Защита информации виртуальных частных сетей - OXFORDST.RU

Защита информации виртуальных частных сетей

Виртуализация сетей

В предыдущей лекции была приведена классификация решений виртуализации . В рамках текущей лекции мы более подробно рассмотрим ключевые особенности виртуализации сетей.

В 1960-х инженерно — технический отдел американской телефонной компании разработал систему автоматического соединения абонентов АТС — Centrex. Данный факт можно считать началом истории виртуализации сетей, поскольку использовались уже существующие каналы связи, т.е. создавались виртуальные каналы передачи сигнала.

Виртуальной частной сетью ( VPN — Virtual Private Network ) называют обобщенную группу технологий, обеспечивающих возможность установления сетевых соединений поверх другой сети. Иными словами, VPN можно назвать имитацией сети, построенной на выделенных каналах связи.

Технически виртуальная сеть — это криптосистема , защищающая данные при передаче их по незащищенной сети. Т.е. потоки данных одной группы пользователей (предприятия), использующих VPN , в рамках одной публичной сети защищены от влияния иных потоков данных.

На базе одной физической сети может функционировать несколько виртуальных.

Структура VPN включает в себя: каналы связи, маршрутизаторы и защищенные протоколы. Локальные сети объединяются в виртуальную при помощи «виртуальных выделенных каналов», для создания которых применяется механизм туннелирования (пакеты локальной сети инкапсулируются в новые IP — пакеты инициатором туннеля , на обратном конце » туннеля » происходит обратный процесс).

Подключение нового пользователя к VPN осуществляется через VPN — сервер .

Цели и задачи виртуальных частных сетей

Основной целью виртуальной сети является максимально возможное обособление потока данных компании (определенной группы пользователей) от потока данных других пользователей общей сети.

Соответственно, глобальной задачей виртуальной сети является обеспечение указанной обособленности данных, которую можно разделить на следующие подзадачи, решаемые средствами VPN :

  • Конфиденциальность — гарантия того, что данные не будут просмотрены третьими лицами.
  • Целостность — обеспечение сохранности передаваемых данных.
  • Доступность — санкционированные пользователи должны иметь возможность подключения к VPN постоянно.

Защита информации в виртуальных частных сетях

Основной угрозой при использовании виртуальных частных сетей , очевидно, является несанкционированный доступ к данным, который можно разделить на два типа:

  • несанкционированной доступ в процессе передачи данных по открытой (общей) сети;
  • несанкционированный доступ к внутренним корпоративным сетям.

Основными функциями защиты информации при передаче данных по виртуальным сетям являются:

  • аутентификация;
  • шифрование;
  • авторизация.

Также отметим, что угрозу по перехвату пакетов по пути следования ряд специалистов считает преувеличенной. Пакеты проходят через маршрутизаторы и коммутаторы провайдеров, т.е. фактически не заходят в сети сторонних лиц и организаций. Таким образом, основная угроза перехвата исходит со стороны самих провайдеров. От входа во внутренние сети организаций и перехвата данных по пути существуют такие способы защиты, как межсетевые экраны, proxy — сервера и средства организации защищенного канала соответственно.

Классификация виртуальных сетей

Существует несколько различных вариантов классификации виртуальных сетей. Приведем наиболее распространенные из них.

Классификация по архитектуре:

  1. VPN с удаленным доступом.

Данные сети предназначены для обеспечения защищенного удаленного доступа к корпоративным сетевым информационным ресурсам.

Предназначены для объединения различных структурных подразделений компании, или групп предприятий в единую защищенную информационную сеть.

Данные сети предназначены для обеспечения взаимодействия с поставщиками, клиентами, партнерами и т.д.

Классификация по уровню ЭМВОС (Эталонная модель взаимодействия открытых систем, Open System Interconnection Basic Reference Model — OSI):

  1. VPN канального уровня.

Данный тип обеспечивает инкапсуляцию трафика сетевого и более высоких уровней и построение виртуальных туннелей «точка — точка». На данном уровне используются протоколы L2F и PPTP (протоколы построения VPN будут рассмотрены в завершающей части данной лекции).

Данный тип осуществляет инкапсуляцию IP в IP. К протоколам данного уровня относят SKIPP и IPSec .

Данный тип VPN использует подход под названием «посредник каналов» — трафик из защищенной сети ретранслируется в общедоступную для каждого программного интерфейса в отдельности. Часто используется протокол TLS для шифрования информации.

Классификация по способу реализации:

  1. Программно — аппаратное обеспечение.

Реализация осуществляется на базе аппаратно — программного комплекса, обеспечивающего высокую производительность и защищенность.

Обеспечение работы VPN осуществляется специальным ПО, установленным на ПК пользователя.

Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания .

Сравнение с частными сетями

Для более наглядной иллюстрации основных отличий между виртуальной сетью и частной рассмотрим следующий пример.

Задача: организовать безопасные каналы связи в компании, имеющей несколько удаленных филиалов.

Решение на основе частной корпоративной сети.

В данном случае, филиалы связаны с центральным офисом посредством LAN , доступ в Интернет может осуществляться как через центральный офис , так и каждым филиалом самостоятельно.

  • Скорость передачи данных. Фактически скорость будет ограничена возможностями локальной сети предприятия.
  • Безопасность. При должной организации можно минимизировать риск нежелательной утечки данных.
  • Стоимость решения. Поскольку предприятие использует собственные каналы передачи данных, нет необходимости в аренде таковых. С другой стороны, стоимость организации корпоративной сети может быть более, чем высока.

Решение на основе виртуальной частной сети.

В данном решении предприятие арендует каналы связи у провайдеров, центральный офис и филиалы объединены в виртуальную частную сеть .

Особенности решения, по сравнению с частной сетью:

  • Скорость передачи данных. Зависит от условий, предоставляемых поставщиком услуг связи (провайдером), сильно зависит от региональных особенностей.
  • Безопасность. Учитывая, что данные предприятия попадают в общедоступную сеть, то для обеспечения безопасности необходимо использовать различные средства и алгоритмы защиты информации (шифрование).
  • Стоимость. Необходимо оплачивать услуги провайдера, но нет затрат связанных с организацией корпоративной локальной сети.

