Недостатки шлюзов прикладного уровня

более низкая производительность по сравнению с фильтрую­щими маршрутизаторами; в частности, при использовании кли­ент-серверных протоколов, таких как TELNET , требуется двух­шаговая процедура для входных и выходных соединений; Более высокая стоимость по сравнению с фильтрующим маршрутизатором. Помимо TELNET и FTP шлюзы прикладного уровня обычно используются для электронной почты, Х Windows и некоторых дру­гих служб.

29.Защищенные виртуальные сети

VPN (англ. Virtual Private Network — виртуальная частная сеть) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).

30. Построение защищенных виртуальных сетей

 

Общие сведения

Безопасность информационного взаимодействия локальных сетей и отдельных компьютеров через открытые сети, например, через сеть Internet, требует качественного решения двух базовых задач (рис. 3.1):

● защиты подключенных к публичным каналам связи локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды;

● защиты информации в процессе передачи по открытым каналам связь.

Решение первой задачи основано на использовании рассмотренных выше  межсетевых экранов (брандмауэров), поддерживающих безопасность информационного взаимодействия путем фильтрации двустороннего потока сообщений, а также выполнения функций посредничества при обмене информацией. Для защиты локальных сетей брандмауэр располагают на стыке между локальной и открытой сетью. Для защиты отдельного удаленного компьютера, подключенного к открытой сети, программное обеспечение межсетевого экрана устанавливается на этом же компьютере, а сам межсетевой экран в этом случае называют персональным.

Зашита информации в процессе передачи по открытым каналам связи основана на выполнении следующих функций:

● аутентификации взаимодействующих сторон;

● криптографическом закрытии передаваемых данных;

● подтверждении подлинности и целостности доставленной информации;

● защите от повтора, задержки и удаления сообщений;

● защите от отрицания фактов отправления и приема сообщений.

Перечисленные функции во многом связаны друг с другом, и их реализация основана на криптографической защите передаваемых данных. Высокая эффективность такой защиты обеспечивается за счет совместного использования симметричных и асимметричных криптографических систем.

Объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную сеть, обеспечивающую безопасность циркулирующих данных, называют защищенной виртуальной сетью (Virtual Private Network — VPN). Виртуальная сеть формируется на основе каналов связи открытой сети. Сам термин "виртуальная" подчеркивает, что каналы связи виртуальной сети моделируются с помощью каналов связи реальной. Открытая сеть может служить основой для одновременного сосуществования множества виртуальных сетей, количество которых определяется пропускной способностью открытых каналов связи.

Открытую внешнюю среду передачи информации можно разделить на среду

скоростной передачи данных, в качестве которой может использоваться сеть Internet, а также более медленные общедоступные каналы связи, в качестве которых чаще всего применяются каналы телефонной сети. Наиболее эффективным способом объединения локальных сетей и удаленных компьютеров является объединение на основе глобальной сети Internet (рис. 3.2). В случае отсутствия непосредственного подключения доступ к Internet может осуществляться и через телефонную сеть. Организация виртуальных сетей на основе Internet обладает рядом преимуществ:

• гарантирует высокое качество информационного обмена, так как магистральные каналы и маршрутизаторы Internet имеют большую пропускную способность, и характеризуются надежностью передачи информации;

•  обеспечивает масштабируемую поддержку удаленного доступа к ресурсам локальной сети, позволяя мобильным пользователям связываться по местным телефонным линиям с поставщиками услуг Internet и через них входить в свою корпоративную сеть;

•  для организации удаленного доступа пользователей к локальной сети исключается необходимость в наличии модемных пулов, а трафиком дистанционного доступа можно управлять точно так же, как любым другим трафиком Internet;

•  сокращаются расходы на информационный обмен через открытую внешнюю среду:

• использование Internet для объединения локальных сетей значительно дешевле аренды каналов связи телефонных и других глобальных сетей, например, сетей frame relay, не говоря уже о стоимости самостоятельного построения коммуникаций;

• при удаленном доступе вместо того, чтобы устанавливать дорогостоящие

непосредственные соединения с локальной сетью по междугородной или международной телефонной связи, удаленные пользователи могут подключаться к Internet и, далее, связываться с сетью своей организации через эту глобальную сеть.

Виртуальную сеть, использующую в качестве внешней среды передачи информации глобальную сеть Internet, часто называют еще сетью Extranet.

Эффективность использования виртуальных сетей во многом определяешься степенью защищенности информации, циркулирующей по открытым каналам связи. Безопасность информационного обмена необходимо обеспечить как в случае объединения локальных сетей, так и в случае доступа к локальным сетям удаленных пользователей (рис. 3.2). Защита информации в процессе ее передачи по открытым каналам основана на построении защищенных виртуальных каналов связи, называемых криптозащищенными туннелями или туннелями VPN. Каждый такой туннель представляет собой соединение, проведенное через открытую сеть, по которому передаются криптографический защищенные пакеты сообщений виртуальной сети.

Для защиты от повтора, удаления и задержек пакетов сообщений, передаваемых по туннелю VPN, используются встроенные возможности стека протоколов ТСР/IP. Для защиты от повтора, удаления и задержек на уровне отдельных сообщений в состав каждого сообщения подсистемой защиты прикладного уровня должна добавляться дополнительная информация. В "качестве такой дополнительной информации могут использоваться номера, :случайные числа, а также отметки времени.

