Модель сетевой защиты "хост-хост" при взаимодействии в корпоративных сетях Текст научной статьи по специальности «Компьютерные и информационные науки»

ЗАЩИТА ИНФОРМАЦИОННЫХ ПРОЦЕССОВ В КОМПЬЮТЕРНЫХ СИСТЕМАХ

В.В. Игнатов

Россия, г. Москва, ОАО «ИнфоТеКС»

МОДЕЛЬ СЕТЕВОЙ ЗАЩИТЫ "ХОСТ-ХОСТ"

ПРИ ВЗАИМОДЕЙСТВИИ В КОРПОРАТИВНЫХ СЕТЯХ

Введение

В настоящее время уже для многих стало ясным, что обеспечение безопасности информации на уровне локальной сети при межсетевом взаимодействии уже далеко недостаточная мера, если предполагать наличие злоумышленников в самих локальных сетях.

Мы здесь говорим о способах построения виртуальных защищенных сетей, в которых используются криптографические методы обеспечения безопасности. Остальные способы построения виртуальных сетей не рассматриваются, как не способные решить задачу обеспечения безопасности обмена информации надежным способом.

В настоящей статье рассматривается технология построения виртуальных защищенных сетей (VPN), когда установление защищенных соединений в большой распределенной сети, наряду со стандартными методами построения VPN типа Сеть - Сеть или Хост - Сеть, осуществляется также на уровне Хост-Хост, т. е. на уровне конечной системы на рабочей станции или сервере.

Это наиболее безопасный способ взаимодействия компьютеров в распределенной сети, когда имеется возможность полностью индивидуализировать трафик между каждой парой компьютеров и сделать его недоступным ни для кого, в том числе и для сетевых администраторов, из любой точки сети.

То есть каждый пользователь в этом случае может быть абсолютно уверен, что нигде, ни на каких промежуточных шлюзах и серверах, кроме конечной точки информация, которой он обменивается с этим конечным ресурсом, не появляется в открытом виде, не может быть подменена или модифицирована.

Одновременно, если модули VPN на компьютерах интегрированы с персональными сетевыми экранами, то можно утверждать, что обеспечивается не только безопасность информации при обмене между компьютерами, но и защищенность самих компьютеров от атак на криптографическую подсистему.

Считается, что такие системы трудны в управлении и установке и отличаются невысокой производительностью. В связи с этим такая структура VPN обычно не считается базовой, используется как вспомогательный элемент на особых критичных участках.

Очень часто такая задача решается путем перешифрования информации на промежуточных шлюзах, что, конечно, нельзя считать решением задачи, которая обсуждается в настоящей статье.

Здесь мы рассматриваем методы построения таких систем, когда поставленная задача решается весьма эффективно, с высокой масштабируемостью, без наложения ограничений и предъявления специальных дополнительных требований к сетевой инфраструктуре.

Постановка задачи

При решении данной задачи мы исходим из следующих исходных условий.

1. Задача взаимодействия компьютеров в режиме VPN должна решаться на сетевом уровне, позволяющем обеспечить любые способы сетевого взаимодействия как внутри локальной сети, так и при взаимодействии между локальными сетями, с удаленными компьютерами через общедоступные каналы и глобальные сети, включая, разумеется, Интернет.

Коммутируемые или выделенные каналы связи, сети MPLS, технологии DSL и Wireless, любые другие современные технологии, используемые при организации сетей, не должны оказывать влияние на созданную виртуальную сеть. Единственным ограничением является использование на сетевом уровне семейства протоколов IP.

2. Структура сетевой IP-адресации не должна иметь значения для виртуальной распределенной сети. Адреса могут быть доступными из глобальной сети или могут быть приватными, могут быть постоянными или выделяться по DHCP, могут пересекаться и повторяться в различных сетях. То есть на каждом компьютере, по существу, должна автоматически создаваться собственная структура IP-адресации к различным доступным узлам, не зависящая от реальных адресов компьютеров в распределенной сети.

3. Локальные сети или отдельные компьютеры могут подключаться к глобальной сети через устройства, осуществляющие преобразование адресов (NAT), например различные типы Firewall, DSL-модемы, Wireless - устройства и роутеры и т.д. То есть формат IP-пакетов, в которые производится инкапсуляция исходных IP-пакетов, должен быть понятным для различных устройств NAT.

