Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

ФУНКЦИОНАЛЬНОСТЬ

Основная идея, заложенная в коммутаторе услуг IP, заключается в обеспечении провайдера оборудованием для предоставления всех видов дополнительных услуг заказчикам, предъявляющим повышенные требования к производительности и безопасности. В результате эти коммутаторы обладают целым рядом расширенных возможностей. Некоторые из них могут оказаться полезными в большей или меньшей степени (в зависимости от приложений), и большинство провайдеров должно предоставить пользователю возможность определить набор функций, которые ему необходимы. Ниже описаны основные функции и возможности, которые либо уже доступны, либо появятся в ближайшие шесть месяцев.

- Межсетевые экраны с запоминанием состояния и шифрованием (включая 3DES).
«Экраны с запоминанием состояния (stateful firewall) значительно сложнее, чем proxy-серверы или устройства, работающие на основе списков доступа, — отмечает Мари Хаттар, директор по управлению продуктами в IP Services Nortel Networks. — Такой экран позволяет непрерывно следить за потоком передаваемой информации, даже если он переводится на другие порты, как это случается при использовании приложений на базе FTP. Большинство экранов, устанавливаемых в штаб-квартирах, оснащенных CPE, запоминает состояния». Хаттар утверждает, что это одна из главных отличительных черт платформы Shasta.

- IPSec и авторизация доступа.
В дополнение к защищенному туннелированию, IPSec может поддерживать QoS, аутентификацию и авторизацию с помощью различных технологий доступа, что делает этот протокол идеальным для организаций небольшого и среднего размера.

- MPLS.
Благодаря почти всеобщему признанию MPLS, есть хороший шанс, что этот протокол станет основой для VPN XXI века, обеспечивая почти такой же уровень QoS, что и ATM или frame relay, что исключает необходимость в наложении сетей и модификации IP-приложений. Настаивайте на поддержке MPLS.

- Мобильность и LDAP (Lightweight Directory Access Protocol).
Ключевым элементом VPN следующего поколения является способность поддерживать мобильных пользователей как в случае сеансов связи из разных точек, так и в случае перемещения пользователя в течение одного сеанса. Большинство производителей рассматривают обеспечение мобильности как одну из приоритетных задач, однако пока эта функциональность не получила широкого распространения. LDAP предоставляет для VPN механизм работы с каталогами, где хранятся профили обслуживания для каждого пользователя, благодаря чему они могут получить доступ к VPN из любой точки.

- Network Address Translation (NAT).
Функция преобразования сетевых адресов поддерживается почти повсеместно, она позволяет преобразовывать скрытые корпоративные адреса в открытые адреса для обеспечения доступа в Internet.

- Поддержка frame relay.
Многие корпоративные заказчики по-прежнему используют VPN на базе frame relay, поэтому поддержка межсоединения с frame relay имеет смысл. Компания CoSine специализируется исключительно на миграции пользователей, предоставляя услуги межсетевого взаимодействия, такие, как переход от frame relay к IPSec, frame relay поверх IPSec и frame relay с поддержкой IP. Nortel/Shasta также поддерживают frame relay через DS3 с интерфейсами IP, однако другие производители, в частности Quarry Technologies, полагают, что потребность в этом не очень высока. Уменьшение спроса очевидно, однако большинство аналитиков считают, что эта функция заслуживает внимания. Компания Qwest Communications использует для подобных целей коммутатор IPSX компании CoSine.

- Защита от вирусов и выявление вторжений.
- Защита от атак по типу «отказ в обслуживании» (Denial of Service, DoS).
- Услуги шлюзов сигнализации для защищенной IP-телефонии.
- Поддержка PKI через партнерство производителей и соглашения о совместимости.
Внимательно следите за появлением интегрированных услуг по обеспечению безопасности. «Все больше провайдеров пытаются привлечь корпоративных заказчиков всевозможными услугами обеспечения защиты, в которых IP VPN и экраны являются только частью, — говорит Филлипс из TeleChoice. — Фильтрация URL и содержимого, выявление вторжений, обнаружение вирусов и управление открытыми ключами становятся все более и более важными услугами, включаемыми в пакет предложений провайдеров».

