- •Часть 3. Технологии защиты информационных ресурсов
- •Глава 11. Введение в защищенные виртуальные частные сети
- •11.1. Концепция построения защищенных виртуальных частных сетей vpn.
- •11.1.1. Функции и компоненты сети vpn
- •11.1.2. Сервисы безопасности сети vpn
- •Аутентификация абонентов
- •Обеспечение конфиденциальности, целостности и аутентичности передаваемой информации
- •11.2. Класcификация виртуальных частных сетей vpn
- •11.2.1. Классификация vpn по рабочему уровню модели osi.
- •Vpn канального уровня.
- •Vpn сетевого уровня
- •Vpn сеансового уровня
- •11.2.2. Классификация vpn по архитектуре технического решения
- •11.2.3. Классификация vpn по способу технической реализации
- •Vpn на основе сетевой ос.
- •Vpn на основе маршрутизаторов
- •Vpn на основе межсетевых экранов.
- •Vpn на основе программного обеспечения
- •Vpn на основе специализированных аппаратных средств со встроенными шифропроцессорами.
- •11.3. Vpn-решения для построения защищенных корпоративных сетей
- •11.3.1. Основные варианты vpn-решений
- •11.3.2. Vpn на базе сетевых операционных систем
- •11.3.3. Vpn на базе маршрутизаторов
- •11.3.4. Vpn на базе межсетевых экранов
- •11.3.4. Vpn и требования законодательства
- •11.3.5. Vpn-продукты российских производителей
- •Криптографический комплекс шип
- •Vpn продукты застава
- •11.3.6. Что выбрать?
- •11.4. Технические и экономические преимущества внедрения технологий vpn в корпоративные сети
11.3.2. Vpn на базе сетевых операционных систем
Построение VPN на базе сетевой ОС является достаточно удобным и, главное, дешевым средством создания инфраструктуры защищенных виртуальных каналов. Сегодня в России наибольшее распространение среди сетевых операционных систем (ОС), позволяющих стоить VPN штатными средствами самой ОС, получила Windows NT. Данное решение оказалось популярным прежде всего благодаря общей распространенности данной ОС.
Для построения виртуальных защищенных туннелей в IP-сетях Windows NT использует разработанный фирмой Microsoft протокол РРТР (Point-to-Point Tunneling Protocol), который является расширением хорошо известного протокола РРР (Point-to-Point Protocol). Туннелирование трафика происходит за счет инкапсуляции и последующего шифрования (криптоалгоритм RSA RC4 с ключом 40 бит) стандартных РРР-фреймов в IP-датаграммы, которые и передаются по открытым IP сетям. С точки зрения обеспечения безопасности соединения, РРТР протокол унаследовал практически все качества РРР протокола.
По мнению специалистов данное решение является оптимальным для построения VPN внутри локальных сетей (localnet-VPN) или домена Windows NT, а также для построения intranet- и externet-VPN для небольших компаний с целью защиты некритичной для их бизнеса информации. В то же время крупный бизнес вряд ли доверит свои секреты этому решению, поскольку многочисленные испытания VPN, построенных на базе Windows NT показали, что протокол PPTP имеет достаточно большое количество уязвимостей с точки зрения безопасности:
уязвимость, связанная с реализацией и применением функции хеширования паролей и протокола аутентификации CHAP;
уязвимость протокола шифрования в одноранговых сетях (MPPE);
открытость для атаки на этапе конфигурации соединения и атак типа «отказ в обслуживании»;
недостаточная проработанность вопросов обеспечения безопасности в данной ОС и др.
Немаловажным также является тот факт, что из-за широкой распространенности Windows NT поиском дополнительных уязвимостей этой ОС постоянно заняты тысячи компьютерных специалистов, которые хотя и делают это с различными целями, но информацию о результатах их работы почти всегда можно найти на многочисленных хакерских сайтах в Интернете.
Понимая недостаточную защищенность РРТР протокола, в своей новой ОС - Windows 2000 - компания Microsoft сделала ставку на реализацию более современного протокола IPSec (см. далее). Однако, первые независимые тесты выявили серьезные проблемы с безопасностью и этой ОС.
11.3.3. Vpn на базе маршрутизаторов
Сегодня практически все ведущие производители маршрутизаторов и других сетевых устройств заявляют о поддержке в своих продуктах различных VPN протоколов. В России безусловным лидером на этом рынке является компания Cisco Systems, поэтому построение корпоративных VPN целесообразнее всего продемонстрировать на решениях именно этой компании.
Построение VPN каналов на базе маршрутизаторов компании Cisco осуществляется средствами самой ОС, начиная с версии Cisco IOS 12.х. Если на пограничные маршрутизаторы Cisco других отделений компании установлена данная ОС, то имеется возможность сформировать корпоративную VPN, состоящую из совокупности виртуальных защищенных туннелей типа «точка-точка» от одного мартшутизатора к другому (рис.11.5). Здесь и далее в качестве иллюстраций используются фирменные схемы построения VPN, полученные с веб-сайтов производителей. Как правило, для шифрования данных в канале «по умолчанию» используется американский криптоалгоритм DES (Data Encryption Standard) с длиной ключа 56 бит.