4. Должны в полной мере поддерживаться существующие стандартные службы разрешения имен, которые используются приложениями и операционными системами различного типа, такие, как DNS, WINS, протоколы NetBIOS.

Сформулированные требования на самом деле означают, что наложенные на стандартную сетевую инфраструктуру средства VPN должны быть не только нечувствительны к различным типам сетевых приложений, функционирующих на компьютерах, но и создавать дополнительные возможности для их взаимодействия в сложной непрозрачной с точки зрении адресной структуры сети.

Модули VPN

Для решения поставленной задачи - обеспечение защищенного взаимодействия непосредственно между компьютерами в большой распределенной сети - в системе должны присутствовать, как минимум, 4 обязательных элемента. Для упрощения изложения рассмотрим решение данной задачи на примере конкретной VPN - системы - технологии ViPNet, стремительно развивающейся в настоящее время, в которой обсуждаемая тема реализована в полном объеме.

Центр управления сетью (ЦУС)

Поскольку мы ведем речь о корпоративной сети, то роль этого элемента весьма важна. В центре управления сетью производится регистрация объекта сети, присвоение ему уникального идентификатора, определение допустимых связей между взаимодействующими объектами, определение полномочий пользователей, установление взаимодействия с Центрами управления других виртуальных сетей и многие другие действия, связанные с первичной организацией сети и поддержкой ее функционирования.

Ключевой и удостоверяющий центр сети

Этот элемент сети создает всю ключевую инфраструктуру виртуальной сети на базе справочников связей, созданных в ЦУС, а также выполняет функции удостоверяющего центра для абонентов сети, зарегистрированных на объектах сети.

При создании в ЦУС каждого объекта сети, имеющего уникальный идентификатор, формируется ключевой дистрибутив для него, который однозначно идентифицирует этот объект в сети и делает его уникальным. Всем другим действующим объектам сети, с которыми новому объекту сети установили связи через ЦУС, рассылается соответствующая ключевая информация.

При установлении связей с объектами других виртуальных сетей информация о заданных связях высылается в соответствующий ЦУС и ключевой центр, где независимым образом формируется и рассылается необходимая ключевая информация для своих объектов. Генерация ключевой информации в каждой сети осуществляется на основании межсетевых мастер-ключей, которыми обменялись ключевые центры разных сетей на начальном этапе организации межсетевого взаимодействия.

Одновременно функция удостоверяющих центров обеспечивает создание всей необходимой инфраструктуры для функционирования процедур электронной цифровой подписи, обеспечивающей юридическую значимость документов, создаваемых приложениями, а также необходимой для создания дополнительной PKI

- составляющей ключевой структуры сети, о чем будет сказано ниже. Одновременно обеспечивается кроссертификация с удостоверяющими центрами (УЦ) других виртуальных сетей и УЦ других производителей.

VPN-клиент

Базовым элементом подобной системы должен являться некоторый модуль, функционирующий на низком уровне операционной системы и осуществляющий перехват всего трафика, поступающего через сетевые интерфейсы компьютера. Именно этот модуль должен обеспечить безопасность компьютера, информации для любого сетевого трафика, создаваемого любыми приложениями.

Данный модуль состоит из многих составляющих. Основной из них - Драйвер сетевой защиты, осуществляющий шифрование (VPN) и фильтрацию (персональный сетевой экран) трафика. Управление этим драйвером осуществляет программа «Монитор - клиент». Одновременно работает ряд других модулей, предотвращающих запуск несанкционированных сетевых приложений (модуль контроля приложений) и проведение специальных сетевых атак (модуль IDS).

VPN-координатор

Данный модуль выполняет все функции VPN-клиента, но имеет возможность расширить свое адресное пространство для шифрования трафика открытых компьютеров, установленных за VPN-координатором. То есть осуществляет также стандартное туннелирование трафика компьютеров, расположенных за своими внутренними интерфейсами. Точно так же VPN - координатор является межсетевым экраном для компьютеров, расположенных за ним. В состав VPN-координатора входит тот же, что и у клиента Драйвер сетевой защиты и «Монитор-координатор». В отличие от клиента Драйвер сетевой защиты дополнительно выполняет функции маршрутизации и, соответственно, обработки IP-пакетов, не предназначенных VPN-координатору, а также обеспечивает работу внутренних VPN-клиентов и туннелируемых компьютеров от имени своего адреса. Монитор-координатор выполняет много разных функций, но основная их них - функция

сервера IP-адресов, позволяющая организовать работу VPN-клиентов в любой сложной сети.

