Безопасность в Интернет

В сегодняшнем выпуске -- общая статья о том, что такое VPN, о преимуществах, недостатках и принципиальных отличиях данной категории средств защиты от других.

Другие материалы по Частным Виртуальным Сетям вы можете найти на сайтах журналов PCWeek и PCMagazine, а также на сайте компании Unitspace.

Технология Virtual Private Network

По мере развития телекоммуникационных средств связи и информационных технологий (в том числе средств защиты информации) виртуальные частные сети (Virtual Private Network -- VPN) приобретают все большую привлекательность в качестве инструмента для организации электронного бизнеса, документооборота, оперативного средства совершения финансовых операций и др.

Под термином VPN, как правило, понимается сеть, обеспечивающая достаточно экономичный, надежный и безопасный способ конфиденциальной связи между бизнес-партнерами, компаниями и их клиентами, отдельными подразделениями предприятия, удаленными сотрудниками и центральным офисом, и все это -- на базе сетей общего пользования.

В общем случае VPN -- это объединение локальных сетей или отдельных машин, подключенных к сети общего пользования, в единую виртуальную (наложенную) сеть, обеспечивающую секретность и целостность передаваемой по ней информации (прозрачно для пользователей).

Использование технологии VPN необходимо там, где требуется защита корпоративной сети от воздействия вирусов, злоумышленников, просто любопытных, а также от других угроз, являющихся результатом ошибок в конфигурировании или администрировании сети.

Еще совсем недавно считалось, что достаточно высокий уровень информационной безопасности могут обеспечить только корпоративные сети, надежно изолированные от сетей общего пользования за счет прокладки частных выделенных каналов связи и использования собственного коммуникационного оборудования. Однако такой подход к построению защищенных сетей крайне неэкономичен, сами сети плохо масштабируемы, а их кажущаяся изолированность все равно не обеспечивает 100% безопасности информационным потокам. Кроме того, из-за достаточно высоких инсталляционных и эксплуатационных расходов построение разветвленных корпоративных сетей с широким географическим охватом под силу только очень крупным корпорациям и организациям.

Виртуальные частные сети VPN, создаваемые на базе арендуемых и коммутируемых каналов связи сетей общего пользования (и, в первую очередь, Интернет), являются отличной альтернативой изолированным корпоративным сетям, причем, альтернативой, обладающей рядом несомненных преимуществ:

• низкая стоимость арендуемых каналов и коммуникационного оборудования
• развитая топология сети (широкий географический охват)
• высокая надежность
• легкость масштабирования (подключения новых сетей или пользователей)
• легкость изменения конфигурации
• контроль за событиями и действиями пользователей.

Следует, однако, иметь ввиду, что организация сетей VPN, решая одну проблему -- существенное сокращение расходов на поддержание собственных коммуникационных магистралей, тут же на первое место выдвигает другую -- обеспечение безопасности, которая при использовании VPN приобретает первостепенное значение.

Какими свойствами должна обладать VPN? Можно выделить три фундаментальных свойства, превращающих наложенную корпоративную сеть, построенную на базе сети общего пользования, в виртуальную частную сеть:

• шифрование
• аутентификация
• контроль доступа.

Только реализация всех этих трех свойств позволяет защитить пользовательские машины, серверы предприятия и данные, передаваемые по физически незащищенным каналам связи, от внешних нежелательных вторжений, утечки информации и несанкционированных действий.

Международные официальные и общественные организации, отдельные компании-производители программного обеспечения и оборудования предпринимают усилия по разработке открытых (свободных для распространения и реализации) протоколов и стандартов в области защиты информации. К ним, в частности, можно отнести протоколы PPTP, L2TP, IPSec, SKIP, SSL/TLS, SOCKS, SHTTP, S/MIME, PGP.