Исходя из сравнения решений по параметрам Скорость/Безопасность/Стоимость, выгода от использования VPN , строго говоря, неочевидна. Но виртуальные сети обладают рядом иных преимуществ:

  1. Масштабируемость. В случае расширения штата, открытии нового филиала и т.п. не требуется затрат для обеспечения коммуникаций. Новые пользователи просто подключаются к уже организованной виртуальной сети предприятия.
  2. Гибкость и мобильность. Не имеет значения физическое местоположение пользователя сети. Для подключения к виртуальной сети предприятия достаточно наличия любого канала связи с внешним миром.

Исходя из всего вышеизложенного, можно выделить основные сценарии использования VPN :

  1. Организация удаленного доступа к корпоративным сетевым ресурсам через любую общедоступную сеть. Для реализации данного сценария обязательным является только наличие корпоративного VPN — сервера, к которому могут подключаться удаленные клиенты.
  2. Intranet VPN . Объединение территориально распределенных филиалов компании в единую сеть передачи данных. Для реализации сценария необходимо наличие VPN — сервера в каждом из связываемых организационных объединений.
  3. Extranet VPN . Предоставление клиентам и партнерам доступа к корпоративным сетевым ресурсам.

Таким образом, несмотря на ряд недостатков, можно утверждать, что виртуальная частная сеть , в ряде случаев, может оказаться более предпочтительной, чем частная корпоративная локальная сеть .

VPN: ещё раз просто о сложном

Вы сталкивались с ошибкой “Это видео не доступно для просмотра в Вашей стране”? Пробовали заходить на LinkedIn? Подобные ограничения можно обойти с помощью включения VPN на своем девайсе. В последнее время огромное количество людей было вынуждено перейти на дистанционный формат работы и многие работодатели обязали своих сотрудников пользоваться VPN для защищенного доступа к корпоративным сервисам. Сегодня мы постараемся разобраться в том, что такое VPN и как это работает.

Disclaimer: я искала на Хабре базовую статью о VPN, но нашла из базы только часть цикла «Сети для самых маленьких«. Это очень крутая работа, но она сразу не выпадает. Поэтому я решила обобщить все собранные мной определения, знания и структуры, а в начале дать ссылку на «Сети». Надеюсь, это поможет другим пользователям Хабра.

Ну и немного освежила тему — в нашем 2020 VPN многим пригодился.

Что такое VPN?

VPN – Virtual Private Network – виртуальная частная сеть.

Это совокупность технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет).

Расшифровка названия: сеть – объединение нескольких устройств каким-либо видом связи, позволяющее обмениваться информацией. Виртуальная – неосязаемая, не физическая, то есть не важно, по каким именно каналам связи она проложена. Физическая и логическая топологии могут как совпадать, так и отличаться. Частная – в эту сеть не может войти посторонний пользователь, там находятся только те, кому разрешили доступ. В частной сети надо маркировать участников и их трафик, чтобы отличить его от остальной, чужой информации. Также в такой сети обеспечивается защита данных криптографическими средствами, попросту говоря, шифруется.

Приведем еще одно определение: VPN – это сервис, позволяющий защитить приватные данные при пользовании Интернетом.

Зачем нужен VPN?

Для удаленной работы. Например, вы работаете из дома. По VPN вы можете получить доступ к сервисам и документации своей организации, при этом соединение будет более безопасным, данные будет сложно перехватить и расшифровать.

Чтобы объединить разные части одной компании. Офисы могут быть удалены друг от друга на любое расстояние.

Внутри компаний – для объединения и изоляции отделов.

При подключении к Wi-fi в кафе, метро и т.д., чтобы хакеры не могли украсть ваши данные. При пользовании публичной сетью безопасно, разве что просматривать сайты в браузере. А вот если использовать соц.сети, злоумышленник может не только перехватить вашу конфиденциальную информацию, но и использовать ее в своих целях, авторизовавшись в этой самой соц.сети от Вашего имени. Еще хуже, если ему удастся взломать почту. Тогда атаке подвергнутся все приложения, привязанные к этому почтовому ящику. Но самой неприятной может оказаться утечка данных вашей банковской карты, если вы решили перевести кому-то деньги, подключившись к бесплатному Wi-fi.

Для получения доступа к сайтам, которые заблокированы на определенной территории. Приведем пример: Teen Spirit снимает передачу “Орёл и Решка” и продает ее двум телеканалам: российской “Пятнице” и украинскому “Интеру”. Обычно телеканалы на следующий день после выхода премьеры по телевидению, выкладывают выпуск на свой ютуб-канал, чтобы те, кто не успел посмотреть передачу по телевизору, имели возможность сделать это в интернете и, конечно же, для того, чтобы заработать дополнительно на встроенной в ютуб рекламе. На Украине выпуски выходят на день раньше, чем в России. Соответственно, “Интер” выкладывает видео на ютуб, когда по “Пятнице” передачу еще не показали. Поэтому в России в этот день запрещен доступ к этому видео.

Для обеспечения анонимности. Нельзя вычислить, какие сайты вы посещали, каким браузером пользуетесь, где находитесь и т.д. Надобность скрыть свою геолокацию может может возникнуть в путешествиях. Например, в Турции запрещен YouTube и WhatsApp. Значит, просто так зайти в привычные соц.сети не получится, а с VPN это сделать вполне возможно.

Чтобы в браузере оставалась история поиска, на основе которой создается таргетированная реклама

Чтобы сэкономить, например, при покупке авиабилетов. Авиакомпании устанавливают разные цены на одни и те же билеты для покупателей из разных регионов. А VPN позволяет изменить информацию о геолокации.

Как можно пользоваться VPN?

Итак, мы поняли, что VPN – полезный сервис, но как именно можно его включить? Если Вы работаете за компьютером и хотите посетить заблокированный сайт, используя браузер, то можно или установить специальную программу на ПК (так называемый VPN-клиент), или добавить расширение для браузера, или использовать встроенный в Opera VPN. Все эти способы просты в исполнении, но имеют некоторые недостатки. Так, VPN-клиент выдает случайный IP-адрес, то есть нет возможности выбрать страну. Еще один неудобство заключается в необходимости постоянного запуска программы, однако, существуют программы, которые запускаются одновременно с ОС. Теперь рассмотрим следующий способ – добавление расширения для браузера через Webstore. Нужно будет зарегистрироваться, после чего одним кликом можно выбрать страну, к VPN-серверу которой Вы хотите подключиться.

