Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Протоколы VPN

Стандартизированных протоколов для VPN-сетей пока нет, хотя работы по решению этого вопроса ведутся. Например, организация IETF, которая отвечает за разработку стандартов для сети Интернет, в настоящее время занимается утверждением в качестве стандарта протокола L2TP (Layer 2 Tunneling Protocol), который объединяет Point-to-Point Tunneling Protocol (компании Microsoft) и Layer 2 Forwarding Protocol (фирмы Cisco Systems). При помощи этого протокола пользователи могут применять в одних и тех же VPN-сетях L2TP-совместимые аппаратные и программные реализации VPN-продуктов различных производителей. Также следует отметить, что IETF занимается продвижением протокола IPSec (IP Security Protocol), который является набором открытых стандартов для аутентификации и шифрования IP-пакетов. Протокол IPSec является дополнением IP средствами обеспечения информационной защиты данных, которые отвечают, требованиям корпораций, желающих отправлять свои конфиденциальные данные по Internet через VPN-сети.

Для создания VPN-сетей в Интернет используются 4 основных протокола: РРТР, L2F, L2TP и IPSec. Причинами такого многообразия можно считать как отсутствие стандартов, так и то, что одни компании используют VPN-сети для замены серверов удаленного доступа, чтобы более эффективно обеспечивать соединение мобильных пользователей, офисов и филиалов с корпоративной сетью через ISP, а другие компании используют VPN-сети как средство обмена данными между локальными сетями по защищенным тоннелям в Интернет. Такая функциональная противоречивость отражается и в наборе протоколов для создания VPN-сетей: РРТР, L2F и L2TP используются для удаленного доступа, а IPSec - для соединений между локальными сетями.

РРТР

Протокол РРТР был одним из первых для создания VPN-соединений в сети Интернет. Он был разработан     фирмой     Ascend Communications,    корпорацией Microsoft и несколькими другими производителями VPN-продуктов. Этот протокол встроен практически во все современные операционные системы фирмы Microsoft, что гарантирует РРТР жизнь в течение нескольких последующих лет. Однако ему присущ ряд недостатков. Например, РРТР не поддерживает современных средств шифрования данных и схем аутентификации пользователей с применением генераторов паролей. Существует версия РРТР with RC4, которая использует протокол RC4 для шифрования данных.

L2F

Главное отличие РРТР и L2F состоит в том, что протокол L2F может работать в инфраструктуре сетей других протоколов, таких, как Frame Relay или ATM. Протокол L2F для усиления средств установления подлинности поддерживает протоколы Tacacs+ и Radius. Также важным отличием L2F и РРТР является то, что созданные с помощью L2F тоннели способны поддерживать несколько соединений одновременно.

L2TP

Разработка протокола L2TP ведется в организации Internet Engineering Task Force. Он является продолжением РРТР и L2F, в котором будут устранены недостатки, присущие первым VPN-протоколам. Протокол L2TP выполняет те же функции, что РРТР и L2F. Однако он определяет свой собственный протокол тоннелирования.

L2TP должен стать еще более универсальным, чем L2F, потому что разработка ведется по созданию протокола, который мог бы использоваться в транспортных сетях Х.25, Frame Relay и ATM.

IPSec

Протокол IPSec применяется для усиления криптографической защиты информации в протоколе L2TP (L2TP with IPsec). Этот протокол был разработан для создания средств обеспечения защищенной передачи пакетов протокола IPv6. Основная задача IPSec - обмен сеансными ключами, используемыми для шифрования данных, и их администрирование. В протоколе применяется схема обмена ключами IKE (Internet Key Exchange), которая в настоящее время утверждается в качестве стандарта IETF. Схема IKE представляет собой два похожих модуля: IKE aggressive mode - для быстрого распределения ключей и IKE X.509 certificates -для использования сертификатов публичных ключей.  Протокол IPSec выделяет два заголовка в IP-пакете, которые используются системами аутентификации и шифрования данных: АН (Authentification Header - заголовок аутентификации) и ESP (Encapsulating Security Payload - заголовок протокола безопасного закрытия содержания).

