Технология SKIP: эволюции спецификации протокола и проблемы разработки масштабируемого ряда продуктов сетевой информационной безопасности

С.Рябко, Н.Царев, АО ЭЛВИС+


Проблема защиты информации в Internet

Наблюдаемый в последние годы взрывной рост популярности Internet и связанных с этой сетью коммерческих проектов послужил толчком для развития нового поколения технологий защиты информации в TCP/IP-сетях.
Наивные способы защиты, такие, как запрос пароля с последующей передачей его в открытом виде по коммуникационному каналу, и простые списки доступа (access list) на серверах и маршрутизаторах, становятся малоэффективными в условиях прогрессивной коммерциализации Internet. Что же может быть противопоставлено квалифицированной и технически вооруженной атакующей стороне?
Технологией, предлагающей необходимые для применения в масштабах Internet универсальность и общность, представляется существующая на сегодняшний день в виде промышленного стандарта Sun Microsystems и проекта стандарта Internet (draft RFC, Request for comments) спецификация, сокращенно называемая SKIP (Simple Key management or Internet Protocol - Простой протокол управления ключами в интерсети). Эта спецификация была разработана компанией Sun Microsystems в 1994 году и предложена в качестве стандарта Internet.

Протокол SKIP

Почему же SKIP представляется решением, адекватным задачам защиты информации в масштабах такой сети, как Internet?
Прежде всего потому, что SKIP IP-совместим. SKIP аппаратно независим. Протокол имплементируется в IP-стек выше аппаратно-зависимой его части и работает на всех тех каналах, на которых работает IP.
Принадлежность SKIP к IP-стеку обеспечивает прозрачность этого протокола для приложений: SKIP обрабатывает IP-пакеты, не накладывая никаких ограничений на вышележащее программное обеспечение. В свою очередь, приложения никак не "чувствуют" SKIP.
SKIP сеансонезависим: для организации защищенного взаимодействия между парой абонентов не требуется никакого дополнительного информационного обмена и не требуется передачи по каналам связи какой-либо открытой информации.
В основе SKIP лежит криптография открытых ключей Диффи-Хеллмана.
SKIP обеспечивает шифрование (путем инкапсуляции пакетов, подлежащих защите, в SKIP- пакеты) и аутентификацию (достоверную идентификацию источника) информации. Режимы инкапсуляции и шифрования могут применяться как совместно, так и раздельно.

Эволюции спецификации SKIP

Текущая версия эскизных материалов IETF по стандарту SKIP от 14 августа 1996 года имеет ряд отличий от первой версии, опубликованной 15 мая 1994 года.
Суммировать изменения, вносившиеся в спецификацию за время рассмотрения этого протокола в рабочей группе IETF, можно следующим образом.
Усовершенствована и стандартизована логика инкапсуляции в SKIP (туннелирования) в соответствии со стандартом RFC 1827.
Повышена стойкость защиты системы и за счет введения временно- зависимого механизма защиты пакетного ключа.
Появился функционально набор проектов стандартов, превращающих SKIP из отдельного протокола в комплексное технологическое решение. Специальный документ выпущен авторами спецификации протокола SKIP для использования сертификатов в формате X.509. Описана процедура обмена информацией о поддерживаемых алгоритмах шифрования для данного узла. Опуская ряд идейно более мелких коррекций спецификации, следует отметить проработку в новой спецификации вопросов совместимости SKIP и со следующей (пока повсеместно не внедренной) версией протокола IP (IPv6).

Эволюции продуктной линии SKIP

Хотя SKIP пока не является стандартом Internet, на основе этого протокола, на правах открытого индустриального стандарта, разработали программные продукты, по меньшей мере, три организации: Sun Microsystems, Swiss Federal Institute of Technology и АО ЭЛВИС+. Заявили о работе над продуктами на основе этого протокола такие организации, как Check Point Software, Toshiba Corporation, и две небольших калифорнийских фирмы - VPNet Technology и IRE.
Уже в июле 1995 года на 33 сессии IETF разработчиками были представлены реализации протоколов и проверена их совместимость. Тогда эти программы были достаточно далеки от состояния, которое можно было бы характеризовать как "программный продукт".
На сегодняшний день картина изменилась, и мы имеем масштабируемый ряд продуктов защиты информации на основе спецификации SKIP. В разработке этого ряда приняли участие, по существу, все три из упомянутых организаций, однако на деятельности каждой из них сказалась внутренняя специфика каждой из них. Sun Microsystems использовала SKIP, как базовое средство защиты трафика в устройстве SunScreen - продукте, который получил признание, в частности, как продукт 1996 года по категории firewall в журнале LAN Magazine. Продукт SunScreen анонсирован в мае 1995 года и с тех пор находится в эксплуатации. Кроме устройства SunScreen, Sun предлагает программную реализацию SKIP для ОС Solaris. В Швейцарии выпущена public domain версия протокола SKIP. Разработка продуктных предложений, видимо, вследствие некоммерческой ориентации Swiss Federal Institute of Technology, не анонсировалась. АО ЭЛВИС+, ориентируясь на специфику российского рынка, пошел по пути разработки недорогих программных реализаций SKIP для распространенных платформ UNIX и Windows. Помимо платформного деления, АО ЭЛВИС+ предлагаются версии продукта с различной функциональностью: от простой программы для защиты трафика оконечного устройства, работающего с одним выделенным сервером, до полнофункционального продукта защиты станции в корпоративной сети, который обеспечивает учет топологии сети и индивидуальную настройку дисциплины взаимодействия с различными ее узлами. Кроме того, нами разработано и предлагается в виде готового продукта устройство для коллективной защиты локальных сетей SKIPbridge. Это - аппаратно-программный комплекс на основе SPARCserver 5, который устанавливается на интерфейсе LAN/WAN и обеспечивает решение двух задач: SKIP-защиту входящего и исходящего трафика и реализацию заданной политики безопасности на интерфейсе LAN/WAN путем расширенной пакетной фильтрации. На текущий момент оттестирована совместимость всех продуктов АО ЭЛВИС+ и Sun Microsystems, и мы можем говорить о едином, широко масштабируемом по функциональности и стоимости, ряде продуктов. Разработка целого продуктного ряда потребовала от нас решения ряда технологических проблем разработки ПО - от традиционных, связанных, например, с переносимостью с платформы на платформу - до достаточно необычных, таких, как обеспечение совместимости с продуктами других, независимо работающих, групп разработчиков и отслеживание версионности продуктов в условиях достаточно быстро меняющейся спецификации базового протокола. Большая часть этих проблем этапа разработки продуктов решена, что, впрочем, не позволяет нам расслабиться, поскольку следом за проблемами разработки ПО неизбежно встают проблемы его внедрения и сопровождения.

Сергей Дмитриевич Рябко, руководитель проектов АО ЭЛВИС+
Sergei D. Ryabko, ELVIS+ project manager

tel. (095) 531-1754
fax 531-2403
e-mail rsd@elvis.ru

[Назад] [Содержание] [Вперед]