- Локальна мережа VPN (Local Area Network-VPN)
- Внутрішньокорпоративна мережу VPN (Intranet-VPN)
- Мережі VPN з віддаленим доступом (Internet-VPN)
- Міжкорпоративних мережу VPN (Extranet-VPN)
- Технології VPN на базі мережевих операційних систем
- Технологія VPN на базі маршрутизаторів
- Технологія VPN на базі міжмережевих екранів
При виході локальної мережі у відкрите інтернет-простір виникають загрози двох основних типів: несанкціонований доступ до даних в процесі їх передачі по відкритій мережі і до внутрішніх ресурсів КІС. Інформаційний захист при передачі даних по відкритих каналах реалізується наступними заходами: взаємна аутентифікація сторін, пряме і зворотне криптографічне перетворення даних, перевірка достовірності та цілісності отриманих даних.
Організація захисту з використанням технології віртуальних приватних мереж VPN передбачає формування захищеного "віртуального тунелю" між вузлами відкритої мережі, доступ до якого неможливий потенційному зловмиснику. Переваги цієї технології очевидні: апаратна реалізація досить проста, немає необхідності створювати або орендувати дорогі виділені фізичні мережі, можна використовувати відкритий дешевий Інтернет, швидкість передачі даних по тунелю така ж, як по виділеному каналу.
В даний час існує чотири види архітектури організації захисту інформації на базі застосування технології VPN [8].
Локальна мережа VPN (Local Area Network-VPN)
Забезпечує захист потоків даних і інформації від несанкціонованого доступу всередині мережі компанії, інформаційну безпеку на рівні розмежування доступу, системних і персональних паролів, безпеки функціонування операційної системи, ведення журналу колізій, шифрування конфіденційної інформації.
Внутрішньокорпоративна мережу VPN (Intranet-VPN)
Забезпечує безпечні з'єднання між внутрішніми підрозділами розподіленої компанії. Для такої мережі маються на увазі:
■ потужні криптографічні засоби шифрування даних;
■ надійність роботи критично важливих транзакційних додатків, СУБД, електронної пошти, Telnet, FTP;
■ швидкість і продуктивність передачі, прийому і використання даних;
■ гнучкість управління коштами підключення нових користувачів і додатків.
Мережі VPN з віддаленим доступом (Internet-VPN)
Забезпечують захищений віддалений доступ віддалених підрозділів розподіленої компанії і мобільних співробітників і відділів через відкритий простір Інтернет. Така мережа організовує: адекватну систему ідентифікації і аутентифікації віддалених і мобільних користувачів; ефективну систему управління ресурсами захисту, що знаходяться в географічно розподіленої ІС.
Міжкорпоративних мережу VPN (Extranet-VPN)
Забезпечує ефективний захищений обмін інформацією з постачальниками, партнерами, філіями корпорації в інших країнах. Передбачає використання стандартизованих та надійних VPN-npoдуктов, що працюють у відкритих гетерогенних середовищах і забезпечують максимальну захищеність конфіденційного трафіку, що включає в себе аудіо-і відеопотоки інформації - конфіденційні телефонні переговори і телеконференції з клієнтами.
Можна виділити два основних способи технічної реалізації віртуальних тунелів:
- 1) побудова сукупності з'єднань (Frame Relay або Asynchronous Transfer Mode) між двома потрібними точками єдиної мережевої інфраструктури, надійно ізольованій від інших користувачів механізмом організації вбудованих віртуальних каналів;
- 2) побудова віртуального IP-тунелю між двома вузлами мережі на базі використання технології тунелювання, коли кожен пакет інформації шифрується і "вкладається" в поле нового пакета спеціального виду (конверт), який і передається по 1Р-тунелю - при цьому пакет протоколу нижчого рівня поміщається в поле даних пакета більш високого рівня.
Віртуальний тунель має всі властивості захищеної виділеній лінії, що проходить через відкритий простір Інтернет. Особливість технології тунелювання полягає в тому, що вона дозволяє зашифрувати не тільки поле даних, а весь вихідний пакет, включаючи заголовки. Це важлива деталь, так як з заголовка вихідного пакета зловмисник може отримати дані про внутрішню структуру мережі, наприклад інформацію про кількість локальних мереж і вузлів і їх IP-адреси. Зашифрований пакет инкапсулируется в інший пакет з відкритим заголовком, який транспортується по відповідному тунелю. При досягненні кінцевої точки тунелю з зовнішнього пакета витягується внутрішній, розшифровується, і його заголовок використовується для подальшої передачі у внутрішній мережі або підключений до локальної мережі мобільному користувачеві (рис. 30.10).
Туннелирование використовується не тільки для забезпечення конфіденційності внутрішнього пакета даних, але і для його цілісності та автентичності. Механізм тунелювання часто застосовується в різних протоколах формування захищеного каналу зв'язку. Технологія дозволяє організувати передачу пакетів одного протоколу в логічній середовищі, що використовує інший протокол. Таким чином, можна реалізувати взаємодію декількох різнотипних мереж, долаючи невідповідність зовнішніх протоколів і схем адресації.
