Технологии обеспечения безопасности информации при передаче данных между несколькими предприятиями по сети Интернет Текст научной статьи по специальности «Компьютерные и информационные науки»

И.В. Рыбаков

ТЕХНОЛОГИИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ПРИ ПЕРЕДАЧЕ ДАННЫХ МЕЖДУ НЕСКОЛЬКИМИ ПРЕДПРИЯТИЯМИ ПО СЕТИ ИНТЕРНЕТ

Совершенствование угроз защите информации при передаче данных по открытым сетям диктует необходимость новых технологических решений, обеспечивающих защиту.

Ключевые слова: безопасность, целостность, конфиденциальность, передача данных, несанкционированный доступ, сети.

~П настоящее время многие компании имеют распределен-

Х-#ную территориально структуру. Для связи офисов компании, находящихся, например, в разных городах, необходимо реализовывать каналы передачи данных. Для этого выгоднее всего использовать уже существующие сети, например Интернет. Однако передача данных по открытым сетям таит в себе многочисленные информационные угрозы.

Наиболее распространенные из них:

• несанкционированный доступ к ресурсам и данным системы: подбор пароля, взлом систем защиты и администрирования, маскарад (действия от чужого имени);

• перехват и подмена трафика (подделка платежных поручений, атака типа "человек посередине");

• Ш-спуфинг (подмена сетевых адресов);

• отказ в обслуживании;

• атака на уровне приложений;

• сканирование сетей или сетевая разведка;

• использование отношений доверия в сети.

Причины, приводящие к появлению подобных уязвимостей:

• отсутствие гарантии конфиденциальности и целостности передаваемых данных;

• недостаточный уровень проверки участников соединения;

• недостаточная реализация или некорректная разработка политики безопасности;

• отсутствие или недостаточный уровень защиты от несанкционированного доступа (антивирусы, контроль доступа, системы обнаружения атак);

• существующие уязвимости используемых операционных систем (ОС), ПО, СУБД, веб-систем и сетевых протоколов;

• непрофессиональное и слабое администрирование систем;

• проблемы при построении межсетевых фильтров;

• сбои в работе компонентов системы или их низкая производительность;

• уязвимости при управлении ключами.

Наиболее часто информационное пространство корпоративной системы используется для передачи сообщений, связанных с движением финансов.

Основные виды атак на финансовые сообщения и финансовые транзакции:

• раскрытие содержимого;

• представление документа от имени другого участника;

• несанкционированная модификация;

• повтор переданной информации.

Для предотвращения этих злоупотреблений используются следующие технологические средства защиты:

• шифрование содержимого документа;

• контроль авторства документа;

• контроль целостности документа;

• нумерация документов;

• ведение сессий на уровне защиты информации;

• динамическая аутентификация;

• обеспечение сохранности секретных ключей;

• надежная процедура проверки клиента при регистрации в прикладной системе;

• использование электронного сертификата клиента;

• создание защищенного соединения клиента с сервером.

Шифрование

SSL

При передаче данных по сети Интернет часто использует-ся протокол передачи данных HTTP. Для шифрования данных, переданных по HTTP, используется криптографический протокол SSL или TLS, тем самым обеспечивая защиту этих данных. Технология получила название HTTPS (Hypertext Transfer

Рис. 1. Применение SSL и TLS

Protocol Secure). Такой способ защиты широко используется в мире Веб для приложений, в которых важна безопасность соединения, например в платёжных системах. В настоящее время HTTPS поддерживается наиболее популярными браузерами. В отличие от HTTP, для HTTPS по умолчанию используется TCP-порт 443.

Протокол шифрования SSL также часто применяется для шифрования каналов связи с базами данных.

Криптопровайдер

Однако невозможность применения HTTP протокола в некоторых случаях привела к появлению криптопровайдеров. Криптопровайдер — это независимый модуль, позволяющий осуществлять криптографические операции в операционных системах, управление которым происходит с помощью функций CryptoAPI. Проще говоря, это посредник между операционной системой, которая может управлять им с помощью стандартных функций CryptoAPI, и исполнителем криптографических операций (это может быть как программа, так и аппаратный комплекс).

