Читайте также: |
|
Технологии применения Интернет изменяют подходы к обеспечению сетевой безопасности. Границы корпоративных сетей теперь не определяются установленным оборудованием. Они определяются той политикой безопасности, которой придерживаются участники информационного обмена. Для того, чтобы такая политика безопасности была эффективной, она должна включать в себя широкий спектр технологий обеспечения информационной безопасности, которые управляют доступом к информационным ресурсам, контролируют целостность и подлинность информации и сетевых соединений, проходящих как через Интернет, так и через внутренние сети организации и ее партнеров.
В настоящее время существует технология защиты информации, реализованная в виде набора программных модулей, которые, будучи установленными на компьютеры (рабочие станции, сервера, сервера-посредники), перехватывают весь сетевой трафик и контролируют его (шифруют или фильтруют). Компьютер начинает жить, как бы в нескольких измерениях сразу, каждое из которых недоступно друг другу. Любое соединение с другим защищенным объектом тут же "огораживается" непроницаемым для других туннелем и делает его безопасным. В результате создается виртуальная частная сеть (VPN) с большим количеством сервисных возможностей.
Под VPN понимается совокупность компьютеров и локальных сетей одной или нескольких компаний, которые используют открытые каналы связи для передачи конфиденциальной информации, и которые для отдельных потоков информации или целиком должны быть изолированы от других компьютеров.
Общепринятым способом построения VPN является установка различных защитных средств на входе локальных сетей, объединяемых в VPN.
Виды, функции и варианты реализации виртуальных частных сетей VPN
Аббревиатуру VPN можно расшифровать не только как Virtual Private Network (Виртуальная Частная Сеть), но и как Virtual Protected Network, т.е. Виртуальная Защищенная Сеть.
Термин "private" имеет два основных значения: частный (собственный) и конфиденциальный (закрытый). Если говорить о первом значении, то частная сеть - это сеть, в которой всё оборудование, включая территориальные кабельные системы, коммутирующие устройства, средства управления, являются собственностью предприятия. Такая сеть отвечает требованиям и второго определения, так как в собственной сети легче соблюдать конфиденциальность, поскольку все ресурсы сети используются только сотрудниками предприятия – владельца сети.
VPN - это частная сеть передачи данных, использующая открытую телекоммуникационную инфраструктуру и сохраняющая при этом конфиденциальность передаваемых данных посредством применения протоколов туннелирования и средств защиты информации.
Цель VPN-технологий состоит в максимальной степени обособления потоков данных одного предприятия от потоков данных всех других пользователей публичной сети. Обособленность должна быть обеспечена в отношении параметров пропускной способности потоков и в конфиденциальности передаваемых данных.
Таким образом, задачами технологий VPN являются обеспечение в публичной сети гарантированного качества обслуживания для потоков данных, а также защита их от возможного НСД.
Однако основной задачей VPN является защита трафика. Поэтому VPN должна удовлетворять большому числу требований и, в первую очередь, обладать надёжной криптографией, гарантирующей защиту от прослушивания, изменения, отказа от авторства. Кроме того, VPN должна иметь надежную систему управления ключами и криптоинтерфейс, позволяющий осуществлять криптооперации: защищённая почта, программы шифрования дисков и файлов и др.
В настоящее время интерес к технологии построения VPN обусловлен целым рядом причин: низкой стоимостью эксплуатации за счёт использования сетей общего пользования вместо собственных или арендуемых линий связи, неограниченной масштабируемостью решений, простотой изменения конфигурации, "прозрачностью" для пользователей и приложений.
VPN-технологии позволяют обеспечить:
- защиту (конфиденциальность, подлинность и целостность) передаваемой по сетям информации;
- защиту внутренних сегментов сети от НСД со стороны сетей общего пользования;
- контроль доступа в защищаемый периметр сети;
- сокрытие внутренней структуры защищаемых сегментов сети;
- идентификацию и аутентификацию пользователей сетевых объектов;
- централизованное управление политикой корпоративной сетевой безопасности и настройками VPN-сети.
По наиболее распространённой классификации виртуальных защищённых сетей существуют следующие виды VPN:
Интранет VPN (Intranet VPN) - внутрикорпоративная виртуальная сеть, объединяет в единую защищённую сеть несколько распределённых филиалов одной организации, взаимодействующих по открытым каналам связи.
VPN удалённого доступа (Remote Access VPN) - виртуальная сеть с удалённым доступом, реализует защищённое взаимодействие между сегментом корпоративной сети и одиночным пользователем, который подключается к корпоративным ресурсам из дома (домашний пользователь) или через ноутбук (мобильный пользователь).
Клиент-сервер VPN (Client-Server VPN) - обеспечивает защиту передаваемых данных между двумя узлами корпоративной сети.
Экстранет VPN (Extranet VPN) – межкорпоративная виртуальная сеть, реализует защищённое соединение компании с её деловыми партнерами и клиентами, уровень доверия к которым намного ниже, чем к своим сотрудникам.
По другой классификации (Virtual Private Network Consortium) можно выделить следующие виды VPN:
1) Доверенная виртуальная частная сеть (trusted VPN).
2) Защищённая виртуальная частная сеть (secure VPN).
3) Смешанная виртуальная частная сеть (hybrid VPN).
4) Виртуальная частная сеть, предоставляемая провайдером (provider-provisioned VPN).
Все продукты для создания VPN можно условно разделить на следующие категории: программные, аппаратные и интегрированные.
Программное решение для VPN - это, как правило, готовое приложение, которое устанавливается на подключенном к сети компьютере. С одной стороны, программное решение относительно недорого, но с другой стороны, создание подобной системы предусматривает конфигурирование сервера для распознавания данного компьютера, VPN-пакета, сетевых плат для каждого соединения и специальных плат для ускорения операций шифрования, что может быть затруднительным даже для опытных специалистов.
В отличие от них аппаратные VPN-решения включают в себя всё, что необходимо для соединения - компьютер, частную (как правило) операционную систему и специальное программное обеспечение. Развертывать аппаратные решения значительно легче, но зато стоимость их достаточно высокая и позволить их себе приобрести может не каждая организация.
Существуют также интегрированные решения, в которых функции построения VPN реализуются наряду с функцией фильтрации сетевого трафика, обеспечения качества обслуживания и др.
Выбор решения определяется тремя факторами: размером сети, техническими навыками сотрудников организации и объёмом трафика, который планируется обрабатывать.
Как правило, построение VPN для распределённых компаний даже с небольшим количеством удалённых филиалов является достаточно трудоемкой задачей, сложность которой объясняется следующими причинами: гетерогенностью используемых аппаратно-программных платформ, разнообразием задач (защищённый обмен между головным офисом и филиалами, офисом и мобильными или удалёнными сотрудниками, сегментами внутренней сети), необходимостью построения централизованной системы управления всей корпоративной VPN, наличием узкой полосы пропускания и откровенно плохим качеством существующих каналов связи особенно с регионами.
Сложность определяется ещё и тем, что у заказчиков определённые критерии отбора средств для построения VPN: масштабируемость, интегрируемость, легальность используемых алгоритмов и решений, пропускная способность защищаемой сети, стойкость применяемых криптоалгоритмов, унифицируемость VPN-решений, стоимость.
Варианты построения VPN и средства защиты информации, дополняющие VPN. Протоколы построения VPN могут быть реализованы сетевыми средствами различных категорий:
- серверами удалённого доступа, позволяющими создавать защищённые туннели на канальном уровне эталонной модели сетевого взаимодействия (модели OSI);
- маршрутизаторами, которые могут поддерживать протоколы создания защищённых виртуальных сетей на канальном и сетевом уровнях;
- межсетевыми экранами (МЭ), включающими в свой состав серверы удалённого доступа и позволяющими создавать VPN как на канальном и сетевом, так и на сеансовом уровнях;
- автономным программным обеспечением, позволяющим создавать защищённые виртуальные сети в основном на сетевом и сеансовом уровнях;
- отдельными специализированными аппаратными средствами на основе специализированной ОС реального времени, имеющими два или более сетевых интерфейса и аппаратную криптографическую поддержку и ориентированными на формирование защищённых туннелей на канальном и сетевом уровнях;
- комбинированными пограничными устройствами, которые включают в себя функции маршрутизатора, межсетевого экрана, средства управления пропускной способностью и функции VPN.
Гарантируя защиту передаваемой информации, VPN не обеспечивает её защиту во время хранения на конечных компьютерах. Эта задача решается целым рядом специальных средств: систем криптозащиты файлов и дисков; систем защиты от НСД к компьютерам; антивирусных систем; межсетевых экранов.
Например, вопрос совместного использования МЭ и VPN возникает в случае защиты компьютерных сетей во всех вариантах, кроме VPN на базе МЭ. МЭ - это "ограда" вокруг сети, которая препятствует проникновению сквозь неё злоумышленников, а VPN - "бронированный автомобиль", который защищает ценности при вывозе их за пределы такой ограды.
Существуют несколько вариантов установки МЭ: перед VPN-устройством и после него. В первом случае возникает ситуация, когда на МЭ из Интернета попадает нерасшифрованный трафик, что приводит к невозможности контроля передаваемого содержимого. В другом случае само устройство VPN становится уязвимым к внешним атакам. Идеальным решением, к которому пришло большинство зарубежных производителей, а также отечественные разработчики, является совмещение в одном устройстве функций МЭ и VPN. Именно такое использование обоих решений обеспечивает необходимый уровень защищённости информационных ресурсов.
Основные компоненты VPN:
- маршрутизаторы;
- межсетевые экраны;
- подсистема протоколирования событий;
- Центр Управления Сетью (ЦУС);
- основные криптографические средства;
- вспомогательные автоматизированные средства управления политикой безопасности.
Дата добавления: 2015-07-19; просмотров: 135 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Для проведения группового занятия по военно-специальной подготовке | | | Технология системы защиты информации ViPNet |