3.1. Технологии межсетевых экранов
advertisement
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Тема 3. Базовые технологии сетевой безопасности Цель темы - изучение базовых технологий сетевой безопасности Задачи темы: В результате изучения темы студенты должны освоить: технологии межсетевых экранов; особенности и проблемы построения виртуальных защищенных сетей; основы реализации протоколов защиты на канальном, сеансовом и сетевом уровнях; Оглавление 3.1. Технологии межсетевых экранов Версия для печати Хрестоматия Практикумы Презентации Тьюторы Тесты 3.1.1. Функции межсетевых экранов 3.1.1.1. Фильтрация трафика 3.1.1.2. Выполнение функций посредничества 3.1.2. Схемы сетевой защиты на базе межсетевых экранов 3.1.3. Проблемы безопасности межсетевых экранов 3.2. Построение виртуальных защищенных сетей 3.2.1. Концепция построения виртуальных защищенных сетей VPN 3.2.2. Классификация сетей VPN 3.2.3. Основные варианты архитектуры VPN 3.3. Протоколы защиты на канальном, сеансовом и сетевом уровнях 3.3.1. Протоколы канальном уровне формирования защищенных каналов на 3.3.2. Протоколы сеансовом уровне формирования защищенных каналов на 3.3.3. Защита сетевого уровня 3.3.4. Согласование параметров защищенных распределение криптографических ключей каналов и 3.4. Инфраструктура защиты на прикладном уровне Вопросы для самопроверки 3.1. Технологии межсетевых экранов Межсетевой экран (МЭ) – это специализированный комплекс межсетевой защиты, называемый также брандмауэром или системой firewall. Межсетевой экран позволяет разделить общую сеть на две части и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной 1 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE части общей сети в другую. Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Интернет. Первые security firewalls появились в начале 1990-х годов. В те годы требования к ним были сравнительно легко выполнимыми, потому что они ограничивались теми Интернет-сервисами, которые были тогда доступны. Типичная организация или фирма, подключенные к Интернет, нуждались в безопасном доступе к сервисам удаленного терминала (Telnet), передачи файлов (протокол FTP), электронной почты (протокол SMTP). В дальнейшем к этому перечню требований добавляются доступ к World Wide Web, трансляция новостей, информация о погоде, котировки акций, аудио- и видеоконференции, телефония, доступ к базам данных, совместное использование файлов, и этот перечень продолжает расти. 3.1.1. Функции межсетевых экранов Для противодействия несанкционированному межсетевому доступу межсетевой экран должен располагаться между защищаемой сетью организации, являющейся внутренней, и потенциально враждебной внешней сетью (рис. 1). Рис. 1. Схема подключения межсетевого экрана При этом все взаимодействия между этими сетями должны осуществляться только через межсетевой экран. Организационно межсетевой экран входит в состав защищаемой сети. Межсетевой экран, защищающий сразу множество узлов внутренней сети, призван решить две основные задачи: ограничение доступа внешних (по отношению к защищаемой сети) пользователей к внутренним ресурсам корпоративной сети; разграничение доступа пользователей защищаемой сети к внешним ресурсам. До сих пор не существует единой и общепризнанной классификации межсетевых экранов. Основываясь на описаниях выпускаемых в настоящее время МЭ, их можно классифицировать по следующим основным признакам. По функционированию на уровнях модели OSI: пакетный фильтр (экранирующий маршрутизатор ); шлюз сеансового уровня (экранирующий транспорт); прикладной шлюз ; шлюз экспертного уровня. По используемой технологии: контроль состояния протокола; на основе модулей посредников. По исполнению: аппаратно-программный; 2 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE программный. По схеме подключения: схема единой защиты сети; схема с защищаемым закрытым и не защищаемым открытым сегментами сети; схема с раздельной защитой закрытого и открытого сегментов сети. 3.1.1.1. Фильтрация трафика Фильтрация информационных потоков состоит в их выборочном пропускании через экран, возможно, с выполнением некоторых преобразований. Фильтрация осуществляется на основе набора предварительно загруженных в экран правил, соответствующих принятой политике безопасности. Поэтому межсетевой экран удобно представлять как последовательность фильтров, обрабатывающих информационный поток. Каждый из фильтров предназначен для интерпретации отдельных правил фильтрации путем выполнения следующих действий: 1. Анализ информации по заданным в интерпретируемых правилах критериям, например, по адресам получателя и отправителя или по типу приложения, для которого эта информация предназначена. 2. Принятие на основе интерпретируемых правил одного из следующих решений: o не пропустить данные; o обработать данные от имени получателя и возвратить результат отправителю; o передать данные на следующий фильтр для продолжения анализа; o пропустить данные, игнорируя следующие фильтры. Правила фильтрации могут задавать и дополнительные действия, которые относятся к функциям посредничества, например, преобразование данных, регистрацию событий и др. Соответственно, правила фильтрации определяют перечень условий, по которым осуществляется: разрешение или запрещение дальнейшей передачи данных; выполнение дополнительных защитных функций. В качестве критериев анализа информационного потока могут использоваться следующие параметры: служебные поля пакетов сообщений, содержащие сетевые адреса, идентификаторы, адреса интерфейсов, номера портов и другие значимые данные; непосредственное содержимое пакетов сообщений, проверяемое, например, на наличие компьютерных вирусов; характеристики потока информации, характеристики, объем данных и т.д. внешние например временные, частотные Используемые критерии анализа зависят от уровней модели OSI , на которых осуществляется фильтрация. В общем случае, чем выше уровень модели OSI , на котором firewall фильтрует пакеты, тем выше и обеспечиваемый им уровень защиты. 3.1.1.2. Выполнение функций посредничества Функции посредничества firewall выполняет с помощью специальных программ, называемых экранирующими агентами или программами-посредниками. Данные программы являются резидентными и запрещают непосредственную передачу пакетов сообщений между внешней и внутренней сетью. При необходимости доступа из внутренней сети во внешнюю или наоборот вначале должно быть установлено логическое соединение с программойпосредником, функционирующей на компьютере экрана. Программа-посредник проверяет допустимость запрошенного межсетевого взаимодействия и при его разрешении сама устанавливает отдельное соединение с требуемым 3 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE компьютером. Далее обмен информацией между компьютерами внутренней и внешней сети осуществляется через программного посредника, который может выполнять фильтрацию потока сообщений, а также другие защитные функции. В общем случае программы-посредники, блокируя прозрачную передачу потока сообщений, могут выполнять следующие функции: проверку подлинности передаваемых данных; фильтрацию и преобразование потока сообщений, например, динамический поиск вирусов и прозрачное шифрование информации; разграничение доступа к ресурсам внутренней сети; разграничение доступа к ресурсам внешней сети; кэширование данных, запрашиваемых из внешней сети; идентификацию и аутентификацию пользователей; трансляцию внутренних сетевых адресов для исходящих пакетов сообщений; регистрацию событий, реагирование на задаваемые события, а также зарегистрированной информации и генерацию отчетов. анализ Firewalls с посредниками позволяют также организовывать защищенные виртуальные сети VPN, например, безопасно объединить несколько локальных сетей, подключенных к Интернет, в одну виртуальную сеть. VPN обеспечивают прозрачное для пользователей соединение локальных сетей, сохраняя секретность и целостность передаваемой информации путем ее динамического шифрования. При передаче по Интернет возможно шифрование не только данных пользователей, но и служебной информации - конечных сетевых адресов, номеров портов и т.