BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/library/crypto/vpn1.html

Особенности использования VPN в России
Алексей Лукацкий
Опубликовано: dl, 24.04.02 00:49

Введение

Статьи о технологии виртуальных частных сетей (Virtual Private Networks, VPN) появляются как грибы после дождя. Это связано с тем, что современное развитие информационных технологий и, в частности, сети Internet, приводит к необходимости защиты информации, передаваемой в рамках распределенной корпоративной сети, использующей сети открытого доступа. При использовании своих собственных физических каналов доступа эта проблема так остро не стоит, так как в эту сеть не имеет доступа никто из посторонних. Однако свои собственные каналы может себе позволить далеко не любая компания. Поэтому приходится довольствоваться тем, что есть в распоряжении компании. А есть только Internet. Вот и приходиться изобретать способы защиты конфиденциальных данных, передаваемых по незащищенной (по определению) сети.

Прежде чем начать рассказ о VPN, хотелось бы дать неформальное определение этой технологии. Мне нравится определение компании Check Point Software Technologies, которое я бы хотел привести: "VPN - это технология, которая объединяет доверенные сети, узлы и пользователей через открытые сети, которым нет доверия". На мой взгляд, это наиболее яркий образ технологии, которая получает все большее распространение среди не только технических специалистов, но и среди рядовых пользователей, которым также требуется защищать свою информацию (например, пользователи Internet-банков или Internet-порталов).

Как я уже упомянул в самом начале, статей о технологии VPN появилось огромное множество. Однако, как правило, они описывают сугубо технические понятия, такие как "используемый алгоритм криптографического преобразования", "туннелирование", "сервер сертификатов" и т.д. Интересно ли читать такие статьи? Да, безусловно. Но только не для конечных пользователей, которым глубоко безразлично, какой длины ключ используется в приобретаемом средстве построения VPN или сколько дополнительных байт добавляется к IP-пакету при инкапсуляции. Скорее их интересует несколько иная интерпретация этих вопросов - сколько лет можно не беспокоиться за сохранность своей информации и насколько медленнее будет работать сеть, защищенная с помощью VPN-устройства. Хочу привести пример из жизни. Позвонил к нам на работу потенциальный клиент и попросил рассказать о программно-аппаратном комплексе построения VPN "Континент ", который был разработан в нашей компании и сертифицирован в Гостехкомиссии России и ФАПСИ. После продолжительного рассказа обо всех достоинствах нашего продукта, клиент задал вопрос: "А какова стойкость защиты, реализуемой Континентом?". На что незамедлительно последовал ответ: "Два в двести пятьдесят шестой степени, так как такова длина используемого ключа шифрования". Для математика-криптографа такого ответа вполне достаточно, но не для рядового пользователя и звонивший нам уточнил свой вопрос: "Я защищаю информацию, за которую могут дать от трех до пяти лет. Срок давности по этой статье 15 лет. Следовательно, мне нужен продукт, который не взломают в течение двадцати лет".

Именно поэтому я бы не хотел в данной статье касаться сугубо технических вопросов и аспектов, связанных с использованием VPN-устройств. Я бы хотел рассказать об этой технологии с позиции конечного пользователя, делая упор на особенности применения VPN в России. Ведь многие пользователи не знают, что ввоз, приобретение и использование средств построения VPN регламентируется различными нормативными документами, разработанными в соответствующих государственных ведомствах (Государственный таможенный комитет, Гостехкомиссия России, ФАПСИ и т.д.).

Конечные пользователи обычно задают следующие вопросы, на которые я попробую ответить в своей статье:

  1. Как мне защитить удаленный филиал своей организации или подключиться к корпоративной сети из дома или с notebook?
  2. Если я использую межсетевой экран (firewall), то нужна ли мне VPN?
  3. Защищает ли VPN от внешних и внутренних атак?
  4. Насколько медленнее будет работать моя сеть после установки VPN?
  5. Чем отличаются сертифицированное и несертифицированное VPN-устройства?
  6. Почему VPN-устройства сертифицируются по классу межсетевых экранов?
  7. И т.д.

