English version  
Главная Продукция Решения Лицензии Партнеры Поддержка О компании Контакты

Решение S-Terra CSP

Стандарты сетевой защиты информации

Сетевая безопасность от Cisco

Инфраструктура безопасности

Методология построения сетевой защиты

CSP VPN в архитектуре Cisco SAFE

Надежность

Масштабируемость

Экономическая эффективность

Публикации

Технологии и стандарты сетевой защиты информации

Назначение и область применения

Стойкость защиты VPN

Метафора VPN-защиты

Применения VPN-технологий

Стандарты сетевой защиты

Назначение и область применения

Сетевая информационная безопасность – это технологии виртуальных защищенных сетей (Virtual Private Network, VPN) и интегрированные с ними средства аутентификации и контроля доступа.

Технологии VPN обеспечивают шифрование (конфиденциальность), электронно-цифровую подпись (целостность, имитостойкость, аутентификация) на уровне IP-пакетов.

На основе технологии VPN обеспечиваются защищенные соединения между подсетями и компьютерами. При этом компьютеры могут идентифицироваться, как «обезличенные» узлы сети (по IP-адресу) и как рабочие места заданных индивидуальных пользователей (такая идентификация производится, как правило, по сертификату пользователя).

Технологии VPN обеспечивают значительную гибкость в реализации политики сетевой защиты.

Для обеспечения защиты могут использоваться множественные алгоритмы шифрования, сложные конфигурации туннелей и защищенных периметров. При необходимости защитить сложную сетевую инфраструктуру эти технологии не имеют практической альтернативы.

Технологии VPN – это криптографически стойкое, гибкое и прозрачное для приложений средство защиты информации.

Криптографическая стойкость технологии обеспечивается применением соответствующих криптографических алгоритмов (3DES, AES, ГОСТ).

Гибкость обеспечивается применением множества сценариев защиты информации (от периметрических сценариев до защиты трафика отдельных приложений из конца в конец), подбором индивидуальной политики защиты при необходимости это возможно для каждого, отдельно взятого сетевого соединения.

Важным преимуществом технологий VPN является прозрачность защиты: приложения, как правило, «ничего не знают» о том, что внизу, «под ними» работает VPN и «чувствуют себя» в виртуальной защищенной сети так же свободно, как и в открытой IP-сети.

Стойкость защиты VPN

Архитектура IPsec предоставляет исключительно стойкую защиту.

Во-первых, она криптографически обеспечена на уровне всех функций протокола.

Во-вторых, она работает на уровне драйвера в IP-стеке, который прост (трудно атакуем) и является «универсальным» инструментом контроля доступа:

  • драйвер принимает и обрабатывает каждый IP-пакет;
    обходных путей для проникновения в защищаемую систему нет 
  • драйвер чрезвычайно прост в логике работы

    Решения, принимаемые драйвером, базируются на ограниченном пространстве данных. Простота драйвера является важным показателем стойкости защиты, поскольку для сложных систем, например, систем разделяемого доступа к файлам или для web-серверов, работающих с комплексными информационными объектами, часто находятся атаки, построенные на ошибках обработки сложных комбинаций данных. Для реализации такой атаки достаточно передать, например, web-серверу, сложный запрос – и система «повиснет», отменит защиту и пропустит злоумышленника к тем ресурсам, которые не должны быть ему доступны. Мало того, что такие атаки чрезвычайно эффективны, информация о них часто публикуется в Интернете и поэтому такого рода атаку может осуществить даже малоквалифицированный хакер. В силу же простоты и ограниченности информационного пространства операций VPN-драйвера, обойти защиту VPN практически невозможно
  • в отличие от традиционного межсетевого экрана, решение о доступе основано на строгой (криптографической) аутентификации участников взаимодействия.

Другими словами, в защищенную VPN-сеть может проникнуть только тот, кто владеет секретным ключом. При правильной организации ключевого управления и дисциплины работы с ключами, проникновение постороннего в такую сеть практически исключено.

В-третьих – правила защита трафика и контроль доступа могут быть тонко гранулированы.

Наконец, защита IPsec, как никакая другая, гибко укладывается на сетевые топологии и реализует множество самых разных сценариев защиты сети.

Метафора VPN-защиты

Образно функциональность VPN можно представить следующим образом:

  1. Мы можем заключить любой компьютер в непроницаемый «магический круг», устанавливая для VPN-драйвера политику по умолчанию – «не пропускать никого».
  2. Далее, мы можем соединить «магические круги» (создать VPN-туннель).

