Рассылка закрыта
При закрытии подписчики были переданы в рассылку "Безопасность компьютерных сетей и защита информации" на которую и рекомендуем вам подписаться.
Вы можете найти рассылки сходной тематики в Каталоге рассылок.
| ← Ноябрь 2000 → | ||||||
|
1
|
2
|
4
|
5
|
|||
|---|---|---|---|---|---|---|
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
|
13
|
14
|
15
|
16
|
18
|
19
|
|
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
|
27
|
28
|
29
|
30
|
|||
Статистика
+263 за неделю
Защита информации, виртуальные сети VPN. Технология ViPNet.
|
Защита информации, виртуальные частные сети (VPN). Технология ViPNet. |
||
|
||
| Здравствуйте, уважаемые подписчики! В очередном выпуске мы публикуем заключительную часть статьи "Введение в защищенные виртуальные сети", посвященную технологиям VPN. Как обычно, в выпуске новости из мира информационной безопасности, анонсы и релизы событий нашей компании. |
||
| Содержание выпуска: | ||
| Введение в защищенные виртуальные сети. | ||
| Обзор протоколов Технически реализация защищенных виртуальных сетей стала возможной уже достаточно давно. Инкапсуляция использовалась раньше и применяется сейчас для передачи немаршрутизируемого трафика через маршрутизируемые сети, а также для ограничения многопротокольного трафика одним протоколом. Технологии шифрования также появились задолго до широкого внедрения глобальных сетевых технологий. Однако общепринятые протоколы для создания защищенных виртуальных сетей разработаны недавно и сейчас продолжается работа над их совершенствованием и расширением. Они являются открытыми, т.е. свободными для распространения и реализации. Для независимости от прикладных протоколов и приложений защищенные виртуальные сети формируются на одном из более низких уровней модели OSI - канальном, сетевом или сеансовом. Канальному (второму) уровню соответствуют такие протоколы реализации VPN, как PPTP , L2F и L2TP , сетевому (третьему) уровню - IPSec , SKIP , а сеансовому (пятому) уровню – SSL /TLS и SOCKS . Чем ниже уровень эталонной модели, на котором реализуется защита, тем она прозрачнее для приложений и незаметнее для пользователей. Однако при снижении этого уровня уменьшается набор реализуемых услуг безопасности и становится сложнее организация управления. Чем выше защитный уровень в соответствии с моделью OSI, тем шире набор услуг безопасности, надежнее контроль доступа и проще конфигурирование системы защиты. Однако в этом случае усиливается зависимость от используемых протоколов обмена и приложений. В виртуальной сети криптозащита может одновременно выполняться на нескольких уровнях эталонной модели. При этом увеличивается криптостойкость, но по причине снижения общей скорости криптографических преобразований уменьшается пропускная способность виртуальной сети. Поэтому на практике защищенные виртуальные сети формируются на одном уровне модели OSI (канальном, сетевом, транспортном или сеансовом). Канальный
уровень модели OSI
Для стандартного формирования криптозащищенных туннелей на канальном уровне модели OSI компанией Microsoft при поддержке компаний Ascend Communications, 3Com/Primary Access, ECI-Telematics и US Robotics был разработан протокол туннелирования PPTP (Point-to-Point Tunneling Protocol), представляющий собой расширение протокола PPP (Point-to-Point Protocol) . В протоколе PPTP не специфицируются конкретные методы аутентификации и шифрования. Клиенты удаленного доступа в Windows NT 4.0 и Windows 98 с Dial-Up Networking поставляются с версией шифрования DES компании RSA Data Security , получившей название "шифрование двухточечной связи Microsoft" (Microsoft Point-to-Point Encryption - MPPE). Канальному уровню модели OSI соответствует также протокол туннелирования L2F (Layer-2 Forwarding), разработанный компанией Cisco Systems при поддержке компаний Shiva и Northern Telecom. В данном протоколе также не специфицируются конкретные методы аутентификации и шифрования. В отличие от протокола PPTP протокол L2F позволяет использовать для удаленного доступа к провайдеру Internet не только протокол PPP, но и другие протоколы, например, SLIP. При формировании защищенных каналов по глобальной сети провайдерам Internet не нужно осуществлять конфигурацию адресов и выполнять аутентификацию. Кроме того, для переноса данных через защищенный туннель могут использоваться различные протоколы сетевого уровня, а не только