Варианты использования

Можно выделить четыре основных варианта построения сети VPN, которые используются во всем мире. Данная классификация предлагается уже упомянутой выше компанией Check Point, которая не без основания считается законодателем моды в области VPN и межсетевых экранов. Так, например, по данным независимых консалтинговых и аналитических агентств компания Check Point захватила 52% мирового рынка VPN-решений (по данным Dataquest) и 41% мирового рынка межсетевых экранов (по данным IDC).

  1. Вариант "Intranet VPN", который позволяет объединить в единую защищенную сеть несколько распределенных филиалов одной организации, взаимодействующих по открытым каналам связи. Именно этот вариант получил широкое распространение во всем мире, и именно его в первую очередь реализуют компании-разработчики.
  2. Вариант "Remote Access VPN", который позволяет реализовать защищенное взаимодействие между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который подключается к корпоративным ресурсам из дома (домашний пользователь) или через notebook (мобильный пользователь). Данный вариант отличается от первого тем, что удаленный пользователь, как правило, не имеет статического адреса, и он подключается к защищаемому ресурсу не через выделенное устройство VPN, а прямиком со своего собственного компьютера, на котором и устанавливается программное обеспечение, реализующее функции VPN.
  3. Вариант "Client/Server VPN", который обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например, между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физической необходимо создать несколько логических сетей. Например, когда надо разделить трафик между финансовым департаментом и отделом кадров, обращающихся к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, которая действует на уровне выше канального.
  4. Последний вариант "Extranet VPN" предназначен для тех сетей, к которым подключаются так называемые пользователи "со стороны", уровень доверия к которым намного ниже, чем к своим сотрудникам.

Межсетевые экраны и средства построения VPN

Вопрос о том, нужно ли использовать VPN, если уже есть межсетевой экран (и наоборот) даже не стоит на повестке дня, так как эти решения выполняют абсолютно разные задачи. Межсетевой экран - это, как ограда вокруг вашей сети, которая препятствует проникновению сквозь нее всяких "нехороших парней", в то время как VPN - это бронированный автомобиль, который защищает ваши ценности при вывозе их за пределы ограды, т.е. во внешний мир со всеми его трудностями и опасностями. Поэтому надо использовать и то и другое решения для обеспечения необходимого уровня защищенности информационных ресурсов. Вопрос совместного применения межсетевых экранов и VPN возникает в случае защиты корпоративной сети по всем из указанных вариантов, кроме третьего. Именно поэтому так важно найти на него правильный ответ. Существует две крайности - устанавливать межсетевой экран перед VPN-устройством и после него. В первом случае, возникает ситуация, когда на межсетевой экран из Internet попадает еще нерасшифрованный трафик, что приводит к невозможности контроля передаваемого содержимого (вирусы, апплеты Java, команды протоколов и т.д.). Во втором случае ситуация несколько лучше, но само устройство VPN становится уязвимым к внешним атакам. Кроме того, оно уже не может осуществлять обработку трафика в зависимости от его содержания или пользователя, являющегося получателем данных. Идеальным решением, к которому пришло большинство зарубежных производителей (Check Point, Cisco Systems и т.д.), а также приходят отечественные разработчики - совместить в одном устройстве функции межсетевого экрана и VPN. В этом случае указанные проблемы исчезают.

Защита от внешних и внутренних атак

К сожалению приходится отметить, что средства построения VPN не являются полноценными средствами обнаружения и блокирования атак. Они могут предотвратить ряд несанкционированных действий, но далеко не все возможности, которые могут использовать хакеры для проникновения в корпоративную сеть. Они не могут обнаружить вирусы и атаки типа "отказ в обслуживании" (это делают антивирусные системы и средства обнаружения атак), они не могут фильтровать данные по различным признакам (это делают межсетевые экраны) и т.д. На это мне можно возразить, что эти опасности не страшны, так как VPN не примет незашифрованный трафик и отвергнет его. Однако на практике это не так. Во-первых, в большинстве случае средство построения VPN используется для защиты лишь части трафика, например, направленного в удаленный филиал. Остальной трафик (например, к публичным Web-серверам) проходит через VPN-устройство без обработки. А во-вторых, перед лицом статистики склоняют головы даже самые отъявленные скептики. А статистика утверждает, что до 80% всех инцидентов, связанных с информационной безопасностью, происходит по вине авторизованных пользователей, имеющих санкционированный доступ в корпоративную сеть. Из чего следует вывод, что атака или вирус будут зашифрованы наравне с безобидным трафиком.

