Научная статья на тему 'Особенности использования технологии ViPNet для защиты информации в корпоративных сетях'

Особенности использования технологии ViPNet для защиты информации в корпоративных сетях Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
2525
445
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ВИРТУАЛЬНЫЕ ЧАСТНЫЕ СЕТИ / ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / УГРОЗА / МЕЖСЕТЕВОЙ ЭКРАН / ТЕХНОЛОГИЯ VIPNET / PKI / VIRTUAL PRIVATE NETWORKS / INFORMATION SECURITY / THREAT / FIREWALL / VIPNET TECHNOLOGY

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Прудников Антон Игоревич, Шахов Владимир Григорьевич

В статье проведено краткое описание и анализ защищенности распределенных локальных сетей. Выделены проблемы безопасности информационных ресурсов автоматизированных систем, взаимодействующих между собой. На основе анализа выделен целесообразный метод защиты ресурсов, описан комплексный механизм метода. Описана отечественная технология и способы ее применения.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Прудников Антон Игоревич, Шахов Владимир Григорьевич

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Features of ViPNet technology for securing information of corporate networks

In this article a brief description and analysis of local networks security are given. Problems of informational resources security of automated systems interacting with each other are defined. On the bases of the analyses an efficient method of resources security is defined and complex mechanism of the method is described. Domestic technology and methods of its application are represented.

Текст научной работы на тему «Особенности использования технологии ViPNet для защиты информации в корпоративных сетях»

УДК 681.3

А. И. ПРУДНИКОВ Ц В. Г. ШАХОВ L-

Омский государственный университет путей сообщения

ОСОБЕННОСТИ ИСПОЛЬЗОВАНИЯ ТЕХНОЛОГИИ VIPNET ДЛЯ ЗАЩИТЫ ИНФОРМАЦИИ В КОРПОРАТИВНЫХ СЕТЯХ______________________________

В статье проведено краткое описание и анализ защищенности распределенных локальных сетей. Выделены проблемы безопасности информационных ресурсов автоматизированных систем, взаимодействующих между собой. На основе анализа выделен целесообразный метод защиты ресурсов, описан комплексный механизм метода. Описана отечественная технология и способы ее применения.

Ключевые слова: виртуальные частные сети, информационная безопасность, угроза, PKI, межсетевой экран, технология ViPNet.

В настоящее время в нашей стране уделяется большое внимание информатизации и информационной безопасности. Об этом говорит множество федеральных законов, подзаконных актов и нормативной документации в разных областях внедрения информационных технологий. Также происходит активное внедрение технологий и способов защиты информации на законодательном уровне практически во все государственные службы и ведомства, развивается система электронного правительства. Последнее время идёт активное обсуждение мер защиты персональных данных и, в частности, конфиденциальной информации.

Если рассматривать защищаемые объекты информатизации в целом, то большую составную часть, а именно как средство обмена информацией в электронном виде между автономными системами, составляют каналы передачи данных или сети, как локальные, так и глобальные. В рамках данной статьи будут рассмотрены вопросы защиты локальных сетей и систем, использующих различные каналы передачи данных.

Современные локальные сети имеют различную сетевую структуру и топологию, от малых сетей, расположенных в одном помещении и имеющих одну среду передачи данных, до больших распределённых корпоративных, состоящих из множества филиалов, располагающихся территориально на расстоянии друг от друга. Если же рассматривать в целом понятие локальная сеть, то это автоматизированная система (АС), имеющая свои границы и состоящая из определённых составляющих.

Таким образом, все локальные сети можно разделить на следующие составляющие:

— компьютеры конечных пользователей;

— активное оборудование;

— сервера приложений и сервисов;

— структурная кабельная система.

Говоря же о распределённой сети предприятия с точки зрения уязвимости сети, можно добавить как составляющую точку подключения к каналу связи для соединения филиалов с главным офисом. Для этих целей может использоваться либо выделенная линия

связи, либо подключение всех распределённых участков к сети общего доступа Интернет. В данном случае наличие такого подключения будет означать соединение АС предприятия с другой АС, имеющей более низкий уровень защищённости ( рис. 1).

Этот участок сети предприятия будем считать самым уязвимым для атак злоумышленников. Даже если существует выделенная линия связи, то для физического нарушения целостности и доступа к информации данный канал всё равно остаётся открытым.

На практике многие современные предприятия имеют доступ в Интернет, следовательно, их АС имеют соединение с сетями общего доступа, что ставит под угрозу безопасность информационных ресурсов этих систем. Под угрозой безопасности информационных ресурсов будем понимать возможность реализации любого случайного или преднамеренного действия, способного привести к нарушению их безопасности. Нарушение безопасности корпоративной сети состоит в нарушении следующих свойств информации:

— конфиденциальности;

— целостности и подлинности;

— аутентичности;

— доступности.

Исходя из анализа угроз безопасности информационных ресурсов, можно сделать выводы о механизмах защиты сетей в целом, как локальных в составе автономных АС, так и распределённых, с доступом в Интернет.