IP, как в протоколе PPTP. Протокол L2F стал компонентом операционной системы IOS (Internetwork Operating System) компании Cisco и поддерживается во всех выпускаемых ею устройствах межсетевого взаимодействия и удаленного доступа. Протоколы PPTP и L2F были представлены в организацию Internet Engineering Task Force (IETF ) и в 1996 году соответствующие комитеты решили их объединить. Получившийся в результате протокол, включивший все лучшее из PPTP и L2F, был назван протоколом туннелирования второго уровня (Layer-2 Tunneling Protocol - L2TP). Его поддерживают компании Cisco, Microsoft, 3Com, Ascend и многие другие производители. Как и предшествующие протоколы канального уровня, спецификация L2TP не описывает методы аутентификации и шифрования. Протокол L2TP является расширением PPP на канальном уровне и может поддерживать любые высокоуровневые протоколы. Протоколы формирования защищенного туннеля на канальном уровне независимы от протоколов сетевого уровня модели OSI, по которым функционируют локальные сети, входящие в состав виртуальных сетей. Они позволяет создавать защищенные каналы для обмена данными между удаленными компьютерами и локальными сетями, функционирующими по различным протоколам сетевого уровня - IP, IPX или NetBEUI. Пакеты этих протоколов криптографически защищаются и инкапсулируются в IP-пакеты сети Internet, которые и переносятся к месту назначения, образуя защищенные виртуальные каналы. Многопротокольность - основное преимущество инкапсулирующих протоколов канального уровня. Вместе
с тем формирование криптозащищенных
туннелей между объединяемыми
локальными сетями на основе протоколов
канального уровня приводит к сложности
конфигурирования и поддержки
виртуальных каналов связи. Туннели на
основе PPP требуют, чтобы конечные точки
поддерживали информацию о состоянии
каждого канала (например, такую, как тайм-ауты),
и, следовательно, не обладают хорошей
масштабируемостью при необходимости
иметь несколько туннелей с общими
конечными точками. Кроме того, протоколы
формирования защищенных туннелей на
канальном уровне не специфицируют
конкретные методы шифрования,
аутентификации, проверки целостности
каждого передаваемого пакета, а также
средств управления ключами. Исходя
из вышесказанного, можно сделать вывод,
что протоколы создания защищенных
виртуальных каналов на канальном уровне
лучше всего подходят для защиты
информационного взаимодействия при
удаленном доступе к локальной сети.
Учитывая, что в состав операционных
систем Windows 98/NT
включена реализация протокола PPTP,
этот протокол для организации
защищенного удаленного доступа получил
наиболее широкое распространение. В
ближайшее время ожидается
переориентация средств удаленного
доступа на более совершенный протокол L2TP. Сетевой
уровень модели OSI
Спецификацией, где описаны стандартные методы для всех компонентов и функций защищенных виртуальных сетей, является протокол Internet Protocol Security (IPSec ), соответствующий сетевому уровню модели OSI и входящий в состав новой версии протокола IP – IPv6. Протокол IPSec иногда еще называют протоколом туннелирования третьего уровня (Layer-3 Tunneling) . IPSec предусматривает стандартные методы аутентификации пользователей или компьютеров при инициации туннеля, стандартные способы шифрования конечными точками туннеля, формирования и проверки цифровой подписи, а также стандартные методы обмена и управления криптографическими ключами между конечными точками. Этот гибкий стандарт предлагает несколько способов для выполнения каждой задачи. Выбранные методы для одной задачи обычно не зависят от методов реализации других задач. Для функций аутентификации IPSec поддерживает цифровые сертификаты популярного стандарта X.509 . Туннель IPSec между двумя локальными сетями может поддерживать множество индивидуальных каналов передачи данных, в результате чего приложения данного типа получают преимущества с точки зрения масштабирования по сравнению с технологией второго уровня. Протокол IPSec может использоваться совместно с протоколом L2TP. Совместно эти два протокола обеспечивают наиболее высокий уровень гибкости при защите виртуальных каналов. Дело в том, что спецификация IPSec ориентирована на протокол IP и, таким образом, бесполезна для трафика любых других протоколов сетевого уровня. Протокол L2TP отличается независимостью от транспортного уровня, что может быть полезно в гетерогенных сетях, состоящих из IP-, IPX- и AppleTalk-сегментов. IPSec стремительно завоевывает популярность и станет, вероятно, доминирующим стандартом по созданию и поддержке защищенных виртуальных сетей. Для управления криптографическими ключами на сетевом уровне модели OSI наиболее широкое распространение получили такие протоколы, как SKIP (Simple Key management for Internet Protocols) и ISAKMP (Internet Security Association and Key Management Protocol). SKIP проще в реализации, но он не поддерживает переговоров по поводу алгоритмов шифрования. Если получатель, использующий SKIP, не в состоянии расшифровать пакет, он уже не сможет согласовать метод шифрования с противоположной стороной. Протокол ISAKMP поддерживает такие переговоры и выбран в качестве обязательного протокола для управления ключами в IPSec для IPv6. Другими словами протокол ISAKMP является составной частью протокола IPSec. В текущей четвертой версии протокола IP (в протоколе IPv4) может применяться как протокол ISAKMP, так и протокол SKIP. Сеансовый
уровень модели OSI
Защищенные виртуальные каналы могут быть сформированы и на сеансовом уровне модели OSI . Для этого применяются так называемые "посредники каналов " (circuit proxy ). Посредник функционирует над транспортным уровнем, шифрует и ретранслирует трафик из защищенной сети в общедоступную сеть Internet для каждого сокета в отдельности. При приеме выполняется обратная процедура. Сокет IP идентифицируется комбинацией TCP-соединения и конкретного порта или заданным портом UDP. Для шифрования информации на сеансовом уровне наибольшую популярность получил протокол SSL /TLS (Secure Sockets Layer/ Transport Layer Security), разработанный компанией Netscape Communications . Этот протокол создает защищенный туннель между конечными точками виртуальной сети, обеспечивая взаимную аутентификацию абонентов, а также конфиденциальность, подлинность и целостность циркулирующих по туннелю данных. Ядром протокола SSL/TLS является технология комплексного использования асимметричных и симметричных криптосистем компании RSA Data Security. Для аутентификации взаимодействующих сторон и криптозащиты ключа симметричного шифрования используются цифровые сертификаты открытых ключей пользователей (клиента и сервера), заверенные цифровыми подписями специальных Сертификационных Центров. Поддерживаются цифровые сертификаты, соответствующие общепринятому стандарту X.509. С целью стандартизации процедуры взаимодействия клиент-серверных приложений TCP/IP через сервер-посредник (брандмауэр) комитет IETF утвердил протокол под названием SOCKS , и в настоящее время пятая версия данного протокола (SOCKS 5) применяется для стандартизованной реализации посредников каналов. SOCKS поддерживает приложения, требующие контроля над направлениями информационных потоков и настройки условий доступа в зависимости от атрибутов пользователя и/или информации. В соответствии с SOCKS 5 клиентский компьютер устанавливает аутентифицированный сеанс с сервером, исполняющим роль посредника (proxy ). Использование этого посредника является единственным способом связи через брандмауэр. Посредник, в свою очередь, проводит любые операции, запрашиваемые клиентом. Поскольку посреднику известно о трафике на уровне сеанса (сокета), он может осуществлять тщательный контроль, например, блокировать конкретные приложения пользователей, если они не имеют необходимых полномочий. В отличие от виртуальных сетей, защищенных на сеансовом уровне модели OSI, виртуальные сети, защищенные на канальном или сетевом уровне, обычно просто открывают или закрывают канал для всего трафика по аутентифицированному туннелю. Это может представлять проблему, если локальная сеть на другом конце туннеля является неблагонадежной. Кроме того, созданные туннели канального и сетевого уровня функционируют одинаково в обоих направлениях, а виртуальные сети, защищенные на сеансовом уровне, допускают независимое управление передачей в каждом направлении. Виртуальные сети с посредником канала типа IPSec ориентированы на протокол IP. Если IPSec, по существу, разграничивает защищенные виртуальные каналы между разными парами взаимодействующих сторон, то протокол SOCKS 5 обеспечивает создание защищенных туннелей для каждого приложения и сеанса в отдельности. Аналогично протоколу IPSec и протоколам туннелирования канального уровня, виртуальные сети сеансового