Производительность

Производительность сети - это достаточно важный параметр и на любые средства, которые уменьшают его, в любой организации смотрят с подозрением. Не являются исключением и средства построения VPN, которые вносят дополнительные задержки, связанные с обработкой трафика, проходящего через VPN-устройство. Все задержки, возникающие при криптографической обработке трафика, можно разделить на три типа:

Реализация первого, второго и четвертого вариантов построения VPN предусматривает установление защищенных соединений не между абонентами сети, а только между VPN-устройствами. С учетом криптографической стойкости используемых алгоритмов смена ключа возможна через достаточно длительный интервал времени. Поэтому задержки первого типа на скорость обмена данными при использовании средств построения VPN практически не влияют. Разумеется, этот тезис касается стойких алгоритмов шифрования, использующих ключи не менее 128 бит (Triple DES, ГОСТ 28147-89 и т.д.). Устройства, использующие бывший стандарт DES, могут вносить определенные задержки в работу сети.

Задержки второго типа начинают играть роль только при передаче данных по высокоскоростным каналам (от 10 Мбит/сек). Во всех остальных случаях быстродействие программной или аппаратной реализации выбранных алгоритмов шифрования и контроля целостности обычно достаточно велико и в цепочке операций "зашифрование пакета - передача пакета в сеть" и "прием пакетов из сети - расшифрование пакета" время зашифрования (расшифрования) значительно меньше времени, необходимого для передачи данного пакета в сеть.

Основная проблема связана с добавлением дополнительного заголовка к каждому пакету, пропускаемому через VPN-устройство. В качестве примера, рассмотрим систему диспетчерского управления, которая осуществляет обмен данными в реальном масштабе времени между удаленными станциями и центральным пунктом. Размер передаваемых данных не велик - не более 25 байтов. Данного сопоставимого размера передаются в банковской сфере (платежные поручения) и в IP-телефонии. Интенсивность передаваемых данных - 50-100 переменных в секунду. Взаимодействие между узлами осуществляется по каналам с пропускной способностью в 64 Кбит/сек.

Пакет со значением одной переменной процесса имеет длину 25 байтов (имя переменной - 16 байт, значение переменной - 8 байт, служебный заголовок - 1 байт). IP-протокол добавляет к длине пакета еще 24 байта (заголовок IP-пакета). При использовании в качестве среды передачи каналов Frame Relay LMI добавляется еще 10 байт FR-заголовка. Всего - 59 байт (472 бита). Таким образом, для передачи 750 значений переменных процесса за 10 секунд (75 пакетов в секунду) необходима полоса пропускания 75 х 472 = 34,5 Кбит/сек, что нормально вписывается в имеющиеся ограничения пропускной способности в 64 Кбит/сек. Теперь посмотрим, как ведет себя сеть при включении в нее средства построения VPN. Первый пример - средства на основе уже порядком подзабытого протокола SKIP.

К 59 байтам данных добавляется 112 байт дополнительного заголовка (для ГОСТ 28148-89), что составит 171 байт (1368 бит). 75 х 1368 = 102,6 Кбит/сек, что на 60% превышает максимальную пропускную способность имеющегося канал связи.

Для протокола IPSec и вышеуказанных параметров пропускная способность будет превышена на 6% (67,8 Кбит/сек). Это при условии, что дополнительный заголовок для алгоритма ГОСТ 28147-89 составит 54 байта. Для протокола, используемого в российском программно-аппаратном комплексе "Континент-К" дополнительный заголовок, добавляемый к каждому пакету, составляет всего 36 байт (или 26 - в зависимости от режима работы), что не приводит к никакому снижению пропускной способности (57 Кбит/сек и 51 Кбит/сек соответственно). Справедливости ради, необходимо отметить, что все эти выкладки верны при условии, что кроме указанных переменных в сети ничего больше не передается.

