Защита информации виртуальных частных сетей

8.4 IPSec и бесструктурное шифрование

В протоколе IPSec предусмотрено шифрование каждого пакета индивидуально и независимо от его предшественников. Благодаря такой схеме потеря отдельного пакета приведет к утрате только той части информации, которая была заключена в нем, но нисколько не скажется на возможности дешифрования других пакетов. В тех случаях, когда протоколы туннелирования

канального уровня (такие, как PPTP и L2TP) передаются поверх IPSec, появляется возможность вместо механизмов структурного шифрования РРР использовать механизмы бесструктурного шифрования IPSec.

Протокол IPSec создан на основе модели Целевой группы технической поддержки Интернета, предусматривающей смешение криптографии открытых и секретных ключей. Автоматизирован здесь и процесс управления ключами, за счет чего удается добиться максимально возможного уровня безопасности при очень высокой производительности криптосистемы. Такая схема позволяет производить аутентификацию, проверять целостность информации, предотвращать повторное использование паролей, а также – при применении дополнительных средств – сохранять конфиденциальность данных, обеспечивая тем самым очень высокую защищенность канала связи. К тому же, протокол IPSec, реализованный корпорацией Microsoft, работает ниже сетевого уровня и поэтому прозрачен для пользователей и приложений. Принимая его на вооружение, организации автоматически выходят на качественно новый уровень сетевой безопасности.

Практические реализации IPSec обычно поддерживают более широкий спектр алгоритмов шифрования, чем протоколы туннелирования канального уровня, где используется шифрование РРР. Однако такие протоколы можно передавать поверх IPSec, что позволяет шифровать туннельный трафик канального уровня посредством всех алгоритмов протокола IPSec.

9 Фильтрация

Фильтрация служит еще одним мощным средством обеспечения сетевой безопасности. Опираясь на нее, администратор может разрешить доступ к корпоративной сети из Интернета только тем пользователям, которые прошли аутентификацию в ВЧС. К тому же, отсеивание пакетов, не относящихся к протоколам PPTP и L2TP, снижает риск атаки на корпоративную сеть через сервер шлюза ВЧС. Пропуская поступающий трафик через фильтр, можно удалить из него все пакеты, не отвечающие заданным критериям (протоколам). В комбинации с шифрованием по протоколу РРР эта функция гарантирует, что поступить в частную ЛВС и покинуть ее смогут только санкционированные шифрованные данные.

9.1 Фильтрация на сервере маршрутизации и удаленного доступа ВЧС

Сервер R/RAS (Routing and Remote Access Server – сервер маршрутизации и удаленного доступа) не только производит маршрутизацию сообщений, но и выполняет целый ряд других функций. Так, он способен обслуживать удаленный доступ по коммутируемым каналам, поддерживает ВЧС, обеспечивает фильтрацию пакетов на отдельных портах. А в среде Windows 2000 этот сервер сможет работать с протоколом L2TP.

Разработчики сервера ВЧС R/RAS предусмотрели возможность установки фильтров PPTP и L2TP на входных портах туннельного сервера. Такая схема позволяет блокировать все пакеты, не соответствующие критериям протоколов, которые установлены на сервере. В частности, в сеть могут пропускаться лишь пакеты, адресованные конкретному серверу, или те, исходные адреса которых указаны в список разрешенных IP-адресов отправителей. Может также проводиться проверка подлинности адресов в частной сети отправителя и получателя, назначаемых туннельным сервером.

Допускается и фильтрация трафика на выходных портах туннельного сервера, которая отсеивает данные, исходящие из частной сети. Здесь, например, можно наладить проверку адресов получателей и их сопоставление со списком разрешенных, который ведется на сервере R/RAS. Точно так же можно производить проверку адресов отправителей пакетов.

9.2 Фильтрация IPSec

Протокол IPSec можно представить как еще один уровень, лежащий ниже стека TCP/IP. Управление этим уровнем производится в соответствии с политикой безопасности на каждом компьютере, учитываются и правила обеспечения безопасности, согласованные отправителем и получателем сообщения. Политика безопасности определяет как используемый набор фильтров, так и ассоциированные функции безопасности (associated security behaviors). Если IP-адрес, протокол и номер порта, указанные в пакете, соответствуют критериям фильтрации, следующим этапом становится проверка ассоциированных функций безопасности.

9.3 ВЧС и брандмауэры

Брандмауэр представляет собой еще одно средство защиты корпоративной сети. Этот компонент общей системы безопасности строго следит за тем, какие данные могут быть пропущены из Интернета в частную сеть. Известны три способа размещения брандмауэров в виртуальных частных сетях.

Туннельный сервер ВЧС может быть установлен перед брандмауэром, позади него или на одном компьютере с ним. Наиболее высокий уровень защиты достигается при установке сервера перед брандмауэром. В среде Windows NT туннель ВЧС настраивается таким образом, что в сеть проходят только пакеты PPTP. Пройдя фильтрацию, они разуплотняются, дешифруются и в таком виде поступают на брандмауэр, где их содержимое вновь подвергается фильтрации и анализу. Именно такая схема – установка сервера ВЧС перед брандмауэром – рекомендуется для применения в расширенных интрасетях, используемых многочисленными доверенными партнерами, и для защиты финансовых ресурсов. Впрочем, такой совет не универсален, окончательное решение следует принимать в каждом конкретном случае отдельно.

Как уже отмечалось, брандмауэр может устанавливаться и перед сервером ВЧС. При такой схеме серверу приходится анализировать гораздо больше пакетов, чем в описанной выше схеме. Кроме того, возникает опасность прохождения через брандмауэр несанкционированных пакетов PPTP: информация в них зашифрована и сжата, поэтому провести ее фильтрацию брандмауэр не в состоянии. В этом случае возникает угроза неправомерного использования сети служащими, которым предоставляется право доступа в нее. Причем такая внутренняя угроза превращается в повседневную, если служащий получает возможность входить в ЛВС постоянно. Впрочем, подобную конфигурацию, как и связанный с ней риск, можно признать допустимыми для приложений, работающих в интрасетях и подобных им сетевых структурах.

И, наконец, третья схема, к которой могут прибегнуть организации с ограниченными ресурсами, – брандмауэр устанавливается на одном компьютере с сервером ВЧС. При такой конфигурации машина направляет исходящий трафик ВЧС соответствующим получателям, а входящий – на расположенный тут же брандмауэр для анализа. Такой способ является наиболее экономичным, и его вполне можно рекомендовать для применения в интрасетях и для связи в пределах одной компании.

10 Выбор средств ВЧС

Абсолютная безопасность недостижима. Но точно так же нельзя полагать, будто существует абсолютная угроза безопасности. Виртуальные частные сети Microsoft на базе протокола PPTP с применением MPPE-шифрования обеспечивают весьма надежную защиту.

 Скачать реферат