д. 3.1.1.3. Дополнительные возможности межсетевых экранов Помимо выполнения фильтрации трафика и функций посредничества некоторые межсетевые экраны позволяют реализовать ряд других, не менее важных функций, без которых обеспечение защиты периметра внутренней сети было бы неполным. Идентификация и аутентификация пользователей Кроме разрешения или запрещения допуска различных приложений в сеть межсетевые экраны могут также выполнять аналогичные действия и для пользователей, которые желают получить доступ к внешним или внутренним ресурсам, разделяемым межсетевым экраном. Прежде чем пользователю будет предоставлено право на какой-либо сервис, необходимо убедиться, что он действительно тот, за кого себя выдает. Идентификация и аутентификация пользователей являются важными компонентами концепции межсетевых экранов Авторизация пользователя обычно рассматривается в контексте аутентификации - как только пользователь аутентифицирован, для него определяются разрешенные сервисы. Идентификация и аутентификация пользователя иногда осуществляются при предъявлении обычного идентификатора (имени) и пароля. Однако эта схема уязвима с точки зрения безопасности - пароль может быть перехвачен и использован другим лицом. Многие инциденты в сети Интернет произошли отчасти из-за уязвимости традиционных многоразовых паролей. Злоумышленники могут наблюдать за каналами в сети Интернет и перехватывать передаваемые в них открытым текстом пароли, поэтому такая схема аутентификации считается неэффективной. Пароль следует передавать через общедоступные коммуникации в зашифрованном виде. Это позволяет предотвратить получение несанкционированного доступа путем перехвата сетевых пакетов. 4 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Более надежным методом аутентификации является использование одноразовых паролей. Для генерации одноразовых паролей используются как программные, так и аппаратные средства - последние представляют собой устройства, вставляемые пользователем в слот компьютера. Для приведения этого устройства в действие пользователю необходимо знание некоторой секретной информации. Например, смарт-карта пользователя генерирует информацию, которую хост использует вместо традиционного пароля. Поскольку смарт-карта работает вместе с аппаратным и программным обеспечением хоста, генерируемый пароль уникален для каждого установления сеанса. Результатом является одноразовый пароль, который, даже если он перехватывается, не может быть использован злоумышленником под видом пользователя для установления сеанса с хостом. Этот пароль будет бесполезен при последующей аутентификации, а вычислить следующий пароль из предыдущего является крайне трудной задачей. Удобно и надежно также применение цифровых сертификатов, выдаваемых доверенными органами, например центром распределения ключей. Большинство программ-посредников разрабатываются таким образом, чтобы пользователь аутентифицировался только в начале сеанса работы с межсетевым экраном. После этого от него не требуется дополнительная аутентификация в течение времени, определяемого администратором. Ряд межсетевых экранов поддерживают Kerberos - один из распространенных методов аутентификации. Как правило, большинство коммерческих межсетевых экранов поддерживают несколько различных схем аутентификации, позволяя администратору сетевой безопасности сделать выбор наиболее приемлемой схемы для своих условий. Трансляция сетевых адресов Для реализации многих атак злоумышленнику необходимо знать адрес своей жертвы. Чтобы скрыть эти адреса, а также топологию всей сети, межсетевые экраны выполняют очень важную функцию - трансляцию внутренних сетевых адресов. Данная функция реализуется по отношению ко всем пакетам, следующим из внутренней сети во внешнюю. Для этих пакетов выполняется автоматическое преобразование I Р-адресов компьютеров-отправителей в один «надежный» I Радрес. Трансляция внутренних сетевых адресов может осуществлять двумя способами: динамически и статически. В первом случае адрес выделяется узлу в момент обращения к firewall. После завершения соединения адрес освобождается и может быть использован любым другим узлом корпоративной сети. Во втором случае адрес узла всегда привязывается к одному адресу firewall, из которого передаются все исходящие пакеты. I Р-адрес firewall становится единственным активным I Р-адресом, который попадает во внешнюю сеть. В результате все исходящие из внутренней сети пакеты оказываются отправленными firewall, что исключает прямой контакт между авторизованной внутренней сетью и являющейся потенциально опасной внешней сетью. При таком подходе топология внутренней сети скрыта от внешних пользователей, что усложняет задачу несанкционированного доступа. Кроме повышения безопасности трансляция адресов позволяет иметь внутри сети собственную систему адресации, не согласованную с адресацией во внешней сети, например в Интернет. Это эффективно решает проблему расширения адресного пространства внутренней сети и дефицита адресов внешней сети. 5 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Администрирование, отчетов регистрация событий и генерация Простота и удобство администрирования является одним из ключевых аспектов в создании эффективной и надежной системы защиты. Ошибки при определении правил доступа ведут к образованию дыры, через которую может быть взломана система. Поэтому в большинстве межсетевых экранов реализованы сервисные утилиты, облегчающие ввод, удаление, просмотр набора правил. Наличие этих утилит позволяет также проводить проверки на синтаксические или логические ошибки при вводе или редактирования правил. Обычно эти утилиты позволяют просматривать информацию, сгруппированную по каким либо критериям например, все, что относится к конкретному пользователю или сервису. Важными функциями межсетевых экранов являются регистрация событий, реагирование на задаваемые события, а также анализ зарегистрированной информации и составление отчетов. Являясь критическим элементом системы защиты корпоративной сети, межсетевой экран имеет возможность регистрации всех действий, им фиксируемых. К таким действиям относятся не только пропуск или блокирование сетевых пакетов, но и изменение правил разграничения доступа администратором безопасности и др. Такая регистрация позволяет обращаться к создаваемым журналам по мере необходимости - в случае возникновения инцидента безопасности или сбора доказательств для предоставления их в судебные инстанции либо для внутреннего расследования. При правильно