3.6. Безопасность удаленного доступа к локальной сети
3.6.1. Организация безопасного удаленного доступа
В настоящее время удаленный доступ к компьютерным ресурсам локальных сетей стал не менее значимым, чем доступ в режиме непосредственного подключения. Удаленный доступ к локальной сети реализуется из внешнего физически не защищаемого окружения через открытые сети. Соответственно средства построения защищенной виртуальной сети должны обеспечивать безопасность сетевого взаимодействия не только при объединении локальных, сетей, но и при подключении к локальным сетям удаленных компьютеров.
Удаленный доступ к локальной сети возможен через телефонную сеть, глобальную компьютерную сеть или через среду передачи информации, образованную цепочкой из телефонной и глобальной компьютерной сети (рис. 3.21). Не исключен также случай, когда локальная сеть и удаленный компьютер объединяются в единую виртуальную сеть путем подключения, по телефонным линиям к глобальной компьютерной сети. Наиболее эффективным способом удаленного доступа к локальным сетям является доступ
через глобальную сеть Internet, для подключения к которой могут использоваться каналы телефонной связи. Удаленный доступ к локальным сетям через Internet обладает рядом преимуществ:
• обеспечивается масштабируемая поддержка удаленного доступа, позволяющая мобильным пользователям связываться по местным телефонным линиям с поставщиками услуг Internet и через них входить в свою локальную сеть.
• для организации удаленного доступа пользователей исключается необходимость в наличии модемных пулов в локальной сети, а трафиком дистанционного доступа можно управлять точно так же, как любым другим трафиком Internet.
• сокращаются расходы на информационный обмен через открытую внешнюю среду, так как вместо того, чтобы устанавливать дорогостоящие непосредственные соединения с локальной сетью по междугородной или международной телефонной связи, удаленные пользователи могут подключаться к Internet и, далее, связываться с сетью своей организации через эту глобальную сеть.
Независимо от типа среды передачи информации, связывающей удаленный компьютер с локальной сетью, для взаимодействия с удаленными пользователями из состава локальной сети выделяется сервер удаленного доступа. В общем случае данный сервер предназначен для установки соединения с удаленным компьютером, аутентификации удаленного пользователя, управления удаленным соединением, а также выполнения других функций посредничества при обмене данными между локальной сетью и удаленным компьютером. К таким функциям относятся:
• разграничение доступа к компьютерным ресурсам;
• криптозащита трафика;
• регистрация событий;
• реагирование на задаваемые события. Функции, на выполнение которых ориентирован сервер удаленного доступа, имеют отношение к функциям комплексного межсетевого экрана. Учитывая функциональное назначение межсетевого экрана, можно сделать вывод, что он также должен выполнять функции сервера удаленного доступа. Многие брандмауэры поддерживают такие функции. Однако сервер удаленного доступа имеет важное самостоятельное значение и поэтому на практике конфигурируется отдельно, независимо от того, входит он в состав межсетевого экрана или нет. Это связано с тем, что для удаленного доступа используются отдельные протоколы, обеспечивающие управление удаленным соединением, а также защиту этого соединения.
Для поддержания высокой безопасности сервер удаленного доступа, как и межсетевой экран, должен функционировать на компьютере, расположенном на стыке между локальной и открытой сетью. В качестве открытой сети выступают публичные компьютерные и телефонные сети. Если пользователи выполняют удаленный доступ к локальной сети из среды Internet, возможно, подключаясь к Internet по телефонным линиям, то сервер удаленного доступа чаще всего инсталлируют в составе межсетевого экрана или совместно с ним на один компьютер. В случае же, если удаленный доступ к локальной сети выполняется и по телефонным линиям связи, то для установки удаленных телефонных соединений и управления этими соединениями целесообразно выделять отдельный сервер удаленного доступа, называемый в этом случае терминальным сервером (рис. 3.22).
Терминальный сервер является системой с несколькими асинхронными портами и одним интерфейсом локальной сети. Его подключение должно осуществляться таким образом, чтобы обмен данными между удаленным компьютером и локальной сетью осуществлялся исключительно через межсетевой экран. Такое подключение возможно двумя способами:
•терминальный сервер включается в состав открытой подсети при использовании схем подключения брандмауэра с раздельной защитой открытой и закрытой подсетей;
• терминальный сервер подключается к отдельному сетевому интерфейсу брандмауэра, как показано на рис. 3.22.
Наличие терминального сервера, контролирующего удаленный доступ к локальной сети по телефонным линиям, не исключает необходимость сервера удаленного доступа, функционирующего совместно с межсетевым экраном и контролирующего удаленный доступ из Internet.
Терминальный сервер должен поддерживать такую важную посредническую
функцию, как обратный вызов удаленного пользователя по заданному для него телефонному номеру. Данная функция позволяет ограничить телефонные номера, которые могут использоваться для удаленного доступа к локальной сети. Если для какого-либо пользователя задан режим обратного вызова, то после успешной аутентификации этого пользователя при его удаленном доступе к локальной сети терминальный сервер разрывает соединение и самостоятельно инициирует вызов, используя указанный для пользователя в базе данных телефонный номер. Такая техника установки удаленного соединения исключает возможность доступа к локальной сети из неизвестных потенциально опасных мест.
Среди протоколов удаленного доступа к локальной сети наибольшую популярность завоевал протокол PPP (Point-to-Point Protocol — протокол "точка- точка"). Данный протокол разработан с учетом опыта, полученного при использовании подобных протоколов предыдущих поколений, прежде всего, протокола SLIP, и является открытым стандартом Internet. Целевые функции протокола PPP — установление удаленного соединения и обмен информацией по установленному каналу пакетами сетевого уровня, инкапсулированными в PPP-кадры. Метод формирования кадров, используемый в протоколе PPP, обеспечивает одновременную работу через канал удаленной связи нескольких протоколов сетевого уровня. Другими важными функциями, поддерживаемыми протоколом PPP являются:
• конфигурирование и проверка качества канала связи;
• проверка подлинности (аутентификация) удаленного пользователя и
сервера удаленного доступа;
• компрессия и шифрование передаваемых данных;
• обнаружение и коррекция ошибок;
• динамическое присвоение адресов IP и управление этими адресами.
Криптозащита трафика при удаленном доступе к локальной сети может быть основана на использовании любых протоколов построения защищенных виртуальных сетей. Однако независимость от протоколов сетевого уровня модели OSI обеспечивается только в случае формирования защищенных туннелей на канальном уровне. Поэтому для криптозащиты информационного взаимодействия при удаленном доступе наиболее часто используются протоколы создания защищенных туннелей на канальном уровне. К таким протоколам относятся PPTP, L2F и L2TP, которые основаны на протоколе PPP.
Протоколы PPTP, L2F и L2TP позволяют создавать защищенные каналы для обмена данными между удаленными компьютерами и локальными сетями, функционирующими по различным протоколам сетевого уровня —IP, IPX или NetBEUI. Для передачи по телефонным каналам связи пакеты этих протоколов инкапсулируются в PPP-кадры. При необходимости передачи через Internet защищенные PPP-кадры инкапсулируются в IР- пакеты сети Internet. Криптозащита трафика возможна как в каналах Internet, так и на протяжении всего пути между компьютером удаленного пользователя и сервером удаленного доступа локальной сети.
3.6.2. Аутентификация удаленных пользователей
Общие сведения
Доступ удаленных пользователей к ресурсам локальной сети должен контролироваться в соответствии с политикой безопасности, проводимой в организации, которой принадлежит локальная сеть. Надежность разграничения доступа к компьютерным ресурсам может быть обеспечена только в случае надежной аутентификации пользователей. По отношению к удаленным пользователям требования по надежности проверки их подлинности существенно возрастают. Это связано с тем, что удаленным пользователям, в отличие от пользователей локальных, для доступа к ресурсам локальной сети не нужно проходить процедуру физического контроля полномочий по допуску на территорию организации. При работе с "невидимыми" удаленными пользователями становится значительно труднее гарантировать, что доступ к ресурсам локальной сети смогут получить только лица, имеющие на это соответствующие полномочия.
В случае удаленного доступа к локальной сети для надежной проверки подлинности взаимодействующих сторон должны поддерживаться следующие функциональные возможности:
• согласование используемых протоколов аутентификации и отсутствие жесткой привязки к конкретным протоколам проверки подлинности;
• блокирование любых попыток обхода фазы аутентификации после установки удаленного соединения;
• аутентификация каждой из взаимодействующих сторон как удаленного пользователя, так и сервера удаленного доступа, что исключает возможность маскировки под одного из участников взаимодействия;
• проведение не только начальной аутентификации перед допуском к ресурсам локальной сети, но и динамической аутентификации взаимодействующих сторон в процессе работы удаленного соединения; данная функция устраняет риск перехвата соединения и маскировки под одного из участников взаимодействия после окончания начальной аутентификации;
• использование одноразовых паролей либо криптозащита передаваемых секретных паролей, исключающая возможность повторного использования перехваченной информации для подложной аутентификации.
Сравнивая существующие протоколы удаленного доступа к локальным ceтям, можно сделать вывод, что выше перечисленные возможности по аутентификации могут быть реализованы только на основе протокола PPP. Данный протокол объединяет в себе следующие спецификации:
• протокол LCP (Link Control Protocol — протокол управления каналом),
применяемый для организации передачи данных, выбора и настройки конфигурации канала связи, проверки соединения, поддержания и окончания работы канала, а также аутентификации и обнаружения раз- личных ошибок;
• протокол HDLC (High-level Data Link Control — протокол управления каналом передачи данных высокого уровня), обеспечивающий формирование дейтаграмм для передачи по телефонным каналам;
• семейство протоколов NCP (Network Control Protocols — протоколы управления сетью), используемые для определения конфигурации реализаций протоколов сетевого уровня и управления IP-адресами.
Временной цикл соединения по протоколу PPP включает ряд этапов (рис. 3.23). После успешного вызова удаленным компьютером сервера локальной сети, в процессе установки сеанса взаимодействующие стороны согласуют параметры канала посредством обмена LCP-пакетами. На данном этапе также определяется необходимость фазы аутентификации, которая не является обязательной и в общем случае может отсутствовать.
Для безопасного удаленного доступа в параметрах настройки средств, реализующих PPP, фаза аутентификации должна быть задана обязательно. В этом случае любая из сторон, участвующая в соединении PPP, на этапе установления сеанса должна явно указать необходимость аутентификации. Если противоположная сторона не поддерживает предложенный протокол аутентификации, то программное обеспечение в зависимости от реализации или настройки может либо разорвать только что установленное соединение, либо предложить аутентификацию с использованием другого протокола, поддерживаемого запрашивающей стороной. Если ни один из протоколов, подходящих запрашивающей стороне, не поддерживается запрашиваемой стороной, то установленное соединение разрывается. В PPP не устанавливается, должна ли быть аутентификация односторонней или взаимной. В последнем случае каждая сторона может использовать свой протокол для аутентификации.
В случае успешной аутентификации осуществляется переход к фазе обмена информацией, в начале которой по протоколу NCP согласуются параметры сетевого уровня модели OSI. После согласования этих параметров выполняется обмен пакетами сетевого уровня, инкапсулированными по протоколу HDLC в PPP-кадры. Метод формирования кадров обеспечивает одновременную работу через канал удаленной связи нескольких протоколов сетевого уровня. Соответственно для удаленного пользователя, подключенного к серверу удаленного доступа локальной сети, протокол PPP имитирует нахождение компьютера этого пользователя во внутренней сети.
Протокол PPP предусматривает, что в процессе установления соединения любая из взаимодействующих систем может потребовать использования одного из двух стандартных протоколов аутентификации — PAP (Password Authentication Protocol — протокол распознавания пароля) или CHAP (Challenge Handshake Authentication Protocol — протокол распознавания при рукопожатии). Однако не исключается возможность применения и других протоколов проверки подлинности. При использовании протокола PAP идентификаторы и пароли передаются по линии связи в незашифрованном виде. При использовании же протокола CHAP каждый пароль для передачи по линии связи шифруется на основе случайного числа, полученного от сервера. Учитывая, что в протоколе PAP пароли передаются по линии связи в открытом виде, данный протокол необходимо применять только совместно с протоколом, ориентированным на аутентификацию по одноразовым паролям. Наиболее распространенным протоколом аутентификации по одноразовым паролям является протокол S/Кеу.
В программных продуктах, обеспечивающих связь по протоколу PPP, протоколы PAP и CHAP, как правило, поддерживаются в первую очередь. Иногда разработчики реализуют свои собственные протоколы аутентификации удаленного доступа, работающие вместе с протоколом PPP. Эти фирменные протоколы обычно являются модификациями протоколов PAP и СНАР, обладая вместе с тем некоторыми усовершенствованиями. Например, служба RAS (Remote Access Service) операционной системы Windows NT использует собственный вариант протокола аутентификации CHAP с хэш- функцией MD4, называемый MS-CHAP. Стандартная для протокола СТАР хэш-функция MD5 не поддерживается. Клиентское и серверное программное обеспечение компании Shiva в дополнение к протоколам PAP и CHAP обеспечивает поддержку фирменного метода SPAP (Shiva Password Authentication Protocol — протокол аутентификации по паролю фирмы Shiva). Данные ocoбенности необходимо учитывать при выборе клиентов и серверов удаленного доступа. Даже при условии использования одного и того же протокола удаленного доступа существует опасность того, что из-за отсутствия поддержки какого-либо варианта протокола аутентификации удаленный компьютер и сервер удаленного доступа вообще не смогут установить сеанс связи.
Протокол парольной аутентификации PAP, согласно которому пароли пере- даются по линии связи в незашифрованном виде, необходимо применять только совместно с протоколом, ориентированным на аутентификацию по одноразовым паролям, например, совместно с протоколом S/Кеу. В противном случае пароль, передаваемый по каналу связи, может быть перехвачен злоумышленником и использован повторно в целях маскировки под санкционированного удаленного пользователя.
