Сначала появляется необходимость объединения компьютеров одного-двух отделов, затем сеть охватывает центральный офис компании, а вскоре к этой структуре присоединяются и ее филиалы, разбросанные по всему миру. Прежде чем вы успеете оглянуться, к интрасети захотят подключиться торговые представители вашей компании, да и все остальные сотрудники.
Конечно, прекрасно расширить границы интрасети, распространив ее за пределы центрального офиса компании, но, к сожалению, при этом возникает угроза безопасности данных. Что может сделать в такой ситуации администратор интрасети? Во многих случаях ответом на этот вопрос станет создание виртуальных частных сетей (Virtual Private Network - VPN). Благодаря использованию VPN администраторы интрасетей избавятся от проблем, связанных с организацией доступа удаленных пользователей в частные сети, передав их решение провайдерам услуг Internet. Появится возможность упрощения и удешевления доступа к централизованным сетевым ресурсам, базирующимся на стандартах Web, поскольку сеть Internet уже можно считать доступной повсеместно.
Сети VPN используются для безопасной передачи через Internet конфиденциальных данных, пересылаемых в форме информационных пакетов по протоколам IP и IPX. Специальные средства безопасности трансформируют IP-пакеты, "встраивая" их внутрь других пакетов (эта операция называется инкапсуляцией, или туннелированием), которые затем маршрутизируются через Internet.
Если вы рассматриваете возможность расширения доступа к вашей корпоративной сети Web через сети VPN, то первой и главной заботой должна стать безопасность данных. Вообще говоря, хакерам гораздо легче проникнуть в корпоративную локальную сеть и добраться до хранящихся в ней данных, чем перехватить IP-пакеты, которые вы пересылаете через Internet. Дело в том, что маршрутизаторы в Internet представляют собой специализированные компьютеры, операционные системы которых ориентированы на решение одной, очень узкой, задачи - маршрутизации трафика через магистральный канал Internet. Кроме того, маршрутизаторы Internet обычно работают в защищенном режиме. При этом компьютеры общего назначения, используемые в качестве серверов электронной почты и Web, а иногда и в качестве защитных шлюзов, функционируют под управлением операционных систем, которые рассчитаны скорее на обеспечение доступа, чем на защиту информации. Это означает, что ими легче воспользоваться для проникновения внутрь сети.
Чтобы сеть VPN была действительно безопасной, необходимо обеспечить выполнение трех защитных функций. Аутентификация помогает получателю информации убедиться в том, что ее отправитель - именно тот, за кого он себя выдает. Функция обеспечения целостности данных гарантирует, что полученная информация поступила непосредственно от отправителя и что никакое третье лицо не изменило содержания пакетов. Шифрование сообщений гарантирует получателю, что только он сможет прочесть переданные ему сведения.
В VPN средства безопасности должны действовать на уровне отдельных IP-пакетов, поскольку протоколы уровня 3, такие как IP, не несут информации о состоянии сети, а следовательно, невозможно определить, к какому соединению относится данный IP-пакет. Протоколы других уровней, например TCP, несут в себе такую информацию, поэтому их механизмы установления связи не являются безопасными - их можно довольно легко дублировать или подделать.
Если аутентификация и проверка целостности каждого передаваемого пакета не обеспечены (обычно этого можно добиться путем обновления используемого ПО), то в VPN нельзя установить должный уровень безопасности пакетов на всех участках сети между отправителем и получателем сообщения. В этом случае безопасность данных в VPN не будет соответствовать уровню безопасности, обеспечиваемому брандмауэром. Комитет по инженерным проблемам Internet (IETF) официально признает два основанных на стандартах алгоритма аутентификации и проверки целостности информации. Один из них называется Message Digest Version 5 (MD5), а другой - Secure Hash Algorithm (SHA).
Шифрование сообщений
Шифрование сообщений необходимо не всегда. Часто оно оказывается довольно дорогостоящей процедурой, поскольку без использования специальных аппаратных приставок большинство маршрутизаторов не могут одновременно с шифрованием обеспечивать приемлемый уровень быстродействия. Чтобы оценить необходимость шифрования сообщений в вашей виртуальной частной сети, вам придется определить и классифицировать все типы данных в интрасети, которые не должны попасть к посторонним, так как это может нанести вред вашей организации. Затем следует оценить размер возможного ущерба от потери таких данных или от их попадания в чужие руки. После этого нужно определить, кто потенциально заинтересован в получении ваших конфиденциальных данных, и подумать о мотивах и финансовых возможностях похитителей информации. В качестве минимального средства шифрования данных при передаче их по сетям VPN комитет IETF одобрил стандарт шифрования Data Encryption Standard (DES) с 56-разрядным ключом.
Ключ к безопасности данных
Шифровальные ключи, представляющие собой аналоги персональных паролей, являются неотъемлемой частью служб шифрования, аутентификации и проверки целостности данных. Они тесно связаны с механизмом обеспечения безопасности. Без знания ключа к шифру практически невозможно расшифровать передаваемое по сети сообщение. Не стоит забывать и о задаче управления ключами, т. е. об автоматическом обновлении шифровальных ключей. Если VPN состоит всего из нескольких узлов, то управление ключами вручную еще возможно, но в крупной виртуальной сети без системы автоматизированного управления ключами уже не обойтись. Так как тексты протоколов безопасности MD5 и DES доступны через Internet любому желающему, то надежность ключей определяет уровень безопасности данных. Поэтому ключи должны регулярно обновляться; только в этом случае они смогут защитить вас от посягательств на ваши данные. Управление ключами как раз и призвано обеспечить надежность шифровальных ключей в ежедневном ритме работы крупной сети.
Протоколы
Для передачи информации по сетям VPN различные разработчики предлагают четыре протокола: Layer 2 Forwarding Protocol (протокол трансляции уровня 2), Layer 2 Tunneling Protocol (протокол туннелирования уровня 2), Point-to-Point Tunneling Protocol (протокол туннелирования между узлами), а также протокол IP Security (IPSec), предложенный комитетом IETF.
Первые три спецификации известны под общим названием протоколов трансляции уровня 2, поскольку в соответствии с ними пакеты протоколов уровня 3 (AppleTalk, IP и IPX) сначала инкапсулируются в другие пакеты протокола уровня 2 (PPP), а уже затем передаются адресату по IP-сети. Хотя эти спецификации и претендуют на решение проблемы безопасности в сетях VPN, они не обеспечивают шифрования, аутентификации, проверки целостности каждого передаваемого пакета, а также средств управления ключами.
Четвертый протокол, IPSec, обеспечивает аутентификацию, проверку целостности и шифрование сообщений на уровне отдельных пакетов. Комитет IETF планирует также официально утвердить основанный на стандартах протокол управления ключами, который называется Internet Security Association and Key Management Protocol. Шифровальные ключи в этом протоколе определяются по алгоритму Окли. На сегодняшний день протоколы IPSec являются наиболее современным решением для сетей VPN. Сейчас они проходят тщательную проверку в различных компаниях, которые производят программное обеспечение для удаленного доступа, брандмауэры и другие продукты, предназначенные для работы в интрасетях.
Обо всех этих технических тонкостях следует помнить, хотя на практике при создании сети VPN перед администраторами интрасетей встает несколько иная задача: им приходится выбирать конкретный программный продукт. Несомненным достоинством сети VPN является то, что ее можно реализовать на основе уже имеющегося программного обеспечения для маршрутизаторов, шлюзов и настольных систем, модернизировав его для обеспечения поддержки протокола IPSec.
Алекс Хенторн (Alex Henthorn) - старший специалист по продуктам компании Livingston Enterprises из г. Плезантон (шт. Калифорния), занимающейся созданием средств удаленного доступа. Адрес его электронной почты alex@livingsnon.com.
Туннелирование пакетов через Internet
Протокол IP Security (IPSec), предложенный комитетом IETF, обеспечивает встраивание (туннелирование) зашифрованных IP-пакетов в другие пакеты, служащие для исходных своеобразной оболочкой. Такой способ повышает безопасность передачи информации.
1 Пользователь удаленной рабочей станции Х начинает сеанс связи по протоколу TCP/IP с пользователем рабочей станции Y, находящейся в корпоративной интрасети. Рабочая станция генерирует IP-пакет и посылает его на маршрутизатор А для дальнейшей передачи через Internet.
2 Получив пакет, маршрутизатор определяет, что пакет должен быть зашифрован в соответствии со стандартом цифрового кодирования DES. Зашифровав пакет, маршрутизатор помещает его в другой пакет, содержащий новый идентификатор адреса. После этого пакет с зашифрованным содержимым транслируется через Internet.
3 Приняв пакет, маршрутизатор В обнаруживает, что его содержание зашифровано в соответствии с протоколом туннелирования. Маршрутизатор извлекает зашифрованное содержимое и подвергает его дешифрованию с помощью алгоритма DES, восстанавливая вид исходного информационного пакета. Затем этот пакет передается рабочей станции Y.
4 Пользователь рабочей станции Y получает пакет.