Читайте также  Неортодоксальные школы древней Индии

Использование VPN на смартфонах и айфонах реализуется через мобильные приложения. Самые популярные из них – это OpenVPN для Android и Cloak для iOS.

О плюсах VPN и о том, как его можно установить уже Вы прочитали. Самое время поговорить о минусах.

Чем приходится платить за безопасность в Интернете?

Низкая скорость интернета. На дополнительное шифрование требуется время. Также часто трафик проходит большее расстояние, что связано с удаленностью расположения VPN-сервера.

Периодический разрыв VPN-подключения, внезапный выход трафика в публичную сеть. Часто можно не заметить разрыв подключения и утечку данных, также VPN-соединение может не восстанавливаться автоматически, что не удобно. Во современных ОС на базе Windows предусмотрена функция VPN Reconnect. Если ее нет, то придется использовать особые программы или специальные настройки маршрутизации, которые контролируют VPN-соединение и в случае его разрыва сначала блокируют передаваемую информацию, закрывают приложения, потом обновляют VPN-подключение.

К сожалению, IPv6 почти никогда не поддерживается VPN. Следовательно, когда в публичной сети используется IPv6, и в интернет-ресурсе он также поддерживается, трафик пойдет по умолчанию по открытой IPv6 сети. Чтобы такого не произошло можно просто отключить IPv6 в ОС.

DNS-протечки: на практике часто DNS-запросы обрабатываются DNS-серверами публичной сети (а не виртуальной, защищенной). В случае их некорректного ответа можно получить поддельный адрес запрашиваемого домена. Так, ничего не подозревающие пользователи могут быть перенаправлены, например, на сайты мошеннических онлайн-банков. Также по DNS-серверам можно определить примерную геолокацию и интернет-провайдера пользователя.

Присутствуют также разнообразные юридические аспекты. Во-первых, это отличия в законодательстве разных государств. VPN-клиент и VPN-сервер часто находятся в разных странах. Также трафик может проходить через третью страну транзитом. Таким образом существует возможность сохранить себе копию передаваемых данных для дальнейшей расшифровки и изучения.

Существует не только вопрос что шифровать, но и как. Далеко не все криптографические средства разрешены. Из-за этого производители сетевого оборудования (в том числе для организаций VPN) при экспорте в другие страны вынуждены отключать в своей продукции ряд алгоритмов шифрования, а также уменьшать максимально возможную длину ключа.

Проблема кроется еще и в том, что сами мировые стандарты шифрования могут быть уязвимыми. Так, в 2013 году NIST (The National Institute of Standards and Technology – организация, утверждающая стандарты шифрования в США) обвинили в том, что он разрешил включить в новый стандарт уязвимую версию генератора псевдослучайных чисел. Это позволило сильно упростить расшифровку информации, защищенной с применением этого генератора. Более того, составителей стандартов нередко обвиняют в сознательном усложнении описаний стандартов.

А законно ли вообще использовать VPN в России? В России действует закон Яровой, направленный против терроризма и экстремизма. С другой стороны его можно рассматривать как шаг в сторону регулирования и контролирования интернета, потому что этот закон обязует операторов связи хранить всю информацию о деятельности в интернете . Но если провайдер не сохраняет логи, то штрафовать будут его, а не конечных пользователей. Поэтому сейчас существует довольно много VPN-провайдеров, в том числе и бесплатных.

Как работает VPN?

Соединение VPN – это, так называемый, “туннель” между компьютером пользователя и компьютером-сервером. Каждый узел шифрует данные до их попадания в “туннель”.

Вы подключаетесь к VPN, система идентифицирует вашу сеть и начинает аутентификацию (сравнивает введенный пароль с паролем в своей базе данных).

Далее сервер Вас авторизует, то есть предоставляет право на выполнение определенных действий: чтение почты, интернет-серфинг и т.д. После установления соединения весь трафик передается между вашим ПК и сервером в зашифрованном виде. Ваш ПК имеет IP-адрес, предоставленный интернет-провайдером. Этот IP блокирует доступ к некоторым сайтам. VPN сервер меняет ваш IP на свой. Уже с VPN-сервера все данные передаются к внешним ресурсам, которые вы запрашиваете. Теперь можно просматривать любые ресурсы и не быть отслеженным.

Однако, следует помнить, что не вся информация шифруется. У разных VPN-провайдеров могут отличаться такие характеристики как степень шифрования, сокрытие факта подключения к серверу, хранение логов (журнал, в который сохраняется информация о посещаемых сайтах, реальный IP адреси т.п.) и сотрудничество при выдаче информации третьим лицам.

Если VPN-провайдер вообще не записывает логи, то передавать третьим лицам просто нечего. А сокрытие факта подключения к серверу – уже более редкая услуга. При некорректном подключении или резком разрыве соединения может произойти утечка части данных. Решить проблему поможет технология Multihop VPN, которая предполагает соединение с сайтом сразу через несколько серверов.

Рассмотрим популярные VPN:

PPTP – Point-to-Point Tunneling Protocol

+ поддерживается всеми ОС

+ не требует много вычислительных мощностей

— плохая защищенность. Методы шифрования устарели, плохая архитектура, есть ошибки в реализации протокола от Microsoft. Нет шифрования по умолчанию, на взлом требуется менее суток.

Используется, когда защита данных не очень важна или когда нет других вариантов.

L2TP – Layer 2 Tunneling Protocol

+ более эффективен для построения виртуальных сетей

— более требователен к вычислительным ресурсам

— не предполагает шифрования по умолчанию

Работает совместно с другими протоколами, чаще всего IPSec.

Используется интернет-провайдерами и корпоративными пользователями.

IPSec – Internet Protocol Security – группа протоколов и стандартов для безопасных соединений.

