- •Часть 3. Технологии защиты информационных ресурсов
- •Глава 11. Введение в защищенные виртуальные частные сети
- •11.1. Концепция построения защищенных виртуальных частных сетей vpn.
- •11.1.1. Функции и компоненты сети vpn
- •11.1.2. Сервисы безопасности сети vpn
- •Аутентификация абонентов
- •Обеспечение конфиденциальности, целостности и аутентичности передаваемой информации
- •11.2. Класcификация виртуальных частных сетей vpn
- •11.2.1. Классификация vpn по рабочему уровню модели osi.
- •Vpn канального уровня.
- •Vpn сетевого уровня
- •Vpn сеансового уровня
- •11.2.2. Классификация vpn по архитектуре технического решения
- •11.2.3. Классификация vpn по способу технической реализации
- •Vpn на основе сетевой ос.
- •Vpn на основе маршрутизаторов
- •Vpn на основе межсетевых экранов.
- •Vpn на основе программного обеспечения
- •Vpn на основе специализированных аппаратных средств со встроенными шифропроцессорами.
- •11.3. Vpn-решения для построения защищенных корпоративных сетей
- •11.3.1. Основные варианты vpn-решений
- •11.3.2. Vpn на базе сетевых операционных систем
- •11.3.3. Vpn на базе маршрутизаторов
- •11.3.4. Vpn на базе межсетевых экранов
- •11.3.4. Vpn и требования законодательства
- •11.3.5. Vpn-продукты российских производителей
- •Криптографический комплекс шип
- •Vpn продукты застава
- •11.3.6. Что выбрать?
- •11.4. Технические и экономические преимущества внедрения технологий vpn в корпоративные сети
Какую работу нужно написать?
11.1.2. Сервисы безопасности сети vpn
Важное значение при построении защищенной виртуальной сети VPN имеет задача обеспечения информационной безопасности. Согласно общепринятому определению, под безопасностью данных понимают их конфиденциальность, целостность и доступность. Применительно к задачам VPN критерии безопасности могут быть определены следующим образом.
Конфиденциальность - гарантия того, что в процессе передачи данных по защищенным каналам VPN эти данные могут быть известны только легальным отправителю и получателю.
Целостность - гарантия сохранности передаваемых данных во время прохождения по защищенному каналу VPN. Любые попытки изменения, модифицикации, разрушения или создания новых данных будут обнаружены и станут известны легальным пользователям.
Доступность - гарантия того, что средства, выполняющие функции VPN, постоянно доступны легальным пользователям. Доступность средств VPN является комплексным показателем, который зависит от ряда факторов: надежности реализации, качества обслуживания и степени защищенности самого средства от внешних атак.
Конфиденциальность обеспечивается с помощью различных методов и алгоритмов симметричного и асимметричного шифрования. Целостность передаваемых данных обычно достигается с помощью различных вариантов технологии электронной подписи, основанных на симметричных и асимметричных методах шифрования и односторонних функциях.
Аутентификация осуществляется на основе многоразовых и одноразовых паролей, цифровых сертификатов, смарт-карт, протоколов строгой аутентификации, и обеспечивает установление VPN-соединения только между легальными пользователями и предотвращает доступ к средствам VPN нежелательных лиц.
Авторизация подразумевает предоставление абонентам, уже доказавшим свою легальность (аутентичность), разных видов обслуживания, в частности, разных способов шифрования их трафика. Авторизация и управление доступом часто реализуются одними и теми же средствами.
Для обеспечения безопасности передаваемых данных в виртуальных частных сетях должны быть решены следующие основные задачи сетевой безопасности:
взаимная аутентификация абонентов при установлении соединения;
обеспечение конфиденциальности, целостности и аутентичности передаваемой информации;
авторизация и управление доступом.
Аутентификация абонентов
Процедура аутентификации (установление подлинности) разрешает вход для легальных пользователей и предотвращает доступ к сети нежелательных лиц. Аутентификацию следует отличать от идентификации. Идентификация заключается в сообщении пользователем системе своего идентификатора, в то время как аутентификация - это процедура доказательства пользователем того, что он именно тот, кем он себя объявляет.
Современные средства идентификации и аутентификации должны удовлетворять двум условиям:
поддерживать принцип единого входа в сеть;
быть устойчивыми к сетевым угрозам (пассивному и активному прослушиванию сети).
Суть принципа единого входа в сеть состоит в том, что пользователь осуществляет один логический вход в сеть и после успешного прохождения аутентификации получает некоторый набор разрешений по доступу к сетевым ресурсам на все время работы в сети. Если в корпоративной сети много информационных сервисов, допускающих независимое обращение, то многократная идентификация и аутентификация становится слишком обременительной. Единый вход в сеть - это, в первую очередь, требование удобства для пользователей. К сожалению, единый вход в сеть пока не стал общей нормой.
Второе требование можно реализовать, используя криптографические методы. В настоящее время общепринятыми являются подходы, основанные на службе каталогов с сертификатами в стандарте X.509 или системе Kerberos.
Процедуре аутентификации могут подвергаться не только пользователи, но и различные приложения, устройства и данные. Например, пользователь, обращающийся с запросом к корпоративному серверу и доказывающий ему свою подлинность, должен также сам убедиться, что ведет диалог именно с требуемым сервером. Иначе говоря, клиент и сервер должны пройти процедуру взаимной аутентификации.
Методы, алгоритмы и протоколы аутентификации подробно разбираются в главе 9.