уровня можно использовать с другими типами виртуальных частных сетей, поскольку данные технологии не являются взаимоисключающими. Следует отметить, что имеются протоколы для реализации защищенного взаимодействия и на прикладном уровне модели OSI. Эти протоколы, как правило, являются дополнениями к различным протоколам прикладного уровня. Например, протокол Secure HTTP (SHTTP ) является дополнением по функциям защиты к протоколу передачи гипертекста HTTP, а протокол Secure MIME (S/MIME ) - дополнением по защитным функциям к протоколу электронной почты MIME. Прикладные протоколы защиты информационного взаимодействия не относят к протоколам построения защищенных виртуальных сетей, так как они полностью зависят от используемых сервисов и приложений. Протоколы формирования защищенных виртуальных каналов прозрачны для прикладных протоколов защиты. Соответственно применение приложений, реализующих, например, SHTTP или S/MIME, наряду с криптографической защитой на более низком уровне, нисколько не уменьшает, а только увеличивает уровень безопасности.По материалам Государственного унитарного предприятия Специализированный Центр Программных Систем “СПЕКТР” |
||
| Новости и события в области защиты информации | ||
Вирусы приходят молча / А о псевдовирусах предупреждают заранее ПО ИНТЕРНЕТУ прокатилась очередная волна писем-предупреждений о двух новых и якобы очень опасных вирусах - CALIFORNIA IBM и GIRL THING. Понятно, что слово "вирус" пугает всех пользователей. Но эти два, как и огромное число им подобных, существуют лишь в письмах-предупреждениях. Прислать такие сообщения по электронной почте может неизвестный вам "доброжелатель" или хорошо знакомый друг. И заканчиваются письма просьбой "передать это сообщение по всей Вашей адресной книге" - "если все будут посвящены, то вирус не сможет распространяться". Как пояснила "Сегодня" представитель антивирусного центра "Лаборатория Касперского" Светлана Трофимова, "это своеобразные шутки, и бояться их не надо. Единственное, что мы можем посоветовать, - игнорируйте такие сообщения и ни в коем случае не рассылайте их своим друзьям, этим вы продлеваете их жизнь. Да и вообще открывать электронные письма с неизвестным вам обратным адресом не нужно". На сайте www. datafellows. com можно найти базу данных этих мистификаций в количестве 1718 штук. И CALIFORNIA IBM, и GIRL THING там числятся, причем письма-предупреждения о них рассылаются по почте не первый год. (источник - http://www.park.ru, ("Сегодня" (газета), ЕКАТЕРИНА ИГНАТОВА, 16 ноября 2000) опубликовано 16.11.2000) |
||
|
|
||
| Готовится единый закон против спама Если Вы устали от множества рекламных писем, приходящих по электронной почте, вскоре Вы сможете вздохнуть с облегчением: готовится законопроект, который сможет положить конец спаму, сообщает Upside Today. В настоящее время пока в США не принят единый федеральный закон, который регулировал бы рассылку рекламных объявлений по электронной почте. Однако Конгресс рассматривает ряд законопроектов в этой области. Скорее всего, в этом году эти законопроекты приняты не будут, но есть основания полагать, что в 2001 году это все-таки произойдет. Одним из рассматриваемых законопроектов является Акт 2000 г. "О неправомерной рассылке коммерческой рекламы по электронной почте" (Unsolicited Commercial Electronic Mail Act of 2000), о котором CNews писал еще летом. Согласно этому законопроекту, интернет-провайдеры будут проводить политику, направленную против принудительной рассылки рекламы, также они смогут требовать дополнительную оплату за право рассылки рекламы по электронной почте; получатели будут иметь право подавать в суд на рекламодателей, рассылающих рекламу, и требовать возмещение на сумму до $500 за каждое сообщение. Федеральная Торговая Комиссия (FTC) получит право преследовать нарушителей этого закона. Этот законопроект был одобрен подавляющим большинством голосов Палаты Представителей Конгресса США (427 к 1), и 19 июля был передан на рассмотрение комитету Сената. Кроме того, на рассмотрение предложены Акт 2000 г. "О контроле рассылки рекламы порносайтов" (Controlling the Assault of Non-Solicited Pornography & Marketing Act of 2000), Акт 1999 г. "О приватности электронного почтового ящика" (Inbox Privacy Act of 1999). (источник - http://www.cnews.ru, опубликовано 15.11.2000) |
||