Рис. 2. Архитектура криптопровайдера

Любой криптопровайдер должен экспортировать набор обязательных функций, которые формируют системный программный интерфейс CryptoSPI, при этом каждая из этих функций соответствует некоторой функции CryptoAPI. Так же криптопровайдер должен обеспечивать:

• реализацию стандартного интерфейса криптопровайдера;

• работу с ключами шифрования, предназначенными для обеспечения работы алгоритмов, специфичных для данного криптопровайдера;

• невозможность вмешательства третьих лиц в схемы работы алгоритмов.

Приложения работают не напрямую с криптопровайдером, а вызывают функции CryptoAPI из библиотек Advapi32.dll и Crypt32.dll. Операционная система фильтрует вызовы этих функций и вызывает соответствующие функции CryptoSPI, которые непосредственно работают с криптопровайдером.

Минимальный состав криптопровайдера — одна DLL. Обычно эта библиотека хранится в папке \WINDOWS\system32\. Обязательным является контроль целостности этой DLL.

Кроме стандартных функций CryptoAPI криптопровайдер, обычно, поддерживает ряд собственных функций. Если собственные функции не реализованы, то DLL действует, по сути, как про-

межуточный слой между операционной системой и исполнителем криптографических операций.

Использование критопровайдера позволяет сделать шифрование данных прозрачным для любого приложения и любого протокола передачи данных.

Электронная цифровая подпись

Электронная цифровая подпись — реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭЦП и проверить принадлежность подписи владельцу сертификата ключа ЭЦП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП.

Цифровая подпись предназначена для аутентификации лица, подписавшего электронный документ. Кроме этого, использование цифровой подписи позволяет осуществить:

• Контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему.

• Защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев.

• Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец не может отказаться от своей подписи под документом.

• Доказательное подтверждение авторства документа: Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец пары ключей может доказать своё авторство подписи под документом. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.

Все эти свойства ЭЦП позволяют использовать её для следующих целей:

• Декларирование товаров и услуг (таможенные декларации).

• Регистрация сделок по объектам недвижимости.

Рис. 3. Схема механизма ЭЦП, использующего асимметричное криптографическое преобразование

• Использование в банковских системах.

• Электронная торговля и госзаказы.

• Контроль исполнения государственного бюджета.

• В системах обращения к органам власти.

• Для обязательной отчетности перед государственными учреждениями.

• Организация юридически значимого электронного документооборота.

• В расчетных и трейдинговых системах.

Рис. 4. Общая схема работы технологии VPN

Защищенное соединения клиента с сервером VPN — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).

В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.

Обычно VPN развёртывают на уровнях не выше сетевого, так как применение криптографии на этих уровнях позволяет использовать в неизменном виде транспортные протоколы (такие как TCP, UDP).

Пользователи Microsoft Windows обозначают термином VPN одну из реализаций виртуальной сети — PPTP, причём используемую зачастую не для создания частных сетей.

Чаще всего для создания виртуальной сети используется инкапсуляция протокола PPP в какой-нибудь другой протокол — IP (такой способ использует реализация PPTP — Point-to-Point Tunneling Protocol) или Ethernet (PPPoE) (хотя и они имеют различия). Технология VPN в последнее время используется не только для создания собственно частных сетей, но и некоторыми провайдерами «последней мили» на постсоветском пространстве для предоставления выхода в Интернет.

При должном уровне реализации и использовании специального программного обеспечения сеть VPN может обеспечить высокий уровень шифрования передаваемой информации. При правильной настройке всех компонентов технология VPN обеспечивает анонимность в Сети.

VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера. Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов, удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.

Технология VPN реализует:

• Шифрование (конфиденциальность), электронно-цифровая подпись (целостность, аутентификация) IP пакетов:

о гибкость в реализации политики сетевой защиты (множественность алгоритмов шифрования, включая ГОСТ; сложные конфигурации туннелей);

o высокая стойкость защиты информации.

• Аутентификация узлов сети.

• Аутентификация пользователей.

• Контроль доступа на уровне хостов, индивидуальных пользователей и отдельных приложений.

• Формирование защищенных соединений между:

o подсетями,

о компьютерами (клиент-сервер, одноранговые клиенты).

• Защита для сложных сетевых инфраструктур.

Современные комплексные программные и программноаппаратные решения

В современном мире для решения указанных выше проблем используются комплексные решения. Они сочетают в себе все описанные технологии. Примеров таких решений множество, однако, государственную сертификацию высших категорий имеют единицы. Ниже приведены примеры технологических решений, имеющие такую сертификацию: криптопровайдер Крипто-Про CSP (сертификат ФСБ по уровню доступа КС1) и комплексное решение CSP VPN Gate 100 (сертификат ФСБ по уровню доступа КС1).

