предприятии локальная сеть полностью изолирована, и попасть в нее можно разве что через небольшой модемный пул, номера телефонов которого знают единицы. Когда же появляются удаленные офисы и филиалы, неизбежно встает вопрос: как организовать с ними связь так, чтобы она была стабильной, доступной в любое время суток, достаточно высокоскоростной, недорогой и в то же время надежно защищенной от доступа посторонних лиц? Оптимальное на сегодняшний день решение этих проблем - создание виртуальных частных сетей (virtual private networks, VPN).

VPN - не единственное решение

Перефразируя известную пословицу, можно смело утверждать: маленькая компания - это маленькие заботы, большая компания - и заботы большие. Пока предприятие расположено компактно, можно наращивать локальную сеть, попутно увеличивая ее пропускную способность. А что делать, когда появляются филиалы, региональные офисы, удаленные подразделения? Или когда начальство желает создать внутри корпоративной сети небольшую закрытую сеть только для особо важных персон компании?

До поры до времени можно обмениваться электронной почтой, при необходимости применяя средства шифрования данных. Если есть несколько удаленных друг от друга корпоративных серверов, можно организовать репликацию данных, однако при этом необходимо всегда помнить, что данные на серверах с репликацией могут оказаться не самыми свежими - транзакции не транслируются в реальном масштабе времени. Кроме того, нельзя полагаться на надежность такого способа обмена данными: если хакер сумеет получить управление компьютерами локальной сети, то он при желании сможет отыскать хранимые на сервере ключи, после чего шифрование сообщений теряет смысл.

Для обмена данными в реальном времени и мгновенного доступа к удаленным серверам необходима распределенная корпоративная сеть. Крупные богатые корпорации могут создать собственную распределенную сеть, физически изолированную от всех других компьютерных, телефонных и иных сетей связи, но лишь единичные компании берутся за реализацию этой затеи, так как обходится она очень дорого. Иногда на создание подобных сетей решаются силовые и крупные государственные ведомства, оправдывая расходы необходимостью обеспечения высокого уровня секретности. Однако реальность такова, что в настоящее время установка криптосистем и создание VPN обходится во много раз дешевле, причем виртуальные частные сети оказываются зачастую надежнее собственных частных и ведомственных сетей с точки зрения безопасности: на дешифрацию трафика хорошо защищенного канала могут уйти миллионы лет работы всего нынешнего парка компьютеров. По некоторым данным, Пентагон даже в случае всемирной ядерной войны намерен до 75-80% всей конфиденциальной информации передавать по Internet. Думается, это не случайно.

Некоторые пользуются услугами операторов космической, телефонной связи, сетей ATM, frame relay, ISDN, арендуя каналы передачи данных у этих компаний. (Кстати, предоставление каналов типа "точка-точка" с гарантированной полосой пропускания предлагают и российские компании. Объявления об этих услугах можно встретить в прейскурантах "Комстар", "МТУ-Информ", Macomnet, "Инком" и др.) Такие каналы будут логически изолированы от других сетей, хотя в принципе и в них можно проникнуть. В 70-80 годах существовал целый клан взломщиков, специализировавшихся на нелегальном доступе в телефонные сети. Эти люди именовали себя фриками. Позднее они постепенно переквалифицировались в компьютерных хакеров (кстати, известный хакер Кевин Митник начинал свою "карьеру" именно с телефонных "шуток", которые впоследствии он часто использовал для проникновения в компьютерные системы). Трудно сказать, насколько этот клан активен сейчас, но не стоит полностью исключать вероятность того, что эти люди и сегодня время от времени упражняются в мастерстве. Еще одно слабое место таких сетей - незащищенность от "прослушивания" с помощью различной специальной аппаратуры. Опытному специалисту "снять" с кабеля сигнал не стоит особого труда. Если же передача данных происходит на радиочастотах, то задача "снятия" и искажения сигнала еще более упрощается. В общем, не следует возлагать особых надежд на защищенность таких каналов, да и их аренда стоит немалых денег. Если же решение об их использовании принято, а передаваемая по ним информация стоит немалых денег, следует задуматься о шифровании хотя бы особо важных данных, транслируемых по этим каналам.