С целью защиты от отказа получения сообщений подсистема защиты прикладного уровня должна предусматривать при приеме каждого сообщения передачу отправителю уведомления о получении сообщения. Такое уведомление должно криптографический подписываться получателем сообщения.. Защита от отказа отправления сообщения, т. е. защита от непризнания цифровой подписи может быть обеспечена только правовыми и организационными мерами по приданию цифровой подписи юридической силы. Чтобы предотвратить отказы от открытых ключей, а соответственно и отказы от цифровой подписи обмен открытыми ключами должен подкрепляться юридической процедурой.

Способы создания защищенных виртуальных каналов

Любой из двух узлов виртуальной сети, между которыми формируется защищенный туннель, может принадлежать конечной или промежуточной точке защищаемого потока сообщений. Соответственно возможны различные способы образования защищенного виртуального канала (рис. 3.3).

Вариант, когда конечные точки защищенного туннеля совпадают с конечными точками защищаемого потока сообщений, является с точки зрения безопасности лучшим. В этом случае обеспечивается полная защищенность канала вдоль всего пути следования пакетов сообщений. Однако такой вариант ведет к децентрализации управления и избыточности ресурсных затрат. Требуется установка средств создания защищенных туннелей на каждый клиентский компьютер локальной сети, что усложняет централизованное управление доступом к компьютерным ресурсам и экономически не всегда оправдано. В большой сети отдельное администрирование каждого клиентского компьютера с целью конфигурирования в нем средств защиты является достаточно трудоемкой процедурой.

 

 

Поэтому, если отсутствует необходимость защиты трафика внутри локальной сети, входящей в виртуальную сеть, то в качестве конечной точки защищенного туннеля целесообразно выбрать брандмауэр или пограничный маршрутизатор этой локальной сети. В случае же, когда внутри локальной сети поток сообщений также должен быть защищен, то в качестве конечной точки туннеля в этой сети должен выступать компьютер, представляющий одну из сторон защищенного взаимодействия. При доступе к локальной сети удаленного пользователя компьютер этого пользователя также должен быть конечной точкой защищенного виртуального канала.

Распространен также вариант, характеризующийся более низкой безопасностью, но более высоким удобством применения. Согласно данному варианту рабочие станции и серверы локальной сети, а также удаленные компьютеры не участвуют в создании защищенного туннеля, который прокладывается только внутри публичной сети с коммутацией пакетов, например, внутри Internet. В качестве конечных точек такого туннеля чаще всего выступают провайдеры Internet и/или пограничные маршрутизаторы (брандмауэры) локальной сети. При удаленном доступе к локальной сети туннель создается между сервером удаленного доступа провайдера Internet, а также пограничным провайдером Internet или маршрутизатором (брандмауэром) локальной | сети. При объединении локальных сетей туннель формироваться только между пограничными провайдерами Internet и/или маршрутизаторами (брандмауэрами) локальной сети.

Аргументацией в пользу описанного варианта создания виртуальных сетей выступает тот факт, что уязвимыми для злоумышленников в большей степени являются сети с коммутацией пакетов, такие, как Internet, а не каналы телефонной сети или выделенные каналы связи. Виртуальные сети, построенные по данному варианту, обладают хорошей масштабируемостью и управляемостью. Для клиентских компьютеров и серверов локальной сети, входящей в виртуальную сеть, защищенные туннели полностью прозрачны и программное обеспечение этих узлов остается без изменений. Однако по причине того, что часть защищаемого трафика проходит в незащищенном виде по публичным каналам связи, данный вариант существенно снижает безопасность информационного взаимодействия. Кроме того, большая часть работы по созданию защищенных туннелей ложится на провайдеров, которым необходимо доверять и платить.

Создание защищенного туннеля выполняют компоненты виртуальной сети, функционирующие на узлах, между которыми формируется туннель. Эти компоненты принято называть инициатором и терминатором туннеля. Инициатор туннеля инкапсулирует (встраивает) пакеты в новый пакет, сoдержащий наряду с исходными данными новый заголовок с информацией об отправителе и получателе. Хотя все передаваемые по туннелю пакеты являются пакетами IP, инкапсулируемые пакеты могут принадлежать к протоколу любого типа, включая пакеты немаршрутизируемых протоколов, таких как NetBEUI. Маршрут между инициатором и терминатором туннеля определяет обычная маршрутизируемая сеть IP, которая может быть и ceтью, отличной от Internet. Терминатор туннеля выполняет процесс, обратный инкапсуляции — он удаляет новые заголовки и направляет каждый исходный пакет в локальный стек протоколов или адресату в локальной сети.

Сама по себе инкапсуляция никак не влияет на защищенность пакетов сообщений, передаваемых по туннелю VPN. Но благодаря инкапсуляции появляется возможность полной криптографической защиты инкапсулируемых пакетов. Конфиденциальность инкапсулируемых пакетов обеспечивается путем их криптографического закрытия, т. е. зашифровывания, а целостность и подлинность — путем формирования цифровой подписи. Поскольку существует большое множество методов криптозащиты данных, очень важно, чтобы инициатор и терминатор туннеля использовали одни и те же методы и могли согласовывать друг с другом эту информацию. Кроме того, для возможности расшифровывания данных и проверки цифровой подписи при приеме инициатор и терминатор туннеля должны поддерживать функции безопасного обмена ключами. Чтобы туннели VPN создавались только между уполномоченными пользователями, конечные стороны взаимодействия требуется аутентифицировать.