- Слежение в реальном времени за соблюдением SLA (Service Level Agreement) и предоставление биллинговой информации (по типу Redback/Abatis).
- Управление контентом и выравнивание нагрузки.
Nortel, совместно с Shasta и производителем коммутатора контента Web компанией Alteon WebSystems, может использовать технологию Уровня 7, разработанную Alteon, для персонализации контента, создания более эффективных правил распространения контента и фильтрации контента путем включения двух продуктов в более широкую сеть. У Nortel также есть стратегия предоставления контента, специфичного для VPN конкретного клиента, который может распределяться и/или кэшироваться ближе к данному клиенту; Shasta Broadband Service Node (BSN) может направить пользователей к этому контенту. В качестве альтернативы данный абонент VPN может с помощью провайдера видоизменить локальный контент на собственных страницах.

- Порталы.
Еще один интересный аспект VPN на базе сети состоит в возможности связи с провайдером VPN через портал или страницу Web, причем эта страница может быть настроена на предоставление специфической информации или услуги. Здесь пользователь может настроить параметры производительности VPN (например, увеличить пропускную способность); добавить, удалить или заменить информацию о подключенных офисах; заказать дополнительные функции защиты (скажем, PKI) или отдельные виды аутентификации. В настоящее время немногие провайдеры могут похвастаться подобными порталами, но все к этому стремятся. Провайдеры пытаются разработать архитектуру на базе шаблонов, в которых страница портала была бы стандартизована для массового рынка, но допускала персонализацию. Сетевые администраторы провайдеров и заказчиков смогут по мере необходимости изменять содержание этих страниц. «Главными функциями, которые могут обеспечить такие порталы, являются управление правилами Web и порталы захвата, — считает Брэд Хокамп, исполнительный вице-президент по управлению и маркетингу продуктов компании SAVVIS. — Управление правилами Web — это способ перехвата пользовательского трафика и направления его на/через конкретный хост. Порталы захвата позволяют продвинуться в вопросе управления Web еще на один шаг вперед, перехватывая пользовательские данные через заданные интервалы времени и возвращая их обратно на хост».

- Формирование услуг и выделение для них ресурсов.
Это довольно хитрая функция, меньше всего освоенная операторами. Для того чтобы завоевать доверие сетевых администраторов, которые предпочитают управлять VPN самостоятельно, и обеспечить простоту модификации VPN, провайдеры должны привлечь заказчиков возможностью легкого доступа к оперативному выбору услуг. Цель состоит в обеспечении возможности задания всех видов параметров функционирования — от пропускной способности до настраиваемых дополнительных услуг, таких, как защита от вирусов. Вся сложность заключается в реализации этой функции.

Первый шаг состоит в разработке универсальных шаблонов для формирования услуг. Nortel/Shasta гордится тем, что ее система Service Creation System позволяет создавать настраиваемые шаблоны для массового применения несколькими нажатиями кнопки мыши, без необходимости использования традиционного интерфейса командной строки, в котором для выполнения аналогичных действий требуется ввести более 100 команд. Топология VPN определяется в два этапа: определение VPN и подключение абонентов к этой VPN. Shasta BSN автоматически создает защищенные туннели между заданными сторонами.

Клиенты компании CoSine используют ее систему управления услугами InVision, которая позволяет отказаться от интерфейса командной строки (CLI) в пользу более гибкого подхода. «В последней версии нашей системы мы предлагаем, например, функцию комбинирования туннелей VPN, которая позволяет создавать охватывающие сотни офисов сети VPN с ячеистой топологией всего несколькими манипуляциями мышью на одном экране, — рассказывает Марк Шоуолтер, вице-президент по маркетингу и управлению продуктами компании CoSine. — Этот процесс может занять целый день при использовании интерфейса командной строки или несколько дней при использовании CPE. Кроме того, у нас есть менеджер маршрутизации, который позволяет создавать глобальные правила маршрутизации для наших виртуально маршрутизируемых VPN, и опять же, на одном экране, — в отличие от модели CPE/CLI, требующей ручного конфигурирования отдельных маршрутизаторов».

Поиск провайдера, который может предоставить тактические услуги (те, которые могут быть введены в действие или отключены по мере необходимости согласно модели «плати только за то, чем пользуешься»), представляется сегодня достаточно трудным делом даже в Соединенных Штатах. Большая часть операторов все еще продолжают совершенствовать необходимый интерфейс сетевого управления. «Мы по-прежнему находимся на ранней стадии реализации функций формирования услуг для VPN на базе сети, — объясняет Филлипс. — Полагаю, что те провайдеры, которые предоставляют эти услуги на коммерческой основе, еще не до конца реализовали все заложенные в них возможности. Но они движутся в указанном направлении, подтверждением чему может служить компания Broadwing. Она предоставляет для платформы Nortel/Shasta средства на базе Web, с помощью которых сетевые администраторы могут создавать, удалять и модифицировать элементы VPN и учетные записи пользователей, а также определять правила безопасности на уровне пользователей, задавать профили приоритета для приложений и получать в реальном времени информацию о производительности». Но только для того, чтобы показать, какой длинный путь еще предстоит пройти в этом направлении, представитель Broadwing на конференции Next Generation Net-works, проходившей в ноябре 2000 г., сообщил, что его компания хотела бы добиться большего в области создания услуг и их настройки, но ни одна из существующих сегодня платформ не поддерживает функцию выделения ресурсов; на разработку систем операционной поддержки (Operating Support System, OSS) потребуются миллионы долларов. Ясно, что интеграция с OSS должна быть более тесной.

