захист даних

Юрій кінців, Олена Ніконова, Віктор Тімаков

У міру розвитку телекомунікаційних засобів зв'язку та інформаційних технологій (в тому числі засобів захисту інформації) віртуальні приватні мережі (Virtual Private Network, VPN) набувають все більшої привабливості як інструмент для організації електронного бізнесу, документообігу, оперативного засоби вчинення фінансових операцій та ін.

Наведемо три основні функції, при наявності яких накладену корпоративну мережу, побудовану на базі мережі загального користування, можна вважати віртуальної приватної мережею:

- шифрування;

- аутентифікація;

- контроль доступу до ресурсів.

Тільки реалізація всіх цих можливостей дозволяє захистити призначені для користувача машини, сервери підприємства і дані, що передаються по фізично незахищених каналах зв'язку, від зовнішніх небажаних вторгнень, витоку інформації і несанкціонованих дій.

Навесні 1998 р компанія "Сигнал-КОМ", що спеціалізується на розробці засобів захисту інформаціїї і мовного трафіку, випустила програмний комплекс Net-PRO, призначений для побудови захищених віртуальних приватних IP-мереж.

При створенні Net-PRO був використаний підхід до організації VPN, заснований на протоколах SOCKS і SSL.

протокол SOCKS

Протокол SOCKS, автором якого є Девід Коблас, відомий з 1990 р В останні роки широкого поширення набули 4-я і 5-я версії цього протоколу. SOCKS v5 в даний час схвалений IETF і включений в RFC 1928.

Протокол SOCKS описує процедуру взаємодії TCP / IP клієнт-серверних додатків через сервер-посередник, або proxy-сервер. Загальна схема взаємодії по протоколу SOCKS v4 така:

- користувач, охочий встановити зв'язок з будь-яким сервером в мережі, з'єднується замість цього з proxy-сервером (в нашому випадку - з SOCKS-сервером) і повідомляє йому адресу віддаленого сервера;

- SOCKS-сервер з'єднується з віддаленим сервером-адресатом;

- користувач і віддалений сервер взаємодіють один з одним по ланцюжку сполук, SOCKS-сервер просто ретранслює дані.

У SOCKS v5, в порівнянні з версією 4, є такі додаткові можливості:

- аутентифікація (передбачено використання різних методів);

- робота з доменними іменами (в SOCKS v4 можна було працювати тільки з мережевими адресами);

- підтримка протоколу UDP.

Загальна схема встановлення з'єднання по протоколу SOCKS v5 виглядає наступним чином:

- з'єднавшись з SOCKS-сервером, користувач повідомляє йому ідентифікатори всіх підтримуваних методів аутентифікації: парольної аутентифікації (RFC 1929), аутентифікації з використанням GSS-API (RFC 1961), без аутентифікації і т. Д. - список може розширюватися;

- SOCKS-сервер вирішує, яким методом аутентифікації скористатися (якщо сервер не підтримує жоден з методів аутентифікації, запропонованих користувачем, з'єднання розривається);

- SOCKS-сервер аутентифікує користувача відповідно до обраного методу аутентифікації; допускається також двостороння аутентифікація, т. е. користувач може в свою чергу переконатися, що з'єднався з потрібним SOCKS-сервером;

- користувач повідомляє SOCKS-сервера доменне ім'я або адреса будь-якого сервера (хоста) в мережі, з яким він бажає з'єднатися;

- на підставі результатів аутентифікації SOCKS-сервер приймає рішення про встановлення з'єднання з цим хостом;

- користувач і хост взаємодіють один з одним по ланцюжку сполук, SOCKS-сервер ретранслює дані; при цьому, якщо в ході аутентифікації користувач і SOCKS-сервер обмінялися сеансовим ключем, то весь трафік між ними може бути зашифрований.

Сімейство продуктів Net-PRO

Основна мета, яку ставили перед собою розробники програмного продукту Net-PRO, - створення комплексу засобів, що забезпечують достатню гнучкість при вирішенні широкого кола завдань інформаційної безпеки в мережах різної конфігурації. Продукт складається з трьох функціональних модулів:

- Net-PRO VPN Server - міжмережевий екран, який реалізує функції SOCKS-сервера;

- Net-PRO VPN Client - клієнтський модуль, що підтримує протокол SOCKS;

- Net-PRO PC Firewall - локальний захисний екран.

Модулі Net-PRO працюють під управлінням Windows 95 / NT, однак застосування SOCKS-посередників дозволяє захищати ресурси, що функціонують і на будь-яких інших платформах.

