1 июля 2004
VPN для малого и среднего бизнеса
VPN для малого и среднего бизнеса
Сегодня безопасность передачи информации стала одной из острейших мировых проблем, да и рынок средств защиты, по данным отечественных и зарубежных аналитиков, характеризуется небывалым подъемом. И все это, скорее всего, порождено ни чем иным, как интенсивным использованием Интернет-технологий вследствие их сравнительной дешевизны и удобства (по сравнению с выделенными каналами). А поскольку количество пользователей Сети продолжает быстро расти, то защита информации становится все более актуальной для многих организаций, осознающих ценность своих информационных ресурсов, и в атмосфере бизнеса прочно поселилась тревога за сохранность главных ценностей v корпоративных данных.И не случайно - передача конфиденциальной информации через публичную сеть, вследствие слабой защищенности Интернет, может оказаться серьезной угрозой для бизнеса.Разумеется, современные технологии в значительной мере решают эту задачу. Например, наступление IP-телефонии позволило отказаться от сложных аппаратно-программных средств, необходимых для защиты от прослушивания речи в обычных телефонных системах, и перейти к программным системам безопасности, которые надежно охраняют любые - как речевые, так и пакетные данные. Сегодня на IT-рынке существует немало продуктов, которые обеспечивают защиту информации от несанкционированного доступа (НСД) и других угроз. Среди них - VIP Net, Cisco PIX, Microsoft VPN, Тропа-Джет и другие. Все они высоко котируются на IT рынке и проверены временем, причем каждый из них ориентирован на различные типы и размеры сети, обеспечивает разную степень защищенности сети, имеют разную реализацию (программную, аппаратную или смешанную) и, безусловно, различаются по цене (аппаратные дороже программных). Так, Cisco Pix принадлежит к программно-аппаратным средствам защиты, поэтому стоимость этого межсетевого экрана (МЭ) существенно выше, чем многих программных продуктов.
Что же касается функциональности, то, например, такие мощные системы, как VIPNet Tunnel или Тропа-Джет, рассчитанные на применение в крупных территориально-распределенных сетях, обладают широким спектром функций, вплоть до поддержки удостоверяющих центров для распределения ключей, и способны объединять географически удаленные филиалы предприятия в одну защищенную виртуальную сеть (VPN) , даже если в состав этой VPN входят каналы общего пользования (в том числе Интернет).
В данной статье речь пойдет о менее масштабном продукте, рыночная ниша которого v сети малого и среднего размера (до нескольких десятков пользователей) - программной системе защиты информации StrongNet.
Простой в использовании и надежный комплект ПО StrongNet защищает трафик между любыми компьютерами, установленными в локальной сети или подключенными к ней через Интернет, и обеспечивает эти возможности с помощью шифрования данных в туннельном режиме. ПО, как и многие старшие товарищи использует механизм распределения ключей. Однако, в отличие от большинства продуктов, в StrongNet ключи распределяются между пользователями один раз при установке и конфигурировании системы (без использования центров сертификации), что существенно упрощает систему, но в то же время накладывает определенные ограничения на количество пользователей.
Заметим, что наиболее функционально близкий StrongNet продукт - это подсистема Microsoft VPN (встроенная в Windows), но у героя рассказа есть ряд существенных преимуществ. Во-первых, в StrongNet используются более криптостойкие алгоритмы шифрования, во-вторых, поддерживается сжатие данных при передаче, в третьих обеспечивается автоматическая смена ключа шифрования в процессе работы защищенного соединения, осуществляется протоколирование трафика и сжатие передаваемой информации, что позволяет сократить трафик.
Функции и возможности
ПО StrongNet устанавливается на стандартном ПК под управлением MS Windows NT/2000/XP/2003, объем дистрибутива составляет 1Мб. Интерфейс StrongNet реализован в виде простых форм, большинство полей которой заполняется путем выбора вариантов из ниспадающего списка, заданного разработчиками.С помощью StrongNet можно реализовать различные функции обеспечения безопасности - например, защитить трафик внутри локальных сетей, обеспечить защищенный доступ удаленных клиентов к корпоративной сети, а также создать встроенный персональный межсетевой экран (МЭ). Кроме того, передавая защищенные данные,Strong Net использует алгоритмы сжатия, в значительной мере снижающие объем трафика.
Локальный МЭ - один из важнейших компонентов StrongNet; он выполняет фильтрацию входящих и исходящих IP-пакетов по определенным критериям: используемого сетевого протокола, IP-адреса источника и пункта назначения, а также в зависимости от номера порта источника и пункта назначения. Параметры фильтрации задаются для каждого адаптера, если таковых несколько.