настроенной системе фиксации сигналов о подозрительных событиях межсетевой экран может дать детальную информацию о том, были ли межсетевой экран или сеть атакованы либо зондированы. Собирать статистику использования сети и доказательства ее зондирования важно по ряду причин. Прежде всего, нужно знать наверняка, что межсетевой экран устойчив к зондированию и атакам, и определить, адекватны ли меры защиты межсетевого экрана. Кроме того, статистика использования сети важна в качестве исходных Данных при проведении исследований и анализе риска для формулирования требований к сетевому оборудованию и программам. Многие firewalls содержат мощную систему регистрации, сбора и анализа статистики. Учет может вестись по адресам клиента и сервера, идентификаторам пользователей, времени сеансов, времени соединений, количеству переданных/принятых данных, действиям администратора и пользователей. Системы учета позволяют провести анализ статистики и предоставляют администраторам подробные отчеты. За счет использования специальных протоколов firewalls могут выполнить удаленное оповещение об определенных событиях в режиме реального времени. 3.1.2. Схемы сетевой защиты на базе межсетевых экранов При подключении корпоративной сети к глобальным сетям необходимо решать следующие задачи: защита корпоративной сети от несанкционированного удаленного доступа со стороны глобальной сети; сокрытие информации о структуре сети и ее компонентов от пользователей глобальной сети; разграничение доступа в защищаемую сеть из глобальной и из защищаемой сети в глобальную. Для эффективной защиты межсетевого взаимодействия система firewall должна быть правильно установлена и сконфигурирована. Данный процесс состоит из следующих шагов: 6 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE формирование политики межсетевого взаимодействия; выбор схемы подключения и настройка параметров функционирования firewall. Политика межсетевого взаимодействия определяет требования к безопасности информационного обмена организации с внешним миром. Эта политика должна отражать два аспекта: политику доступа к сетевым сервисам; политику работы межсетевого экрана. Политика доступа к сетевым сервисам определяет правила предоставления и использования всех возможных сервисов защищаемой компьютерной сети. В рамках этой политики должны быть заданы все сервисы, предоставляемые через сетевой экран, и допустимые адреса клиентов для каждого сервиса. Кроме того, для пользователей должны бать указаны правила, описывающие, когда и какие пользователи каким сервисом и на каком компьютере могут воспользоваться. Для того, чтобы межсетевой экран успешно защищал ресурсы организации, политика доступа пользователей к сетевым сервисам должна быть реалистичной. Реалистичной считается такая политика, при которой найден баланс между защитой сети организации от известных рисков и необходимым доступом пользователей к сетевым сервисам. Политика работы межсетевого экрана задает базовый принцип управления межсетевым взаимодействием, положенный в основу функционирования firewall. Может быть выбран один из двух таких принципов: запрещено все, что явно не разрешено; разрешено все, что явно не запрещено. Фактически выбор принципа устанавливает, насколько «подозрительной» или «доверительной» должна быть система защиты. В зависимости от выбора решение может быть принято как в пользу безопасности в ущерб удобству использования сетевых сервисов, так и наоборот. При выборе принципа «запрещено все, что явно не разрешено» межсетевой экран настраивается таким образом, чтобы блокировать любые явно не разрешенные межсетевые взаимодействия. Данный принцип соответствует классической модели доступа, используемой во всех областях информационной безопасности. Такой подход позволяет адекватно реализовать принцип минимизации привилегий, поэтому с точки зрения безопасности он является лучшим. Администратор безопасности должен на каждый тип разрешенного взаимодействия задавать одно и более правил доступа. Администратор не сможет по забывчивости оставить разрешенными какие-либо полномочия, так как по умолчанию они будут запрещены. Доступные лишние сервисы могут быть использованы во вред безопасности, что особенно характерно для закрытого и сложного программного обеспечения, в котором могут быть различные ошибки и некорректности. Принцип «запрещено все, что явно не разрешено», в сущности, является признанием факта, что незнание может причинить вред. Следует отметить, что правила доступа, сформулированные в соответствии с этим принципом, могут доставлять пользователям определенные неудобства. При выборе принципа «разрешено все, что явно не запрещено» межсетевой экран настраивается таким образом, чтобы блокировать только явно запрещенные межсетевые взаимодействия. В этом случае повышается удобство использования сетевых сервисов со стороны пользователей, но снижается безопасность межсетевого взаимодействия. Пользователи имеют больше возможностей обойти межсетевой экран, например, они могут получить доступ к новым сервисам, не запрещаемым политикой (или даже не указанным в политике), или запустить 7 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE запрещенные сервисы на нестандартных портах ТСР/ UDP , которые не запрещены политикой. Администратор может учесть не все действия, которые запрещены пользователям. Ему приходится работать в режиме реагирования, предсказывая и запрещая те межсетевые взаимодействия, которые отрицательно воздействуют на безопасность сети. При реализации данного принципа внутренняя сеть оказывается менее защищенной от нападений хакеров. Поэтому производители межсетевых экранов обычно отказываются от использования данного принципа. 3.1.3. Проблемы безопасности межсетевых экранов Межсетевой экран не в состоянии решить все проблемы безопасности корпоративной сети. Наряду с описанными выше достоинствами межсетевых экранов существуют ограничения в их использовании и ряд угроз безопасности, от которых межсетевые экраны не могут защитить. Отметим наиболее существенные ограничения в применении межсетевых экранов. Возможное ограничение пропускной способности. Традиционные межсетевые экраны являются потенциально узким местом сети, так как все соединения должны проходить через межсетевой экран и, в некоторых случаях, изучаться межсетевым экраном. Производительность межсетевого экрана существенно снижается в тех случаях, когда приходится анализировать не только заголовок (как это делают пакетные фильтры), но и содержание каждого пакета. Тем не менее сегодня это не является критической проблемой, так как существуют межсетевые экраны, которые могут обрабатывать данные со скоростью 1,5 Мбит/с, а большинство сетей имеют подключение к Интернет со скоростью меньшей или равной этой. Отсутствие встроенных механизмов защиты от вирусов. Традиционные firewalls не могут защитить от пользователей, загружающих зараженные вирусами программы для компьютера из архивов Интернет или при передаче таких программ в качестве приложений к письму. Поскольку эти программы могут быть зашифрованы или сжаты большим числом способов, firewall не может их сканировать на предмет обнаружения сигнатур вирусов. Можно ли защититься от вирусов, если они проходят через межсетевой экран в зашифрованном виде и расшифровываются только на оконечных устройствах клиентов? Для