Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Здравствуйте, уважаемые подписчики!
 
В сегодняшнем выпуске рассылки публикуем заключительную часть статьи Рэнди Жанга: "Сетевые услуги нового поколения", в которой подробно рассматриваются два примера реализации услуг на базе MPLS: VPN и регулирование трафика (Traffic Engineering, TE) и перспективы развития MPLS и некоторых других технологий сетевой отрасли...

Как обычно в рассылке, свежие новости из области защиты информации и IT-технологий, информационные сообщения по новым атакам и способам взлома, статистика по инцидентам, а также новости компании Инфотекс.

Новости компании Инфотекс

• Компании Инфотекс и IBS заключили соглашение о сотрудничестве в области технологий информационной безопасности.
• Компания Инфотекс приглашает на работу менеджера по продукту (Product manager)

VPN
MPLS позволяет реализовать услуги виртуальных частных сетей нового поколения. Информация о маршрутизации в VPN носит по определению конфиденциальный характер в пределах общедоступной инфраструктуры (например, Internet). Построенные поверх виртуальных соединений глобальные сети по своей природе конфиденциальны. В сетях VPN шифрование применяется также для того, чтобы скрыть адреса и контент. Технология многопротокольной коммутации меток для VPN предоставляет ту же степень защиты, что и соединения второго уровня, но без сложностей, присущих шифрованию. Поскольку при пересылке данных по сети MPLS IP-адреса не используются, внутренние адреса можно сделать конфиденциальными.

В сети VPN, основанной на технологии MPLS, маршрутизаторы LSR обычно называются поставщиками (Provider, P), а маршрутизаторы LER — пограничными поставщиками (Provider Edge, PE). Распознать поступающий трафик VPN сумеют лишь PE-маршрутизаторы, а P-маршрутизаторы — это обычные LSR. В отличие от сетей второго канального уровня, PE-маршрутизаторам не требуется полносвязная сеть соединений, сколько бы VPN к ним не было присоединено. Маршрутизаторам абонентов (в том числе пограничным) не надо выполнять ничего другого, кроме обычной маршрутизации IP. Множество PE с различными сетями VPN многих абонентов способны совместно использовать магистральную сеть MPLS. Для усиления защиты данных трафик может шифроваться и пересылаться через туннели, хотя это необязательно. Чтобы различать трафик VPN, PE-маршрутизаторы снабжают пакеты дополнительными метками. Однако P-маршрутизатор только считывает и заменяет верхнюю метку стека. PE-маршрутизатор на другом конце сети распознает соответствующий трафик VPN, изымает метку VPN из стека и доставляет пакет в надлежащую сеть VPN. Чтобы гарантировать уникальность маршрутов VPN через магистральную сеть MPLS, каждому из них приписывается отличительный признак маршрута (Route Distinguisher, RD). Для повышения масштабируемости PE обмениваются между собой маршрутами VPN с помощью протокола пограничной маршрутизации (Border Gateway Protocol, BGP) с мультипротокольными расширениями, что позволяет собирать информацию о маршрутах VPN, проходящих через магистральную сеть.

MPLS предоставляет новый вид услуг VPN. В современных IP VPN организуются защищенные прямые туннели. В результате по мере увеличения числа узлов VPN возникает проблема масштабирования. Вдобавок корпоративным пользователям приходится управлять функционированием этих VPN. В сетях MPLS VPN обслуживание VPN осуществляет провайдер услуг, и корпоративным пользователям не надо думать об управлении VPN. А благодаря тому, что VPN строятся на базе архитектуры MPLS, добавление новых узлов VPN не привносит сложностей с масштабированием.