Настройка конфигурации адаптеров дает возможность выполнить дополнительную фильтрацию на каждом из них. Например, для защищенного соединения можно блокировать все входящие и исходящие незащищенные пакеты, или запретить подключение других пользователей к вашему ПК. В значительной мере обезопасить работу с защищенным соединением позволяет и хранение ключей аутентификации на электронных ключах, поддерживающих стандарт PKCS#11, среди которых: iKey 10хх/20хх, eToken R2/Pro ,ePass 1000/2000 .
Еще одна важная функция - строгий контроль трафика и действий пользователя (что может оказаться необходимым, например, для отслеживания попыток НСД). Кроме того, StrongNet позволяет вести системный журнал (лог-файл), сохраняя в нем записи о входящих и исходящих IPvпакетах, о TCP/UDP/ICMP-пакетах, об APR-запросах, о пакетах, подвергающихся туннелированию и обо всех прочих типах пакетов. При этом каждый тип данных сгруппирован по характерному признаку: входящий, исходящий, APR и т.д.
Задачи и решения
Основная функция StrongNet - создание защищенного канала передачи данных между компьютерами локальной сети ( в том числе и подключенными к ней удаленно через Интернет). Прежде всего следует отметить, что транспортируемая через этот канал информация кодируется помощью симметричных алгоритмов шифрования. Кроме того, при установлении соединения StrongNet обеспечивает двустороннюю аутентификацию с помощью сеансовых ключей, используемых для шифрования трафика. Особенность программы - прозрачность ее работы: конечный пользователь может и не подозревать, что данные передаются в зашифрованном виде.
При создании StrongNet перед ее разработчиками стояли три задачи:
- гарантировать конфиденциальность информации за счет ограничения доступа к передаваемому по каналу трафику доступ только для субъектов, обладающих соответствующими правами;
- обеспечить аутентификацию источника сообщений, чтобы исключить бесправные или вымышленные источники информации
- гарантировать целостность данных, создав условия невозможности их модифицикации при передаче через защищенный канал.
Гарантия конфиденциальности передаваемых данных базируется прежде всего на тотальном кодировании всей передаваемой по защищенному каналу информации с помощью симметричных алгоритмов шифрования. При этом сеансовые (симметричные) ключи шифрования передаются только после установления защищенного соединения и, в свою очередь, также кодируются с использованием асимметричного алгоритма шифрования RSA, который, в том числе, дает возможность аутентифицировать источник сообщений. Гарантированная целостность данных обеспечивается за счет применения MAC-алгоритмов MD-5-HMAC, SHA1-HMAC.
Как известно, в современных VPN-продуктах наиболее часто реализуется один из двух способов распределения ключей: с помощью центра генерации или посредством центров сертификации. Поскольку система StrongNet ориентирована в первую очередь на малые и средние сети, то разработчики сочли наиболее оптимальным реализовать предварительное распределение ключей с помощью центра генерации.
Во-первых, данный способ сравнительное прилагательное вызывает вопрос более чего? прост в применении и удобен для системных администраторов, а во-вторых, такое решение дает возможность пользователям сети к моменту установления соединения получить все необходимые ключи. Кроме того, в зависимости от настроек конкретного ПК сеансовые ключи (или ключи шифрования) могут автоматически меняться либо по истечении некоторого заданного пользователем интервала времени, либо при достижении определенного объема переданной информации.
Заметим, что конфигурирование программы требует выбора некоторых параметров в меню развернутого режима настройки(кнопка Развернуть->>). В этом контексте StrongNet определяются алгоритмы кодирования, которые будут использованы, параметры внутреннего МЭ, фильтров и трафика, порядок и периодичность смены сессионных ключей кодирования и некоторые другие переменные. После определения основных настроек с программой может работать любой пользователь, задавая в дальнейшем только IP-адрес компьютера, с которым необходимо установить соединение (упрощенный режим работы с программой).
ПО StrongNet поддерживает следующие симметричные алгоритмы кодирования трафика: 3DES, IDEA-128, CAST-128, BlowFish-128, RC5-128, AES-128, SAFER-128, BlowFish-448, AES-256, GOST-256 (число после названия алгоритма означает длину ключа). При настройке по умолчанию используется алгоритм AES-128. Сегодня длина ключа симметричного шифрования в 128 бит считается вполне достаточной для надежной защиты. Тем не менее, многие специалисты рекомендуют использовать алгоритмы с 256-битным ключом, поскольку считают, что они могут гарантировать безопасность и в будущем, как минимум в ближайшие 15-20 лет.
Ключевые подробности
Прежде, чем начинать работу в режиме защищенного канала, системе необходимо сгенерировать и распределить между пользователями ключи таким образом, чтобы у каждого из них был полный набор, содержащий его личный ключ и открытые ключи других пользователей StrongNet его корреспондентов. Для установления соединения со своими корреспондентами пользователь должен иметь необходимый набор ключей (если открытый ключ какого-либо сотрудника не содержится в наборе, то и связь с ним будет невозможна). Такой набор может храниться либо в файле, либо в электронном ключе.
Генерация набора ключей возложена на программный комплекс StrongNet KeyGen Center, входящий в комплект поставки StrongNet. KeyGen Center, по сути строит базу данных (БД) ключей, а затем на ее основе составляет наборы, записываемые в файл или электронный ключ. Генерация ключей происходит при создании БД, т.е. всего один раз.
Для создания БД ключей нужно, прежде всего, задать их количество (равное предполагаемому количеству пользователей системы), длину ассиметричного ключа, а также придумать название и имя файла БД. Заметим, что с точки зрения KeyGen Center понятия ключ и пользователь тождественны, поскольку одному ключу соответствует один и только один пользователь, и наоборот. Для набора ключей каждого пользователя определяется индивидуальное место хранения (файл или электронный ключ); при этом в ПО предусмотрена не только автоматическая загрузка ключа при запуске операционной системы, но и автоматический разрыв соединения при изъятии электронного ключа.
После генерации и распределения ключей StrongNet готова к работе. По умолчанию запуск программы осуществляется при старте Windows (иконка помещается в правую часть панели задач). При вызове появляется окно StrongNet для задания удаленного VPN-соединения, содержащее только поле для ввода IP-адреса удаленного пользователя, с которым необходимо установить соединение.
Заметим, что при установке полнофункциональной версии StrongNet никто, включая разработчиков системы, не может получить доступ к защищенной информации не владея паролем и внешним ключом.
Авторизация по открытому ключу.
Перед открытием защищенного соединения необходимо убедится, что обе стороны имеют право на установление защищенного соединения. Для этого служит авторизация, в данном случае (в StrongNet), авторизация по открытому ключу (RSA) от 2048 до 4096 бит. Каждый абонент VPN имеет некоторый набор открытых ключей других пользователей системы и еще собственные личный и открытый ключи. Открытые (публичные) ключи применяются для шифрования данных, а личные v для расшифровки. Непосредственное шифрование трафика выполняется по тому типу симметричного алгоритма шифрования, который выбран администратором безопасности при установке и конфигурировании ПО.
Обмен пакетами авторизации между корреспондентами происходит следующим образом. Инициирующая защищенное соединение сторона посылает респонденту пакет запроса, содержащий сгенерированный ключ шифрования трафика инициатора соединения (ключ 1). Удаленный респондент должен расшифровать и проверить пакет, а затем сгенерировать свой ответ в формате пакета ответа на авторизацию, где записывается второй сгенерированный ключ шифрования трафика (ключ 2) и подтверждение получения ключа 1 от инициатора. При этом подтверждение формируется в виде значения хеш-функции ключа 1 с инициализационным вектором, равным ключу 2. Длина ключа 1 определяется инициатором соединения, исходя из настроек сессии соединения, а длина ключа 2 принимается равной длине ключа 1.
Организация туннелей обмена
Здесь следует отметить, что с целью повышения криптостойкости защиты обмен сообщениями абонентов VPN организован, с помощью двух сессионных ключей (которыми корреспонденты обмениваются в процессе авторизации). Время активности сессии задается до открытия защищенного соединения в настройках конфигурации системы и обычно устанавливается в пределах 10-60 минут, в зависимости от важности защищаемой информации, трафика, и т.д.
После завершения процедуры авторизации инициатор вводит IP-адрес компьютера, с которым требуется установить соединение и выбирает сетевой адаптер из предлагаемого списка (по умолчанию Adapter 0 соответствует модемному dial-up соединению).
После завершения авторизации открываются туннели обмена. Правила отбора туннелей подразумевают шифрование всего трафика любых IP протоколов между сторонами, и только этого трафика. Пакеты, которые не принадлежат IP протоколам, могут либо проходить выше беспрепятственно, либо задерживаться. В качестве туннельных ключей шифрования инициатор использует свой сгенерированный ключ (ключ 1 в нашей терминологии), а удаленный пользователь - свой (ключ 2). Ключи шифрования действуют только в течение времени активности сессии, а по истечении промежутка времени, равного таймауту сессионного ключа, изменяются системой.
Для контроля активности сессий и предотвращения так называемых мертвых (аварийно завершенных) сессий существует процедура квитирования, которая заключается в обмене пакетами подтверждения каждые 20-40 секунд в течение сессии (точное время квитирования - idle time сессии определяется во время авторизации). По истечении idle time без подтверждения активности происходит принудительный разрыв соединения.
Механизм квитирования организован следующим образом: В начале сессии счетчики idle time таймаута обеих сторон обнуляются. Пороговое значение отключения для каждой из сторон устанавливается равным времени начала защищенного обмена. Пакет подтверждения активности генерируется и посылается инициатором соединения по истечении половины промежутка idle time. Если ответ не поступает в течение 5 секунд, процедура повторяется. После 3 попыток или завершения периода idle time происходит принудительное отключение сессии с посылкой подтверждения. Удаленный респондент (хост) ожидает пакета запроса и при его получении сбрасывает счетчик idle time в ноль, посылая при этом пакет подтверждения инициатору обмена. Как только idle time сессии превысит пороговое значение отключения v происходит разрыв соединения.
ПО StrongNet было выпущено в коммерческую продажу недавно, в конце 2003 г., однако система быстро нашла своего пользователя, прежде всего в тех сетях, где ранее использовались продукты Физтех-софт- StrongDisk Pro и StrongDisk Server. К началу 2004 г. StrongNet уже установлен и эксплуатируется в сетях 37 компаний. Следует подчеркнуть, что продукт востребован, в основном, на предприятиях с небольшими и среднего размера сетями (не более 100 рабочих станций). А главным преимуществом продукта перед конкурентами стала не столько цена (49 долларов за 1 рабочее место), сколько дополняющая VPN функция шифрования трафика.
Демонстрационную версию StrongNet можно загрузить с сайта компании Физтех-софт (www.strongdisk.ru.). Она работает точно так же, как и полнофункциональная, но не обеспечивает полноценную защиту информации, поскольку установленные в ней алгоритмы не являются достаточно стойкими.
| Производительность алгоритмов |
Кроме надежности, у алгоритмов шифрования есть еще один параметр, принципиально важный при выборе ключа v скорость кодирования / декодирования, определяющие производительность работы алгоритма. Задача любого пользователя v выбрать оптимальный алгоритм для каждого конкретного случая. При этом можно не заниматься оптимизацией напрямую, а применить такой, для которого скорость шифрования и записи на диск будет существенно выше пропускной способности самой сети или каналов подключения к ней. Например, при модемном подключении скорость передачи, как правило, не превышает 56 кбит/с, что существенно ниже производительности алгоритмов. Что же касается локальных сетей, то их пропускные способности в 10, 100 и 1000 Мбит/с, на деле оборачиваются скоростью передачи, равной 70%-90% от максимума и зависят от используемого сетевого оборудования. При этом следует помнить, что поскольку передача данных представляет собой двухуровневый процесс, то реальная скорость передачи будет ограничена минимальным значением скорости v шифрования или дешифрования. Тестирование алгоритмов, реализованных в StrongNet, в проводилось на системах Intel Pentium 4 2.1GHz под Windows XP SP1 (таблица).
| Производительность некоторых алгоритмов шифрования. | | Алгоритм шифрования | | Скорость кодирования, Мбит/с | | Скорость декодирования, Мбит/с | | AES-256 | | 539 | | 562 | | AES-128 | | 722 | | 756 | | Blowfish-448 | | 1278 | | 1223 | | CAST-128 | | 759 | | 813 | | SAFER | | 311 | | 342 | | ГОСТ-89-256 | | 326 | | 317 | | 3DES | | 354 | | 378 |
|
Публикации по теме
7 мая 2008
Ровно половина утечек прошедшей недели пришлась на образовательные организации. По мнению экспертов компании Perimetrix, такая ситуация неудивительна, поскольку школы и институты обрабатывают большие объемы персональных сведений. А степень проникновения информационных технологий (и, тем более, систем информационной безопасности) традиционно находится на не слишком высоком уровне.
|
|
21 февраля 2008
Потеря информации и ее утечка, не являются произвольными действиями по своей природе и стоят совсем не дешево. С помощью представленных ниже 5 шагов защиты информации, предприятия могут значительно снизить риск, и быть увереннымb, что их структурированная и неструктированная информация не попала в плохие руки, и не переживать, что она будет утеряна.
|
|
5 декабря 2007
Сегодня концепция безопасности информации в компьютерных системах предполагает защиту вычислительной среды, в которой работают множество «субъектов» (пользователей и процессов) со множеством «объектов» (ресурсов и наборов данных). Эта защита должна обеспечиваться множеством специальных процедур, способных под управлением некоего ядра безопасности реализовать санкционированный доступ «субъектов» к «объектам» и защиту последних от всех внешних и внутренних угроз - возможных несанкционированных действий «субъектов-нарушителей» и случайных процессов.
|
|
|
|
|
29 апреля 2014
Многие компании закупают за свой счет мобильные гаджеты для сотрудников, часто бывающих в командировках. В этих условиях у ИТ-службы появляется насущная необходимость контролировать устройства, которые имеют доступ к корпоративным данным, но при этом находятся за пределами периметра корпоративной сети.
|
 |