За время существования информационных технологий было разработано множество протоколов и стандартов, обеспечивающих единый порядок взаимодействия и применения мер защиты [1]. Одними из самых надёжных и доступных являются технологии VPN (Virtual Private Network). Для обеспечения свойств конфиденциальности и целостности используется шифрование трафика ( криптография), для обеспечения подлинности и аутентичности используется технология PKI ( Инфраструктура открытых ключей), а для обеспечения доступности и разграничения прав доступа используются защита систем и межсетевые экраны ( МЭ).

ОМСКИЙ НАУЧНЫЙ ВЕСТНИК № 2 (110) 2012 ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ ОМСКИЙ НАУЧНЫЙ ВЕСТНИК № 2 (110) 2012

Для осуществления всех вышеперечисленных требований, в зависимости от требуемого уровня защищённости, существует несколько технологий, разработанных в РФ. Исходя из опыта автора, как одна из самых распространённых и самых универсальных будет рассмотрена технология ViPNet.

Технология ViPNet [2] предназначена для создания целостной системы доверительных отношений и безопасного функционирования технических средств и информационных ресурсов корпоративной сети, взаимодействующей также и с внешними техническими средствами и информационными ресурсами.

Доверительность отношений, безопасность коммуникаций, технических средств и информационных ресурсов достигается путем создания в телекоммуникационной инфраструктуре корпоративной сети виртуальной защищенной среды (VPN), которая включает в себя:

— распределенную систему межсетевых и персональных сетевых экранов, защищающую информационные ресурсы пользователей как от внешних, так и внутренних сетевых атак;

— распределенную систему межсетевого и персонального шифрования трафика любых приложений и операционной системы, гарантирующую целостность и конфиденциальность информации как на внешних, так и на внутренних коммуникациях и обеспечивающую разграничение доступа к техническим и информационным ресурсам;

— систему электронной цифровой подписи и шифрования информации на прикладном уровне, обеспечивающую достоверность и юридическую значимость документов и совершаемых действий;

— систему контроля и управления связями, правами и полномочиями защищенных объектов;

— корпоративной сети, обеспечивающую автоматизированное управление политиками безопасности в корпоративной сети;

— комбинированную систему управления ключами, включающую подсистему асимметричного распределения ключей, обеспечивающую информационную независимость пользователей в рамках заданных политик безопасности от центральной администрации. Подсистему распределения симметричных ключей, гарантирующую высокую надежность и безопасность всех элементов централизованного управления средствами ViPNet;

— систему, обеспечивающую защищенное взаимодействие между разными виртуальными частными сетями ViPNet путем взаимного согласования между администрациями сетей допустимых межобъ-ектных связей и политик безопасности.

Технология ViPNet — это пакет программного обеспечения для операционных систем Windows, Linux, Solaris, позволяющий организовать виртуальную сеть, защищенную от несанкционированного доступа до класса 1В включительно для автоматизированных систем и до 3-го класса включительно для межсетевых экранов. В состав пакета входит ПО ViPNet [Администратор] — модуль, создающий логическую инфраструктуру сети, определяющий политику безопасности в ней, осуществляющий мониторинг и управление объектами сети. Он также формирует и в последующем обновляет симметричную ключевую и первичную парольную информацию для объектов и пользователей сети, выпускает сертификаты открытых ключей для пользователей сети. ПО ViPNet [Администратор] является основной частью Удостоверяющего центра.

ViPNet [ Координатор] — многофункциональный модуль, выполняющий следующие функции:

— маршрутизацию почтовых и управляющих защищенных сообщений при взаимодействии объектов сети между собой и ViPNet [Администратором];

— осуществление в реальном времени регистрации и предоставление информации о состоянии объектов сети, их местоположении, значении их IP-адресов и др.;

— обеспечение работы защищенных компьютеров локальной сети в VPN от имени одного адреса (функция proxy);

— туннелирование пакетов от обслуживаемой ViPNet [Координатором] группы незащищенных компьютеров локальной сети для передачи трафика от них к другим объектам VPN в зашифрованном виде по открытым каналам;

— фильтрацию трафика от источников, не входящих в состав VPN, в соответствии с заданной политикой безопасности (функция межсетевого экрана);

— обеспечение возможности работы защищенных по технологии ViPNet компьютеров локальной сети через сетевые экраны и прокси-серверы других производителей.

ViPNet [Клиент] — модуль, обеспечивающий защиту информации при ее передаче в сеть, защиту от доступа к ресурсам компьютера и атак на него из локальных и глобальных сетей, а также реализующий на каждом рабочем месте следующие функции: защищенные службы для организации циркулярного обмена сообщениями, проведения конференций, защищенную почтовую службу и др. При этом ViPNet [Клиент] может быть установлен как на рабочую станцию (мобильную, удаленную, локальную) , так и на всевозможные типы серверов (баз

Рис. 2. Взаимодействие криптошлюзов

> OiKpi.in.ià ф;м|шк

Рис. 3. Закрытый и открытый сегменты

данных, файл-серверов, WWW, FTP, SMTP, SQL и пр.) с целью обеспечения безопасных режимов их использования.