Рисунок 5. Виртуальная частная сеть на базе VPN.
Принцип работы MPLS VPN лучше всего объяснить на простом примере. Допустим, у небольшого предприятия есть два узла, которые надо связать одной виртуальной частной сетью VPN1. Будем считать, что сеть имеет топологию, как показано на Рисунке 5: узел 1 — слева, узел 2 — справа. В обоих узлах подсети используют частный адрес 172.16.0.0 и протокол маршрутизации OSPF. Пограничные абонентские маршрутизаторы (Customer Edge, CE), напрямую связанные с PE-маршрутизаторами, являются маршрутизаторами OSPF базовой сети. Ни одному из абонентских устройств, включая оба маршрутизатора CE, не требуется поддерживать MPLS или VPN. Вся конфигурация VPN выполняется провайдером на PE-маршрутизаторах. Обновленная информация о маршрутизации от удаленного маршрутизатора CE передается по магистральной сети MPLS VPN, и оба CE-маршрутизатора становятся пограничными маршрутизаторами OSPF. Маршруты от удаленного узла на локальном узле воспринимаются как внутренние маршруты OSPF.

Пакеты, сформированные на узле 1 для узла 2, сначала пересылаются от маршрутизатора CE на узле 1 к подключенному PE. PE-маршрутизатор определяет, пользуясь конфигурацией, что трафик от CE принадлежит сети VPN1, поэтому он ассоциирует все маршруты от данного CE с предварительно сконфигурированным RD для конкретной виртуальной частной сети. Как уже говорилось, метки MPLS и LSP создаются еще до того, как появляется пользовательский трафик.

Для сетей VPN существует два уровня меток: верхняя направляет трафик через магистральную сеть MPLS к PE-маршрутизатору на другой конец сети, а нижняя указывает PE, что делать с трафиком VPN. Поэтому взаимодействующий с первым узлом PE вставляет два уровня меток в пакеты и пересылает их следующему транзитному P-маршрутизатору, а тот в свою очередь анализирует верхнюю метку и пересылает пакет с меткой далее по пути к PE следующему транзитному узлу и т. д. При этом P-маршрутизатор ничего не знает о VPN и игнорирует нижнюю метку.

Как только пакеты с метками поступают на последний P-маршрутизатор, тот обнаруживает, что установлено прямое соединение с целевым PE-маршрутизатором, после чего изымает верхнюю метку из стека и пересылает пакет с нетронутой нижней меткой на PE. PE анализирует оставшуюся метку VPN, определяет по конфигурации, что она относится к VPN1, затем удаляет ее и отсылает пакет на CE. Трафик VPN между двумя маршрутизаторами PE вообще не виден устройствам, не входящим в VPN. Этот уровень безопасности эквивалентен тому, который предоставляется виртуальными соединениями второго уровня.

Регулирование трафика
Современные протоколы IGP, например OSPF, вычисляют пути через сеть, применяя алгоритм наподобие поиска кратчайшего пути (Shortest Path First, SPF). При этом они руководствуются критерием наименьшей стоимости и часто практически не принимают во внимание такие факторы, как загрузка канала или перегрузка сети. Чтобы направить трафик по заданному пути, на каждом его этапе нередко требуется производить конфигурацию вручную. В случае применения регулирования трафика MPLS потокам трафика можно ставить в соответствие пути, отклоняющиеся от путей IGP, используя сигнальный протокол, например протокол резервирования ресурсов (Resource ReserVation Protocol, RSVP). Такой способ позволяет более равномерно распределить нагрузку по сети и рациональнее использовать ресурсы.

Чтобы регулировать трафик средствами MPLS, необходимо следующее. Во-первых, важно, чтобы выбранный протокол IGP умел анализировать информацию о ресурсах канала и распространять ее. Протоколы маршрутизации, учитывающие состояние канала, например OSPF и "транзитная система — транзитная система" (Intermediate System to Intermediate System, IS-IS), предназначены как раз для того, чтобы переносить и обновлять информацию о загруженности канала. Во-вторых, сигнальный протокол должен обеспечивать резервирование необходимых ресурсов и прокладывать LSP через сеть. Одним из таких сигнальных протоколов является расширение RSVP для MPLS. В-третьих, нужна возможность задать путь в явном виде или использовать маршрутизацию с учетом ограничений. Явно заданный путь — это заранее заданный LSP, проходящий через последовательность маршрутизаторов LSR. LSP, используемые для регулирования трафика, часто называют туннелями с регулируемым трафиком (traffic engineered tunnel) или трактами трафика (traffic trunks). Для маршрутизации с учетом ограничений характерно принятие решений с учетом доступных ресурсов. Ограничения могут включать в себя требования к пропускной способности и к качеству предоставляемых услуг (QoS).

