Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Здравствуйте, уважаемые подписчики!
Перед Вами очередной выпуск рассылки. Кардинальные изменения во внешнем виде вызваны предстоящей сменой корпоративного стиля компании "Инфотекс". В ближайшее время можно будет познакомиться с обновленной версией нашего веб-сайта.

Общеизвестно, что большим компаниям необходим максимально простой и гибкий способ установления соединений с удаленными пользователями. Довольно часто особенности ведения бизнеса вынуждают такие компании интегрировать сети подразделений или партнеров в одну глобальную экстрасеть, по крайней мере на определенные промежутки времени. При этом пользователи такой гигантской распределенной сетевой инфраструктуры не перестают выдвигать строгие, но абсолютно справедливые требования к доступности общих сетевых ресурсов, не забывая лишний раз напомнить и о собственной безопасности. В результате перед системными администраторами возникает целый ряд проблем, решение которых требует немалых усилий. Однако есть средство, способное здорово упростить процесс интеграции, – это технология виртуальных частных сетей (Virtual Private Network – VPN).
Строго говоря, технология VPN является новым витком уже известной концепции передачи зашифрованных данных. На протяжении десятилетий компании без особых проблем использовали безопасные соединения, предоставляемые сетями общего пользования с коммутацией пакетов (на базе протокола Х.25). Владельцами таких сетей являлись провайдеры и телекоммуникационные компании, а устройства доступа свободно приобретались пользователем в случае необходимости. В результате любой желающий мог использовать сеть так, будто она является его частной собственностью, и никак не ощущать присутствия в ней других пользователей. Протокол Х.25 предоставлял достаточно функциональных возможностей для развертывания и поддержания рабочего состояния такой сети. Но со временем была предложена новая технология, и многие утверждают, что она более эффективна.
Ключевое отличие концепции VPN состоит в том, что используются гораздо более совершенные устройства передачи и шифрования данных, а также иные, более распространенные, сетевые протоколы. Использование VPN позволяет уменьшить расходы на организацию удаленного доступа и одноранговых соединений между отдельными офисами до 50%. На самом ли деле VPN так эффективны? Чтобы компетентно ответить на этот вопрос, предлагаем вам анализ устройства виртуальных частных сетей и некоторых особенностей их работы.

Что такое виртуальная частная сеть?
По своей сути VPN обладает многими свойствами выделенной линии, однако развертывается она в пределах общедоступной сети, например Интернета. С помощью методики туннелирования пакеты данных транслируются через общедоступную сеть как по обычному двухточечному соединению. Между каждой парой «отправитель–получатель данных» устанавливается своеобразный туннель – безопасное логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого. Очень важным свойством туннелей является возможность дифференциации различных типов трафика и назначения им необходимых приоритетов обслуживания.
Основными компонентами туннеля являются:
- инициатор;
- маршрутизируемая сеть;
- туннельный коммутатор;
- один или несколько туннельных терминаторов.
Инициировать и разрывать туннель могут самые различные сетевые устройства и программное обеспечение. Например, туннель может быть инициирован ноутбуком мобильного пользователя, оборудованным модемом и соответствующим программным обеспечением для установления соединений удаленного доступа. В качестве инициатора может выступить также маршрутизатор экстрасети (локальной сети), наделенный соответствующими функциональными возможностями. Туннель обычно завершается коммутатором экстрасети или шлюзом провайдера услуг.
Сам по себе принцип работы VPN не противоречит основным сетевым технологиям и протоколам. Например, при установлении соединения удаленного доступа клиент посылает серверу поток пакетов стандартного протокола PPP. В случае организации виртуальных выделенных линий между локальными сетями их маршрутизаторы также обмениваются пакетами PPP. Тем не менее, принципиально новым моментом является пересылка пакетов через безопасный туннель, организованный в пределах общедоступной сети.
Туннелирование позволяет организовать передачу пакетов одного протокола в логической среде, использующей другой протокол. В результате появляется возможность решить проблемы взаимодействия нескольких разнотипных сетей, начиная с необходимости обеспечения целостности и конфиденциальности передаваемых данных и заканчивая преодолением несоответствий внешних протоколов или схем адресации.
Существующая сетевая инфраструктура корпорации может быть подготовлена к использованию VPN как с помощью программного, так и с помощью аппаратного обеспечения. Организацию виртуальной частной сети можно сравнить с прокладкой кабеля через глобальную сеть. Как правило, непосредственное соединение между удаленным пользователем и оконечным устройством туннеля устанавливается по протоколу PPP.
Наиболее распространенный метод создания туннелей VPN – инкапсуляция сетевых протоколов (IP, IPX, 
AppleTalk и т. д.) в PPP и последующая инкапсуляция образованных пакетов в протокол туннелирования. Обычно в качестве последнего выступает IP или (гораздо реже) ATM и Frame Relay. Такой подход называется туннелированием второго уровня, поскольку «пассажиром» здесь является протокол именно второго уровня.
Альтернативный подход – инкапсуляция пакетов сетевого протокола непосредственно в протокол туннелирования (например VTP) – называется туннелированием третьего уровня.
Независимо от того, какие протоколы используются или какие цели преследуются при организации туннеля, основная методика остается практически неизменной. Обычно один протокол используется для установления соединения с удаленным узлом, а другой – для инкапсуляции данных и служебной информации с целью передачи через туннель.
В качестве примера использования туннеля для устранения несоответствий между протоколами и схемами адресации можно привести технологию Simple Internet Transition (SIT), которая должна появиться вместе с протоколом IPv6. Это тщательно разработанная группой инженеров (IETF) методология туннелирования, призванная облегчить переход от четвертой версии межсетевого протокола (IPv4) к шестой (IPv6). Эти версии достаточно отличаются, чтобы говорить о  непосредственной совместимости сетей. Инкапсуляция же пакетов протокола IPv6 в пакеты IPv4 позволяет достичь необходимого уровня функциональной совместимости.

