Сети VPN на основе шифрования

Более масштабным средством защиты трафика по сравнению с защищенными каналами являются виртуальные частные сети (VPN). Подобная сеть представляет собой своего рода «сеть в сети», то есть сервис, создающий у пользователей иллюзию существования их частной сети внутри публичной сети. Одним из важнейших свойств такой «частной сети» является защищенность трафика от атак пользователей публичной сети. Сетям VPN доступна не только способность имитации частной сети; они дают пользователю возможность иметь собственное адресное пространство (например, частные IP-адреса, такие как адреса сети 10.0.0.0) и обеспечивать качество обслуживания, близкое к качеству выделенного канала.

В соответствии с технологиями обеспечения безопасности данных, сети VPN делятся на два класса:

□ сети VPN на основе разграничения трафика подробно обсуждались в разделе «Виртуальные частные сети» главы 19;

□ сети VPN на основе шифрования работают на основе рассмотренной нами в предыдущем разделе техники защищенных каналов.

Виртуальная частная сеть на основе шифрования может быть определена как совокупность защищенных каналов, созданных предприятием в открытой публичной сети для объединения своих филиалов.

То есть в VPN техника защищенных каналов применяется уже в других масштабах, связывая не двух пользователей, а произвольное количество клиентских сетей.

Технологии VPN на основе шифрования включают шифрование, аутентификацию и туннелирование.

□ Шифрование гарантирует конфиденциальность корпоративных данных при передаче через открытую сеть.

□ Аутентификация отвечает за то, чтобы взаимодействующие системы (пользователи) на обоих концах VPN были уверены в идентичности друг друга.

□ Туннелирование предоставляет возможность передавать зашифрованные пакеты по открытой публичной сети.

Для повышения уровня защищенности виртуальных частных сетей технологии VPN на основе шифрования можно применять совместно с технологиями VPN на основе раз­граничения трафика. Технологии VPN на основе разделения трафика иногда критикуют за недостаточный уровень безопасности, считая, что без шифрования трафика персонал поставщика услуг может получить несанкционированный доступ к данным. Действительно, такая вероятность существует, поэтому клиент услуг VPN на основе разграничения трафика, например MPLS VPN, может самостоятельно повысить защищенность своего трафика, прибегнув, скажем, к шифрованию передаваемых данных. Сейчас наиболее широко используются сети VPN на основе протоколов IPSec и SSL. Стандарты IPSec обеспечивают высокую степень гибкости, позволяя выбрать нужный режим защиты (с шифрованием или только с обеспечением аутентичности и целостности данных), а также использовать различные алгоритмы аутентификации и шифрования. Режим инкапсуляции IPSec позволяет изолировать адресные пространства получателя (клиента) и поставщика услуг за счет применения двух IP-адресов — внешнего и внутреннего.

Сети VPN на основе IPsec, как правило, строятся по типу CPVPN, то есть как виртуальные частные сети, в которых клиент самостоятельно создает туннели IPSec через IP-сеть поставщика услуг. Причем от последнего требуется только предоставление стандартного сервиса по объединению сетей, а значит, предприятию доступны как услуги сети постав­щика, так и услуги Интернета. Конфигурирование сетей VPN на основе IPSec довольно трудоемко, поскольку туннели IPSec двухточечные, то есть при полносвязной топологии их количество пропорционально N х (N - 1), где N — число соединений. Необходимо учесть еще и непростую задачу поддержания инфраструктуры ключей. Протокол IPSec может применяться также для создания виртуальных частных сетей, поддерживаемых провайдером (PPVPN) — туннели в них также строятся на базе устройств клиента (CE- based), но эти устройства удаленно конфигурируются и администрируются поставщиком услуг.

Пропускная способность каналов и другие параметры QoS этой технологией не поддерживаются, но если оператор предоставляет определенные параметры QoS (например, за счет дифференцированного обслуживания), их можно использовать при создании туннеля IPSec.

В самое последнее время выросла популярность VPN на основе протокола SSL. Напом­ним, что этот протокол работает на уровне представления, непосредственно под уровнем приложений, так что приложения должны явным способом его вызывать, чтобы создать защищенный канал для своего трафика. Наиболее популярным приложением, использую­щим защищенные каналы SSL, является веб-браузер. В этом случае защищенные каналы SSL задействует протокол HTTP, и в этом режиме работы его часто называют протоколом HTTPS. Пользователи Интернета хорошо знают этот режим, так как браузер прибегает к нему во всех случаях, когда необходимо обеспечить конфиденциальность передаваемой информации: при покупках в интернет-магазинах, при интернет-банкинге и т. п. Служба VPN на основе SSL функционирует на основе веб-портала, развернутого в локаль­ной сети организации. Пользователи такой защищенной службы VPN получают удаленный доступ к ресурсам этой локальной сети, обращаясь к веб-порталу посредством обычного браузера через порт 443 (TCP-порт протокола HTTPS). Отсутствие специального кли­ентского программного обеспечения, требующего настройки, является значительным преимуществом VPN на основе SSL.

Выводы

Информационная система находится в состоянии защищенности, если обеспечены ее конфиденциальность, доступность и целостность.

Информационная безопасность обеспечивается техническими средствами — системами шифрования, аутентификации, авторизации, аудита, антивирусной защиты, межсетевыми экранами и др., а также юридическими и морально-этическими нормами, просветительной работой и административными мерами.

Существует два класса алгоритмов шифрования — симметричные (например, DES) и асимметричные (например, AFS). Дайджест — это результат односторонней функции шифрования. Знание дайджеста не позволяет и даже не предполагает восстановления исходных данных. Дайджест используется для контроля целостности и аутентичности документа (цифровая подпись).

Аутентификация пользователя — это процедура доказательства пользователем того, что он есть тот, за кого себя выдает. Процедуры аутентификации могут основываться на знании разделяемого се­крета (многоразовые и одноразовые пароли), владения неким уникальным предметом (физическим ключом, документом, сертификатом), на биохарактеристиках (рисунок радужной оболочки глаза). Авторизация — это процедура контроля доступа легальных пользователей к ресурсам системы и предоставление каждому из них именно тех прав, которые определены ему администратором.

Антивирусная защита служит для профилактики и диагностики вирусного заражения, а также для восстановления работоспособности пораженных вирусами информационных систем. В ней исполь­зуются методы, основанные на анализе содержимого файлов (сканирование сигнатур) и поведения программ (протоколирование и предупреждение подозрительных действий).

Сетевой экран осуществляет информационную защиту одной части компьютерной сети от другой путем анализа проходящего между ними трафика. Сетевые экраны делятся на экраны с фильтрацией пакетов на основе IP-адресов, сетевые экраны сеансового уровня, способные фильтровать пакеты с учетом контекста, и наиболее интеллектуальные сетевые экраны прикладного уровня. Прокси-сервер — это особый тип приложения, которое выполняет функции посредника между кли­ентскими и серверными частями распределенных сетевых приложений, причем предполагается, что клиенты принадлежат внутренней (защищаемой) сети, а серверы — внешней (потенциально опасной) сети.

Технология защищенного канала обеспечивает защиту трафика между двумя точками в открытой транспортной сети, например в Интернете. Защищенный канал подразумевает выполнение трех основных функций:

□ взаимная аутентификация абонентов при установлении соединения;

□ шифрование передаваемых по каналу сообщений;

□ подтверждение целостности поступающих по каналу сообщений, например, путем передачи одновременно с сообщением его дайджеста.

К числу наиболее популярных протоколов защищенного канала относятся IPsec и SSL. IPSec — это согласованный набор открытых стандартов, ядро которого составляют три протокола:

□ АН гарантирует целостность и аутентичность данных;

□ ESP, кроме того, обеспечивает конфиденциальность данных;

□ IKE решает задачу автоматического распределения секретных ключей, необходимых для работы протоколов аутентификации.

Более масштабным средством защиты трафика по сравнению с защищенными каналами являются виртуальные частные сети (VPN). VPN на основе шифрования включают шифрование, которое гаран­тирует конфиденциальность корпоративных данных при передаче через открытую сеть, аутентифика­цию взаимодействующих систем на обоих концах VPN и туннелирование, позволяющее передавать зашифрованные пакеты по открытой публичной сети.

Вопросы и задания

1. В каких средствах обеспечения безопасности используется шифрование? Варианты ответов:

а) аутентификация и авторизация;

б) антивирусные системы;

в) защищенный канал;

г) сетевой экран прикладного уровня;

д) фильтрующий маршрутизатор;

е) цифровая подпись.