— сложен в настройке (следовательно, снижение защиты, если настроить неправильно)

— требует много вычислительных ресурсов

+ этот недостаток компенсируется путем аппаратного ускорения алгоритма шифрования АЕС

Часто используется совместно с другими технологиями.

SSL – Secure Sockets Layer & TLS – Transport Layer Security – группа методов, включающая в себя протоколы SSL и TLS и другие методы защиты.

+ беспрепятственно пропускаются большинством публичных сетей

— довольно низкая производительность

— сложность в настройке, необходимость установки дополнительного ПО

используется на веб-сайтах, URL которых начинается с https (там еще виден зеленый замочек)

некоторые реализации: OpenVPN, Microsoft SSTP.

+ OpenVPN имеет открытый код, реализован практически для всех платформ, считается очень надежным.

Заключение

VPN – комплекс технологий, позволяющих создать логическую сеть поверх физической. Используется для обеспечения защиты трафика от перехвата злоумышленниками и безопасной деятельности в интернете. VPN открывает доступ к заблокированным ресурсам, так что многие готовы мириться с более низкой скоростью интернета и возможными логами программ. Хотя VPN использует довольно надежные алгоритмы шифрования, включение VPN-клиента на вашем ПК не гарантирует 100% сохранности конфиденциальной информации, поэтому следует внимательно отнестись к выбору VPN-провайдера.

Виртуальные частные сети и другие способы защиты информации

В предыдущих номерах нашего журнала уже были описаны основные методы защиты информации: шифрование (cм. «Мир ПК», №2/02, c. 70) и электронная цифровая подпись (№3/02, с. 78). Сегодня предлагаем вам ознакомиться со способами их применения.

Понятно, что информацию защищают вовсе не алгоритмы шифрования и электронной цифровой подписи (ЭЦП), а системы, в которых эти алгоритмы реализованы. Их можно условно разделить на системы автоматической защиты информации и системы защиты информации прикладного уровня.

Системы для внимательных и неленивых

Предположим, вы регулярно работаете с важными документами, которые нежелательно хранить на компьютере в открытом виде (скажем, в момент вашего отсутствия может подойти некто и их прочесть и даже переписать). В целях безопасности можно использовать программу, с помощью которой вы зашифровываете файл перед уходом и расшифровываете при необходимости.

Аналогичная ситуация и с ЭЦП: допустим, вы хотите подписать файл и вложить его в письмо. Легко! Даете команду программе, она эту подпись вычисляет и записывает в файл, а адресат при получении проверяет ее подлинность. Естественно, можно использовать шифрование и ЭЦП в комплексе — все зависит только от вашего желания.

Поскольку такие системы предусматривают выбор защищаемых объектов вручную, их интерфейс должен предоставлять возможность «бродить» по файловой системе, чтобы найти нужные. Оптимальным вариантом является встроенность программы непосредственно в Windows Explorer, как, например, WinZip в контекстное меню (см. рисунок).

Пример встраивания интерфейса программы электронной подписи в контекстное меню Windows Explorer

Вы выбираете в обычном и донельзя знакомом окне файл, жмете правую кнопку мыши и подписываете его с помощью новой команды. По-моему, очень удобно: все под рукой и не нужно вызывать какие-то лишние программы. А еще лучше — встроенные прямо в офисные приложения средства защиты: устанавливаете программу электронной подписи, и в Word появляется дополнительная панель с кнопками «Подписать», «Проверить подпись» и т. д.

Для того чтобы избавить пользователей от необходимости ежедневного шифрования и расшифровывания файлов, разработчики стали эти операции автоматизировать. Но лично я предпочитаю именно «ручные» системы, главное достоинство которых — гибкость: они выполняют только заданные вами действия.

«Прозрачные» системы защиты

Однако использование «ручных» средств устраивает далеко не всех. Кроме того, многократно повторямые операции существенно повышают риск ошибки, и результатом может явиться, например, появление важного документа в открытом виде. Намного безопаснее системы автоматического («прозрачного») шифрования информации, которые эффективно защищают ее в соответствии с первоначальными настройками без вашего последующего участия. Для того-то и придуман компьютер, чтобы перекладывать на него рутинную работу, — лень по-прежнему служит двигателем прогресса. Не верьте тому, кто утверждает, что ПК создали для сложных математических расчетов, — это только полезный побочный эффект .

Существующие автоматические системы защиты можно условно разделить на те, которые защищают сетевой обмен данными, и системы «прозрачного» шифрования данных на компьютере пользователя.

Виртуальные частные сети

Технология VPN (Virtual Private Network — виртуальная частная сеть) — не единственный способ защиты сетей и передаваемых по ним данных. Но я считаю, что она достаточно эффективна, и ее повсеместное внедрение — это не только дань моде, весьма благосклонной к VPN в последние пару лет.

Схема VPN

Суть VPN состоит в следующем:

  • На все компьютеры, имеющие выход в Интернет, устанавливается средство, реализующее VPN (VPN-агент). Не должно остаться ни одного незащищенного!
  • VPN-агенты автоматически шифруют всю исходящую информацию (и соответственно расшифровывают всю входящую). Они также следят за ее целостностью с помощью ЭЦП или имитоприставок (криптографическая контрольная сумма, рассчитанная с использованием ключа шифрования).

Поскольку информация, циркулирующая в Интернете, представляет собой множество пакетов протокола IP, VPN-агенты работают именно с ними.

Перед отправкой IP-пакета VPN-агент действует следующим образом:

  • Из нескольких поддерживаемых им алгоритмов шифрования и ЭЦП по IP-адресу получателя выбирает нужный для защиты данного пакета, а также ключи. Если же в его настройках такого получателя нет, то информация не отправляется.
  • Определяет и добавляет в пакет ЭЦП отправителя или имитоприставку.
  • Шифрует пакет (целиком, включая заголовок).
  • Проводит инкапсуляцию, т. е. формирует новый заголовок, где указывается адрес вовсе не получателя, а его VPN-агента. Эта полезная дополнительная функция позволяет представить обмен между двумя сетями как обмен всего-навсего между двумя компьютерами, на которых установлены VPN-агенты. Всякая полезная для темных целей злоумышленника информация, например внутренние IP-адреса, ему уже недоступна.
Читайте также  Иудаизм в России

При получении IP-пакета выполняются обратные действия:

  • Заголовок содержит сведения о VPN-агенте отправителя. Если таковой не входит в список разрешенных в настройках, то информация просто отбрасывается. То же самое происходит при приеме пакета с намеренно или случайно поврежденным заголовком.
  • Согласно настройкам выбираются алгоритмы шифрования и ЭЦП, а также необходимые криптографические ключи.
  • Пакет расшифровывается, затем проверяется его целостность. Если ЭЦП неверна, то он выбрасывается.
  • И наконец, пакет в его исходном виде отправляется настоящему адресату по внутренней сети.