Хакеры атаковали Секретариат форума АТЭС Неизвестные компьютерные террористы атаковали секретариат совещания лидеров стран-членов форума Азиатско-Тихоокеанского экономического сотрудничества (АТЭС) в столице султаната Бруней. Как сообщил сегодня представитель рабочей группы по информационным технологиям, "мина замедленного действия" была заброшена в компьютеры форума по электронной почте с Тайваня. По действию она аналогична знаменитому вирусу "I LOVE YOU". К счастью, эксперты АТЭС вовремя перехватили "подарок" от компьютерных террористов и предупредили о нем всех работающих на форуме журналистов и чиновников. Однако специалисты призывают гостей тропического Брунея быть начеку, предполагая повторение атаки. (источник - http://www.utro.ru, опубликовано 15.11.2000) |
||
| Новый вирус, "посвященный" Рождеству, уже поразил компьютеры 10 крупнейших компаний мира. Новый вирус, "посвященный" Рождеству, уже поразил компьютеры 10 крупнейших компаний мира, входящих в список Fortune 500. К концу года стоит ждать увеличения числа подобных сообщений о действиях хакеров, алчущих иллюзии мирового господства. В современном масс-культурном мире все хотят быть популярными, но не у каждого получается. Известно, что мотивация создателей вирусов связана именно с желанием если не личной славы, то всемирной популярности своего тайного детища -- вируса. Все телевизионные каналы с апокалиптическими интонациями сообщают о проделках неизвестного хакера, а он сидит перед телевизором у себя в коморке и ощущает себя этаким компьютерным богом. Отмечено, что подобная подрывная активность возрастает пред всенародными праздниками, среди которых главным, по крайней мере для католического мира, является Рождество. Именно из одной из католических стран пришел первый в этом году "рождественский" вирус -- об этом свидетельствует его испанское название "Navidad" (Счастливого Рождества). Пользователь, отправивший сообщение электронной почты владельцу зараженного компьютера, в ответ получает письмо, содержащее текст на испанском языке и программу, обозначенную значком в виде голубого глаза. При запуске программы появляется сообщение "не нажимайте на эту кнопку в любом случае". После нажатия кнопки пользователь видит на своем экране праздничную фразу: " К сожалению, Вы не смогли удержаться от соблазна. Все данные на Вашем компьютере будут уничтожены". Расчет автора вируса прост -- письмо приходит от знакомого отправителя и перед Рождеством по сети распространяется множество забавных картинок и программ поздравительного характера. (источник - http://www.cry.ru, опубликовано 14.11.2000) |
||
| Central Command раздает первый антивирус для ICQ. Корпорация Central Command объявила в четверг о предоставлении в свободное пользование новой версии антивирусной технологии AVX, позволяющая перехватывать, отфильтровывать и сканировать на наличие вирусов любые файлы, которыми обмениваются пользователи самой популярного средства моментального обмена сообщениями - ICQ. По утверждению Central Command, новое программное обеспечение позволяет нейтрализовать более 46 тысяч различных вирусов, "троянов" и прочих приложений, которые могут передаваться посредством ICQ. Свою программу разработчики считают первым специализированным антивирусом для "аськи". ICQ предоставляет возможность обмениваться не только короткими сообщениями, но и, например, передавать друг другу различные файлы, что намного повышает опасность заражения данных. В данный момент ICQ пользуются более 81 миллиона пользователей по всему миру. И опасность возникновения эпидемий при таком количестве пользователей очень велика. Скачать новое программное обеспечение можно абсолютно свободно по адресу ftp://ftp.avx.com/avx4icq/avx4icq.exe (источник - http://www.netoscope.ru/, опубликовано 15.11.2000)
|
||
| Новости компании | ||
|
На
совещании были рассмотрены
актуальные вопросы обеспечения
информационной безопасности в сети
Интернет. Участники совещания
затронули в обсуждении вопросы
терминологии, в частности, особый
интерес вызвала дискуссия о подмене
термина "информационная
безопасность" термином "безопасность
информации". Многие докладчики
отмечали важную роль АДЭ в процессе
создания нормативно-правовой базы
информационной безопасности. На
совещании представители Госдумы
России, Минсвязи России, Совета
безопасности Российской Федерации
рассказали об основных вопросах,
проблемах и перспективах развития
информационной безопасности в России.