Крипто-Про CSP

Криптопровайдер Крипто-Про CSP предназначен для:

• авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной цифровой подписи (ЭЦП) в соответствии с отечественными стандартами ГОСТ Р 34.10-94, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001;

• обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89;

• обеспечение аутентичности, конфиденциальности и имито-защиты соединений TLS;

• контроля целостности, системного и прикладного программного обеспечения для его защиты от несанкционированного изменения или от нарушения правильности функционирования;

• управления ключевыми элементами системы в соответствии с регламентом средств защиты.

Реализуемые алгоритмы:

• Алгоритм выработки значения хэш-функции реализован в соответствии с требованиями ГОСТ Р 34.11 94 "Информационная технология. Криптографическая защита информации. Функция хэширования".

• Алгоритмы формирования и проверки ЭЦП реализованы в соответствии с требованиями:

о ГОСТ Р 34.10 94 "Информационная технология. Криптографическая защита информации. Система электронной цифровой подписи на базе асимметричного криптографического алгоритма" ;

о ГОСТ Р 34.10 94 и ГОСТ Р 34.10-2001 "Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи" .

• Алгоритм зашифрования/расшифрования данных и вычисление имитовставки реализованы в соответствии с требованиями ГОСТ 28147 89 "Системы обработки информации. Защита криптографическая".

При генерации закрытых и открытых ключей обеспечена возможность генерации с различными параметрами в соответствии с ГОСТ Р 34.10-94 и ГОСТ Р 34.10-2001.

При выработке значения хэш-функции и шифровании обеспечена возможность использования различных узлов замены в соответствии с ГОСТ Р 34.11-94 и ГОСТ 28147-89.

Программно-аппаратный комплекс CSP VPN Gate

Средство обеспечения доверенного сеанса связи - программный комплекс CSP VPN Gate со специальным загрузочным носителем "МАРШ!" награжден специальным дипломом компании Reed Exhibitions, мирового лидера в организации мероприятий, организатора Infosecurity, одной из самых представительных выставок в области информационной безопасности. Решение создано компанией "С-Терра СиЭсПи", первым российским технологическим партнером Cisco.

Программный комплекс CSP VPN Gate со специальным загрузочным носителем "МАРШ!" реализует принципиально новую концепцию организации защиты рабочих мест удалённых пользователей во время сеанса связи с сервисами распределённой информационной системы. Суть концепции состоит в построении на компьютере пользователя изолированной программной среды, которая предоставляет достаточные условия для защищённой работы с сервисами распределённой информационной системы на определённый период времени. Такой подход позволяет снять значительную часть ограничений (в части установленного ПО, режимов работы и т.д.), неизбежно возникающих при использовании удален-

ного компьютера для защищенного взаимодействия. Класс защиты при этом не снижается.

Организация доверенного сеанса связи с помощью модуля "МАРШ!" - новинка, представленная на суд рынка минувшей осенью. Стоит отметить, что защита удаленного пользователя является одним из самых узких мест в системах безопасности организаций. Новое решение обеспечивает:

• изоляцию критически важных приложений при работе в недоверенной среде;

• строгую аутентификацию пользователя и криптографически стойкий контроль доступа;

• изоляцию сетевого взаимодействия от внешней сети, целостность передаваемых данных, защиту трафика от внедрения посторонних данных;

• отсутствие недекларированных возможностей и программных закладок;

• масштабируемость сети удаленного доступа до сотен тысяч пользователей;

• высокую экономическую эффективность решения в целом.

В решении используется шлюз безопасности CSP VPN Gate,

размещенный либо на отдельной платформе, либо в составе модуля NME-RVPN (МСМ). CSP VPN Gate предназначен для защиты передаваемой по протоколу TCP/IP открытой информации, а также конфиденциальной информации, не содержащей сведений, составляющих государственную тайну, в информационных системах с выполнением таких функций, как пакетная фильтрация трафика, защита трафика на основе шифрования пакетов по протоколам IPSec AH и/или IPSec ESP, идентификация и аутентификация партнеров при установлении соединения, контроль целостности пакетов с использованием хэш-функции.

