Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Скачиваний:
132
Добавлен:
16.04.2013
Размер:
335.87 Кб
Скачать

11.3.5. Vpn-продукты российских производителей

Всех российских производителей VPN-продуктов можно разделить на две группы: компании, предлагающие VPN-продукты, разработанные на базе известных мировых стандартов, и компании, предлагающие VPN-продукты на основе собственных разработок. Следует отметить, что вторая группа на сегодня выглядит более многочисленной.

Принципиальный выбор между VPN-продуктами обозначенных двух групп в конечном итоге сводится к тому, каким образом конкретный менеджер разрешает для себя известный так называемый «парадокс открытых стандартов». Речь идет о том, что невозможно однозначно ответить на вопрос: Какой из продуктов с точки зрения безопасности является более безопасным – продукт, разработанный в строгом соответствии с открытыми мировыми стандартами, или на базе закрытой внутрифирменной разработки? Парадоксальность вопроса очевидна. С одной стороны, открытый стандарт, тем более мирового значения, разрабатывается, перерабатывается и дополняется ведущими специалистами планеты и, постепенно, этот стандарт интегрирует в себя все самое лучшее и современное, что есть в данной области. С другой стороны, открытость стандарта делает его «открытым» для анализа и поиска возможных уязвимостей его конкретной реализации в конкретном продукте. Закрытый стандарт в этом плане, на первый взгляд, выглядит более выигрышно, поскольку предполагается, что потенциальный злоумышленник ничего о нем не знает (хотя это тоже вопрос для обсуждения) и, следовательно, вынужден искать уязвимости «вслепую». Но, с другой стороны, кто на самом деле доподлинно знает, сколько «дыр» содержит этот доморощенный стандарт? К тому же, закрытый стандарт никогда не обеспечит совместимости продуктов различных производителей, что в эпоху Интернет само по себе является существенным недостатком такого подхода.

Как правило, для построения корпоративной VPN более предпочтительными выглядит выбор в пользу VPN-продуктов из первой группы, то есть реализующие известные и всесторонне изученные мировые стандарты. Интерес к таким продуктам еще более повышается, если они реализуют сильные отечественные криптографические алгоритмы, такой, например, как (кстати, совершенно открытый) криптоалгоритм ГОСТ 28147-89 с длиной ключа 256 бит.

Среди отечественных производителей VPN продуктов указанной группы наибольшую известность и распространенность на сегодня имеют, пожалуй, два: криптографический комплекс «Шифратор IP-пакетов» (ШИП) производства МО ПНИЭИ (www.security.ru) и продуктовая линейка программных продуктов серии ЗАСТАВА от компании ЭЛВИС+ (www.elvis.ru). Поскольку указанные продукты являются специализированными VPN продуктами, набор предоставляемых ими функциональных возможностей в некоторый случаях даже шире, чем у рассмотренных ранее западных конкурентов, а криптостойкость используемых криптоалгоритмов, безусловно, многократно превышает соответствующие параметры поставляемых в Россию западных функциональных аналогов.

Криптографический комплекс шип

Криптографический комплекс (КК) ШИП представляет собой отдельное программно-апаратное устройство (криптошлюз), осуществляющее сквозное шифрование всего исходящего из локальной сети трафика на базе реализации протокола SKIP (Simple Key management for Internet Protocol).

Протокол SKIP был разработан компанией Sun Microsystems в 1996 году и, фактически, SKIP стал первой промышленной реализацией IPSec протокола. SKIP является достаточно проработанным в плане безопасности протоколом, что подтвердила успешная практика его применения во многих странах мира на протяжении последних пяти лет. Фактически до появления IPSec, SKIP являлся единственным VPN-протоколом сетевого уровня, позволяющим строить корпоративные VPN в полном объеме с обеспечение максимальной их функциональности. В настоящее время SKIP практически повсеместно вытесняется протоколом IPSec

В КК ШИП входят следующие продукты:

 непосредственно сам программно-аппаратный комплекс «ШИП», который осуществляет защиту данных, передаваемых между узлами сети, в соответствии с ГОСТ 28147-89;

 центр управления ключевой структурой (ЦУКС), который используется для периодической смены ключей шифрования (для чего используется стандартная служба DNS), аудита работы VPN и др.

 для построения internet-VPN служит программный комплекс «Игла-П», который устанавливается непосредственно на рабочую станцию (ноутбук) удаленного пользователя, а также может самостоятельно выступать в качестве криптомаршрутизатора.

Схема организации корпоративной VPN на базе КК «ШИП» показана на рис.11.7. Описание работы и опыта эксплуатации КК «ШИП» можно найти во многих источниках1, поэтому остановимся лишь на практических аспектах использования этого продукта в корпоративных VPN сетях.

Рис.11.7. Типовая схема включения КК «ШИП»

КК «ШИП» использует симметричную систему шифрования, поэтому все парные связи в системы возможны только в том случае, если абонентам известны соответствующие секретные ключи друг друга. Такая организация системы, очевидно, ограничивает свободу общения абонентов VPN, поскольку требует предварительной загрузки ключей в каждый КК «ШИП» в «ручном» режиме.

КК «ШИП» в общем и целом позволяет решать возложенные на него задачи по построению VPN каналов в сетях IP, X25, frame relay. Одним из несомненных преимуществ КК «ШИП», долгое время делавшее его безусловным монополистом на рынке VPN для государственных структур, является полная проработанность вопроса сертификации этого продукта в ФАПСИ. Вместе с тем, КК «ШИП» до сих пор не имеет сертификата Гостехкомиссии.

Однако, широкому внедрению КК ШИП на практике мешают некоторые присущие ему недостатки технической природы:

  • КК ШИП не может транслировать незашифрованный трафик, поэтому из сегмента ЛС, защищенного этим средством невозможно построить VPN смешанного типа, а также организовать связь с открытыми хостами в Интернет. Кроме того, при этом возникают проблемы с управлением сетевым оборудованием региональной сети из ЛС, так как пограничные маршрутизаторы располагаются за КК «ШИП»;

  • при плановой замене ключей наблюдаются разрывы связи между отдельными КК ШИП, которые иногда продолжаются по несколько минут;

  • КК ШИП требует постоянной связи с ЦУКС, опрос которого происходит каждые 15 минут. В случае отказа этого канала функционирование всей VPN серьезно нарушается.

Соседние файлы в папке дз_мп_45_2001