Защищенная виртуальная частная сеть



История вопроса
В настоящее время глобальная сеть Интернет доступна практически каждому желающему и является удобным, а самое главное, дешевым средством передачи информации. В то же время, существуют известные проблемы, связанные с обеспечением конфиденциальности и безопасности передаваемой и обрабатываемой информации. Передача информации и ее защита есть две стороны одной медали: информация должна быть доступна одним и закрыта от других. При этом если задача передачи информации выглядела приблизительно так «обеспечить хотя бы один канал из всех возможных», то задача защиты информации стоит гораздо более жестко: «из всех возможных не оставить ни единой бреши для атаки». Действительно, чего стоит защита дверей, если у вас открыты окна?
Именно это требование целостности защиты и стало камнем преткновения для успешного создания систем информационной безопасности, обеспечив их отставание от технологий передачи информации и, в конечном итоге, приведя к столь бурному развитию компьютерных преступлений, которое мы наблюдаем сейчас. Реальная ситуация, вероятно, еще хуже, поскольку о большинстве преступлений пострадавшая сторона даже не подозревает.
По мнению специалистов, система безопасности компьютерной сети должна содержать следующие компоненты:
• Межсетевой экран (МЭ) как средство защиты от несанкционированного доступа из Сети. Он может обеспечивать защиту на уровнях:
- сетевом (контроль адресов);
- транспортном («машины состояний» основных протоколов);
- прикладном (прокси-системы).
• Средства многослойной защиты каналов (коррелирует с многоуровневым подходом, изложенным в ISO-7498-2). Обеспечивают защиту на уровнях:
- физическом (защита кабелей, экранизация наводок)1;
- сетевом (например, шифрация трафика от компьютера до компьютера и использование IPsec-протоколов);
- транспортном (например, протокол SSL, шифрующий данные от одного приложения до друго-
го приложения на другом компьютере);
- прикладном (когда приложение шифрует данные самостоятельно)2.
• Средства защиты на уровне ОС. Этим может заниматься как сама защищенная ОС, так и специально созданные для этого программно-аппаратные комплексы защиты от НСД, осуществляющие контроль:
- за вирусами;
- запуском приложений;
- запуском самой ОС;
- работой приложений и доступом к ресурсам;
• Системы middle-ware. Их появление обусловлено необходимостью регламентировать доступ множества пользователей к множеству приложений и информационных ресурсов централизованным образом. Именно системы middle-ware позволяют снять с пользователя гнет десятков паролей и организовать технологию single-sign-on -единство точки входа в систему. Они осуществляют:
- аутентификацию (точное опознание) подключающихся к АС пользователей и процессов;
- авторизацию (наделение определенными полномочиями согласно информации в базах данных системы middle-ware) пользователей и процессов.
• Для работы любой из описанных выше систем пользователь обязан представить определенные доказательства своей аутентичности, а также многочисленные ключи, с помощью которых будет осуществляться защита информации и процедуры допуска. Это требует создания инфраструктуры публичных ключей - Public Key Infrastructure.
• И, естественно, вся система в целом требует централизованного управления всеми ее элементами, а также подсистемы адаптивного управления безопасностью для реализации механизма обратной связи.
Построение такой системы является весьма сложной задачей. Однако в настоящее время существуют реализации систем информационной безопасности с помощью одного из самых грамотных и экономически выгодных решений на основе построения так называемых защищенных виртуальных частных сетей Virtual Private Network (VPN). Технологии построения виртуальных защищенных частных сетей привлекают все больше внимания. Причина такого интереса заключается в том, что VPN-технологии действительно позволяют не только существенно сократить расходы на содержание выделенных каналов связи с удаленными сотрудниками и подразделениями (филиалами), но и повысить конфиденциальность обмена информацией.