Специальный загрузочный носитель может использоваться как на модуле NME-RVPN (МСМ) в варианте исполнения "МАРШ!-CF", так и непосредственно на стороне клиента в варианте исполнения "МАРШ!-^В". Он обеспечивает загрузку доверенной вычислительной среды, что позволяет достичь уровня защиты КС2 без применения дополнительных устройств типа "электронный замок".

Алексей Афанасьев, директор специальных проектов "С-Терра СиЭсПи", отметил: "Мы рады высокой оценке нашего инновационного решения компанией Reed Exhibitions. Помимо обеспечения безопасности работы удаленных пользователей, оно открывает новые возможности и для продуктов, уже активно использующихся заказчиками, в частности, для программно-аппаратного шлюза безопасности NME-RVPN в исполнении МСМ, разработанного "С-Терра СиЭсПи" совместно с компанией Cisco.

Дело в том, что уже внедренные версии модуля сертифицированы ФСБ России как средство криптографической защиты информации (СКЗИ) по классу защиты КС 1. При его использовании в комплексе с загрузочным модулем "МАРШ!" достигается более высокий уровень защиты. Поэтому в самое ближайшее мы планируем завершить испытания и предложить рынку решение на базе модуля NME-RVPN (МСМ)".

Преимущества использования программно-аппаратного комплекса CSP VPN Gate

• Обеспечение защиты трафика на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP.

• Обеспечение пакетной фильтрации трафика с использованием информации в полях заголовков сетевого и транспортного уровней.

• Различные наборы правил обработки трафика на различных интерфейсах.

• Интеллектуальное отслеживание доступности партнёров обмена (DPD).

• Интегрированный межсетевой экран.

• Поддержка работы мобильного пользователя в соответствии с политикой безопасности внутрикорпоративной сети (IKECFG сервер).

• Возможность получения сертификатов открытых ключей по протоколу LDAP.

• Поддержка маскировки реального IP адреса (туннелирование трафика).

• Управляемое событийное протоколирование (syslog).

• Мониторинг глобальной статистики по протоколу SNMP, совместимость с CiscoWorks VPN Monitor.

• Прозрачность для работы сервиса QoS.

• Поддержка инкапсуляции пакета ESP в UDP (NAT traversal).

• Совместимость с PKI и LDAP службами зарубежных и российских производителей (RSA Keon, Microsoft, SunONE, "Крипто-Про", "Валидата", "Сигнал-КОМ", "ЛИССИ").

Вывод

В современном мире необходимо рассматривать вопросы обеспечения безопасности информации при передаче данных по открытым сетям. Постоянное усовершенствование технологий угроз защите информации ведет к технологическому развитию средств защиты и наиболее перспективны на этом пути комплексные средства обеспечения доверенного сеанса связи.

----------------------------------------------- СПИСОК ЛИТЕРАТУРЫ

1. VPN [В Интернете]. - http://ru.wikipedia.org/wiki/VPN.

2. Веденьёв Л.Т., Леонтьев С.Е. и Попов В.О. Вопросы повышения безопасности ключей пользователей в среде вычислительной системы. [Конференция] // Доклад на конференции ГусКрипто 2QQ9.

3. Инновационное решение компании "С-Терра СиЭсПи" награждено дипломом. [В Интернете]. - 13 Январь 2Q11 r. -

http://www.itsec.ru/ newstext.php?news_id=73462.

4. Крипто-Про CSP [В Интернете]. http://www.cryptostandart.ru/showtopic/index.php?id=program_cryptopro.

5. Мельников Ю., Теренин А. Возможности нападения на информационные системы банка из Интернета и некоторые способы отражения этих атак [Журнал] // журнал "Банковские технологии". - 2QQ4 r..

6. Попов В.О. Вопросы реализации протоколов криптографической защиты информации. Боссийские ГоСт-ы и IPSEC, TLS, EFS, ФКН. [Конференция] // Доклад на конференции ?усКрипто 2Q1Q.

7. Программно-аппаратные комплексы CSP VPN Gate [В Интернете]. -http://www.vist-lan.ru/product/g-1QQb-l-5QQ3-3-sc/.

S. Уязвимости VPN. Часть 1 [В Интернете]. http://www.bcetyt.ra/intemet/game/ujazvimosti-vpn-chast-l.html. иігд=і

КОРОТКО ОБ АВТОРЕ -------------------------

Рыбаков Иван Владимирович - аспирант, ariessites@mail.ru Московский государственный горный университет, Moscow State Mining University, Russia, ud@msmu.ru