В процессе аутентификации участвуют две стороны — проверяемая и проверяющая. В качестве стороны, чья подлинность проверяется, как правило, выступает удаленный пользователь, а в качестве проверяющей стороны— сервер удаленного доступа. Чтобы инициировать процесс аутентификации с использованием протокола PAP, сервер удаленного доступа после установления сеанса связи должен выслать удаленному компьютеру пакет LCP, указывающий о необходимости применения протокола PAP. Далее осуществляется обмен пакетами PAP. Удаленный компьютер передает по каналу,:. связи проверяющей стороне идентификатор и пароль, введенные удаленным пользователем. Сервер удаленного доступа по полученному идентификатору пользователя выбирает эталонный пароль из базы данных системы защиты и сравнивает его с полученным паролем. Если они совпадают, то аутентификация считается успешной, что сообщается удаленному пользователю.
Формат пакета протокола PAP представлен на рис. 3.24.
Поле <Код> (Code) указывает тип пакета. Определены PAP-пакеты трех типового
• запрос аутентификации ( Authenticate - Request);
• подтверждение аутентификации (Authenticate-Ack);
• отказ в аутентификации — (Authenticate-Nak).
В поле <Идентификатор> (Identifier) содержится уникальное число, которое позволяет определить, какому запросу соответствует полученный ответ. Поле <Длина> (Length) содержит длину пакета в байтах. Длина и формат поля В <Данные> (Data) определяются типом пакета PAP.
Пакет "Запрос аутентификации" используется для передачи серверу удаленного доступа идентификатора и пароля удаленного пользователя. Пакет этого типа должен повторно передаваться по установленному соединению до тех пор, пока не будет получен действительный пакет "Подтверждение аутентификации", или пока не истечет таймер, который может присутствовать в некоторых реализациях. Идентификатор и пароль удаленного пользователя помещается в поле данных пакета "Запрос аутентификации".
Сервер удаленного доступа, получив пакет "Запрос аутентификации" и выполнив проверку действительности пароля, должен выслать, в зависимости от результатов проверки, пакет "Подтверждение аутентификации" или "Отказ в аутентификации". Если пакет будет потерян, то компьютер удаленного пользователя, не получив его, вышлет пакет "Запрос аутентификации" повторно.
В этом случае сервер удаленного доступа должен повторно сформировать пакет "Подтверждение аутентификации" или "Отказ в аутентификации".
Пакет "Подтверждение аутентификации" извещает проверяемую сторону о том, что ее подлинность была подтверждена. Если сервер удаленного доступа определит недействительность пароля, указанного в пакете "Запрос аутентификации", то он вышлет пакет "Отказ в аутентификации" и затем инициирует процедуру разрыва соединения. Даже в случае утери пакета "Отказ в аутентификации" пакеты LCP, разрывающие связь, укажут проверяемой стороне на неудачный результат процесса аутентификации. Поле данных в пакетах "Подтверждение аутентификации" и "Отказ в аутентификации" включает сообщение, содержание которого стандартом не устанавливается, а также его длину в байтах.
Одним из наиболее популярных протоколов аутентификации на основе одноразовых паролей является стандартизованный в Internet протокол S/Кеу (RFC 1760). Данный протокол реализован во многих системах, требующих проверки подлинности удаленных пользователей, например, в системах FreeBSD и CISCO Tacacs+ . Перехват одноразового пароля, передаваемого по сети в процессе аутентификации, не предоставляет возможности воспользоваться этим паролем повторно, так как при следующей проверке подлинности будет использоваться уже другой пароль. Поэтому схема аутентификации на основе одноразовых паролей, в частности S/Кеу, позволяет передавать по сети одноразовый пароль в открытом виде и, таким образом, компенсирует основной недостаток протокола аутентификации РАР.
Протокол S/Кеу не исключает необходимость задания для каждого пользователя секретного пароля. Однако данный пароль используется только для ё генерации одноразовых паролей. Для того чтобы злоумышленник не смог по перехваченному одноразовому паролю вычислить секретный исходный; пароль, генерация одноразовых паролей выполняется с помощью односторонней, или, как ее еще называют, необратимой функции. Вспомним, односторонней (необратимой) функцией называется функция У=УЩ, обладающая следующим свойством: для данного аргумента Х значение У вычисляется легко, а по известному У вычислительно сложно найти значение аргумента Х соответствующего данному Y. В качестве такой односторонней функции в спецификации S/Кеу определен алгоритм хэширования MD4 (Message Digest Algorithm 4). Некоторые реализации S/Кеу в качестве односторонней функции используют криптографический алгоритм хэширования MD5 (Message Digest Algorithm 5). Для восстановления за приемлемое время значения аргумента по значению функции, задаваемой криптографическим хэширования, требуются практически недоступные вычислительные ресурсы.
Основная идея протокола S/Кеу состоит в следующем. Проверяемой стороне заранее назначается генерируемый случайный ключ К, выступающий в качестве ее секретного постоянного пароля. Далее проверяющей стороной выполняется процедура инициализации очередного списка одноразовых N паролей. В процессе данной процедуры с помощью односторонней функции F вычисляется по ключу К проверочное значение У у для первого одноразового пароля. Для вычисления этого значения ключ К подставляется в качестве аргумента функции F и данная функция рекурсивно выполняется . Идентификатор пользователя и соответствующие этому пользователю секретный ключ К а также несекретные числа M и У сохраняются в базе данных проверяющей стороны. Число М считается номером одноразового пароля для очередной аутентификации из списка одноразовых паролей:
В процессе очередной после инициализации аутентификации проверяемая : сторона предоставляет проверяющей стороне свой идентификатор, а возвращает соответствующее идентификатору число М. Далее проверяемая сторона вычисляет по своему секретному ключу К одноразовый пароль и посылает его проверяющей стороне. Получив это значение, проверяющая сторона выполняет над ним один раз одностороннюю функций. Далее полученное значение сравнивается со значением из базы данных. Если они совпадают, то это значит, что и У=У, и, следовательно, аутентификация является успешной. В случае успешной аутентификации проторяющая сторона заменяет в базе данных для проверяемой стороны число Y на полученное от нее число У а число M на М=М — 1. С учетом того, что в случае успешного опознания номер одноразового пароля М для очередной аутентификации уменьшился на единицу, в базе данных проверяющей стороны совместно с идентификатором и секретным ключом К проверяемой стороны будут храниться числа М и Y. Здесь под Y понимается полученный от проверяемой стороны при успешной аутентификации последний одноразовый пароль. После использования очередного списка одноразовых паролей процедура инициализации должна выполняться снова.
Для того чтобы пользователь имел возможность назначать секретный постоянный пароль сам, в спецификации S/Кеу с целью повышения безопасности вычисление одноразовых паролей выполняется не только на основе секретного пароля, но и на основе генерируемого проверяющей стороной случайного числа. Таким образом, в соответствии с протоколом S/Кеу за каждым пользователем закрепляется идентификатор и секретный постоянный пароль. Для возможности аутентификации по отношению к каждому пользователю должна быть выполнена фаза инициализации очередного списка одноразовых паролей, называемая еще фазой парольной инициализации. Данная фаза выполняется по запросу пользователя на сервере удаленного доступа и состоит из следующих шагов:
1. У пользователя запрашивается его идентификатор, который будет необходим на 4-м шаге.
2. Генерируется случайное несекретное число N, называемое кодом инициализации, которое будет использоваться для вычисления одноразовых паролей пользователя до следующей парольной инициализации.
3. У пользователя запрашивается число одноразовых паролей (число M) как правило, из интервала 300<=М<=1000, которое он предполагает использовать до следующей парольной инициализации (данное число может задаваться и администратором заранее).
4. Из базы данных системы защиты по идентификатору пользователя извлекается его секретный пароль Р.
5. Значения N и Р используются как аргументы односторонней функции F, применяемой последовательно М+1 раз:
6. Числа N, М и Y сохраняются для пользователя в базе данных системы защиты вместе с его идентификатором и паролем, однако, в отличие от пароля, эти числа не являются секретными.
Число М считается номером одноразового пароля для очередной аутентификации из списка возможных одноразовых паролей. Фаза парольной инициализации не требует передачи по сети секретного пароля и, соответственно, может быть активизирована пользователем, как с компьютера локальной , сети, так и с удаленного компьютера. После парольной инициализации пользователь до следующей такой инициализации может использовать М одноразовых паролей, и, соответственно, устанавливать М сеансов удаленной связи с локальной сетью.
Процесс очередной аутентификации при удаленном доступе к локальной сети сводится к следующим действиям:
1. Удаленный пользователь сообщает серверу удаленного доступа свой идентификатор.
2. Из базы данных системы защиты по идентификатору пользователя сервер извлекает его секретный пароль Р, а также числа N, Ми У.
3. Сервер возвращает пользователю число N, которое до следующей инициализации для пользователя является постоянным, а также номер одноразового пароля М, который после использования каждого такого пароля уменьшается на единицу.
4. Пользователь на удаленном компьютере вводит секретный пароль P и клиентское программное обеспечение вычисляет очередной одноразовый пароль.
5. Вычисленный одноразовый пароль У отправляется серверу удаленного доступа, который выполняет над ним один раз одностороннюю функцию.
6. Далее сервер сравнивает полученное значение Y у со значением Y+ из базы данных системы защиты и, если они совпадают, то аутентификация считается успешной и удаленный пользователь допускается в локальную сеть; в противном случае посылается уведомление о неуспешное , аутентификации и соединение разрывается.
7. В случае успешного опознания сервер заменяет в базе данных системы защиты для удаленного пользователя число Y на полученный от не- ro одноразовый пароль Y у, а число М на М=М — 1; с учетом того, что номер одноразового пароля М для очередной аутентификации уменьшился на единицу, полученный от пользователя и занесенный в базу данных системы защиты одноразовый пароль, будет теперь обозначаться как У+А.
Для ускорения аутентификации определенное количество одноразовых паролей, например, несколько десятков, может быть вычислено заблаговременно и храниться на удаленном компьютере в зашифрованном виде. В качестве ключа шифрования этих одноразовых паролей целесообразно использовать секретный постоянный пароль. Также ее исключен вариант, согласно которому предварительно вычисленные одноразовые пароли могут быть выписаны или распечатаны, и после использования зачеркиваться. Однако в этом случае необходимо принять все меры, чтобы пароли не были подсмотрены в процессе набора, и чтобы листок с паролями не попал в чужие руки.
Фаза инициализации очередного списка одноразовых паролей должна выполняться в следующих случаях:
• первый раз после изменения или назначения секретного постоянного пароля;
• после использования текущего списка одноразовых паролей, когда порядковый номер очередного одноразового пароля из этого списка приближается к нулю;
• если при хранении части одноразовых паролей на листке бумаги есть подозрение что, эти пароли были подсмотрены или лист с этими паролями попал в чужие руки.
В последнем случае подозрение может появиться при изменении очередности использования паролей из проинициализированного списка. Например, после использования 150 пароля в предыдущей аутентификации в текущей аутентификации сервер запрашивает не 149, а 145 пароль.
В протоколе CHAP, как и в протоколе PAP, используется секретный статический пароль. Однако, в отличие от протокола PAP, пароль каждого пользователя для передачи по линии связи шифруется на основе случайного числа, полученного от сервера. Такая технология обеспечивает не только защиту пароля от хищения, но и защиту от повторного использования злоумышленником перехваченных пакетов с зашифрованным паролем. Шифрование пароля в соответствии с протоколом CТAP является необратимым и выполняется с помощью криптографического алгоритма хэширования. В качестве стандартного алгоритма хэширования, который должен поддерживаться во всех реализациях протокола CТAP, определен алгоритм MD5 (Message Digest 5). Спецификация CHAP не исключает возможность использования других алгоритмов вычисления хэш-функций.
Для активизации процесса аутентификации по протоколу CHAP, сервер удаленного доступа после установления сеанса связи должен выслать удаленному компьютеру пакет LCP, указывающий о необходимости применения протокола СНАР, а также требуемого алгоритма хэширования. Если удаленный компьютер поддерживает предложенный алгоритм хэширования, то он должен ответить пакетом LCP о согласии с предложенными параметрами. В противном случае выполняется обмен LCP пакетами для согласования алгоритма хэширования. После этого начинается аутентификация на основе обмена пакетами протокола CHAP. Эти пакеты имеют тот же формат, что и пакеты протокола PAP (см. рис. 3.24). Поле <Код> указывает тип пакета. В поле <Идентификатор> содержится уникальное число, которое позволяет определить, какому запросу соответствует полученный ответ. Поле <Длина> (Length) содержит длину пакета в байтах. Длина и формат поля <Данные> (Data) определяются типом пакета CТAP. Определены CHAP- пакеты четырех типов:
• вызов (Challenge);
• отклик (Response);
• подтверждение (Success);
• отказ (Failure).
Процедура аутентификации начинается с отправки сервером удаленного доступа пакета "Вызов" (рис. 3.25). Поле данных в пакете "Вызов" содержит:
• произвольную числовую последовательность, которая должна быть уникальной для каждого посланного пакета "Вызов", а также длину этой последовательности в байтах;
• идентификатор проверяющей стороны.
Удаленный компьютер отвечает пакетом "Отклик". Поле данных в этом пакете содержит следующие элементы:
• результат применения согласованного алгоритма хэширования над ин- формационной структурой, состоящей из идентификатора проверяющей стороны и числовой последовательности из пакета "Вызов", а также секретного пароля удаленного пользователя;
Процедура аутентификации начинается с отправки сервером удаленного доступа пакета "Вызов" (рис. 3.25). Поле данных в пакете "Вызов" содержит:
•произвольную числовую последовательность, которая должна быть уникальной для каждого посланного пакета "Вызов", а также длину этой последовательности в байтах;
• идентификатор проверяющей стороны.