Сертифицированные и несертифицированные решения

На этот вопрос достаточно сложно ответить даже в нескольких статьях. Российское законодательство в сфере информационной безопасности столь несовершенно, что позволяет крутить им в любую удобную сторону. С одной стороны, государственные структуры обязаны применять только сертифицированные решения для построения своих информационных систем, в том числе и средства построения VPN. С другой стороны собственник информации волен сам принимать решения о степени защиты своих данных и используемых для обеспечения их безопасности средств. Тем самым налицо явное противоречие, которое может трактоваться в зависимости от дополнительных условий. Что касается различия между сертифицированным и несертифицированным решением, то их практически нет. За исключением наличия красивой бумажки с голограммой, называемой сертификатом, говорящей, что сертифицированный экземпляр соответствует некоторым требованиям, предъявляемым к средствам защиты данного класса. Второе отличие - увеличение стоимости продукта по сравнению с его несертифицированным собратом. Во всем остальном эти версии идентичны. Мало того, как однажды на одной из конференций заметил представитель одной из российских сертификационных структур, даже в случае взлома сертифицированного средства, вам некуда будет предъявить свои претензии. Точнее предъявить-то вы их сможете, но получить компенсацию за нанесенный моральный и материальный ущерб будет невозможно.

Еще один аспект, связанный с сертификацией - непонимание, почему средства построения VPN сертифицируются по классу межсетевых экранов. И на этот вопрос также нельзя ответить в двух словах. Можно только отметить следующее. В настоящий момент в России существует пять систем сертификации средств защиты:

Наибольшей известности достигли первые две системы и именно с ними приходится сталкиваться в большинстве случаев. По идее средства построения VPN являются средствами криптографического преобразования, что автоматически приводит к необходимости их сертификации по линии ФАПСИ. Однако те, кто сталкивался с этим ведомством, знают, что процесс сертификации того или иного средства очень длительный; за это время успевает выйти новая версия сертифицируемого продукта. Средняя длительность получения так называемого положительного заключения в структуре ФАПСИ - около года, еще около 6-12 месяцев уходит на получение непосредственно сертификата. И это только для российских средств - для зарубежных средств путь к получению сертификата попросту заказан. Данная ситуация привела к тому, что по данным на 19 января 2001 года в России не было действующих сертификатов ФАПСИ на средства построения VPN.

Видимо, вследствие указанных причин, отечественные и зарубежные производители стали обращаться в другую, не менее известную сертифицирующую организацию - Гостехкомиссию. К таким производителям можно отнести Check Point Software с ее решением VPN-1, НИП "Информзащита" с "Континент-К" и других. Примечательно, что некоторые производители подают свои изделия на сертификацию в обе структуры, но далеко не все получают сертификаты от них обеих. Исключение составляет НИП "Информзащита", которое имеет сертификаты на свои решения и от Гостехкомиссии, и от ФАПСИ.

Устраняя возникший вакуум в области сертификации средств построения VPN, Гостехкомиссия России приняла решение о разработке собственного Руководящего Документа по VPN-устройствам. По некоторым оценкам данный документ появится к концу текущего года. После его выхода ситуация намного упростится, так как ГТК - организация, более лояльная ко всем компаниям-заявителям; и российским, и зарубежным.

Заключение

В небольшой статье я попытался осветить лишь некоторые аспекты, связанные с технологией виртуальных частных сетей, которая получает широкое распространение в России. Надеюсь, что данные аспекты, которые вызывают наибольший интерес у специалистов любого уровня квалификации, от рядового пользователя до администратора безопасности, помогут быстро и эффективно внедрить эти решения в своей компании, а также обойти многие "подводные камни" и ловушки, расставляемые перед конечным пользователем и государственными органами и компаниями-поставщиками. В своих следующих статьях я постараюсь вернуться к этой интересной теме и рассказать о некоторых других аспектах использования решений VPN.

Об авторе:
Алексей Викторович Лукацкий, заместитель технического директора Научно-инженерного предприятия "Информзащита" (Москва), сертифицированный инструктор по безопасности компании Internet Security Systems, сертифицированный инженер по безопасности компании Check Point Software Technologies. Связаться с ним можно по тел. (095) 289-8998 или e-mail: luka@infosec.ru.

14 марта 2001 г.

Дополнительные ссылки: VPN Виртуальная частная сеть Virtual Private Network vpn

обсудить  |  все отзывы (0)

[65922; 34; 7.79]




  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach