Основным способом обеспечения информационной безопасности в ИВС при использовании ресурсов сетей связи общего пользования является организация виртуальных частных туннелей между пользователями.

Виртуальная частная сеть (VPN) - способ и система организации безопасного информационного пространства между локальными сетями и отдельными компьютерами, объединенными через открытую среду передачи информации.

Термин «виртуальная» - указывает на то, что соединение между двумя узлами ИВС организуется только на время прохождения трафика.

Термин «частная» - говорит о том, что передаваемая информация доступна только участникам обмена.

Организация безопасного информационного пространства достигается созданием туннелей между отправителем и получателем, а также использованием сервисов безопасности, обеспечивающих целостность, доступность и конфиденциальность информации в ИВС. VPN-технологии принято классифицировать по рабочему уровню ЭМВОС, по архитектуре технического решения и по способу технической реализации (рис. 1.4) [3]. Достоинства и недостатки позволяют применять варианты построения VPN соответственно необходимости и целесообразности.

1.2.1 Классификация VPN-технологий по рабочему уровню ЭМВОС

Защищенный канал можно построить с помощью системных средств, реализованных на разных уровнях эталонной модели взаимодействия открытых систем (ЭМВОС). Классификация VPN-технологий по рабочему уровню ЭМВОС представляет значительный интерес, поскольку от выбранного уровня ЭМВОС во многом зависит функциональность реализуемой VPN-технологии и ее совместимость с приложениями ИВС, а также с другими средствами защиты.

По признаку рабочего уровня модели ЭМВОС различают следующие группы VPN:

- VPN канального уровня;

- VPN сетевого уровня;

- VPN сеансового уровня.

Рис. 1.4. Классификация VPN-решений

VPN канального уровня

Средства VPN, используемые на канальном уровне модели ЭМВОС, позволяют обеспечить инкапсуляцию различных видов трафика третьего уровня (и более высоких уровней) и построение виртуальных туннелей типа «точка-точка» (от маршрутизатора к маршрутизатору или от персонального компьютера к шлюзу ЛВС). К этой группе относятся VPN-продукты, которые используют протоколы L2F (Layer 2 Forwarding) и РРТР (Point-to-Point Tunneling Protocol), а также сравнительно недавно утвержденный стандарт L2TP (Layer 2 Tunneling Protocol), разработанный совместно фирмами Cisco Systems и Microsoft.

Протокол защищенного канала РРТР основан на протоколе РРР, который широко используется в соединениях «точка-точка», например при работе по выделенным линиям. Протокол РРТР обеспечивает прозрачность средств защиты для приложений и служб прикладного уровня и не зависит от применяемого протокола сетевого уровня. В частности, протокол РРТР может переносить пакеты как в сетях IP, так и в сетях, работающих на основе протоколов IPX, DECnet или NetBEUI. Однако, поскольку протокол РРР используется далеко не во всех сетях (в большинстве локальных сетей на канальном уровне работает протокол Ethernet, а в глобальных -протоколы ATM, Frame Relay), то РРТР нельзя считать универсальным средством. Действительно, в разных частях крупной составной сети, вообще говоря, используются разные канальные протоколы, поэтому проложить защищенный канал через эту гетерогенную среду с помощью единого протокола канального уровня невозможно.

Протокол L2TP, станет, вероятно, доминирующим решением при организации удаленного доступа к ЛВС (поскольку базируется в основном на ОС Windows). Между тем решения второго уровня не приобретут, вероятно, такое же значение для взаимодействия ЛВС, по причине недостаточной масштабируемости при необходимости иметь несколько туннелей с общими конечными точками.

VPN сетевого уровня

VPN-продукты сетевого уровня выполняют инкапсуляцию IP в IP. Одним из широко известных протоколов на этом уровне является SKIP, который постепенно вытесняется новым протоколом IPSec, предназначенным для аутентификации, туннелирования и шифрования IP-пакетов. Стандартизованный консорциумом Internet Engineering Task Force, протокол IPSec вобрал в себя все лучшие решения по шифрованию пакетов и должен был войти в качестве обязательного компонента в протокол IPv6.

Работающий на сетевом уровне протокол IPSec представляет компромиссный вариант. С одной стороны, он прозрачен для приложений, а с другой, может работать практически во всех сетях, так как основан на широко распространенном протоколе IP. В настоящее время в мире только 1% компьютеров не поддерживает IP вообще; остальные 99% используют его либо как единственный протокол, либо в качестве одного из нескольких.

Протокол IPSec предусматривает стандартные методы идентификации пользователей или компьютеров при инициации туннеля, стандартные способы использования шифрования конечными точками туннеля, а также стандартные методы обмена и управления ключами шифрования между конечными точками.

IPSec стремительно завоевывает популярность и станет, вероятно, доминирующим методом VPN для взаимодействия ЛВС. Между тем не следует забывать, что спецификация IPSec ориентирована на IP и, следовательно, не подходит для трафика любых других протоколов сетевого уровня. Протокол IPSec может работать совместно с L2TP; в результате эти два протокола обеспечивают более надежную идентификацию, стандартизованное шифрование и целостность данных. Туннель IPSec между двумя локальными сетями может поддерживать множество индивидуальных каналов передачи данных, в результате чего приложения данного типа получают преимущества с точки зрения масштабирования по сравнению с технологией второго уровня.

Говоря об IPSec, необходимо упомянуть протокол IKE, позволяющий защитить передаваемую информацию от постороннего вмешательства. Он решает задачи безопасного управления и обмена криптографическими ключами между удаленными устройствами. Протокол IKE, основанный на алгоритме шифрования открытым ключом, автоматизирует обмен ключами и устанавливает защищенное соединение, тогда как IPSec кодирует и «подписывает» пакеты. Кроме того, IKE позволяет изменять ключ для уже установленного соединения, что повышает конфиденциальность передаваемой информации.

VPN сеансового уровня

Некоторые VPN-технологии используют другой подход под названием «посредники каналов» (circuit proxy). Этот метод функционирует над транспортным уровнем и ретранслирует трафик из защищенной сети в общедоступную сеть для каждого сокета в отдельности. (Сокет IP идентифицируется комбинацией TCP-соединения и конкретного порта или заданным портом UDP. Протокол IP не имеет пятого - сеансового - уровня, однако ориентированные на сокеты операции часто называют операциями сеансового уровня).

Шифрование информации, передаваемой между инициатором и терминатором туннеля, часто осуществляется с помощью защиты транспортного уровня TLS.

Для стандартизации аутентифицированного прохода через межсетевые экраны консорциум IETF определил протокол под названием SOCKS, и в настоящее время протокол SOCKS v.5 применяется для стандартизованной реализации посредников каналов.

В протоколе SOCKS v.5 клиентский компьютер устанавливает аутентифицированный сокет (или сеанс) с сервером, выполняющим роль посредника (proxy). Этот посредник - единственный способ связи через межсетевой экран. Посредник, в свою очередь, проводит любые операции, запрашиваемые клиентом. Поскольку посреднику известно о трафике на уровне сокета, он может осуществлять тщательный контроль, например, блокировать конкретные приложения пользователей, если они не имеют необходимых полномочий. Для сравнения, виртуальные частные сети уровней 2 и 3 обычно просто открывают или закрывают канал для всего трафика по аутентифицированному туннелю. Это может представлять проблему, если пользователь не до конца доверяет сети на другом конце туннеля.

Сети VPN с посредником канала типа IPSec ориентированы на протокол IP. Между тем если IPSec, по существу, распространяет сеть IP на защищенный туннель, то продукты па базе протокола SOCKS расширяют ее на все приложения и каждый сокет в отдельности. В отличие от решений уровня 3 (и 2), где созданные туннели функционируют одинаково в обоих направлениях, сети VPN уровня 5 допускают независимое управление передачей в каждом направлении. Аналогично протоколу IPSec и протоколам второго уровня, сети VPN уровня 5 можно использовать с другими типами виртуальных частных сетей, поскольку данные технологии не являются взаимоисключающими.

1.2.2 Классификация VPN по способу технической реализации

По способу технической реализации различают следующие группы VPN-технологий:

- VPN на основе сетевой операционной системы;

- VPN на основе межсетевых экранов;

- VPN на основе маршрутизаторов;

- VPN на основе программных решений;

- VPN на основе специализированных аппаратных средств со встроенными шифропроцессорами.

VPN-технологии на основе сетевой ОС

Реализацию VPN на основе сетевой ОС можно рассмотреть на примере операционной системы Windows NT. Для создания VPN компания Microsoft предлагает протокол РРТР, интегрированный в сетевую операционную систему Windows NT. Такое решение выглядит привлекательно для организаций, использующих Windows в качестве корпоративной ОС. В сетях VPN, основанных на Windows NT, используется база данных клиентов, хранящаяся в контроллере PDC (Primary Domain Controller). При подключении к РРТР-серверу пользователь авторизуется по протоколам PAP, CHAP или MS CHAP. Для шифрования применяется нестандартный фирменный протокол Point-to-Point Encryption с 40-битовым ключом, получаемым при установлении соединения.

В качестве достоинства приведенной схемы следует отметить, что стоимость решения на основе сетевой ОС значительно ниже стоимости других решений.

Несовершенство такой системы - недостаточная защищенность протокола РРТР.

VPN-технологии на основе маршрутизаторов

Данный способ построения VPN предполагает применение маршрутизаторов для создания защищенных каналов. Поскольку вся информация, исходящая из локальной сети, проходит через маршрутизатор, то вполне естественно возложить на него и задачи шифрования.

Пример оборудования для VPN на маршрутизаторах - устройства компании Cisco Systems. Начиная с версии программного обеспечения IOS 11.3(3)Т маршрутизаторы Cisco обслуживают протоколы L2TP и IPSec. Помимо простого шифрования информации Cisco реализует и другие функции VPN, такие как идентификация при установлении туннельного соединения и обмен ключами. Для повышения производительности маршрутизатора может быть использован дополнительный модуль шифрования ESA (Encryption Service Adapter).

VPN-технологии на основе межсетевых экранов

Межсетевые экраны большинства производителей содержат функции туннелирования и шифрования данных. В основе такого решения лежит простое соображение: поскольку информация проходит через межсетевой экран, почему бы ее заодно не зашифровать? К программному обеспечению собственно межсетевого экрана добавляется модуль шифрования.

К недостаткам этого метода относятся высокая стоимость решения в пересчете на одно рабочее место и зависимость производительности от аппаратного обеспечения, на котором работает межсетевой экран. При использовании межсетевых экранов на базе ПК надо помнить, что подобный вариант подходит только для небольших сетей с ограниченным объемом передаваемой информации.

В качестве примера решения на основе межсетевых экранов можно назвать продукт Firewall-1 компании Check Point Software Technologies.

VPN на основе программного обеспечения

Для построения сетей VPN также применяются программные решения. При реализации подобных схем используется специализированное ПО, работающее на выделенном компьютере и в большинстве случаев выполняющее функции proxy-сервера. Компьютер с таким программным обеспечением может быть расположен за межсетевым экраном.

В качестве одного из примеров программных решений можно указать пакет AltaVista Tunnel 97 компании Digital. При использовании этого ПО клиент подключается к серверу Tunnel 97, регистрируется на нем и обменивается ключами. Шифрование производится на базе 56- или 128-битовых ключей шифра RC 4. Зашифрованные пакеты инкапсулируются в другие IP-пакеты, которые и отправляются на сервер. При работе сервер Tunnel 97 проверяет целостность данных по алгоритму MD5. Кроме того, каждые полчаса система генерирует новые ключи, что значительно повышает защищенность соединения.

Достоинства пакета AltaVista Tunnel 97 - простота установки и удобство управления. К недостаткам этой системы следует причислить нестандартную архитектуру (собственный алгоритм обмена ключами) и низкую производительность.

