Файл: Защита сетевой инфраструктуры предприятия..pdf

Client/Server VPN

Он обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например, между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физической сети необходимо создать несколько логических сетей. Например, когда надо разделить трафик между финансовым департаментом и отделом кадров, обращающихся к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, но вместо разделения трафика, используется его шифрование.

1. По типу протокола:

Существуют реализации виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN решений поддерживает именно его. Адресация в нём чаще всего выбирается в соответствии со стандартом RFC5735, из диапазона Приватных сетей TCP/IP

1. По уровню сетевого протокола:

По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI.

Рисунок 2. - Классификация VPN.

Возможности VPN:

Современные информационные системы крупных организаций, как правило, являются совокупностью территориально разнесенных вычислительных сетей. Для связи их между собой используются разнообразные технологии передачи данных – выделенные линии, радиодоступ (WiFi, WiMAX, радио Ethernet и т.п.), коммутируемые линии связи, передача данных посредством сетей Internet и т.п. При любом способе организации связи существует общая проблема – передача чувствительных данных осуществляется через потенциально опасную среду. Использование средств построения виртуальных частных сетей (VPN) позволяет достичь двух важных целей защиты при передаче таких данных:

конфиденциальности – средства VPN, посредством выполнения процедур шифрования, позволяют обеспечить защиту передаваемой информации от несанкционированного доступа злоумышленников;

целостности – средства VPN, посредством выполнения криптографических процедур контроля целостности, позволяют предотвратить передачу информации, которая была несанкционированно или случайно изменена.

В общем случае средства построения VPN решают следующие задачи:

• шифрование передаваемой информации;
• контроль целостности информации посредством использования электронно-цифровой подписи;
• идентификация и аутентификация участников информационной системы;
• сокрытие структуры информационной системы при передаче информации;
• регистрацию событий об информационных потоках, проходящих между участниками информационной системы.

ГЛАВА 2. АНАЛИЗ ПРОГРАММНЫХ СРЕДСТВ ЗАЩИТЫ, РЕАЛИЗУЮЩИХ ТЕХНОЛОГИЮ VPN

2.1 Выбор средства реализации данной технологии

VPN могут быть программными, программно-аппаратными и аппаратными. В защите данной сети я предлагаю использовать программное средство VPN, т.к. на мой взгляд, программные средства реализации VPN наиболее доступны и просты в использовании, и функциональных возможностей программного VPN хватит для целей защиты данной сети.

На сегодняшний день на рынке программных продуктов в данной области существует множество решений. Среди программного обеспечения данного типа от российских разработчиков можно выделить:

– Программный комплекс «ЗАСТАВА» фирмы «Элвис-плюс»;

– Программный комплекс «ViPNet» фирмы «Инфотекс»;

– Аппаратно программный комплекс «Континент-К», разработчик – НИП «Информзащита».

ОАО «ИнфоТеКС» (Информационные Технологии и Коммуникационные Системы) — одна из ведущих High Tech компаний России, основанная в 1989 г., в настоящее время является лидером отечественного рынка программных VPN-решений и средств защиты информации в TCP/IP сетях, на рабочих станциях, серверах и мобильных компьютерах. Компания и ее специалисты являются действующими членами профильных общественных организаций и ассоциаций: АДЭ, АЗИ, ЕВРААС.

Компания выполняет функции официальной секретарской компании Технического комитета по стандартизации №26 «Криптографическая защита информации».

Компания осуществляет полный цикл разработки и технической поддержки целого спектра средств защиты информации ViPNet, рассчитанных на обработку информации ограниченного доступа, включая персональные данные:

• программные и программно-аппаратные средства организации виртуальных частных сетей (VPN) и инфраструктуры открытых ключей (PKI);
• средства межсетевого экранирования и персональные сетевые экраны;
• средства шифрования данных, хранимых и обрабатываемых на компьютерах и в сети;
• системы централизованного управления и мониторинга СЗИ;
• средства криптографической защиты информации для встраивания в прикладные системы сторонних разработчиков (системы юридически значимого документооборота, порталы и т.п.)

Основные преимущества:

Простое и понятное программное обеспечение для создания защищенной сети, для использования которого не требуются специальных познаний в области защиты информации, а так же приобретения дополнительного оборудования и изменения структуры уже существующей сети;

Минимальные затраты на создание и обслуживание собственной VPN-сети;

Надежная защита сетевого трафика не мешающая в работе с дополнительными приложениями и прикладными задачами;

Гибкий подход в построении VPN-сетей на базе уникальных технологий ViPNet позволяет создавать и связывать между собой разные ViPNet сети, обеспечивать более гибкий подход к созданию различных сетевых конфигураций, создавать территориально распределенные подсети, управляемые из центрального офиса;

Новый мастер развертывания сети позволяет пошагово создать структуру сети без дополнительных настроек на сетевых узлах;

Возможность ограничивать интерфейс пользователя на сетевом узле позволяет централизованно управлять политиками безопасности в защищенной сети;

Автоматизированная обработка и прием запросов на сертификаты ЭЦП;

Совместимость с решениями Linux, включая возможность централизованного обновления ПО на Linux координаторах.

2.2 Анализ состава и функциональных возможностей программного комплекса ViPNet

Продукт ViPNet предназначен для создания виртуальных частных сетей фиксированной конфигурации и защиты компьютерной информации в них.