Протоколы виртуальных частных сетей
В настоящее время наиболее распространенным протоколом VPN является протокол двухточечной туннельной связи (Point-to-Point Tunnelling Protocol – PPTP). Разработан он компаниями 3Com и Microsoft с целью предоставления безопасного удаленного доступа к корпоративным сетям через Интернет. PPTP использует существующие открытые стандарты TCP/IP и во многом полагается на устаревший протокол двухточечной связи РРР. На практике РРР так и остается коммуникационным протоколом сеанса соединения РРТР.
РРТР создает туннель через сеть к NT-серверу получателя и передает по нему РРР-пакеты удаленного пользователя. Сервер и рабочая станция используют виртуальную частную сеть и не обращают внимания на то, насколько безопасной или доступной является глобальная сеть между ними. Завершение сеанса соединения по инициативе сервера (в отличие от специализированных серверов удаленного доступа) позволяет администраторам локальной сети не пропускать удаленных пользователей за пределы системы безопасности Windows NT Server. В результате пользователь использует виртуальную частную сеть, не нанося при этом ущерба функциональным возможностям общедоступной сети. Все службы домена NT, включая DHCP, WINS и доступ к Network Neighborhood, безо всяких оговорок предоставляются удаленному пользователю.
Хотя компетенция протокола РРТР распространяется только на устройства, работающие под управлением Windows, он предоставляет компаниям возможность взаимодействовать с существующими сетевыми инфраструктурами и не наносить вред собственной системе безопасности. Таким образом, удаленный пользователь может подключиться к Интернету с помощью местного провайдера по аналоговой телефонной линии или каналу ISDN и установить соединение с сервером NT. При этом компании не приходится тратить большие суммы на организацию и обслуживание пула модемов, предоставляющего услуги удаленного доступа.
В ближайшем будущем ожидается рост количества виртуальных частных сетей, развернутых на базе нового протокола туннелирования второго уровня (Layer 2 Tunneling Protocol – L2TP). Этот протокол позволяет объединить функционирующие на втором уровне PPTP и L2F (Layer 2 Forwarding – протокол пересылки второго уровня) и расширить их возможности. Одной из них является многоточечное туннелирование, позволяющее пользователям инициировать создание нескольких сетей VPN, например, для одновременного доступа к Интернету и корпоративной сети.
Протоколы L2TP и PPTP отличаются от протоколов туннелирования третьего уровня рядом особенностей:
1. Предоставление корпорациям возможности самостоятельно выбирать способ аутентификации пользователей и проверки их полномочий – на собственной «территории» или у провайдера Интернет-услуг. Обрабатывая туннелированные пакеты PPP, серверы корпоративной сети получают всю информацию, необходимую для идентификации пользователей.
2. Поддержка коммутации туннелей – завершения одного туннеля и инициирования другого к одному из множества потенциальных терминаторов. Коммутация туннелей позволяет как бы продлить PPP-соединение до необходимой конечной точки.
3. Предоставление системным администраторам корпоративной сети возможности реализации стратегий назначения пользователям прав доступа непосредственно на брандмауэре и внутренних серверах. Поскольку терминаторы туннеля получают пакеты PPP со сведениями о пользователях, они в состоянии применять сформулированные администраторами стратегии безопасности к трафику отдельных пользователей. (Туннелирование третьего уровня не позволяет различать поступающие от провайдера пакеты, поэтому фильтры стратегии безопасности приходится применять на конечных рабочих станциях и сетевых устройствах.) Кроме того, в случае использования туннельного коммутатора появляется возможность организовать «продолжение» туннеля второго уровня для непосредственной трансляции трафика отдельных пользователей к соответствующим внутренним серверам. На такие серверы может быть возложена задача дополнительной фильтрации пакетов.