контроля содержимого зашифрованных данных в настоящий момент ничего не предлагается. Проблема вирусов может быть решена с помощью других антивирусных мер защиты. В некоторые персональные МЭ встроены антивирусные системы, которые помимо выявления троянцев могут обнаруживать и большое число вирусов, включая макрос-вирусы и Интернет-червей. Как правило, защита от вирусов осуществляется на оконечных устройствах с помощью соответствующих антивирусных модулей. Межсетевой экран, как любое другое средство, не может защитить от ошибок и некомпетентности администраторов и пользователей. При настройке МЭ следует помнить, что несанкционированные проникновения в защищенные сети могут произойти, например, по причине неудачного выбора легко угадываемого пароля. Экранирующая система не защищает также от нападения по не контролируемым ею каналам связи. Если между потенциально враждебной внешней сетью и защищаемой внутренней сетью имеется неконтролируемый канал, то брандмауэр не сможет защитить от атаки через него. Это же относится и к телефонным каналам передачи данных. Если модем позволяет подключиться внутрь защищаемой сети в обход межсетевого экрана, то защита будет нарушена. Следует не забывать основной принцип защиты: система безопасна настолько, насколько безопасно ее самое незащищенное звено. 8 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Поэтому необходимо, чтобы экранирующая система контролировала все каналы передачи информации между внутренней и внешней сетью. Традиционные МЭ являются, по существу, средствами, только блокирующими атаки. В большинстве случаев они защищают от атак, которые уже находятся в процессе осуществления. Более эффективным было бы не только блокирование, но и упреждение атак, то есть устранение самих предпосылок реализации вторжений. Для организации упреждения атак необходимо использовать средства обнаружения атак и поиска уязвимостей, которые будут своевременно обнаруживать и рекомендовать меры по устранению слабых мест в системе защиты. Технологии обнаружения атак и анализа защищенности сетей рассматриваются в главе Для защиты информационных ресурсов распределенных корпоративных информационных систем необходимо применение комплексной системы информационной безопасности, которая позволит эффективно использовать достоинства межсетевых экранов и компенсировать их недостатки с помощью других средств безопасности. 3.2. Построение виртуальных защищенных сетей Для эффективного противодействия сетевым атакам и обеспечения возможности активного и безопасного использования в бизнесе открытых сетей в начале 1990-х годов родилась и активно развивается идея построения виртуальных частных сетей – VPN ( Virtual Private Network ). Фундаментом VPN на основе Интернет являются две основных технологии. Вопервых, это туннелирование, позволяющее создавать виртуальные каналы; вовторых, это различные методы обеспечения конфиденциальности и целостности передаваемой информации. VPN-технология четко ассоциируется с криптографическими средствами защиты информации (СЗИ). Сегодня направление создания виртуальных защищенных сетей VPN вышло на первый план. 3.2.1. Концепция построения виртуальных защищенных сетей VPN В основе концепции построения виртуальных сетей VPN лежит достаточно простая идея: если в глобальной сети имеются два узла, которым нужно обменяться информацией, тогда между этими двумя узлами необходимо построить виртуальный защищенный туннель для обеспечения конфиденциальности и целостности информации, передаваемой через открытые сети. Доступ к этому виртуальному туннелю должен быть чрезвычайно затруднен всем возможным активным и пассивным внешним наблюдателям. Преимущества, получаемые компанией от создания таких виртуальных туннелей, заключаются, прежде всего, в значительной экономии финансовых средств, поскольку в этом случае компания может отказаться от построения или аренды дорогих выделенных каналов связи для создания собственных Интранетсетей и использовать для этого дешевые Интернет-каналы, надежность и скорость передачи которых в большинстве своем сегодня уже не уступает выделенным линиям. При подключении корпоративной локальной сети к открытой сети возникают угрозы безопасности двух основных типов: 9 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE несанкционированный доступ к внутренним ресурсам корпоративной локальной сети, получаемый злоумышленником в результате несанкционированного входа в эту сеть; несанкционированный доступ к корпоративным данным в процессе их передачи по открытой сети. безопасности информационного взаимодействия локальных сетей и отдельных компьютеров через открытые сети, в частности через сеть Интернет, возможно путем эффективного решения следующих задач: защита подключенных к открытым каналам связи локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды; защита информации в процессе ее передачи по открытым каналам связи. Обеспечение Как уже отмечалось ранее, для защиты локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды обычно используют межсетевые экраны, поддерживающие безопасность информационного взаимодействия путем фильтрации двустороннего потока сообщений, а также выполнения функций посредничества при обмене информацией. Межсетевой экран располагают на стыке между локальной и открытой сетями. Для защиты отдельного удаленного компьютера, подключенного к открытой сети, на этом компьютере устанавливают программное обеспечение сетевого экрана, и такой сетевой экран называется персональным. Защита информации в процессе ее передачи по открытым каналам основана на использовании виртуальных защищенных сетей VPN. Виртуальной защищенной сетью VРN называют объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность циркулирующих данных Виртуальная защищенная сеть VPN формируется путем построения виртуальных защищенных каналов связи, создаваемых на базе открытых каналов связи общедоступной сети. Эти виртуальные защищенные каналы связи называются туннелями VPN. Сеть VPN позволяет с помощью туннелей VPN соединить центральный офис, офисы филиалов, офисы бизнеспартнеров и удаленных пользователей и безопасно передавать информацию через Интернет. Туннель VPN представляет собой соединение, проведенное через открытую сеть, по которому передаются криптографически защищенные пакеты сообщений виртуальной сети. Защита информации в процессе ее передачи по туннелю VPN основана на выполнении следующих функций: аутентификации взаимодействующих сторон; криптографического закрытия (шифрования) передаваемых данных; проверки подлинности и целостности доставляемой информации. Для этих функций характерна взаимосвязь. При их реализации используются криптографические методы защиты информации. Эффективность такой защиты обеспечивается за счет совместного использования симметричных и асимметричных криптографических систем. Туннель VPN, формируемый устройствами VPN, обладает свойствами защищенной выделенной линии, причем эта защищенная выделенная линия развертывается в рамках общедоступной сети, например Интернет. Устройства VPN могут играть в виртуальных частных сетях роль VPN-клиента, VPN-сервера или шлюза безопасности VPN. VРN-клиент представляет собой программный или программно-аппаратный комплекс, выполняемый обычно на базе персонального компьютера. Его сетевое программное обеспечение модифицируется для выполнения шифрования и аутентификации трафика, которым это устройство обменивается с другими VPNклиентами, VPN-серверами или шлюзами безопасности VPN. Обычно реализация VPN-клиента представляет собой программное решение, дополняющее стандартную операционную систему Windows NT /2000 или UNIX . 10 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE VРN-сервер представляет собой программный или программно-аппаратный комплекс, устанавливаемый на компьютере, выполняющем функции сервера. VPN-сервер обеспечивает защиту серверов от несанкционированного доступа из внешних сетей, а также организацию защищенных соединений (ассоциаций) с отдельными компьютерами и с компьютерами из сегментов локальных сетей, защищенных соответствующими VPN-продуктами. VPN-сервер является функциональным аналогом VPN-клиента для серверных платформ. Он отличается, прежде всего, расширенными ресурсами для поддержания множественных соединений с VPN-клиентами. VPN-сервер может поддерживать защищенные соединения с мобильными пользователями. Шлюз безопасности VPN - это сетевое устройство, подключаемое к двум сетям, которое выполняет функции шифрования и аутентификации для многочисленных хостов, расположенных за ним. Размещение шлюза безопасности VPN выполняется таким образом, чтобы через него проходил весь трафик, предназначенный для внутренней корпоративной сети. Сетевое соединение шлюза VPN прозрачно для пользователей позади шлюза, оно представляется им выделенной линией, хотя на самом деле прокладывается через открытую сеть с коммутацией пакетов. Адрес шлюза безопасности УРК указывается как внешний адрес входящего туннелируемого пакета, а внутренний адрес пакета является адресом конкретного хоста позади шлюза. Шлюз безопасности VPN может быть реализован в виде отдельного программного решения, отдельного аппаратного устройства, а также в виде маршрутизатора или межсетевого экрана, дополненных функциями VPN. Реализацию механизма туннелирования можно представить как результат работы протоколов трех типов: протокола-«пассажира», несущего протокола и протокола туннелирования. Например, в качестве протокола-«пассажира» может быть использован транспортный протокол I РХ, переносящий данные в локальных сетях филиалов одного предприятия. Наиболее распространенным вариантом несущего протокола является протокол I Р сети Интернет. В качестве протоколов туннелирования могут быть использованы протоколы канального уровня РРТР и L 2ТР, а также протокол сетевого уровня IPSec . Существует ряд вариантов схем виртуальных защищенных каналов. В принципе, любой из двух узлов виртуальной корпоративной сети, между которыми формируется виртуальный защищенный канал, может принадлежать конечной или промежуточной точке защищаемого потока сообщений. С точки зрения обеспечения информационной безопасности лучшим является вариант, при котором конечные точки защищенного туннеля совпадают с конечными точками защищаемого потока сообщений. В этом случае обеспечивается защищенность канала вдоль всего пути следования пакетов сообщений. Однако такой вариант ведет к децентрализации управления и избыточности ресурсных затрат. В этом случае необходима установка средств создания VPN на каждом клиентском компьютере локальной сети. Это усложняет централизованное управление доступом к компьютерным ресурсам и не всегда оправдано экономически. Отдельное администрирование каждого клиентского компьютера с целью конфигурирования в нем средств защиты является достаточно трудоемкой процедурой в большой сети. Если внутри локальной сети, входящей в виртуальную сеть, не требуется защита трафика, тогда в качестве конечной точки защищенного туннеля можно выбрать межсетевой экран или пограничный маршрутизатор этой локальной сети. Если же поток сообщений внутри локальной сети должен быть защищен, тогда в качестве конечной точки туннеля в этой сети должен выступать компьютер, который участвует в защищенном взаимодействии. При доступе к локальной сети 11 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE удаленного пользователя компьютер этого пользователя должен быть конечной точкой виртуального защищенного канала. 3.2.2. Классификация сетей VPN Рынок VPN-продуктов в настоящее время развивается очень бурно. Потенциальным клиентам предлагается широкий спектр оборудования и программного обеспечения для создания виртуальных защищенных сетей: от интегрированных многофункциональных и специализированных устройств до чисто программных продуктов. Существуют разные варианты классификации VPN. используются следующие три признака классификации: Наиболее часто рабочий уровень модели OSI; архитектура технического решения VPN; способ технической реализации VPN. Классификация VPN по рабочему уровню модели OSI Для технологий безопасной передачи данных по общедоступной (незащищенной) сети применяют обобщенное название - защищенный канал. Термин «канал» подчеркивает тот факт, что защита данных обеспечивается между двумя узлами сети (хостами или шлюзами) вдоль некоторого виртуального пути, проложенного в сети с коммутацией пакетов. Защищенный канал можно построить с помощью системных средств, реализованных на разных уровнях модели взаимодействия открытых систем OSI. Классификация VPN по рабочему уровню модели OSI представляет значительный интерес, поскольку от выбранного уровня OSI во многом зависит функциональность реализуемой VPN и ее совместимость с приложениями корпоративной информационной системы, а также с другими средствами защиты. По признаку «рабочий уровень модели OSI» различают следующие группы: VPN канального уровня; VPN сетевого уровня; VPN сеансового уровня. Важно отметить, что VPN строятся на достаточно низких уровнях модели OSI . Причина этого достаточно проста: чем ниже в стеке реализованы средства защищенного канала, тем проще их сделать прозрачными для приложений и прикладных протоколов. На сетевом и канальном уровнях зависимость приложений от протоколов защиты исчезает совсем. Поэтому построить универсальную и прозрачную защиту для пользователя возможно только на нижних уровнях модели. Классификация VPN по архитектуре технического решения По архитектуре технического решения принято выделять три основных вида виртуальных частных сетей: внутрикорпоративные VPN; VPN с удаленным доступом; межкорпоративные VPN. Классификация VPN по способу технической реализации Конфигурация и характеристики виртуальной определяются типом применяемых VPN-устройств. 12 частной сети во многом МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE По способу технической реализации различают следующие группы VPN: VPN на основе маршрутизаторов; VPN на основе межсетевых экранов; VPN на основе программных решений; VPN на основе специализированных шифропроцессорами. аппаратных средств со встроенными VPN на основе маршрутизаторов Данный способ построения УРМ предполагает применение маршрутизаторов для создания защищенных каналов. Поскольку вся информация, исходящая из локальной сети, проходит через маршрутизатор, то вполне естественно возложить на него и задачи шифрования. VPN на основе межсетевых экранов Межсетевые экраны большинства производителей поддерживают функции туннелирования и шифрования данных. При использовании межсетевых экранов на базе персональных компьютеров надо помнить, что подобное решение подходит только для небольших сетей с относительно малым объемом передаваемой информации. Недостатками этого метода являются высокая стоимость решения в пересчете на одно рабочее место и зависимость производительности от аппаратного обеспечения, на котором работает межсетевой экран. VPN на основе программного обеспечения VPN-продукты, реализованные программным способом, с точки зрения производительности уступают специализированным устройствам, однако обладают достаточной мощностью для реализации VPN-сетей. Следует отметить, что в случае удаленного доступа требования к необходимой полосе пропускания невелики. Поэтому чисто программные продукты легко обеспечивают производительность, достаточную для удаленного доступа. Несомненным достоинством программных продуктов является гибкость и удобство в применении, а также относительно невысокая стоимость. VPN на основе специализированных аппаратных средств Главным преимуществом VPN на основе специализированных аппаратных средств является их высокая производительность. Более высокое быстродействие специализированных VPN-систем обусловлено тем, что шифрование в них осуществляется специализированными микросхемами. Специализированные VPNустройства обеспечивают высокий уровень безопасности, однако они довольно дороги. 3.2.3. Основные варианты архитектуры VPN Существует множество разновидностей виртуальных частных сетей. Их спектр варьируется от провайдерских сетей, позволяющих управлять обслуживанием клиентов непосредственно на их площадях, до корпоративных сетей VPN, разворачиваемых и управляемых самими компаниями. Тем не менее, принято выделять три основных вида виртуальных частных сетей: VPN с удаленным доступом, внутрикорпоративные VPN и межкорпоративные VPN. VPN с удаленным доступом Виртуальные частные сети VPN с удаленным доступом обеспечивают защищенный удаленный доступ к информационным ресурсам предприятия для 13 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE мобильных или удаленных сотрудников корпорации (руководство компанией, сотрудники, находящиеся в командировках, сотрудники-надомники и т.д.). Виртуальные частные сети с удаленным доступом завоевали всеобщее признание благодаря тому, что они позволяют значительно сократить ежемесячные расходы на использование коммутируемых и выделенных линий. Принцип их работы прост: пользователи устанавливают соединения с местной точкой доступа к глобальной сети, после чего их вызовы туннелируются через Интернет, что позволяет избежать платы за междугороднюю и международную связь или выставления счетов владельцам бесплатных междугородних номеров. Затем все вызовы концентрируются на соответствующих узлах и передаются в корпоративные сети. Внутрикорпоративная сеть VPN Внутрикорпоративные сети VPN используются для организации защищенного взаимодействия между подразделениями внутри предприятия или между группой предприятий, объединенных корпоративными сетями связи, включая выделенные линии. Компании, нуждающиеся в организации доступа к централизованным хранилищам информации для своих филиалов и отделений, обычно подключают удаленные узлы посредством выделенных линий. Но использование выделенных линий означает возрастание текущих расходов по мере увеличения занимаемой полосы пропускания и расстояния между объектами. В результате этого расходы на связь по выделенным линиям превращаются в одну из основных статей расходов на эксплуатацию сети VPN. Чтобы сократить их, компания может соединить узлы при помощи виртуальной частной сети. Компании отказываются от использования дорогостоящих выделенных линий, заменив их более дешевой связью через Интернет. Это существенно сокращает расходы на использование полосы пропускания, поскольку в Интернет расстояние никак не влияет на стоимость соединения. Межкорпоративная сеть VPN Межкорпоративные сети VPN используются для организации эффективного взаимодействия и защищенного обмена информацией со стратегическими партнерами по бизнесу, в том числе зарубежными, основными поставщиками, крупными заказчиками, клиентами и т.д. Это сетевая технология, которая обеспечивает прямой доступ из сети одной компании к сети другой компании и таким образом способствует повышению надежности связи, поддерживаемой в ходе делового сотрудничества. Межкорпоративные сети VPN в целом похожи на внутрикорпоративные виртуальные частные сети с той лишь разницей, что проблема защиты информации является для них более острой. Для них характерно использование стандартизированных VPN -продуктов, гарантирующих способность к взаимодействию с различными VPN-решениями, которые деловые партнеры могли бы применять в своих сетях. 3.3. Протоколы защиты на канальном, сеансовом и сетевом уровнях 3.3.1. Протоколы формирования защищенных каналов на канальном уровне PPTP, L2F и L2TP являются протоколами туннелирования канального уровня модели OSI. Общим свойством этих протоколов является то, что они используются 14 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE для организации защищенного многопротокольного удаленного доступа ресурсам корпоративной сети через открытую сеть, например через Интернет; к Все три протокола - PPTP, L2F и L2TP - обычно относят к протоколам формирования защищенного канала, однако этому определению точно соответствует только протокол PPTP , который обеспечивает туннелирование и шифрование передаваемых данных. Протоколы L2F и L2TP являются протоколами туннелирования, поскольку поддерживают только функции туннелирования. Функции защиты данных (шифрование, целостность, аутентификация) в этих протоколах не поддерживаются. Для защиты туннелируемых данных в этих протоколах необходимо использовать дополнительный протокол, в частности IPSec . Клиентское программное обеспечение обычно использует для удаленного доступа стандартный протокол канального уровня PPP . Протоколы PPTP , L2F и L2TP основываются на протоколе PPP и являются его расширениями. Для доставки конфиденциальных данных из одной точки в другую через сети общего пользования сначала проводится инкапсуляция данных с помощью протокола PPP , затем протоколы PPTP и L2TP выполняют шифрование данных и собственную инкапсуляцию. После того, как туннельный протокол доставляет пакеты из начальной точки туннеля в конечную, выполняется деинкапсуляция. Протокол PPTP , разработанный компанией Microsoft при поддержке ряда других компаний, предназначен для создания защищенных виртуальных каналов при доступе удаленных пользователей к локальным сетям через Интернет. Протокол PPTP предполагает создание криптозащищенного туннеля на канальном уровне модели OSI как для случая прямого соединения удаленного компьютера с открытой сетью, так и при подсоединении его к открытой сети по телефонной линии через провайдера. Протокол PPTP получил практическое распространение благодаря компании Microsoft , реализовавшей его в своих операционных системах Windows NT и Windows 2000. Протокол L2F был разработан компанией Cisco Systems для построения защищенных виртуальных сетей на канальном уровне модели OSI как альтернатива протоколу РРТР. По сравнению с РРТР протокол L2F отличается поддержкой разных сетевых протоколов и более удобен в использовании для провайдеров Интернет. Протокол L2F обладает следующими свойствами: гибкостью процедур аутентификации, предполагающей отсутствие жесткой привязки к конкретным протоколам проверки подлинности; прозрачностью для конечных систем - рабочим станциям локальной сети и удаленной системе не требуется специального программного обеспечения для использования защитного сервиса; прозрачностью для посредников - авторизация удаленных пользователей выполняется аналогично случаю непосредственного подключения пользователей к серверу удаленного доступа локальной сети; полнотой аудита - регистрация событий доступа к серверу локальной сети осуществляется не только сервером удаленного доступа этой сети, но и сервером провайдера. В настоящее время протокол L2F фактически поглощен протоколом L2TP, имеющим статус проекта стандарта Интернет. 15 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Протокол L2TP разрабатывался как протокол защищенного туннелирования РРР-трафика через сети общего назначения с произвольной средой. Работа над этим протоколом велась на основе протоколов РРТР и L2F, и в результате он вобрал в себя лучшие качества исходных протоколов. 3.3.2. Протоколы формирования защищенных каналов на сеансовом уровне Самым высоким уровнем модели OSI , на котором возможно формирование защищенных виртуальных каналов, является пятый - сеансовый - уровень. При построении защищенных виртуальных сетей на сеансовом уровне появляется возможность криптографической защиты информационного обмена, включая аутентификацию, а также реализации ряда функций посредничества между взаимодействующими сторонами. C еансовый уровень модели OSI отвечает за установку логических соединений и управление этими соединениями. Поэтому существует возможность применения на этом уровне программ-посредников, проверяющих допустимость запрошенных соединений и обеспечивающих выполнение других функций защиты межсетевого взаимодействия. Протоколы формирования защищенных виртуальных каналов на сеансовом уровне прозрачны для прикладных протоколов защиты, а также высокоуровневых протоколов предоставления различных сервисов. Однако на сеансовом уровне начинается непосредственная зависимость от приложений, реализующих высокоуровневые протоколы. Поэтому реализация протоколов защиты информационного обмена, соответствующих этому уровню, в большинстве случаев требует внесения изменений в высокоуровневые сетевые приложения. Для защиты информационного обмена на сеансовом уровне широкое распространение получил протокол SSL . Для выполнения на сеансовом уровне функций посредничества между взаимодействующими сторонами в качестве стандарта принят протокол SOCKS . Протокол SOCKS организует процедуру взаимодействия клиент-серверных приложений на сеансовом уровне модели OSI через сервер-посредник или ргохусервер. В общем случае программы-посредники, которые традиционно используются в межсетевых экранах, могут выполнять следующие функции: идентификацию и аутентификацию пользователей; криптозащиту передаваемых данных; разграничение доступа к ресурсам внутренней сети; разграничение доступа к ресурсам внешней сети; фильтрацию и преобразование потока сообщений, например поиск вирусов и прозрачное шифрование информации; трансляцию внутренних сетевых адресов для исходящих потоков сообщений. На основе протокола SOCKS могут быть реализованы и другие функции посредничества по защите сетевого взаимодействия. Например, протокол SOCKS может применяться для контроля над направлениями информационных потоков и разграничения доступа в зависимости от атрибутов пользователей и информации. Эффективность использования протокола SOCKS для выполнения функций посредничества обеспечивается его ориентацией на сеансовый уровень модели OSI . Благодаря протоколу SOCKS межсетевые экраны и виртуальные частные сети могут организовать безопасное взаимодействие и обмен информацией между разными сетями. Протокол SOCKS позволяет реализовать безопасное управление 16 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE этими системами на основе унифицированной стратегии. Следует отметить, что на основе протокола SOCKS могут создаваться защищенные туннели для каждого приложения и сеанса в отдельности. 3.3.3. Защита сетевого уровня На сетевом уровне существует возможность достаточно полной реализации функций защиты трафика и управления ключами, поскольку именно на данном уровне выполняется маршрутизация пакетов сообщений. Для аутентификации участников обмена, туннелирования трафика и шифрования IP -пакетов используется стек протоколов IPSec. Основное назначение протоколов IPSec - обеспечение безопасной передачи данных по сетям IP. Применение IPSec гарантирует: целостность передаваемых данных, то есть данные при передаче не искажены, не потеряны и не продублированы; аутентичность отправителя, то есть данные переданы именно тем отправителем, который доказал, что он тот, за кого себя выдает; конфиденциальность передаваемых данных, то есть данные передаются в форме, предотвращающей их несанкционированный просмотр. Следует отметить, что обычно в понятие безопасности данных включают еще одно требование - доступность данных, что в рассматриваемом контексте можно интерпретировать как гарантию их доставки. Протоколы IPSec не решают эту задачу, оставляя ее протоколу транспортного уровня ТСР. Стек протоколов IPSec обеспечивает защиту информации на сетевом уровне, что делает эту защиту невидимой для работающих приложений. Для того чтобы обеспечить аутентификацию, конфиденциальность и целостность передаваемых данных, стек протоколов IPSec построен на базе ряда стандартизованных криптографических технологий: обмены ключами между пользователями в открытой сети; криптография открытых ключей для подписывания обменов, чтобы гарантировать подлинность двух сторон; цифровые сертификаты для подтверждения подлинности открытых ключей; блочные симметричные алгоритмы шифрования данных; алгоритмы аутентификации сообщений на базе функций хэширования. Протокол IPSec определяет стандартные способы защиты информационного обмена на сетевом уровне модели OSI для IP -сети, являющейся основным видом открытых сетей. Стандартизованными функциями IPSec -защиты могут пользоваться протоколы более высоких уровней, в частности управляющие протоколы, протоколы конфигурирования, а также протоколы маршрутизации. 3.3.4. Согласование параметров защищенных каналов и распределение криптографических ключей При построении защищенных виртуальных сетей VPN важную роль играют функции согласования параметров защищенных туннелей и распределения криптографических ключей. Эти функции должны реализовываться при формировании каждого криптозащищенного канала. Применяемые в VPN криптографические ключи длительности использования на следующие типы: можно разделить по основные ключи, которые применяются в течение относительно долгого периода времени (от недели до нескольких месяцев); 17 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE временные ключи, каждый из которых генерируется для криптозащиты информации в рамках одного защищенного канала. Основные ключи обеспечивают аутентификацию сторон, а также криптозащиту распределяемых временных ключей. Основные ключи должны распределяться заблаговременно до формирования защищенных виртуальных соединений. Наиболее высокая эффективность распределения основных криптографических ключей достигается при использовании асимметричных криптосистем, когда распределению подлежат только открытые ключи. Временные (сеансовые) ключи, действующие в рамках одного криптозащищенного туннеля, распределяются по сети с помощью основных ключей. Одним из наиболее популярных алгоритмов формирования сеансового ключа на основе распределенных или передаваемых друг другу открытых ключей является алгоритм Диффи-Хеллмана. Поскольку для шифрования передаваемых данных используются симметричные криптосистемы, сеансовые ключи, как правило, являются симметричными ключами шифрования. После аутентификации сторон и безопасного распределения временных ключей, а также согласования параметров защищенного туннеля криптозащита трафика в рамках этого туннеля осуществляется на основе распределенных временных ключей. Существует два основных способа построения защищенного виртуального туннеля между двумя узлами компьютерной сети: формирование защищенного канала для каждого соединения, устанавливаемого какимлибо программным приложением; формирование общего защищенного канала между сетевыми узлами и создание в рамках этого канала отдельных защищенных соединений. Формирование защищенного виртуального канала для каждого соединения включает следующие этапы: выдачу запроса одной из сторон и достижение соглашения на создание защищенного виртуального канала; аутентификацию сторон, выполняемую с помощью ранее распределенных основных ключей шифрования или назначенных паролей; распределение временных ключей и согласование параметров защищенного канала. Обычно второй и третий этапы совмещаются друг с другом, и аутентификация выполняется совместно с распределением временных ключей. При формировании между двумя сетевыми узлами общего защищенного канала, в рамках которого затем создаются отдельные защищенные соединения, перечисленные этапы выполняются как при установлении защищенного канала, так и при создании каждого защищенного соединения. В начале формирования общего защищенного канала распределяется главный сеансовый ключ симметричного шифрования. Это распределение осуществляется с помощью основных ключей взаимодействующих сторон. Распределение же временных ключей для каждого создаваемого защищенного соединения выполняется на основе главного сеансового ключа. Независимо от числа защищенных соединений, создаваемых в рамках одного защищенного туннеля, основные ключи используются только один раз - при распределении главного сеансового ключа. 3.4. Инфраструктура защиты на прикладном уровне Интернет открывает для электронного бизнеса и рядовых пользователей персональных компьютеров многочисленные новые возможности. Чтобы эти 18 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE возможности реализовать, необходимо построить надежную с точки зрения безопасности среду для осуществления операций в режиме online . Эта среда требует способности обнаруживать бреши в системе защиты и оценивать уязвимости, а также защищать активы предприятия с помощью firewalls и антивирусных мер. Технологии, которые дают возможность осуществлять электронный бизнес, выполняют четыре основные функции: аутентификацию, или проверку подлинности пользователя; управление доступом, позволяющее авторизованным пользователям получать доступ к требуемым ресурсам; гарантирующее, что связь между пользователем и базовой инфраструктурой защищена; неотказуемость, означающую, что пользователи не могут позднее отказаться от выполненной транзакции (обычно реализуется с помощью цифровой подписи и инфраструктуры открытых ключей). шифрование, Только решение, включающее все четыре эти функции, может создать доверенную среду, способную по-настоящему обеспечить реализацию электронного бизнеса. Управление доступом упрощается при применении единой централизованной инфраструктуры контроля и управления доступом. Подобные централизованные инфраструктуры управления доступом могут разрешить пользователям «самообслуживание», поручая им такие задачи управления, как регистрация, редактирование профиля, восстановление пароля и управление подпиской. Они могут также обеспечить делегирование администрирования, передачу функций управления пользователями людям, наиболее осведомленным о конкретной группе пользователей, как внутри, в бизнес подразделениях организации, так и вне, у клиентов и в подразделениях бизнес-партнеров. Удаленный доступ к компьютерным ресурсам стал в настоящее время таким же актуальным и значимым, как и доступ в режиме непосредственного подключения. Удаленный доступ к корпоративной сети осуществляется из незащищенного внешнего окружения через открытые сети. Поэтому средства построения защищенной корпоративной сети должны обеспечить безопасность сетевого взаимодействия при подключении к сети удаленных компьютеров. Удаленный доступ к корпоративной сети возможен через глобальную компьютерную сеть или через среду передачи информации, образованную цепочкой из телефонной и глобальной компьютерной сетей. Доступ через глобальную сеть Интернет является достаточно эффективным способом удаленного доступа к корпоративной сети, причем для подключения удаленного пользователя к Интернет может использоваться канал телефонной связи. В корпоративной сети для взаимодействия с удаленными пользователями выделяется сервер удаленного доступа. Этот сервер служит для выполнения следующих функций: установки соединения с удаленным компьютером; аутентификации удаленного пользователя; управления удаленным соединением; посредничества при обмене данными между удаленным компьютером и корпоративной сетью. Среди протоколов удаленного доступа к локальной сети наибольшее распространение получил протокол «точка-точка» РРР который является открытым стандартом Интернет Протокол РРР предназначен для формирования удаленного соединения и обмена информацией по установленному каналу пакетами сетевого уровня, инкапсулированными в РРР-кадры. Используемый в 19 МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE протоколе РРР метод формирования кадров обеспечивает одновременную работу через канал удаленной связи нескольких протоколов сетевого уровня. Протокол РРР поддерживает следующие важные функции: аутентификацию удаленного пользователя и сервера удаленного доступа; компрессию и шифрование передаваемых данных; обнаружение и коррекцию ошибок; конфигурирование и проверку качества канала связи; динамическое присвоение адресов I Р и управление этими адресами. На основе протокола РРР построены часто используемые при удаленном доступе протоколы РРТР, L2F, L2TP. Эти протоколы позволяют создавать защищенные каналы для обмена данными между удаленными компьютерами и локальными сетями, функционирующими по различным протоколам сетевого уровня. Для передачи по телефонным каналам связи пакеты этих протоколов инкапсулируются в РРР-кадры. При необходимости передачи через Интернет защищенные РРР-кадры инкапсулируются в I Р-пакеты сети Интернет. Криптозащита трафика возможна как в каналах Интернет так и на протяжении всего пути между компьютером удаленного пользователя и сервером удаленного доступа локальной сети. Вопросы для самопроверки: 1. 2. 3. 4. 5. 6. 7. Какие функции выполняют межсетевые экраны? Что представляют собой схемы сетевой защиты на базе межсетевых экранов? Каковы проблемы безопасности межсетевых экранов? Что входит в концепцию построения виртуальных защищенных сетей VPN? Как можно классифицировать сети VPN? Какие есть протоколы защиты на канальном, сеансовом и сетевом уровнях Каковы основные варианты архитектуры VPN? 20