Пакет программ ViPNet позволяет:

- Защитить информацию, хранимую на компьютере, а также сам компьютер от возможного несанкционированного доступа из Интернет или локальной сети

- Организовать защищенный обмен в режиме «on-line» конфиденциальной информацией (текстовой, голосовой) по телефонным каналам или через Интернет между компьютерами, установленных в произвольных точках земного шара

- Обмениваться почтовыми сообщениями и прикрепленными к ним файлами в защищенном режиме

- Организовывать защищенные конференции (видеоконференции) и сбор конфиденциальной информации, используя каналы Интернет

- Работать в защищенном режиме по открытому каналу, используя любые Интернет-приложения

- Обеспечить защищенную работу с серверами FTP, WWW и т.д.

- Обеспечить односторонний доступ только по инициативе пользователя к открытым информационным ресурсам в сети Интернет и локальной сети, блокируя любые другие соединения во время сеанса

- Определить сетевые адреса злоумышленников, пытающихся получить доступ к информации на компьютере или проникнуть в локальную сеть

- Разграничить доступ пользователей из «черного» и «белого» списков к базам данных и определенным www-серверам

- Разграничить доступ к конфиденциальной информации внутри локальной сети

Состав программного обеспечения:

1. VPN[Администратор] включает в себя программы:

- Центр Управления Сетью

- Ключевой Центр

1. ViPNet [Координатор] - многофункциональный модуль, осуществляющий в зависимости от настроек следующие функции:

• Сервер IP-адресов
• Почтовый сервер
• Сервер-туннель
• Межсетевой экран
• Сервер "открытый Интернет"

1. ViPNet [Клиент] - модуль, реализующий на рабочем месте следующие функции:

• Персональный сетевой экран
• Установление защищенных соединений
• Услуги защищенных служб реального времени
• Сервис защищенных почтовых услуг.

ГЛАВА 3. РЕАЛИЗАЦИЯ ЗАЩИТЫ СЕТИ ПУТЕМ ОРГАНИЗАЦИИ ИНФОРМАЦИОННОГО ТУННЕЛЯ НА ОСНОВЕ ОДНОКАРТОЧНЫХ КООРДИНАТОРОВ

3.1 Применение программного комплекса ViPNet для организации информационного туннеля на однокарточных координаторах

Для организации безопасного обмена между локальными сетями необходимо организовать зашифрованный канал передачи. Такой канал называется информационным туннелем и создается он структурными единицами локальных сетей, называемыми координаторами. В большинстве случаев координаторы используют больше одного сетевого интерфейса, поэтому называются многокарточными. Это дает большую гибкость в конфигурации сети.

В случае однокарточных координаторов отсутствует разбиение на внешний сети и внутренний интерфейс, вся информация проходит через внешний интерфейс с использованием технологий туннелирования.

Узлы, между которыми формируется туннель, называются инициатором и терминатором туннеля. Инициатор туннеля инкапсулирует (встраивает) пакеты в новый пакет, содержащий наряду с исходными данными новый заголовок с информацией об отправителе и получателе. Терминатор туннеля выполняет процесс обратный инкапсуляции – он удаляет новые заголовки и направляет каждый исходный пакет в локальный стек протоколов или адресату в локальной сети.

Благодаря инкапсуляции появляется возможность полной криптографической защиты инкапсулируемых пакетов. Конфиденциальность инкапсулируемых пакетов обеспечивается путем их криптографического закрытия, то есть зашифровывания, а целостность и подлинность – путем формирования цифровой подписи.

В программном комплексе ViPNet роль координатора выполняет агент ViPNet [Координатор].

В зависимости от настроек ViPNet [Координатор] может выполнять следующие функции:

Сервера IP-адресов — обеспечивает регистрацию и доступ в реальном времени к информации о состоянии объектов защищенной сети и текущем значении их сетевых настроек (IP- адресов и т.п.);

Прокси-сервера защищенных соединений — обеспечивает подключение локальной ViPNet сети к другим аналогичным сетям через выделенные каналы связи или публичные сети (Интернет);

Туннелирующего сервера (криптошлюза) — обеспечивает туннелирование трафика с шифрованием от незащищенных компьютеров и серверов локальной сети для его передачи к другим объектам защищенной сети (в том числе мобильным и удаленным) по не доверенным каналам связи. Для мобильных и удаленных объектов защищенной сети туннельный сервер выступает в роли сервера доступа к ресурсам локальной сети;

Межсетевого экрана — обеспечивает (в соответствии с заданной политикой безопасности) фильтрацию открытого и защищенного трафиков по множеству параметров (порты, протоколы, диапазоны адресов и др.) между сегментами защищенной и открытой сетей (Рисунок 2).

Сервера защищенной почты — обеспечивает маршрутизацию почтовых сообщений программы ViPNet Client [Деловая почта] и служебных рассылок в рамках защищенной сети ViPNet;

Одной из важных возможностей ПО ViPNet Coordinator помимо шифрования трафика является перехват и фильтрация IP-пакетов, проходящих через каждый сетевой интерфейс координатора. Можно настроить правила антиспуфинга для открытого трафика, выбрать для каждого сетевого интерфейса режим безопасности при обработке открытого трафика, настроить правила фильтрации для открытого и защищенного трафика.