Как правило, построение туннеля MPLS с регулируемым трафиком осуществляется в несколько этапов. Протокол IGP, расширенный для поддержки регулирования трафика (IGP-TE), записывает информацию о состоянии каналов, в результате создается база данных состояния канала для регулирования трафика (TE-LSDB). LSR на входе в туннель (головной узел туннеля) осуществляет запрос к базе данных с указанием ограничения и генерирует список кратчайших путей, соответствующих этим условиям. Ограничения могут быть заданы административно либо динамически. Сигнальный протокол, наподобие RSVP, начинает заменять метки, в результате создаются пути LSP от маршрутизаторов LSR на входе до LSR на выходе. Затем LSR на входе указывает назначения для различных LSP, руководствуясь предписанными правилами. Теперь пути LSP сформированы, и по ним может идти трафик. Эти туннели продолжают функционировать до тех пор, пока администраторы не модифицируют их или пока не изменятся ресурсы канала. В случае сбоя в канале туннели могут быть проложены динамически.

Заглядывая в будущее
Технология MPLS — это будущее услуг Internet. Она позволяет провайдерам предоставлять больший ассортимент услуг на управляемом уровне, а пользователи получают более качественные услуги по низким ценам. В дополнение к двум услугам MPLS, описанным в данной статье, в настоящее время разрабатываются и другие. Некоторые из них могут заменить имеющиеся сейчас услуги глобальных сетей: выделенная линия поверх MPLS, ATM поверх MPLS и frame relay поверх MPLS.

Хотя некоторые вопросы находятся на стадии обсуждения, протоколы MPLS близки к ратификации IETF. MPLS предполагается также использовать непосредственно в оптических сетях (с соответствующим названием MPLambdaS). Можно предположить, что по мере того, как Internet в своей основе все больше переходит на волоконно-оптические линии передачи данных, наиболее эффективным будет применение технологии MPLS непосредственно поверх оптических кроссов.

Ресурсы Internet
Результаты деятельности рабочей группы IETF по MPLS публикуются по адресу: http://cell.onecall.net/cell-relay/archives/mpls/mpls.index.html.

Независимо от IETF несколько поставщиков организовали "Форум MPLS" по адресу: http://www.mplsforum.org.

Рэнди Жанг - специалист по программному обеспечению компании Cisco Systems, имеющий степень CCIE. С ним можно связаться по адресу:randy.zhang@cisco.com.(опубликовано в журнале сетевых решений "LAN" #12/2001).

Британская компания NGSSoftware опубликовала данные об обнаруженных ее сотрудниками дырах в СУБД Oracle, которые называются в рекламе не иначе как "неуязвимые" (unbreakable). Тем не менее, специалистам NGSSoftware удалось обнаружить, по меньшей мере, три уязвимости, используя которые, хакер может нанести серьезный ущерб компании, использующей базы данных Oracle.

Наиболее опасной, по данным NGSSoftware, является уязвимость, названная Oracle Remote Compromise. Она заключается в том, что злоумышленник, работающий через интернет, может подключиться к каналу, по которому передаются данные между базой данных и интерфейсом PL/SQL, и отдавать команды, исполняемые на том же уровне, на котором работает сама СУБД. Для Windows это по умолчанию системный, а для Unix - пользовательский уровень. В любом из этих случаев последствия захвата управления сервером могут быть самыми неприятными. Ситуация усугубляется тем, что программисты Oracle пока не создали нужной заплатки. Администраторам рекомендуется запретить доступ к базам данных из внешних сетей по протоколу TCP, а если это невозможно, то использовать брандмауэры.