Засоби побудови захищеної VPN досить різноманітні - вони можуть включати в себе маршрутизатори з механізмом фільтрації пакетів (Filtering Router), багатофункціональні міжмережеві екрани (Multifunction Firewall), проміжні пристрої доступу в мережу (Proxy Server), програмно-апаратні шифратори (Firmware Cryptograph). Щодо технічної реалізації
Мал. 30.10. Тунельна схема організації VPN-мережі
можна виділити наступні основні види засобів формування VPN:
■ спеціалізовані програмні рішення, що доповнюють стандартну операційну систему функціями VPN;
■ програмно-апаратний пристрій на базі спеціалізованої операційної системи реального часу, що має два або кілька мережних інтерфейсів і апаратну криптографічний підтримку;
■ кошти VPN, вбудовані в стандартний маршрутизатор або комутатор;
■ розширення охоплення зони, що захищається каналу передачі і прийому даних за рахунок додаткових функцій МЕ.
Тунелі VPN створюються для різних типів кінцевих користувачів: це може бути локальна мережа LAN зі шлюзом безпеки (Security Gateway) або окремі комп'ютери віддалених або мобільних користувачів з мережевим програмним забезпеченням для шифрування і аутентифікації трафіку - клієнти VPN (див. Рис. 30.10). Через шлюз безпеки проходить весь трафік для внутрішньої корпоративної мережі. Адреса шлюзу VPN вказується як зовнішню адресу вхідного туннеліруемого пакета, а розшифрований внутрішній адресу пакета є адресою конкретного хоста за шлюзом.
Технології VPN на базі мережевих операційних систем
Для формування віртуальних захищених тунелів в IP-мережах мережева операційна система Windows NT використовує протокол РРТР (Point-to-Point Transfer Protocol). Туннелирование інформаційних пакетів проводиться инкапсулирование і шифруванням (криптоалгоритм RSA RC4) стандартних блоків даних фіксованого формату (РРР Data Frames) в IP-дейтаграми, які і передаються в відкритих IP-мережах. Дане рішення є недорогим, і його можна ефективно використовувати для формування VPN-каналів всередині локальних мереж, домену Windows NT або для побудови internet- і extranet-VPN для невеликих компаній малого і середнього бізнесу з метою захисту некритичних додатків.
Технологія VPN на базі маршрутизаторів
У Росії лідером на ринку VPN-продуктів є компанія "Cisko Systems".
Побудова каналів VPN на базі маршрутизаторів Cisko здійснюється засобами операційної системи версії Cisko IOS 12.x. Для організації тунелю маршрутизатори Cisko використовують протокол L2TP канального рівня еталонної моделі OSI, розроблений на базі "фірмових" протоколів Cisko L2F і Microsoft РРТР, і протокол мережевого рівня IPSec, створений асоціацією "Проблемна група проектування Internet (Internet Engineering Task Force - IETF). Ефективно застосовується Cisko VPN Client, який призначений для створення захищеного з'єднання Point-to Point між віддаленими робочими станціями і маршрутизаторами Cisko, що дозволяє побудувати практично всі види VPN-з'єднань в мережах.
Технологія VPN на базі міжмережевих екранів
Ця технологія вважається найбільш збалансованою і оптимальної з точки зору забезпечення комплексної безпеки КІС і її захисту від атак із зовнішнього відкритої мережі. У Росії знайшов широке застосування програмний продукт Check Point Firewall-1 / VPN-1 компанії "Check Point Software Technologies". Це рішення дозволяє побудувати глибоко комплексну ешелоновану систему захисту КІС. До складу продукту входять: Check Point Firewall-1, набір засобів для формування корпоративної віртуальної приватної мережі Check Point VPN-1, засоби виявлення атак і вторгнень Real Secure, засоби управління смугою пропускання інформаційних пакетів Flood Gate, засоби VPN-1 Secure Remote, VPN -1 Appliance і VPN-1 Secure Client для побудови Localnet / Intranet / Internet / Extranet VPN-каналів. Весь набір продуктів Check Point VPN-1 побудований на базі відкритих стандартів IPSec, має розвинену систему ідентифікації і аутентифікації користувачів, взаємодіє із зовнішньою системою розподілу відкритих ключів PKI, підтримує централізованих систем управління та аудиту.
На російському ринку можна вказати два продукти, які отримали досить широку популярність: криптографічний комплекс "Шифратор IP-пакетів" виробництва Московського відділення Пензенського науково-дослідного електротехнічного інституту [1] і ряд програмних продуктів ЗАСТАВА компанії "Елвіс +" [2] . Найбільш швидкозростаючим сегментом ринку систем інформаційної безпеки з досліджень "ДОС", "Price Waterhouse Cooper" і "Gartner Group" є системи блокування корпоративних каналів зв'язку. Швидше за все зростають продажі систем захисту від витоків внутрішньої інформації (Intrusion Detection and Prevention - IDP), які дозволяють контролювати трафік електронної пошти та доступ до зовнішніх інтернет-ресурсів.