НЕ ТАК БЫСТРО

В любой новой технологии реализация всегда отстает от идеи. В случае масштабируемых VPN на базе сети нет еще всех необходимых для работы элементов. На пути внедрения подобных систем имеется ряд существенных преград, но большинство аналитиков уверены, что они будут преодолены, вопрос только во времени.

Прежде всего, нужны более гибкие связи с OSS. "По-прежнему не снята проблема интеграции IP VPN с существующими системами OSS, — говорит Хаттар. — Сервис-провайдеры отличаются друг от друга и реализуют свои сети по-разному. Какого-либо универсального пути не существует, хотя его наличие здорово облегчило бы всем жизнь. Каждому провайдеру требуется уникальное решение — на базе RADIUS, LDAP или CORBA. Чем лучше будет налажено взаимодействие с производителями биллинговых систем и OSS, тем легче будет реализовать решение, тем более что провайдеры развертывают свое решение не на голом месте".

Несмотря на то что некоторые компании (Nortel/Shasta, CoSine, Spring-tide) предлагают впечатляющие системы управления, провайдеры и конкурирующие производители по-прежнему утверждают, что в этой области надо сделать еще очень многое. Провайдеры хотят найти единого производителя, — того, кто бы мог обеспечить высокую степень масштабируемости как с точки зрения производительности, так и управляемости. Quarry, к примеру, заявляет, что собирается сделать акцент в разработке именно на это. Сравнение систем разных производителей выходит за рамки данной статьи, но разобраться в возможностях и ограничениях систем управления, предлагаемых провайдерами для своих услуг, просто необходимо.

Формирование услуг по-прежнему слишком сложно и осуществляется медленно, особенно когда речь идет о таких функциях, как NAT и экранирование, без которых трудно обойтись, но которые требуют значительных затрат времени для реализации. Пока системы централизованного управления и динамического выделения ресурсов не займут подобающего им места, провайдеры вряд ли смогут быстро изменять существующие функции или добавлять новые. Некоторые производители говорят о встраивании большего количества функций в устройства маршрутизации для VPN на базе IP, включая фильтрацию контента и механизмы обнаружения вирусов, а также поддержку стандартов QoS. Подобные действия могут помочь, но не решают проблему в целом.

РЕЗЮМЕ

Несложно догадаться, что в целом взгляд на перспективы VPN на базе сети весьма оптимистичен, тогда как механизмам создания услуг и выделения ресурсов еще предстоит пройти длинный путь: стимул в виде дополнительной прибыли в области новых услуг слишком велик для провайдеров, чтобы от него отказаться. К середине 2001 г. еще слишком рано ожидать внедрения всех новшеств у большинства провайдеров, однако ограниченные функциональные возможности, предоставляемые лидерами, такими, как AT&T, MCI WorldCom, SAVVIS и Qwest, должны работать надежно и несомненно заслуживают внимания. Другие узкоспециализированные провайдеры услуг VPN, например Smart-Pipes, очень интересны, но нет уверенности, что в их бизнес-планах хорошо продуманы вопросы разработки средств выделения ресурсов для предоставляемых услуг. Тем не менее эти игроки должны принести на рынок здоровую конкуренцию и новаторство, не говоря уж о ценовых войнах, поэтому их общее влияние на рынок должно быть положительным для конечных пользователей. Короче говоря, использование VPN на базе CPE в некоторых случаях имеет смысл, но в конечном счете VPN на базе сети должны обеспечивать больше услуг, контроля и гибкости, чем то, что мы имеем сегодня. Возможно, предлагаемые провайдерами пакеты услуг VPN стоит рассмотреть уже сейчас, но после их всесторонней оценки лишь немногие из них действительно окажутся заслуживающими внимания.

