Информация >> Публикации сотрудников компании >>Net-PRO - новое средство организации VPN
"PC Week", №47, 1998 декабрь

Что такое VPN ?

По мере развития телекоммуникационных средств связи и информационных технологий (в том числе средств защиты информации) виртуальные частные сети (Virtual Private Network - VPN) приобретают все большую привлекательность в качестве инструмента для организации электронного бизнеса, документооборота, оперативного средства совершения финансовых операций и др.

Под термином VPN, как правило, понимается сеть, обеспечивающая достаточно экономичный, надежный и безопасный способ конфиденциальной связи между бизнес-партнерами, компаниями и их клиентами, отдельными подразделениями предприятия, удаленными сотрудниками и центральным офисом, и все это - на базе сетей общего пользования.

В общем случае VPN - это объединение локальных сетей или отдельных машин, подключенных к сети общего пользования, в единую виртуальную (наложенную) сеть, обеспечивающую секретность и целостность передаваемой по ней информации (прозрачно для пользователей).

Использование технологии VPN необходимо там, где требуется защита корпоративной сети от воздействия вирусов, злоумышленников, просто любопытных, а также от других угроз, являющихся результатом ошибок в конфигурировании или администрировании сети.

Еще совсем недавно считалось, что достаточно высокий уровень информационной безопасности могут обеспечить только корпоративные сети, надежно изолированные от сетей общего пользования за счет прокладки частных выделенных каналов связи и использования собственного коммуникационного оборудования. Однако такой подход к построению защищенных сетей крайне неэкономичен, сами сети плохо масштабируемы, а их кажущаяся изолированность все равно не обеспечивает 100% безопасности информационным потокам. Кроме того, из-за достаточно высоких инсталляционных и эксплуатационных расходов построение разветвленных корпоративных сетей с широким географическим охватом под силу только очень крупным корпорациям и организациям.

Виртуальные частные сети VPN, создаваемые на базе арендуемых и коммутируемых каналов связи сетей общего пользования (и, в первую очередь, Интернет), являются отличной альтернативой изолированным корпоративным сетям, причем, альтернативой, обладающей рядом несомненных преимуществ:

  • низкая стоимость арендуемых каналов и коммуникационного оборудования;
  • развитая топология сети (широкий географический охват);
  • высокая надежность;
  • легкость масштабирования (подключения новых сетей или пользователей);
  • легкость изменения конфигурации;
  • контроль за событиями и действиями пользователей.

Следует, однако, иметь ввиду, что организация сетей VPN, решая одну проблему - существенное сокращение расходов на поддержание собственных коммуникационных магистралей, тут же на первое место выдвигает другую - обеспечение безопасности, которая при использовании VPN приобретает первостепенное значение.

Какими свойствами должна обладать VPN ?

Можно выделить три фундаментальных свойства, превращающих наложенную корпоративную сеть, построенную на базе сети общего пользования, в виртуальную частную сеть:

  • шифрование;
  • аутентификация;
  • контроль доступа.

Только реализация всех этих трех свойств позволяет защитить пользовательские машины, серверы предприятия и данные, передаваемые по физически незащищенным каналам связи, от внешних нежелательных вторжений, утечки информации и несанкционированных действий.

Классификация средств защиты информации в открытых сетях

Международные официальные и общественные организации, отдельные компании-производители программного обеспечения и оборудования предпринимают усилия по разработке открытых (свободных для распространения и реализации) протоколов и стандартов в области защиты информации. К ним, в частности, можно отнести протоколы PPTP, L2TP, IPSec, SKIP, SSL/TLS, SOCKS, SHTTP, S/MIME, PGP.

Перечисленные протоколы предусматривают организацию защиты данных на различных уровнях Модели Взаимосвязи Открытых Систем (ВОС):

Уровень ВОС Протоколы защиты
Прикладной SHTTP, S/MIME, PGP
Представительный -
Сеансовый SOCKS, SSL/TLS
Транспортный -
Сетевой IPSec, SKIP
Канальный PPTP, L2TP
Физический -

В настоящее время на базе этих протоколов сформировался целый ряд подходов к организации защиты информации, что породило появление нескольких классов продуктов:

  • фильтры пакетов, базирующиеся на протоколах сетевого и канального уровней;
  • proxy-серверы на основе протокола SOCKS;
  • продукты, использующие протоколы прикладного уровня.

