Защита информации в глобальной сети

Поскольку технология туннелирования достаточно проста, она является и наиболее приемлемой в отношении стоимости.

4.2 Безопасность

Обеспечение необходимого уровня безопасности часто является основным пунктом при рассмотрении корпорацией возможности использования Internet-базированных VPN. Многие IT-менеджеры привыкли к изначально присущей частным сетям защите конфиденциальной информации и рассматривают Internet как слишком «общедоступную» для использования ее в качестве частной сети. Однако при условии принятия необходимых мер Internet-базированные виртуальные частные сети могут стать более безопасными, чем VPN, базирующиеся на PSTN. Если пользоваться английской терминологией, то существуют три «Р», реализация которых в совокупности обеспечивает полную защиту информации. Это:

Protection - защита ресурсов с помощью брандмауэров (firewall);

Proof - проверка идентичности (целостности) пакета и аутентификация отправителя (подтверждение права на доступ);

Privacy - защита конфиденциальной информации с помощью шифрования.

Все три «Р» в равной степени значимы для любой корпоративной сети, включая и VPN. В сугубо частных сетях для защиты ресурсов и конфиденциальности информации достаточно использования довольно простых паролей. Но как только частная сеть подключается к общедоступной, ни одно из трех «Р» не может обеспечить необходимую защиту. Поэтому для любой VPN во всех точках ее взаимодействия с сетью общего пользования должны быть установлены брандмауэры, а пакеты должны шифроваться и выполняться их аутентификация.

Брандмауэры являются существенным компонентом в любой VPN. Они пропускают только санкционированный трафик для доверенных пользователей и блокируют весь остальной. Иными словами, пересекаются все попытки доступа неизвестных или недоверенных пользователей. Эта форма защиты должна быть обеспечена для каждого сайта и пользователя, поскольку отсутствие ее в каком-либо месте означает отсутствие везде. Для обеспечения безопасности виртуальных частных сетей применяются специальные протоколы. Эти протоколы позволяют хостам «договориться» об используемой технике шифрования и цифровой подписи, что позволяет сохранить конфиденциальность и целостность данных и выполнить аутентификацию пользователя.

Протокол Microsoft Point-to-Point Encryption (MPPE) шифрует PPP-пакеты на машине клиента перед тем, как направить их в туннель. Версия с 40-битовым ключом поставляется с Windows 95 и Windows NT (существует также версия со 128-битовым ключом). Сессия шифрования инициализируется во время установления связи с туннельным терминатором по протоколу PPP.

Протоколы Secure IP (IPSec) являются серией предварительных стандартов, разрабатываемых Группой инженерных проблем Internet (Internet Engineering Task Force - IETF). Группа предложила два протокола: Authentication Header (AH) и Encapsulating Security Payload (ESP). Протокол AH добавляет цифровую подпись к заголовку, с помощью которой выполняется аутентификация пользователя, и обеспечивает целостность данных, отслеживая любые изменения в процессе их передачи. Этот протокол защищает только данные, оставляя адресную часть IP-пакета неизменной. Протокол ESP, напротив, может шифровать либо весь пакет (Tunnel Mode), либо только данные (Transport Mode). Эти протоколы используются как раздельно, так и в комбинации.

Для управления безопасностью применяют индустриальный стандарт RADIUS (Remote Authentication Dial-In User Service), представляющий собой базу данных пользовательских профилей, которые содержат пароли (аутентификация) и права доступа (авторизация).

Средства обеспечения безопасности далеко не ограничиваются приведенными примерами. Многие производители маршрутизаторов и брандмауэров предлагают свои решения. Среди них - Ascend, CheckPoint и Cisco.

4.3 Доступность

Доступность включает три в равной степени важные составляющие: время предоставления услуг, пропускную способность и время задержки. Время предоставления услуг является предметом договора с сервис-провайдером, а остальные две составляющие относятся к элементам качества услуг (Quality of Service - QoS). Современные технологии транспорта позволяют построить VPN, удовлетворяющие требованиям практически всех существующих приложений.

4.4 Управляемость

Администраторы сетей всегда хотят иметь возможность осуществлять сквозное, из конца в конец, управление корпоративной сетью, включая и ту часть, которая относится к телекоммуникационной компании. Оказывается, что VPN предоставляют в этом плане больше возможностей, чем обычные частные сети. Типичные частные сети администрируются «от границы до границы», т.е. сервис-провайдер управляет сетью до фронтальных маршрутизаторов корпоративной сети, в то время как абонент управляет собственно корпоративной сетью до устройств доступа к WAN. Технология VPN позволяет избежать этого своеобразного разделения «сфер влияний», предоставляя и провайдеру, и абоненту единую систему управления сетью в целом, как ее корпоративной частью, так и сетевой инфраструктурой общедоступной сети. Администратор сети предприятия имеет возможность выполнять мониторинг и реконфигурацию сети, управлять фронтальными устройствами доступа, определять состояние сети в режиме реального времени.

4.5 Архитектура VPN

Существуют три модели архитектуры виртуальных частных сетей: зависимая, независимая и гибридная как комбинация первых двух альтернатив. Принадлежность к той или иной модели определяется тем, где реализуются четыре основных требования, предъявляемых к VPN. Если провайдер сетевых глобальных услуг предоставляет полное решение для VPN, т.е. обеспечивает туннелирование, безопасность, производительность и управление, то это делает архитектуру зависимой от него. В этом случае все процессы в VPN для пользователя прозрачны, и он видит только свой нативный трафик - IP-, IPX- или NetBEUI-пакеты. Преимущество зависимой архитектуры для абонента заключается в том, что он может использовать существующую сетевую инфраструктуру «как она есть», добавляя лишь брандмауэр между VPN и частной WAN/LAN.

Независимая архитектура реализуется в том случае, когда организация обеспечивает все технологические требования на своем оборудовании, делегируя сервис-провайдеру лишь транспортные функции. Такая архитектура обходится дороже, однако предоставляет пользователю возможность полного контроля за всеми операциями.

Гибридная архитектура включает зависимые и независимые от организации (соответственно, от сервис-провайдера) сайты.

Какие же коврижки сулят VPN для корпоративных пользователей? Прежде всего, по оценкам индустриальных аналитиков, это снижение расходов на все виды телекоммуникаций от 30 до 80 %. А также это практически повсеместный доступ к сетям корпорации или других организаций; это реализация безопасных коммуникаций с поставщиками и заказчиками; это улучшенный и расширенный сервис, недостижимый в сетях PSTN, и многое другое. Специалисты рассматривают виртуальные частные сети как новую генерацию сетевых коммуникаций, а многие аналитики считают, что VPN вскоре заменят большинство частных сетей, базирующихся на арендуемых линиях.

Заключение

Internet: эволюция философии защиты.

Проблема защиты информации в Internet ставится и, с той или иной степенью эффективности, решается с момента появления сетей на основе протоколов семейства TCP/IP.

В эволюциях технологий защиты можно выделить три основных направления. Первое -- разработка стандартов, имплиментирующих в сеть определенные средства защиты, прежде всего административной. Примером являются IP security option и варианты протоколов семейства TCP/IP, используемые в Министерстве обороны США. Второе направление -- это культура межсетевых экранов (firewalls), давно применяемых для регулирования доступа к подсетям. Третье, наиболее молодое и активно развивающееся, направление -- это так называемые технологии виртуальных защищенных сетей (VPN, virtual private network, или intranet).

Наблюдаемый в последние годы взрывной рост популярности Internet и связанных с ней коммерческих проектов послужил толчком для развития нового поколения технологий защиты информации в TCP/IP-сетях. Причем если ранее, вплоть до начала 90-х, основной задачей защиты в Internet было сохранение ресурсов преимущественно от хакерских атак, то в настоящее время актуальной становится задача защиты коммерческой информации.

Качественно это совершенно разные виды защиты. Атакующая коммерческую информацию сторона может позволить себе большие затраты на взлом защиты и, следовательно, существенно более высокий уровень: наблюдение трафика, перехват информации, ее криптоанализ, а также разного рода имитоатаки, диверсии и мошенничества.

