- •Часть 3. Технологии защиты информационных ресурсов
- •Глава 11. Введение в защищенные виртуальные частные сети
- •11.1. Концепция построения защищенных виртуальных частных сетей vpn.
- •11.1.1. Функции и компоненты сети vpn
- •11.1.2. Сервисы безопасности сети vpn
- •Аутентификация абонентов
- •Обеспечение конфиденциальности, целостности и аутентичности передаваемой информации
- •11.2. Класcификация виртуальных частных сетей vpn
- •11.2.1. Классификация vpn по рабочему уровню модели osi.
- •Vpn канального уровня.
- •Vpn сетевого уровня
- •Vpn сеансового уровня
- •11.2.2. Классификация vpn по архитектуре технического решения
- •11.2.3. Классификация vpn по способу технической реализации
- •Vpn на основе сетевой ос.
- •Vpn на основе маршрутизаторов
- •Vpn на основе межсетевых экранов.
- •Vpn на основе программного обеспечения
- •Vpn на основе специализированных аппаратных средств со встроенными шифропроцессорами.
- •11.3. Vpn-решения для построения защищенных корпоративных сетей
- •11.3.1. Основные варианты vpn-решений
- •11.3.2. Vpn на базе сетевых операционных систем
- •11.3.3. Vpn на базе маршрутизаторов
- •11.3.4. Vpn на базе межсетевых экранов
- •11.3.4. Vpn и требования законодательства
- •11.3.5. Vpn-продукты российских производителей
- •Криптографический комплекс шип
- •Vpn продукты застава
- •11.3.6. Что выбрать?
- •11.4. Технические и экономические преимущества внедрения технологий vpn в корпоративные сети
11.1.2. Сервисы безопасности сети vpn
Важное значение при построении защищенной виртуальной сети VPN имеет задача обеспечения информационной безопасности. Согласно общепринятому определению, под безопасностью данных понимают их конфиденциальность, целостность и доступность. Применительно к задачам VPN критерии безопасности могут быть определены следующим образом.
Конфиденциальность - гарантия того, что в процессе передачи данных по защищенным каналам VPN эти данные могут быть известны только легальным отправителю и получателю.
Целостность - гарантия сохранности передаваемых данных во время прохождения по защищенному каналу VPN. Любые попытки изменения, модифицикации, разрушения или создания новых данных будут обнаружены и станут известны легальным пользователям.
Доступность - гарантия того, что средства, выполняющие функции VPN, постоянно доступны легальным пользователям. Доступность средств VPN является комплексным показателем, который зависит от ряда факторов: надежности реализации, качества обслуживания и степени защищенности самого средства от внешних атак.
Конфиденциальность обеспечивается с помощью различных методов и алгоритмов симметричного и асимметричного шифрования. Целостность передаваемых данных обычно достигается с помощью различных вариантов технологии электронной подписи, основанных на симметричных и асимметричных методах шифрования и односторонних функциях.
Аутентификация осуществляется на основе многоразовых и одноразовых паролей, цифровых сертификатов, смарт-карт, протоколов строгой аутентификации, и обеспечивает установление VPN-соединения только между легальными пользователями и предотвращает доступ к средствам VPN нежелательных лиц.
Авторизация подразумевает предоставление абонентам, уже доказавшим свою легальность (аутентичность), разных видов обслуживания, в частности, разных способов шифрования их трафика. Авторизация и управление доступом часто реализуются одними и теми же средствами.
Для обеспечения безопасности передаваемых данных в виртуальных частных сетях должны быть решены следующие основные задачи сетевой безопасности:
взаимная аутентификация абонентов при установлении соединения;
обеспечение конфиденциальности, целостности и аутентичности передаваемой информации;
авторизация и управление доступом.
Аутентификация абонентов
Процедура аутентификации (установление подлинности) разрешает вход для легальных пользователей и предотвращает доступ к сети нежелательных лиц. Аутентификацию следует отличать от идентификации. Идентификация заключается в сообщении пользователем системе своего идентификатора, в то время как аутентификация - это процедура доказательства пользователем того, что он именно тот, кем он себя объявляет.
Современные средства идентификации и аутентификации должны удовлетворять двум условиям:
поддерживать принцип единого входа в сеть;
быть устойчивыми к сетевым угрозам (пассивному и активному прослушиванию сети).
Суть принципа единого входа в сеть состоит в том, что пользователь осуществляет один логический вход в сеть и после успешного прохождения аутентификации получает некоторый набор разрешений по доступу к сетевым ресурсам на все время работы в сети. Если в корпоративной сети много информационных сервисов, допускающих независимое обращение, то многократная идентификация и аутентификация становится слишком обременительной. Единый вход в сеть - это, в первую очередь, требование удобства для пользователей. К сожалению, единый вход в сеть пока не стал общей нормой.
Второе требование можно реализовать, используя криптографические методы. В настоящее время общепринятыми являются подходы, основанные на службе каталогов с сертификатами в стандарте X.509 или системе Kerberos.
Процедуре аутентификации могут подвергаться не только пользователи, но и различные приложения, устройства и данные. Например, пользователь, обращающийся с запросом к корпоративному серверу и доказывающий ему свою подлинность, должен также сам убедиться, что ведет диалог именно с требуемым сервером. Иначе говоря, клиент и сервер должны пройти процедуру взаимной аутентификации.
Методы, алгоритмы и протоколы аутентификации подробно разбираются в главе 9.