Кроме Oracle Remote Compromise в NGSSoftware обнаружили еще две опасные дыры, для которых заплатки уже выпущены. Первая из них касается взаимодействия модуля PL/SQL с веб-сервером Apache и сводится к известной ошибке переполнения буфера, вызвав которое хакер получает контроль над сервером. И, наконец, еще несколько ошибок было обнаружено в реализации технологии динамической генерации веб-страниц JavaServer Pages (JSP). В результате злоумышленник может получить доступ к исходному коду JSP-документов, которые могут содержать важные данные о конфигурации сервера или пароли.
(источник - http://www.compulenta.ru/, опубликовано 07.02.2002)

Популярный интернет-пейджер MSN Messenger подвержен опасной системной уязвимости, причем в основе обнаруженной "дыры" лежит система идентификации пользователей, без их ведома внедренная программистами самой Microsoft, сообщает британское сетевое издание The Register. Об обнаружении системной уязвимости издание уведомил некто Ричард Бертон (Richard Burton), сообщивший, что в указанном пейджере реализована возможность идентификации адреса электронной почты пользователя при помощи несложного сценария, встроенного в html-код титульных страниц ресурсов Microsoft.com, Hotmail.com и Hotmail.MSN.com.

При этом, если установить доменные суффиксы .com, .net и .org в качестве значения приведенного ниже ключа реестра Windows, то запуск вредоносных скриптов, позволяющих получить адрес электронной почты пользователя пейджера, а также все адреса, внесенные в его книгу контактов, будет возможен с любого домена, обладающего подобным суффиксом.

HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\MessengerService\Policies\Suffixes

Следует отметить, что изменение значения ключа реестра может быть осуществлено во время инсталляции любого программного приложения, что означает, что пользователям MSN Messenger необходимо крайне осторожно относиться не только к программным продуктам Microsoft (в которых, по сути, содержатся троянские коды), но также к любым другим программам, дистрибутивы которых загружены из Сети.
(источник - http://www.cnews.ru/, опубликовано 05.02.2002)

Опасная системная уязвимость обнаружена в приложении Morpheus, используемого в качестве клиентской программы популярного Р2Р-сервиса MusicCity. Как сообщает служба новостей BBC News Online, группа экспертов в области сетевой безопасности продемонстрировала журналистам ВВС, как с жесткого диска компьютера, на котором был установлен Morpheus, могут быть легко скопированы абсолютно любые файлы.

Напомним, что Р2Р-технология предусматривает, что файлы могут быть легко скопированы с жесткого диска по Сети, однако такая возможность существует только в рамках специально для этого предназначенного каталога. В Morpheus эта технология, таким образом, разработана на недостаточном уровне безопасности и поэтому сегодня свыше 9 млн. пользователей Сети (а именно столько пользователей Morpheus, по данным MusicCity, насчитывается во всем мире) не могут чувствовать себя в безопасности.

Официальная реакция MusicCity на информацию ВВС, равно как и данные о том, каким образом будет ликвидирована столь серьезная программная уязвимость, до настоящего времени неизвестны.
(источник - http://www.cnews.ru/, опубликовано 04.02.2002)

Месячник безопасности Microsoft начался с заплатки на 17MB

Весь февраль программисты компании Microsoft не будут писать новый код, зато будут латать дыры старого. Борьба за безопасность началась с публикации "заплатки" для Windows 2000 впечатляющего размера - 17Mегабайт.

Напомним, что в середине января глава корпорации Билл Гейтс обратился к 47000 сотрудников Microsoft с рассылкой, призывающей сделать "безопасность" своей главной заботой. Тогда же Гейтс пообещал приостановить разработки нового ПО на весь февраль, и вместо этого послать 7000 своих системных программистов на специальные курсы по безопасности.

Данные заявления главы Microsoft были сделаны вскоре после того, как Американская Национальная Академия наук (NAS) призвала правительство США принять закон, предполагающий наказание за производство "дырявого" программного обеспечения. В связи с этим эксперты отмечали, что компания Microsoft открыла для себя проблему безопасности слишком поздно.

Так или иначе, в конце прошлой недели обещанный мораторий на написание новых программных продуктов Microsoft вступил в действие. "Настало время прибраться в гараже", - так прокомментировал эту акцию Ричард Персел, глава отдела корпоративной защиты Microsoft. По его словам, Билл Гейтс "очень расстроен теми невыносимыми пытками, которым мы подвергаем пользователей".

Начало "месячника безопасности" ознаменовалось публикацией на прошлой неделе впечатляющего патча размером с целую операционную систему. Пакет Windows 2000 Security Rollup Package сама компания называет "маленьким и всеобъемлющим", хотя весит он 16.92MB и загружается два с половиной часа при использовании обычного модема (28.8 kbps).

