Сучасні інформаційні
технології/4.Інформаційна безпека
Студент Бай О.В., доцент Черниш Л.Г.
Національний авіаційний університет
VPN-рішення для побудови захищеної корпоративної мережі
VPN - це об'єднання локальних мереж або окремих машин, підключених до мережі
загального користування, в єдину віртуальну мережу, що забезпечує секретність і
цілісність інформації, яка передається по ній. Суть даної технології полягає в тому, що
при підключенні до VPN сервера за допомогою спеціального програмного
забезпечення поверх загальнодоступної мережі у вже встановленому з'єднанні
організується захищений канал, що
забезпечує високий рівень захисту інформації, що передається
по каналу
за рахунок застосування спеціальних алгоритмів шифрування. Існує декілька схем реалізації VPN з’єднання: на базі операційних систем, маршрутизаторів та міжмережних
екранів.
Побудова
VPN на базі мережний ОС - досить зручний і, головне, дешевий спосіб створення
інфраструктури захищених віртуальних каналів. Для побудови віртуальних
захищених тунелів в IP-мережах
Windows NT використовує розроблений фірмою Microsoft протокол РРТР, що є
розширенням добре відомого протоколу РРР (Point-to-Point Protocol). Тунелювання
трафіку відбувається за рахунок інкапсуляції й наступного шифрування
(криптоалгоритм RSA та RC4 із ключем 40 біт) стандартних Ррр-фреймів в IP-датаграми, які й передаються по відкритим IP-мережам. З погляду забезпечення безпеки з'єднання
протокол РРТР успадкував практично всі якості протоколу РРР.
Великий
бізнес навряд чи довірить свої секрети цьому рішенню, оскільки численні
випробування VPN, побудованих на базі Windows NT, показали, що протокол РРТР
досить уразливий з погляду безпеки. Зокрема, відзначаються:
-
уразливість, пов'язана з реалізацією й застосуванням функції хэшування паролів і протоколу
аутентифікації СНАР;
-
уразливість протоколу шифрування в однорангових мережах ;
-
відкритість для атак на етапі конфігурації з'єднання й атак типу «відмова в
обслуговуванні»;
-
недостатня пропрацьованість питань забезпечення безпеки в даної ОС
VPN на базі маршрутизаторів
Сьогодні
практично всі провідні виробники маршрутизаторів і інших мережних пристроїв
заявляють про підтримку у своїх продуктах різних VPN-протоколів. В Україні
безумовним лідером на цьому ринку є компанія Cisco Systems, тому побудова
корпоративних VPN доцільніше всього продемонструвати на рішеннях саме цієї
компанії.
Побудова
VPN-каналів на базі маршрутизаторів компанії Cisco здійснюється засобами самої
ОС починаючи з версії Cisco IOS 12.x. Якщо на маршрутизатори Cisco інших
відділень компанії встановлена дана ОС, то є можливість сформувати корпоративну
VPN, що складається із сукупності віртуальних захищених тунелів типу
«точка-крапка» від одного маршрутизатора до іншого (рис.1). Як правило, для
шифрування даних у каналі за замовчуванням застосовується криптоалгоритм DES з
довжиною ключа 56 біт.
Порівняно
недавно в прайс-листах російських дилерів з'явився новий продукт компанії -
Cisco VPN client, що дозволяє створювати захищені з'єднання «точка-крапка» між
робочими станціями (у тому числі й вилученими) і маршрутизаторами Cisco, що
уможливлює побудову internet- і localnet-VPN.
Рис.1. Типова схема побудови корпоративної VPN на базі маршрутизаторів Cisco.
Для
організації VPN тунелю маршрутизатори компанії Cisco у цей час використають
протокол канального рівня L2ТР (створений на базі фірмових протоколів L2F
(Cisco Systems) і РРТР (Microsoft З.)) і протокол мережного рівня IPSес,
розроблений асоціацією IЕТ.
Ряд
фахівців з інформаційної безпеки вважає, що побудова VPN на базі міжмережних
екранів є єдиним оптимальним варіантом з погляду забезпечення комплексної
безпеки корпоративної інформаційної системи від атак з відкритих мереж. Дійсно,
об'єднання функцій МЕ й VPN-шлюзу в одній крапці під контролем єдиної системи
керування й аудита - не тільки технічно грамотне, але й зручне для
адміністрування рішення. Як приклад розглянемо типову схему побудови
корпоративної VPN на базі популярного в Україні програмного продукту Checkpoint
Firewall- 1/VPN-1 компанії Checkpoint Software Technologies.
Дана компанія є одним з лідерів в
області виробництва продуктів комплексного забезпечення інформаційної безпеки
при роботі з Internet. Міжмережний екран Check Point Firewall-1 дозволяє в
рамках єдиного комплексу побудувати багатоешелонний рубіж оборони для
корпоративних інформаційних ресурсів. До складу такого комплексу входить як сам
CheckPoint FW-1, так і набір продуктів для побудови корпоративної VPN:
Checkpoint VPN-1, середовищ виявлення вторгнень RealSecure, засобу керування
смугою пропуску Flood Gate і т.д. (рис. 2).
Рис.2.Типова схема побудови корпоративної VPN на базі
CheckPoint FW-1/VPN-1
Для
шифрування трафіка в каналах CheckPoint Firewall-1 використовує відомі крипто
алгоритми - DES, CAST, IDEA.
Література:
1.
Т.А. Биячуев – «Безопасность корпоративных сетей»,
Санкт-Петербург, 2004
2.
В.А.Игнатьев «Информационная безопасность современного
коммерческого предприятия», ООО «ТНТ», 2005
3.
Искандер
Конеев, Андрей Беляев «Информационная безопасность предприятия»,
Санкт-Петербург, 2003.