- •Часть 3. Технологии защиты информационных ресурсов
- •Глава 11. Введение в защищенные виртуальные частные сети
- •11.1. Концепция построения защищенных виртуальных частных сетей vpn.
- •11.1.1. Функции и компоненты сети vpn
- •11.1.2. Сервисы безопасности сети vpn
- •Аутентификация абонентов
- •Обеспечение конфиденциальности, целостности и аутентичности передаваемой информации
- •11.2. Класcификация виртуальных частных сетей vpn
- •11.2.1. Классификация vpn по рабочему уровню модели osi.
- •Vpn канального уровня.
- •Vpn сетевого уровня
- •Vpn сеансового уровня
- •11.2.2. Классификация vpn по архитектуре технического решения
- •11.2.3. Классификация vpn по способу технической реализации
- •Vpn на основе сетевой ос.
- •Vpn на основе маршрутизаторов
- •Vpn на основе межсетевых экранов.
- •Vpn на основе программного обеспечения
- •Vpn на основе специализированных аппаратных средств со встроенными шифропроцессорами.
- •11.3. Vpn-решения для построения защищенных корпоративных сетей
- •11.3.1. Основные варианты vpn-решений
- •11.3.2. Vpn на базе сетевых операционных систем
- •11.3.3. Vpn на базе маршрутизаторов
- •11.3.4. Vpn на базе межсетевых экранов
- •11.3.4. Vpn и требования законодательства
- •11.3.5. Vpn-продукты российских производителей
- •Криптографический комплекс шип
- •Vpn продукты застава
- •11.3.6. Что выбрать?
- •11.4. Технические и экономические преимущества внедрения технологий vpn в корпоративные сети
11.3.5. Vpn-продукты российских производителей
Всех российских производителей VPN-продуктов можно разделить на две группы: компании, предлагающие VPN-продукты, разработанные на базе известных мировых стандартов, и компании, предлагающие VPN-продукты на основе собственных разработок. Следует отметить, что вторая группа на сегодня выглядит более многочисленной.
Принципиальный выбор между VPN-продуктами обозначенных двух групп в конечном итоге сводится к тому, каким образом конкретный менеджер разрешает для себя известный так называемый «парадокс открытых стандартов». Речь идет о том, что невозможно однозначно ответить на вопрос: Какой из продуктов с точки зрения безопасности является более безопасным – продукт, разработанный в строгом соответствии с открытыми мировыми стандартами, или на базе закрытой внутрифирменной разработки? Парадоксальность вопроса очевидна. С одной стороны, открытый стандарт, тем более мирового значения, разрабатывается, перерабатывается и дополняется ведущими специалистами планеты и, постепенно, этот стандарт интегрирует в себя все самое лучшее и современное, что есть в данной области. С другой стороны, открытость стандарта делает его «открытым» для анализа и поиска возможных уязвимостей его конкретной реализации в конкретном продукте. Закрытый стандарт в этом плане, на первый взгляд, выглядит более выигрышно, поскольку предполагается, что потенциальный злоумышленник ничего о нем не знает (хотя это тоже вопрос для обсуждения) и, следовательно, вынужден искать уязвимости «вслепую». Но, с другой стороны, кто на самом деле доподлинно знает, сколько «дыр» содержит этот доморощенный стандарт? К тому же, закрытый стандарт никогда не обеспечит совместимости продуктов различных производителей, что в эпоху Интернет само по себе является существенным недостатком такого подхода.
Как правило, для построения корпоративной VPN более предпочтительными выглядит выбор в пользу VPN-продуктов из первой группы, то есть реализующие известные и всесторонне изученные мировые стандарты. Интерес к таким продуктам еще более повышается, если они реализуют сильные отечественные криптографические алгоритмы, такой, например, как (кстати, совершенно открытый) криптоалгоритм ГОСТ 28147-89 с длиной ключа 256 бит.
