Отечественные и зарубежные vpn

Из зарубежных средств построения ВЧС наибольшее распространение получил программно-аппаратный комплекс Checkpoint VPN-1 компании Checkpoint Software Technologies, контролирующей более 50% рынка средств защиты информации данного класса. Среди других решений можно выделить возможность создания ВЧС на базе маршрутизаторов и коммутаторов компании Cisco Systems, на которых установлена ОС IOS версии 12.x и выше. Для построения ВЧС на основе сетевых ОС могут быть использованы системы Windows NT/2000/XP компании Microsoft. При создании ВЧС на базе МЭ могут быть использованы системы Checkpoint Fire Wall-1 компании Checkpoint Software Technologies, а также Raptor Firewall 5.0 компании Eagle Software.

В настоящее время имеется достаточно большое количество средств построения ВЧС отечественного производства. В качестве примера таких средств можно привести криптографический комплекс «ШИП» на базе средства криптографической защиты информации «Верба», программно-аппаратный комплекс «Континент-К» (Научно-инженерное предприятие «Информзащита»), программный комплекс «Застава» (компания «Элвис+»), программно-аппаратный комплекс «КРИПТОН-IP» (компания «Анкад»), комплекс «Тропа-Джет» (АО «Инфосистемы Джет»), серию программных продуктов «ViPNet» (компания «Инфотекс»), программный комплекс «Цитадель - VPN» (компания «ЭЛКО Технологии СПб»). Однако лишь несколько из перечисленных средств построения ВЧС имеют сертификаты соответствия ФАПСИ.

Задачи иб, реализуемые vpn

Рассмотрим возможность применения средств построения ВЧС в целях решения задач обеспечения ИБ ГСПД. Прежде всего необходимо отметить, что все средства построения ВЧС, представленные на отечественном рынке ИБ, предназначены для использования только в IP-сетях, что не позволяет их применять в ГСПД, построенных на базе технологий Х.25, Frame Relay и ATM.

В IP-сетях средства построения ВЧС могут быть использованы для решения следующих задач обеспечения ИБ ГСПД:

• обеспечение конфиденциальности информации управления, передаваемой между ЦУС и маршрутизаторами;

• обеспечение контроля целостности сообщений, содержащих информацию управления и информацию пользователя;

• обеспечение защиты от возможности активизации нарушителем аппаратных, программных и аппаратно-программных «закладок», внедрённых в ЦУС и маршрутизаторы;

• обеспечение защиты информационных ресурсов и инфраструктур ЦУС и маршрутизаторов от НСД по каналам связи;

• обеспечение защиты ЦУС и маршрутизаторов от ВН, реализуемых по каналам связи и направленных на нарушение работоспособности.

Функции криптошлюзов в маршрутизаторах и магистральных каналах

Рассмотрим особенности использования средств построения ВЧС в целях решения перечисленных выше задач обеспечения ИБ ГСПД. Данные задачи могут быть выполнены при помощи криптошлюзов ВЧС, которые должны быть установлены в каналы связи портов маршрутизаторов, а также в канал связи, посредством которого ЦУС подключается к IP-сети. Центр управления ВЧС может размещаться в ЛВС, где установлен ЦУС. Необходимо отметить, что в существующие на отечественном рынке криптошлюзы ВЧС нельзя одновременно устанавливать несколько входных и выходных сетевых адаптеров, что не позволяет при помощи одного криптошлюза обеспечить обработку пакетов данных, поступающих одновременно по нескольким каналам связи портов маршрутизатора. Поэтому для обеспечения криптографической обработки пакетов данных, передаваемых между ЦУС и маршрутизатором, необходимо в каждый канал связи порта маршрутизатора установить отдельный криптошлюз. Следует также отметить, что существующие криптошлюзы имеют возможность выполнять криптографическую обработку пакетов данных со скоростью, не превышающей 100 Мбит/с. Поэтому установка криптошлюзов в каналы связи с более высокой пропускной способностью приведёт к снижению скорости передаваемых сообщений. На рис. 19.9 показан пример использования криптошлюзов в IP-сети. В приведённом примере в каждый канал связи портов маршрутизаторов установлен отдельный криптошлюз, управление которым осуществляется центром управления ВЧС, размещённом в ЛВС вместе с ЦУС.

Криптошлюзы, установленные в каналы доступа портов маршрутизаторов 2 и 4, выполняют следующие функции:

• контроль целостности пакетов данных, содержащих информацию пользователя. Данная функция выполняется криптошлюзами при помощи аутентификаторов, добавляемых к передаваемым пакетам данных;

• защита от возможности активизации нарушителем по каналам доступа «закладок», внедрённых в ЦУС или маршрутизаторы. Данная функция выполняется криптошлюзами посредством шифрования поступающих в ГСПД пакетов данных, содержащих информацию пользователя, и их вложением в новые IP-пакеты, сформированные криптошлюзами;

• защита информационных ресурсов и инфраструктур ЦУС и маршрутизаторов от НСД по каналам доступа. Данная функция выполняется криптошлюзами путём вложения пакетов данных, содержащих информацию пользователя, в новые IP-пакеты, сформированные криптошлюзом;

• защита от ВН, реализуемых по каналам доступа и направленных на нарушение работоспособности ЦУС и маршрутизаторов. Эта функция защиты также выполняется путём туннелирования пакетов данных, содержащих информацию пользователя.

Рисунок 19.9 – Схема использования криптошлюзов ВЧС в IP-сети

Криптошлюз, установленный в сегмент ЛВС, посредством которой ЦУС подключается к IP-сети, а также криптошлюзы, установленные в магистральные каналы связи портов маршрутизаторов 1, 2, 3 и 4, выполняют следующие функции:

• обеспечение конфиденциальности пакетов данных, содержащих информацию управления. Эта функция выполняется криптошлюзами путём шифрования пакетов данных, содержащих информацию управления и передаваемых между ЦУС и маршрутизаторами, а также между двумя любыми маршрутизаторами IP-сети;

• контроль целостности пакетов данных, содержащих информацию управления. Данная функция выполняется криптошлюзами при помощи аутентификаторов, добавляемых к передаваемым пакетам данных;

• защита от возможности активизации нарушителем по магистральным каналам связи «закладок», внедрённых в ЦУС или маршрутизаторы. Данная функция выполняется криптошлюзами вложения передаваемых пакетов данных, содержащих информацию управления, в новые IP-пакеты, сформированные криптошлюзами;

• защита информационных ресурсов и инфраструктур ЦУС и маршрутизаторов от НСД по магистральным каналам связи, а также от ВН, реализуемых по каналам связи и направленных на нарушение работоспособности. Данная функция выполняется криптошлюзами также путём туннелирования пакетов данных, содержащих информацию управления.

Рассмотрим особенности функционирования криптошлюзов, установленных в магистральные каналы связи портов маршрутизаторов IP-сети, на примере криптошлюза К5, установленного в магистральном канале связи порта маршрутизатора 2. Криптошлюз К5 выполняет контроль целостности только тех пакетов данных, которые предназначены для маршрутизатора 2, т.е. тех IP-пакетов, в заголовке которых в поле «Адрес получателя» содержится IP-адрес криптошлюза К5. Данный криптошлюз выполняет туннелирование только тех пакетов данных, которые формируются маршрутизатором 2, т.е. тех пакетов данных, в заголовке которых IP-адрес отправителя равен IP-адресу маршрутизатора 2. Все остальные пакеты данных, поступающие в криптошлюз, передаются далее по маршруту своего следования без каких-либо изменений.

Анализ возможности использования средств построения ВЧС в целях решения задач обеспечения ИБ ГСПД показывает, что этот тип средств защиты информации может быть использован только в ГСПД, базирующихся на технологии TCP/IP. Однако даже использование криптошлюзов и центра управления ВЧС в IP-сетях не может решить целый ряд задач обеспечения ИБ ГСПД, таких как:

• задача локализации места и источника ВН, направленного на нарушение целостности передаваемых пакетов данных, содержащих информацию пользователя и информацию управления;

• задача защиты IP-сети от НСД к услугам связи.