Удаленный компьютер отвечает пакетом "Отклик". Поле данных в этом пакете содержит следующие элементы:
• результат применения согласованного алгоритма хэширования над информационной структурой, состоящей из идентификатора проверяющей стороны и числовой последовательности из пакета "Вызов", а также секретного пароля удаленного пользователя
• идентификатор проверяемой стороны, который может быть использован для того, чтобы проверяющая сторона могла отыскать в своей базе данных соответствующую пару идентификатор-пароль.
Длина результата хэширования зависит от применяемой хэш-функции. Для алгоритма MD5 длина хэш-код, а соответственно и результата хэширования равна 128 бит. Так как используется односторонняя хэш-функция, то по перехваченным пакетам "Вызов" и "Отклик" вычислить пароль удаленного пользователя практически невозможно.
Получив пакет "Отклик", сервер удаленного доступа по идентификатору проверяемой стороны извлекает из базы данных системы защиты секретный эталонный пароль пользователя и выполняет согласованный алгоритм хеширования над информационной структурой, состоящей из его идентификатора и числовой последовательности, которые были посланы в пакете "Вызов", а также секретного эталонного пароля. Далее сервер сравнивает содержимое результата из полученного пакета "Отклик" с результатом, вычисленным самостоятельно. Если эти результаты совпадают, то аутентификация считается успешной и сервер высылает удаленному компьютеру пакет "Подтверждение". В противном случае сервер удаленного доступа высылает пакет "Отказ" и разрывает сеанс связи. Поле данных в пакете "Подтверждение" и пакете "Отказ" включает соответствующее сообщение, содержание которого протоколом СНАР не устанавливается, а также длину этого сообщения в байтах.
Пакет "Вызов" должен быть отправлен сервером повторно, если в ответ на него не был получен пакет "Отклик". Кроме того, пакет "Вызов" может отправляться периодически в течение сеанса удаленной связи для проведения динамической аутентификации, чтобы убедиться, что противоположная сторона не была подменена. Соответственно пакет "Отклик" должен отправляться проверяемой стороной в ответ на каждый принятый пакет "Вызов".
Из схемы аутентификации по протоколу СТАР становится понятно, что числовая последовательность в пакете "Вызов" должна быть уникальной и непредсказуемой. Если данная последовательность не будет уникальной, то злоумышленник сможет повторно использовать перехваченный ранее пакет "Отклик", маскируясь под санкционированного удаленного пользователя.
Если же числовая последовательность в пакете "Вызов" будет предсказуемой, то злоумышленник, спрогнозировав ее, сможет составить соответствующий пакет "Вызов", послать его от имени сервера удаленного доступа и сохранить полученный пакет "Отклик". Далее, маскируясь под санкционированного удаленного пользователя, необходимо дождаться использования такого же пакета "Вызов" от сервера удаленного доступа и послать в ответ ранее полученный пакет "Отклик". Для того чтобы числовая последовательность в пакете "Вызов" была уникальной и непредсказуемой, в большинстве реализаций протокола СНАР она формируется как конкатенация двух элементов — текущего времени, включая время в секундах, дату и год, а также сгенерированного случайного числа.
3.6.3. Централизованный контроль удаленного доступа
В случае, когда локальная сеть является небольшой, то для управления удаленными соединениями с этой сетью достаточно одного сервера удаленного доступа. Однако, если локальная сеть объединяет достаточно большие ceгменты и число удаленных пользователей существенно увеличивается, то одного сервера удаленного доступа становится недостаточно. При использовании в одной локальной сети нескольких серверов удаленного доступа высокая эффективность сетевого управления будет достигнута в условиях разделения коммуникационных функций и функций контроля доступа к компьютерным ресурсам. Для централизованного контроля удаленного доступа должен быть выделен отдельный сервер (рис. 3.26), называемый сервером аутентификации и предназначенный для проверки подлинности удаленных пользователей, определения их полномочий, а также фиксации и накопления регистрационной информации, связанной с удаленным доступом.
Даже при наличии в локальной сети одного сервера удаленного доступа, целесообразно применять централизованную систему аутентификации.
Поддержание отдельной базы данных с учетными записями на сервере удаленного доступа приводит к избыточности функций администрирования и может стать причиной несогласованности в правилах контроля доступа к ресурсам сети. Эффективность администрирования и надежность защиты увеличивается, если сервер удаленного доступа запрашивает необходимую для аутентификации информацию непосредственно у сервера, на котором хранится общая база данных системы защиты компьютерной сети, например, у контроллера домена Windows NT или сервера Intranetware.
Однако в большинстве случаев серверы удаленного доступа требуют посредника для взаимодействия с центральной базой данных системы защиты, например, со службой каталогов. Дело в том, что стандартами удаленной аутентификации, поддерживаемыми серверами удаленного доступа, являются протоколы СНАР и РАР, которые без дополнений не подходят для аутентификации с использованием дерева Novell Directory Services (NDS) или доменной службы Windows NT. Для проверки ответа на вызов сервера, поступившего от проходящего аутентификацию пользователя, реализация протокола СНАР применяет незашифрованную копию пароля в простой текстовой форме. При аутентификации на основе РАР пароль также используется в открытом виде. Большинство же сетевых операционных систем и служб каталогов сохраняют эталонные пароли пользователей с односторонним хэш-кодированием, что не позволяет серверам удаленного доступа, стандартно реализующим протоколы РАР и СНАР, извлечь открытый эталонный пароль для проверки ответа.
Серверы удаленного доступа, позволяющие взаимодействовать с общей базой данных системы защиты, существуют. Но они, как правило, ориентированы на один тип такой базы и часто требуют наличия этой базы непосредственно на сервере удаленного доступа. Например, служба RAS (Remote Access Service) ОС Windows NT позволяет взаимодействовать с реестром контроллера домена Windows NT, но лишь до тех пор, пока сервер RAS и контроллер домена исполняются на одном и том же сервере.
Роль посредника во взаимодействии между серверами удаленного доступа и центральной базой данных системы защиты может быть возложена на сервер аутентификации (см. рис. 3.26). Централизованный контроль удаленного доступа к компьютерным ресурсам с помощью сервера аутентификации выполняют на основе специализированных протоколов. Данные протоколы позволяют объединять используемые серверы удаленного доступа и сервер аутентификации в одну подсистему, выполняющую все функции контроля удаленных соединений на основе взаимодействия с центральной базой данных системы защиты. Сервер аутентификации создает единую точку наблюдения и проверки всех удаленных пользователей и контролирует доступ к компьютерным ресурсам в соответствии с установленными правилами. К наиболее популярным протоколам централизованного контроля удаленного доступа относятся протоколы TACACS (Terminal Access Controller Access Control System) и RADIUS (Remote Authentication Dial-In User Service). Эти протоколы по своим функциональным возможностям во многом подобны друг другу, являются открытыми стандартами и реализованы достаточно большим числом производителей средств удаленного доступа.
В системах, основанных на протоколах TACACS и RADIUS, администратор может управлять базой данных идентификаторов и паролей пользователей, предоставлять им привилегии доступа и вести учет обращений к системным ресурсам. Как TACACS, так и RADIUS требует применения отдельного сер- вера аутентификации, который для проверки подлинности пользователей и определения их полномочий может не только использовать собственную базу данных, но и взаимодействовать с современными службами каталогов, например, с Novell Directory Services (NDS) или Microsoft Windows NT Directory Service (NTDS). Реализации RADIUS и TACACS могут также служить посредниками для внешних систем аутентификации. Продукты на базе TACACS и RADIUS обеспечивают регистрацию всех запросов на аутентификацию и результатов их выполнения, вплоть до конкретного порта, через который пользователь устанавливал удаленное соединение. Подобные функции учета позволяют узнать, кто из пользователей в данный момент имеет соединение с сервером удаленного доступа, а также получить любую информацию о предыдущих сеансах удаленной связи.
Рассмотрим особенности централизованного контроля удаленного доступа
на примере протокола TACACS.
Протокол TACACS разработан компанией Cisco Systems и основан на технологии "клиент-сервер". В компьютерной сети, включающей несколько серверов удаленного доступа, устанавливается один сервер аутентификации, который будем называть просто сервером TACACS. На данном сервере формируется центральная база учетной информации об удаленных пользователях, включающая их имена, пароли и полномочия. В полномочиях каждого пользователя задаются подсети, компьютеры и сервисы, с которыми он может работать, а также различные виды ограничений, например, временные ограничения. На сервере TACACS ведется также база данных аудита, в которой накапливается регистрационная информация о каждом логическом входе, продолжительности сессии, а также времени использования ресурсов сети. Клиентами сервера TACACS являются серверы удаленного доступа, принимающие запросы на доступ к ресурсам сети от удаленных пользователей.
Протокол TACACS стандартизует схему взаимодействия серверов удаленного доступа с сервером TACACS на основе задания возможных типов запросов, ответов и соединений. Определяются несколько типов запросов, с которыми клиенты могут обращаться к серверу TACACS. Сервер на каждый запрос должен ответить соответствующим сообщением. Задается несколько видов соединений, каждое из которых определяется как последовательность пар запрос ответ, ориентированная на решение отдельной задачи. Рассмотрим два типовых соединения:
• AUTH, при котором выполняется только аутентификация удаленного пользователя;
• LOGIN, при котором не только выполняется аутентификация, но и контролируется логическое соединение компьютера удаленного пользователя с компьютером локальной сети.
С помощью соединения AUTH серверы удаленного доступа перенаправляет серверу TACACS поток запросов на логическое подключение пользователей к сети в целом. Соединение LOGIN служит для перенаправления запросов серверу TACACS на логическое подключение пользователей к отдельным компьютерам локальной сети.
При соединении AUTH сервер удаленного доступа посылает на сервер TACACS только одно сообщение — пакет AUTH, на который сервер TACACS отвечает сообщением REPLY.
Пакет AUTH включает поля username, password, line и style. Первые три поля определяют соответственно имя и пароль пользователя, а также номер порта сервера удаленного доступа, по которому пользователь установил соединение. Последнее поле может использоваться для уточнения способа аутентификации. Сервер TACACS на основании имеющихся у него данных проверяет пароль пользователя и возвращает ответ пакетом REPLY, в котором сообщает об успехе или неуспехе аутентификации. Сервер TACACS может выполнять аутентификацию самостоятельно, а может обращаться к другим системам аутентификации, например, к системам аутентификации ОС Unix, службам каталогов NDS ОС NetWare, Directory Services ОС Windows NT, системе аутентификации Kerberos.
Пароль в соответствии с протоколом TACACS передается между сервером удаленного доступа и сервером аутентификации в открытом виде. Поэтому протокол TACACS необходимо применять совместно с протоколом аутентификации по одноразовым паролям, например, с протоколом S/Кеу. Соединение LOGIN включает следующие стадии взаимодействия:
1. Клиент отправляет пакет LOGIN.
2. Сервер отвечает пакетом REPLY.
3. Повторение 0 или более раз:
• клиент отправляет пакет CONNECT;
• сервер отвечает пакетом REPLY;
• клиент отправляет пакет LOGOUT;
• сервер отвечает пакетом REPLY.
Формат запроса LOGIN следующий: (username, password, line). Значение по- лей то же, что и в запросе AUTH. Ответ сервера всегда имеет вид (resultl, result2 геюи1/3), где все три поля — это целые числа, значение которых в протоколе не оговаривается. Например, в серверах удаленного доступа Cisco поле result3 соответствует номеру списка прав доступа, который нужно применить к данному пользователю.
Запрос CONNECT имеет вид (username, password/, ,line, destination IP, destination Port), где назначение первых трех полей — то же, что и в предыдущих запросах, а два последних поля идентифицируют IP-адрес компьютера и TCP-порт. Запрос CONNECT передается уже при установленном соединении с пользователем и поэтому пароль в нем обычно не указывается. Запрос предназначен для проверки, имеет ли пользователь разрешение на подключение к компьютеру локальной сети по указанному IP-адресу. Ответ сервера имеет тот же вид, что и для запроса LOGIN.
Запрос LOGOUT передается для уведомления сервера TACACS о завершении сессии пользователя. Сервер ответом подтверждает прием уведомления.
Недостатки протокола TACACS, связанные с открытой передачей пароля по сети, устранены компанией Cisco в его более совершенной версии, названной, как TACACS+. В соответствии с протоколом TACACS+ пароль для передачи по сети шифруется с помощью алгоритма MD5. TACACS+ предусматривает раздельное хранение баз данных аутентификационной, авторизационной и учетной информации, в том числе и на разных серверах. Улучшено взаимодействие с системой Kerberos.
Следует отметить, что в соответствии с протоколом RADIUS для передачи между сервером удаленного доступа и сервером аутентификации шифруются только пароли, а в соответствии с протоколом TACACS+ может выполняться шифрование всего трафика. Для дополнительной безопасности протоколы RADIUS и TACACS поддерживают еще и протокол аутентификации СНАР.
Хотя по своим функциональным возможностям протоколы TACACS и
RADIUS практически эквивалентны и являются открытыми стандартами, RADIUS стал более популярен среди производителей систем контроля удаленного доступа. Это связано с тем, что основанное на нем серверное программное обеспечение распространяется бесплатно. Кроме того, TACACS впал в немилость у производителей, конкурирующих с Cisco, из-за того, что его новейшая версия, TACACS+, является патентованной
технологией этой фирмы. Протокол RADIUS, к тому же, менее сложен в реализации. Например, для взаимодействия между сервером удаленного доступа и сервером аутентификации в протоколе TACACS используется протокол TCP, а в протоколе RADIUS — более простой, но менее надежный протокол UDP.
Конкретные реализации протоколов централизованного контроля удаленного доступа могут существенно отличаться друг от друга. Поэтому при выборе такой реализации основное внимание следует обратить на доступность требуемых служб аутентификации, поддержку протоколов туннелирования, возможность обратного вызова и задания различных ограничений, а также эффективность аудита. Список и обобщенные характеристики отдельных серверов удаленного доступа, поддерживающих протоколы централизованного контроля удаленных соединений, представлены в табл. 3.1.