По крайней мере два первых класса можно смело отнести к продуктам, предназначенным для организации VPN.

Целью настоящей статьи не является детальный анализ различных подходов к организации VPN, однако, необходимо отметить некоторые общие для них закономерности:

  • чем ниже уровень ВОС, на котором организуется защита, тем она прозрачнее для приложений и незаметнее для пользователей; однако, тем меньше набор реализуемых услуг безопасности, и тем сложнее организация управления;
  • чем выше уровень ВОС, на котором реализуется защита, тем шире набор услуг безопасности, надежнее контроль доступа и проще конфигурирование правил доступа; однако, тем "заметнее" становится защита для приложений и пользователей.

При любом подходе протоколы, используемые для организации VPN, прозрачны для протоколов защиты более высоких уровней (в частности прикладного), и применение приложений, реализующих, например, SHTTP или S/MIME, наряду с защитой на более низком уровне, нисколько не уменьшает, а только увеличивает уровень безопасности.

Протокол SOCKS

Протокол SOCKS, автором которого является David Coblas, известен с 1990 года. С тех пор широкое распространение получили две версии этого протокола: 4 и 5. SOCKS v5 в настоящее время одобрен IETF и включен в RFC 1928.

Протокол SOCKS описывает процедуру взаимодействия TCP/IP клиент-серверных приложений через сервер-посредник, или proxy-сервер. Общая схема взаимодействия по протоколу SOCKS v4 сводится к следующему:

  • пользователь, желающий установить соединение с каким-либо сервером в сети, соединяется вместо этого с proxy-сервером (в нашем случае, с SOCKS-сервером) и сообщает ему адрес удаленного сервера;
  • SOCKS-сервер соединяется с удаленным сервером-адресатом;
  • пользователь и удаленный сервер взаимодействуют друг с другом по цепочке соединений, SOCKS-сервер просто ретранслирует данные.

SOCKS v5 является значительным развитием четвертой версии, реализуя следующие дополнительные возможности:

  • аутентификация (предусмотрено использование различных методов);
  • возможность работы с доменными именами (версия SOCKS v4 могла работать только с сетевыми адресами);
  • поддержка протокола UDP.

Общая схема установления соединения по протоколу SOCKS v5 выглядит следующим образом:

  • соединившись с SOCKS-сервером, пользователь сообщает ему идентификаторы всех методов аутентификации, которые он поддерживает;
  • SOCKS-сервер решает, каким методом аутентификации воспользоваться (если сервер не поддерживает ни один из методов аутентификации, предложенных пользователем, соединение разрывается);
  • SOCKS-сервер аутентифицирует пользователя; при этом, как уже было сказано, могут использоваться различные методы: без аутентификации, парольная аутентификация (RFC 1929), аутентификация с использованием GSS-API (RFC 1961) и т.д. - список может расширяться. Допускается также двухсторонняя аутентификация, т.е. пользователь может, в свою очередь, убедиться, что соединился с нужным SOCKS-сервером;
  • пользователь сообщает SOCKS-серверу доменное имя или адрес какого-либо сервера (хоста) в сети, с которым он желает соединиться;
  • на основании результатов аутентификации SOCKS-сервер принимает решение об установлении соединения с этим хостом;
  • далее пользователь и хост взаимодействуют друг с другом по цепочке соединений, SOCKS-сервер ретранслирует данные; при этом, если в ходе аутентификации пользователь и SOCKS-сервер обменялись сеансовым ключом, то весь трафик между ними может быть зашифрован.

Семейство продуктов "Net-PRO"

Основной целью, которую ставили перед собой разработчики программного продукта "Net-PRO", являлось создание комплекса средств, обеспечивающих достаточную гибкость при решении широкого круга задач информационной безопасности в сетях различной конфигурации. Это определило разбиение продукта на два функциональных модуля:

  • "Net-PRO VPN Server" - межсетевой экран, реализующий функции SOCKS-сервера;
  • "Net-PRO VPN Client" - клиентский модуль, поддерживающий протокол SOCKS.

Модули "Net-PRO" работают под управлением Windows 95/NT, однако применение SOCKS-посредников позволяет защищать ресурсы, функционирующие и на любых других платформах.

Шифрование в семействе продуктов "Net-PRO" обеспечивается за счет использования расширенного протокола SSL (Secure Socket Layer), свободного от экспортных ограничений, касающихся длины криптографических ключей, и дополненного отечественными алгоритмами шифрования (ГОСТ 28147-89).

Аутентификация основывается либо на паролях, либо на цифровых идентификаторах - сертификатах в формате X.509.

Управление доступом к ресурсам осуществляется на основе аутентифицирующей информации, предоставляемой пользователем, а также с помощью набора правил, формируемых администратором SOCKS-сервера (или серверов, если их несколько) на основе знания топологии виртуальной сети.

Особенно следует подчеркнуть, что, в отличие от традиционных межсетевых экранов, при использовании "Net-PRO" идентифицируются конкретные лица, а не IP-адреса машин, которые эти лица используют для выхода в сеть.

"Net-PRO VPN Server" на страже вашей IP-сети

Центральное место в семействе продуктов "Net-PRO" занимает модуль "Net-PRO VPN Server", выступающий в роли межсетевого экрана (Firewall) в шлюзе локальной сети.

"Net-PRO VPN Server" выполняет фильтрацию приложений и процедуры аутентификации и шифрования потока данных.

"Net-PRO VPN Server" позволяет безопасно объединять через сети общего пользования (в том числе, Интернет) локальные сети предприятий и их филиалов, соединять центральный офис компании с удаленными (мобильными) сотрудниками, партнерами по бизнесу и клиентами. При этом обеспечивается шифрование данных, аутентификация и полный контроль доступа к сетевым ресурсам.

"Net-PRO VPN Server" оснащен средствами борьбы со "спуфингом", позволяя контролировать соответствие физического происхождения пакета и его IP-адреса. "Cпуфинг" (spoofing) - распространенный хакерский прием, заключающийся в том, что злоумышленник пытается извне получить несанкционированный доступ к вашей сети, подделывая содержимое своего пакета под пакет с более высокими привилегиями доступа, например, выдавая его за пакет из вашей локальной сети.

Зачем нужен "Net-PRO VPN Client" ?

Как же заставить пользовательские приложения соединяться с требуемым ресурсом не напрямую, а через SOCKS-сервер? Здесь возможны несколько вариантов:

  1. некоторые современные приложения имеют встроенную поддержку протокола SOCKS; к таким приложениям относятся популярные Web-браузеры Netscape Navigator (Communicator) и Microsoft Internet Explorer, Netscape AOL Instant Messenger и др.;
  2. существуют так называемые "соксификаторы" (например, NEC SocksCap, Hummingbird SOCKS Client и др.) - программы-посредники, заставляющие приложения пользователей работать по протоколу SOCKS, причем, без модификации самих приложений.

К сожалению, ни приложения со встроенной поддержкой протокола SOCKS, ни "соксификаторы", в большинстве своем не поддерживают методов строгой аутентификации и шифрования. И в этом смысле семейство продуктов "Net-PRO" компании "Сигнал-КОМ" выгодно отличается от них.

"Net-PRO VPN Client" является "соксификатором", причем, выполненным по уникальной технологии. Он внедряется между пользовательскими приложениями и стеком коммуникационных протоколов, перехватывая коммуникационные вызовы, формируемые приложениями, и перенаправляя их (в случае надобности) на SOCKS-сервер "Net-PRO". При этом попутно осуществляется аутентификация и шифрование данных по протоколу SSL (см. Рис. 1).

 

Рис. 1 к статье: 'Net-PRO - новое средство организации VPN'
Рис. 1

"Net-PRO VPN Client" устанавливается на компьютерах локальной сети, защищаемой с помощью "Net-PRO VPN Server", или на удаленном компьютере, доступ с которого в защищаемую сеть осуществляется через сеть общего пользования (например, Интернет) в режиме прямого или коммутируемого подключения.

Работа клиентского модуля совершенно прозрачна для приложений и не требует их модификации. Все настройки (коммуникационные и криптографические) производятся в программе конфигурирования модуля "Net-PRO" с помощью удобного графического интерфейса.

Примеры организации VPN на базе продуктов семейства "Net-PRO"

Рассмотрим несколько типовых примеров использования продуктов семейства "Net-PRO" для организации защищенных виртуальных частных сетей на базе сетей общего пользования, в частности, Интернет.