2. Какие из антивирусных методов способны обнаружить еще неизвестный вирус? Варианты ответов:

а) сканирование сигнатур;

б) метод контроля целостности;

в) отслеживание поведения команд;

г) эмуляция тестируемых программ.

3. К числу базовых функций сетевого экрана относятся:

а) аудит;

б) шифрование трафика;

в) фильтрация трафика;

г) антивирусная защита;

д) функция прокси-сервера;

е) авторизация;

ж) повышение пропускной способности канала.

4. Существует ли угроза похищения пароля при использовании аппаратного ключа?

5. Справедливо ли утверждение «Поскольку открытый ключ не является секретным, то его не нужно защищать»?

6. Что содержится в электронном сертификате? Варианты ответов:

а) секретный ключ владельца данного сертификата;

б) данные о владельце сертификата;

в) информация о сертифицирующем центре, выпустившем данный сертификат;

г) зашифрованные открытым ключом сертифицирующего центра данные, содержащиеся в сертификате.

7. Правила доступа узлов сети периметра к ресурсам внутренней сети часто бывают более строгими, чем правила, регламентирующие доступ к этим ресурсам внешних пользователей. Как вы думаете, почему?

8. Какие из следующих утверждений верны:

а) любое приложение после соответствующего конфигурирования имеет возможность работать через прокси-сервер;

б) для работы через прокси-сервер приложение, изначально не рассчитанное на работу через проки-сервер, требует изменения исходного кода;

в) каждое приложение, построенное в архитектуре клиент-сервер, непременно должно работать через прокси-сервер.

9. Почему в семействе протоколов IPSec функции обеспечения целостности и аутентич­ности данных дублируются в двух протоколах — АН и ESP?

10. Отметьте в таблице все возможные комбинации режимов работы протокола IPsec.

	Хост-хост	Шлюз-шлюз	Хост-шлюз
Транспортный режим
Туннельный режим

Рекомендуемая и использованная литература

1. Фред Халсалл. Передача данных, сети компьютеров и взаимосвязь открытых систем, М.: Радио и связь, 1995.

2. Столингс В. Передача данных, 4-е изд. СПб.: Питер, 2004.

3. Столингс В. Современные компьютерные сети, 2-е изд. СПб.: Питер, 2003.

4. Куроуз Дж., Росс К. Компьютерные сети, 4-е изд. СПб.: Питер, 2004.

5. Таненбаум Э. Компьютерные сети, 4-е изд. СПб.: Питер, 2002.

6. Фейт Сидни. TCP/IP. Архитектура, протоколы, реализация. М.: Лори, 2000.

7. Стивен Браун. Виртуальные частные сети. М: Лори, 2001.

8. Шринивас Вегешна. Качество обслуживания в сетях IP. М.: Вильяме, 2003.

9. Аннабел 3. Додд. Мир телекоммуникаций. Обзор технологий и отрасли. М.: ЗАО «Олимп- Бизнес», 2002.

10. Кеннеди Кларк, Кевин Гамильтон. Принципы коммутации в локальных сетях Cisco. М.: Вильяме, 2003.

11. Дуглас Э. Камер. Сети TCP/IP. Том 1. Принципы, протоколы и структура. М.: Вильяме, 2003.

12. Блэк Ю. Сети ЭВМ: протоколы стандарты, интерфейсы. Перев. с англ. М.: Мир, 1990.

13. Ричард Стивене. Протоколы TCP/IP. Практическое руководство. СПб.: БХВ-Санкт-Петербург, 2003.

14. Слепое Н. Н. Синхронные цифровые сети SDH. М.: Эко-Трендз, 1998.

15. Денисьев и Мирошников. Средства связи для «последней мили». М.: Эко-Трендз, 1998.

16. Дилип Найк. Стандарты и протоколы Интернета. М.: Channel Trading Ltd., 1999.

17. Уолрэнд Дж. Телекоммуникационные и компьютерные сети. Вводный курс, М.: Постмаркет, 2001.

18. Гольдштейн Б. С., Пинчук А. В., Суховицкий А. Л. IP-телефония. М.: Радио и связь, 2001.

19. Олифер В. Г., Олифер Н. А. Новые технологии и оборудование IP-сетей. СПб.: БХВ-Санкт- Петербург, 2000.

