Информация >> Публикации сотрудников компании >>Быданцев М.В. «Опыт практического использования межсетевых экранов»
«Век качества», №5, 2002

«Век качества», №5, 2002

Журнал 'Век качества', N 5, 2002, стр. 68-69

Практика построения виртуальных частных защищенных сетей (Virtual Private Networks - VPN) для решения задач обеспечения конфиденциальности при обмене информацией между абонентами и обеспечения авторизованного доступа к ресурсам сети в последнее время получила широкое распространение среди крупных российских компаний и финансовых структур.

Такому проекту, выполненному по заказу одного из крупнейших российских банков, посвящена данная статья.

М.В.Быданцев: ЗАО 'Сигнал-КОМ'
М.В.Быданцев,
ЗАО «Сигнал-КОМ»

Банк, о котором идет речь, всегда уделял повышенное внимание информационной безопасности. Еще в середине 1990-х гг. совместно с провайдером «Спринт Сеть» там была создана своя Х.25-сеть, которая объединяла более 10 филиалов, расположенных по всей России. Для защиты использовались канальные шифраторы «DG-24S», разработанные ЗАО «Сигнал-КОМ».

В 1998 году было принято решение перейти с протокола Х.25 на IP и существенно расширить сеть, включив в нее все отделения банка и большое число подмосковных и региональных филиалов. Естественно, предъявлялись повышенные требования в части защиты циркулирующей в такой сети информации. Эти требования свелись к необходимости построения VPN с использованием межсетевых экранов (МЭ) обеспечивающих:

  • криптографическую защиту всей передаваемой информации;
  • пропускную способность не менее 10 Mбит/с.
  • возможность для всех абонентов работать не только с головным офисом, но и с открытыми ресурсами сети Интернет;
  • защиту всех отделений и филиалов от несанкционированного доступа (НСД);
  • возможность централизованного управления всеми МЭ;
  • работу в круглосуточном режиме;
  • высокую надежность и отказоустойчивость;
  • масштабируемость;
  • полную прозрачность для конечных пользователей.

Кроме того, руководство банка пожелало, чтобы новые МЭ были реализованы на базе тех же портативных компьютеров в корпусе Book size, что и ранее закупленные шифраторы Х.25, что, в свою очередь, позволило бы снизить расходы.

К тому времени специалисты ЗАО «Сигнал-КОМ» уже разработали устройство «IPSafe-PRO» (см.рис.1), выполняющее функции IP-маршрутизатора с возможностью фильтрации пакетов и их защиты криптографическими методами, предназначенное для построения VPN и удовлетворяющее сформулированным требованиям. К тому же «IPSafe-PRO» было также выполнено на базе персонального компьютера в корпусе Book size, который работает под управлением ОС FreeBSD и оснащется двумя сетевыми интерфейсами, поддерживающими стандарт Ethernet. В качестве опций в устройство могли быть добавлены интерфейсные платы, поддерживающие стандарты G.703, G.704, V.35, RS-232, что вполне оптимально для возможного развития в перспективе.

IPSafe-PRO
Рис.1 «IPSafe-PRO»

«IPSafe-PRO» работает на сетевом уровне, т.е. непосредственно с IP пакетами, и является абсолютно прозрачным для конечного пользователя. Устройство устанавливается в качестве статического маршрутизатора на выходе ЛВС перед соответствующим сетевым маршрутизатором.

Для организации защиты в «IPSafe-PRO» используется протокол ESP (RFC 2406) при работе в туннельном режиме. Защите подлежит весь исходный IP-пакет, включая заголовок. Важно отметить, что протокол ESP принадлежит семейству протоколов IPSec, т.е. удовлетворяет требованиям международных стандартов для защиты IP-трафика.

Применение ESP протокола позволило разработчикам реализовать следующие услуги безопасности с использованием российских криптографических стандартов:

  • конфиденциальность при передаче данных;
  • аутентификацию источника данных;
  • целостность данных;
  • защиту трафика от анализа.

Конфиденциальность обеспечивается шифрованием полезных данных, аутентификация и целостность - вычислением криптографической контрольной суммы, защита трафика от анализа - функцией туннельного режима, а также опциональной возможностью добавления случайного числа дополнительных символов (до 255) к шифруемым данным. При использовании набора криптографических услуг (шифрование по алгоритму ГОСТ 28147-89, а вычисление контрольной суммы - по алгоритму SHA1) пропускная способность «IPSafe-PRO» составляет 17 Мбит/с. Устройство может служить не только шифратором, но и МЭ, защищая локальную сеть от НСД и сетевых атак.

Это решение и было предложено специалистам банка. Переход с протокола Х.25 на IP с заменой канальных шифраторов DG-24S на МЭ «IPSafe-PRO» проходил в два этапа.

На первом этапе было установлено четыре «IPSafe-PRO»: один в центральном офисе, а остальные - в филиалах банка. При этом сотрудники филиалов 2-4 (см. рис.2) могли работать в защищенном режиме с ресурсами ЛВС центрального офиса (LAN1) и иметь свободный выход в Интернет. «IPSafe-PRO» в филиалах дополнительно выполняли функции МЭ по защите от НСД из Интернет.

Для управления сетью был определен «IPSafe-PRO» N 1, установленный в центральном офисе, хотя функции такого центра может выполнять любой из «IPSafe-PRO» административным порядком. Поскольку во многих аналогичных системах роль центра управления выполняет дополнительное устройство, предложенное разработчиками решение по организации управления было экономически выгодно.

На втором этапе оставшиеся филиалы были подключены к ЛВС банка через МЭ «IPSafe-PRO». Этот процесс происходил без остановки уже работающей сети, так как требовалось лишь ввести новые правила защиты на центральном устройстве «IPSafe-PRO» и перезагрузить его модуль криптообработки. Такая перезагрузка выполняется в течении менее чем одной секунды, что практически не сказывается на работе всей сети в целом.

Рис.2 Схема установки 'IPSafe-PRO' в систему управления банка и его филиалов
Рис.2 Схема установки «IPSafe-PRO» в систему управления банка и его филиалов

После установки МЭ весь трафик из ЛВС филиалов во внешние сети идет через «IPSafe-PRO», который в свою очередь обрабатывает IP пакеты и пересылает их по назначению в соответствии с правилами маршрутизации, криптографической обработки и фильтрации.

При обработке вычисляется криптографическая контрольная сумма для исходного IP-пакета, который шифруется и упаковывается в новый IP-пакет. Поля адресов отправителя и получателя в заголовке нового IP-пакета заполняются адресами устройств, между которыми организуется защищенный туннель (т.е. «шифратора» и «дешифратора», соответственно). После этого новый IP-пакет пересылается по назначению. Использование туннельного режима позволяет полностью скрывать топологию защищаемых локальных сетей. На принимающей стороне аналогичное устройство, получив зашифрованный пакет, по IP адресу получателя находит в своей базе контекст защиты, необходимый для расшифрования. Пакет расшифровывается, проверяется его криптографическая контрольная сумма и, в случае положительного результата проверки, передается конечной машине в своей локальной сети.

Описанная сеть объединяет порядка 60 ЛВС филиалов и отделений банка. Функциональные возможности МЭ «IPSafe-PRO» постоянно расширяются. В частности, МЭ областных филиалов банка получили возможность работы в асинхронном режиме, с выполнением всех криптографических функций. При этом обеспечивается несколько вариантов организации работы:

  • филиал банка соединяется с центральным офисом через Интернет с выходом в последний по dial-up. Установленный в филиале МЭ «IPSafe-PRO» самостоятельно дозванивается на модемный пул провайдера, получает доступ в Интернет по dial-up, и после этого МЭ филиала (например, МЭ с локальной сетью филиала 5, см.рис.2) и МЭ центрального офиса начинают работать в защищенном режиме.
  • к МЭ «IPSafe-PRO» центрального офиса подсоединяется модем. В этом случае МЭ «IPSafe-PRO» филиала (например, МЭ с ЛВС филиала 6), через подсоединенный к нему модем, напрямую дозванивается на модем МЭ «IPSafe-PRO» центрального офиса. После установления коммутируемого соединения между МЭ организуется работа в защищенном режиме. Это позволяет филиалам, не имеющим доступа в Интернет, получать информацию из центрального офиса в защищенном режиме.

Весьма важно, чтобы МЭ «IPSafe-PRO» центрального офиса обеспечивал бесперебойную работу филиалов.

Это достигается организацией системы «горячего резервирования». Она основана на использовании двух МЭ «IPSafe-PRO», работающих в паре и тестирующих друг друга. При этом один из них основной, а второй - резервный. В случае выходе из строя основного МЭ, резервный автоматически перехватывает на себя управление, посылает администратору сети соответствующее сообщение и начинает выполнять все функции основного МЭ. Важно, чтобы при отказе основного МЭ восстановление работоспособности системы происходило за минимально короткое время. Для МЭ «IPSafe-PRO» с системой горячего резервирования это время составляет менее одной минуты.

Для удобства администрирования был разработан пакет «IPSafe-PRO Client» чтобы защитить доступа к МЭ с рабочего места ЛВС. Данный пакет, в частности, можно установить на рабочем месте администратора с обеспечением удаленной конфигурации МЭ в защищенном режиме. Более того, он может работать с любым из устройств «IPSafe-PRO» криптосети. Используя это решение, администратор может управлять сетью даже из дома, выходя в Интернет по dial-up и соединяясь с центральным «IPSafe-PRO».

Другое применение пакета «IPSafe-PRO Client» - обеспечение удаленного защищенного доступа к ресурсам VPN банка через Интернет при соответствующем разрешении администратора.

На сегодняшний день «IPSafe-PRO» успешно эксплуатируется во многих коммерческих структурах при защите различных приложений. В частности, МЭ очень хорошо себя зарекомендовал при использовании для защиты видеоконференций и IP телефонии.