Сергей Мурашкин

(продолжение в следующем выпуске...)

Для успешной борьбы с хакерами Интерполу требуется ликбез 

Глава Интерпола Рэймонд Кендалл заявил в среду на Лондонской конференции, посвященной борьбе полиции с 
преступлениями, совершенными с использованием высоких технологий, что резкий рост таких преступлений застал врасплох 
силы полиции и спецальные организации по борьбе с преступностью. 

Кендалл заявил, что Интерпол предпринимает недостаточно усилий для борьбы с хакерами, и что за последние 10 лет эта 
проблема вышла из-под контроля властей. По словам начальника этой организации, Интерпол создал специальную группу для 
расследования преступлений, совершаемых в компьютерных сетях, но за 10 лет работы это подразделение не оправдало 
возложенных на него надежд и даже не смогло подготовиться к нынешнему взрыву компьютерной преступности. 

Кендалл также сообщил, что силы полиции, в том числе и Интерпол, сильно отстают от подразделений компьютерной 
безопасности частных компаний, - во всем, что касается теории и практики работы хакеров. 

Но квалифицированный персонал, по словам главы Интерпола, обходится весьма дорого. "Это не та область, - заявил Кендалл, - 
где можно взять констебля с улицы и научить его разбираться в высоких технологиях". 

По мнению Кендалла, частный сектор и силы полиции должны работать вместе, если хотят решить эту проблему. Многие 
частные фирмы уже сотрудничают с Интерполом и местными органами полиции в оболасти компьютерной безопасности. 
Специалисты называют такое сотрудничество одной из причин, по которой в результате взлома крупнейшего интернет-банка 
Великобритании Egg PLC не пострадали счета клиентов. Но, хотя никаких денежных средств из банка не пропало, руководство 
банка и официальные лица, расследующие дело, считают, что безопасность интернет-банков должна неуклонно увеличиваться. 

Сейчас Egg PLC - в тесном сотрудничестве с Британским национальным криминальным отделом - разрабатывает и внедряет 
защитное программное обеспечение для банков. После ареста троих злоумышленников, обвиняемых в попытке взлома Egg PLC, 
банк обнародовал меры, принятые им для повышения надежности компьютерных систем, сообщила во вторник новостная 
служба Thomson Financial Media. 

Эксперты считают, что за этим взломом могут последовать и другие – и, если не принять надлежащих мер, в следующий раз все 
может кончиться совсем не так благополучно. 
(источник - http://www.netoscope.ru, опубликовано 18.10.2000)

Melissa возвращается 

Как сообщил в среду новостной сайт ZDNet News, появившиеся в последний месяц варианты вируса Melissa - Melissa U и 
Melissa V, - а также вирус VBS.Freelink, по принципу действия схожий с вирусом Melissa, за неделю поразили около 10 
компаний в США. 