20. Олифер В. Г., Олифер Н. А. Сетевые операционные системы, 2-е изд. СПб.: Питер, 2008.

[1] Наряду с внешними электронные устройства могут использовать внутренние интерфейсы, опреде­ляющие логические и физические границы между входящими в их состав модулями. Так, известный интерфейс «общая шина» является внутренним интерфейсом компьютера, связывающим оперативную память, процессор и другие блоки компьютера.

[2] Встречаются и программно-управляемые контроллеры, например, для управления современными принтерами, обладающими сложной логикой.

[3] Термины «клиент» и «сервер» являются чрезвычайно многозначными. Данная пара терминов, уже используемая нами для обозначения функциональной роли взаимодействующих компьютеров и приложений, применима также к программным модулям.

[4] Например, служба каталогов Active Directory компании Microsoft.

[5] Иногда ячеистой называют полносвязную или близкую к полносвязной топологию.

[6] В данном случае термин «концентратор» используется в широком смысле, обозначая любое многоходовое устройство, способное служить центральным элементом, например коммутатор или маршрутизатор.

[7] Иногда вместо точного выражения «адрес сетевого интерфейса» мы будем использовать упрощенное - «адрес узла сети».

[8] На практике для снижения объема вычислений ограничиваются поиском не оптимального в математическом смысле, а рационального, то есть близкого к оптимальному, маршрута.

[9] Такие методы, в которых используется информация о текущей загруженности каналов связи, позволяют определять более рациональные маршруты, однако требуют интенсивного обмена служебной информацией между узлами сети.

[10] Масштабируемостью называют свойство сети допускать наращивание количества узлов и протяженность линий связи в очень широких пределах без снижения производительности.

[11] Термин «абонент» принят в телефонии для обозначения конечного узла. Так как все мы — многолетние пользователи телефонной сети, то далее мы будем сопровождать наше объяснение принципа работы сетей с коммутацией каналов примерами из области телефонии.

[12] В телефонной сети посылке запроса соответствует набор телефонного номера.

[13] Телефонная сеть в этом случае передает короткие гудки — сигнал «занято». Некоторые телефонные сети различают события «сеть занята» и «абонент занят», передавая гудки с разной частотой или используя разные тона.

[14] Наряду с термином «пакет» используются также термины «кадр», «фрейм», «ячейка» и др. В данном контексте различия в значении этих терминов несущественны.

[15] В некоторых технологиях коммутации пакетов (например, в технологии виртуальных каналов) полная независимость обработки пакетов не обеспечивается.

[16] Для простоты будем далее называть коммутаторы сетей с коммутацией пакетов «пакетными коммутаторами».

[17] Напомним, что в разных технологиях для обозначения таблиц, имеющих указанное выше функциональное назначение, могут использоваться другие термины (таблица маршрутизации, таблица продвижения и др.).

[18] Эта метка в различных технологиях называется по-разному: номер логического канала (Logical Channel Number, LCN) в технологии Х.25, идентификатор соединения уровня канала данных (Data Link Connection Identifier, DLCI) в технологии Frame Relay, идентификатор виртуального канала (Virtual Channel Identifier, VCI) в технологии ATM.

[19] Не следует путать интернет (со строчной буквы) с Интернетом (с прописной буквы). Интернет (с прописной буквы) — это самая известная и охватывающая весь мир реализация составной сети, построенная на основе технологии TCP/IP.

[20] Существует новая технология, которая первоначально была задумана как технология городских сетей и поэтому в течение некоторого времени была известна как Metro Ethernet. Однако со временем ее назначение было расширено (или, если угодно, — трансформировано), и теперь она продолжает разрабатываться под названием Carrier Grade Ethernet (см. главу 21), то есть Ethernet операторского класса. Такое изменение названия хорошо иллюстрирует относительность классификации технологий — по сути, это та же самая технология, но названная в соответствии с другим ее признаком, который оказался более существенным.

[21] Термин «коммутатор» используется здесь в широком смысле.

[22] Вопросы безопасности компьютерных сетей обсуждаются в главе 24

[23] Это утверждение справедливо, когда интервал усреднения скорости существенно превышает величину максимальной задержки.

[24] Традиционно, для одной и той же характеристики может существовать несколько названий. Мы приводим только те из них, которые, по нашему мнению, наилучшим образом отражают их смысл.

[25] Так называемое «поузловое» (per hop) применение.

[26] Здесь 1 означает, что моделируется одно обслуживающее устройство, первая буква М обозначает тип распределения интервалов поступления заявок (марковское распределение), вторая — тип рас­пределения значений времени обслуживания (тоже марковское).

[27] Иногда несколько очередей изображают в виде одной очереди, в которой находятся заявки различных классов. Если заявки выбираются из очереди в соответствии с их приоритетами, то это просто другое представление одного и того же механизма.

[28] Их не нужно путать со средствами контроля допуска (admission control) трафика, которые также используются в системах обеспечения качества обслуживания, но имеют другое назначение (см. далее).

[29] Применяются и более сложные варианты профилирования, например, учитывающие среднюю и пиковые скорости.

[30] Дословно — поддерживать порядок полицейскими средствами.

[31] На заднем плане рисунка показана скорость результирующего пакета, а на переднем — скорость исходного потока (полупрозрачным заполнением).

[32] Интерфейсы DTE-DCE описываются стандартами серии V CCITT, а также стандартами EIA серии RS (Recommended Standards — рекомендуемые стандарты). Две линии стандартов во многом ду­блируют друг друга. Наиболее популярными стандартами являются RS-232, RS-530, V.35 и HSS1.

[33] Заметим, что при модуляции аналоговой информации фаза как информационный параметр не применяется.

[34] Когда аббревиатура TDM используется без уточнения режима работы, то она всегда обозначает синхронный режим TDM.

[35] Диапазоны 900 МГц и 5 ГГц свободны от лицензирования не во всех странах.

[36] Новая версия стандарта беспроводных локальных сетей предусматривает повышение скорости ^! передачи данных до 300 Мбит/с.

[37] Термин «цифровая оболочка» (digital wrapper) иногда даже используется в качестве названия самой технологии OTN.

[38] В беспроводных сетях Ethernet применяется другой метод доступа, известный как CSMA/CA. Этот метод рассматривается далее в разделе «Беспроводные локальные сети IEEE 802.11».

[39] В отличие от методов, использующих несколько несущих частот; такие методы называются широкополосными и имеют в своем составе слово «Broadband». Эти методы, хотя и были стандартизованы, не получили распространения в период популярности локальных сетей на разделяемой среде.

[40] Существовали фирменные реализации оборудования FDDI, в которых в нормальном режиме использовалось и вторичное кольцо. Тем самым удавалось добиваться удвоения скорости передачи данных.

[41] Wi-Fi является сокращением от Wireless Fidelity — «беспроводная точность»; термин был введен по аналогии с популярным термином Hi-Fi, обозначающим высокую точность воспроизведения звука аппаратурой.

[42] Функции портала стандартом не детализируются, это может быть коммутатор или маршрутизатор.

[43] Этот стандарт будет кратко рассмотрен в главе 22.

[44] Во время появления коммутатора Kalpana основным режимом работы сегментов был режим разделения среды.

[45] В маршрутизаторах такой прием применяется давно, позволяя сократить размеры адресных таблиц в сетях, организованных по иерархическому принципу.

[46] В Интернете (а значит, и в стеке протоколов TCP/IP) конечный узел традиционно называют хостом, а маршрутизатор — шлюзом. Далее мы будем использовать пары терминов «конечный узел» — «хост» и «маршрутизатор» — «шлюз» как синонимы, чтобы отдать дань уважения традиционной терминологии Интернета и в то же время не отказываться от современных терминов.

[47] Заметим, что использование локального адреса в качестве номера узла имеет ряд преимуществ. Как будет показано далее, именно такая схема принята в протоколе IPv6.

[48] Например, такой технологией является NAT, которая рассматривается в главе.18.

[49] См. раздел «Стек протоколов TCP/IP» в главе 5.

[50] Символы 0х означают, что за ними следует число, записанное в шестнадцатеричном формате.

[51] Иногда мы будем для краткости опускать это уточнение.

[52] Стандарты технологии TCP/IP не требуют, чтобы в таблице маршрутизации непременно содержались маршруты для всех пакетов, которые могут прийти на его интерфейсы, более того, в таблице может отсутствовать маршрут по умолчанию.

[53] О технологии NAT читайте в главе 18.

[54] Порт приложения не надо путать с портами (сетевыми интерфейсами) оборудования.

[55] Заметим, что сегментом называют как единицу передаваемых данных в целом (поле данных и заголовок протокола TCP), так и отдельно поле данных.

[56] Т-1 — это цифровой канал технологии PDH, рассматривавшейся в главе 11.

[57] EGP в данном случае является названием конкретного протокола маршрутизации. Напомним, что аббревиатура EGP служит также названием класса внешних шлюзовых протоколов, используемых для маршрутизации между автономными системами, что вносит некоторую путаницу.

[58] См. об этом в главе 24.

[59] Традиционная технология NAT в виде исключения допускает сеансы обратного направления, заранее выполняя статическое взаимно однозначное отображение внутренних и внешних адресов для некоторого ограниченного набора узлов.

[60] Об отображении групповых IP-адресов на групповые МАС-адреса см. далее в разделе «Протокол IGMP».

[61] Точнее, о «желании» приложения, выполняющегося на этом хосте, получать трафик, направляемый той или иной группе.

[62] В дальнейшем маршрутизатор время от времени продолжит посылать одиночные сообщения о регистрации до тех пор, пока источник остается активным.

[63] В августе 1998 года были приняты пересмотренные версии группы стандартов, определяющих как общую архитектуру протокола IPv6 (RFC 2460), так и его отдельные аспекты, например, систему адресации (RFC 4291).

[64] Мы здесь использовали термин «коммутация» как обобщенный термин, то есть в том же смысле, в котором он употреблялся в разделе «Обобщенная задача коммутации» главы 2. В этом контексте более привычный для описания работы сетевого уровня термин «маршрутизация» является частным случаем коммутации пакетов.

[65] В данном случае VPN рассматривается как имитация частной сети предприятия.

[66] Название международной версии SDH было опущено разработчиками технологии POS.

[67] Встречаются и другие русские переводы термина pseudowire, например эмулятор канала, эмулятор кабеля, псевдопровод.

[68] Форум IETF определил и другие типы псевдоканалов, такие как «точка-многоточка» и «многоточка-многоточка». Эти псевдоканалы являются однонаправленными, но для эмуляции Ethernet они не используются.

[69] Если быть предельно педантичным, нужно сделать оговорку: за исключением МАС-адресов пограничных интерфейсов пользовательских маршрутизаторов, которые попадают в ARP-таблицы интерфейсов пограничных машрутизаторов провайдера в случае, если это интерфейсы Ethernet.

[70] Если в URL-адресе не указывается тип протокола доступа, то браузер по умолчанию использует протокол HTTP.

[71] RFC 1945, 2616.

[72] О средствах обеспечения сетевой безопасности читайте в главе 24.

[73] Для коллекционирования почтовых адресов локатор может прибегать и к более интеллектуальным методам, которые используют в своей работе спамеры (о спаме см. далее).

[74] Программные системы, предназначенные для анализа сетевого трафика, называют также снифферами (sniffers от английского sniff — нюхать).

[75] Спам получил свое название по имени реально существующих консервов Spam, которые стали темой одного из эпизодов популярного английского сериала. В этом эпизоде посетители кафе страдают оттого, что им постоянно навязывают блюда, в которых присутствуют эти консервы.

[76] См. далее раздел «Сетевые экраны».

[77] См. отчет «О нарушениях информационной безопасности 2008» («The Information Security Breaches Survey 2008»), представленный компанией PricewaterhouseCoopers по поручению Министерства предпринимательства, промышленности и управленческих реформ Великобритании.

[78] Информацию, над которой выполняются функции шифрования и дешифрирования, будем условно называть текстом, учитывая, что это может быть также числовой массив или графические данные.

[79] Следует отметить, однако, что существует немало фирменных алгоритмов, описание которых не публикуется.

[80] Детали о системе Kerberos см. в книге авторов «Сетевые операционные системы».

[81] Более поздняя версия протокола SOCKS V5 расширяет возможности версии SOCKS V4, добавляя поддержку UDP, доменных имен, адресов IPv6 и процедур аутентификации пользователей.

[82] 95 % веб-сайтов в Великобритании, принимающих от клиентов информацию о кредитных и дебетовых карточках, используют для передачи такого рода данных протокол SSL.