VPN на основе специализированных аппаратных средств со встроенными шифропроцессорами

Вариант построения VPN на специализированных аппаратных средствах может быть использован в сетях, требующих высокой производительности. Примером такого решения служит продукт cIPro-VPN компании Radguard. В этом устройстве реализовано аппаратное шифрование информации, передаваемой в потоке 100 Мбит/с.

Продукт cIPro-VPN обслуживает протокол IPSek и механизм управления ключами ISAKMP/Oakley. Кроме того, данное устройство обеспечивает трансляцию сетевых адресов и может быть оборудовано специальной платой, добавляющей функции межсетевого экрана.

Недостаток рассматриваемого решения - его высокая стоимость.

1.2.3 Классификация VPN-технологий по архитектуре технического решения

По архитектуре технического решения принято выделять четыре основных вида виртуальных частных сетей:

- VPN с удаленным доступом;

- внутрикорпоративные VPN;

- межкорпоративные VPN;

- локальные VPN.

Следует отметить, что в последнее время наблюдается тенденция к конвергенции различных конфигураций и способов реализации VPN.

Доступ удаленного пользователя к ресурсам защищенного сегмента VPN

Схема позволяет организовать защищенный канал между удаленным пользователем и локальной сетью (рис. 1.5). Для организации доступа удаленного пользователя к ресурсам защищенного сегмента криптографический шлюз комплектуется сервером доступа, а на компьютере удаленного пользователя устанавливается клиентская часть сервиса удаленного доступа. Один сервер доступа обслуживает один защищенный сегмент сети.

Рис. 1.5. Доступ удаленного пользователя к ресурсам защищенного сегмента VPN

Удаленный пользователь, зарегистрированный на нескольких серверах доступа, может подключаться к любому из этих серверов в соответствии с его клиентской частью. Связь удаленного пользователя с внутренними абонентами защищенной сети осуществляется по каналам связи сетей общего пользования (например, Интернет).

Число удаленных пользователей, одновременно подключенных к серверу доступа, ограничено и определяется наличием зарегистрированных учетных записей (лицензий) на использование сервера доступа.

Инициатором соединения может быть только удаленный пользователь. Разорвать соединение может как пользователь, так и администратор сервера доступа. Защищенное соединение между удаленным пользователем и сервером доступа устанавливается после их успешной взаимной аутентификации, которая осуществляется на основе сертификатов открытых ключей.

По рабочему уровню модели ЭМВОС схема организации защищенного канала может реализовываться на канальном, сеансовом и сетевом уровнях. С технической точки зрения VPN могут организовываться на основе сетевой операционной системы, межсетевого экрана, маршрутизаторов, программных решений, а также с использованием специализированных аппаратных средств со встроенными шифропроцессами.

Организация внутрикорпоративных VPN

Внутрикорпоративные сети (рис. 1.6) предназначены для обеспечения защищенного взаимодействия между подразделениями внутри организации или между группой организаций, объединенных корпоративными сетями связи, включая выделенные линии. Для нее характерны следующие свойства: применение мощных криптографических протоков шифрования данных для защиты конфиденциальной информации; надежность функционирования при выполнении критических приложений; гибкость управления.

Реализация данной схемы на базе сетевых операционных систем целесообразна для небольших организаций с целью защиты некритичной для организации информации, т.к. протокол PPTP достаточно уязвим с точки зрения безопасности. Возможна техническая реализация на основе межсетевых экранов, маршрутизаторов, программных решений, специализированных аппаратных средств со встроенными шифропроцессами.

Организация межкорпоративных VPN

Межкорпоративная сеть (extranet-VPN) обеспечивает эффективное взаимодействие и защищенный обмен информацией со стратегическими партнерами по бизнесу, в том числе зарубежными, основными поставщиками, крупными заказчиками, клиентами и т.д. Для extranet-VPN характерно использование стандартизированных VPN-продуктов, гарантирующих способность к взаимодействию с различными VPN-решениями, которые деловые партнеры могли бы применять в своих сетях.