Компания Design Continuum, например, затратила около 40 человекочасов на то, чтобы устранить последствия проникновения 
вируса в систему. Примерно две недели назад глава отдела бизнес-развития компании Тим Кронин получил по электронной 
почте от клиента письмо с надписью "Проверь меня". Кронин машинально открыл файл, приложенный к письму, и заразил 
свой компьютер, - а затем и всю систему компании - вирусом VBS.Freelink. 

По словам Кронина, через 45 минут в его почтовом ящике лежало около 60 писем "с вопросами, какого черта он это сделал", а 
системный администратор компании высказал свое отношение к происшедшему в телефонном разговоре. Содержание 
разговора Кронин передал вкратце, но можно представить, что именно может сказать системный администратор пользователю, 
заразившему все компьютеры фирмы. 

Принцип действия VBS.Freelink заключается не в том, что не уничтожает данные, его опасность кроется в огромной скорости 
распространения. За то время, пока в компании поняли, что происходит, зараженный аттач пришел всем пользователям, 
которые были вписаны в адресную книгу Кронина. Многие из них открыли аттачмент, позволив вирусу распространяться 
дальше. В результате почтовый сервер компании переполнился и больше не принимал никакую почту. 

Одна из основных опасностей вирусов типа Melissa заключается в том, что письма с зараженным вложением приходят из 
надежных источников. Эпидемия в Design Continuum отчасти была спровоцирована еще тем, что некоторые получатели письма 
от Кронина, на чьих компьютерах антивирусное программное обеспечение удалило зараженную почту, послали Кронину 
просьбу переслать документ еще раз. 

После прошлогодней эпидемии вируса Melissa многие компании и частные пользователи уже усвоили основной урок, 
преподанный этим вирусом: аттач, пришедший даже с самого надежного адреса, необходимо проверить антивирусом. Поэтому 
в этот раз разные варианты вируса поразили только 10 компаний в Штатах, тогда как в прошлом году число пострадавших 
измерялось тысячами. 

Тем не менее, антивирусные компании считают нынешний период затишьем перед бурей. Новые версии антивирусов не всегда 
поспевают за модификациями вредоносных программ, среди которых могут оказаться весьма опасные экземпляры. 

Но производители антивирусов обеспокоены не столько этим, сколько возможностью создания "настоящего" почтового вируса 
– то есть такого, который сможет заражать компьютер одним фактом появления письма в почтовом ящике. 
(источник - http://www.netoscope.ru, опубликовано 18.10.2000)

В результате сбоя в системе безопасности пароли EarthLink оказались открытыми для всеобщего пользования

В результате сбоя в системе безопасности 81 тыс. доменов интернет-провайдера EarthLink Inc., по крайней мере, в течение 
недели были открыты для общего пользования: любой пользователь сети мог испортить сайты или воспользоваться 
содержащейся на нем информацией в личных целях, сообщает ZDNet. 

Причиной уязвимости явились недавно обнаруженный пробел в модуле электронной коммерции и ошибка в конфигурации 
хостингового сервера, управляемого дочерней компанией EarthLink - MindSpring. В результате файлы, содержащие 
зашифрованные пароли, были доступны всем пользователям интернета. 

"Дыру" в системе безопасности серверов MindSpring обнаружил студент, назвавший себя The-Rev. Просматривая информацию о 
собаках на сайте Adognet, он неожиданно обнаружил, что ему доступны пароли администрирования. Студент тут же попытался 
сообщить о своем открытии системному администратору по электронной почте. Не получив ответа, он связался с ZDNet. 

Adognet и EarthLink получили информацию о неисправности системы только17 октября. Сразу же с сайта было удалено 
программное обеспечение, с помощью которого покупатели выбирают товары, а инженеры EarthLink начали искать пути 
решения проблемы. 

До сих пор истинная причина сбоя не установлена, но EarthLink использует все возможности, чтобы разрешить проблему. 
Эксперт по системам безопасности Реин Форест Паппи (Rain Forest Puppy) сообщил, что устранение пробоины в системе 
безопасности в настоящее время полностью зависит от конфигурации серверов компаний MindSpring и EarthLink. 