Все операции выполняются автоматически. Сложной в технологии VPN является только настройка VPN-агентов, которая, впрочем, вполне по силам опытному пользователю.

VPN-агент может находиться непосредственно на защищаемом ПК, что полезно для мобильных пользователей, подключающихся к Интернету где попало. В этом случае он обезопасит обмен данными только того компьютера, на котором установлен.

Возможно совмещение VPN-агента с маршрутизатором (в этом случае его называют криптографическим) IP-пакетов. Кстати, ведущие мировые производители в последнее время выпускают маршрутизаторы со встроенной поддержкой VPN, например Express VPN от Intel, который шифрует все проходящие пакеты по алгоритму Triple DES.

Как видно из описания, VPN-агенты создают каналы между защищаемыми сетями, которые обычно называют «туннелями». И действительно, они «прорыты» через Интернет от одной сети к другой; циркулирующая внутри информация спрятана от чужих глаз.

Туннелирование и фильтрация

Кроме того, все пакеты «фильтруются» в соответствии с настройками. Таким образом, все действия VPN-агентов можно свести к двум механизмам: созданию туннелей и фильтрации проходящих пакетов.

Совокупность правил создания туннелей, которая называется «политикой безопасности», записывается в настройках VPN-агентов. IP-пакеты направляются в тот или иной туннель или отбрасываются после того, как будут проверены:

  • IP-адрес источника (для исходящего пакета — адрес конкретного компьютера защищаемой сети);
  • IP-адрес назначения;
  • протокол более высокого уровня, которому принадлежит данный пакет (например, TCP или UDP);
  • номер порта, с которого или на который отправлена информация (например, 1080).

Когда VPN бессилен

Увы, но при практическом применении средства VPN не всемогущи.

Серьезная проблема — атаки изнутри (т. е. когда злоумышленник завелся в одной из защищаемых сетей). По статистике около 75% финансовых потерь наносится в результате подобных агрессий.

Отказ в обслуживании (DoS- или DDoS-атаки) также является существенным препятствием для VPN-агентов.

Системы для слишком занятых

Чтобы установить и настроить систему автоматической защиты данных на компьютере, придется один раз потратить некоторое время (кстати, обычно это достаточно просто — не сравнить с весьма сложной настройкой VPN-агентов). Зато потом вы и не заметите, что ваши объекты шифруются «на лету» (правда, необходимо один раз — при входе в Windows — предъявить системе ключи).

Это происходит следующим образом.

  1. хранения всей зашифрованной информации создается специальный файл-контейнер. Системой защиты генерируется ключ, который пользователь должен хранить при себе.
  2. Если при входе нужный ключ не предъявлен, то контейнер остается просто файлом, ничем не выделяющимся среди прочих.
  3. Если же предъявлен ключ и введен правильный пароль, контейнер подключается к системе и выглядит как новый логический диск (предположим, диск F), до этого отсутствовавший. Все, что затем с него считывается (например, документ, который следует отредактировать), автоматически расшифровывается; все, что записывается, — автоматически шифруется. Единственное условие — хранение важных документов именно на диске F. Это является гарантией безопасности.

Согласитесь, что такие средства очень удобны, а для малоопытных пользователей (среди них могут быть и работающие с важной информацией, например бухгалтеры или руководители) — это просто идеальный выход. Системный администратор произведет установку, настройку и вручит ключи — а дальше все легче легкого. Эти системы напоминают NTFS, которую также следует один раз настроить для автоматического разделения доступа к файлам. отличие в том, что NTFS их не шифрует.

Кстати, контейнеров может быть несколько, причем каждый из них будет защищен собственным ключом. Это важно при работе с информацией разного уровня секретности или при эксплуатации одного компьютера несколькими пользователями (если это еще актуально).

Шифрование происходит на случайном ключе (его называют «дисковым»), который, в свою очередь, шифруется на ключе, предъявляемом для открытия контейнера, и пароле.

Использование промежуточного ключа позволяет мобильно реагировать на ситуацию. Для того чтобы быстро перешифровать весь контейнер в случае, например, компрометации пароля, достаточно перешифровать только дисковый ключ.

Использование дискового ключа для шифрования в контейнере

В средства «прозрачного» шифрования входят различные дополнительные утилиты, полезные опытным пользователям. Они осуществляют следующие функции:

  • гарантированную очистку свободного пространства диска. Ведь при удалении объектов средствами Windows исчезает только запись о файле, но сама информация не стирается и доступна для восстановления, что совершенно недопустимо с точки зрения безопасности;
  • очистку файла подкачки (swap-файла). В нем Windows хранит разные динамические данные, в которые легко может попасть документ с секретного диска. Грамотному злоумышленнику не составит труда его оттуда извлечь, что также непозволительно;
  • автоматическую охрану контейнера. Это защищает его от случайного удаления и соответственно от потери важной информации.
  • экстренное отключение всех контейнеров. Все их содержимое станет недоступным, достаточно только нажать на специальную кнопку (при появлении в вашем кабинете нежелательных лиц).

Что любопытно — некоторые системы позволяют замаскировать контейнер: его можно как-нибудь необычно назвать, скажем, erotica.bmp, и при просмотре такого файла в графическом редакторе вы действительно увидите интересную картинку. Следовательно, у злоумышленника вряд ли возникнет подозрение, что там содержится что-то важное.

