1. Поняття про віртуальні захищені (приватні) мережі (vpn).
Історія появи VPN тісно пов'язана з послугою CENTREX в телефонних мережах. Поняття Centrex з'явилося на рубежі 60-х років у США як загальна назва способу надання послуг бізнес зв'язку абонентам кількох компаній на основі спільно використовуваного обладнання однієї засновницької станції PBX (Private Branch Exchange). З початком впровадження в США та Канаді станцій з програмним управлінням термін набув інший сенс і став означати спосіб надання бізнес абонентам додаткових послуг телефонного зв'язку, еквівалентних послуг PBX, на базі модифікованих станцій мережі загального користування. Основна перевага Centrex полягало в тому, що фірми і компанії при створенні виділених корпоративних мереж економили значні кошти, необхідні на придбання, монтаж та експлуатацію власних станцій. Хоча для зв'язку між собою абоненти Centrex використовують ресурси і обладнання мережі загального користування, самі вони утворюють так звані замкнуті групи користувачів CUG (Closed Users Group) з обмеженим доступом ззовні, для яких в станціях мережі реалізуються віртуальні PBX.
У прагненні подолати властиві Centrex обмеження була висунута ідея віртуальної приватної мережі VPN - як об'єднання CUG, що складають одну корпоративну мережу і що знаходяться на відстані один від одного. Ресурси VPN (кожна зі своїм планом нумерації) можуть бути розподілені по декількох станціям місцевої мережі, оснащеним функціями Centrex і мають в зоні свого обслуговування одну або кілька CUG. При цьому в станцію можуть бути включені як PBX, що безпосередньо належать власникові VPN, так і лінії звичайних індивідуальних абонентів.
Технологія VPN (Virtual Private Network - віртуальна приватна мережа) - не єдиний спосіб захисту мереж і переданих по них даних. Але я вважаю, що вона є досить ефективною, і її повсюдне впровадження - це не тільки данина моді, що є досить прихильною до VPN в останні пару років.
Рис.1
Схема VPN (Слайд
3)
Сутність VPN полягає у такому:
На всі комп'ютери, що мають вихід в Інтернет, встановлюється обладнання, що реалізовує VPN (VPN-агент). Усі мережі чи користувачі мають бути захищені!
VPN-агенти автоматично шифрують всю вихідну інформацію (і відповідно розшифровують всю вхідну). Вони також стежать за її цілісністю за допомогою електронного цифрового підпису (ЕЦП) або імітоприставок (криптографічна контрольна сума, розрахована на використанням ключа шифрування).
Оскільки інформація, що циркулює в Інтернеті, це безліч пакетів протоколу IP, VPN-агенти працюють саме з ними.
Перед відправкою IP-пакету VPN-агент діє таким чином:
З декількох алгоритмів шифрування і ЕЦП, що ним підтримуються по IP-адресі одержувача вибирає потрібний для захисту даного пакету, а також ключі. Якщо ж в його настройках такого одержувача немає, то інформація не відправляється.
Визначає і додає в пакет ЕЦП відправника або імітоприставку.
Шифрує пакет (цілком, включаючи заголовок).
Проводить інкапсуляцію, тобто формує новий заголовок, де вказується адреса не одержувача, а його VPN-агента. Ця корисна додаткова функція дозволяє представити обмін між двома мережами як обмін всього лише між двома комп'ютерами, на яких встановлені VPN-агенти. Будь-яка необхідна зловмиснику інформація, наприклад внутрішні IP-адреси, йому уже недоступна.
При отриманні IP-пакету виконуються зворотні дії:
Заголовок містить відомості про VPN-агента відправника. Якщо такий не входить в список дозволених в настройках, то інформація просто відкидається. Те ж саме відбувається при прийомі пакету з навмисно або випадково пошкодженим заголовком.
Згідно налаштувань вибираються алгоритми шифрування і ЕЦП, а також необхідні криптографічні ключі.
Пакет розшифровується, потім перевіряється його цілісність. Якщо ЕЦП невірна, то він викидається.
І, нарешті, пакет в його початковому вигляді відправляється справжньому адресату по внутрішній мережі.
Всі операції виконуються автоматично. Складною процедурою в технології VPN є тільки налаштування VPN-агентів, яка, втім, цілком під силу досвідченому користувачеві.
VPN-агент може знаходитися безпосередньо на ПК, що захищається, така технологія корисна для мобільних користувачів, що підключаються до Інтернету. У цьому випадку він забезпечить обмін даними тільки з тим комп'ютером, на якому встановлений.
Можливе поєднання VPN-агента з маршрутизатором IP-пакетів (у цьому випадку його називають криптографічним). До речі, провідні світові виробники останнім часом випускають маршрутизатори з вбудованою підтримкою VPN, наприклад Express VPN від Intel, який шифрує усі пакети, що проходять по алгоритму Triple DES.
Рис.2. Схема алгоритма Triple DES (3DES) (Слайд 4)
Простий варіант 3DES можна представити так:
де
, 
, 
— ключі для кожного DES-кроку,
— вхідні дані, які потрібно шифрувати.
Цей варіант відомий як в ЕЕЕ, оскільки
три DES операції є шифруванням. Існує 3
типи алгоритмів 3DES:
DES-EEE3: Шифрується три рази з трьома різними ключами (операції шифрування-шифрування-шифрування).
DES-EDE3: 3DES операції шифровка-розшифровка-шифровка з трьома різними ключами.
DES-EEE2 і DES-EDE2: як і попередні, за винятком того, що на першому і третьому кроці використовується однаковий ключ.
Найпопулярніший різновид 3DES - DES-EDE3, для нього алгоритм виглядає так:
шифровка:
розшифровка:
При виконанні алгоритму 3DES ключі можуть бути вибрані так:
, , незалежні.
, незалежні, а
3DES виконує 3 рази алгоритм DES, довжина ключа DES дорівнює 56 біта, а довжина 3DES в 3 рази більше, тобто дорівнює 168 бітів. Для DES 64-розрядний ключ ділився на 8 байтів, в кожному байті використовується тільки 7 бітів, тому насправді довжина ключа дорівнює 56 бітів, а не 64, тому довжина ключа 3DES насправді дорівнює 168, а не 192 біта.
І так, VPN-агенти створюють канали між захищеними мережами, які зазвичай називають "тунелями". І дійсно, вони "прориті" через Інтернет від однієї мережі до іншої; що циркулює всередині інформація захована від чужих очей.
Рис. 3. Схема віртуального тунелю (Слайд 5)
Тунель VPN представляє собою з'єднання, проведене через відкриту мережу, по якому передаються криптографічно захищені пакети повідомлень віртуальної мережі. Захист інформації в процесі її передачі по тунелю VPN заснована:
• на аутентифікації взаємодіючих сторін;
• криптографічному закритті (шифруванні) переданих даних;
• перевірці автентичності та цілісності доставленої інформації.
Для цих функцій характерний взаємозв'язок один з одним. При їх реалізації використовуються криптографічні методи захисту інформації. Ефективність такого захисту забезпечується за рахунок спільного використання симетричних і асиметричних криптографічних систем. Тунель VPN, що сформований пристроями VPN, має властивості захищеної виділеної лінії, яка розгортається в рамках загальнодоступної мережі, наприклад Інтернету. Пристрої VPN можуть грати у віртуальних приватних мережах роль VPN-клієнта, VPN-сервера або шлюзу безпеки VPN.
VPN-клієнт це програмний або програмно-апаратний комплекс, що виконується зазвичай на базі персонального комп'ютера. Його мережеве програмне забезпечення модифікується для виконання шифрування і аутентифікації трафіку, яким цей пристрій обмінюється з іншими VPN-клієнтами, VPN-серверами або шлюзами безпеки VPN. Зазвичай реалізація VPN-клієнта це програмне рішення, яке доповнює стандартну ОС - Windows NT/2000/XP або Unix.
VPN-сервер це програмний або програмно-апаратний комплекс, що встановлюється на комп'ютері, і виконує функції сервера. VPN-сервер забезпечує захист серверів від несанкціонованого доступу із зовнішніх мереж, а також організацію захищених з'єднань (асоціацій) з окремими комп'ютерами і з комп'ютерами із сегментів локальних мереж, захищених відповідними VPN-продуктами. VPN-сервер є функціональним аналогом продукту VPN-клієнт для серверних платформ. Він відрізняється насамперед розширеними ресурсами для підтримки множинних з'єднань з VPN-клієнтами. VPN-сервер може підтримувати захищені з'єднання з мобільними користувачами.
Шлюз безпеки VPN (security gateway) - це мережевий пристрій, що підключається до двох мереж і виконує функції шифрування і аутентифікації для численних хостів, розташованих за ним. Розміщують шлюз безпеки VPN так, щоб через нього проходив весь трафік, призначений для внутрішньої корпоративної мережі. Мережеве з'єднання шлюзу VPN прозоро для користувачів позаду шлюзу, і подається ним виділеною лінією, хоча насправді прокладається через відкриту мережу з комутацією пакетів. Адреса шлюзу безпеки VPN вказується як зовнішня адреса вхідного тунельованого пакета, а внутрішня адреса пакета є адресою конкретного хоста позаду шлюзу. Шлюз безпеки VPN може бути реалізований у вигляді окремого програмного рішення, окремого апаратного пристрою, а також у вигляді маршрутизатора або між мережевих екранів, доповнених функціями VPN.
Відкрите зовнішнє середовище передачі інформації включає як канали швидкісної передачі даних, у якості яких використовується мережа Інтернет, так і більш повільні загальнодоступні канали зв'язку, в якості яких зазвичай застосовуються канали телефонної мережі. Ефективність віртуальної приватної мережі VPN визначається ступенем захищеності інформації, що циркулює по відкритих каналах зв'язку. Для безпечної передачі даних через відкриті мережі широко використовують інкапсуляцію і тунелювання. За допомогою методики тунелювання пакети даних передаються через загальнодоступну мережу, як за звичайним двоточковим з'єднанням. Між кожною парою «відправник - одержувач даних» встановлюється своєрідний тунель - логічне з'єднання, що дозволяє інкапсулювати дані одного протоколу в пакети іншого.
Сутність тунелювания полягає в тому, щоб інкапсулювати, тобто «упакувати», передану порцію даних, разом зі службовими полями, у новий «конверт». При цьому пакет протоколу нижчого рівня поміщається в поле даних пакета протоколу більш високого або такого ж рівня. Слід зазначити, що тунелювання саме по собі не захищає дані від НСД або спотворення, але завдяки тунелюванню з'являється можливість повного криптографічного захисту вихідних пакетів, що інкапсулюються. Щоб забезпечити конфіденційність переданих даних, відправник шифрує вихідні пакети, упаковує їх у зовнішній пакет з новим IP-заголовком і відправляє по транзитній мережі (рис. 4). (Слайд 6)
Рис.4. Зовнішній пакет з новим IP-заголовком
Інформація AH
алгоритм аутентифікації, що використовується, необхідні ключі, час життя ключів та інші параметри.
Інформація ESP
алгоритми шифрування і аутентифікації, необхідні ключі, параметри ініціалізації (наприклад, IV), час життя ключів та інші параметри.
Особливість технології тунелювання полягає в тому, що вона дозволяє зашифровувати вихідний пакет цілком, разом із заголовком, а не тільки його поле даних. Це важливо, оскільки деякі поля заголовка містять інформацію, яка може бути використана зловмисником. Зокрема, із заголовка вихідного пакету можна отримати відомості про внутрішню структуру мережі - дані про кількість підмереж і вузлів і їх IP-адреси. Зловмисник може використовувати таку інформацію при організації атак на корпоративну мережу. Вихідний пакет із зашифрованим заголовком не може бути використаний для організації транспортування по мережі. Тому для захисту вихідного пакета застосовують його інкапсуляцію і тунелювання. Вихідний пакет зашифровують повністю, разом із заголовком, і потім цей зашифрований пакет поміщають в інший зовнішній пакет з відкритим заголовком. Для транспортування даних по відкритій мережі використовуються відкриті поля заголовка зовнішнього пакета.
Після прибуття в кінцеву точку захищеного каналу із зовнішнього пакета витягують внутрішній вихідний пакет, розшифровують його і використовують його відновлений заголовок для подальшої передачі по внутрішній мережі (рис.5).
Рис.5. Схема віртуального захищеного тунелю
Тунелювання може бути використане для захисту не тільки конфіденційності вмісту пакету, але і його цілісності та автентичності, при цьому електронний цифровий підпис можна поширити на всі поля пакета.
На додаток до приховування мережевої структури між двома точками, тунелювання може також запобігти можливому конфлікту адрес між двома локальними мережами. При створенні локальної мережі, не пов'язаної з Internet, компанія може використовувати будь-які IP-адреси для своїх мережевих пристроїв і комп'ютерів. При об'єднанні раніше ізольованих мереж ці адреси можуть почати конфліктувати один з одним та із адресами, які вже використовуються в Internet. Інкапсуляція пакетів вирішує цю проблему, оскільки дозволяє приховати початкові адреси і додати нові, унікальні в просторі IP-адрес Internet, які потім використовуються для пересилки даних по поділюваним мереж. Сюди ж входить завдання налаштування IP-адреси та інших параметрів для мобільних користувачів, що підключаються до локальної мережі.
Механізм тунелювання широко застосовується в різних протоколах формування захищеного каналу. Зазвичай тунель створюється тільки на ділянці відкритої мережі, де існує загроза порушення конфіденційності і цілісності даних, наприклад між точкою входу у відкритий Інтернет і точкою входу в корпоративну мережу. При цьому для зовнішніх пакетів використовуються адреси прикордонних маршрутизаторів, встановлених в цих двох точках, а внутрішні адреси кінцевих вузлів містяться у внутрішніх вихідних пакетах в захищеному вигляді. Слід зазначити, що сам механізм тунелювання не залежить від того, з якою метою застосовується тунелювання. Тунелювання може застосовуватися не тільки для забезпечення конфіденційності та цілісності всієї переданої порції даних, але і для організації переходу між мережами з різними протоколами (наприклад, IPv4 та IPv6). Тунелювання дозволяє організувати передачу пакетів одного протоколу в логічній середовищі, що використовує інший протокол. В результаті з'являється можливість вирішити проблеми взаємодії декількох різнотипних мереж, починаючи з необхідності забезпечення цілісності та конфіденційності даних і закінчуючи подоланням невідповідностей зовнішніх протоколів або схем адресації.
Реалізацію механізму тунелювання можна представити як результат роботи протоколів трьох типів: протоколу-«пасажира», що несе протокол і протоколу тунелювання. Наприклад, в якості протоколу-«пасажира» може бути використаний транспортний протокол IPX, що переносить дані в локальних мережах філій одного підприємства. Найбільш поширеним варіантом несучого протоколу є протокол IP мережі Інтернет. В якості протоколів тунелювання можуть бути використані протоколи канального рівня РРТР і L2TP, а також протокол мережного рівня IPSec. Завдяки тунелювання стає можливим приховування інфраструктури Internet від VPN-додатків.
Тунелі VPN можуть створюватися для різних типів кінцевих користувачів - або це локальна мережа LAN (local area network) зі шлюзом безпеки, або окремі комп'ютери віддалених і мобільних користувачів. Для створення віртуальної приватної мережі великого підприємства потрбні VPN-шлюзи, VPN-сервери і VPN-клієнти.
VPN-шлюзи доцільно використовувати для захисту локальних мереж підприємства, VPN-сервери і VPN-клієнти використовують для організації захищених з'єднань віддалених і мобільних користувачів з корпоративною мережею через Інтернет.
Варіанти побудови віртуальних захищених каналів
Безпеку інформаційного обміну необхідно забезпечувати як у випадку об'єднання локальних мереж, так і у випадку доступу до локальних мереж віддалених або мобільних користувачів. При проектуванні VPN зазвичай розглядаються дві основні схеми:
1) віртуальний захищений канал між локальними мережами (канал ЛОМ-ЛОМ);
2) віртуальний захищений канал між вузлом і локальною мережею (канал клієнт-ЛОМ) (рис. 6).
Рис.6. Віртуальні захищені канали типу ЛОМ-ЛОМ і клієнт-ЛОМ (Слайд 7)
Схема 1 з'єднання дозволяє замінити дорогі виділені лінії між окремими офісами і створити постійно доступні захищені канали між ними. У цьому випадку шлюз безпеки служить інтерфейсом між тунелем і локальною мережею, при цьому користувачі локальних мереж використовують тунель для спілкування один з одним. Багато компаній використовують даний вид VPN в якості заміни або доповнення до наявних з'єднанням глобальної мережі, таким як frame relay (протокол канального рівня мережевої моделі OSI. Служба комутації пакетів Frame Relay в даний час широко поширена у всьому світі. Максимальна швидкість, що допускається протоколом FR - 34,368 мегабіт/сек (канали E3). Комутація: точка-точка).
Схема 2 захищеного каналу VPN призначена для встановлення з'єднань з віддаленими або мобільними користувачами. Створення тунелю ініціює клієнт (віддалений користувач). Для зв'язку зі шлюзом, який захищає віддалену мережу, він запускає на своєму комп'ютері спеціальне клієнтське ПЗ.
Цей вид VPN замінює собою комутовані з'єднання і може використовуватися разом з традиційними методами віддаленого доступу.
Існують варіанти схем віртуальних захищених каналів. В принципі будь-який з двох вузлів віртуальної корпоративної мережі, між якими формується віртуальний захищений канал, може належати до кінцевої або проміжної точки потоку повідомлень, що захищаються.
З точки зору забезпечення інформаційної безпеки кращим є варіант, при якому кінцеві точки захищеного тунелю збігаються з кінцевими точками потоку повідомлень, що захищаються. У цьому випадку забезпечується захищеність каналу вздовж усього шляху проходження пакетів повідомлень. Однак такий варіант веде до децентралізації управління і надмірності ресурсних витрат. У цьому випадку необхідна установка засобів створення VPN на кожному клієнтському комп'ютері локальної мережі. Це ускладнює централізоване управління доступом до комп'ютерних ресурсів та не завжди виправдано економічно. Окреме адміністрування кожного клієнтського комп'ютера з метою конфігурування в ньому засобів захисту є досить трудомісткою процедурою у великій мережі.
Якщо всередині локальної мережі, що входить у віртуальну мережу, не потрібний захист трафіку, тоді в якості кінцевої точки захищеного тунелю можна вибрати між мережевий екран або прикордонний маршрутизатор цієї локальної мережі. Якщо ж потік повідомлень всередині локальної мережі має бути захищеним, тоді в якості кінцевої точки тунелю в цій мережі має бути комп'ютер, який бере участь у захищеній взаємодії. При доступі до локальної мережі віддаленого користувача комп'ютер цього користувача має бути кінцевою точкою віртуального захищеного каналу.
Досить поширеним є варіант, коли захищений тунель прокладається тільки всередині відкритої мережі з комутацією пакетів, наприклад всередині Інтернету. Цей варіант відрізняється зручністю застосування, але має порівняно низьку безпекою. В якості кінцевих точок такого тунелю звичайно виступають провайдери Інтернету або прикордонні маршрутизатори (міжмережеві екрани) локальної мережі.
При об'єднанні локальних мереж тунель формується тільки між прикордонними провайдерами Інтернету, або маршрутизаторами (міжмережевим екранами) локальної мережі. При віддаленому доступі до локальної мережі тунель створюється між сервером віддаленого доступу провайдера Інтернету, а також прикордонним провайдером Інтернету або маршрутизатором (міжмережевим екраном) локальної мережі. Побудовані за цим варіантом віртуальні корпоративні мережі мають гарну масштабованість і керованістю. Сформовані захищені тунелі повністю прозорі для клієнтських комп'ютерів і серверів локальної мережі, що входить в таку віртуальну мережу. ПЗ цих вузлів залишається без змін. Однак даний варіант характеризується порівняно низькою безпекою інформаційної взаємодії, оскільки частково трафік проходить по відкритих каналах зв'язку в незахищеному вигляді. Якщо створення та експлуатацію такої VPN бере на себе провайдер ISP (організація, що надає доступ в інтернет кінцевим користувачам - організаціям і приватним особам.), тоді вся віртуальна приватна мережа може бути побудована на його шлюзах прозоро для локальних мереж і віддалених користувачів підприємства. Але в цьому випадку виникають проблеми довіри до провайдера і постійної оплати його послуг.
Захищений тунель створюється компонентами віртуальної мережі, що функціонують на вузлах, між якими формується тунель. Ці компоненти прийнято називати ініціатором тунелю і термінатором тунелю.
Ініціатор тунелю інкапсулює вихідний пакет в новий пакет, що містить новий заголовок з інформацією про відправника та одержувача. Інкапсульовані пакети можуть належати до протоколу будь-якого типу, включаючи пакети протоколів, що немаршрутизовані, наприклад NetBEUI. Всі передані по тунелю пакети є пакетами IP. Маршрут між ініціатором і термінатором тунелю визначає звичайна маршрутизована мережа IP, яка може бути мережею, відмінної від Інтернету.
Ініціювати і розривати тунель можуть різні мережеві пристрої і ПЗ. Наприклад, тунель може бути ініційований ноутбуком мобільного користувача, обладнаним модемом і відповідним ПЗ для встановлення з'єднань віддаленого доступу. В якості ініціатора може виступити також маршрутизатор локальної мережі, наділений відповідними функціональними можливостями. Тунель зазвичай завершується комутатором мережі або шлюзом провайдера послуг.
Термінатор тунелю виконує процес, зворотний інкапсуляції. Термінатор видаляє нові заголовки і направляє кожний вихідний пакет адресатові в локальній мережі.
Конфіденційність інкапсульованих пакетів забезпечується шляхом їх шифрування, а цілісність і справжність - шляхом формування електронного цифрового підпису. Існує безліч методів і алгоритмів криптографічного захисту даних, тому необхідно, щоб ініціатор і термінатор тунелю своєчасно погодили один з одним і використовували одні й ті ж методи і алгоритми захисту. Для забезпечення можливості розшифровки даних і перевірки цифрового підпису при прийомі ініціатор і термінатор тунелю повинні також підтримувати функції безпечного обміну ключами. Крім того, кінцеві сторони інформаційної взаємодії повинні пройти аутентифікацію, щоб гарантувати створення тунелів VPN тільки між уповноваженими користувачами.
Існуюча мережева інфраструктура корпорації може бути підготовлена до використання VPN як за допомогою програмного, так і за допомогою апаратного забезпечення.