    3. Важно, что туннель может гибко настраиваться, чтобы соединять подсети, отдельные компьютеры и даже заключать в себя трафик отдельного заданного приложения. На концах туннелей могут находиться перечисленные объекты, однако, наряду с сетевыми объектами, VPN-туннель может опираться на индивидуальную аутентификационную информацию о конкретном пользователе. Таким образом, политика сетевой защиты может быть индивидуально настроена на права доступа отдельного физического лица.

  3. Наконец, мы можем построить сколь угодно сложную систему туннелей, с разными свойствами защиты.

    4. Одни туннели могут обеспечивать только аутентификацию отправителя и получателя информации и целостность потока данных. Другие – обеспечивать шифрование информации, причем для различных туннелей могут применяться различные криптоалгоритмы. Туннели могут вкладываться друг в друга. Различные защищенные сети могут быть полностью изолированы, либо могут взаимодействовать по контролируемым правилам.

Применения VPN-технологий

Исторически внедрение VPN-технологий началось с построения защищенных периметров корпоративных сетей и туннелей при передаче конфиденциального трафика через публичные сети.

Следующим этапом было построение корпоративных сетевых инфраструктур

Вероятным сценарием развития этих технологий является построение VPN-туннелей из конца в конец и защита индивидуальных приложений. Широкое применение VPN-технологии получают также при защите пользователей в мобильных средах и мультимедийных сетях.

Технологические сценарии для всех этих применений существуют на практике, однако индустрия пока не осознала и часто не полностью использует всю мощь технологий VPN.

Технологии IPsec, как никакие другие, подходят для построения сетевой защиты крупных корпоративных сетей, которые характеризуются следующими факторами:

  • высокая размерность системы
  • наличие множества пользователей, сложная структура прав доступа, привилегий и ролей пользователей
  • сложная распределенная топология, наличие территориально распределенных подразделений
  • сложная, распределенная структура прикладных систем
  • использование множества сетевых протоколов, включая протоколы реального времени, обслуживающих голосовые и мультимедийные потоки
  • наличие мобильных пользователей, как внутри корпоративной сети, так и вне ее
  • наличие удаленных пользователей
  • необходимость доступа к открытым информационным источникам (Интернет)
  • наличие внутренних информационных инфраструктур и систем (т.н. интранет-топологии)
  • необходимость взаимодействия с внешними партнерскими организациями, в том числе для обмена коммерчески значимой и конфиденциальной информацией (т.н. экстранет-топологии)
  • наличие конфиденциальных информационных источников с различными уровнями конфиденциальности содержания.

Стандарты сетевой защиты

Технология IKE/IPsec в настоящее время является базовой для построения систем безопасности сетевого уровня как для протокола IP версии 4 (IPv4), так и версии 6 (IPv6). 

Технология IKE/IPsec реализована большинством крупнейших производителей (Cisco Systems, Check Point, IBM, Microsoft) и прошла апробацию/внедрение в большом количестве системных проектов.

Технология IKE/IPsec обеспечивает:

  • аутентификацию, шифрование и целостность данных на уровне передаваемых IP пакетов
  • защиту от повторной передачи пакетов или сообщений (replay attack)
  • создание, автоматическое обновление и защищенное распространение криптографических ключей
  • использование стойких криптографических алгоритмов шифрования, хеширования и электронно-цифровой подписи, включая российские ГОСТ 28147-89 (шифрование), ГОСТ Р 34.11-94 (хеширование), ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001 (электронная цифровая подпись).

Технология IKE/IPsec представлена набором открытых международных стандартов (RFC 2401 – 2412, 2451). Стандарты определяют архитектуру системы безопасности (RFC 2401 «Security Architecture for Internet Protocol») и спецификации основных протоколов.

Основные стандарты IKE/IPSec:

  • RFC 2401, «Security Architecture for Internet Protocol» – архитектура безопасности для протоколов IPv4, IPv6
  • RFC 2402, «IP Authentication Header» (AH) – обеспечивает целостность и аутентификацию передаваемых пакетов
  • RFC 2406, «IP Encapsulating Security Payload» (ESP) – обеспечивает конфиденциальность (шифрование), целостность и аутентификацию передаваемых пакетов
  • RFC 2408, «Internet Security Association and Key Management Protocol» (ISAKMP) – обеспечивает согласование параметров, создание, изменение, уничтожение контекстов защищенных соединений (далее – Security Association, SA) и управление ключами
  • RFC 2409, «The Internet Key Exchange» (IKE) – развитие (адаптация) ISAKMP для работы с протоколами IPsec

Более подробно – http://www.ietf.org/rfc.html.