Существующие особенности построения VPN
Построение VPN для распределенных компаний даже с небольшим количеством удаленных (5-10) подразделений (филиалов), как правило, является трудоемкой задачей, сложность которой обусловливается следующими основными причинами:
• значительной гетерогенностью используемых аппаратно-программных платформ;
• разнообразием существующих задач (защищенный обмен между головным офисом и филиалами, офисом и мобильными или удаленными сотрудниками, сегментами внутренней сети компании);
• необходимостью построения централизованной системы управления всей корпоративной VPN;
• узкой полосой пропускания и откровенно плохим качеством существующих каналов связи, особенно с региональными подразделениями и т. д.
Сложности построения корпоративных VPN усугубляются еще и тем, что, как правило, корпоративные заказчики предъявляют к VPN жесткие требования в области:
• масштабируемости применяемых технических решений;
• интегрируемости с уже существующими средствами;
• легальности используемых алгоритмов и решений;
• пропускной способности защищаемой сети;
• стойкости применяемых криптоалгоритмов;
• унифицируемости VPN-решения;
• общей совокупной стоимости построения корпоративной VPN.
Нетрудно заметить, что большинство этих требований находятся в явном противоречии друг с другом. Поэтому, как правило, на практике приходится либо пренебрегать некоторыми из них, либо строить комбинированные VPN на базе существующих решений:
• VPN на базе сетевых операционных систем;
• VPN на базе маршрутизаторов;
• VPN на базе межсетевых экранов;
• VPN на базе специализированного программного обеспечения.
Каждое из решений имеет свои достоинства и недостатки, которые мы рассмотрим на примере наиболее часто встречающихся в России VPN-продуктов.