Среди отечественных производителей VPN продуктов указанной группы наибольшую известность и распространенность на сегодня имеют, пожалуй, два: криптографический комплекс «Шифратор IP-пакетов» (ШИП) производства МО ПНИЭИ (www.security.ru) и продуктовая линейка программных продуктов серии ЗАСТАВА от компании ЭЛВИС+ (www.elvis.ru). Поскольку указанные продукты являются специализированными VPN продуктами, набор предоставляемых ими функциональных возможностей в некоторый случаях даже шире, чем у рассмотренных ранее западных конкурентов, а криптостойкость используемых криптоалгоритмов, безусловно, многократно превышает соответствующие параметры поставляемых в Россию западных функциональных аналогов.
Криптографический комплекс шип
Криптографический комплекс (КК) ШИП представляет собой отдельное программно-апаратное устройство (криптошлюз), осуществляющее сквозное шифрование всего исходящего из локальной сети трафика на базе реализации протокола SKIP (Simple Key management for Internet Protocol).
Протокол SKIP был разработан компанией Sun Microsystems в 1996 году и, фактически, SKIP стал первой промышленной реализацией IPSec протокола. SKIP является достаточно проработанным в плане безопасности протоколом, что подтвердила успешная практика его применения во многих странах мира на протяжении последних пяти лет. Фактически до появления IPSec, SKIP являлся единственным VPN-протоколом сетевого уровня, позволяющим строить корпоративные VPN в полном объеме с обеспечение максимальной их функциональности. В настоящее время SKIP практически повсеместно вытесняется протоколом IPSec
В КК ШИП входят следующие продукты:
непосредственно сам программно-аппаратный комплекс «ШИП», который осуществляет защиту данных, передаваемых между узлами сети, в соответствии с ГОСТ 28147-89;
центр управления ключевой структурой (ЦУКС), который используется для периодической смены ключей шифрования (для чего используется стандартная служба DNS), аудита работы VPN и др.
для построения internet-VPN служит программный комплекс «Игла-П», который устанавливается непосредственно на рабочую станцию (ноутбук) удаленного пользователя, а также может самостоятельно выступать в качестве криптомаршрутизатора.
Схема организации корпоративной VPN на базе КК «ШИП» показана на рис.11.7. Описание работы и опыта эксплуатации КК «ШИП» можно найти во многих источниках1, поэтому остановимся лишь на практических аспектах использования этого продукта в корпоративных VPN сетях.
Рис.11.7. Типовая схема включения КК «ШИП»
КК «ШИП» использует симметричную систему шифрования, поэтому все парные связи в системы возможны только в том случае, если абонентам известны соответствующие секретные ключи друг друга. Такая организация системы, очевидно, ограничивает свободу общения абонентов VPN, поскольку требует предварительной загрузки ключей в каждый КК «ШИП» в «ручном» режиме.
КК «ШИП» в общем и целом позволяет решать возложенные на него задачи по построению VPN каналов в сетях IP, X25, frame relay. Одним из несомненных преимуществ КК «ШИП», долгое время делавшее его безусловным монополистом на рынке VPN для государственных структур, является полная проработанность вопроса сертификации этого продукта в ФАПСИ. Вместе с тем, КК «ШИП» до сих пор не имеет сертификата Гостехкомиссии.
Однако, широкому внедрению КК ШИП на практике мешают некоторые присущие ему недостатки технической природы:
КК ШИП не может транслировать незашифрованный трафик, поэтому из сегмента ЛС, защищенного этим средством невозможно построить VPN смешанного типа, а также организовать связь с открытыми хостами в Интернет. Кроме того, при этом возникают проблемы с управлением сетевым оборудованием региональной сети из ЛС, так как пограничные маршрутизаторы располагаются за КК «ШИП»;
при плановой замене ключей наблюдаются разрывы связи между отдельными КК ШИП, которые иногда продолжаются по несколько минут;
КК ШИП требует постоянной связи с ЦУКС, опрос которого происходит каждые 15 минут. В случае отказа этого канала функционирование всей VPN серьезно нарушается.