Шифрування в сімействі продуктів Net-PRO забезпечується за рахунок використання розширеного протоколу SSL (Secure Socket Layer), вільного від експортних обмежень, що стосуються довжини криптографічних ключів, і доповненого вітчизняними алгоритмамишифрування (ГОСТ 28147 - 89).

Аутентифікація грунтується або на паролі, або на цифрових ідентифікаторів - сертифікатах в форматі X.509.

Управління доступом до ресурсів здійснюється на основі аутентифицирующей інформації, наданої користувачем, а також за допомогою набору правил, що формуються адміністратором SOCKS-сервера (або серверів, якщо їх декілька) з урахуванням топології віртуальної мережі.

Особливо слід підкреслити, що на відміну від традиційних міжмережевих екранів при використанні Net-PRO ідентифікуються конкретні особи, а не IP-адреси машин, які цими особами використовуються для виходу в мережу.

Net-PRO VPN Server на сторожі IP-мережі

Центральне місце в сімействі продуктів Net-PRO займає модуль Net-PRO VPN Server, який грає роль брандмауера (Firewall), що виконує в шлюзі локальної мережі фільтрацію додатків і процедури аутентифікації і шифрування потоку даних.

Net-PRO VPN Server дозволяє безпечно об'єднувати через мережі загального користування (в тому числі через Інтернет) локальні мережі підприємств і їх філій, з'єднувати центральний офіс компанії з віддаленими (мобільними) співробітниками, партнерами по бізнесу та клієнтами. При цьому забезпечується шифрування даних, аутентифікація і повний контроль доступу до мережевих ресурсів.

Net-PRO VPN Server оснащений засобами боротьби зі "Спуфінга" * 1, дозволяючи контролювати відповідність фізичного походження пакета і його IP-адреси.

-----

* 1. "Спуфінга" (spoofing) - поширений хакерський прийом, що полягає в тому, що зловмисник намагається ззовні отримати несанкціонований доступ до вашої мережі, підробляючи вміст свого пакету під пакет з більш високими привілеями доступу, наприклад видаючи його за пакет з вашої локальної мережі.

Навіщо потрібен Net-PRO VPN Client?

Як же змусити користувача програми з'єднуватися з необхідним ресурсом не безпосередньо, а через SOCKS-сервер? Можливо кілька варіантів:

1) деякі сучасні програми мають вбудовану підтримку протоколу SOCKS; до таких додатків відносяться популярні Web-браузери;

2) існують так звані "соксіфікатори" (наприклад, NEC SocksCap, Hummingbird SOCKS Client і ін.) - програми-посередники, які змушують додатки користувачів працювати по протоколу SOCKS, причому без модифікації самих додатків.

На жаль, ні додатки з вбудованою підтримкою протоколу SOCKS, ні соксіфікатори в більшості своїй не підтримують методів суворої аутентифікації і шифрування. І в цьому сенсі сімейство продуктів Net-PRO компанії "Сигнал-КОМ" вигідно відрізняється від них.

Net-PRO VPN Client є соксіфікатором, причому виконаним за унікальною технологією. Він впроваджується між призначеними для користувача додатками і стеком комунікаційних протоколів, перехоплюючи комунікаційні виклики, формуються додатками, і перенаправляючи їх (у разі потреби) на SOCKS-сервер Net-PRO. При цьому здійснюється аутентифікація і шифрування даних по протоколу SSL.

Net-PRO VPN Client встановлюється на комп'ютерах локальної мережі, що захищається за допомогою Net-PRO VPN Server, або на віддаленому комп'ютері, доступ з якого в мережу, що захищається здійснюється через мережу загального користування (наприклад, через Інтернет) в режимі прямого або комутованого підключення.

Робота клієнтського модуля абсолютно прозора для додатків і не вимагає їх модифікації. Всі настройки (комунікаційні та криптографічні) виробляються в програмі конфігурації модуля Net-PRO з допомогою зручного графічного інтерфейсу.

Net-PRO PC Firewall - індивідуальний засіб захисту комп'ютера

Клієнтський модуль Net-PRO PC Firewall займає особливе становище в сімействі продуктів Net-PRO, граючи роль індивідуального засоби захисту, що підтримує пряме (без представництва proxy-сервера) захищене взаємодія з аналогічними клієнтськими модулями.

Net-PRO PC Firewall встановлюється на окремих комп'ютерах, забезпечуючи захист переданих між ними потоків даних (аутентифікацію і шифрування) незалежно від того, чи знаходяться ці комп'ютери в межах однієї локальної мережі або взаємодіють через глобальну мережу загального користування. Фактично Net-PRO PC Firewall є локальним захисним мережевим екраном, огороджувальних робочу станцію користувача від небажаних вторгнень.