Extranet - это сетевая технология, которая обеспечивает прямой доступ из сети одной компании к сети другой и таким образом способствует повышению надежности связи, поддерживаемой в ходе делового сотрудничества.

Сети extranet VPN в целом похожи на внутрикорпоративные виртуальные частные сети с той лишь разницей, что проблема защиты информации стоит для них более остро. Когда несколько компаний принимают решение работать вместе и открывают друг для друга свои сети, они должны позаботиться о том, чтобы их конфиденциальная информации должна быть надежно защищена от несанкционирован6ного использования. Именно поэтому в межкорпоративных сетях большое значение следует придавать контролю доступа из открытой сети посредством межсетевых экранов.

Рис. 1.6. Объединение локальных сетей во внутрикорпоративную или межкорпоративную сеть VPN

Организация VPN внутри локальной сети

Локальная VPN-сеть, представленная на рисунке 1.7 (localnet-VPN) обеспечивает защиту информационных потоков, циркулирующих внутри локальных сетей компании от несанкционированного доступа со стороны внутренних пользователей компании. Техническая реализация локальной VPN-сети осуществляется на основе программных решений или сетевой операционной системы на сеансовом или сетевом уровнях.

Рис. 1.7. Организация VPN внутри локальной сети

1.3 Модель конфликта в информационной сфере ИВС, основанных на VPN-технологиях

Исходя из анализа структуры типовой ИВС и классификации VPN-технологий, структурной модели угроз информации в ИВС и построенной на их основе модели конфликта в информационной сфере ИВС, основанных на VPN-технологиях можно сделать вывод, что наличие характерных признаков структурных элементов ИВС и алгоритмов их функционирования позволяет злоумышленнику осуществлять угрозы ИБ ИВС, (характерные признаки могут существенно повлиять на состояние защищенности ИВС) несмотря на использование современных средств защиты.

Следовательно, одной из задач в защите информации, которые необходимо решить, является задача по скрытию характерных признаков структурных элементов ИВС и алгоритмов их функционирования. В частности, необходимо разработать механизмы обеспечения структурной скрытности распределенных ИВС, т.к. в них передача информации осуществляется посредством уязвимого и неконтролируемого телекоммуникационного оборудования. Следовательно, структурная скрытность распределенной ИВС может быть обеспечена путем обеспечения скрытности ее информационного обмена.

Анализ современной отечественной литературы [4, 5, 6, 7] показал, что существующие на сегодняшний день подходы к защите информации не решают сформулированной задачи.

За основу для решения этой задачи с учетом существующих технологий целесообразно взять технологию виртуальных частных сетей VPN, т.к. она изначально обеспечивает скрытие внутренней структуры локальных сегментов распределенной ИВС и криптографическую защиту информации, передаваемой по каналу связи.

Таким образом, результаты анализа, проведенного в первом разделе работы, позволили сформулировать задачи на дипломное проектирование:

1. Разработать модель распределенной ИВС, основанной на VPN-технологии.

2. Провести анализ характерных признаков распределенных ИВС на основе VPN-технологии.

3. Разработать модель обеспечения скрытности информационного обмена распределенных ИВС.

4. Разработать алгоритмы обеспечения структурной скрытности распределенных ИВС.

Выводы по 1 разделу

1. Описана структура типовой ИВС и структурная модель угроз информации в ИВС.

2. Представлена классификация VPN-технологий.

3. Разработана модель конфликта в информационной сфере ИВС, основанных на VPN-технологиях.

4. Сделаны выводы о необходимости разработки механизмов скрытия структуры распределенных информационно-вычислительных систем в целях их защиты.

5. Определены направления совершенствования технических решений по защите распределенных ИВС.

6. Сформулированы задачи на дипломное проектирование.

2. Модель обеспечения скрытности информационного обмена распределенных ИВС

Из анализа современной технической литературы [4, 5, 6, 7] в области защиты информации в информационно-вычислительных сетях ясно, что в настоящее время не существует достаточно полных моделей обеспечения скрытности информационного обмена ИВС.

