегодня предлагаем вам ознакомиться со способами их применения.

Понятно, что информацию защищают вовсе не алгоритмы шифрования и электронной цифровой подписи (ЭЦП), а системы, в которых эти алгоритмы реализованы. Их можно условно разделить на системы автоматической защиты информации и системы защиты информации прикладного уровня.

Системы для внимательных и неленивых

Предположим, вы регулярно работаете с важными документами, которые нежелательно хранить на компьютере в открытом виде (скажем, в момент вашего отсутствия может подойти некто и их прочесть и даже переписать). В целях безопасности можно использовать программу, с помощью которой вы зашифровываете файл перед уходом и расшифровываете при необходимости.

Читать еще:  Как сделать домашнюю сеть

Аналогичная ситуация и с ЭЦП: допустим, вы хотите подписать файл и вложить его в письмо. Легко! Даете команду программе, она эту подпись вычисляет и записывает в файл, а адресат при получении проверяет ее подлинность. Естественно, можно использовать шифрование и ЭЦП в комплексе — все зависит только от вашего желания.

Поскольку такие системы предусматривают выбор защищаемых объектов вручную, их интерфейс должен предоставлять возможность «бродить» по файловой системе, чтобы найти нужные. Оптимальным вариантом является встроенность программы непосредственно в Windows Explorer, как, например, WinZip в контекстное меню (см. рисунок).

Вы выбираете в обычном и донельзя знакомом окне файл, жмете правую кнопку мыши и подписываете его с помощью новой команды. По-моему, очень удобно: все под рукой и не нужно вызывать какие-то лишние программы. А еще лучше — встроенные прямо в офисные приложения средства защиты: устанавливаете программу электронной подписи, и в Word появляется дополнительная панель с кнопками «Подписать», «Проверить подпись» и т. д.

Для того чтобы избавить пользователей от необходимости ежедневного шифрования и расшифровывания файлов, разработчики стали эти операции автоматизировать. Но лично я предпочитаю именно «ручные» системы, главное достоинство которых — гибкость: они выполняют только заданные вами действия.

«Прозрачные» системы защиты

Однако использование «ручных» средств устраивает далеко не всех. Кроме того, многократно повторямые операции существенно повышают риск ошибки, и результатом может явиться, например, появление важного документа в открытом виде. Намного безопаснее системы автоматического («прозрачного») шифрования информации, которые эффективно защищают ее в соответствии с первоначальными настройками без вашего последующего участия. Для того-то и придуман компьютер, чтобы перекладывать на него рутинную работу, — лень по-прежнему служит двигателем прогресса. Не верьте тому, кто утверждает, что ПК создали для сложных математических расчетов, — это только полезный побочный эффект .

Существующие автоматические системы защиты можно условно разделить на те, которые защищают сетевой обмен данными, и системы «прозрачного» шифрования данных на компьютере пользователя.

Виртуальные частные сети

Технология VPN (Virtual Private Network — виртуальная частная сеть) — не единственный способ защиты сетей и передаваемых по ним данных. Но я считаю, что она достаточно эффективна, и ее повсеместное внедрение — это не только дань моде, весьма благосклонной к VPN в последние пару лет.

Суть VPN состоит в следующем:

  • На все компьютеры, имеющие выход в Интернет, устанавливается средство, реализующее VPN (VPN-агент). Не должно остаться ни одного незащищенного!
  • VPN-агенты автоматически шифруют всю исходящую информацию (и соответственно расшифровывают всю входящую). Они также следят за ее целостностью с помощью ЭЦП или имитоприставок (криптографическая контрольная сумма, рассчитанная с использованием ключа шифрования).

Поскольку информация, циркулирующая в Интернете, представляет собой множество пакетов протокола IP, VPN-агенты работают именно с ними.

Перед отправкой IP-пакета VPN-агент действует следующим образом:

  • Из нескольких поддерживаемых им алгоритмов шифрования и ЭЦП по IP-адресу получателя выбирает нужный для защиты данного пакета, а также ключи. Если же в его настройках такого получателя нет, то информация не отправляется.
  • Определяет и добавляет в пакет ЭЦП отправителя или имитоприставку.
  • Шифрует пакет (целиком, включая заголовок).
  • Проводит инкапсуляцию, т. е. формирует новый заголовок, где указывается адрес вовсе не получателя, а его VPN-агента. Эта полезная дополнительная функция позволяет представить обмен между двумя сетями как обмен всего-навсего между двумя компьютерами, на которых установлены VPN-агенты. Всякая полезная для темных целей злоумышленника информация, например внутренние IP-адреса, ему уже недоступна.

При получении IP-пакета выполняются обратные действия:

  • Заголовок содержит сведения о VPN-агенте отправителя. Если таковой не входит в список разрешенных в настройках, то информация просто отбрасывается. То же самое происходит при приеме пакета с намеренно или случайно поврежденным заголовком.
  • Согласно настройкам выбираются алгоритмы шифрования и ЭЦП, а также необходимые криптографические ключи.
  • Пакет расшифровывается, затем проверяется его целостность. Если ЭЦП неверна, то он выбрасывается.
  • И наконец, пакет в его исходном виде отправляется настоящему адресату по внутренней сети.

Все операции выполняются автоматически. Сложной в технологии VPN является только настройка VPN-агентов, которая, впрочем, вполне по силам опытному пользователю.

VPN-агент может находиться непосредственно на защищаемом ПК, что полезно для мобильных пользователей, подключающихся к Интернету где попало. В этом случае он обезопасит обмен данными только того компьютера, на котором установлен.