3.7. Обзор средств построения защищенных виртуальных сетей
Протоколы построения защищенных виртуальных сетей (Virtual Private Network, VNP) могут быть реализованы сетевыми средствами различных категорий:
• серверами удаленного доступа, позволяющими создавать защищенные туннели на канальном уровне эталонной модели сетевого взаимодействия (модели OSI);
• маршрутизаторами, которые могут поддерживать протоколы создания защищенных виртуальных сетей на канальном и сетевом уровне модели OSI;
• межсетевыми экранами, возможно включающими в свой состав серверы удаленного доступа и позволяющими создавать защищенные виртуальные сети как на канальном и сетевом, так и на сеансовом уровне модели OSI;
• специализированным программным обеспечением, позволяющим создавать защищенные виртуальные сети в основном на сетевом и сеансовом уровне модели OSI;
• специализированными программно-аппаратными средствами, ориентированными на формирование защищенных туннелей на канальном и сетевом уровне модели OSI.
Серверы удаленного доступа могут включать функции создания защищенных туннелей при удаленном доступе пользователей к локальным сетям. Эти серверы чаще всего поддерживают протоколы туннелирования РРТР, L2F и L2TP, соответствующие канальному уровню модели OSI. Следует учесть, что не все поставщики серверов удаленного доступа, позволяющих формировать защищенные туннели с удаленными компьютерами, предлагают соответствующее клиентское программное обеспечение. Поэтому, учитывая, что в качестве операционных систем, наиболее часто используемых на компьютерах удаленных пользователей, выступают разновидности Windows целесообразно выбирать серверы удаленного доступа, поддерживающие протоколы РРТР и Ь2ТР. Реализация РРТР входит в состав операционных систем Windows 9х/NT/2000. Более совершенный протокол туннелирования L2TP реализован в операционных системах Microsoft Windows 2000/ХР. В связи с тем, что автономным серверам удаленного доступа уделено достаточно внимания в предыдущем подразделе, далее они рассматриваться не будут.
Маршрутизаторы могут поддерживать функции формирования защищенных туннелей по умолчанию или в качестве дополнительной возможности, предлагаемой за отдельную плату. Эти устройства чаще всего ориентируются на создание защищенных виртуальных сетей по протоколам L2F, L2TP и IPSec, соответствующим канальному и сетевому уровням модели OSI. При выборе маршрутизатора в качестве средства создания VPN необходимо обратить внимание на его производительность и загрузку. Если процессор маршрутизатора работает с 80-процентной загрузкой без выполнения функций VPN, то добавление большого числа защищенных туннелей ухудшит прохождение всего трафика.
В качестве эффективных средств построения защищенных виртуальных сетей выступают межсетевые экраны (брандмауэры), которые могут включать в свой состав и серверы удаленного доступа. Учитывая, что межсетевые экраны специально предназначены для защиты информационного взаимодействия с открытыми сетями, можно сделать вывод, что при реализации этими устройствами и функций создания VPN обеспечивается комплексная защита ин- формационного обмена. Брандмауэры могут поддерживать любые существующие протоколы построения защищенных туннелей. На канальном уровне модели OSI могут быть реализованы протоколы PPTP, L2F и L2TP, на сетевом уровне — IPSec и SKIP, а на сеансовом — SSL/TLS и SOCKS.
Важной особенностью межсетевых экранов как средств построения VPN является возможность контроля не только открытого, но и криптозащищенного трафика. Контроль доступа со стороны брандмауэра ко всему графику, в том числе и туннелируемому, обеспечивает более высокую защиту межсетевого взаимодействия. Такой контроль особенно эффективен, если другую сторону туннеля представляет объект, стратегия защиты которого неизвестна или не внушает доверия. В случае, когда необходим контроль туннелируемого трафика и требуется защищать поток сообщений вплоть до получателя в локальной сети, конечная точка основного туннеля должна находиться на межсетевом экране, которому придется после расшифровки и контроля трафика выполнять обратное зашифровывание пропускаемых пакетов сообщений. Таким образом, одно из преимуществ использования продуктов туннелирования, тесно интегрированных с брандмауэром, состоит в том, что можно открывать туннель, применять к нему правила защиты брандмауэра, накладывать криптозащиту снова и перенаправлять трафик получателям в защищаемой брандмауэром подсети. Но если брандмауэр и без выполнения функций туннелирования обеспечивает низкую пропускную способность, то реализация VPN только усугубит ситуацию из-за необходимости дополнительных вычислений.
Для реализации протоколов формирования защищенных туннелей разрабатываются также специализированные программные и программно аппаратные средства. Программные средства по сравнению с программно аппаратными устройствами обладают более высокой гибкостью, так как при невысоких денежных затратах обеспечивается возможность модернизации и обновления версий, а также оперативность устранения ошибок. Ряд чисто программных продуктов, функционирующих на соответствующих серверах, может не только создавать защищенные туннели, но и выполнять функции межсетевых экранов, а также кэшировать страницы %. Программно-аппаратные средства, которые могут быть как одно так и многофункциональными, характеризуются более высокой производительностью. Пограничные многофункциональные программно-аппаратные устройства включают в свой состав маршрутизатор, брандмауэр, средства управления пропускной способностью и средства создания VPN. Такие устройства, которые можно отнести к комплексным межсетевым экранам, проще обслуживать. Ведь легче использовать один интегрированный пользовательский интерфейс, чем поддерживать и конфигурировать такие отдельные устройства, как маршрутизатор, брандмауэр, VPN и модуль управления пропускной способностью. Однако в многофункциональных устройствах производительность одного приложения зачастую повышается в ущерб другому.
При выборе средств построения защищенных виртуальных сетей необходимо учитывать такие характеристики этих средств, как функциональная полнота, надежность, гибкость, производительность, управляемость и совместимость. Обобщенные достоинства и недостатки средств создания VPN различных категорий представлены в табл. 3.2.
Перспективным протоколом построения защищенных виртуальных сетей является протокол IPSec. Поэтому желательно, чтобы выбираемые средства создания VPN данный протокол поддерживали. Однако при этом необходимо учитывать, что стандарт IPSec характеризуется недостаточной зрелостью и не гарантирует совместимости решений разных производителей. Разработчики, поддерживающие IPSec, только приступили к выявлению и устранению проблем несовместимости. Поэтому при выборе соответствующего средства целесообразно запросить у его поставщика отчет о поддерживаемых совместимых продуктах, особенно если в объединяемых локальных сетях используются средства создания VPN разных производителей. Нестандартные схемы туннелирования и алгоритмы шифрования хороши только в том случае, если нет необходимости взаимодействовать с другими системами. Однако с учетом роста масштабности компьютерных сетей вопросы взаимодействия и совместимости становятся приоритетными для любой организации.
Технология построения защищенных виртуальных сетей основана на аутентификации пользователей и криптозащите информации. Наиболее высокая эффективность выполнения данных функций обеспечивается при комплексном использовании асимметричных и симметричных криптосистем. Комплексное применение одноключевых и двухключевых шифров обеспечивается в протоколах туннелирования IPSec и SSL/TLS, которые предполагают наличие инфраструктуры с открытыми ключами (Public Кеу Infrastructure, PKI). Данная инфраструктура, обеспечивающая управление открытыми ключами и аутентификацию пользователей на основе цифровых сертификатов, будет приобретать все большую значимость. Информацию, входящую в PKI, лучше всего хранить в глобальном каталоге, обращаться к которому можно по упрощенному протоколу доступа к каталогу (Lightweight Directory Access Protocol, LDAP). Создание новых каталогов для хранения такой информации потребует дополнительных издержек. Поэтому многие производители считают разумным включать содержимое PKI непосредственно в другие, уже реализованные, каталоги, например, в каталоги Active Directory ОС Windows 2000/XP и NDS ОС NetWare. Использование одной службы каталогов, управляющей всей служебной информацией в компьютерной сети, позволяет существенно повысить эффективность администрирования сети и работы конечных пользователей. В центральном каталоге, способном полностью взаимодействовать с другими каталогами и приложениями, должны храниться не только данные, имеющие отношение к политике защиты, но и информация для управления производительностью, а также выделением вычислительных ресурсов.
При выборе средств создания VPN следует, разумеется, учитывать, что шифрование требует значительных вычислительных ресурсов. Например, обычные серверы класса Pentium имеют достаточную производительность шифрования для заполнения канала на 10 Мбит/с, но не 100 Мбит/с. Для обеспечения высокой скорости шифрования некоторые производители предлагают специальные аппаратные дополнения к платформе общего назначения. Однако использование специализированных аппаратных устройств снижает гибкость средств построения защищенных туннелей. По этому наиболее перспективным решением является реализация алгоритмов скоростной криптозащиты [16, 17].
3.7.2. Построение защищенных виртуальных сетей на базе маршрутизаторов
В связи с тем, что маршрутизатор пропускает через себя все пакеты, передаваемые из локальной сети, он может использоваться также для зашифровывания этих пакетов. Кроме того, маршрутизатор может выполнять и функцию расшифровывания криптозащит щенного входящего трафика. В настоящее время каждый из основных производителей маршрутизирующих и коммутирующих устройств включает в них поддержку функций построения защищенных виртуальных сетей. Характерна и другая особенность большинство производителей специализированных программно аппаратных средств по- строения VPN дополняют эти устройства поддержкой протоколов маршрутизации, что позволяет использовать их и в качестве маршрутизаторов.
Компания Cisco Systems включила в операционную систему IOS (Internet- work Operating System), разработанную для своих маршрутизаторов, начиная с версии ч.11.3, поддержку протоколов L2TP и IPSec. Протокол L2F стал компонентом IOS еще раньше и поддерживается во всех выпускаемых Cisco устройствах межсетевого взаимодействия и удаленного доступа. Разработанная Cisco Systems технология построения VPN отличается высокой производительностью и гибкостью. Обеспечивается туннелирование с шифрованием для любого IP-потока, передаваемого в "чистом" или инкапсулированном виде. Защищенный туннель строится на основании заданных адресов источника и назначения, номеров портов ТСР/UDP и установленных параметров качества сервиса IP (IP Quality of Service). Если в локальной сети уже имеется маршрутизатор с операционной системой IOS, не поддерживающей протоколы 2ТР и IPSec, можно установить на нем дополнительное программное обеспечение шифрования данных. При необходимости повысить производительность целесообразно воспользоваться производимой Cisco Systems платой расширения ESA (Encryption Service Adapter). На ней установлен специализированный сопроцессор для шифрования.
Подобно прочим устройствам шифрования данных, плата ESA не только криптографическо защищает информацию, но и предотвращает проникновение злоумышленника в систему, а также реагирует на все подозрительные ситуации. Если просто вытащить плату из маршрутизатора (даже отклеив напряжение питания), то на лицевой панели загорится индикатор "Tamper" ("Злоумышленник"), и для повторного запуска маршрутизатора понадобится вмешательство обслуживающего персонала. Причем, для повторного запуска необходимо либо знать пароль, устанавливаемый при первом вводе платы в эксплуатацию, либо быть готовым к тому, что вся ее оперативная память будет очищена. Если вскрыть модуль ESA, то активизируется специальный выключатель и произойдет очистка оперативной памяти. Шифрование данных на аппаратном уровне позволяет повысить производительность и снижает влияние функций поддержки защищенных туннелей на пропускную способность маршрутизатора.
Компания Cisco Systems производит также специализированные концентраторы VPN с поддержкой протоколов маршрутизации — Cisco VPN Concentrator, обеспечивающие создание криптотуннелей между ЛВС, а также ЛВС и удаленными пользователями. Для участия в защищенной виртуальной сети удаленных пользователей, на их компьютерах должно быть инсталлировано клиентское программное обеспечение Cisco VPN.
Наиболее распространенными моделями концентраторов VPN от Cisco Systems являются Cisco VPN 3005 Concentrator, а также Cisco VPN 3030 Concentrator. Cisco VPN 3005 Concentrator обеспечивает поддержку 100 криптотуннелей с программным шифрованием. Устройство имеет два сетевых интерфейса и не подлежит аппаратной модернизации.
В устройстве Cisco VPN 3030 Concentrator для шифрования используется масштабируемый аппаратный модуль Scalable Encryption Processor (SEP), обеспечивающий 1500 одновременных защищенных соединений. Устройство 3030 поставляется в конфигурации с функциональным резервированием и без него. В конфигурацию с функциональным резервированием входят два источника питания и два модуля SEP. Помимо обычных входных и выходных портов предусмотрен третий интерфейс, который может быть размещен в сетевом сегменте, изолированном от любого другого трафика, или использоваться для балансирования нагрузки.
Концентраторы Cisco VPN характеризуются развитыми функциями управления, гибкими возможностями мониторинга и высокой скоростью шифрования трафика около 1,5 Мбит/с. Данные аппаратные устройства могут регистрировать события в журнале и генерировать SNMP-прерывания. Администратор имеет возможность контролировать сеансы в реальном времени и выбирать события по группам. Если программы ПЗУ будут испорчены, то концентратор загружается из вспомогательной флэш-памяти и время восстановления системы сокращается.
Клиентское программное обеспечение Cisco VPN позволяет администраторам автоматизировать многие этапы процесса развертывания, настраивая поставляемые специальные файлы-образцы на конкретную среду. Сценарии можно настроить даже на соединения Microsoft Dial-Up Networking, после чего пользователи могут подключиться к ЛВС одним щелчком на соответствующей кнопке. Клиентская программа достаточно интеллектуальна, чтобы обнаружить резервный концентратор в случае отказа основного устройства.
3.7.3. Создание защищенных туннелей с помощью межсетевых экранов
Через брандмауэр локальной сети, как и через маршрутизатор, пропускается весь трафик. Соответственно функции зашифровывания исходящего и расшифровывания входящего трафика может с успехом выполнять и межсетевой экран. Сейчас все ведущие производители межсетевых экранов включают в них возможности по построению защищенных виртуальных сетей. Однако необходимо иметь в виду, что функционал по формированию VPN может быть реализован в дополнительных модулях либо в специализированных продуктах, покупаемых отдельно.
