- •Программные методы защиты, применяемые в сети Internet
- •Skip-технология и криптопротоколы ssl, s-http как основное средство защиты соединения и передаваемых данных в сети Internet
- •Сетевой монитор безопасности ip Alert-1
- •Построение защищенных виртуальных сетей Введение в защищенные виртуальные сети Общие сведения
- •Способы создания защищенных виртуальных каналов
- •Обзор протоколов
- •Канальный уровень модели osi
- •Сетевой уровень модели osi
- •Сеансовый уровень модели osi
- •Обзор средств построения защищенных виртуальных сетей Общие сведения
- •Построение защищенных виртуальных сетей на базе маршрутизаторов
- •Создание защищенных туннелей с помощью межсетевых экранов
- •Построение защищенных виртуальных сетей на основе специализированного программного обеспечения
- •Туннелирование на основе специализированных аппаратных средств
Создание защищенных туннелей с помощью межсетевых экранов
Через брандмауэр локальной сети, как и через маршрутизатор, пропускается весь трафик. Соответственно функции зашифровывания исходящего и расшифровывания входящего трафика может с успехом выполнять и межсетевой экран. Ведущими производителями брандмауэров, поддерживающих функции построения защищенных виртуальных сетей, являются компании CheckPointSoftwareTechnologies,AxentTechnologies,NetworkAssociatesиSecureComputing. ПоддержкаVPNобеспечивается также в брандмауэрах, выпускаемых отдельными производителями сетевых операционных систем. К таким продуктам относится, например, межсетевой экранBorderManagerкомпанииNovell.
Семейство брандмауэров FireWall-1, выпускаемых компаниейCheckPoint, включает подсистему формирования защищенных туннелей, названную какVPN-1. В основу криптозащиты потока сообщений положен протоколIP-Sec. На обычных настольных рабочих станциях развиваются скорости шифрования более 10 Мбит/с.FireWall-1 обеспечивает контроль не только открытого, но и криптозащищенного трафика. С помощьюVPN-1 брандмауэр расшифровывает поступившие к нему данные, затем применяет к ним установленные администратором правила управления доступом, а потом снова зашифровывает пакеты сообщений, пропускаемые дальше. ПодсистемаVPN-1 выполняет не только криптографическое закрытие трафика, но и аутентификацию пакетов сообщений. Для распределения ключей может использоваться стандартIP-Sec, а также протоколSKIP, разработанный компаниейSunMicrosystems. Реализованы симметричные криптосистемыDES,RC4 иFWZ1, используемые для криптографического закрытия информации. КриптосистемаFWZ1 является собственной разработкой компании
CheckPoint. Для аутентификации пакетов сообщений могут использоваться алгоритмыMD5,SHA-1,CBCDESиMAC. Поддерживаются два режима криптографической защиты:
защита передаваемого по Internetтрафика между брандмауэрамиFireWall-1;
защита трафика при удаленном доступе к локальной сети, защищаемой брандмауэром FireWall-1.
В первом случае все функции защиты реализуются прозрачно системами FireWall-1, между которыми устанавливается связь. Во втором случае функции криптографической защиты выполняются брандмауэромFireWall-1 локальной сети, к которой осуществляется удаленный доступ, и специальным компонентомFireWall-1SecuRemote, который должен быть установлен на удаленном компьютере. В компьютерах с шинойPCIдля ускорения шифрования может использоваться поставляемаяCheckPointдополнительная плата. КомпанияAxentTechnologies, которая в 1998 году приобрела фирмуRaptor, являющуюся производителем брандмауэраEagleFireWall, переименовала этот продукт вRaptorFireWall. ВерсияRaptorFireWall5.0 обеспечивает построение защищенных виртуальных сетей по протоколуIP-Sec. Как иFireWall-1 компанииCheckPoint, межсетевой экранRaptorFireWallможет применять установленные правила доступа к туннелируемому трафику. КомпанияAxentтакже поставляет семейство мобильных клиентов для VPN между пользователями и локальной сетью.
Компания TrustedInformationSystems, разработавшая брандмауэрGauntletFireWall, вошла в состав компанииNetworkAssociates. Подсистема данного брандмауэраGauntletGlobalVPN, основанная на протоколеIPSec, поддерживает два режима криптографической защиты трафика:
от брандмауэра до брандмауэра, реализуемого с помощью шлюзов SmartGate;
от брандмауэра до компьютера удаленного пользователя, реализуемого программным обеспечением удаленного клиента, называемым как GauntletPCExtender.