Как ни странно, за прошедшую неделю ни на один из сайтов, хостящихся на EarthLink, не было совершено ни одной хакерской 
атаки, им не было нанесено никакого ущерба и находящаяся на них информация не была использована не по назначению.
(источник - http://www.cnews.ru, опубликовано 18.10.2000)

RLE отомстила за кражу дизайна DoS-атакой?

В понедельник на сайте Независимый обзор провайдеров России" появилось сообщение о DoS-атаках на два украинских сайта - 
www.sle.com.ua и www.search.kiev.ua. В причастности к взлому подозревается баннерная сеть RLE. 

Оба украинских сайта принадлежат компании IREX Pro Media, которая обратилась с жалобой на двухдневные атаки со стороны 
баннерной сети RLE в российский RIPT. RIPT (Russian Incident Responce Team) – это команда экспертов по безопасности, 
состоящая из специалистов российских ISP. 

Редакция сайта "Независимый обзор провайдеров России" сообщает: "По поступившей в редакцию PPR информации, атака 
производилась с санкции руководства RLE и должна была выступать в качестве аргумента в конфликте по вопросу, 
относящемуся к авторскому праву". По косвенным данным, сайт украинской баннерной сети www.sle.com.ua позаимствовал у 
RLE дизайн. 

Проверить это представляется сейчас невозможным, так как украинский "двойник" RLE не открывается. В настоящий момент 
по факту атак RIPT проводит техническое расследование. Редактор "Независимого обзора провайдеров" Александр Милицкий 
призывает провайдеров, участвующих в ОФИСП (Open forum of Internet service providers), в случае подтверждения факта 
причастности RLE к атакам, к байкоту этой баннерной системы. По его утверждению, это может лишить RLE 30-60 процентов 
аудитории. 

Подробности атаки описаны в одном из писем в форуме на сайте ОФИСП. Потерпевшая сторона сообщает, что в ходе атаки 
возникли серьезные проблемы и у других клиентов провайдера Global Ukraine, связанные с перегрузками на каналообразующем 
оборудовании. 
(источник - http://www.netoscope.ru, опубликовано 17.10.2000)

Вопросы защиты информации в Сети будут рассмотрены на совещании "Информационная безопасность в Интернет" 

Правовые вопросы защиты информации, а также подходы к обеспечению информационной безопасности в Сети будут 
обсуждены 9 ноября на совещании "Информационная безопасность в сети Интернет". Об этом сообщается в пресс-релизе АДЭ. 

Также, на совещании будут рассмотрены вопросы взаимодействия операторов связи и правоохранительных органов по вопросам 
противодействия правонарушениям и преступлениям с сетях передачи данных. 
(источник - http://www.telenews.ru/, опубликовано 16.10.2000)

Компания "Инфотекс" начинает подготовку к беспрецедентной акции "Работая удаленно - будь рядом".

В рамках акции, проводящейся с 16 октября по 31 декабря 2000 года, любой желающий сможет получить удаленный доступ в корпоративную сеть компании "Инфотекс" и, используя все функции, доступные сотрудникам компании, оценить возможности ПО ViPNet.

Каждый, участник акции сможет воспользоваться следующими функциями ПО ViPNet:

 - Защищенная деловая почта -  позволяет клиентам сети осуществлять обмен электронной почтой в защищенном виде

 - Защищенный доступ к базам данных - позволяет поставщикам и пользователям ценной деловой информации защитить ее от несанкционированного доступа

 - Защищенный файловый обмен - позволяет клиентам сети обмениваться файлами в режиме on-line в защищенном виде

 - Защищенная конференция – позволяет организовать диалог двух или более клиентов сети в реальном времени в защищенном режиме

 - Мониторинг и идентификация – позволяет блокировать попытки постороннего доступа к защищенным ресурсам и идентифицировать несанкционированные обращения по IP адресам и доменным именам.

Если Вы желаете принять участие в нашей акции, Вам необходимо:

Подробности на сайте компании "Инфотекс" - http://www.infotecs.ru

Полнофункциональные демо-версии продуктов ViPNet Desk, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием 
рассмотрим их.