На
двух круглых столах были обсуждены
вопросы, связанные с нормативной
базой в области обеспечения
информационной безопасности, а также
конкретными программно-аппаратными
решениями систем обеспечения
информационной безопасности как
российского, так и зарубежного
производства. Представителем
Гостехкомиссии России было
рассказано о технических методиках
проведения испытаний
сертифицируемого оборудования на
предмет защиты и выявления
недекларированных возможностей. В
рамках совещания специалисты
компании Инфотекс познакомили
участников с предлагаемой ею
технологией защиты IP-трафика, передаваемого по открытым
каналам связи, уделив особое внимание
популярной ныне технологии IP-телефонии.
В ходе презентации системы ViPNet,
созданной ОАО Инфотекс, было отмечено,
что современные технологии сделали
возможным организовать
территориально-распределенные сети,
не прибегая к организации
дорогостоящих выделенных каналов
связи, которые, впрочем, также не
решают вопроса обеспечения
конфиденциальности информации, столь
актуального в настоящее время.
Универсальность технологии ViPNet,
продемонстрированная участникам
совещания, состоит и в том, что эта
система позволяет не только защитить
передаваемую информацию, но и создать
полнофункциональную виртуальную
частную сеть (VPN).
Особо было отмечено, что наряду с
крупными проектами, требующими
реинжиниринга и индивидуального
подхода, компания Инфотекс
разработала и с успехом реализует «коробочные»
решения для предприятий малого и
среднего бизнеса, не требующие
крупных денежных затрат, но в то же
время позволяющих построить надежно
защищенную виртуальную сеть.
|
||
| 4
ноября 2000 г. был подписан договор о
партнерских отношениях между ОАО "ИнфоТеКС"
и ЗАО "Рэйс
Коммуникейшн".
Два
лидера рынка информационных
технологий решили объединить свои
усилия с целью продвижения новейших
технологий по защите информации и
организации распределенных сетей –
виртуальных частных сетей (VPN).
|
||
| Продолжается
беспрецедентная акция: "Работая
удаленно - будь рядом"
Акция призвана продемонстрировать отечественному рынку возможности VPN в части сервисов, предоставляемых удаленным и мобильным клиентам сети. В ходе этого мероприятия любое заинтересованное лицо или организация могут получить доступ непосредственно в корпоративную сеть компании Инфотекс, организованную и защищенную с помощью ПО ViPNet – оригинальной разработки компании Инфотекс, - и воспользоваться ее ресурсами, предоставляемыми в рамках акции. Подробности и инструкция для желающих принять участие в акции здесь.
|
||
| Познакомиться
с нашими решениями можно на web-сервере - http://www.infotecs.ru
Полнофункциональные
демо-версии продуктов ViPNet Desk, ViPNet Office,
ViPNet Tunnel находятся по адресу
|
||
| С уважением, ведущий рассылки Олег Карпинский. |
|
http://subscribe.ru/
E-mail: ask@subscribe.ru |
| В избранное | ||