Спецификация IPSec предусматривает применение АН и ESP к IP-пакету двумя способами. В стандартном режиме передачи данных аутентификации и шифрованию подвергается только заголовок IP-пакета. В режиме тоннелирования аутентификация и шифрование распространяются на весь пакет. При выборе режима нужно определить, какой фактор более важен: скорость доставки данных или безопасность информации. Существует три   модификации   протокола IPSec:

∙ IPsec gateway - для связи между различными сетями;

∙ IPsec client for Windows - для связи с клиентской Windows-машиной;

∙ IPsec client for Macintosh - для связи с клиентской Macintosh-машиной.

Дополнительные протоколы

1. Протокол IPPCP compression применяется для сжатия IPSec-трафика.

2. TripleDES или тройной DES -для усиления криптографической защиты передаваемых данных.

3. VPN toolkit - для использования OEM при создании VPN-систем.

4. Certificate authority - для авторизации систем и служб.

Количество протоколов, применяемых для создания VPN-сетей, очень велико. Именно это и является главной проблемой VPN-технологии, решением которой занимаются такие организации, как VPNC и IETF.

Поддержка протоколов в продуктах различных фирм-производителей отражена в табл. 3.

Хотелось бы отметить компании, которые занимаются предоставлением VPN-услуг на российском рынке.

Компания "Элвис+" предлагает свои собственные VPN-решения серии "Застава" - это отдельные и готовые для работы VPN-продукты, которые также можно встраивать в различные сетевые комплексы других фирм-производителей, например   компании   Aladdin Software Security. 
MAS Electronic AG предоставляет VPN-решения для сетей, построенных по технологиям ATM и Frame Ralay.
Компания Rainbow Technologies предлагает программно-аппаратные комплексы для работы в IP-сетях.
Корпорация ЮНИ предоставляет VPN-решения компании Checkpoint, являясь ее официальным дистрибьютором в России.
Фирма "Инфотекс" предлагает VPN-продукты серии ViPNet, являющиеся ее собственной разработкой.

Заключение

Технология VPN займет одно из основных мест на рынке сетевого обеспечения по очень важной причине: она предоставляет возможность обмениваться данными через Интернет. Благодаря этому компании, использующие в качестве основы для корпоративной сети каналы Интернет, смогут экономить значительные средства, так как им не придется создавать новые частные глобальные сети на базе арендованных линий и технологии Frame Relay. 

Таблица 3. Поддержка протоколов VPN в продуктах различных фирм-производителей

В. В. Красавин - независимый эксперт (опубликовано в журнале "Сотовая связь" №16)

[Mar01 - 13] Security Info digest #26(по материалам Аналитического центра компьютерной безопасности (АЦ) www.sert.ru)

По данным http://www.attrition.org/mirror/attrition/ за период с 29 января по 9 февраля было взломано 367 Веб сайтов, в том числе в домене
.ru - JSC Cherepovets Communications (www.hotcity.ru) и 000 "СВОДСТРОИ-КОТТЕДЖ" (www.svod.ru)

Обнаружен новый вирус - Magistr - отличается повышенной злобностью (через месяц после попадания он стирает информацию на компьютере) и умением прятаться на компьютере. Основной способ заражения - как всегда через почтовые сообщения. Кардинальный способ предупреждения заражения - не открывать что-то исполняемое из приложения почтовогосообщения. Более подробно об этом :
http://www.cnews.ru/topnews/2001/03/15/content3.shtml

Некоторые релизы Cisco IOS и CatOS (операционные системы маршрутизаторов Cisco и Catalist свичей) содержат сходные по свойствам уязвимости, позволяющие просматривать и модифицировать некоторые SNMP объекты без какой-либо авторизации.

Вся уязвимости вызваны ошибками, допущенными при реализации поддержки Simple Network Management Protocol (SNMP) протокола, являющегося Интернет-стандартом и применяемого для удаленного администрирования сетевых устройств. В SNMP используется понятие "сообщество" (community), которое служит для обозначения групп "объектов" (переменных), собранных в древовидную структуру, которые можно просмотреть или модифицировать. Структура SNMP-данных называется Management Information Base (MIB). Отдельное устройство может поддерживать разнообразное количество MIB-ов, связанных вместе в большую структуру , предоставляющих 'read-only' (только чтение) или 'read-write'(чтение-запись) доступ к различным, возможно даже перекрывающимся, частям большой структуры данных. Примером 'read-only' переменной может служить счетчик, показывающий итоговое число переданных или принятых через интерфейс байт. Примером 'read-write' объекта может служитьпеременная, в которой описана скорость интерфейса или имя хоста.