Дуг Аллен – зам. главного редактора Network Magazine. С ним можно связаться по электронной почте по адресу: dougallen@cmp.com. (опубликовано в журнале "Открытые Системы", #03/2001)

Всего за период деятельности интернет-магазина "Алексия-Х" через систему CyberPlat была предпринята попытка провести 338 транзакций на общую сумму около $25 тыс. Мошенники использовали украденные данные кредитных карт, эмитированных банками Великобритании, Германии, Франции, Австрии, Нидерландов, Кипра, Чехии и других европейских стран. Платежи осуществлялись, в частности, из московских интернет-кафе. Подобная схема впервые была использована в России в нашумевшей около года назад истории с интернет-магазином "ПолитШоп".

О задержанных в настоящее время известно, что до настоящего времени они занимались различной коммерческой деятельностью, к суду ранее не привлекались. О предполагаемом составе преступной группы пока не сообщается, но известно, что ее примерная численность составляет от 5 до 7 человек. В настоящее время по факту преступления возбуждено уголовное дело, ведется следствие.
(источник - www.cnews.ru, опубликовано 24.05.2001)

Нехватка персонала и отсутствие некоторых ключевых сотрудников в Центре Защиты Национальной Инфраструктуры (NIPC) подвергает риску национальную безопасность США и ослабляет защиту от хакеров и компьютерных вирусов, затрудняя борьбу ФБР с киберпреступностью.

"В то время как некоторые предупреждения об опасности поступают вовремя, другие, касающиеся в первую очередь компьютерных вирусов, приходят поздно", - заявляют представители Управления, проводившие аудит NIPC.

В Европе дела обстоят не лучше - европейские полицейские подразделения также страдают от нехватки специалистов и плохой подготовки, и поэтому "неспособны бороться с киберпреступностью", заявил на совещании представителей полицейских департаментов европейских государств Юрген Шторбек (Juergen Storbeck), руководитель Europol, сообщает Yahoo!Actualites.

По мнению Ю. Шторбека, государства должны объединить свои усилия в борьбе с киберпреступностью, "пока еще не слишком поздно". Руководитель европейской полиции полагает, что в этих условиях полицейские должны получать дополнительное образование, которое позволило бы им бороться с этим новым видом преступности.
(источник - http://www.cnews.ru/, опубликовано 23.05.2001)

"Новая система изменяет интернет-адреса менее чем за одну секунду, при этом их не может увидеть никто, кроме авторизованных сторон, - заявил репортерам на заседании Национального Пресс-Клуба Виктор Шеймов, ветеран КГБ, в свое время отвечавший за взлом шифров противника и шифрование связи КГБ за границей, а ныне основатель, президент и исполнительный директор компании Invicta Networks Inc. - Мы верим в то, что наша новая технология будет играть важную роль в обеспечении сетевой безопасности и откроет новую главу в интернет-истории".

Р. Джеймс Вулси (R. James Woolsey), директор ЦРУ с 1993 по 1995 года, а ныне член совета директоров Invicta, заявил, что разработанная Invicta система - Variable Cyber Coordinates - это "выдающееся интеллектуальное достижение". По его словам, система в корне отличается от других известных разработок.

Стандартный подход к компьютерной безопасности основывается на шифровании или кодировании данных в сочетании с устройствами типа "firewall", призванными отслеживать трафик на предмет безопасности. Вместо этого Invicta предлагает превратить статичный IP-адрес в постоянно меняющийся, динамичный. Для этого Invicta предлагает использовать специальные сетевые карты, позволяющие производить централизованный контроль за назначаемыми IP с центрального сервера. Каждый клиент устанавливает сам, как часто он желал бы менять свой IP-адрес и какие приложения могут быть использованы через сеть. Количество IP может составлять миллиарды.
(источник - http://www.cnews.ru, опубликовано 22.05.2001)

[Apr26 - May22] Security Info digest #31(по материалам Аналитического центра компьютерной безопасности (АЦ) www.sert.ru)

В Winamp 2.6x / 2.7x, а так же в Winamp 2.73 (full), 2.70 (full), 2.64(standard), 2.62 (standard), 2.61 (full), 2.60 (full), 2.60 (lite)
обнаружено переполнение буфера. Версии 2.74/2.72/2.71/2.65 и т.д. не тестировались, но видимо они тоже "больны". Следует отметить, что версии Winamp 2.5e, 2.50, 2.24, 2.04 не подвержены уязвимости.

Переполнение буфера происходит вследствие неправильной обработки *.AIP файлов, которые используются для автоматической загрузки, без непосредственного вмешательства самого пользователя, *.M3U и *.PLS файлов.