Возможно совмещение VPN-агента с маршрутизатором (в этом случае его называют криптографическим) IP-пакетов. Кстати, ведущие мировые производители в последнее время выпускают маршрутизаторы со встроенной поддержкой VPN, например Express VPN от Intel, который шифрует все проходящие пакеты по алгоритму Triple DES.

Как видно из описания, VPN-агенты создают каналы между защищаемыми сетями, которые обычно называют «туннелями». И действительно, они «прорыты» через Интернет от одной сети к другой; циркулирующая внутри информация спрятана от чужих глаз.

Кроме того, все пакеты «фильтруются» в соответствии с настройками. Таким образом, все действия VPN-агентов можно свести к двум механизмам: созданию туннелей и фильтрации проходящих пакетов.

Совокупность правил создания туннелей, которая называется «политикой безопасности», записывается в настройках VPN-агентов. IP-пакеты направляются в тот или иной туннель или отбрасываются после того, как будут проверены:

  • IP-адрес источника (для исходящего пакета — адрес конкретного компьютера защищаемой сети);
  • IP-адрес назначения;
  • протокол более высокого уровня, которому принадлежит данный пакет (например, TCP или UDP);
  • номер порта, с которого или на который отправлена информация (например, 1080).

Когда VPN бессилен

Увы, но при практическом применении средства VPN не всемогущи.

Серьезная проблема — атаки изнутри (т. е. когда злоумышленник завелся в одной из защищаемых сетей). По статистике около 75% финансовых потерь наносится в результате подобных агрессий.

Отказ в обслуживании (DoS- или DDoS-атаки) также является существенным препятствием для VPN-агентов.

Системы для слишком занятых

Чтобы установить и настроить систему автоматической защиты данных на компьютере, придется один раз потратить некоторое время (кстати, обычно это достаточно просто — не сравнить с весьма сложной настройкой VPN-агентов). Зато потом вы и не заметите, что ваши объекты шифруются «на лету» (правда, необходимо один раз — при входе в Windows — предъявить системе ключи).

Это происходит следующим образом.

  1. хранения всей зашифрованной информации создается специальный файл-контейнер. Системой защиты генерируется ключ, который пользователь должен хранить при себе.
  2. Если при входе нужный ключ не предъявлен, то контейнер остается просто файлом, ничем не выделяющимся среди прочих.
  3. Если же предъявлен ключ и введен правильный пароль, контейнер подключается к системе и выглядит как новый логический диск (предположим, диск F), до этого отсутствовавший. Все, что затем с него считывается (например, документ, который следует отредактировать), автоматически расшифровывается; все, что записывается, — автоматически шифруется. Единственное условие — хранение важных документов именно на диске F. Это является гарантией безопасности.

Согласитесь, что такие средства очень удобны, а для малоопытных пользователей (среди них могут быть и работающие с важной информацией, например бухгалтеры или руководители) — это просто идеальный выход. Системный администратор произведет установку, настройку и вручит ключи — а дальше все легче легкого. Эти системы напоминают NTFS, которую также следует один раз настроить для автоматического разделения доступа к файлам. отличие в том, что NTFS их не шифрует.

Кстати, контейнеров может быть несколько, причем каждый из них будет защищен собственным ключом. Это важно при работе с информацией разного уровня секретности или при эксплуатации одного компьютера несколькими пользователями (если это еще актуально).

Шифрование происходит на случайном ключе (его называют «дисковым»), который, в свою очередь, шифруется на ключе, предъявляемом для открытия контейнера, и пароле.

Использование промежуточного ключа позволяет мобильно реагировать на ситуацию. Для того чтобы быстро перешифровать весь контейнер в случае, например, компрометации пароля, достаточно перешифровать только дисковый ключ.

В средства «прозрачного» шифрования входят различные дополнительные утилиты, полезные опытным пользователям. Они осуществляют следующие функции:

  • гарантированную очистку свободного пространства диска. Ведь при удалении объектов средствами Windows исчезает только запись о файле, но сама информация не стирается и доступна для восстановления, что совершенно недопустимо с точки зрения безопасности;
  • очистку файла подкачки (swap-файла). В нем Windows хранит разные динамические данные, в которые легко может попасть документ с секретного диска. Грамотному злоумышленнику не составит труда его оттуда извлечь, что также непозволительно;
  • автоматическую охрану контейнера. Это защищает его от случайного удаления и соответственно от потери важной информации.
  • экстренное отключение всех контейнеров. Все их содержимое станет недоступным, достаточно только нажать на специальную кнопку (при появлении в вашем кабинете нежелательных лиц).

Что любопытно — некоторые системы позволяют замаскировать контейнер: его можно как-нибудь необычно назвать, скажем, erotica.bmp, и при просмотре такого файла в графическом редакторе вы действительно увидите интересную картинку. Следовательно, у злоумышленника вряд ли возникнет подозрение, что там содержится что-то важное.

А последний писк моды — системы с функцией «вход под принуждением». Представьте, что у вас есть сверхсекретные документы, хранимые в контейнере. Сюда же, но с другим паролем, вы записываете якобы секретную информацию, для защиты которой будто бы и предназначен этот контейнер. И если вдруг появляется ваш закадычный враг (уверенный, что от него прячут много интересного) с утюгом наизготовку L, вы просто вводите другой пароль. Все довольны.

В настоящее время предлагается великое множество разнообразных систем защиты информации. Их основное предназначение — закрыть все возможные пути для злоумышленника. Главное — не забывать о том, что одна оставленная лазейка сделает бесполезными все средства защиты, которые вы установили.

Ссылка на основную публикацию
Adblock
detector