Однако было бы серьезной ошибкой полностью игнорировать решения, основанные на создании собственных физических сетей и использовании арендуемых каналов связи. Эти решения, например, окажутся полезными для корпоративных пользователей, у которых имеется несколько точек, расположенных не очень далеко от центрального узла (в пределах нескольких десятков километров), но находящихся вдали от информационных, а порой и от телефонных магистралей. В этом случае связь по радиоканалам окажется очень кстати. Там, где имеются качественные сети связи, аренда готовых каналов позволяет обеспечить гарантированную полосу пропускания, что часто бывает весьма полезно для компаний с интенсивным обменом информацией между сегментами распределенной сети. Кроме того, если сеть связи позволяет передавать не только данные, но и голосовую информацию, ее можно с успехом применять для расширения возможностей офисных мини-АТС: комбинированная связь с филиалами позволит сэкономить немалые средства на междугородные и международные звонки.

И все-таки Internet

Безусловно, собственные или арендуемые каналы связи - это эффективные средства для создания корпоративных распределенных сетей. Тем не менее использование для этих целей Internet - вариант тоже далеко не ущербный, скорее наоборот. Дело в том, что, как известно, наиболее дорогой частью крупных распределенных сетей является инфраструктура. Именно поэтому создание или аренда выделенных каналов связи обходится так дорого.

Значительно дешевле воспользоваться средствами Internet. Инфраструктура этой сети хорошо развита практически повсеместно. Ее технологии и стандарты открыты, общеизвестны и широко распространены. Использовать Internet для создания корпоративной сети выгодно прежде всего тогда, когда ее сегменты расположены далеко друг от друга. Впрочем, даже если между ними всего несколько десятков километров, низкая стоимость и удобство эксплуатации Internet могут стать решающими факторами при выборе технологии для построения корпоративной сети (если, конечно, информация, перемещаемая по сети предприятия, стоит не меньше, чем деньги, которые компания готова потратить на защиту этой информации).

Естественно, создание корпоративной сети на основе Internet связано с массой технологических сложностей, львиная доля которых так или иначе свопряжена с вопросом обеспечения безопасности сегментов Сети. И это закономерно: с точки зрения корпоративного пользователя Internet - среда во многом враждебная. Системные администраторы наслышаны о многочисленных проделках хакеров, занимающихся взломом систем безопасности подключенных к Сети компьютеров, перехватом и искажением передаваемой по Internet информации. Поэтому неудивительно, что руководители корпоративных информационных служб с большой осторожностью относятся к любым предложениям относительно использования Internet.

Но, как говорится, волков бояться - в лес не ходить. Строить корпоративные сети с применением каналов, пролегающих по общедоступной части Internet, можно. Но необходимо при этом обеспечить должный уровень безопасности. Защита требуется, во-первых, для сегментов сети, имеющих непосредственное подключение к Internet, и во-вторых, для той части конфиденциального трафика, которая передается через общедоступную компьютерную сеть. Корпоративные сети, в которых обеспечивается и безопасность отдельных сегментов, подключенных к Internet, и защита трафика, передаваемого между самими сегментами, а также между удаленными пользователями и сетью предприятия, получили название виртуальных частных сетей.

С защитой отдельных сегментов сети предприятия дело обстоит относительно просто: проблема решается путем установки брандмауэров, или, как их еще называют, сетевых экранов. При правильном администрировании эти средства очень надежно защищают внутреннюю часть сегмента сети от проникновения извне нежелательных пользователей, не создавая при этом сколько-нибудь значительных неудобств для сотрудников предприятия.

Несколько сложнее обстоит дело с защитой трафика между сегментами корпоративной сети, а также между сетью и удаленными пользователями. Поскольку у предприятия наверняка найдется информация, которую небезопасно передавать через Internet в открытом виде (по крайней мере, к такого рода данным следует отнести пароли удаленных пользователей; в противном случае перехватить пароль и проникнуть в сеть не составит особого труда), то понадобится кодирование (что не очень надежно) или шифрация трафика, а также авторизация пользователей, пытающихся получить доступ извне к ресурсам внутри сегмента. В идеале канал с шифрацией данных должен имитировать соединение типа "точка-точка", то есть степень защищенности проложенного через Internet канала должна быть не меньше, чем в том случае, если бы такой канал был реализован с помощью физически однородной, независимой линии связи, соединяющей узлы корпоративной сети. Подобные виртуальные каналы связи называются туннелями, а этот способ защиты трафика - туннелированием.

Как известно, легальное использование средств шифрования сопряжено в нашей стране с немалыми трудностями, связанными не с техническими, а с законодательными проблемами в этой области (их подробное обсуждение приведено в # 13 Computerworld Россия за 1998 год). Решение проблем аутентификации пользователей также связано с немалым числом спорных вопросов в законодательной области. Тем не менее при желании можно создать сеть VPN, целиком построенную исключительно на легальных с точки зрения российского законодательства средствах.

Средства создания VPN

Поскольку корпоративная сеть будет подключаться к общедоступной части Internet, необходимо обеспечить защиту ее отдельных сегментов от несанкционированного доступа извне. Такая защита обычно обеспечивается с помощью брандмауэров. Эти системы (программные или программно-аппаратные) выпускаются множеством компаний, начиная от специализирующихся на системах безопасности (например, CheckPoint и Trusted Information Systems) и заканчивая многопрофильными компьютерными компаниями, такими как Sun, Novell, Microsoft и др. В нашей стране не существует законодательных ограничений на использование этих продуктов в коммерческих компаниях, поэтому найти поставщиков таких устройств нетрудно. Около десятка брандмауэров прошли сертификацию Гостехкомиссии РФ (их список можно найти на сервере этого ведомства по адресу http://www.infotecs.ru/gtc/ или в #10 нашего еженедельника за 1998 год).

Со средствами шифрования трафика положение дел гораздо серьезнее. Существует масса западных продуктов, содержащих криптосредства (в основном американских стандартов). Однако все они в "чистом" виде непригодны, так как российское законодательство запрещает использование экспортируемых шифровальных средств. Да и на производство криптомодулей отечественного производства тоже налагается немало ограничений, главные из которых - реализация алгоритма ГОСТ 28147-89 и только его, а также наличие у разработчика лицензии ФАПСИ и сертификация в том же ведомстве готового продукта. Сертифицированных ФАПСИ средств шифрования, пригодных для передачи данных через Internet, совсем немного. Насколько нам известно, их производят только две компании - МО ПНИЭИ и "Анкад". И лишь у одной из них, МО ПНИЭИ, имеется продукт, предназначенный именно для шифрования IP-трафика, - это программно-аппаратная система "ШИП" ("Шифратор IP-потоков").

При создании системы "ШИП" был учтен ряд международных стандартов IPSec (спецификации RFC-1825, RFC-1826, RFC-1827) и, кроме того, рекомендации SKIP-07 компании Sun Microsystems с односторонней аутентификацией абонентов. Криптографический модуль встроен в ядро операционной системы (модифицированной версии FreeBSD Unix, работающей на платформе Intel). Для управления системой шифровальных ключей в продукте предусмотрен специальный программный агент - так называемый модуль поддержки клиентской части. Контроль за функционированием ПО "ШИП" осуществляется с помощью центра управления системой ключей, в состав которого входит модуль серверной части, позволяющий отслеживать поведение и при необходимости менять параметры системы, "общаясь" с ней посредством агента. Системный администратор управляет системой с помощью специализированного рабочего места - программы, также входящей в набор средств центра управления и использующей графический интерфейс X Window System.

ПО "ШИП" работает с сетями Ethernet, Fast Ethernet и FDDI, коммутируемыми соединениями PPP и SLIP, поддерживает стандарты маршрутизации RIP II, OSPF, BGP, обеспечивает фильтрацию трафика, идущего по протоколам IP, ICMP и TCP, а также инкапсуляцию протокола IPX в IP и IP в X.25 и frame relay. Производительность системы напрямую зависит от мощности используемого в конфигурации процессора и объема оперативной памяти. Так, на ПК с процессором Pentium/100 МГц и 4 Мбайт оперативной памяти система обеспечивает пропускную способность 1 Мбит/с (300 пакетов в секунду). При замене процессора на Pentium с тактовой частотой 133 МГц и увеличении объема памяти до 16 Мбайт производительность увеличивается примерно в три раза, а при использовании ПК с 200-мегагерцевым Pentium Pro и 32 Мбайт оперативной памяти достигается скорость передачи данных 8 Мбит/с (2-2,5 тыс. пакетов).