А последний писк моды — системы с функцией «вход под принуждением». Представьте, что у вас есть сверхсекретные документы, хранимые в контейнере. Сюда же, но с другим паролем, вы записываете якобы секретную информацию, для защиты которой будто бы и предназначен этот контейнер. И если вдруг появляется ваш закадычный враг (уверенный, что от него прячут много интересного) с утюгом наизготовку L, вы просто вводите другой пароль. Все довольны.

В настоящее время предлагается великое множество разнообразных систем защиты информации. Их основное предназначение — закрыть все возможные пути для злоумышленника. Главное — не забывать о том, что одна оставленная лазейка сделает бесполезными все средства защиты, которые вы установили.

Защита информации в vpn-сетях

ИБ-аутсорсинг
на базе DLP-системы

Контроль исполнения документов

Мониторинг ИТ инфраструктуры

Защита бизнеса от мошенничества

Разработка требований к защите информации

Управление системами фильтрации электронной почты и веб-трафика

АУТСОРСИНГ DLP ДЛЯ ЗАЩИТЫ БИЗНЕСА

В ажность защиты информационных ресурсов компании очевидна – от этого напрямую зависит безопасность предприятия, его эффективность и рентабельность. Да и простому пользователю не очень приятно, когда его взламывают, засыпают спамом или блокируют на определенных серверах.

Существует множество продуктов и инструментов программного обеспечения, позволяющих обезопасить данные в Интернете от виртуальных атак злоумышленников. В определенных случаях удобнее и эффективнее всего для защиты информации, частной или корпоративной, применять VPN.

Что это такое

VPN расшифровывается как virtual private network, а переводится как «виртуальная частная сеть». По сути это локальная сеть, которая прокладывается через другую сеть – в нашем случае через Интернет. В результате создается туннель для защищенных каналов, по которым пользователи на расстоянии могут обмениваться информацией, сохраняя полную конфиденциальность и безопасность. Информация предварительно зашифровывается и проверяется на безопасность (отсутствие вирусов). Это важный момент в создании полноценной защиты.

Также пользователи, подключившие впн, могут посещать ранее заблокированные провайдером сайты. Поскольку VPN-сервера в большинстве случаев находятся за границей, можно зайти незамеченным фактически на любой сайт той страны или того провайдера, которые блокируют IP пользователя.

По какому принципу работает VPN

Сети VPN работают по следующему принципу:

  • прокладка туннеля;
  • шифрование данных;
  • аутентификация.

В этом случае реальный IP пользователя меняется на любой другой, то есть, истинная локация пользователя зашифровывается.

Обычно коммуникации в сети Интернет осуществляются по открытым каналам связи, часто с использованием незащищенных протоколов. Для корпоративной сети это не очень безопасно, особенно, если офисы организации разбросаны по разным регионам и значительно удалены от основного. Способ передачи данных по незащищенным каналам создает риск утечки информации.

Частная сеть впн создает зашифрованный канал, внутри которого офисы или отдельные сотрудники могут обмениваться необходимой информацией. Она будет надежно защищена от несанкционированного использования посторонними. При этом расходы компании на содержание уже имеющейся корпоративной сети существенно сократятся.

Как происходит защита данных при передаче в этом случае:

  • путем шифрования передаваемых по туннелю пакетов данных;
  • с помощью аутентификации отправителя и получателя;
  • с проверкой на безопасность передаваемых данных;
  • посредством создания межсетевых экранов.

Внешне туннель защищенных каналов выглядит так, как если бы одна сеть была подключена к другой посредством роутера или проводов. Провайдер будет видеть подключение к какой-то одной сети и обмен данными, но какими именно – нет. Они остаются защищенными и недоступными для общего пользования, информацию увидят только участники VPN.

Информация не будет передана от одного впн-агента к другому, если она не прошла проверку на безопасность и соответствие по таким параметрам:

  • IP-адрес источника;
  • IP-адрес получателя;
  • протокол более высокого уровня, к которому относится исходящий пакет;
  • номер порта, отправляющего или принимающего информацию.

Таким образом VPN будет работать только в том случае, если соблюдена политика безопасности и защиты информации.

Чем полезны VPN для предприятия. Преимущества использования

Сегодня предлагаются десятки различных впн-сервисов. Глобального различия между ними нет. Они отличаются только скоростью подключения и абонентской платой.

Благодаря использованию частных сетей VPN организация получает ряд преимуществ, основные из них:

  • можно нанять штат удаленных работников и сэкономить на аренде офиса и всех сопутствующих затратах;
  • появляется возможность нанять квалифицированных сотрудников из других городов и регионов, сотрудничество с которыми ранее было невозможно;
  • увеличивается продолжительность рабочего времени – многие согласны работать по ночам и на выходных.

Но самое главное – компания получает быстрый безопасный Интернет с каналами, открытыми только для внутренних нужд.

По статистике консалтинговых компаний, более 20% россиян на конец 2018 года работали удаленно. В 2019 году показатель увеличился уже до 31%. Это означает, что потребность в защищенных сетях для беспрепятственного доступа к операционным системам организации растет и будет расти. Сетевым компаниям удобнее и дешевле нанимать удаленных сотрудников, чем арендовать офисы в разных уголках страны.

Недостатки

Для тех, кто не хочет или не может себе позволить установку дорогого программного обеспечения для защиты данных, использование VPN станет прекрасной альтернативой. Однако эта система защиты информационных ресурсов предприятия работает не всегда.

В каких случаях впн бессильна:

  • внутренняя атака, если взломщик проник в одну из защищаемых сетей;
  • DoS- или DDoS-атаки, когда VPN получает отказ в обслуживании.

Особенности выбора и установки

Существуют десятки VPN, лицензированных и без лицензии. Как правило, достойные продукты имеют минимум две версии на выбор: платную и бесплатную. Некоторые сервисы предлагают впн различных уровней мощности. Чем больше мощность, тем выше абонентская плата.

Обычно перед покупкой лицензированного пакета VPN пользователь получает от 3 до 10 дней бесплатного тестирования. Также существуют скидки при оплате годового обслуживания и гарантия возврата денег в случае, если сервис работает некачественно.