На этапе предшествующем созданию моделей обеспечения скрытности информационного обмена распределенных ИВС целесообразно разработать модель распределенной ИВС на основе VPN-технологии, под которой понимается совокупность принципов построения и структура такой ИВС, а также описать характерные признаки такой ИВС и ее информационного обмена.

Модель - физическая или абстрактная система, адекватно представляющая объект исследования. В теории вычислительных систем используются преимущественно абстрактные модели - описания объекта исследования на некотором языке. Абстрактность модели проявляется в том, что компонентами модели являются не физические элементы, а понятия, в качестве которых наиболее широко используются математические.

Модель любой системы представляется в виде совокупности подсистем (элементов) и связей между ними. Декомпозицию системы целесообразно производить в иерархическом порядке.

Основой распределенных ИВС (рис. 2.1) являются локальные вычислительные сети. Локальная вычислительная сеть представляет собой локальный сегмент распределенной ИВС, под которым понимается множество элементов ИВС, выделяемое по следующим признакам:

по признаку группирования в одно подмножество элементов с возможностью непосредственного управления ими;

по признаку локализации некоторого подмножества элементов в рамках некоторой технической компоненты ИВС;

по признаку присвоения элементам локального сегмента ИВС некоторой идентификационной информации, однозначно характеризующей локальный сегмент как часть ИВС, и называемой адресом или сетевым адресом локального сегмента ИВС.

Все множество элементов распределенной ИВС состоит из множества элементов удаленных локальных сегментов ИВС.

Рис. 2.1. Пример распределенной ИВС

На практике, как правило, локальный сегмент включает в себя одну ЭВМ либо сегмент ЛВС.

Удаленным локальным сегментом ИВС будем называть локальный сегмент, принадлежащий множеству элементов внешнего сегмента ИВС. Очевидно, что множества элементов удаленных локальных сегментов ИВС не пересекаются.

Объединение удаленных локальных сегментов ИВС происходит посредством образования между ними канала связи, в основу которого входят каналы связи сети общего пользования и граничные устройства (программные модули, установленные на граничные устройства) сегментов, реализующие механизмы VPN по одному из способов, описанных в классификации VPN-технологий (п.1.2).

В обобщенном виде можно представить модель ИВС состоящей из двух элементов, представляющих собой ЛВС (вырожденная ЛВС - отдельная ПЭВМ), и VPN-модулей, представляющих собой программный или программно-аппаратный модуль и объединяющих элементы ИВС посредством криптозащищенного туннеля в канале связи (рис. 2.2.).

Рис. 2.2. Модель ИВС на основе VPN-технологии

В упрощенном виде функционирование такой системы заключается в выполнении следующих действий. Элемент ИВС 1 формирует исходный пакет данных и передает его на VPN-модуль. Программный VPN-модуль установленный на ПЭВМ кодирует информационную составляющую и передает пакет через канал связи VPN-модулю элемента ИВС 2. Программно-аппаратный модуль кодирует исходный пакет данных вместе с заголовком, содержащим логические адреса отправителя и получателя (элементов ИВС 1 и 2), после чего преобразует исходный пакет данных в формат TCP/IP, и передает его через канал связи программно-аппаратному VPN-модулю элемента ИВС 2. Программный модуль элемента ИВС 2 принимает пакет, выделяет кодированную часть и декодирует ее, после чего передает ее элементу ИВС 2. Программно-аппаратный модуль, принимая пакет, выделяет кодированную часть, декодирует ее и, определяя адрес получателя путем выделения его из декодированных данных, передает ее соответствующему элементу ИВС 2.

Разработанная модель инвариантна к выбору конкретной реализации VPN, что упрощает ее применение в дальнейших исследованиях.

Дальнейшая декомпозиция модели не требуется, т.к. учтены все ее элементы, участвующие в информационном обмене.

2.2 Характерные признаки распределенных ИВС на основе VPN-технологии