- •Часть 3. Технологии защиты информационных ресурсов
- •Глава 11. Введение в защищенные виртуальные частные сети
- •11.1. Концепция построения защищенных виртуальных частных сетей vpn.
- •11.1.1. Функции и компоненты сети vpn
- •11.1.2. Сервисы безопасности сети vpn
- •Аутентификация абонентов
- •Обеспечение конфиденциальности, целостности и аутентичности передаваемой информации
- •11.2. Класcификация виртуальных частных сетей vpn
- •11.2.1. Классификация vpn по рабочему уровню модели osi.
- •Vpn канального уровня.
- •Vpn сетевого уровня
- •Vpn сеансового уровня
- •11.2.2. Классификация vpn по архитектуре технического решения
- •11.2.3. Классификация vpn по способу технической реализации
- •Vpn на основе сетевой ос.
- •Vpn на основе маршрутизаторов
- •Vpn на основе межсетевых экранов.
- •Vpn на основе программного обеспечения
- •Vpn на основе специализированных аппаратных средств со встроенными шифропроцессорами.
- •11.3. Vpn-решения для построения защищенных корпоративных сетей
- •11.3.1. Основные варианты vpn-решений
- •11.3.2. Vpn на базе сетевых операционных систем
- •11.3.3. Vpn на базе маршрутизаторов
- •11.3.4. Vpn на базе межсетевых экранов
- •11.3.4. Vpn и требования законодательства
- •11.3.5. Vpn-продукты российских производителей
- •Криптографический комплекс шип
- •Vpn продукты застава
- •11.3.6. Что выбрать?
- •11.4. Технические и экономические преимущества внедрения технологий vpn в корпоративные сети
Обеспечение конфиденциальности, целостности и аутентичности передаваемой информации
Задача обеспечения конфиденциальности информации заключается в защите передаваемых данных от несанкционированного чтения и копирования. Основным средством обеспечения конфиденциальности информации является шифрование. Следует отметить, что шифрование является тем криптографическим базисом, который лежит в основе всех сервисов информационной безопасности (система аутентификации или авторизации,средства создания защищенного канала, способ безопасного хранения данных).
Задача обеспечения целостности передаваемых данных заключается в проверке того, что данные в процессе передачи не были искажены злоумышленником или из-за ошибок передачи в сети. Обычно контроль целостности выполняется прозрачным для приложений образом как часть общей протокольной обработки.
Аутентификация данных означает доказательство целостности этих данных, а также того, что они поступили от конкретного человека, который объявил об этом. Для осуществления аутентификации данных обычно используется криптографический механизм электронной цифровой подписи.
Необходимо обратить внимание на то, что у компьютерной криптографии две стороны — собственно криптографическая и интерфейсная, позволяющая сопрягаться с другими частями информационной системы. Стандартизация интерфейсов и их функциональное разнообразие позволит разрабатывать криптографические компоненты, которые можно было бы встраивать в существующие и перспективные конфигурации VPN.
Методы и алгоритмы шифрования подробно рассматриваются в главах 5 и 6. Схемы и алгоритмы электронной цифровой подписи приводятся в главе 8.
Авторизация и управление доступом
Система авторизации имеет дело с легальными пользователями, которые успешно прошли процедуру аутентификации. Цель системы авторизации заключается в том, чтобы предоставить конкретному легальному пользователю те виды доступа к сетевым ресурсам, которые были определены для него администратором системы.
Система авторизации предоставляет легальным пользователям не только определенные права доступа к каталогам, файлам и принтерам, но и регулирует доступ пользователя к средствам шифрования пакетов, формирования цифровой подписи и определенным VPN - устройствам.
Процедуры авторизации реализуются программными средствами, встроенными в операционную систему или в приложение. При построении программных средств авторизации применяются два подхода:
централизованная схема авторизации;
децентрализованная схема авторизации.
Основное назначение централизованной системы авторизации - реализовать принцип единого входа. Управление процессом предоставления ресурсов пользователю осуществляется сервером. Централизованный подход к процессу авторизации реализован в системах Kerberos, RADIUS и TACACS.
При децентрализованном подходе к процессу авторизации каждая рабочая станция оснащается средствами защиты. В этом случае доступ к каждому приложению должен контролироваться средствами защиты той операционной среды, в которой работает данное приложение. Администратор сети должен контролировать работу средств безопасности, используемых всеми типами приложений. При удалении или добавлении новых пользователей администратору приходится конфигурировать доступ к каждой программе или системе.
В крупных сетях обычно применяется комбинированный подход в предоставлении легальным пользователям прав доступа к сетевым ресурсам. Сервер удаленного доступа ограничивает доступ пользователей к укрупненным элементам сети - подсетям, сегментам сети или корпоративным серверам. Каждый отдельный сервер сети осуществляет ограничение доступа пользователя к своим внутренним ресурсам - каталогам, приложениям или принтерам.
В последнее время активно развивается так называемое ролевое управление доступом. Оно решает не столько проблемы безопасности, сколько улучшает управляемость систем. Суть ролевого управления доступом заключается в том, что между пользователями и их привилегиями помещают промежуточные сущности — роли. Для каждого пользователя одновременно могут быть активными несколько ролей, каждая из которых дает ему вполне определенные права.
Сложность информационной системы характеризуется, прежде всего, числом имеющихся в ней связей. Поскольку ролей много меньше, чем пользователей и привилегий, использование ролей способствует понижению сложности и, следовательно, улучшению управляемости системы.
Кроме того, на основании ролевой модели управления доступом можно реализовать такой важный принцип, как разделение обязанностей (например, невозможность в одиночку скомпрометировать критически важный процесс). Между ролями могут быть определены статические или динамические отношения несовместимости (например, невозможность одному субъекту одновременно исполнять две роли).