Информация >> Публикации сотрудников компании >>Жигулин Л.Ф. «VPN с защитой пользовательских приложений»
«Век качества», №2, 2003

«Век качества», №2, 2003

Журнал «Век качества», N 2'2003, стр. 86-87

Большинство организаций идет по пути построения собственной частной виртуальной сети (VPN) на основе уже существующей опорной сети, базирующейся на принципах IP-коммутации (например, Интернет). В этом случае особую важность приобретает задача защиты вычислительных и информационных ресурсов организации от деятельности других пользователей, прикрепленных к опорной сети. Такая защита может осуществляться на различных уровнях сети в зависимости от предъявляемых требований. Например, в системе клиент-серверных приложений основное внимание уделяется защите информации на уровне пользовательских приложений.

Л.Ф.Жигулин, ЗАО 'Сигнал-КОМ'
Л.Ф.Жигулин,
ЗАО «Сигнал-КОМ»

В некоторых случаях защита клиент-серверных Windows-приложений, базирующихся на принципах ТСР/IР-взаимодействия, строится на основе сервера посредника или прокси-сервера между приложениями клиентской и серверной частей (хостом). Здесь необходима установка дополнительного вспомогательного программного обеспечения у клиента. Защищенное взаимодействие в приведенной конфигурации достигается на участке «клиент-сервер-посредник». Соединение между сервер-посредником и хостом остается незащищенным (открытым). Доступ клиента к серверу-посреднику через базовую сеть общего пользования может осуществляться в режиме прямого или коммутируемого доступа.

Как же в этом случае достигается защищенное взаимодействие? На стороне клиента должна быть установлена специальная программа-посредник, заставляющая клиентские коммуникационные приложения, использующие модуль WinSock, работать по протоколу SOCKS версии 4 или 5. При этом модификация самих приложений не требуется. Упомянутая программа-посредник должна обладать способностью внедряться между пользовательскими приложениями и модулем WinSock, перехватывать коммуникационные вызовы и перенаправлять их на сервер-посредник (SOCKS-сервер). Напомним, что WinSock - это компонент Windows, который предоставляет приложениям интерфейс для работы со стеком коммуникационных протоколов (в частности, TCP/IP).

SOCKS-сервер занимает центральное место в организации защищенного доступа клиента к информационным ресурсам хоста. В общем случае он должен выступать в роли межсетевого экрана (Firewall) и реализовывать функции SOCKS-протокола, например, версии 5, обладающего механизмом поддержки различных методов аутентификации (USERNAME/PASSWORD, GSS-API). При этом целесообразно организовать его функционирование таким образом, чтобы он позволял осуществлять шифрование данных, пересылаемых по защищаемому коммуникационному соединению, аутентификацию вызываемой клиентом стороны (при необходимости - обеих взаимодействующих сторон) и обеспечивал полный контроль доступа к ресурсам хоста.

Версия 5 SOCKS-протокола допускает поддержку разнообразных методов аутентификации, поэтому для организации авторизованного защищенного соединения в качестве соответствующего метода аутентификации и защиты можно использовать SSL-протокол. Его достоинство состоит в том, что он независим от протоколов приложений и позволяет реализовать алгоритм строгой аутентификации, основанный на применении сертификатов открытых ключей (в формате Х.509 ITU-T) и целого набора методов шифрования, включая отечественные (например, шифрование в соответствии с ГОСТ 28147-89).

Пользовательские приложения можно соединить с требуемым ресурсом (хостом) не напрямую, а через SOCKS прокси-сервер, если при этом:

  • разрабатывать приложения со встроенной поддержкой SOCKS-протокола (следует иметь в виду, что некоторые современные приложения, например, популярные Web-браузеры Netscape Navigator (Communicator), Microsoft Internet Explorer, Netscape AOL Instant Messenger и другие уже имеют его встроенную поддержку);
  • применять так называемые «соксификаторы» - программы-посредники (например, NEC SocksCap, Hummingbird SOCKS Client, Net-PRO VPN Client и др.), заставляющие приложения пользователей работать по SOCKS-протоколу без модификации самих приложений. Следует помнить, что «соксификации» могут быть подвергнуты только программы, работающие с WinSock, а не напрямую с драйверами TCP/IP, к числу которых относятся NetBIOS, сетевые принтеры. Кроме того, некоторые расширенные функци WinSock не могут быть корректно реализованы для SSL или SOCKS-протокола.

К сожалению, ни приложения со встроенной поддержкой SOCKS-протокола, ни «соксификаторы» в большинстве своем не поддерживают методов строгой аутентификации и шифрования. В этом смысле выгодно отличается от них семейство продуктов Net-PRO компании «Сигнал-КОМ». В этих продуктах реализован SSL-протокол со строгой аутентификацией (на основе сертификатов Х.509) и целым набором криптографических алгоритмов, в том числе отечественных. Использование SOCKS-протокола в сочетании с SSL-протоколом позволяет строить VPN с широким набором возможностей (например, организовать защищенный удаленный доступ клиентов или сотрудников к ресурсам ЛС предприятия или объединить ЛС головного офиса предприятия и филиалов через опорную сеть Интернет). В сети, конфигурация которой приведена на рис.1, при использовании программного комплекса Net-PRO обеспечивается:

  • защищенное взаимодействие со строгой аутентификацией между серверами Net-PRO, установленными на входе каждой из ЛС;
  • защищенное взаимодействие мобильного пользователя с ЛС предприятия;
  • открытое взаимодействие без аутентификации между рабочими станциями и серверами Net-PRO в пределах каждой из ЛС;
  • запрет доступа в ЛС предприятия или филиала из других ЛС;
  • разрешение пользователям филиала доступа только в удаленную ЛС предприятия (запрещается выход в какие-либо другие сети, в том числе Интернет);
  • разрешение доступа пользователей ЛС предприятия в любые сети (в том числе Интернет).

Рис.1
Рис.1

К достоинствам Net-PRO можно отнести простоту настройки правил доступа на SOCKS-сервере. Количество возможных при настройке ошибок сведено к минимуму за счет осуществления работы через один порт. Однако Net-PRO требует применения приложений, которые корректно реализованы с точки зрения SOCKS-протокола (использования последовательности вызовов WinSock-функций), и не защищает данные, пересылаемые по UDP-соединениям. Этот продукт может оказаться весьма полезным организациям, ЛС которых имеют выход в Интернет через общий Hub. Часто бывает необходимо организовать защиту не только от вызовов, поступающих из Интернета, но и от пользователей посторонних ЛС, подсоединенных к общему Hub.

В качестве примера на рис.2 приведена конфигурация сетевой части организации, защищенной от внешних воздействий со стороны Интернета и при необходимости ограничивающей доступ между пользователями, включенными в состав отдельных ЛС. Соответствующей настройкой Net-PRO-серверов в данной конфигурации можно защитить ЛС двух различных подразделений организации от попыток установления соединений из Интернета, а также ограничить доступ клиентов ЛС одного подразделения к клиентам ЛС другого подразделения или запретить установление соединений между прикладными процессами этих подразделений.

Рис.2
Рис.2

Продукт Net-PRO компании «Сигнал-КОМ» функционирует под управлением ОС Windows 95/98/NT, сертифицирован Гостехкомиссией при Президенте РФ и имеет серверную (ОС Windows NT) и клиентскую (ОС Windows 95/98/NT) части.

Функциональные возможности Net-PRO:

  • шифрование информационного трафика прикладного уровня;
  • контроль целостности пересылаемых сообщений с использованием МАС-кодов;
  • аутентификация взаимодействующих сторон на уровне отдельных пользователей с помощью цифровых сертификатов формата Х.509;
  • надежное разграничение и контроль доступа к информационным ресурсам на основе использования IP-адресов, номеров портов, ЦС, времени доступа и используемых команд;
  • использование систем-посредников при организации информационного обмена;
  • сокрытие структуры защищаемой ЛС.

Дополнительные возможности:

  • надежный контроль доступа к ресурсам корпоративной сети с использованием сертификатов открытых ключей формата Х.509 (совместимость с сертификационным центром Notary-PRO);
  • наличие мощного инструментария управления правилами политики безопасности.

Основываясь на свойствах продукта Net-PRO компании «Сигнал-КОМ», можно сделать вывод, что применение протоколов SOCKS и SSL предоставляет пользователям возможность создавать разнообразные конфигурации VPN с защитой пользовательских приложений.