Компания "ЭЛВИС+" предлагает семейство продуктов FortE+, не содержащих средств шифрации, но позволяющих их встроить. Эти продукты ориентированы на поддержку спецификаций SKIP. Наиболее мощные, серверные продукты FortE+ Enterprise, FortE+ BranchBox и FortE+ Branch функционируют на базе операционной системы Solaris, причем первые два - только на платформе SPARC. Четвертый продукт семейства - FortE+ Client - работает и на базе различных версий Microsoft Windows. FortE+ Enterprise представляет собой брандмауэр с возможностью встраивания криптографических функций (среди наших пользователей этот продукт более известен под названием "Застава"). Предусмотрено удаленное управление этим брандмауэром посредством протокола SNMP. Интерфейс администратора реализован в двух вариантах - текстовом, основанном на сообщениях командной строки, и графическом на базе Java-технологий. Функции шифрующего маршрутизатора соответственно программно-аппаратным и программным образом реализуют продукты FortE+ BranchBox и FortE+ Branch. Удаленное управление ими производится средствами текстового терминала или графического интерфейса на базе X Window. Наконец, программный продукт FortE+ Client обеспечивает связь удаленных пользователей с VPN.

Чисто программное решение для создания VPN - систему Net-PRO - предлагает компания "Сигнал-КОМ". Оно устанавливается на ПК с операционной системой Windows 95 и NT и обеспечивает фильтрацию и шифрование трафика. Продукт ориентирован на встраивание модулей, реализующих один из двух алгоритмов шифрования - SSL или ГОСТ 28147-89, однако при необходимости возможна интеграция с любыми другими алгоритмами. Система Net-PRO реализована в виде нескольких модулей. Серверный модуль Net-PRO/FW, совмещающий функции брандмауэра и шифрующего маршрутизатора, устанавливается между сегментами сети предприятия и общедоступной частью Internet. На машинах удаленных пользователей устанавливается продукт Net-PRO/WIN. С помощью этих модулей также можно построить защищенную сеть, оснастив ими все ПК внутри сегментов, но не устанавливая сервер Net-PRO/FW. Это может понадобиться, например, для создания небольших сетей VPN, объединяющих множество удаленных пользователей. Кроме того, в системе имеется средство для централизованного администрирования корпоративной сети Net-PRO/SPM (функции удаленного управления также поддерживаются). На ПК с установленным на них модулем Net-PRO/WIN возможно локальное администрирование параметров, касающихся взаимодействия данного ПК с другими компьютерами защищенной сети.

В арсенале компании "Инфотекс" имеется продукт "Наложенная корпоративная сеть Инфотекс", концепция которого несколько отличается от классического варианта VPN. Тем не менее это решение также заслуживает внимания. Функционирование сети возможно в двух вариантах: в режиме обмена электронной почтой и в оперативном режиме. В первом варианте сеть строится из абонентских узлов обмена почтой и серверов-маршрутизаторов (ПК на базе DOS, Windows 3.x, Windows 95, NT или OS/2). При работе в оперативном режиме используются только серверы-маршрутизаторы, которые служат шлюзами между сегментами корпоративной сети и Internet. Администрирование сети осуществляется с помощью двух средств: так называемых "центра управления сетью" и "центра безопасности". Это позволяет разделить функции администратора распределенной сети и менеджера по безопасности. По словам директора компании Владимира Игнатова, продукт компании "Инфотекс" внедрен во многие корпоративные сети, но в сетях Internet пока не применяется, хотя никаких технических ограничений для этого не содержит.

Проекты

Пытаясь разузнать о проектах по созданию VPN для российских заказчиков, мы опросили множество компаний - ведущих системных интеграторов и провайдеров Internet, операторов сетей связи. Как оказалось, проекты с применением VPN - очень большая редкость в нашей стране. Причин тому можно найти массу. Во-первых, виртуальные частные сети для многих заказчиков - диковина, особенно в регионах. Во-вторых, клиентов, которым реально требуется VPN, пока еще не так много. Однако время не стоит на месте. Кризисные явления в российской экономике постепенно отступают, бизнес развивается, а значит, спрос на VPN уже скоро может существенно увеличиться.