Например, межсетевой экран Symantec Enterprise Firewall сам по себе не обеспечивает создание защищенной виртуальной сети, так как для этой цели компания Symantec распространяет продукт Symantec Enterprise VPN, обеспечивающий формирование VPN и интегрирующийся с межсетевым экраном Symantec Enterprise Firewall. Для поддержки VPN межсетевым экраном ViPNet Office Firewall компании "Инфотекс" также необходим дополнительный программный продукт — ViPNet Corporate, разработанный этой же компанией. К межсетевым экранам, в стандартную поставку которых входят модули формирования VPN, относятся аппаратные брандмауэры Firebox 1000 компании WatchGuard, а также Secure PIX Firewall 520/525 компании Cisco Systems.
Для построения VPN с помощью межсетевого экрана FireWall-1 компании Check Point необходимо покупать специализированный модуль формирования VPN, разработанный этой же компанией. Кроме того, компания Check Point поставляет комплексный продукт VPN-1, объединяющий в себе межсетевой экран FireWall-1 и средства построения VPN. FireWall-1/VPN-1 обеспечивает контроль не только открытого, но и криптозащищенного трафика. С помощью модуля VPN брандмауэр расшифровывает поступившие к нему данные, затем применяет к ним установленные администратором правила управления доступом, а потом снова зашифровывает пакеты сообщений, пропускаемые дальше. FireWall-1/VPN-1 выполняет не только криптографическое закрытие трафика, но и аутентификацию пакетов сообщений. Для распределения ключей может использоваться стандарт IPSec, а также протокол SKIP, разработанный компанией Sun Microsystems. Реализованы симметричные криптосистемы DES, RC4 и FWZ1, используемые для криптографического закрытия информации. Криптосистема FWZ1 является cqpственной разработкой компании Check Point. Для аутентификации пакетов сообщений могут использоваться алгоритмы MD5, SHA-1, СВС DES и МАС. Поддерживаются два режима криптографической защиты:
• защита передаваемого по Internet трафика между брандмауэрами
Fire Wа11-1/VPN-1.
• защита трафика при удаленном доступе к локальной сети, защищаемой брандмауэром FireWall-1/VPN-1.
В первом случае все функции защиты реализуются прозрачно системами FireWall-1 VPN-1, между которыми устанавливается связь. Во втором случае функции криптографической защиты выполняются брандмауэром FireWall-1/ VPN-1 из состава локальной сети, к которой осуществляется удаленный доступ, и специальным компонентом SecuRemote, который должен быть установлен на удаленном компьютере. В компьютерах с шиной PCI для ускорения шифрования может использоваться поставляемая Check Point дополнительная плата.
Имеется также аппаратная реализация комплексной системы FireWall-l VPN-1 компании Check Point на аппаратной платформе компании Nokia— устройство Nokia Firewall/VPN appliances. Данное комплексное устройство, объединяющее межсетевой экран и средство построения VPN, разработано совместно компаниями Check Point и Nokia.
Продукт Symantec Enterprise VPN компании Symantec, интегрирующийся с межсетевым экраном Symantec Enterprise Firewall, обеспечивает построение защищенных виртуальных сетей по протоколу IPSec. Как и FireWall-1/VPN-1 компании Check Point, межсетевой экран Symantec Enterprise Firewall/VPN может применять установленные правила доступа к туннелируемому трафику. Компания Symantec также поставляет семейство мобильных клиентов для VPN между пользователями и локальной сетью.
Кроме того, Symantec, как и Check Point, начала поставлять комплексные аппаратные устройства, в каждом из которых реализованы Symantec Firewall и Symantec VPN. Три новых продукта, известных как Symantec Firewall/VРN Appliances 100, 200 и 200R, позволяют компаниям повысить безопасность межсетевого взаимодействия со своими подразделениями и шифровать все данные между компанией и малыми офисными сетями, соединенными виртуальной частной сетью.
Устройство Symantec Firewall/VPN Appliances 100, предназначенное для не- больших филиалов компаний, имеет 1 WAN-порт и 4 LAN-порта. Оно обеспечивает 15 одновременных защищенных соединений. Устройства 200 и 200R включают по 2 WAN- и 8 LAN-портов и обеспечивают поддержку 30 криптотуннелей. Удаленные клиенты к шлюзу VPN поддерживаются только для устройства 200R. Управление устройствами 100, 200 и 200R реализуется через удаленную или локальную Web-консоль.
Межсетевой экран Firebox 1000 компании WatchGuard поддерживает криптотуннели как между ЛВС, так и между ЛВС и удаленными пользователями. Для формирования VPN между ЛВС используется протокол IPSec, а для защищенного доступа удаленных пользователей к ЛВС помимо IPSec поддерживается протокол PPTP. Применение IPSec для защищенного удаленного доступа требует приобретения пользовательских лицензий и программного обеспечения VPN-клиента — Mobile User VPN Client. FireBox 1000 одновременно поддерживает работу до 1000 VPN-клиентов.
3.7.4. Построение защищенных виртуальных сетей на основе специализированного программного обеспечения
Для по строения защищенных виртуальных сетей широко используются специализированные программные средства. В последнее время появилось достаточно много таких продуктов. Все программные средства построения VPN позволяют формировать защищенные туннели чисто программным образом и превращают сервер, на котором они функционируют, в маршрутизатор ТСР/IP, который получает зашифрованные пакеты, расшифровывает их и передает по локальной сети дальше, к конечной точке назначения. Кратко рассмотрим лишь отдельные из них.
Простейший способ построения VPN на основе программных средств— использование встроенных возможностей ОС Microsoft Windows 2000, которая поддерживает решения VPN как для связи между удаленными пользователями и ЛВС, так и для связи между ЛВС. Для формирования VPN может использоваться протокол PPTP, L2TP поверх IPSec или непосредственно протокол IPSec в туннельном режиме. Независимо от используемого протокола роль VPN-концентратора выполняет компьютер с двумя сетевыми интерфейсами, системой Windows 2000 Server, а также службой маршрутизации и удаленного доступа (Routing and Remote Access Service, RRAS). Один из сетевых интерфейсов должен обеспечивать физическое подключение к Internet через провайдера — например, посредством канала Т1, Т3 или модемного соединения. Надежность и степень готовности такого решения VPN определяются характеристиками Windows 2000 Server. При этом администратор будет вынужден настраивать многочисленные параметры, отыскивать и устранять все слабые места в системе безопасности, а также обновлять системное программное обеспечение при появлении новых сервисных пакетов.
К другим специализированным программным средствам построения VPN относится семейство продуктов ViPNet компании "Инфотекс", а также программный комплекс Net-PRO компании "Сигнал-Ком".
Пакет программ серии ViPNet компании "Инфотекс" в применении к ФР- сетям является универсальным программным средством для создания виртуальных защищенных сетей любых конфигураций, основанных на операционной платформе Windows 9х/NT/2000. Особенностью данного пакета программ является то, что компьютеры виртуальной сети могут располагаться внутри локальных сетей любого типа, поддерживающих IP-протокол, находиться за Firewall, иметь реальные или внутренние адреса, подключаться через Dial Up к любому провайдеру Internet или через службу удаленного доступа непосредственно к локальной сети. С использованием программных средств пакета программ можно соединить локальные сети:
• непосредственно через выделенные каналы связи или телефонные каналы с использованием служб удаленного доступа;
• через Internet путем подключения к нему через выделенные каналы связи или Dial Up.
Внутри больших локальных сетей с использованием программных средств виртуальной сети могут быть созданы информационно независимые и взаимно недоступные замкнутые группы компьютеров.
Специальные технологии позволяют участнику виртуальной сети одновременно с защищенными соединениями иметь односторонний доступ к открытым информационным ресурсам локальной или глобальной сети (режим "Бумеранг"), а также обеспечивать любые другие типы фильтрации открыто- го трафика в соответствии с заданной политикой безопасности.
Основой всех программ для виртуальной сети является специальный ViPNet-драйвер, взаимодействующий непосредственно с драйвером сетевого интерфейса, что обеспечивает независимость программы от операционной системы и недокументированных возможностей в ней. Драйвер контролирует весь IP-трафик, поступающий и исходящий из компьютера.
При взаимодействии в сети с другими компьютерами, оснащенными этим же ПО, обеспечивается установление между такими компьютерами защищенных соединений. При этом осуществляется полное преобразование всего IP-трафика между двумя компьютерами по алгоритму, рекомендованному ГОСТ 28147-89, что делает недоступным этот трафик для любых других компьютеров, в том числе имеющих такое же ПО. Одновременно производится инкапсуляция всех типов IP-пакетов в единый тип, что полностью скрывает структуру информационного обмена. Для защищенного трафика также обеспечивается фильтрация в соответствии с заданной политикой безопасности.
Программный комплекс Net-PRO компании "Сигнал-Ком", как и пакет программ серии ViPNet, обеспечивает защиту потоков данных в различных вариантах:
• в пределах корпоративной локальной сети;
• при взаимодействии объединенных локальных сетей;
• при взаимодействии с удаленными ресурсами через сети общего полыования (включая Internet);
• при необходимости организации безопасной работы удаленного компьютера с корпоративной сетью.
Помимо криптозащиты трафика Net-PRO позволяет скрывать реальную топологию защищаемой локальной сети, обеспечивать аутентифицированный доступ в защищаемую локальную сеть для удаленных пользователей с динамически выделяемыми адресами, а также контролировать доступ к открытым ресурсам внешних сетей.
Надежная аутентификация пользователей основана на двухключевых криптоалгоритмах и сертификатах, не требующих от пользователей запоминания и ввода пароля. Для аутентификации и защиты потоков данных в Net- PRO используется модернизированный протокол SSL (Secure Socket Layer), свободный от экспортных ограничений, касающихся длины криптографических ключей. Предоставляется целый набор методов шифрования, включая отечественный ГОСТ 28147-89.
В системе Net-PRO реализован мощный инструментарий управления политикой безопасности, обеспечивающий легкую и быструю настройку и оперативную корректировку следующих параметров:
• параметров аутентификации пользователей.
• алгоритмов криптообработки;
• правил разграничения доступа аутентифицированных пользователей к
ресурсам внешней или локальной сети, компьютерам или отдельным приложениям;
• типов разрешенных приложений.
Net-PRO функционирует под управлением Microsoft Windows 9х/NT/2000, не требует модификации приложений и прикладных служб, легко конфигурируется, имеет удобный и интуитивно понятный графический интерфейс.
3.7.5. Туннелирование на основе специализированных программно- аппаратных средств
Наиболее высокую производительность обеспечивают аппаратные средства защищенного туннелирования. В качестве примеров таких устройств можно привести программно-аппаратные комплексы IPSafe-PRO компании "Сигнал-Ком", а также "Континент-К" НИП "Информзащита". Аппаратно-программный комплекс "Континент-К" НИП "Информзащита" обеспечивает формирование криптотуннелей между ЛВС, а также защищенный доступ к ЛВС удаленных пользователей (рис. 3.27).
"Континент-К", являясь одним из самых эффективных отечественных решений задачи построения виртуальных частных сетей, при относительно низкой стоимости обладает широким спектром возможностей, удовлетворяющих различные запросы клиентов. Среди них:
• статическая маршрутизация и фильтрация сетевого трафика;
• обеспечение высокой пропускной способности;
• возможность сжатия передаваемой информации;
• сокрытие внутренней структуры защищаемой сети;
• создание информационных подсистем с разделением доступа на физическом уровне;
• поддержка возможности удаленного управления коммутационным оборудованием;
• высокая надежность комплекса (в т. ч. за счет "горячего", т. е. аппаратного резервирования);
• высокая масштабируемость комплекса (поддержка до 15 внутренних интерфейсов, регистрация до 500 пользователей на каждом сервере доступа и возможность объединения в сеть до 5000 VPN-устройств);
• централизованное управление сетью и удобство администрирования;
• возможность ролевого управления комплексом и контроля за действиями администратора;
• ведение системных журналов;
• необслуживаемый режим работы;
• оповещение администратора в реальном режиме времени о событиях, требующих оперативного вмешательства;
• поддержка динамического распределения адресов при доступе удаленных пользователей;
• абсолютная прозрачность для всех приложений;
• возможность организации доступа к ресурсам сетей общего пользования из защищаемых сетей.
Шифрование данных в аппаратно-программном комплексе (АПК) "Континент-К" производится в соответствии с ГОСТ 28147-89 в режиме гаммирования с обратной связью. Защита данных от искажения осуществляется по ГОСТ 28147-89 в режиме имитовставки.
Управление криптографическими ключами происходит централизованно из центра управления системой (ЦУС), который предназначен для централизованного управления сетью криптошлюзов в режиме реального времени. Программное обеспечение ЦУС устанавливается на один из криптошлюзов и обеспечивает выполнение следующих функций:
• мониторинг сети криптошлюзов. ЦУС получает информацию от криптошлюзов о попытках несанкционированного доступа и системных событиях (установка связи, изменение конфигурации и т. д.).
• рассылка ключевой информации с ЦУС на удаленные криптошлюзы;
• возможность удаленной перезагрузки подключенного криптошлюза администратором;
• удаленные настройки криптошлюзов по защищенному каналу, создание и изменение в графическом режиме правил фильтрации в пакетном фильтре;
• создание резервной копии конфигурации для реализации холодной замены ЦУС;
• хранение системных журналов и журналов НСД. Они могут быть импортированы программой управления на APM администратора в базы данных MS Access.
В АПК "Континент-К" приняты дополнительные меры безопасности, позволяющие ограничивать и контролировать действия администратора:
• аутентификация администратора при помощи электронного замка "Соболь";
• блокирование загрузки с гибкого диска;
• контроль целостности операционной среды и программного обеспечения до загрузки системы;
• регистрация управляющих воздействий;
• блокирование попыток локального доступа в штатном режиме работы;
• криптографическая защита управляющих каналов.