Ключевая структура сети

Одним из главных условий надежного функционирования распределенной виртуальной сети является простая (с точки зрения пользователя), надежная (с точки зрения безопасности), и легко управляемая и масштабируемая (с точки зрения администратора) ключевая система.

В рассматриваемом решении базовой составляющей является подсистема централизованного управления (на уровне данной виртуальной сети) симметричной ключевой структурой корпоративной сети, обеспечивающей высокий уровень безопасности функционирования сети в целом и межсетевого взаимодействия с другими сетями.

Дополнительной составляющей является подсистема «открытого» распределения ключей (PKI). Эта подсистема функционирует под защитой симметричной ключевой структуры, в связи с чем проблемы безопасности, свойственные ключевым системам с открытым распределением ключей, становятся не актуальными.

Из-за отсутствия необходимости при симметричной ключевой структуре проводить сеансы аутентификации в процессе каждого соединения компьютеров обеспечивается свойство мгновенности соединений, что очень важно для технологий VPN, особенно клиентского уровня. Наличие подсистемы PKI обеспечивает независимость пользователей от возможных компрометаций ключей в центре. Сеансы обмена «открытыми» ключами скрыты в общем потоке зашифрованной информации и, в связи с этим, трудно атакуемы. Комбинированная ключевая структура предоставляет возможность:

- построить масштабируемую безопасную систему распределения симметричных ключей, и одновременно обеспечить управление допустимыми связями объектов сети для доступа к информации;

- производить распределение симметричных ключей в автоматизированном режиме, не требующем вмешательства пользователей в этот процесс;

- обеспечить защиту объектов сети от возможных компрометаций в центральных администрациях за счет функционирования под защитой системы симметричного распределения простой автоматической подсистемы открытого распределения ключей;

- обеспечить безопасность функционирования процедур электронной цифровой подписи в соответствии с действующим федеральным законом.

Общие принципы обработки IP-пакетов драйвером сетевой защиты Виртуальные адреса

За счет системы автоматической регистрации и взаимодействия со службой сервера IP-адресов VPN-координаторов драйверу сетевой защиты всегда известен реальный список IP-адресов каждого объекта сети, с которым разрешены связи. Эти адреса могут меняться и быть одинаковыми для различных идентификаторов объектов сети. Драйвер при регистрации списка адресов для каждого объекта автоматически вырабатывает уникальные виртуальные адреса, которые уже не могут иметь конфликтов. Если используются виртуальные адреса, то именно эти адреса и передаются приложениям. Виртуальные адреса присутствуют только на данном компьютере. Пакеты с этими адресами в сеть никогда не поступают.

Шифрование и инкапсуляция пакетов

Драйвер сетевой защиты для всех типов исходящих или туннелируемых пакетов, IP-адреса которых сопоставлены для определенного идентификатора, производит упаковку (инкапсуляцию) этих пакетов в другой пакет протокола UDP или IP/241.

Протокол UDP драйвер автоматически использует, если считает, что на пути следования IP-пакета присутствуют устройства, осуществляющие преобразование адресов (NAT). В ином случае используется протокол IP/241. При этом:

- в исходном пакете перед упаковкой в качестве адреса назначения всегда подставляется реальный адрес получателя, независимо от адреса видимости узла (реального или виртуального);

- исходный пакет помещается в тело нового UDP или IP 241 VPN-пакета;

- в тело нового пакета также помещаются метка времени, идентификаторы отправителя и получателя, синхропосылка, имитовставка, а в служебные пакеты посылаемые Монитором, - сведения об адресах доступа через Firewall, список адресов узла;

- если в теле пакета содержатся виртуальные IP-адреса, то производятся необходимые подмены адресов на реальные адреса и добавление идентификаторов узлов, соответствующих адресам. Таким способом обеспечивается полная поддержка служб DNS и NetBIOS имен;