Security Rollup Package обещает устранить все дыры Windows 2000, найденные за последний год. Это самый крупный пакет заплаток со времен Windows 2000 Service Pack 2, который был выпущен в мае прошлого года.
(источник - http://www.netoscope.ru/, опубликовано 04.02.2002)

Компания Panda Software сообщает об обнаружении нового опасного вируса. W32/Hunch относится к классу почтовых червей и, следовательно, распространяется через электронную почту, саморассылаясь по всем адресам, обнаруженным им в адресной книге зараженного компьютера. Вредоносная деятельность вируса заключается в его способности модифицировать загрузочный файл Autoexec.bat таким образом, что при повторной загрузке происходит форматирование жесткого диска. Червь также вносит изменения в системный реестр Windows, что гарантирует его активизацию при каждом следующем запуске компьютера. В реестр вирус добавляет следующие строки:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
THWIN% system directory%\THWIN.EXE

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
THWIN%system directory%\THWIN.EXE

Вирус распространяется в виде вложения к электронному письму, заголовок которого выглядит следующим образом:

В тексте письма содержится следующее сообщение:

Mensaje importante para %recipient's name % en el archivo adjunto

Запущенный вложенный файл этого письма копирует себя в директорию Windows\System, модифицирует файл Autoexec.bat и реестр Windows, а также выводит на экран черно-белую картинку.
(источник - http://www.cnews.ru/, опубликовано 04.02.2002)

Компания "Лаборатория Касперского", специализирующаяся на разработке антивирусного программного обеспечения, представила "большую двадцатку" наиболее распространенных вирусов января. Никаких сюрпризов в новом рейтинге не оказалось, за исключением того, что впервые зарегистрированные всего несколько дней назад вирусы MyParty и Klez сумели занять в представленном "хит-параде" вполне достойные места. В остальном "большая двадцатка" выглядит вполне традиционно:

I-Worm.BadtransII - 65,6%
I-Worm.Sircam - 11,2%
I-Worm.Myparty - 4,1%
I-Worm.Klez - 4,1%
I-Worm.Hybris - 1,8%
I-Worm.Magistr - 0,8%
VCL - 0,8%
I-Worm.Aliz - 0,4%
Flip.2153 - 0,3%
Macro.Word97.Thus - 0,2%
I-Worm.Nimda - 0,2%
Trojan.PSW.Hooker - 0,2%
Backdoor.Death - 0,2%
JS.Trojan.Seeker - 0,2%
I-Worm.Goner - 0,2%
Macro.Word97.TheSecond - 0,1%
I-Worm.Stator - 0,1%
I-Worm.GOPworm - 0,1%
Win32.FunLove - 0,1%
Macro.Word97.VMPCK - 0,1%
(источник - http://www.cnews.ru/, опубликовано 01.02.2002)

Компании Инфотекс и IBS заключили соглашение о сотрудничестве в области технологий информационной безопасности.

Компании Инфотекс и IBS - лидер на рынке системной интеграции и консалтинга России - заключили соглашение о сотрудничестве в области технологий информационной безопасности. Компании объединяют усилия для осуществления совместных действий в целях создания комплексных решений по защите информации и совместного продвижения этих решений на рынке.

Компания Инфотекс создает передовые программные продукты для организации VPN (виртуальных частных сетей), которые позволяют повысить эффективность управления бизнес-процессами и использовать новейшие достижения информационных технологий на рабочем месте и вне офиса.

Компания IBS обладает уникальным опытом создания сетевой инфраструктуры корпоративных информационных систем. Обширный опыт работы с ведущими мировыми производителями сетевого и телекоммуникационного оборудования позволил IBS стать первым на российском рынке системным интегратором, предлагающим решения на базе технологий нескольких поставщиков (стратегия multi-vendor).

Используя многолетний опыт разработки и внедрения передовых технологий на IT-рынке, компании Инфотекс и IBS договорились о сотрудничестве в области интеграции решений по информационной безопасности, основанных на использовании современных стандартов PKI (Public Key Infrastructure), которое позволит предложить клиентам более полный комплект услуг в области построения корпоративных информационных и телекоммуникационных систем.