В-третьих, инфраструктура российской части Internet все еще не столь хорошо развита, как бы нам того хотелось. В Москве и Санкт-Петербурге создана неплохая телекоммуникационная инфраструктура, однако уже в областях этих городов подключение к Internet превращается в большую проблему. На периферии положение еще тяжелее.

В-четвертых, значительно сдерживает развитие VPN нынешнее законодательство в области шифрования. Легальное использование средств криптозащиты связано со множеством отнюдь не технических трудностей. (А нелегальное... Ну скажите, будет ли системный интегратор делать что-то запрещенное законом?) Уж слишком много хлопот связано с поставкой систем, в которых заложены средства шифрования (см. врезку "Что требуется для легального шифрования"). В результате получается, что реально созданием VPN занимаются только единичные компании - системные интеграторы, которые либо, имея лицензию ФАПСИ на продажу криптосредств, сами закупают все необходимое для проекта ПО и оборудование, либо специализируются на создании средств защиты и встраивают в свои продукты программные модули, закупаемые самим заказчиком. Примечательно, что нам не удалось найти ни одного провайдера Internet, который бы предлагал создание VPN на базе Internet в качестве одной из своих услуг, тогда как на Западе разработка виртуальных частных сетей считается прерогативой именно провайдеров, причем эксперты рассматривают ее в качестве одной из ключевых и наиболее перспективных услуг для корпоративных пользователей, способной приносить немалую прибыль.

К сожалению, нам не удалось отыскать сведений об уже законченных российских проектах с применением VPN. Известно, что работы по созданию виртуальных частных сетей ведут компании "Анкей", Jet Infosystems и "ЭЛВИС+". Сами они систем шифрования не производят. Первые две компании применяют в своих решениях программное обеспечение, разработанное специалистами МО ПНИЭИ, а "ЭЛВИС+" встраивает в свои системы модули, созданные партнерами-земляками - зеленоградской компанией "Анкад". Поскольку проекты еще не закончены, информация о них пока не разглашается. Известно только, что эти проекты достаточно масштабны. Так, Владимир Галатенко, консультант компании Jet Infosystems, сообщил, что VPN одного из клиентов будет содержать несколько десятков сегментов, соединенных друг с другом посредством Internet. Представители компаний обещали держать нас в курсе дела и при первой возможности поделиться с нами подробностями, касающимися проектов по VPN.


Подходы к шифрованию

Итак, допустим, что решение о создании сети VPN принято. Возникает вопрос: какие данные следует шифровать? Ведь не секрет, что значительная часть сообщений и запросов вряд ли вызовет сколько-нибудь серьезный интерес у конкурентов, государства или спецслужб. Так стоит ли шифровать все? Вопрос сложный. С точки зрения безопасности компании, вероятно, все-таки стоит защищать все данные. Но процедура шифрования - довольно дорогая с точки зрения использования вычислительных ресурсов. Неизбежно возникает замедление передачи данных к удаленным компьютерам и сетям. Если объем трафика превысит определенный предел, начнется существенное запаздывание, возникнут своего рода "пробки", приводящие к тому, что простаивающие в очередях данные не будут доставляться в приемлемые сроки.

При определении политики шифрования возможны три варианта. Первый - шифровать только заведомо важную информацию либо данные, с которыми работает узкий круг особо значимых лиц компании (получается что-то вроде VPN для руководства внутри сети VPN предприятия). В этом случае объем шифруемой информации относительно невелик и средства обеспечения криптозащиты трафика вполне успевают его кодировать. С технической точки зрения все в этом случае решается вроде бы просто (если, конечно, шифровальные ключи хранятся достаточно надежно, то есть администратор сети сможет обнаружить и пресечь проникновение в систему раньше, чем хакер завладеет шифровальными ключами). А вот с организационной... Решения руководства выполняют простые сотрудники, которым волей-неволей приходится вести диалоги на весьма конфиденциальные темы, поэтому их беседы, вообще говоря, также следует защищать от прослушивания или по крайней мере снабдить сотрудников средствами электронной подписи, чтобы исключить вероятность подделки писем и предотвратить тем самым ситуацию, когда некая третья сторона вмешивается в общекорпоративный диалог, замаскировавшись под одного из сотрудников.