Средствами комплекса возможно организовать удаленное управление маршрутизаторами по защищенным каналам "реверсным" методом (рис. 3.28). Такое решение позволяет повысить безопасность работы сети за счет шифрации управляющего трафика маршрутизаторов.
Наличие в криптошлюзе "Континент-К" функций межсетевого экрана реализует гибкую корпоративную политику безопасности. Комплекс позволяет работать как в защищенном, так и в открытом режиме, разрешая пользователям обмениваться информацией с внешними ресурсами. Для защиты внутренних сегментов сети от проникновения со стороны сетей общего пользования, криптошлюз "Континент-К" обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т. д.).
Все события, связанные с работой криптошлюза, регистрируются в журналах. Доступ к журналам осуществляется из программы управления. На каждом криптошлюзе ведутся системный журнал, а также журналы НСД и сетевого трафика. В системном журнале регистрируются события, связанные с работой подсистем КШ, а также события, регистрируемые электронным замком "Соболь". Для каждого зарегистрированного события сохраняются время регистрации, название события, а также ряд дополнительных параметров. В журнале НСД хранятся записи о зарегистрированных событиях несанкционированного доступа. Для каждого события НСД сохраняется информация о подсистеме, зарегистрировавшей событие, дате и времени регистрации, числе зарегистрированных событий этого типа, а также ряде дополнительных параметров. В журнале сетевого трафика содержится ин- формация о работе фильтра IP-пакетов.
Для доступа в сеть, защищаемую АПК "Континент-К", внешних пользователей используется специальное VPN-клиентское ПО — "Континент-АП" (АП — абонентский пункт). Оно устанавливается на компьютер пользователя (рис. 3.29), в качестве которого может выступать ноутбук, удаленный сервер, обычный компьютер. Абонентский пункт подключается к серверу доступа (СД), установленному на криптошлюзе, и позволяет осуществить:
• поддержку динамического распределения IP-адресов — возможность
удаленного доступа мобильных пользователей;
• удаленный доступ к ресурсам защищаемой сети по шифрованному каналу,
• доступ как по выделенным, так и по коммутируемым каналам связи;
• связь с сетью, защищаемой АПК "Континент-К", через сервер доступа практически без снижения производительности соединения; О идентификацию и аутентификацию пользователя;
• работу под управлением ОС Windows 98/NT/2000 с невысокими
системными требованиями.
VPN-клиент криптошлюза "Континент-К" может функционировать в одном из трех режимов:
• режим ожидания команды пользователя. В данном режиме никакого преобразования трафика не происходит, и пользователь может взаимодействовать с любым внешним узлом;
• инициализация соединения с СД и криптошлюзом "Континент-К";
• активный режим функционирования. В данном режиме после установления соединения с СД и получения разрешения на доступ в защищаемую сеть весь трафик, передаваемый между АП и защищаемой сетью, шифруется по ГОСТ 28147-89. При этом, в зависимости от конфигурации АП, он может либо запрещать все незащищенные соединения (например, с сетью Internet), либо разрешать их.
После запроса на соединение СД проводит идентификацию и аутентификацию удаленного пользователя, определяет его уровень доступа, устанавливаемый администратором "Континент-К", и на основании этой информации осуществляет подключение абонента к ресурсам сети. СД позволяет осуществить практически неограниченное количество одновременных сеансов связи с удаленными пользователями. В системе используется аутентификация пользователей при помощи сертификатов открытых ключей.
Личный сертификат пользователя создается администратором безопасности с помощью программы управления СД. Личный сертификат пользователя экспортируется в файл в зашифрованном на пароле виде и выдается администратором СД пользователю. Также пользователю выдается сертификат СД. Имеется возможность создания запроса на получение сертификата и ключей посредством самого АП с последующей выдачей сертификата администратором СД.
Аутентификация пользователя при подключении к комплексу "Континент-К" осуществляется на открытых ключах. Схема реализована с применением сертификатов Х.509. Установленное соединение шифруется на симметричных ключах в соответствии с ГОСТ 28147-89.
VPN-клиент криптошлюза "Континент-К" дополнительно позволяет шифровать и подписывать почтовые сообщения в среде MS Outlook или MS Outlook Express.
В качестве криптографического ядра в "Континент-АП" используется сертифицированное ФАПСИ СКЗИ "КриптоПро CSP".
IPSafe-PRO представляет собой программно-аппаратный комплекс, реализующий функции межсетевого экрана и криптографического маршрутизатора. Последний обеспечивает защиту конфиденциальной информации путем организации защищенных туннелей между территориально удаленными IP- сетями корпоративных информационно-вычислительных систем.
Базовая конфигурация криптографического комплекса IPSafe-PRO представляет собой устройство с двумя Ethernet-интерфейсами, выполненное на основе IBM PC-совместимого персонального компьютера (размера BookSize).
IPSafe-PRO устанавливается на выходе из локальной сети (рис. 3.30) и выполняет фильтрацию и криптографическую обработку входящих и исходящих IP-пакетов в соответствии с заданными правилами.
В сети VPN, построенной на базе IPSafe-PRO, применяется симметричная ключевая система с возможностью централизованного и децентрализованного администрирования. Для защиты данных в IPSafe-PRO используется протокол ESP (Encapsulated Security Payload, RFC 2406) в туннельном режиме. В качестве алгоритмов шифрования поддерживаются ГОСТ 28147-89, RC5, 3DES и DES. Для аутентификации может использоваться алгоритм SHA-1 или MD5.
Помимо основной функции защиты IP-трафика в IPSafe-PRO реализованы функции статической маршрутизации и межсетевого экрана (защита от спуфинга, фильтрация IP-пакетов по адресам, портам и протоколам).
Обобщенные характеристики отдельных продуктов, обеспечивающих построение защищенных виртуальных сетей, представлены в табл. 3.3.
3.7.6. Семейство продуктов ViP Net
Общие сведения
Семейство продуктов ViPNet компании "Инфотекс" включает одни из наиболее эффективных программных средств построения виртуальных частных сетей (VPN). На данные продукты имеются сертификаты Гостехкомиссии России и кроме того, средства построения VPN семейства ViPNet основаны на сертифицированном ФАПСИ криптографическом ядре "Домен-К". Важной особенностью семейства продуктов ViPNet является возможность формирования защищенных виртуальных каналов не только в Internet между ЛВС, а также при подключении к ЛВС удаленных рабочих станций, но и в составе локальной сети, например между рабочими станциями, а также между рабочими станциями и серверами ЛВС.
В общем случае продукты семейства ViPNet позволяют решить ряд важных задач для обеспечения безопасности сетевого взаимодействия:
• интеграцию мобильных и удаленных пользователей в корпоративную
VPN;
• защищенное объединение нескольких локальных сетей в одну глобальную;
• организацию защищенного Web- хостинга и защищенного доступа к серверам приложений и баз данных;
• защиту в сети ТСР/IP-трафика, создаваемого любыми стандартными приложениями и программами, работающими в ОС Windows 95/98/МЕ/2000/NT и Linux, включая программы аудио и видеоконференц связи;
• организацию защищенной электронной почты и защищенного файлового обмена;
• защиту встроенными сетевыми экранами информационных ресурсов клиентов VPN (рабочих станций, серверов WWW баз данных и приложений).
Основными представителями семейства продуктов ViPNet являются такие продукты, как ViPNet CUSTOM, ViPNet CORPORATE, ViPNet ОРНСЙ, ViPNet TUNNEL, ViPNet OFFICE FIREWALL, ViFNet TermiNET (Personal Firewall), позволяющие обеспечить безопасное информационное взаимодействие компьютеров и ЛВС, работающих по протоколу IP. Данная серия создана на базе масштабируемого ПО "Корпоративная наложенная сеть Инфотекс", сертифицированного Гостехкомиссией по классу защиты информации 1В для автоматизированных систем и 3-му классу для межсетевых экранов.
Продукты ViPNet CORPORATE и ViPNet CUSTOM ориентированы на государственные учреждения и крупные компании и предназначены для создания масштабных защищенных виртуальных сетей как внутри ЛВС, так и в Internet. Оба они имеют развитые средства управления и администрирования, а различаются только тем, что первый из них является коробочным вариантом ПО с фиксированной размерностью, а второй может быть сконфигурирован в соответствии с требованиями заказчика.
Еще один "коробочный" продукт — ViPNet OFFICE — предназначен для среднего и малого бизнеса. Хотя он и не имеет специальных средств управления, тем не менее позволяет быстро создать виртуальную частную сеть, обеспечивающую защищенное взаимодействие отдельных компьютеров в ЛВС и Internet, организацию удаленного доступа в корпоративную сеть из домашних офисов или с ноутбуков. Если же необходимо связать через Internet две локальные сети целиком, то это можно сделать с помощью защищенного IP-туннеля — ViPNet TUNNEL.
Межсетевой экран ViPNet OFFICE FIREWALL является универсальным программным средством, обеспечивающим надежную защиту сервера и локальной сети от несанкционированного доступа к различным информационным и аппаратным ресурсам по IP-протоколу при работе с локальными или глобальными сетями, например Internet. ViPNet TermiNET (Personal Firewall) — это персональный сетевой экран, предназначенный для защиты компьютера от несанкционированного доступа со стороны враждебного сетевого окружения.
Средства построения VPN семейства ViPNet выгодно отличают от других аналогичных систем следующие решения:
• полностью интегрированное VPN-решение (управление сетью и ключами шифрование всех видов трансмиссии, сетевые экраны персональноro и коллективного уровня и т. д.), работающее с любыми IP— приложениями;
• совершенное сетевое управление, обеспечивающее автоматическое и защищенное удаленное обновление версий программного обеспечения, справочников доступа и ключей рабочих станций виртуальной сети;
• комбинация симметричного и асимметричного ключей, обеспечивающая информационную независимость абонентов сети от администрации;
• развитые средства мониторинга и идентификации, позволяющие блокировать попытки постороннего доступа к защищенным ресурсам и идентифицировать несанкционированные обращения по IP-адресам и доменным именам.
Кроме построения виртуальных защищенных сетей продукты серии ViPNet . предоставляют целый комплекс собственных защищенных приложений. Это:
• защита от несанкционированного доступа со стороны Internet и враждебного сетевого окружения на основе использования межсетевых и персональных экранов;
• служба оповещения о подключении абонентов к VPN-сети и отключении от нее;
• циркулярный обмен информацией и проведение конференций с подтверждением доставки и прочтения сообщений;
• электронная почта, достоверность сообщений которой гарантируется электронной подписью писем и вложенных файлов, а также установление защищенной речевой и видеосвязи. При этом в случае нарушения связи в процессе передачи больших файлов обеспечивается возобновление передачи информации начиная с зафиксированного момента разрыва.
Система ViPNet обеспечивает прозрачную защиту информационных потоков любых приложений и любых протоколов IP как для отдельных рабочих станций, файловых серверов, серверов приложений, маршрутизаторов, серверов удаленного доступа и др., так и сегментов IP-сетей. Одновременно выполняет функции персонального сетевого экрана для каждого компьютера и межсетевого экрана для сегментов IP-сетей. Имеет большое разнообразие уровней полномочий для пользователей и настройки различных конфигураций.
Отдельно оформленные криптографические функции ядра VipNET (подпись и шифрование) при необходимости могут встраиваться непосредственно в различные прикладные системы.
С использованием программных средств пакета VipNET можно соединить локальные сети и удаленных пользователей через любые каналы связи и глобальные сети. Внутри больших локальных сетей с использованием программных средств виртуальной сети могут быть созданы информационно независимые и взаимно недоступные замкнутые группы компьютеров.
Специальные технологии позволяют участнику виртуальной сети одновременно с защищенными соединениями иметь односторонний доступ к открытым информационным ресурсам локальной или глобальной сети (режим "Бумеранг"), а также обеспечивать любые другие типы фильтрации открытого трафика в соответствии с заданной политикой безопасности.
Программное обеспечение системы ViPNet функционирует в операционных
средах Windows 95/98/МЕ/NT/2000, Linux.
Производительность работы драйвера защиты трафика в зависимости от операционной системы и мощности компьютера — от 2 до 32 Мбит/с и практически не ограничивает работу компьютеров даже в сетях 100 Мбит/с.
Для разгрузки процессоров серверов сети и увеличения пропускной способности до 60 — 90 Мбит/с в них может быть установлена PCI-плата ViPNet Turbo 100.
Архитектура построения
Во всех продуктах серии ViPNet использована фирменная разработка компании "Инфотекс" — низкоуровневый драйвер IP-LIR, взаимодействующий непосредственно с драйвером сетевого интерфейса, что обеспечивает независимость программы от операционной системы и недокументированных возможностей в ней. Драйвер контролирует весь IP-трафик, поступающий и исходящий из компьютера. Драйвер IP-LIR работает на уровне IP-пакетов до того, как они передаются стандартному стеку ТСР/IP Windows, что исключает возможность многих DoS (Denial of Service, отказ в обслуживании) атак, таких как teardrop, boink и пр.
Драйвер может устанавливаться на рабочих станциях, серверах баз данных, доменных серверах, маршрутизаторах и др. и обеспечивает защиту компьютеров как в локальной IP-сети, так и в глобальной, например Internet. Драйвер независим от используемых приложений и полностью контролирует трафик между компьютером и сетью не только в процессе работы, но и на этапе загрузки ОС. Драйвер выполняет фильтрацию и шифрование трафика в соответствии с заданной политикой безопасности и осуществляет защиту от атак извне. Наряду с шифрованием, IP-LIR выполняет и функции персонального экрана данного компьютера.
Продукты ряда ViPNet строятся на основе следующих функциональных модулей, сборка которых в единый продукт зависит от требуемой функциональности:
• центра управления сетью (ЦУС), предназначенного для создания инфраструктуры сети и управления объектами;
• ключевого центра (КЦ), предназначенного для формирования первичной ключевой и парольной информации для объектов сети, сертификации ключевой информации, сформированной объектами сети;
• ViPNet-координатора — многофункционального модуля, осуществляющего в зависимости от настроек различные функции;
• ViPNet-клиента — модуля, реализующего на каждом рабочем месте различные функции.
Центр управления сетью обеспечивает логическую конфигурацию сети, централизованное автоматическое управление, дистанционное обновление справочников, ключей, ПО, настройку конфигурации, анализ журналов и др.
ViPNet-координатор выполняет функции:
• менеджера IP-адресов;
• proxy-сервера защищенных соединений;
• сервер- туннеля (шифрование межсетевого трафика);
• межсетевого экрана;
• сервера почтовых и управляющих сообщений.
ViPNet-клиент выполняет функции:
• персонального сетевого экрана;
• прозрачного шифрования IP-трафика, генерируемого любыми сетевыми и пользовательскими приложениями;
• защищенной почтовой службы с электронной цифровой подписью;
• автопроцессинга для автоматической подписи и доставки файлов;
• защищенных служб реального времени для организации циркулярного обмена сообщениями, проведения конференций, аудио- и видеопереговоров;
• цифровой подписи и шифрования, которые могут быть встроены в различные прикладные программы.
Разнообразные возможности управления режимами безопасности в зависимости от предоставленных пользователю полномочий, обеспечивают разные уровни защиты, в том числе самый жесткий, когда блокируется любой входящий и исходящий открытый трафик, и оптимальный ("5yMepavr%tealth), предоставляющий возможность устанавливать инициативные соединения с открытыми ресурсами.
При необходимости могут быть настроены и более тонкие стратегии для работы с открытыми ресурсами.
Основные принципы обеспечения защиты от несанкционированного доступа в ViPNet:
• жесткое централизованное управление обеспечивает организацию межсетевого взаимодействия нескольких корпоративных сетей под взаимным контролем администраций всех сетей;
• программы центра управления сетью (ЦУС) обеспечивают регистрацию
абонентских пунктов (АП), серверов- маршрутизаторов (СМ), коллективов пользователей на АП, разграниченных по доступу к информации, конкретных абонентов в коллективах, а также устанавливают заданные связи между коллективами. Всем объектам сети присваиваются уникальные идентификаторы;
• на основании введенной информации формируются защищенные контрольными суммами файлы связей абонентов, адресные справочники для каждого АП и маршрутные таблицы для СМ. Эти данные, а также индивидуальная ключевая информация при каждом изменении рассылаются по сети в защищенном виде и автоматически обновляют соответствующую информацию на АП, СМ и ключевых дискетах абонентов;
• в качестве одного из средств защиты информации от несанкционированного доступа используются процедуры шифрования и электронной подписи, реализованные в соответствии с государственными стандартами (ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.11-94);
• работа в системе возможна только после предъявления защищенной ключевой информации (размещенной на произвольном носителе) и ввода правильного пароля, представляющего собой набор символов из легко запоминаемой фразы;
• пользователь АП может войти в сеть только после выполнения специальной процедуры аутентификации "свой- чужой". Любой выход — как санкционированный, так и несанкционированный — регистрируется в специальных журналах на СМ и АП;
• транспортные конверты шифруются, и для них формируется специальная имитозащитная сигнатура всего транспортного конверта, гарантирующая защиту от случайного или преднамеренного искажения сообщения, от переадресации конверта или навязывания ранее переданного сообщения;
• все действия абонентов и операторов по работе с документами, прохождение конвертов через АП, СМ подробно регистрируются в защищенных журналах прикладного и транспортного уровня. Центр управления сетью может дистанционно получать, просматривать и анализировать журналы транспортного уровня на СМ;
• конфиденциальные документы в текущих, архивных, входящих и исходящих папках хранятся в зашифрованном виде, доступ к которым могут получить только лица, владеющие соответствующей ключевой информацией и знающие пароли;
• ключевой центр на основании файлов связей абонентов, сформированных центром управления сетью, генерирует для каждого абонента всю необходимую ключевую информацию;
• ключевая структура внутри сети и при межсетевом взаимодействии организована по принципу полной ключевой матрицы, то есть между каждой парой АП и их коллективов используются свои ключи;
• доступ к информационным ресурсам разграничивается установленными
связями между абонентскими пунктами и индивидуальной парольной и ключевой информацией. Он предполагает фильтрацию защищенных и незащищенных соединений, инкапсуляцию реальных IP-пакетов и внедрение в пакеты уникальных идентификаторов.
Криптографическое ядро "Домен-К"
Криптографическим ядром семейства продуктов ViPNet является средство криптографической защиты информации (СКЗИ) "Домен-К", которое успешно прошло сертификационные испытания в ФАПСИ и получило соответствующие сертификаты ФАПСИ о соответствии требованиям:
• класса КС1 — при использовании только программных средств;
• класса КС2 — при дополнительном использовании программно-аппаратных средств защиты от НСД, сертифицированных ФАПСИ (в настоящий момент таковыми являются программно-аппаратные замки "Аккорд" и "Соболь").
Эти классы различаются стойкостью защиты от различных нарушителей:
КС1 — внешний нарушитель; КС2 — внутренний незарегистрированный нарушитель; КС3 — внутренний зарегистрированный нарушитель.
В СКЗИ "Домен-К" используются рекомендованные ФАПСИ криптографические алгоритмы шифрования, электронно-цифровой подписи и хэширования (ГОСТ 28147-89, ГОСТ 34.10-94, ГОСТ 34.11-94). Длина симметричных ключей шифрования — 256 бит. Длина асимметричных ключей шифрования и подписи: секретного ключа — 256 бит; открытого ключа — 1024 бита.
Программное обеспечение СКЗИ "Домен-К" представляет собой пакет библиотек и программ, реализующих ключевой центр, прикладной криптографический интерфейс, криптографический драйвер. Компоненты СКЗИ "Домен-К" при соблюдении правил пользования обеспечивают:
• высокую стойкость шифрования информации;
• гарантированное подтверждение авторства и подлинности электронных документов;
• обнаружение случайных или намеренных искажений защищаемой информации;
• защиту используемых ключей;
• контроль целостности программного обеспечения;
• надежное автоматизированное управление ключевой системой.
Архитектура построения СКЗИ "Домен-К" согласуется с архитектурой ViPNet. В сети "Домен-К" разделены центр управления сетью (ЦУС) и ключевой центр (КЦ). ЦУС регистрирует компьютеры сети, абоненты, подразделения, задает разрешенные связи, рассылает по сети обновления адресных справочников и наборов ключей. КЦ формирует ключи на основе информации, предоставленной центром управления сетью. Разделение ЦУС и КЦ уменьшает возможные злоупотребления со стороны сетевой администрации. “Домен-К" использует комбинированную ключевую систему, сочетающую высокую стойкость симметричных ключей и гибкость асимметричных. Симметричные ключи шифрования генерируются администратором КЦ и обеспечивают начальное развертывание сети и автоматизированное обновление ключевой системы. Асимметричные ключи шифрования генерируются абонентами сети независимо от администратора КЦ. Они обеспечивают невозможность прочтения шифрованной информации администратором КЦ и защищают пользователей от возможных компрометаций в центре. Ключ обмена, используемый для шифрования информации, формируется как криптографическая свертка симметричного ключа, созданного в ключевом центре, и ключа Диффи- Хелмана, созданного в результате обмена открытыми частями асимметричных ключей.
Обеспечивается жесткий контроль разрешенных связей: шифрованная связь возможна только между теми компьютерами, связь которых разрешена сетевой администрацией.
При использовании СКЗИ "Домен-К" пользователь получает возможность защищать не только сообщения на уровне приложений, но и весь IP- трафик. Поддерживается межсетевое взаимодействие, т. е. администраторы разных сетей могут организовать защищенную связь между абонентами разных сетей (в том числе поддерживается проверка ЭЦП, поставленных абонентами другой сети). Сети считаются разными, если у них разные центры администрирования. Однако ключевая система должна быть одинаковая— "Домен-К".
Абоненты сети могут самостоятельно генерировать ключи подписи. Открытая часть этих ключей сертифицируется администратором КЦ сети. Поддерживается автоматическая рассылка списков отозванных сертификатов.
"Домен-К" использует многоуровневую систему защиты ключей, обеспечивающую их надежное хранение (как в ключевом центре, так и на рабочих местах пользователей) и автоматическое обновление.
В "Домен-К" есть понятие "коллектив", позволяющее разграничить доступ пользователей одного компьютера к шифрованной информации. Если пользователь не обладает ключом коллектива, то он не может читать информацию, адресованную данному коллективу.
Технология формирования криптотуннелей
Как было отмечено ранее, основой всех программ семейства ViPNet является специальный ViPNet-драйвер, взаимодействующий непосредственно с драйвером сетевого интерфейса, что обеспечивает независимость от операционной системы. Драйвер контролирует весь IP-трафик, поступающий и исходящий из компьютера.
При взаимодействии в сети с другими компьютерами, оснащенными этим же ViPNet-драйвером, программа обеспечивает установление между такими компьютерами защищенных соединений. При этом осуществляется полное преобразование всего IP-трафика между двумя компьютерами по алгоритму, рекомендованному ГОСТ 28147-89, что делает недоступным этот трафик для любых других компьютеров, в том числе имеющих такое же ПО. Одновременно производится инкапсуляция всех типов IP-пакетов в единый тип, что полностью скрывает структуру информационного обмена. Инкапсуляция в зависимости от среды, в которой производится обмен, осуществляется в два типа формата:
• если по пути следования пакета нет преобразования адресов, то исходный пакет после шифрования инкапсулируется в IP-пакет с 241 номе-: ром протокола;
• если по пути пакета выполняется преобразование адресов, то исходный пакет после шифрования инкапсулируется в UDP-пакет с заданным портом назначения (по умолчанию 55777).
Для защищенного трафика также обеспечивается фильтрация в соответствии с заданной политикой безопасности.
Преобразование трафика осуществляется на ключах длиной 256 бит. Ключи между каждой парой абонентов зависят как от информации, формируемой центром (симметричная схема распределения ключей), так и от информации, формируемой каждым компьютером (асимметричная схема распределения ключей). Такая ключевая структура позволяет строить корпоративные виртуальные сети на базе ViPNet-драйвера, с одной стороны, надежно управляемые из центра, а с другой стороны, полностью информационно недоступные для центра в части пользовательской информации.
Для построения VPN используется ПО ViPNet [Клиент] (устанавливается на рабочие станции) и ПО ViPNet [Координатор], в состав которых входит ViPNet-драйвер. К компьютерам при установке ViPNet [Клиента] или ViPNet [Координатора] не предъявляется никаких дополнительных требований. Это может быть стационарный или переносный компьютер с операционными системой Windows 95/98/NT/2000 и модемом или сетевой картой.
ViPNet [Клиент] является полностью самонастраивающейся системой. В процессе своей работы ViPNet-драйвер посылает специальные защищенные широковещательные пакеты, которые позволяют компьютерам с таким же ПО увидеть друг друга в локальной сети, сообщить друг другу о своих адресах, если они изменились.
Для того чтобы компьютеры увидели друг друга в глобальной сети, на одном или нескольких компьютерах, имеющих постоянный IP-адрес, должны быть установлены программы ViPNet [Координатор] с функцией сервера IP- адресов.
Если такие программы установлены, то ViPNet-драйвер каждого компьютера будет посылать на сервер IP-адресов информацию о своем включении и IP-адресе и получать с него информацию о других связанных с ним компьютерах. Если серверов IP-адресов несколько, то эти серверы обмениваются между собой необходимой информацией о подключении и отключении абонентов. Конфигурация и управление виртуальной защищенной сетью осуществляются с помощью программ центра управления сетью (ЦУС) и ключевого центра (КЦ).
Обмен управляющей информацией с ЦУС, КЦ и объектов сети между собой (справочники, ключи, программное обеспечение и др.), а также обмен почтовой информацией производится с помощью специального транспортного протокола над ТСР/IP через ViPNet [Координаторы] с функцией серверов- маршрутизаторов, которые совмещены с серверами IP-адресов.
ViPNet [Координатор] может выполнять также и функции proxy-сервера, через который все защищенные компьютеры локальной сети выходят во внешнюю сеть от имени одного адреса. На proxy-сервере можно указать адреса незащищенных компьютеров локальной сети для туннелирования их трафика в защищенное соединение.
Координация защищенного взаимодействия
Функции координации защищенного взаимодействия в VPN-сети, построенной на основе средств ViPNet, выполняет ViPNet [Координатор]. ViPNet [Координатор] может поставляться в следующем функциональном составе:
• сервер- маршрутизатор, обеспечивающий маршрутизацию почтовых конвертов и управляющих сообщений при взаимодействии ЦУС, ключевого центра и объектов сети между собой
• сервер IP-адресов, обеспечивающий регистрацию и предоставление информации о текущих IP-адресах и состоянии объектов корпоративной сети;
• сервер ViPNet Proxy, обеспечивающий:
• работу защищенных компьютеров локальной сети в VPN от имени одного адреса;
• туннелирование пакетов от заданных незащищенных компьютеров локальной сети;
• фильтрацию открытых пакетов в соответствии с заданной политикой безопасности;
• возможность работы защищенных компьютеров локальной сети через firewall-proxy других типов.
Функциональность ViPNet [Координатора] определяется центром управления сетью и формируемым им справочниками и маршрутными таблицами.
В зависимости от конфигурации VPN возможны следующие варианты установки ViPNet [Координатора] (табл. 3.4).
Рассмотрим подробнее каждый из вариантов.
• Вариант 1 — VPN строится в рамках одной не фрагментированной локальной сети.
• Вариант 2 — VPN должна объединить несколько локальных сетей с защищенными компьютерами (фрагментов локальной сети) и удаленные защищенные компьютеры. Все компьютеры имеют реальные IP-адреса, доступные от любого объекта VPN.
• Вариант 3 — VPN должна объединить несколько локальных сетей (фрагментов локальной сети), а также удаленные защищенные компьютеры. Компьютеры локальной сети имеют внутренние или реальные адреса. Ставится задача:
• Обеспечить работу объектов VPN локальной сети (фрагмента локальной сети) от имени одного адреса внутри фрагментированной локальной сети. через глобальную сеть, выделенные или коммутируемые каналы.
• Обеспечить работу объектов VPN локальной сети через существующий в данной сети firewall-proxy.
• Вариант 4 — VPN должна объединить несколько локальных сетей (фрагментов локальной сети), имеющих защищенные и незащищенные компьютеры, и удаленные защищенные компьютеры. Компьютеры локальной сети имеют внутренние или реальные адреса. Ставится задача:
• Обеспечить работу объектов VPN локальной сети (фрагмента локальной сети) от имени одного адреса внутри фрагментированной локальной сети через выделенный или коммутируемый канал, а для отдельных незащищенных компьютеров (без ViPNet-драйвера) обеспечить при этом туннелирование открытых пакетов в защищенное соединение.
• Обеспечить работу всех объектов VPN локальной сети и туннелирование трафика отдельных незащищенных компьютеров через существующий в данной сети firewall-proxy.
• Вариант 5 — VPN должна объединить несколько, локальных сетей (фрагментов локальной сети) и удаленные защищенные компьютеры, при этом защита внутри локальной сети (фрагмента локальной сети) не требуется.
Технология функционирования сервера- маршрутизатора
В соответствии с логикой построения виртуальных защищенных сетей Инфотекс абонентские пункты (АП) регистрируются на серверах- маршрутизаторах. Это означает, что почтовая и управляющая информация данного АП будет проходить через его сервер.
Между серверами- маршрутизаторами в ЦУС задаются логические каналы связи:
• либо полная связность, тогда управляющая и почтовая информация будет передаваться от серверу к серверу по кратчайшему маршруту;
• либо конкретная цепочка связей, тогда управляющая и почтовая информация будет передаваться от серверу к серверу по заданным маршрутам.
Задание в ЦУС связей между АП определяет, какие другие АП будет видеть для обмена информацией данный АП.
При организации взаимодействия между двумя различными наложенными сетями в каждой из сетей выбирается по одному серверу, через которые и осуществляется обмен между сетями.
При поступлении почтового или управляющего конверта сервер в соответствии с заданными маршрутными таблицами определяет дальнейшее движение этого конверта. Если конверт многоадресный, то расщепляет его на соответствующие части. В зависимости от заданной логики при наличии конверта либо сам начинает устанавливать соединение с другим сервером или АП (по умолчанию такая логика установлена при отправке конверта на другой сервер), либо ожидает, когда с ним установит соединение другая сторона (по умолчанию эта логика работает при наличии конвертов для АП). Может быть задан и период опроса других объектов вне зависимости от наличия для них конвертов.
При разрывах соединений передача информации всегда продолжается с точки разрыва, что особенно важно на коммутируемых каналах.
Технология функционирования сервера IP-адресов
При загрузке любого компьютера с ViPNet [Клиент] программа сообщает свой IP-адрес своему серверу IP-адресов и получает от него список IP- адресов всех включенных в данный момент объектов VPN, с которыми связан данный АП. В соответствии с этим списком в окне Защищенная сеть находящиеся в данный момент объекты сети помечены как включенные и отображаются их текущие IP-адреса. Периодически (в среднем раз в 5 ми- нут), а также при изменении своего IP-адреса АП сообщает на свой сервер информацию о себе. При отключении компьютера также посылается ин- формация об этом на сервер.
По аналогичной логике серверы обмениваются между собой информацией о своем включении и отключении.
После того, как АП узнают о состоянии друг друга и текущих IP-адресах, весь информационный обмен между ними производится напрямую.
На компьютере с ViPNet [Координатором] также могут устанавливаться любые другие сетевые приложения. Например, это может быть одновременно сервер домена или Web-сервер или сервер баз данных и др.
Действия сервера IP-адресов:
• при появлении новой информации о каком-то своем АП рассылает ее всем другим серверам своей сети, а также подключенным к нему в данный момент другим АП;
• при появлении новой информации с других серверов об их АП высылает эту информацию своим включенным АП;
• при отсутствии информации от своего АП более 6 минут считает этот АП отключившимся и рассылает эту информацию;
• если данный сервер взаимодействует с другой сетью, то высылает на шлюзовой сервер той сети информацию об изменении состояния всех объектов своей сети, связанных с объектами другой сети. При получении такой информации из другой сети рассылает эту информации на все серверы своей сети, а также на подключенные в данный момент свои АП в части, их касающейся.
По умолчанию на АП выбирается работа с сервером IP-адресов, на котором данный АП зарегистрирован.
В ЦУС могут быть заданы связи АП и с другими ViPNet [Координаторами]. Это означает, что данный АП при необходимости может выбрать в качестве сервера IP-адресов любой другой сервер, с которым ему разрешили связь.
Технология функционирования сервера ViPNet Proxy
Сервер ViPNet Proxy может устанавливаться на рабочей станции с одной сетевой карточкой или маршрутизаторе с несколькими сетевыми интерфейсами.
Если сервер IP-адресов зарегистрирован в задаче Proxy, то все защищенные IP-пакеты от АП, работающих с данным сервером, автоматически маршрутизируются ViPNet-драйвером на этот сервер. Открытые IP-пакеты на АП фильтруются в соответствии с заданным режимом работы, но драйвером принудительно не маршрутизируются (то есть работает маршрутизация, настроенная на данном компьютере). Сервер ViPNet Proxy отправляет защищенные пакеты дальше от имени своего адреса. То есть весь информационный обмен АП локальной сети, стоящих за сервером ViPNet, осуществляется через него.
Открытые пакеты от незащищенных компьютеров локальной сети фильтруются в соответствии с заданными критериями на сервере ViPNet Proxy, установленном на маршрутизаторе, но трансляции адресов для таких пакетов не производится.
IP-пакеты любого типа при работе через сервер ViPNet Proxy инкапсулируются ViPNet-драйверами в единый тип пакетов — UDP с портом назначения по умолчанию 55777. Если сервер ViPNet Proxy стоит за firewall-proxy другого типа, осуществляющим трансляцию адресов, то пропуск именно таких пакетов от и для сервера ViPNet Proxy необходимо настроить на этом firewall-proxy.
Все объекты VPN, стоящие за сервером ViPNet Proxy или другими типами firewall-proxy, видны с внешних компьютеров под виртуальными адресами, вырабатываемыми непосредственно на этих компьютерах. В связи с этим к объектам VPN, стоящим
за Proxy, можно обратиться с внешних защищенных компьютеров совершенно стандартным образом, используя уникальный виртуальный адрес.
Технология функционирования сервера ViPNet Proxy c туннелем
Сервер ViPNet Proxy на маршрутизаторе может одновременно выполнять функции туннеля для открытых компьютеров в локальной сети, т. е. обеспечивать защиту трафика этих компьютеров при их взаимодействии с от- крытыми компьютерами, стоящими за другими ViPNet Proxy с туннелем, и с защищенными компьютерами. В этом случае все пакеты внутренней сети, подлежащие защите, отправляются наружу от имени одного адреса — внешнего адреса ViPNet Proxy. Пакеты, не подлежащие защите, подвергаются стандартной фильтрации.
Локальные сети, соединенные через туннели, могут быть и не согласованы
по IP-адресам. В этом случае работа может производиться по виртуальным адресам, выделяемым серверами ViPNet Proxy с туннелем.
Драйвер абонентского пункта (АП) может работать через различные типы firewall-proxy, стоящие на входе локальной сети и поддерживающие трансляцию адресов UDP-пакетов. При соединении защищенной станции с другой защищенной станцией, стоящей за таким firewall-proxy, драйвер осуществляет инкапсуляцию любого типа пакета в UDP-пакет с адресом назначения, равным адресу firewall-proxy, и портом назначения, равным порту доступа к данной станции, настроенном на этом firewall-proxy.
При этом все станции, стоящие за firewall-proxy, получают уникальные виртуальные адреса, что позволяет обращаться к ним с защищенных станций снаружи из любых приложений совершенно стандартным образом, используя соответствующий виртуальный адрес. Для такой схемы на firewall-proxy, за которым стоят защищенные станции, для каждой станции должен быть настроен пропуск к ним UDP-пакетов по соответствующему порту. Кроме того, должна быть настроена возможность прохождения UDP-пакетов от внутренних защищенных станций на защищенные станции, находящиеся во внешней сети (по умолчанию порт 55777), и защищенные станции, находящиеся за другими firewall-proxy по соответствующим портам.
Защита информационного взаимодействия
Функции защиты информационного взаимодействия каждой рабочей станции выполняет программа ViPNet [Клиент], обеспечивая фильтрацию и прозрачное шифрование IP-трафика, а также защищенный обмен файлами и электронными сообщениями, включая функции цифровой подписи.
Система защиты сетевого трафика ViPNet [Клиент] позволяет решать разнообразные задачи защиты информационного взаимодействия.
• Обеспечивается возможность установления защищенных соединений между компьютерами, оснащенными ViPNet [Клиентом], по обычным телефонным каналам, в локальной сети или через сеть Internet. При этом не только устанавливается защищенное соединение, но и осуществляется фильтрация внешнего трафика для предотвращения доступа к ресурсам компьютера.
• При установке ViPNet [Клиента] на корпоративный WEB-сервер и компьютеры, которые должны с ним общаться, получается полностью защищенная от постороннего доступа и воздействий информационная система для корпоративных пользователей в открытой среде.
• При установке ViPNet [Клиента] на рабочие станции и серверы локальной сети обеспечивается надежная защита информации от ее перехвата, модификации или навязывания ложной информации при несанкционированных действиях как изнутри сети, так и извне, если локальная сеть имеет выход в открытую глобальную сеть, например Internet.
• При работе в режиме терминала или по технологии "клиент-сервер" с ViPNet [Клиентом], установленным на серверах баз данных и рабочих станциях, обеспечивается как защита информации при обращении к серверу баз данных, так и разграничение доступа к информационным ресурсам сервера баз данных.
•Обеспечивается защита с помощью функций шифрования и цифровой подписи электронной почты, с помощью которой пользователи отправляют друг другу и получают сообщения, документы, файлы.
Программа ViPNet [Клиент] состоит из следующих основных модулей:
•низкоуровневого драйвера сетевой защиты — VIPNet-драйвера, взаимо- действующего непосредственно с драйвером сетевого интерфейса компьютера и контролирующего весь трафик обмена компьютера с внешней сетью;
•программы ViPNet [Монитор], осуществляющей загрузку необходимых драйверу параметров и фиксирующей все необходимые события. Можно выгрузить эту программу, но драйвер по-прежнему будет обеспечивать безопасность компьютера, не будет только вестись журнал трафика;
•транспортного модуля, реализующего обмен управляющей, адресной, ключевой информацией с ЦУС, ключевым центром и между собой;
•программы "Деловая почта" для формирования защищенной электронной почты с возможностью использования цифровой подписи и шифрования.
Программа ViPNet [Клиент] имеет несколько режимов работы:
•Самый жесткий и безопасный режим — "Блокировать открытый IP- трафик". В этом режиме можно работать только с компьютерами, также оснащенными ViPNet [Клиентом] и которые видны в окне Защищенная сеть, и невозможно взаимодействовать с открытыми серверами или простыми компьютерами, поскольку система в этом случае пропускает только защищенные IP-пакеты, блокируя любые другие.
• В режиме "Разрешить зарегистрированный открытый IP-трафик" система будет разрешать все защищенные соединения, а также те типы пакетов, которые указаны в окне Открытая сеть, блокируя любые другие. Любые другие открытые соединения как входящие, так и исходящие полностью блокируются.
• В режиме "Не блокировать открытый IP-трафик" вы сможете выйти на защищенные серверы или установить соединения с защищенными компьютерами, но ваш компьютер будет полностью открыт для незащищенных соединений.
• Режим "Бумеранг" (Разрешить инициативные открытые соединения) предназначен для обеспечения более безопасной работы в Internet с открытыми серверами и компьютерами. Драйвер в этом режиме настраивается на работу только с тем удаленным компьютером, не имеющим драйвера, только с той прикладной задачей и только по тому протоколу, с которыми считает возможным работать пользователь, то есть разрешает соединение, которое инициирует ваш компьютер. При этом блокируются любые входящие пакеты неизвестного типа. В этом режиме драйвер автоматически на некоторое время регистрирует и пропускает любой исходящий пакет. После регистрации такого пакета все входящие и исходящие пакеты зарегистрированного типа пропускаются для обработки. Все пакеты, зарегистрированные в меню Открытая сеть, пропускаются как обычно, не зависимо от того, кто инициирует соединение. При работе в этом режиме в локальной сети, если в ней есть открытые компьютеры, то вы сможете получить на них доступ, тогда как на ваш компьютер, вне зависимости от настроек Windows, доступ оттуда получить невозможно.
Есть два режима "Бумеранга", выбираемые пользователями:
• жесткий режим защиты, в котором регистрация производится по большему числу параметров пакета. В этом режиме вы сможете работать с выбранным вами Web-сервером, но доступ на ваш компьютер практически невозможен даже с компьютера, с которым вы соединились;
• мягкий режим — регистрация производится только по адресу и типу IP- протокола.
При взаимодействии в сети с другими компьютерами, оснащенными программой ViPNet [Клиент], обеспечивается установление защищенных соединений с шифрованием всего IP-трафика между защищенными компьютерами по стандарту ГОСТ 28147-89. Одновременно производится инкапсуляция всех типов IP-пакетов в единый тип, что полностью скрывает структуру информационного обмена. Преобразование трафик а осуществляется на ключах длиной 256 бит, которые для каждой пары абонентов зависят как от информации, формируемой Центром (симметричная схема распределения ключей), так и от информации, формируемой каждым компьютером (асимметричная схема распределения ключей).