В SNMP версий 1 и 2 механизмы контроля доступа развиты достаточно слабо (SNMP v3 предоставляет большие возможности за счет использования более строгих методов аутентификации) При отсуствии дополнительных параметров конфигурации, ограничивающих доступ, знание названия сообщества для устройства - все, что необходимо для получения доступа ко всем объектам (с уровнем доступа 'read-only' или 'read-write').

Ниже описаны ошибки в реализации поддержки SNMP в различных версиях
IOS:

1. Сообщество с 'read-only' доступом может быть добавлено в параметры настройки при выполнении команды "snmp-server community" ( если "community" до этого не было описано). В случае удаления команды описание сообщества появится перезагрузки устройства. Подробный список уязвимых версий приведен в http://www.cisco.com/warp/public/707/ios-snmp-community-vulns-pub.shtml

Уязвимость вызвана дефектом в реализации SNMPv2 функции "informs", с помощью которой обеспечивается обмен информацией об общем состоянии устройств. Когда устройство выполняет команду "snmp-server host", устанавливая хост, который будет получать SNMP "прерывание" (trap),cообщество, указанное в параметрах команды, становится доступным для широкого пользования, даже если оно не определено заранее в конфигурации. Это происходит даже если сообщество удалили и сохранили конфигурацию перед перезагрузкой системы.

2. Цепочка "read-write" сообществ становится доступной, когда к устройству осуществляется доступ с помощью утилиты "walk" или с
использованием View-based Access Control MIB (VACM) ( этот механизм использует SNMPv3, он добавлен в IOS версии 12.0(3)T).Почти все релизы IOS версий 12.0 подвержены уязвимости. Подробный список уязвимых версий приведен в
http://www.cisco.com/warp/public/707/ios-snmp-community-vulns-pub.shtml

3. При внедрении новых стандартов для управления кабельными модемами ВIOS были описаны новые недокументированные "cable-docsis" сообщества с доступом "read-write", которые заводились специально для DOCSIS совместимых устройств. По умолчанию они доступны на всех устройствах, кроме DOCSIS-совместимых кабельных модемов и оконечных устройств в определенных релизах IOS. Уязвимость описана в CSCdr59314. Уязвимость исправлена в 12.1(4), 12.1(5)T и последующих релизах.

Знание названия доступных на чтение сообществ позволяет получить доступ на чтение к информации, хранящейся на устройстве, что приводит к снижению уровня безопасности. При знании цепочек сообществ доступных на чтение-запись злоумышленник может удаленно без должной авторизации конфигурировать устройство, возможно даже без соответствующего уведомления администратора, что может привести к ошибкам в работе.

Для устранения уязвимости необходимо заменить матобеспечение маршрутизатора или свича, или обеспечить с помощью конфигурационных параметров разграничение доступа к SNMP сервисам (до момента обновления программного обеспечения)

Подробнее:
http://www.cisco.com/warp/public/707/ios-snmp-community-vulns-pub.shtml

21 марта 2001г. компания "Инфотекс" приняла участие в проводимом компанией "Ланит" семинаре "Защита информации внутри организации".

От компании "Инфотекс" выступил технический директор Игнатов В.В. с докладом "Виртуальные сети - реальная основа безопасности в IP-сетях."

Сложившееся определение понятия виртуальных сетей - это соединение локальных сетей через отрытую IP-сеть с использованием на выходах этих сетей специальных устройств, осуществляющих шифрование проходящего через них трафика и туннелирование его между двумя такими устройствами.

В современных условиях более 80% различных атак и попыток доступа к информации осуществляется изнутри локальных сетей, в связи с чем, такой подход к созданию виртуальных сетей становится не эффективным. Следует говорить о действительно защищенной виртуальной сети, только в том случае, когда в такой сети присутствуют, как равноправные объекты защиты, и отдельные компьютеры и защищенные организационными мерами выделенные фрагменты локальной сети, например группы серверов, объединенные в замкнутые или частично пересекающиеся группы. При таком подходе сложность разработки средств для образования виртуальных сетей возрастает на порядок.
Сформулируем наиболее важные необходимые требования к таким средствам, обеспечивающим возможность их использование в стандартных локальных и глобальных сетях при высоком уровне безопасности в процессе информационного обмена.