Наивные способы защиты, такие как запрос пароля с последующей передачей его в открытом виде по коммуникационному каналу и списки доступа на серверах и маршрутизаторах, становятся в этих условиях малоэффективными. Что же может быть противопоставлено квалифицированной и технически вооруженной атакующей стороне? Конечно же, только полноценная, криптографически обеспеченная система защиты.

Предложений подобных средств на рынке Internet достаточно много. Однако по ряду параметров ни одно из них не может быть признано адекватным задачам защиты информации именно для Internet. Например, достаточно криптостойкой и замечательной по своей идее формирования «паутины доверия» является распространенная система PGP (Pritty good privacy). Однако, поскольку PGP обеспечивает шифрование файлов, она применима только там, где можно обойтись файловым обменом. Защитить, допустим, приложения on-line при помощи PGP затруднительно. Кроме того, уровень защиты PGP слишком высок. Стыковка защиты PGP с другими прикладными системами потребует определенных усилий, если, конечно, вообще окажется осуществимой.

Выбор технологии защиты информации для большой открытой системы -- сети масштаба Internet, крупной корпоративной сети, сети коммуникационного провайдера, должен удовлетворять ряду специфических требований:

наличие открытой спецификации, отсутствие монополизма в части технологических решений

широкая масштабируемость решений по техническим и ценовым параметрам

универсальность технологии, переносимость, многоплатформенность

совместимость аппаратных, программных, коммуникационных решений

обеспечение, при необходимости, комплексной защиты информации

простота управления ключами и организации защищенных коммуникаций для вновь подключенных пользователей.

Полноценное использование сервера требует его подключения через местный маршрутизатор, который станет одним из рубежей защиты. Маршрутизатор можно запрограммировать таким образом, что он будет блокировать опасные функции и разрешать передачу поступающих извне запросов только в специально назначенные серверы.

Частичную защиту обеспечивает блокировка портов, реализуемая в большинстве современных маршрутизаторов путем формирования списков контроля доступа на основе языка команд маршрутизатора. Еще один способ защиты - сконфигурировать маршрутизатор так, чтобы он разрешал соединения из Internet только с теми компьютерами сети, информация на которых открыта для всеобщего пользования. Остальные части сети изолируются от этих компьютеров брандмауэрами или иными средствами. Такой способ защиты используется многими крупными корпорациями.

По своим функциям к маршрутизаторам примыкают автономные пакеты фильтрации трафика, устанавливаемые на ПК или рабочих станциях. Типичным продуктом этого класса является ПО FireWall-1 компании CheckPoint Software Technologies, инсталлируемое на рабочие станции фирмы Sun и выполняющее фильтрацию входного и выходного потоков. FireWall-1 в отличие от маршрутизаторов способен динамически открывать пути передачи данных в соответствии с протоколами Internet, например с FTP. Кроме того, данный пакет снабжен удобным в работе графическим интерфейсом, средствами оповещения об угрозе взлома системы защиты и средствами регистрации доступа к сети, генерирующими сообщения о необычных действиях. Подобные продукты, как правило, обеспечивают лучшую защиту по сравнению с маршрутизаторами, но отличаются высокой стоимостью. Брандмауэры Маршрутизаторы и продукты типа только что рассмотренного ПО FireWall-1 не имеют некоторых функций, повышающих степень защищенности от опасных вторжений в сеть. Например, при передаче потока данных они не анализируют его содержимое и не в состоянии осуществлять проверку полномочий на доступ к ресурсам сети. Такими возможностями обладают брандмауэры - выделенные компьютеры с активными функциями фильтрации информационных потоков в точке связи локальной сети с внешним миром. Основная задача систем этой категории - изолировать сеть от посягательств извне путем просмотра пакетов данных, блокировки "подозрительных" видов трафика и использования специальных средств подтверждения полномочий на доступ. Таким образом, брандмауэр выступает в роли сторожа, не пропускающего любые входные или выходные данные, которые не соответствуют явно сформулированным критериям. Сегодня на рынке имеется широкий выбор средств защиты данных на основе брандмауэров.

Размещено на Allbest.ru