Читайте также  Императорская печать Китая

Что стоит учесть при выборе впн в первую очередь:

  • вид уже используемого на предприятии программного обеспечения – некоторые VPN не совмещаются с определенным ПО, например, с антивирусниками;
  • навыки главного администратора и персонала – иногда проще поставить более дешевый продукт, к которому привыкли работники, чем проводить для всех обучающие семинары и постоянно исправлять ошибки;
  • интенсивность использования VPN – если нужна непрерывная защита, лучше не пожалеть денег на мощную лицензированную программу. Самые дешевые серверы обеспечивают соответствующее соединение – Интернет постоянно «выбивает», связь доступна не со всеми сайтами и провайдерами, загрузка и соединение идет очень медленно и может прерваться;
  • уровень надежности – тут все зависит от масштабов фирмы и проектов. Опять же, если нужна серьезная защита, то покупать нужно серьезный пакет впн.

Самым сложным моментом в использовании впн является настройка. Опытный пользователь может справиться своими силами. Но надежнее и быстрее доверить процесс специалисту. Достаточно настроить VPN-агент один раз, и потом он будет автоматически активироваться при каждом включении ПК и выходе в Интернет.

Что еще нужно знать

В последнее время на рынке появились роутеры со встроенным VPN. Например, компания Intel выпускает криптографические маршрутизаторы с встроенным впн-агентом Express VPN. Однако этот вариант не подходит для мобильных пользователей, которые работают с ноутбука или планшета и заходят в Интернет, где угодно.

Есть также браузеры, например, Opera, которые уже имеют встроенные VPN. Но тут нужно учитывать, что вы не сможете сами выбрать продукт, он уже установлен по умолчанию. И если вам не подойдет его качество, все равно придется покупать и настраивать новый.

Также при выборе VPN следует учитывать способ шифрования информации. Сегодня используется два основных:

  • IPsec – пакет различных протоколов, обеспечивающий надежную защиту данных, передаваемых по межсетевому IP. С его помощью можно проводить шифрование, проверку и аутентификацию передаваемых пакетов информации. Можно настроить для соединения локальных сетей с корпоративными. Минус – совмещается не со всеми продуктами, потому зачастую требует регулярного обслуживания специалистом;
  • SSL VPN – строится на применении криптографического протокола для аутентификации, проверки и шифрования передаваемых пакетов информации. Такая защита надежнее и безопаснее, к тому же дешевле и не требует постоянных настроек. Хотя изначально SSL разрабатывали как альтернативную технологию первому способу, сегодня это отдельный пакет. Преимущество в том, что он совместим с любыми операционными системами, для его использования не нужно устанавливать дополнительный софт.

По мнению экспертов, использование частной виртуальной сети имеет большие перспективы и является отличным решением вопросов, связанных с защитой информации компании и снижением расходов на коммуникации с удаленными пользователями. С помощью локальных сетей VPN можно обеспечить безопасную передачу данных от отправителя к получателю, и наоборот, даже если они находятся на разных континентах. При этом расходы на коммуникационные связи будут значительно ниже, чем при использовании IP-телефонии и других стандартных инструментов связи.

Концепция защищенных виртуальных частных сетей

При выходе локальной сети в открытое Internet-пространство возникают угрозы двух основных типов: несанкционированный доступ (НСД) к данным в процессе их передачи по открытой сети и НСД к внутренним ресурсам КИС. Информационная защита при передаче данных по открытым каналам реализуется следующими мерами:

  • взаимная аутентификация сторон;
  • прямое и обратное криптографическое преобразование данных;
  • проверка достоверности и целостности полученных данных.

Организация защиты с использованием технологии виртуальных частных сетей (Virtual Private Network — VPN) подразумевает формирование защищенного «виртуального туннеля» между узлами открытой сети, доступ в который невозможен потенциальному злоумышленнику. Преимущества этой технологии очевидны: аппаратная реализация довольно проста, нет необходимости создавать или арендовать дорогие выделенные физические сети, можно использовать открытый дешевый Internet, скорость передачи данных по туннелю такая же, как по выделенному каналу.

В настоящее время существует четыре вида архитектуры организации защиты информации на базе применения технологии VPN [Соколов А. В., Шаньгин В. Ф., 2002].

Локальная сеть VPN (Local Area Network-VPN). Обеспечивает защиту потоков данных и информации от НСД внутри сети компании, а также информационную безопасность на уровне разграничения доступа, системных и персональных паролей, безопасности функционирования ОС, ведение журнала коллизий, шифрование конфиденциальной информации.

Внутрикорпоративная сеть VPN (Intranet-VPN). Обеспечивает безопасные соединения между внутренними подразделениями распределенной компании.

Для такой сети подразумевается:

  • использование мощных криптографических средств шифрования данных;
  • обеспечение надежности работы критически важных транзакционных приложений, СУБД, электронной почты, Telnet, FTP;
  • скорость и производительность передачи, приема и использования данных;
  • гибкость управления средствами подключения новых пользователей и приложений.

Сети VPN с удаленным доступом (Internet-VPN). Обеспечивает защищенный удаленный доступ удаленных подразделений распределённой компании и мобильных сотрудников и отделов через открытое пространство Internet (рис. 6.17).

Такая сеть организует:

  • адекватную систему идентификации и аутентификации удалённых и мобильных пользователей;
  • эффективную систему управления ресурсами защиты, находящимися в географически распределенной информационной системе.

Рис. 6.17.Туннельная схема организации VPN сети

Межкорпоративная сеть VPN (Extranet-VPN). Обеспечивает эффективный защищённый обмен информацией с поставщиками, партнёрами, филиалами корпорации в других странах. Такая сеть предусматривает использование стандартизированных и надёжных VPN-продуктов, работающих в открытых гетерогенных средах и обеспечивающих максимальную защищенность конфиденциального трафика, включающего аудио и видео потоки информации — конфиденциальные телефонные переговоры и телеконференции с клиентами.

Можно выделить два основных способа технической реализации виртуальных туннелей:

  • построение совокупности соединений (Frame Relay или Asynchronous Transfer Mode) между двумя нужными точками единой сетевой инфраструктуры, надежно изолированной от других пользователей механизмом организации встроенных виртуальных каналов;
  • построение виртуального IP-туннеля между двумя узлами сети на базе использования технологии туннелирования, когда каждый пакет информации шифруется и «вкладывается» в поле нового пакета специального вида (конверт), который и передается по IP-туннелю — при этом пакет протокола более низкого уровня помещается в поле данных пакета более высокого уровня (рис. 6.18).