Варианты построения VPN
Построение VPN на базе сетевой
ОС является вполне удобным и дешевым средством создания инфраструктуры защищенных виртуальных каналов. Сегодня в России наибольшее распространение среди сетевых операционных систем (ОС), позволяющих строить VPN штатными средствами самой ОС, получила Windows NT.
По мнению специалистов, такое решение является оптимальным для построения VPN внутри локальных сетей (localnet-VPN) или домена Windows NT, а также для построения intranet- и externet-VPN для небольших компаний для защиты не критической для их бизнеса информации. В то же время, крупный бизнес вряд ли доверит свои секреты этому решению, поскольку многочисленные испытания VPN, построенных на базе Windows NT, показали, что используемый в этой ОС протокол РРТР имеет существенные изъяны:
• применение функции хеширования паролей и протокола аутентификации CHAP;
• ограниченность протокола шифрования в одноранговых сетях (МРРЕ);
• открытость для атаки на этапе конфигурации соединения и атак типа «отказ в обслуживании»;
• недостаточное обеспечение безопасности в данной ОС и др.
Поэтому в своей новой ОС - Windows 2000 - компания Microsoft сделала ставку на реализацию более современного протокола IPSec (см. далее). Однако результаты первых независимых тестов показали наличие серьезных проблем с безопасностью и у этой ОС.
Построение VPN на базе маршрутизаторов. В России безусловным лидером на этом рынке является компания Cisco Systems.
Построение VPN-каналов на базе маршрутизаторов компании Cisco осуществляется средствами самой ОС, начиная с версии Cisco IOS 12.x. Если на пограничные маршрутизаторы Cisco других отделений компании установлена данная ОС, то имеется возможность сформировать корпоративную VPN, состоящую из совокупности виртуальных защищенных туннелей типа «точка-точка» от одного маршрутизатора к другому (рис. 1). Как правило, для шифрования данных в канале «по умолчанию» используется американский криптоалгоритм DES (Data Encryption Standard) с длиной ключа 56 бит. Сравнительно недавно в прайс-листах российских дилеров появился новый продукт компании - Cisco VPN client, который позволяет стоить защищенные соединения «точка-точка» между рабочими станциями (в том числе и удаленными) и маршрутизаторами Cisco, что делает возможным построение интернет- и localnet-VPN.
Для организации VPN-туннеля маршрутизаторы компании Cisco в настоящее время используют протокол канального уровня L2TR Этот протокол обеспечивает инкапсулирование протоколов сетевого уровня (IP, IPX, NetBEUI и др.) в пакеты канального уровня (РРР) для передачи по сетям, поддерживающим доставку дейтаграмм в каналах «точка-точка». Основным преимуществом L2TP является его независимость от транспортного уровня, что позволяет использовать его в гетерогенных сетях. Сильным качеством L2TP является его поддержка в ОС Windows 2000, что, в принципе, позволяет строить комбинированные VPN на базе продуктов Microsoft и Cisco. Однако «канальная» природа Ь.2ТР-протокола является причиной его существенного недостатка: для гарантированной передачи защищенного пакета через составные сети все промежуточные маршрутизаторы должны поддерживать этот протокол, что, очевидно, трудно гарантировать. Видимо, по этой причине компания Cisco сегодня обратила внимание на продвижение более современного VPN-протокола - IPSec.
Сегодня IPSec является одним из самых проработанных и совершенных интернет-протоколов в плане безопасности. В частности, IPSec обеспечивает аутентификацию, проверку целостности и шифрование сообщений на уровне каждого пакета (для управления криптографическими ключами IPSec использует протокол IKE, хорошо зарекомендовавший себя в своей более ранней версии Oakley). Кроме того, работа протокола на сетевом уровне является одним из стратегических преимуществ IPSec, поскольку VPN на его базе работают полностью прозрачно как для всех без исключения приложений и сетевых сервисов, так и для сетей передачи данных канального уровня. IPSec позволяет также маршрутизировать зашифрованные пакеты сетям без дополнительной настойки промежуточных маршрутизаторов, поскольку сохраняет стандартный IP-заголовок, принятый в IPv4. И наконец, тот факт, что IPSec включен в качестве неотъемлемой части в будущий интернет-протокол IPv6, делает его еще более привлекательным для организации корпоративных VPN.
К сожалению, IPSec присущи и некоторые недостатки: поддержка только стека TCP/IP и довольно большой объем служебной информации, который может вызвать существенное снижение скорости обмена данными на низкоскоростных каналах связи, пока получивших в России наибольшее распространение.
Возвращаясь к построению корпоративных VPN на базе маршрутизаторов, отметим, что основной задачей этих устройств является маршрутизация трафика, а значит, крипто-обработка пакетов является некоторой дополнительной функцией, требующей, очевидно, дополнительных вычислительных ресурсов. Другими словами, если ваш маршрутизатор имеет достаточно большой запас производительности, то ему вполне можно «поручить» и формирование VPN.
Построение VPN на базе межсетевых экранов. Немалое количество специалистов по информационной безопасности считают, что построение VPN на базе МЭ является единственным оптимальным решением для обеспечения комплексной безопасности корпоративной информационной системы от атак из открытых сетей. Действительно, объединение функций МЭ и VPN-шлюза в одной точке под контролем единой системы управления и аудита является решением не только технически грамотным, но и удобным для администрирования. В качестве примера рассмотрим типовую схему построения корпоративной VPN на базе популярного в России программного продукта компании Checkpoint Software Technologies - Checkpoint Firewall-1/VPN-1.
МЭ Checkpoint Firewall-1 позволяет в рамках единого комплекса построить глубоко эшелонированный рубеж обороны для корпоративных информационных ресурсов. В состав такого комплекса входит как сам Checkpoint FW-1, так и набор продуктов для построения корпоративной VPN - Checkpoint VPN-1, средства обнаружения вторжений RealSecure, средства управления полосой пропускания FloodGate и т. д.
Подсистема построения VPN на базе Checkpoint FW-1 включает в себя программные продукты VPN-1 Gateway и VPN-1 Appliance, предназначенные для построения intranet-VPN, VPN-1 SecureServer, предназначенный для защиты выделенных серверов, а также VPN-1 SecuRemote и VPN-1 SecureClient - для построения internet/externet/ localnet-VPN (рис. 2). Для шифрации трафика в каналах Checkpoint Firewall-1 использует известные криптоалгоритмы DES, CAST, ШЕЛ, FWZ и др.
Весь продуктовый ряд Checkpoint VPN-1 реализован на базе открытых стандартов (IPSec), имеет развитую систему аутентификации пользователей, поддерживает взаимодействие с внешними системами распределения открытых ключей (PKI), позволяет строить централизованную систему управления и аудита и т. д. Поэтому не удивительно, что продукция данной компании занимает, согласно последнему исследованию Dataquest, 52% мирового рынка VPN.
В итоге можно сказать, что построение VPN на базе МЭ выглядит вполне грамотным и сбалансированным решением. Однако ему тоже присущи некоторые недостатки. Прежде всего это высокая стоимость осуществления такого решения в пересчете на одно рабочее место корпоративной сети и довольно высокие требования к производительности МЭ даже при умеренной ширине полосы пропускания выходного канала связи. Очевидно, что вопросу производительности МЭ должно уделяться повышенное внимание при построении VPN, поскольку, фактически, вся нагрузка по криптообработке трафика ложится на МЭ, причем даже в том случае, когда мы хотим объединить в localnet-VPN двух клиентов локальной сети.

1 Уже устаревший способ, пригодный больше для околпачивания заказчиков, чем для защиты информации.
2 Этот способ также достаточно проблематичен, поскольку: 1) разработчики приложений редко являются специалистами в криптографии; 2) для встраивания системы защиты требуется переделка программного обеспечения.

Сергей Петренко