Главная цель данного соглашения - это создание и продвижение на рынок сетевых решений, позволяющих динамично развивающемуся бизнесу максимально использовать возможности Интернет для новой экономики, без сопутствующих ему информационных и имущественных рисков.

Информационная справка:

О компании IBS (Информационные Бизнес Системы).
Компания IBS - лидер на рынке системной интеграции России в области комплексных корпоративных проектов (системная интеграция, консалтинг, разработка и реализация Интернет проектов, построение информационно-аналитических систем, внедрение корпоративных систем управления предприятиями и др.). Входит в группу компаний IBS.
Для получения дополнительной информации Вы можете связаться с Ладой Щербаковой, менеджером по связям с общественностью компании IBS (Тел. 967-8080, e-mail: lada@ibs.ru).

О компании Инфотекс.
Компания Инфотекс (Информационные Технологии и Коммуникационные Системы) основана в 1989г. и в настоящее время является ведущей на рынке информационной безопасности, специализируясь на производстве программного обеспечения в области систем защиты информации.
В разработанный ОАО "Инфотекс" широкий спектр программных продуктов входят как решения для индивидуального пользователя, так и сложнейшие конструкторские решения для крупных корпораций и государственных структур.
Деятельность компании на рынке информационных технологий регламентируется лицензиями ФАПСИ, ФСБ и Гостехкомиссии.
Вся линия продуктов ViPNet имеет сертификаты соответствия (Сертификаты Гостехкомиссии при Президенте РФ №№ 545, 546 от 17.12.01, Сертификаты ФАПСИ №№ СФ/114-0470, СФ/124-0471 от 01.06.2001 на средство криптографической защиты информации (СКЗИ) "Домен-К", являющегося криптографическим ядром пакета программ ViPNet).

Компания Инфотекс приглашает на работу менеджера по продукту (Product manager)

Описание должности:

• Управление продуктом
  - обеспечение эффективного Requirements Workflow Process, результатом которого являются сводные требования к продукту (Vision) и точное задание на производство. При этом менеджер продукта отвечает за реальную значимость для рынка (сегмента рынка) тех или иных требований к продукту
  - контроль за сроками выпуска и соответствием продукта ранее утвержденным Visions.
  - поддержка первых продаж партнеров посредством предоставления технической экспертизы, помощи в подготовке коммерческих предложений, конкурентного анализа и т.д.
• Маркетинг продукта
  - позиционирование продукта внутри собственной продуктовой линейки и по отношению к конкурирующим продуктам и решениям (конкурентный анализ)
  - определение целевых сегментов рынка, рекомендации по ценообразованию
  - оценка емкости данных целевых сегментов рынка в денежном выражениий
• Определение продуктовой линейки. Комбинирование собственной продуктовой линейки с другими продуктами
• Превращение продукта в товар (product packaging)
  - дизайн и упаковка
  - инструкции пользователям, примеры по использованию (guides, manuals, quick start и т.д.)
  - информация о товаре (новой версии продукта) и его конкурентных преимуществах для каналов сбыта. Рекомендации по мотивации покупателей. Рекомендации по совместному применению с продуктами и решениями других производителей
  - тренинг программа для каналов и конечных пользователей, обновляемая для каждой новой версии продуктов (совместно с отделом технической поддержки и клиентских проектов)
  - сертификация и патентная защита
• Контроль за обслуживанием продаваемых версий продукта (сроки и приоритеты по исправлению ошибок, сроки обработки информационнных запросов и т.п. операции с использованием системы Clear Quest)

Требования к кандидату:

• Опыт работы в аналогичной должности более 2-х лет
• Отличное знание операционных систем Windows 95/98, Windows NT/2000, Linux (желательно)
• Знание стека протоколов TCP/IP, знание сетевых технологий (proxy/firewall/router) организации Internet/Intranet и, желательно, криптографии
• Знание технологий информационной безопасности
• Желательно знание системы Clear Quest
• Опыт использования программ офисного назначения (Excel, Word, Project, Visio и т.д.)
• Образование высшее

Компенсации: оплата высокая

Резюме отправлять по адресу: ign@infotecs.ru

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.