Перечисленные протоколы предусматривают организацию защиты данных на различных уровнях Модели Взаимосвязи Открытых Систем (ВОС):

В настоящее время на базе этих протоколов сформировался целый ряд подходов к организации защиты информации, что породило появление нескольких классов продуктов:

• фильтры пакетов, базирующиеся на протоколах сетевого и канального уровней
• proxy-серверы на основе протокола SOCKS
• продукты, использующие протоколы прикладного уровня.

По крайней мере два первых класса можно смело отнести к продуктам, предназначенным для организации VPN.

Целью настоящей статьи не является детальный анализ различных подходов к организации VPN, однако, необходимо отметить некоторые общие для них закономерности:

• чем ниже уровень ВОС, на котором организуется защита, тем она прозрачнее для приложений и незаметнее для пользователей; однако, тем меньше набор реализуемых услуг безопасности, и тем сложнее организация управления
• чем выше уровень ВОС, на котором реализуется защита, тем шире набор услуг безопасности, надежнее контроль доступа и проще конфигурирование правил доступа; однако, тем "заметнее" становится защита для приложений и пользователей.

При любом подходе протоколы, используемые для организации VPN, прозрачны для протоколов защиты более высоких уровней (в частности прикладного), и применение приложений, реализующих, например, SHTTP или S/MIME, наряду с защитой на более низком уровне, нисколько не уменьшает, а только увеличивает уровень безопасности.

Протокол SOCKS, автором которого является David Coblas, известен с 1990 года. С тех пор широкое распространение получили две версии этого протокола: 4 и 5. SOCKS v5 в настоящее время одобрен IETF и включен в RFC 1928.

Протокол SOCKS описывает процедуру взаимодействия TCP/IP клиент-серверных приложений через сервер-посредник, или proxy-сервер. Общая схема взаимодействия по протоколу SOCKS v4 сводится к следующему:

• пользователь, желающий установить соединение с каким-либо сервером в сети, соединяется вместо этого с proxy-сервером (в нашем случае, с SOCKS-сервером) и сообщает ему адрес удаленного сервера
• SOCKS-сервер соединяется с удаленным сервером-адресатом
• пользователь и удаленный сервер взаимодействуют друг с другом по цепочке соединений, SOCKS-сервер просто ретранслирует данные.

SOCKS v5 является значительным развитием четвертой версии, реализуя следующие дополнительные возможности:

• аутентификация (предусмотрено использование различных методов)
• возможность работы с доменными именами (версия SOCKS v4 могла работать только с сетевыми адресами)
• поддержка протокола UDP.

Общая схема установления соединения по протоколу SOCKS v5 выглядит следующим образом:

• соединившись с SOCKS-сервером, пользователь сообщает ему идентификаторы всех методов аутентификации, которые он поддерживает
• SOCKS-сервер решает, каким методом аутентификации воспользоваться (если сервер не поддерживает ни один из методов аутентификации, предложенных пользователем, соединение разрывается)
• SOCKS-сервер аутентифицирует пользователя; при этом, как уже было сказано, могут использоваться различные методы: без аутентификации, парольная аутентификация (RFC 1929), аутентификация с использованием GSS-API (RFC 1961) и т.д. -- список может расширяться. Допускается также двухсторонняя аутентификация, т.е. пользователь может, в свою очередь, убедиться, что соединился с нужным SOCKS-сервером
• пользователь сообщает SOCKS-серверу доменное имя или адрес какого-либо сервера (хоста) в сети, с которым он желает соединиться
• на основании результатов аутентификации SOCKS-сервер принимает решение об установлении соединения с этим хостом
• далее пользователь и хост взаимодействуют друг с другом по цепочке соединений, SOCKS-сервер ретранслирует данные; при этом, если в ходе аутентификации пользователь и SOCKS-сервер обменялись сеансовым ключом, то весь трафик между ними может быть зашифрован.

Хотел бы еще раз призвать всех тех, кому есть что сказать, присылать свои авторские материалы. Наиболее интересные будут опубликованы.

Еще раз спасибо, искренне ваш, А.Бочаров