Второй вариант - предоставление пользователям права самим решать, какую информацию следует передавать в открытом виде, а какую - в закрытом. Но и здесь вряд ли удастся избежать ошибок персонала: по забывчивости, халатности или из-за недостаточной квалификации сотрудников как в использовании криптосредств, так и в определении степени важности документа "закрытая" информация будет отправляться в открытом виде, да и шифровальные ключи наверняка будут храниться как попало, следовательно, вся "конспирация" быстро сойдет на нет.

Поэтому все-таки лучше остановиться на третьем, классическом для концепции VPN варианте, когда шифруется весь трафик, проходящий через общедоступную часть Internet. Естественно, придется позаботиться о снижении нагрузки на туннелированный канал связи. Эта проблема решается путем сочетания двух различных подходов. С одной стороны, если абстрагироваться от природы туннелирования, то можно рассматривать сеть VPN как обычную многосегментную сеть, в которой передача данных между сегментами осуществляется по каналу с относительно невысокой пропускной способностью. Обычно в этих случаях администратор сети старается локализовать трафик внутри сегментов, используя для этого все известные ему методы. С другой стороны, следует позаботиться о том, чтобы средство шифрования трафика обладало достаточно высокой производительностью. Применяемый в нем алгоритм должен обеспечивать оптимальную секретность, не позволяя расшифровывать данные в режиме, близком к реальному времени (в интервале между сменой одного ключа на другой), даже если для этого будет использоваться очень мощная техника.

Еще один важный вопрос: на каком уровне передачи данных по сети должно происходить шифрование? Сергей Рябко, вице-президент компании "ЭЛВИС+" по производству и технологиям, предлагает вспомнить классическую сетевую модель OSI/ISO и рассмотреть с ее помощью различные способы криптозащиты. Естественно, шифрование данных можно производить уже на физическом уровне при помощи специальной аппаратуры. Этот способ очень удобен для криптозащиты собственных каналов связи. Его недостаток в том, что для шифрования приходится использовать аппаратное обеспечение - но в условиях быстрого роста пропускной способности современных средств передачи информации аппаратные криптосредства довольно быстро становятся "узким местом", препятствуя дальнейшему росту производительности каналов связи.

Криптозащита на канальном уровне также возможна, причем чисто программными средствами путем вызова соответствующих процедур из аппаратно-зависимого драйвера коммуникационного адаптера. В этом случае появляется возможность более гибко обрабатывать сетевые пакеты канального уровня и не только шифровать, но и фильтровать их. Этот способ защиты не очень широко распространен, тем не менее его поддерживает целый ряд известных компьютерных и сетевых компаний. Так, Cisco Systems

и Microsoft разработали протоколы для обеспечения безопасной передачи данных на канальном уровне - L2F (Layer 2 Forwarding) и PPTP (Point-to-Point Tunneling Protocol) соответственно. В создании обоих протоколов принимали участие компании Ascend Communications, 3Com и U.S. Robotics, а в разработке PPTP - также ECI-Telematics. Оба протокола используются для шифрования IP-трафика в коммутируемых линиях при установлении соединений типа "точка-точка" и рекомендуются разработчиками в качестве новой полезной услуги, которую могут взять на вооружение провайдеры Internet. Очевидно, что в этом случае передача данных осуществляется посредством однородной с точки зрения канального уровня среды, но такая однородность на практике встречается не так часто.

По мнению Рябко, очень привлекателен для создания туннелированных каналов сетевой уровень - в Internet это уровень IP-пакетов. Работая на этом уровне, можно обеспечить защиту трафика таким образом, что злоумышленник не сможет ни расшифровать данные, ни понять, какое приложение с ними работает, ни определить топологию корпоративной сети (нельзя даже будет сказать, какой сетевой протокол применяется внутри сети - IP, IPX или какой-то иной), поскольку подлинные сетевые пакеты и данные об отправителе и получателе также шифруются или модифицируются (явно указываются только сетевые адреса компьютеров, которые осуществляют это преобразование или шифрацию/дешифрацию пакетов). Кроме того, на сетевом уровне можно совместить шифрование и фильтрацию IP-пакетов. Обычно это достигается путем встраивания в брандмауэры возможностей криптозащиты. Впрочем, такое совмещение делается далеко не всегда. Так как выполнение этой операции в реальном времени требует немалой вычислительной мощности, весьма часто для шифрования трафика применяют выделенные машины. Еще одно значительное удобство шифрования на сетевом уровне - независимость как от конкретных пользовательских приложений, так и от сетевой и телекоммуникационной аппаратуры. Это преимущество достигается за счет того, что вся работа по шифрованию производится на уровне IP-стека.