Для защиты большинства типов сетей можно выделить несколько типовых схем применения данной технологии.

Самая быстрореализуемая и выполняющая функции защиты связи распределённых филиалов схема представлена на рис. 2. Схема состоит из криптошлюзов (ViPNet [ Координаторов]), которые создают туннель.

Трафик проходящий по VPN-туннелю передаётся шифрованный. Таким образом создаётся защищённый канал, соединяющий главный офис и удалённый филиал. Трафик внутри локальных сетей не шифруется [3].

В следующей схеме, представленной на рис. 3, реализована возможность использовать сервисы PKI. Компьютеры, на которых установлен модуль ViP-Net [Клиент], являются участниками защищённой сети.

Весь трафик между ними будет передаваться шифрованным, а функции сервера-маршрутизатора

выполняет У1РЫе1 [Координатор]. В данном случае образуется два сегмента сети, защищённые компьютеры и открытый сегмент, который будет иметь возможность наряду с доступом в сеть филиала иметь доступ в сети общего пользования. Защищённые же компьютеры доступа в сети общего пользования не имеют. Во всём защищённом сегменте реализована ЭЦП, почтовая служба («Деловая почта»). Также доступ к корпоративной сети имеют мобильные клиенты с установленным ПО У1РЫе1 [ Клиент].

Особенностью данной технологии является функция, позволяющая клиентам полностью защищённой сети, т.е. на всех компьютерах сети установлен У1Р-Ые1 [Клиент], иметь возможность связываться с сетями общего доступа без снижения уровня защищённости системы в целом. Такая функция называется «Открытый интернет», типовая схема включения изображена на рис. 4.

В роли интернет-шлюза выступает отдельный У1РЫе1 [Координатор], туннелирующий открытый трафик пользователям защищённой сети. Технология позволяет работать конечным пользователям только в двух режимах:

ОМСКИЙ НАУЧНЫЙ ВЕСТНИК № 2 (110) 2012 ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ ОМСКИЙ НАУЧНЫЙ ВЕСТНИК № 2 (110) 2012

Рис. 4. Схема с «Открытым Интернетом»

— либо в Интернете, с блокировкой любого трафика в защищённую сеть;

— либо в защищённой сети, с блокировкой любого трафика Интернет.

При таком взаимодействии отключение клиентов физически от защищённой сети и наоборот не происходит, но при переключении режимов, переключение из одной сети в другую эквивалентно физическому. Организовать разграниченный доступ можно дополнительно, установив на сервере «Открытого Интернета» любые доступные Ршху-сервисы.

Рассматривая вопрос увеличения нагрузки на сеть, а как следствие — уменьшение пропускной способности сети, необходимо учитывать общее количество криптографических средств, участвующих в передаче данных. В общем случае формула для расчета пропускной способности сети [4], с учетом коллизий и размера пакета, выглядит как

Враб = рра6 - 26) т (1)

где Браб — рабочая полезная пропускная способность, Мбит/с, Рраб — рабочая пропускная способность, вычисляется с учетом коллизий, Ь1 — максимальный размер пакета. С учетом особенности использования технологии размер пакета при шифровании увеличивается на 61—69 байт [2], таким образом, исходя из расчета по (1), рабочая полезная пропускная способность составляет 72,3 Мбит/с.

Технология У1РНе1 может использоваться в государственных учреждениях, т.к. все используемые

криптоалгоритмы соответствуют отечественным ГОСТам. На данный момент технология применяется в Пенсионном фонде России, ОАО «РЖД» и других правительственных и коммерческих организациях.

Библиографический список

1. Столлингс, В. Основы защиты сетей. Приложения и стандарты. / В. Столингс. — М. : Вильямс, 2002. — 432 с. — БВК 5-8459-0298-3.

2. Официальный сайт компании «ИнфоТеКС» [Электронный ресурс]. — иИЬ: http://www.infotecs.ru. ( дата обращения 01.12.2010).

3. Запечников, С. В. Основы построения виртуальных частных сетей : учеб. пособие для вузов / С. В. Запечников, Н. Г. Ми-лославская, А. И. Толстой. — М. : Горячая линия— Телеком, 2011. - 248 с. - БВК 978-5-9912-0215-2.

4. Олифер, И. Г. Компьютерные сети. Принципы, технологии, протоколы : учебник для вузов / И. Г. Олифер, Н. А. Оли-фер. - 3-е изд., перераб. и доп. - СПб. : Питер, 2007. - 960 с. -БВК 5-469-00504-6.

ПРУДНИКОВ Антон Игоревич, аспирант кафедры «Автоматика и системы управления».

ШАХОВ Владимир Григорьевич, кандидат технических наук, профессор кафедры «Автоматика и системы управления».

Адрес для переписки: [email protected]

Статья поступила в редакцию 24.03.2011 г.

© А. И. Прудников, В. Г. Шахов

i Надоели баннеры? Вы всегда можете отключить рекламу.