 

Рис. 2 к статье: 'Net-PRO - новое средство организации VPN'
Рис. 2

Пример на Рис.2 иллюстрирует использование "Net-PRO" для организации безопасного доступа к ресурсам локальной сети предприятия удаленных пользователей (сотрудников, клиентов или партнеров).

Удаленные пользователи могут подключаться к Интернет любым способом: по коммутируемой или выделенной линии. При попытке установить соединение с сервером, находящимся в локальной сети предприятия, клиентский модуль "Net-PRO VPN Client" начинает взаимодействовать с SOCKS-сервером ("Net-PRO VPN Server"). По завершении первого этапа взаимодействия пользователь будет аутентифицирован, а проверка правил доступа покажет, имеет ли он право соединяться с конкретным приложением на конкретном сервере; все дальнейшее взаимодействие будет происходить по защищенному шифрованием каналу.

Помимо защиты локальной сети от несанкционированного доступа, на SOCKS-сервер "Net-PRO" может возлагаться контроль доступа сотрудников предприятия к открытым ресурсам Интернет (Telnet, WWW, SMTP, POP и др.). Доступ является полностью авторизованным, при этом идентифицируются конкретные лица, а не компьютеры, с которых они выходят в сеть. Правила доступа могут запрещать или разрешать соединения с конкретными ресурсами Интернет в зависимости от полномочий или потребностей конкретного сотрудника (или группы сотрудников). Действие правил доступа может зависеть и от других параметров, например, от метода аутентификации или времени суток. Дополняют функции контроля развитые средства мониторинга и журнал событий.

Для организации надежного контроля доступа к ресурсам локальной сети предприятия, серверы приложений, как показано в примере, могут быть выделены в отдельный сегмент. Следует отметить, что использование "Net-PRO VPN Server" позволяет полностью скрывать топологию локальной сети. Серверы предприятия могут не иметь зарегистрированных сетевых адресов и доменных имен: разрешение имен производится на SOCKS-сервере.

На Рис. 3 показано, как с помощью "Net-PRO" на базе сети общего пользования (Интернет) можно построить частную корпоративную сеть, обеспечивающую безопасное взаимодействие локальных сетей предприятия и его филиалов. Для этого в точке сопряжения каждой локальной сети с Интернет устанавливается SOCKS-сервер "Net-PRO", а на рабочих станциях в локальных сетях - какой-либо из SOCKS-посредников:

  • "Net-PRO VPN Client" разработки "Сигнал-КОМ";
  • "соксификатор" (SOCKS-клиент) любой другой фирмы-производителя;
  • приложение со встроенной поддержкой протокола SOCKS.

 

Рис. 3 к статье: 'Net-PRO - новое средство организации VPN'
Рис. 3

При такой конфигурации VPN сотрудники предприятия и филиала получают доступ ко всем серверам предприятия и филиала так, как если бы они находились в одной локальной сети. При этом два SOCKS-сервера "Net-PRO", взаимодействуя между собой, с помощью шифрования создают защищенный виртуальный канал. Разумеется, все, что говорилось в предыдущем примере относительно контроля доступа, остается верным и в этом случае.

Заключение

Семейство программных продуктов "Net-PRO" разработки компании "Сигнал-КОМ" ориентировано на создание защищенных частных виртуальных сетей (VPN), базирующихся на IP-сетях общего пользования, и с успехом может быть использовано как средство коллективной и индивидуальной защиты в cетях Интернет/Интранет.

"Net-PRO" работает совершенно прозрачно для пользователя, не требуя модификации приложений и прикладных служб.

Построение VPN на базе семейства продуктов "Net-PRO" позволяет обеспечить защиту потоков данных в различных вариантах:

  • в пределах корпоративной локальной сети;
  • при взаимодействии объединенных локальных сетей;
  • при взаимодействии с удаленными ресурсами в сетях общего пользования;
  • при организации безопасной работы удаленного компьютера с локальной сетью и др.

Продукты семейства "Net-PRO" поддерживаются сертификационным центром "Notary-PRO" разработки "Сигнал-КОМ", либо любыми другими сертификационными центрами, удовлетворяющими стандарту X.509.