В настоящее время разработан целый ряд стандартов для защиты трафика на сетевом уровне. Наиболее известен среди них набор спецификаций IPSec. По словам Рябко, наиболее активно применяется в коммерческих приложениях протокол SKIP, входящий в набор IPSec. Этот стандарт поддерживают такие авторитетные компании, как Sun Microsystems, CheckPoint и VPNet; его взяли на вооружение "ЭЛВИС+" и отчасти МО ПНИЭИ. Значительно отстают от него продажи продуктов на основе других стандартов семейства IPSec (это семейство пользуется покровительством Cisco, TimeStep и других компаний), в частности, с применением протоколов ISAKMP (Internet Security Association and Key Management Protocol) и Oakley.

Следующим в сетевой иерархии идет транспортный уровень (TCP и UDP в Internet). При шифровании данных на этом уровне достигается высокая степень защиты, тем не менее она не столь высока, как на уровне сетевом: как правило, шифруется трафик только одного из протоколов (обычно TCP), в то время как данные, передаваемые по другому, остаются открытыми, поэтому злоумышленник, перехватывающий трафик, сможет составить представление о топологии корпоративной сети.

Имеется несколько стандартов для защиты трафика на транспортном уровне, из которых наиболее известен SSL (Secure Sockets Layer). Этот протокол продвигает Netscape Communications вместе со своими союзниками (в России компания "Открытые технологии" активно изучает вопросы применения протокола SSL, однако, как пояснил Глеб Кухта, ведущий специалист отдела системного администрирования этой компании, данный протокол не используется в проектах из-за известных ограничений на технологии шифрации, имеющихся в российском законодательстве). С помощью SSL шифруются пакеты протокола TCP (стандарт SSL не позволяет работать с трафиком UDP), однако для того, чтобы воспользоваться функциями защиты, необходимо встроить вызовы криптографических библиотек внутрь приложения.

Наконец, возможна шифрация на различных прикладных уровнях. В этом случае защищаются только данные приложений. Информация об адресах получателя и отправителя, а также об IP-портах приложений остается открытой. Таким образом можно защищать почтовые сообщения, трафик HTTP, данные приложений электронной коммерции и др. Протоколы, обеспечивающие криптозащиту, сейчас пользуются на Западе большой популярностью. Среди них - S/MIME (Secure Multipurpose Internet Mail Exchange), PGP (Pretty Good Privacy), SHTTP (Secure HTTP), SSH (Secure Shell) и SET (Secure Electronic Transactions).

По словам Рябко, в настоящее время шифрование трафика обычно осуществляется на сетевом и транспортном уровнях. Было бы преждевременно говорить о том, что стандартизация в данной области полностью завершена, на это понадобится еще три-четыре года. Однако интерес к технологиям создания VPN растет, а вместе с ним увеличивается и число действующих корпоративных виртуальных частных сетей.


Что требуется для легального шифрования

  • Продукт, реализующий технологии шифрования, должен иметь сертификат ФАПСИ.
  • У продавца продукта шифрования должна быть лицензия ФАПСИ на право продажи криптосредств.
  • Заказчику необходимо получить лицензию ФАПСИ на право использования шифровальных средств. Для этого он должен проинформировать это ведомство о том, где именно и как будут применяться криптопродукты, какие должностные лица будут заниматься контролем за использованием средств шифрации; провести на предприятии предварительную подготовку, цель которой - обеспечение надежности хранения конфиденциальной информации, криптосредств и ключей (качество этой подготовки будет оценивать уполномоченная ФАПСИ комиссия), а также приобрести законным путем сертифицированные шифровальные продукты.