Воспользовавшись данной уязвимостью, злоумышленник может получить доступ к DOS shell'у и, соответственно, получить доступ к хранящейся на нем информации.

Временно устранить уязвимость можно, отключив автоматическую загрузку *.AIP файлов, но стоит так же отключить автоматическую загрузку для *.M3U, *.PLS, *.WPZ, *.WSZ и т.п. файлов.

Подробнее:
http://www.securityfocus.com/

В SAP R/3 Web Application Server Demo для OS Linux обнаружена ошибка при использовании функции popen(3) в saposcol. 2001-04-27 компания Walldorf исправила этот баг. Следствием наличия дырки является возможность получения локальным пользователем уровня доступа root в системе.

Временно исправить баг можно, убрав права доступа на чтение и выполнение, а так же сам SUID бит с /usr/sap/WAS/SYS/exe/run/saposcol:
root# chmod a-rxws /usr/sap/WAS/SYS/exe/run/saposcol

В saposcol версии 1.5 уязвимость исправлена разработчиком и доступна
по ftp.sap.com/pub/linuxlab/saptools/

Подробнее:
http://www.securityfocus.com/

В IIS 5.0 обнаружена уязвимость, позволяющая злоумышленнику удаленно выполнить определенный байт-код под уровнем доступа SYSTEM.

Уязвимости подвержены:
Microsoft Windows 2000 Internet Information Services 5.0
Microsoft Windows 2000 Internet Information Services 5.0 + Service Pack 1

Соответственно, злоумышленник получает возможность удаленного выполнения
различных команд в системе.

Подробнее:
http://www.securityfocus.com/

В утилите mailx(1) под OS Solaris обнаружено переполнение буфера.

Как известно, при запуске mailx с флагом -F выполняется функция setgid(2), а поскольку mailx по умолчанию наследует полномочия группы mail, злоумышленник получает соответствующие права доступа.

Уязвимости подвержены: Solaris 8 (SPARC, x86), Solaris 7 (SPARC, x86), Solaris 2.6 (SPARC, x86), Solaris 2.5.1 (SPARC, x86), Solaris 2.5 (SPARC, x86).

Временно исправить баг можно, удалив с /usr/bin/mailx SGID бит:
root# chmod g-s /usr/bin/mailx

Подробнее:
http://www.securityfocus.com/

В Paul Vixie Cron версий 3.0.1, 3.0pl1, 3.0pl1-67, поставляемый в дистрибутивах различных ОС обнаружено переполнение буфера.

Уязвимости подвержены следующие OS:
Paul Vixie Vixie Cron 3.0.1
- S.u.S.E. Linux 7.1 (x86, Sparc, ppc)

Paul Vixie Vixie Cron 3.0pl1
- Progeny Debian 1.0
- Debian Linux 2.2 (x86, sparc, powerpc, arm, alpha, 68k)

Подробнее:
http://www.securityfocus.com/

ОАО «Инфотекс» - одна из старейших High Tech компаний России, лидер отечественного рынка софтверных VPN решений и средств защиты информации в TCP/IP сетях – нашла партнера на нижегородском рынке в лице компании СЕНДИ – одной из ведущих нижегородских интернет-провайдеров.

В результате этого совместного проекта с 15 мая 2001 года группа компаний СЕНДИ запускает новую услугу в области компьютерной безопасности – TermiNET.

TermiNET – это идеальное решение проблем защиты информации для пользователей Интернет, занимающихся малым и средним бизнесом, а также для домашних пользователей, так как оно не требует значительных материальных вложений для установки больших программ защиты.

Использование TermiNET позволит Вам: s

- защитить информацию, хранимую на Вашем компьютере, от возможного несанкционированного доступа при работе в Интернет или локальной сети;
- защитить Ваш компьютер от возможного несанкционированного доступа при работе в Интернет или локальной сети;
- обеспечить односторонний доступ к информационным ресурсам только по инициативе пользователя в сети Интернет и локальной сети, блокируя при этом другие соединения;
- определить адреса злоумышленников, пытающихся получить несанкционированный доступ к ресурсам Вашего компьютера;
При этом пользователю не требуется специальных навыков обслуживания и установки дополнительного оборудования.

Группа компаний СЕНДИ уже давно сотрудничает с компаниями, которые предлагают программные продукты в области обеспечения безопасности при работе в Интернет. Теперь в ряду этих фирм ОАО "Инфотекс". Группа компаний СЕНДИ стремится предлагать каждому своему клиенту индивидуальное решение, оптимально подходящее для решения интересующих его задач.

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.