CC BY
440
УДК 681.3
А. И. ПРУДНИКОВ Ц В. Г. ШАХОВ L-
Омский государственный университет путей сообщения
ОСОБЕННОСТИ ИСПОЛЬЗОВАНИЯ ТЕХНОЛОГИИ VIPNET ДЛЯ ЗАЩИТЫ ИНФОРМАЦИИ В КОРПОРАТИВНЫХ СЕТЯХ______________________________
В статье проведено краткое описание и анализ защищенности распределенных локальных сетей. Выделены проблемы безопасности информационных ресурсов автоматизированных систем, взаимодействующих между собой. На основе анализа выделен целесообразный метод защиты ресурсов, описан комплексный механизм метода. Описана отечественная технология и способы ее применения.
Ключевые слова: виртуальные частные сети, информационная безопасность, угроза, PKI, межсетевой экран, технология ViPNet.
В настоящее время в нашей стране уделяется большое внимание информатизации и информационной безопасности. Об этом говорит множество федеральных законов, подзаконных актов и нормативной документации в разных областях внедрения информационных технологий. Также происходит активное внедрение технологий и способов защиты информации на законодательном уровне практически во все государственные службы и ведомства, развивается система электронного правительства. Последнее время идёт активное обсуждение мер защиты персональных данных и, в частности, конфиденциальной информации.
Если рассматривать защищаемые объекты информатизации в целом, то большую составную часть, а именно как средство обмена информацией в электронном виде между автономными системами, составляют каналы передачи данных или сети, как локальные, так и глобальные. В рамках данной статьи будут рассмотрены вопросы защиты локальных сетей и систем, использующих различные каналы передачи данных.
Современные локальные сети имеют различную сетевую структуру и топологию, от малых сетей, расположенных в одном помещении и имеющих одну среду передачи данных, до больших распределённых корпоративных, состоящих из множества филиалов, располагающихся территориально на расстоянии друг от друга. Если же рассматривать в целом понятие локальная сеть, то это автоматизированная система (АС), имеющая свои границы и состоящая из определённых составляющих.
Таким образом, все локальные сети можно разделить на следующие составляющие:
— компьютеры конечных пользователей;
— активное оборудование;
— сервера приложений и сервисов;
— структурная кабельная система.
Говоря же о распределённой сети предприятия с точки зрения уязвимости сети, можно добавить как составляющую точку подключения к каналу связи для соединения филиалов с главным офисом. Для этих целей может использоваться либо выделенная линия
связи, либо подключение всех распределённых участков к сети общего доступа Интернет. В данном случае наличие такого подключения будет означать соединение АС предприятия с другой АС, имеющей более низкий уровень защищённости ( рис. 1).
Этот участок сети предприятия будем считать самым уязвимым для атак злоумышленников. Даже если существует выделенная линия связи, то для физического нарушения целостности и доступа к информации данный канал всё равно остаётся открытым.
На практике многие современные предприятия имеют доступ в Интернет, следовательно, их АС имеют соединение с сетями общего доступа, что ставит под угрозу безопасность информационных ресурсов этих систем. Под угрозой безопасности информационных ресурсов будем понимать возможность реализации любого случайного или преднамеренного действия, способного привести к нарушению их безопасности. Нарушение безопасности корпоративной сети состоит в нарушении следующих свойств информации:
— конфиденциальности;
— целостности и подлинности;
— аутентичности;
— доступности.
Исходя из анализа угроз безопасности информационных ресурсов, можно сделать выводы о механизмах защиты сетей в целом, как локальных в составе автономных АС, так и распределённых, с доступом в Интернет.
За время существования информационных технологий было разработано множество протоколов и стандартов, обеспечивающих единый порядок взаимодействия и применения мер защиты [1]. Одними из самых надёжных и доступных являются технологии VPN (Virtual Private Network). Для обеспечения свойств конфиденциальности и целостности используется шифрование трафика ( криптография), для обеспечения подлинности и аутентичности используется технология PKI ( Инфраструктура открытых ключей), а для обеспечения доступности и разграничения прав доступа используются защита систем и межсетевые экраны ( МЭ).
ОМСКИЙ НАУЧНЫЙ ВЕСТНИК № 2 (110) 2012 ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ ОМСКИЙ НАУЧНЫЙ ВЕСТНИК № 2 (110) 2012
Для осуществления всех вышеперечисленных требований, в зависимости от требуемого уровня защищённости, существует несколько технологий, разработанных в РФ. Исходя из опыта автора, как одна из самых распространённых и самых универсальных будет рассмотрена технология ViPNet.
Технология ViPNet [2] предназначена для создания целостной системы доверительных отношений и безопасного функционирования технических средств и информационных ресурсов корпоративной сети, взаимодействующей также и с внешними техническими средствами и информационными ресурсами.
Доверительность отношений, безопасность коммуникаций, технических средств и информационных ресурсов достигается путем создания в телекоммуникационной инфраструктуре корпоративной сети виртуальной защищенной среды (VPN), которая включает в себя:
— распределенную систему межсетевых и персональных сетевых экранов, защищающую информационные ресурсы пользователей как от внешних, так и внутренних сетевых атак;
— распределенную систему межсетевого и персонального шифрования трафика любых приложений и операционной системы, гарантирующую целостность и конфиденциальность информации как на внешних, так и на внутренних коммуникациях и обеспечивающую разграничение доступа к техническим и информационным ресурсам;
— систему электронной цифровой подписи и шифрования информации на прикладном уровне, обеспечивающую достоверность и юридическую значимость документов и совершаемых действий;
— систему контроля и управления связями, правами и полномочиями защищенных объектов;
— корпоративной сети, обеспечивающую автоматизированное управление политиками безопасности в корпоративной сети;
— комбинированную систему управления ключами, включающую подсистему асимметричного распределения ключей, обеспечивающую информационную независимость пользователей в рамках заданных политик безопасности от центральной администрации. Подсистему распределения симметричных ключей, гарантирующую высокую надежность и безопасность всех элементов централизованного управления средствами ViPNet;
— систему, обеспечивающую защищенное взаимодействие между разными виртуальными частными сетями ViPNet путем взаимного согласования между администрациями сетей допустимых межобъ-ектных связей и политик безопасности.
Технология ViPNet — это пакет программного обеспечения для операционных систем Windows, Linux, Solaris, позволяющий организовать виртуальную сеть, защищенную от несанкционированного доступа до класса 1В включительно для автоматизированных систем и до 3-го класса включительно для межсетевых экранов. В состав пакета входит ПО ViPNet [Администратор] — модуль, создающий логическую инфраструктуру сети, определяющий политику безопасности в ней, осуществляющий мониторинг и управление объектами сети. Он также формирует и в последующем обновляет симметричную ключевую и первичную парольную информацию для объектов и пользователей сети, выпускает сертификаты открытых ключей для пользователей сети. ПО ViPNet [Администратор] является основной частью Удостоверяющего центра.
ViPNet [ Координатор] — многофункциональный модуль, выполняющий следующие функции:
— маршрутизацию почтовых и управляющих защищенных сообщений при взаимодействии объектов сети между собой и ViPNet [Администратором];
— осуществление в реальном времени регистрации и предоставление информации о состоянии объектов сети, их местоположении, значении их IP-адресов и др.;
— обеспечение работы защищенных компьютеров локальной сети в VPN от имени одного адреса (функция proxy);
— туннелирование пакетов от обслуживаемой ViPNet [Координатором] группы незащищенных компьютеров локальной сети для передачи трафика от них к другим объектам VPN в зашифрованном виде по открытым каналам;
— фильтрацию трафика от источников, не входящих в состав VPN, в соответствии с заданной политикой безопасности (функция межсетевого экрана);
— обеспечение возможности работы защищенных по технологии ViPNet компьютеров локальной сети через сетевые экраны и прокси-серверы других производителей.
ViPNet [Клиент] — модуль, обеспечивающий защиту информации при ее передаче в сеть, защиту от доступа к ресурсам компьютера и атак на него из локальных и глобальных сетей, а также реализующий на каждом рабочем месте следующие функции: защищенные службы для организации циркулярного обмена сообщениями, проведения конференций, защищенную почтовую службу и др. При этом ViPNet [Клиент] может быть установлен как на рабочую станцию (мобильную, удаленную, локальную) , так и на всевозможные типы серверов (баз
Рис. 2. Взаимодействие криптошлюзов
> OiKpi.in.ià ф;м|шк
Рис. 3. Закрытый и открытый сегменты
данных, файл-серверов, WWW, FTP, SMTP, SQL и пр.) с целью обеспечения безопасных режимов их использования.
Для защиты большинства типов сетей можно выделить несколько типовых схем применения данной технологии.
Самая быстрореализуемая и выполняющая функции защиты связи распределённых филиалов схема представлена на рис. 2. Схема состоит из криптошлюзов (ViPNet [ Координаторов]), которые создают туннель.
Трафик проходящий по VPN-туннелю передаётся шифрованный. Таким образом создаётся защищённый канал, соединяющий главный офис и удалённый филиал. Трафик внутри локальных сетей не шифруется [3].
В следующей схеме, представленной на рис. 3, реализована возможность использовать сервисы PKI. Компьютеры, на которых установлен модуль ViP-Net [Клиент], являются участниками защищённой сети.
Весь трафик между ними будет передаваться шифрованным, а функции сервера-маршрутизатора
выполняет У1РЫе1 [Координатор]. В данном случае образуется два сегмента сети, защищённые компьютеры и открытый сегмент, который будет иметь возможность наряду с доступом в сеть филиала иметь доступ в сети общего пользования. Защищённые же компьютеры доступа в сети общего пользования не имеют. Во всём защищённом сегменте реализована ЭЦП, почтовая служба («Деловая почта»). Также доступ к корпоративной сети имеют мобильные клиенты с установленным ПО У1РЫе1 [ Клиент].
Особенностью данной технологии является функция, позволяющая клиентам полностью защищённой сети, т.е. на всех компьютерах сети установлен У1Р-Ые1 [Клиент], иметь возможность связываться с сетями общего доступа без снижения уровня защищённости системы в целом. Такая функция называется «Открытый интернет», типовая схема включения изображена на рис. 4.
В роли интернет-шлюза выступает отдельный У1РЫе1 [Координатор], туннелирующий открытый трафик пользователям защищённой сети. Технология позволяет работать конечным пользователям только в двух режимах:
ОМСКИЙ НАУЧНЫЙ ВЕСТНИК № 2 (110) 2012 ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ ОМСКИЙ НАУЧНЫЙ ВЕСТНИК № 2 (110) 2012
Рис. 4. Схема с «Открытым Интернетом»
— либо в Интернете, с блокировкой любого трафика в защищённую сеть;
— либо в защищённой сети, с блокировкой любого трафика Интернет.
При таком взаимодействии отключение клиентов физически от защищённой сети и наоборот не происходит, но при переключении режимов, переключение из одной сети в другую эквивалентно физическому. Организовать разграниченный доступ можно дополнительно, установив на сервере «Открытого Интернета» любые доступные Ршху-сервисы.
Рассматривая вопрос увеличения нагрузки на сеть, а как следствие — уменьшение пропускной способности сети, необходимо учитывать общее количество криптографических средств, участвующих в передаче данных. В общем случае формула для расчета пропускной способности сети [4], с учетом коллизий и размера пакета, выглядит как
Враб = рра6 - 26) т (1)
где Браб — рабочая полезная пропускная способность, Мбит/с, Рраб — рабочая пропускная способность, вычисляется с учетом коллизий, Ь1 — максимальный размер пакета. С учетом особенности использования технологии размер пакета при шифровании увеличивается на 61—69 байт [2], таким образом, исходя из расчета по (1), рабочая полезная пропускная способность составляет 72,3 Мбит/с.
Технология У1РНе1 может использоваться в государственных учреждениях, т.к. все используемые
криптоалгоритмы соответствуют отечественным ГОСТам. На данный момент технология применяется в Пенсионном фонде России, ОАО «РЖД» и других правительственных и коммерческих организациях.
Библиографический список
1. Столлингс, В. Основы защиты сетей. Приложения и стандарты. / В. Столингс. — М. : Вильямс, 2002. — 432 с. — БВК 5-8459-0298-3.
2. Официальный сайт компании «ИнфоТеКС» [Электронный ресурс]. — иИЬ: http://www.infotecs.ru. ( дата обращения 01.12.2010).
3. Запечников, С. В. Основы построения виртуальных частных сетей : учеб. пособие для вузов / С. В. Запечников, Н. Г. Ми-лославская, А. И. Толстой. — М. : Горячая линия— Телеком, 2011. - 248 с. - БВК 978-5-9912-0215-2.
4. Олифер, И. Г. Компьютерные сети. Принципы, технологии, протоколы : учебник для вузов / И. Г. Олифер, Н. А. Оли-фер. - 3-е изд., перераб. и доп. - СПб. : Питер, 2007. - 960 с. -БВК 5-469-00504-6.
ПРУДНИКОВ Антон Игоревич, аспирант кафедры «Автоматика и системы управления».
ШАХОВ Владимир Григорьевич, кандидат технических наук, профессор кафедры «Автоматика и системы управления».
Адрес для переписки: [email protected]
Статья поступила в редакцию 24.03.2011 г.
© А. И. Прудников, В. Г. Шахов
