- •Часть 3. Технологии защиты информационных ресурсов
- •Глава 11. Введение в защищенные виртуальные частные сети
- •11.1. Концепция построения защищенных виртуальных частных сетей vpn.
- •11.1.1. Функции и компоненты сети vpn
- •11.1.2. Сервисы безопасности сети vpn
- •Аутентификация абонентов
- •Обеспечение конфиденциальности, целостности и аутентичности передаваемой информации
- •11.2. Класcификация виртуальных частных сетей vpn
- •11.2.1. Классификация vpn по рабочему уровню модели osi.
- •Vpn канального уровня.
- •Vpn сетевого уровня
- •Vpn сеансового уровня
- •11.2.2. Классификация vpn по архитектуре технического решения
- •11.2.3. Классификация vpn по способу технической реализации
- •Vpn на основе сетевой ос.
- •Vpn на основе маршрутизаторов
- •Vpn на основе межсетевых экранов.
- •Vpn на основе программного обеспечения
- •Vpn на основе специализированных аппаратных средств со встроенными шифропроцессорами.
- •11.3. Vpn-решения для построения защищенных корпоративных сетей
- •11.3.1. Основные варианты vpn-решений
- •11.3.2. Vpn на базе сетевых операционных систем
- •11.3.3. Vpn на базе маршрутизаторов
- •11.3.4. Vpn на базе межсетевых экранов
- •11.3.4. Vpn и требования законодательства
- •11.3.5. Vpn-продукты российских производителей
- •Криптографический комплекс шип
- •Vpn продукты застава
- •11.3.6. Что выбрать?
- •11.4. Технические и экономические преимущества внедрения технологий vpn в корпоративные сети
Vpn на основе специализированных аппаратных средств со встроенными шифропроцессорами.
Вариант построения VPN на специализированных аппаратных средствах может быть использован в сетях, требующих высокой производительности. Примером такого решения служит продукт cIPro-VPN компании Radguard. В этом устройстве реализовано аппаратное шифрование информации, передаваемой в 100-Мбит/с потоке.
Продукт cIPro-VPN обслуживает протокол IPSec и механизм управления ключами ISAKMP/Oakley. Кроме того, это устройство обеспечивает трансляцию сетевых адресов и может быть оборудовано специальной платой, добавляющей функции межсетевого экрана.
Недостатком такого решения является его высокая стоимость.
11.3. Vpn-решения для построения защищенных корпоративных сетей
В настоящее время технологии построения виртуальных защищенных частных сетей (VPN) привлекают все больше внимания со стороны крупных российских компаний (банков, ведомств, крупных государственных структур федерального уровня и т.д.). Причина такого интереса заключается в том, что VPN технологии действительно позволяют таким компаниям не только существенно сократить свои расходы на содержание выделенных каналов связи с удаленными подразделениями (филиалами), но и повысить конфиденциальность обмена информацией. В случае же наличия разветвленных качественных ведомственных сетей связи применение VPN технологий в принципе может позволить данным ведомствам полностью окупить вложенные в их создание материальные средства, передавая эти каналы в аренду, например, национальным операторам связи, а в будущем и превратить их в надежный источник дополнительной прибыли.
VPN-технологии позволяют организовывать защищенные туннели как между офисами компании, так и к отдельным рабочим станциям и серверам. При этом абсолютно неважно, через какого провайдера Internet конкретная рабочая станция подключится к защищенным ресурсам предприятия. Все что увидит сторонний наблюдатель - поток обычных IP пакетов с нераспознаваемым содержимым [131].
Рынок VPN-продуктов в настоящее время развивается очень бурно. Согласно результатам исследований компании Infonetics Research, расходы на VPN-продукты в 2001 г. достигнут 11,9 млрд дол.
11.3.1. Основные варианты vpn-решений
Потенциальным клиентам предлагается широкий спектр оборудования и ПО для создания виртуальных частных сетей: от интегрированных многофункциональных и специализированных устройств до чисто программных продуктов [54].
Можно выделить три основных вида VPN-решений:
интегрированные VPN-решения
специализированные VPN-peшения
программные VPN-решения
Рассмотрим особенности каждого из перечисленных видов решений.
Интегрированные VPN-решения включают функции межсетевого экрана, маршрутизации и коммутации. Главное преимущество такого подхода состоит в централизации управления компонентами. Для компаний, которым не требуется высокая производительность корпоративной сети, а задача снижения расходов на сетевое оборудование является одной из приоритетных, наиболее эффективным будет интегрированное решение, позволяющее сосредоточить все функции в одном устройстве. При этом все же следует отметить, что чем больше функций исполняется одним устройством, тем чаще становятся заметными потери в производительности.
Специализированные VPN-peшения. Высокая производительность является самым главным преимуществом специализированных VPN-устройств. Более высокое быстродействие специализированных VPN-систем обусловлено тем, что шифрование в них осуществляется специализированными микросхемами.
Объем вычислений, которые необходимо выполнить при обработке VPN-пакета, в 50-100 раз превышает тот, который требуется для обработки обычного пакета. Если в корпоративной сети проводятся различные мероприятия, требующие обмена большим трафиком данных, то для эффективной обработки VPN-пакетов целесообразно использовать специализированную аппаратуру. Специализированные VPN-устройства обеспечивают высокий уровень безопасности, однако обладают высокой стоимостью.
Программные VPN-решения. VPN-продукты, реализованные программным способом, с точки зрения производительности уступают специализированным устройствам, однако обладают достаточной мощностью для реализации VPN-сетей. Следует отметить, что в случае удаленного доступа требования к необходимой полосе пропускания невелики. Поэтому чисто программные продукты легко обеспечивают производительность, достаточную для удаленного доступа.Несомненным достоинством программных продуктов является гибкость и удобство в применении, а также относительно невысокая стоимость.
В настоящее время существует несколько типов физических реализаций VPN-технологий, каждая из которых характеризуется определенным набором функциональных требований.
Как отмечалось в разделе 11.2, можно выделить три основных вида архитектуры применения VPN-продуктов: внутрикорпоративные сети intranet - VPN, сети VPN с удаленным доступом и межкорпоративные сети extranet - VPN.
Внутрикорпоративная сеть intranet - VPN обеспечивает создание безопасных соединений между внутренними отделами компании и ее филиалами. Для нее характерны следующие свойства:
∙ применение мощных криптографических протоколов шифрования данных для защиты конфиденциальной информации;
∙ надежность функционирования при выполнении таких критических приложений, как системы автоматизированной продажи и системы управления базами данных;
∙ гибкость управления для более эффективного размещения быстро возрастающего количества новых пользователей, новых офисов и новых программных приложений.
Сети VPN с удаленным доступом (internet - VPN) обеспечивают защищенный удаленный доступ к информационным ресурсам предприятия для мобильных или удаленных сотрудников корпорации (руководство компанией, сотрудники, находящиеся в командировках, сотрудники-надомники и т.д.). Для internet - VPN характерны следующие основные свойства:
∙ мощная система установления подлинности удаленных и мобильных пользователей, которая должна с максимальной точностью и эффективностью провести процедуру аутентификации;
∙ эффективная система централизованного управления для обеспечения высокой степени гибкости при увеличении количества пользователей, работающих с VPN.
Межкорпоративная сеть extranet - VPN обеспечивает эффективное взаимодействие и защищенный обмен информацией со стратегическими партнерами по бизнесу, в том числе зарубежными, основными поставщиками, крупными заказчиками, клиентами и т.д. Для extranet - VPN характерно использование стандартизированных VPN-продуктов, гарантирующих способность к взаимодействию с различными VPN-решениями, которые деловые партнеры могли бы применять в своих сетях.
Иногда выделяют в отдельную группу локальный вариант сети VPN.
Локальная сеть Localnet-VPN обеспечивает защиту информационных потоков, циркулирующих внутри локальных сетей компании (как правило, Центрального офиса) от несанкционированного доступа со стороны «излишне любопытных» сотрудников самой компании.
Несмотря на наличие проработанных основных вариантов VPN-решений построение VPN для распределенных компаний даже с небольшим количеством удаленных (5-10) подразделений (филиалов), как правило, является достаточно трудоемкой задачей, сложность которой обуславливается следующими основными причинами [11]:
значительная гетерогенность существующих в российских компаниях технических решений, которая заключается не только в большом разнообразии и малой совместимости используемых аппаратных платформ, ПО, сетевых ОС, качественно различных каналах связи между подразделениями компании, но и в многообразии практически аналогичных решений у существующих и потенциальных партнеров и заказчиков, с которыми необходимо строить защищенные extranet-VPN ;
разнообразие применяемых для построения корпоративной VPN частных технических решений. Имеется в виду, что современным корпорациям, как правило, необходимо построение не только классических intranet-VPN (то есть организации защищенного взаимодействия между подразделениями внутри самой корпорации или между группой предприятий, объединенных корпоративными или ведомственными сетями связи), но и internet-, externet- и localnet-VPN.
необходимость построения централизованной системы управления всей корпоративной VPN из Центрального офиса компании для обеспечения высокого уровня безопасности и управляемости VPN, особенно системой распределения криптографических ключей и сертификатов, а также по причине отсутствия квалифицированного обслуживающего персонала в региональных подразделениях и т.д.;
узкая полоса пропускания и относительно плохое качество существующих каналов связи, особенно с региональными подразделениями и т.д.
Указанные сложности построения корпоративных VPN усугубляются еще и тем, что, как правило, корпоративные заказчики предъявляют к VPN достаточно жесткие требования к:
масштабируемости применяемых технических решений;
интегрируемости с уже существующими в подразделениях компании средствами защиты информации (СЗИ), а также прозрачности работы VPN для всех работающих внутрикорпоративных приложений (системы документооборота, системы аудита и управления компьютерными сетями, IP-телефонии и т.д.);
легальности общего решения, то есть применяемые для построения VPN средства должны отвечать национальным стандартам и требованиям;
пропускной способности защищаемой сети, то есть VPN устройства не должны вносить существенные задержки в процесс обработки и передачи информации, а также заметно суживать полосу пропускания канала связи;
стойкости применяемых криптоалгоритмов, которая надежно защищала бы корпоративную информацию от криптоаналитических атак злоумышленников и недобросовестных конкурентов, а также обеспечение целостности передаваемой по сетям информации и надежной аутентификации пользователей VPN;
унифицируемости VPN решения, позволяющей данной компании в будущем без особых технических и организационных проблем устанавливать защищенные соединения с новыми партнерами по бизнесу;
общей совокупной стоимости построения корпоративной VPN, которая может варьироваться практически от нуля (в случае использования свободно распространяемого ПО, например, известной программной системы PGP Security) до нескольких сотен тысяч долларов.
Нетрудно заметить, что многие из перечисленных выше требований находятся в определенном противоречии друг с другом, что в принципе не позволяет в большинстве случаев предложить какое-то общее оптимальное по всем критериям техническое решение. Поэтому, как правило, на практике приходится либо пренебрегать некоторыми из перечисленных требований, либо строить комбинированные VPN на базе существующих решений:
VPN на базе сетевых операционных систем;
VPN на базе маршрутизаторов;
VPN на базе межсетевых экранов (МЭ);
VPN на базе специализированного программного обеспечения.
Каждое из упомянутых решений имеет свои достоинства и недостатки, которые целесообразно рассмотреть на примере наиболее часто встречающихся в России VPN продуктов.