В GauntletGlobalVPNиспользуется алгоритм шифрованияDES. Наряду с поддержкойIPSec, продуктGauntletGlobalVPNпоставляется с программным обеспечением центра сертификации. С помощью этого программного обеспечения организации могут выполнять генерацию и проверку цифровых сертификатов, соответствующих стандарту Х.509.
Программные средства построения VPN на базе брандмауэров выпускает и компания SecureComputing. Ее продукты, известные ранее какBorderWareиSidewinder, теперь переименованы и получили названиеSecureZone. Технология VPN отSecureComputingреализована в виде встроенной функции брандмауэраSecureZone. С помощьюSecureZoneможно комбинировать сети VPN в группы с единообразной политикой и затем каждой группой управлять как единым целым. Межсетевой экранSecureZoneявляетсяIPSec-совместимым. Кроме того,SecureZoneподдерживает сертификаты Х.509NetscapeCertificateServer, а также программные центры сертификации таких компаний, какEntrustиVeriSign. БрандмауэрSecureZoneвключает иIPSec-совместимый клиентский модуль для удаленного доступа, а также собственную нестандартную операционную систему для компьютеров на платформеIntel. Пользовательский интерфейс и процедуры конфигурированияSecureZoneпостроены на базеJava. КомпанияSecureComputingобъявила о намерении реализовать поддержку вспомогательного аппаратного средства шифрованияRavlinотRedCreekCommunications. Межсетевой экранBorderManagerот компанииNovellтакже поддерживает функции построения защищенных виртуальных сетей. Своей универсальностью данный продукт напоминает швейцарский армейский нож. Помимо возможности построения VPN он обеспечивает разграничение пользовательского доступа, фильтрацию пакетов и трансляцию сетевых адресов, предлагает услуги посредникаHTTP, кэширует страницыWeb, имеет шлюзы на уровне канала, выполняет многопротокольную маршрутизацию и поддерживает удаленный доступ.BorderManagerс выгодой использует свою тесную интеграцию со службой каталоговNDS(NovellDirectoryServices), которая обеспечивает эффективное управление защищенными виртуальными сетями. При использовании межсетевых экрановBorderManagerраспределение ключей шифрования выполняется на основе криптосистемыRSAи алгоритма Диффи-Хеллмана. Для криптографического закрытия и аутентификации пакетов сообщений используются криптосистемыRC2 иRSA. В новой версииBorderManager, появившейся в конце 1998 года, поддерживается протоколIPSec.
В защищенной виртуальной сети, построенной на основе межсетевых экранов BorderManager, один из брандмауэров должен быть основным, исполняющим роль центра управления. В качестве основного брандмауэра рекомендуется выбирать межсетевой экран, защищающий центральную локальную сеть организации. Процесс конфигурации VPN начинается с настройки основного брандмауэра с помощью специальной утилитыVPNCFG.NLM. Во время этого процесса будет собрана или получена следующая информация об основном межсетевом экране:
IP-адрес его интерфейсаInternet;
IP-адрес его VPN туннеля;
открытый и закрытый ключи RSA;
параметры алгоритма Диффи-Хеллмана;
открытый и закрытый ключи Диффи-Хеллмана.
IP-адрес сетевого интерфейса, подключенного кInternet, будет использоваться всеми внешними клиентами и должен быть уникальным вInternet.
Во время конфигурации сервера также необходимо определить IP-адрес VPN интерфейса. Этот адрес может быть любым. Остальные параметры будут созданы процедурой конфигурации и нужны для шифрования информации, пересылаемой через защищенную виртуальную сеть. После того как эта информация получена, необходимо передать ее, за исключением закрытых ключей, в удаленные локальные сети, где она будет использоваться для аналогичной процедуры конфигурации остальных брандмауэров защищенной виртуальной сети. Полученные во время конфигурации параметры остальных брандмауэров должны быть переданы для окончательной настройки главному межсетевому экрану. После этого брандмауэры удаленных локальных сетей могут устанавливать безопасные туннели черезInternetс брандмауэром центральной локальной сети.
В защищенной виртуальной сети, построенной на основе межсетевых экранов BorderManager, обеспечивается формирование защищенных туннелей не только между брандмауэрами, но и между брандмауэром каждой локальной сети и компьютерами удаленных пользователей. Все клиенты, пользующиеся удаленным доступом, должны иметь уникальный идентификатор и пароль удаленного доступа, которые хранятся вNDS. Поддерживаются стандартные протоколы NCAP (NetWare Connect Authentication Protocol), PAP (Password Authentication Protocol), а также CHAP (Challenge Handshake Authentication).