Рис.11.5. Типовая схема построения корпоративной VPN на базе маршрутизаторов Cisco.
Сравнительно недавно в прайс-листах российских дилеров появился новый продукт компании – Cisco VPN client, который позволяет стоить защищенные соединения “точка-точка” между рабочими станциями (в том числе и удаленными) и маршрутизаторами Cisco, что делает возможным построение internet- и localnet-VPN.
Для организации VPN туннеля маршрутизаторы компании Cisco в настоящее время используют протокол канального уровня L2TP (созданный на базе фирменных протоколов L2F (Cisco Systems) и PPTP (Microsoft Co.)) и протокол сетевого уровня IPSec, разработанный ассоциацией IETF (Internet Engineers Task Force ). Не вдаваясь в серьезный анализ упомянутых протоколов, отметим лишь наиболее интересные стороны их практического использования.
Протокол L2TP обеспечивает инкапсулирование протоколов сетевого уровня (IP, IPX, NetBEUI и др.) в пакеты канального уровня (РРР), которые и передаются по сетям, поддерживающим доставку дейтаграмм в каналах «точка-точка». Хотя этот протокол и претендует на решение проблем безопасности в VPN, он никак не специфицирует процедуры шифрования, аутентификации (процедура аутентификации происходит один раз в начале сессии) и проверки целостности каждого передаваемого по открытой сети пакета, а также процедуры управления криптографическими ключами. Основным преимуществом L2TP является его независимость от транспортного уровня, что позволяет использовать его в гетерогенных сетях. Достаточно важным качеством L2TP является его поддержка в ОС Windows 2000, что в принципе позволяет строить комбинированные VPN на базе продуктов Microsoft и Cisco. Однако, «канальная природа» L2TP протокола является причиной его существенного недостатка: для гарантированной передачи защищенного пакета через составные сети все промежуточные маршрутизаторы должны поддерживать этот протокол, что, очевидно, достаточно трудно гарантировать. Видимо по этой причине компания Cisco сегодня обратила более пристальный взгляд на продвижение более современного VPN протокола – IPSec.
На сегодня IPSec является одним из самых проработанных и совершенных Интернет-протоколов в плане безопасности. В частности, IPSec обеспечивает аутентификацию, проверку целостности и шифрование сообщений на уровне каждого пакета (для управления криптографическими ключами IPSec использует протокол IKE, хорошо зарекомендовавший себя в своей более ранней версии Oakley). Кроме того, работа протокола на сетевом уровне является одним из стратегических преимуществ IPSec, поскольку VPN на его базе работают полностью прозрачно как для всех без исключения приложений и сетевых сервисов, так и для сетей передачи данных канального уровня. Также IPSec позволяет маршрутизировать зашифрованные пакеты сетям без дополнительной настройки промежуточных маршрутизаторов, поскольку сохраняет стандартный IP-заголовок, принятый в IPv4. А тот факт, что IPSec включен в качестве неотъемлемой части в будущий Интернет-протокол IPv6, делает его еще более привлекательным для организации корпоративных VPN.
К сожалению, IPSec присущи и некоторые недостатки: поддержка только стека TCP/IP и довольно большой объем служебной информации, который может вызвать существенное снижение скорости обмена данными на низкоскоростных каналах связи, к которым пока, к сожалению, в России можно смело отнести большинство из существующих каналов.
Возвращаясь к построению корпоративных VPN на базе маршрутизаторов, отметим, что основной задачей этих устройств является маршрутизация трафика, а значит криптообработка пакетов является некоторой дополнительной функцией, требующей, очевидно, дополнительных вычислительных ресурсов. Другими словами, если ваш маршрутизатор имеет достаточно большой запас по производительности, то ему вполне можно «поручить» и формирование VPN. Однако, если маршрутизатор работает «на пределе», он вряд ли справится с этой задачей не нарушая общей функциональности своей работы.
В случае построение VPN на базе маршрутизаторов необходимо помнить еще и о том, что сам по себе такой подход не решает проблему обеспечения общей информационной безопасности компании, поскольку все внутренние информационные ресурсы все равно остаются открытыми для атак извне. Для защиты этих ресурсов, как правило, применяются межсетевые экраны (МЭ), которые располагаются за пограничными маршрутизаторами, а значит на канале от маршрутизатора к МЭ и далее вся конфиденциальная информация идет в «открытом» виде. Это, в частности, означает, что маршрутизатор необходимо ставить как можно «ближе» к МЭ, желательно в общем охраняемом помещении.
Одним из существенных недостатков построения VPN на базе маршрутизаторов является то, что в этом случае решение единой задачи защиты информационных ресурсов компании от атак извне распределяется по нескольким функционально независимым устройствам (например, маршрутизатор и МЭ). Такой подход может привести к серьезным организационным и техническим проблемам в случаях, например, определения ответственности за нарушение информационной безопасности сети.