Рис. 6.18.Схема пакета, подготовленного к отправке по туннелю

VPN-туннель обладает всеми свойствами защищенной выделенной линии, проходящей через открытое пространство Internet. Особенность технологии туннелирования состоит в том, что она позволяет зашифровать не только поле данных, а весь исходный пакет, включая заголовки. Это важная деталь, так как из заголовка исходного пакета злоумышленник может извлечь данные о внутренней структуре сети — например, информацию о количестве локальных сетей и узлов и их IP-адресах.

Зашифрованный пакет, называемый SKIP-пакетом, инкапсулируется в другой пакет с открытым заголовком, который транспортируется по соответствующему туннелю (рис. 6.19).

При достижении конечной точки туннеля из внешнего пакета извлекается внутренний, расшифровывается, и его заголовок используется для дальнейшей передачи во внутренней сети или подключенному к локальной сети мобильному пользователю. Туннелирование применяется не только для обеспечения конфиденциальности внутреннего пакета данных, но и для его целостности и аутентичности, механизм туннелирования часто применяется в различных протоколах формирования защищенного канала связи. Технология позволяет организовать передачу пакетов одного протокола в логической среде, использующей другой протокол.

Таким образом, можно реализовать взаимодействие нескольких разнотипных сетей, преодолевая несоответствие внешних протоколов и схем адресации.

Рис. 6.19.Структура SKIP-пакета

Средства построения защищенной VPN достаточно разнообразны — они могут включать маршрутизаторы с механизмом фильтрации пакетов (Filtering Router), многофункциональные межсетевые экраны (Multifunction Firewall), промежуточные устройства доступа в сеть (Proxy Server), программно-аппаратные шифраторы (Firmware Cryptograph). По технической реализации можно выделить следующие основные виды средств формирования VPN:

  • специализированные программные решения, дополняющие стандартную операционную систему функциями VPN;
  • программно-аппаратное устройство на базе специализированной ОС реального времени, имеющее два или несколько сетевых интерфейсов и аппаратную криптографическую поддержку;
  • средства VPN, встроенные в стандартный маршрутизатор или коммутатор;
  • расширение охвата защищаемой зоны канала передачи и приёма данных за счет дополнительных функций межсетевого экрана.

Туннели VPN создаются для различных типов конечных пользователей: это может быть локальная сеть (Local Area Network — LAN) со шлюзом безопасности (Security Gateway) или отдельные компьютеры удаленных или мобильных пользователей с сетевым программным обеспечением для шифрования и аутентификации трафика — клиенты VPN (рис. 6.17). Через шлюз безопасности проходит весь трафик для внутренней корпоративной сети. Адрес шлюза VPN указывается как внешний адрес входящего туннелируемого пакета, а расшифрованный внутренний адрес пакета является адресом конкретного хоста за шлюзом.

Наиболее простым и относительно недорогим способом организации VPN-канала является схема, в соответствии с которой защищенный туннель прокладывается только в открытой сети для транспортировки зашифрованных пакетов. В качестве конечных точек туннеля выступают провайдеры Internet-сети или пограничные межсетевые экраны (маршрутизаторы) локальной сети. Защищенный туннель формируется компонентами виртуальной сети, функционирующим на узлах, между которыми он создается. В настоящее время активно функционирует рынок VPN-средств — приведем некоторые примеры популярных и широко используемых решений для каждого класса продуктов.

VPN на базе сетевых операционных систем. Для формирования виртуальных защищённых туннелей в IP сетях сетевая операционная система Windows NT использует протокол PPTP (Point-to-Point Transfer Protocol). Туннелирование информационных пакетов производится инкапсулированием и шифрованием (криптоалгоритм RSA RC4) стандартных блоков данных фиксированного формата (РРР Data Frames) в IP-дейтаграммы, которые и передаются в открытых IP-сетях. Данное решение является недорогим, и его можно эффективно использовать для формирования VPN-каналов внутри локальных сетей, домена Windows NT или для построения Internet- и Extranet- VPN для небольших компаний малого и среднего бизнеса для защиты не критичных приложений.

VPN на базе маршрутизаторов. В России лидером на рынке VPN-продуктов является компания Cisko Systems. Построение каналов VPN на базе маршрутизаторов Cisko осуществляется средствами ОС версии Cisko IOS 12.х. Для организации туннеля маршрутизаторы Cisko используют протокол L2TP канального уровня эталонной модели OSI, разработанного на базе «фирменных» протоколов Cisko L2F и Microsoft PPTP, и протокол сетевого уровня IPSec, созданного ассоциацией «Проблемная группа проектирования Internet (Internet Engineering Task Force — IETF). Эффективно применяется Cisko VPN Client, который предназначен для создания защищенных соединений Point-to Point между удаленными рабочими станциями и маршрутизаторами Cisko — это позволяет построит практически все виды VPN-соединений в сетях.

VPN на базе межсетевых экранов. Эта технология считается наиболее сбалансированной и оптимальной с точки обеспечения комплексной безопасности КИС и её защиты от атак из внешней открытой сети. В России нашел широкое применение программный продукт Check Point Firewall-1/VPN-1 компании Check Point Software Technologies. Это решение позволяет построить глубоко комплексную эшелонированную систему защиты КИС.

В состав продукта входят: Check Point Firewall-1, набор средств для формирования корпоративной виртуальной частной сети Check Point VPN-1, средства обнаружения атак и вторжений Real Secure, средства управления полосой пропускания информационных пакетов Flood Gate, средства VPN-1 Secure Remote, VPN-1 Appliance и VPN-1 Secure Client для построения Localnet/Intranet/Internet/Extranet VPN-каналов. Весь набор продуктов Check Point VPN-1 построен на базе открытых стандартов IPSec, имеет развитую систему идентификации и аутентификации пользователей, взаимодействует с внешней системой распределения открытых ключей PKI, поддерживает цетрализованную систему управления и аудита.

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: