Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Теперь применение шлюзов VoIP в корпоративных сетях Intranet стало вполне целесообразным.

В 80-х годах корпоративным отделам ИС пришлось потратить немалые средства на сети передачи данных в целях создания каналов IP с высокой пропускной способностью для доставки электронной почты, информационного наполнения Web и запросов к базам данных в каждый закуток и каморку. Однако эти расходы не пропали даром, и в конце 90-х руководители отделов ИС могут сообщить финансовым директорам своей компании хорошую новость. Информационные потоки — это настоящая золотоносная жила: избыточная пропускная способность позволяет передавать голосовой трафик между офисами и таким образом экономить на расходах на междугородную связь. Пограничные устройства, такие, как шлюзы VoIP, помещают оцифрованную речь в IP-пакеты, а эти универсальные конверты понимают все маршрутизаторы, шлюзы и концентраторы.

С усложнением сетей Intranet отделам ИТ становится все труднее управлять ими. В этой связи предлагаемые операторами передачи данных и провайдерами услуг Internet виртуальные частные сети выглядят все более привлекательно для корпоративного рынка. Провайдеры Internet могут предоставлять предприятиям услуги VPN намного дешевле, потому что их новая цифровая инфраструктура на базе оборудования ATM и frame relay не использует дорогостоящих выделенных линий, как у традиционных операторов. Кроме того, провайдеры VPN имеют штат и ресурсы для полноценного управления межофисными сетями. Многие из аргументов в пользу Centrex в мире передачи речи остаются справедливы и для VPN в цифровом мире. В частности, операторы передачи данных берут на себя внедрение новейших технологий, и дополнительная пропускная способность может быть выделена из их огромных запасов за меньшую плату, чем если бы вам самим пришлось ее покупать. К сожалению, большинство провайдеров информационных VPN не в состоянии пока предложить VoIP своим корпоративным клиентам. Хотя, вероятно, администратор вашей сети и может выделить достаточную пропускную способность на IP-магистрали компании, VPN обычно имеют меньший уровень управляемости. Эти сети часто составляются из других: провайдеры Internet образуют сети сетей для получения требуемой пропускной способности. Информационные VPN не обладают управляемостью «из конца в конец», и их пользователи могут только надеяться, что промежуточные маршрутизаторы по пути IP-пакетов соответствуют общим стандартам качества обслуживания (Quality of Service, QoS). Однако, не сунувшись в воду, брода не найти.

СОСУЩЕСТВОВАНИЕ ГОЛОСОВЫХ И ИНФОРМАЦИОННЫХ ПОТОКОВ В КОРПОРАТИВНОЙ СЕТИ INTRANET
Задача, которую предстоит решить тем, кто собирается реализовать обещания о бесплатной передачи речи, — это объединение информационного и голосового трафика в одном проводе. К счастью, создатели Internet понимали, что разные приложения нуждаются в разном обслуживании: интерактивная деятельность предполагает быструю оборачиваемость, тогда как передача объемных файлов может и подождать. Отцы-основатели предусмотрели несколько дополнительных битов в IP-заголовке информационных пакетов Internet — зарезервированное место, куда приложение может поместить цифровую «почтовую марку» для сообщения транспортирующей пакет сети о том, в каком уровне обслуживания он нуждается. Идея состояла в том, что маршрутизаторы и концентраторы будут упорядочивать пакеты, исходя из отметки об уровне сервиса, помещать их в свои внутренние очереди соответственным образом и за счет этого позволят реализовать некоторую сетевую «политику». С появлением голосовых пакетов в потоках IP производители сетевых устройств стали использовать эти уровни сервиса в целях предоставления речи специального обслуживания. Как пользователи, мы не хотели бы, чтобы наш разговор прерывался паузами из-за того, что голосовые пакеты застряли во внутренних очередях маршрутизатора. Благодаря предложению стандартов на сигнализацию QoS — как конкретными поставщиками (RSVP компании Cisco), так и организациями по стандартизации (Diff-Serv рабочей группы IETF), пограничные устройства получили возможность сообщать маршрутизаторам в сети о том, что голосу требуется предоставить специальное обслуживание по сравнению с обычными данными, чтобы он мог получить гарантированную долю пропускной способности.

ОБОРУДОВАНИЕ КОРПОРАТИВНЫХ ШЛЮЗОВ VOIP
Чтобы речь была слышна по корпоративной сети Intranet, вам потребуются шлюзы VoIP — автономные устройства для подключения УАТС к корпоративной сети. Они подключаются к аналоговым линиям вашей телефонной системы — портам внешних линий или абонентских устройств — и позволяют всем сотрудникам офиса производить бесплатные звонки. Кодировщики внутри шлюзов сжимают оцифрованный голосовой поток, экономя тем самым пропускную способность информационного канала IP. Одним из наиболее распространенных стандартов сжатия является G.723.1, он дает возможность передавать речь по обычным телефонным линиям с низкой пропускной способностью, занимая только 6,3 Кбит/с (сжатие в пропорции примерно 10:1). Он является также принятым по умолчанию кодировщиком в стандарте H.323 — протоколе передачи аудио и видео по глобальной сети. Другие стандарты кодирования укладываются в диапазон от G.727 (32 Кбит/с) до G.729 (8 Кбит/с), последний нашел широкую поддержку среди поставщиков VoIP. Сжатие речи неизбежно приводит к некоторой потере качества ее звучания, так что если у вас есть некоторый избыток пропускной способности, то шлюзы можно сконфигурировать на кодирование с более высокой пропускной способностью — как, например, с помощью G.727 на 32 Кбит/с.

Шлюзы VoIP имеет смысл применять в средних и крупных компаниях, располагающих филиалами, уже оснащенными всем необходимым для получения корпоративной электронной почты и доступа к удаленным базам данных: в этом случае им остается только установить шлюзы VoIP по обе стороны соединения и пустить по нему речь одновременно с данными. Если в небольшом филиале УАТС отсутствует, то это не проблема. Если шлюз VoIP поддерживает сигнализацию FXS, то обычный аналоговый телефон можно подключить напрямую к устройству. Например, MultiTech в своем MultiVOIP и InterPrise 400 со своим Inter-Tel предлагают недорогие решения для не имеющих УАТС филиалов.

Более сложные шлюзы VoIP предоставляют дополнительные возможности экономии для крупных компаний, у которых имеются выделенные соединительные линии для связи удаленных УАТС. Если у вас имеется УАТС с поддержкой стандарта QSIG, то вы можете распространить такие функции УАТС, как голосовая почта и организация конференций, на сеть IP и отказаться от вышеупомянутых соединительных линий. Великолепный Vanguard 6520 компании Motorola полностью совместим со стандартом QSIG. CX950 компании Memotec имеет прозрачную поддержку QSIG и также является неплохим выбором. Оба устройства подключаются к интерфейсу T-1 на УАТС и преобразуют QSIG в IP (и обратно). Если ваша УАТС поддерживает какой-либо нестандартный сетевой протокол взаимодействия между УАТС, то вам придется обращаться за шлюзом VoIP к своему поставщику. Ожидаемый в скором времени VoIP-шлюз NEAX 951 будет способен передавать сигнализацию CDDS и CCIS между УАТС NEAX.

Стандартов на QoS имеется целый выводок. Однако, по всей видимости, отрасль VoIP остановила свой выбор на Diff-Serv от IETF. Он поддерживается в серии Vanguard компании Motorola, а также Enterprise Edge от Nortel.

ВИРТУАЛЬНЫЕ ЧАСТНЫЕ СЕТИ VOIP
Ненасытные потребности корпораций в передаче данных послужили стимулом для появления VoIP в корпоративном мире. Конечно, всему есть пределы, в том числе и тому, сколько компании готовы потратить на содержание этих внутренних VPN, тем более если провайдеры Internet способны предложить более дешевое в долгосрочной перспективе решение.

В области передачи данных VPN должны гарантировать конфиденциальность и защиту, так как при передаче по разделяемой общедоступной сети корпоративные данные могут быть изъяты и прочитаны посторонними людьми. Как следствие, специалисты по информационным технологиям любят говорить о шифровании, идентификации, открытых ключах и конвертах данных, чего нам, простым смертным, не понять. Однако специалисты в области связи не столь привередливы в этом вопросе, они вполне удовлетворяются тем, что голосовые пакеты передаются в открытом незащищенном виде по информационным сетям VPN. Голосовые диалоги невозможно интерпретировать в реальном времени. Для подслушивания линии хакеру понадобилось бы дорогостоящее оборудование и много времени. Кроме того, вызванные шифрованием и дешифрованием задержки при передаче голосовых пакетов привели бы к значительному снижению качества воспроизводимой речи. Как следствие, шлюзы VoIP не шифруют голосовые пакеты, и VoIP по VPN передается «как есть».

Заглядывая в будущее, мы можем сказать, что VoIP VPN должны в конце концов появиться, и крупные корпорации будут иметь возможность изолировать голос и данные в этих виртуальных сетях с получением гарантированных характеристик в соответствии с соглашениями об уровне сервиса. Среди будущих планов поставщиков VoIP VPN — предоставление компаниям возможности направлять IP-вызовы в общедоступные сети. Как сообщили нам в PSINet, компания собирается предоставить подобную услугу в рамках своей службы PSIVoice. Представьте, в один прекрасный день все телефонные звонки с вашего аппарата, как внутренние, так и внешние, будут превращаться в IP-пакеты в этих VPN, и старые добрые операторы будут необходимы только для последнего отрезка меди — или вообще не нужны, если адресат вызова находится в вашей организации.

Энди Грин ("Lan/Журнал сетевых решений")

[Jan 22-28] Security Info digest #23 (по материалам Аналитического центра компьютерной безопасности (АЦ) www.sert.ru)

По данным http://www.attrition.org/mirror/attrition/ за период с 22 по 26 января было взломано 120 Веб сайтов

В XFree86 версии 3.3.6 обнаружено несколько уязвимостей, которые позволяют локальному или удаленному пользователю провести DoS атаку против Х сервера. При определенном стечении обстоятельств локальный пользователь может увеличить уровень своих полномочий в системе. Более подробно:

- DoS атака:
удаленные пользователь, посылая специальные tcp пакеты на 6000 порт Х сервера, может вызвать подвисание оного на несколько минут. В это время не перемещается курсор мыши, не обновляется экран, не отвечает клавиатура и не работают переключалки на консоль и комбинации клавиш для экстренного выхода.

- Дыры в Xlib:
Вследствие нескольких ошибок при программировании в libX11 (привилегированные setuid/setgid) программы позволяют пользователю поднять уровень своих полномочий.

- DoS в библиотеке libICE:
Из-за недостаточных проверок на ограничения в библиотеке libICE, обнаружена возможность ДоС атаки любого приложения, которое использует libICE для листинга сетевого порта.

Подробнее:
http://www.securityfocus.com/

В утилите crontab, которая служит для внесений изменений в настройки cron демона, обнаружена уязвимость, которая может позволить локальному пользователю прочесть любой файл в системе, для которого выполняются следующие требования к синтаксису:
- это один из файлов самого crontab(5)
- это файл; каждая строка которого содержит либо пробел, либо начинается с символа '#'.
Подробнее:
http://www.securityfocus.com/

Уязвимость найдена в одном из самых популярных DNS серверов ISC BIND версий 8.2.2 и 8.2.2 с 1 по 6-ой уровней патчей. Если named сконфигурирован для передачи зон с сжатом виде (ZXFR) и рекурсивного разрешения, то попытка разрешения имени удаленного хоста после скачивания зоны вызовет падение самого демона. Так как named не сконфигурирован для работы под присмотром так называемого "watchdog" процесса, который автоматически его перезапустит после падения - это означает что таким образом может быть реализована DoS атака на DNS сервис.
Подробнее:
http://www.securityfocus.com/

В сервере баз данных MySQL всех версий до 3.23.31 обнаружена уязвимость, позволяющая удаленно получить полномочия пользователя, под которым непосредственно работает сама база данных, обычно это 'mysql'. Для этого злоумышленнику необходимо иметь реальные логин/пароль и открытый 3306 TCP порт для соединения с ней по сети.
Подробнее:
http://www.securityfocus.com/

Компания "Инфотекс" начинает продвижение на российском рынке информационной безопасности нового продукта "TermiNET".

Новый продукт, представляющий собой персональный фаирволл, был разработан в сотрудничестве с компанией "DANU Industrias" и успел обрести популярность среди индивидуальных пользователей ПК и компаний малого и среднего бизнеса во всем мире, о чем свидетельствуют высшие рейтинги таких файловых архивов, как TUCOWS, ROCKET DOWNLOAD.COM, ZDNet и многих других.

Программа ViPNet [TermiNET] - это персональный сетевой экран, предназначенный для защиты компьютера от атак из Интернет. ViPNet [TermiNET] может устанавливаться изначально в один из следующих режимов:

 1. "Закрытый режим" по умолчанию блокирует весь трафик к компьютеру и от него. Администратор может выборочно разрешить, например, доступ только по FTP или доступ по FTP, Telnet и Web. Для осуществления родительского контроля доступ может быть ограничен только к определенному множеству страниц. Эти страницы можно вывести на экран по специальным правилам или из "Белого списка" URL.

 2. "Открытый режим" не налагает никаких начальных условий блокировки трафика. Администратор может выборочно закрыть определенный доступ приложением, портом и протоколом - например: блокировать все Telnet и FTP, блокировать всe входящие соединения через порт 25, блокировать доступ к определенному набору web-страниц. Также эти страницы могут быть выведены на экран по специальным правилам или из "Черного списка" или желаемых сайтов. 

 3. "Бумеранг" Этот режим разрешает весь выходящий трафик, но блокирует все входящие соединения, кроме тех, которые инициированы Вашим компьютером. В этом режиме машина может использоваться для Web-browsing, FTP и т.д. как обычно, но защищена от атак из Internet.

Программа ViPNet [TermiNET] - идеальное решение проблемы защиты в Internet пользователей, занимающихся малым и средним бизнесом и домашних пользователей, которые не имеют достаточных средств для установки больших программ защиты.

Основные возможности программы ViPNet [TermiNET] включают в себя: 

 - Стандартные и дополнительные правила: включить\выключить те или иные правила.

 - Черный список/Белый список - эта особенность обеспечивает возможность запрещать доступ к нежелательным сайтам или разрешать его только к известным желаемым сайтам. 

 - Гибкое управление доступом позволяет с помощью IP адреса, URL, порта и / или протокола определять правила.

 - Правила могут работать только в указанные пользователем дни. 

 - Простота использования интерфейса "Windows Explorer" делает настройки ViPNet [TermiNET] доступными даже для пользователя, незнакомого с техникой.

Загрузить полнофункциональную демоверсию продукта можно по адресу: http://www.infotecs.ru/Demo/Terminet.zip

Полнофункциональные демо-версии продуктов ViPNet Desk, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.