1. Способность автоматически поддерживать протоколы DHCP, то есть динамическое выделение IP-адресов. Это означает, что должны присутствовать надежные процедуры авторегистрации IP-адресов, специальные программы - серверы, выполняющие функции оповещения о новых IP-адресах.
2. Способность работать через различные типы Firewall-Proxy в локальных сетях, осуществляющих преобразование адресов.
3. Быть полностью прозрачными для любых типов IP-протоколов.
4. Обеспечивать защиту IP-трафика еще на этапе загрузки компьютера сразу после загрузки сетевого драйвера.
5. Поддерживать различные типы протоколов, которые могут быть критичными к преобразованию адресов (NetBios, WINS, DHCP, DNS, ICMP,HTTP, FTP, Real audio, Real video, H323 и др.).
6. Не требовать специальных протоколов аутентификации для соединения.
7. Учитывая реальную потребность в ряде случаев работать одновременно с определенными открытыми ресурсами, средство VPN должно выполнять функции достаточно мощного персонального сетевого экрана.
8. Обеспечивать защиту широковещательных пакетов.
9. Обладать достаточно высокой производительностью для нормальной работы в локальных сетях.
10. Иметь средства централизованного управления для управления и контроля такой виртуальной сетью.
11. При установке на мобильных компьютерах иметь возможность сохранения множественности конфигураций, что без дополнительных настроек позволило бы пользователю выбрать нужную конфигурации при изменении места подключения компьютера.

Здесь перечислены только наиболее важные функции, которые должны выполняться персональными средствами VPN для обеспечения возможности их использования одновременно в локальных и глобальных сетях без наложения серьезных ограничений на сетевую среду.
Очень немногие отечественные и импортные средства VPN удовлетворяют этим требованиям. Поэтому при выборе средств VPN, которые должны функционировать в локальных и глобальных сетях, следует внимательно познакомиться с теми свойствами, которые эти средства в состоянии выполнить.

Одним из средств, удовлетворяющих указанным выше требованиям, является пакет программ "Корпоративная наложенная сеть ИНФОТЕКС" (торговая марка ViPNet), сертифицированный Гостехкомиссией Россией по классу 1В автоматизированных систем и 3 классу Межсетевых экранов. Криптографическое ядро данной системы ("Домен-К") в настоящее время проходит сертификационные испытания в ФАПСИ (сертифицирующая лаборатория - НТЦ "Атлас" ФАПСИ).

Система ViPNet обеспечивает прозрачную защиту информационных потоков любых приложений и любых протоколов IP, как для отдельных рабочих станций, файловых серверов, серверов приложений, маршрутизаторов, серверов удаленного доступа и др., так и сегментов IP - сетей. Одновременно выполняет функции персонального сетевого экрана для каждого компьютера и межсетевого экрана для сегментов IP-сетей.

Прикладные программы системы ViPNet дополнительно предоставляют защищенные службы реального времени для циркулярного обмена сообщениями, проведения конференций, ведения переговоров, служб гарантированной доставки почтовой корреспонденции с процедурами электронной подписи и разграничением доступа к документам, служб автопроцессинга для автоматической доставки файлов.

Программное обеспечение системы ViPNet функционирует в операционных средах Windows 95/98/ME/NT/2000, Linux. В апреле 2001 года выходит версия для SUN Solaris и Intel Solaris.

Производительность работы Драйвера защиты трафика в зависимости от операционной системы и мощности компьютера от 2 до 32 Мбит/сек и практически не ограничивает работу компьютеров даже в 100 Мегабитных сетях.

Для разгрузки процессоров серверов сети и увеличения производительности до 60-96 Мбит/сек в них может быть установлена PCI - плата ViPNet-Turbo 100.

Ведутся работы по созданию специализированного устройства, обеспечивающего обработку трафика, с производительность до 700-800 Мбит/сек.

Игнатов Владимир Владимирович, технический директор ОАО Инфотекс

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.