- информация в теле, кроме идентификаторов, шифруется. Вырабатывается имитовставка, зависящая от всего тела нового пакета;

- в качестве адреса и порта (для UDP) назначения ViPNet-пакета подставляются IP-адрес, на который реально должен уйти пакет, а также порт доступа к узлу назначения;

- в качестве адреса и порта источника VPN-пакета подставляются реальный IP-адрес интерфейса, с которого уходит пакет, и порт, назначенный для данного узла-отправителя;

- при прохождении пакета через координаторы, адреса и порты ViPNet-пакетов подменяются на адрес и порт интерфейса, с которого уходит пакет.

При приеме пакета конечным узлом исходный пакет расшифровывается и извлекается из тела VPN-пакета. При этом в качестве адреса источника, а также внутри тела пакета всегда подставляется соответствующий адрес видимости узла (реальный или виртуальный).

Таким образом, драйвер обеспечивает полностью независимую обработку каждого IP-пакета в темпе их поступления, не устанавливая никаких дополнительных специальных сессий для аутентификации или обмена ключами.

Обмен и распределение ключей производится на прикладном уровне программой Монитор.

Фильтрация трафика

Драйвер производит фильтрацию как открытого трафика (если разрешено вообще его пропускать) в соответствии с заданными правилами, так и фильтрацию расшифрованного или подлежащего шифрованию трафика в соответствии с заданными правилами для соответствующего узла. В последнем случае фильтрация производится на основании строгой криптографической аутентификации принадлежности трафика.

По умолчанию для открытого трафика задана стратегия, обеспечивающая возможность установления инициативных соединений с защищенного узла с открытыми ресурсами и невозможность инициативного соединения со стороны открытых ресурсов на защищенный узел.

Место Драйвера сетевой защиты в составе операционной системы

ViPNet VPN - Firewall driver in architecture of a computer

HTTP IP ViPNet Monitor,

Application Layer FTP SMTP Telephony Busines mail

Secure Sockets Layer Transport Layer

Network Layer

ViPNet Isolation Layer

S S L

TCP UDP

IP (Internet Protocol)

Other

Protocols

(VPN-Firewall-driver)

Physical & Data Link Layers

Рис.1.

Как видно из рис.1, Драйвер сетевой защиты взаимодействует непосредственно с драйверами сетевых интерфейсов компьютера и ему доступен для контроля весь трафик данного компьютера. Протокол SSL, который некоторые авторы часто относят также к категории средств VPN, функционирует существенно на более высоком уровне и не контролирует весь поступающий трафик и, в связи с этим, не может быть отнесен к категории средств VPN

Общие принципы работы службы Сервера IP-адресов VPN-координатора

Клиент высылает служебную информацию о себе, своем включении и отключении на координатор Ki, который они выбрали своим сервером IP-адресов. Такие Клиенты являются для координатора Ki Клиентами, имеющими прямое подключение (КПП):

- Клиент может выбрать в качестве сервера IP-адресов любой известный ему координатор. Однако при выборе в качестве сервера IP-адресов координатора чужой сети ему будет сообщена информация только об узлах этой чужой сети;

- Клиент может выбрать любой известный ему координатор (в том числе чужой сети) в качестве Firewall, то есть встать за него.

При этом весь трафик будет идти через этот координатор, а в качестве сервера IP-адресов может остаться его координатор по умолчанию. В этом случае Клиент сообщает координатору, за который он встал, список узлов, сообщенный ему сервером IP-адресов.

Координатор Ki рассылает служебную информацию:

- на все координаторы, с которыми связан;

- о себе, своем включении и отключении;

- на координатор Kj;

- о своих КПП, имеющих связь с Клиентами, связанных с координатором К или самим координатором Кц

Координатор Ю, не имеющий связи с координаторами другой сети Si, дополнительно высылает информацию:

- на один из доступных координаторов своей сети, связанный с координаторами сети Si;

- о своих КПП, связанных с узлами сети Si;.

Координатор Ю, имеющий связь с координаторами другой сети Si, дополнительно высылает информацию:

- на один из доступных координаторов сети Si;

- о всех узлах, имеющих связь с узлами сети Si, информация о которых получена от координаторов своей сети, не имеющих связи с координаторами сети Si;

- на координаторы К своей сети, не имеющие связи с координаторами сети

Si;

- об узлах, информация о которых получена от координаторов сети Si, и имеющих связь с Клиентами, связанных с координаторами К или самими координаторами ю.

Координатор высылает полученную информацию о других узлах своим КПП в соответствии с их связями.

То есть максимально допустимые цепочки связности следующие (рис.2).

Рис.2

Информация о включении Клиента А1 может быть доведена до другого узла:

- этой же сети максимум через два связанных между собой координатора;

- другой сети максимум через 4 координатора (не более двух в каждой сети), связанных между собой по цепочке.

При этом связь Клиента с другими координаторами, кроме свого сервера ІР-адресов, не обязательна.

Информация о включении координатора К1 может быть доведена до другого координатора:

- этой же сети только при наличии связи между ними.

- другой сети максимум через два координатора (по одному в каждой сети), связанных между собой по цепочке.

Заключение

Рассмотренная в настоящей статье технология предоставляет возможность наложить на существующую информационную инфраструктуру распределенную систему персональных и межсетевых экранов, осуществляющих фильтрацию и шифрование трафика, что обеспечивает конфиденциальность и достоверность ин-

формации даже при наличии компьютерных сетевых атак, как из глобальных, так и из локальных сетей.

С помощью данной технологии обеспечивается возможность построения защищенных подсистем произвольных топологий, возможность создания внутри распределенной сети взаимно-недоступных виртуальных защищенных контуров для обеспечения функционирования в единой телекоммуникационной среде различных по конфиденциальности или назначению информационных задач. В виртуальный контур могут включаться как отдельные компьютеры, так и группы компьютеров, выделенные в отдельную подсеть.

Более чем десятилетний опыт применения предлагаемых решений в технологиях виртуальных защищенных сетей ^Р№^ в том числе в больших распределенных сетях Пенсионного фонда России, Российских железных дорог, различных министерств, ведомств, коммерческих организаций, объединяющих тысячи объектов, подтверждает их эффективность.

В.П. Иванников, В.П. Варновский, В.А. Захаров, Н.Н. Кузюрин, А.В. Шокуров

Россия, г. Москва, ИСП РАН А.Н. Кононов, А.В. Калинин

Россия, г. Зеленоград, ОАО ЗИТЦ

МЕТОДЫ ИНФОРМАЦИОННОЙ ЗАЩИТЫ ПРОЕКТНЫХ РЕШЕНИЙ ПРИ ИЗГОТОВЛЕНИИ МИКРОЭЛЕКТРОННЫХ СХЕМ

Высокотехнологичная индустрия зависит от уровня развития микроэлектроники. Поскольку международное разделение труда становится доминирующим фактором промышленного развития, многие технологические цепочки становятся уязвимыми с точки зрения требований информационной безопасности.

В частности, процесс проектирования микроэлектронных схем может отделяться от процесса их производства и выполняться за рубежом, что не позволяет осуществить полный контроль со стороны заказчиков.

Эти проблемы особенно актуальны для России, которая испытывает потребность в специализированном микроэлектронном оборудовании, имеет высококвалифицированных специалистов по проектированию микросхем, но не располагает достаточными индустриальными и технологическими возможностями для поддержки полного цикла производства интегральных схем с высоким уровнем миниатюризации.

В связи с этим возникают серьезные проблемы, связанные с предотвращением утечки секретной информации и защитой проектных решений от несанкционированного вмешательства на этапе производства микросхем.

Главная специфика указанных проблем состоит в том, что традиционные организационно-технические процедуры обеспечения безопасности не могут в полной мере гарантировать их решение - некоторые звенья технологической цепочки производства микроэлектронных схем будут неизбежно оставаться открытыми для несанкционированного постороннего вмешательства.

Поэтому возникает необходимость создания таких технологий и инструментальных средств обеспечения информационной защиты проектных решений, которые позволяли бы предотвратить извлечение секретной информации из открытого описания микросхем на этапе их изготовления.

В основу таких технологий могут быть положены математические методы защиты проектных решений, подобные тем, которые успешно зарекомендовали себя в криптографии.