У приватних віртуальних мережах, що захищаються сервером Net-PRO, додаткова установка на комп'ютери модуля Net-PRO PC Firewall підвищує рівень безпеки VPN, забезпечуючи поверх встановлених захищених SOCKS-з'єднань наскрізну аутентифікацію і захист даних між комп'ютерами в різних локальних мережах.

Приклади організації VPN на базі продуктів сімейства Net-PRO

Розглянемо кілька типових прикладів застосування продуктів сімейства Net-PRO для організації захищених віртуальних приватних мереж на базі мереж загального користування, зокрема Інтернету.

На рис. 1 наводиться можливий варіант використання Net-PRO для організації безпечного доступу до ресурсів локальної мережі підприємства віддалених користувачів (співробітників, клієнтів або партнерів), незалежно від способу їх підключення до Інтернету - по комутованій або по виділеній лінії.

Рис. 1. Захищений доступ з віддалених робочих станцій в локальну мережу

При спробі віддаленого користувача встановити з'єднання з сервером, що знаходяться в локальній мережі підприємства, клієнтський модуль Net-PRO VPN Client починає взаємодіяти з SOCKS-сервером (Net-PRO VPN Server). По завершенні першого етапу встановлення з'єднання користувач буде аутентифікований, а перевірка правил доступу покаже, чи має він право з'єднуватися з конкретним додатком на конкретному сервері; все подальше взаємодія буде здійснюватися по каналу, захищеного шифруванням.

Крім захисту локальної мережі від несанкціонованого доступу, на SOCKS-сервер Net-PRO може покладатися контроль за доступом співробітників підприємства до відкритих ресурсів Інтернету (Telnet, WWW, SMTP, POP і ін.). Доступ є повністю авторизованим, при цьому ідентифікуються конкретні особи, а не комп'ютери, з яких вони виходять в мережу. Правила доступу можуть містити заборону або дозвіл на з'єднання з конкретними ресурсами Інтернету в залежності від повноважень або потреб конкретного співробітника (або групи співробітників). Дія правил доступу може залежати і від інших параметрів, наприклад від методу аутентифікації або часу доби. Доповнюють функції контролю розвинені засоби моніторингу та журнал подій.

Для організації надійного контролю доступу до ресурсів локальної мережі підприємства сервери додатків (рис. 1), можуть бути виділені в окремий сегмент. Net-PRO VPN Server дозволяє повністю приховувати топологію локальної мережі, виконуючи процедуру перетворення символьних імен, за допомогою яких віддалений користувач адресується до ресурсів мережі, що захищається, в незареєстровані локальні IP-адреси.

На рис. 2 показано, як за допомогою Net-PRO на базі мережі загального користування (Інтернету) можна побудувати приватну корпоративну мережу, що забезпечує безпечне взаємодія локальних мереж підприємства та його філій. Для цього в точці сполучення кожної локальної мережі з Інтернетом встановлюється SOCKS-сервер Net-PRO, а на робочих станціях в локальних мережах - будь-якої з SOCKS-посередників:

- Net-PRO VPN Client;

- соксіфікатор (SOCKS-клієнт) будь-якої фірми;

- додаток з вбудованою підтримкою протоколу SOCKS.

Рис. 2. Схема побудови захищеної віртуальної корпоративної мережі

При такій конфігурації VPN співробітники підприємства і філії отримують доступ до всіх серверів підприємства і філії так, як якщо б вони перебували в одній локальній мережі. При цьому два SOCKS-сервера Net-PRO, взаємодіючи між собою, за допомогою шифрування створюють захищений віртуальний канал. Все, що говорилося в попередньому прикладі щодо контролю доступу, залишається вірним і в цьому випадку.

Нарешті, варто розглянути варіант організації віртуальної приватної мережі на базі тільки локальних захисних екранів Net-PRO PC Firewall для захисту мереж TCP / IP, що включають сервери і робочі станції під управлінням Windows NT / 95. Використання локальних захисних екранів не вимагає наявності proxy-серверів, так як захищені аутентифіковані з'єднання встановлюються безпосередньо між кінцевими точками мережі, оснащеними модулем Net-PRO PC Firewall.

висновок

Сімейство програмних продуктів Net-PRO компанії "Сигнал-КОМ" орієнтоване на створення захищених приватних віртуальних мереж (VPN), які базуються на IP-мережах загального користування, і з успіхом може бути застосована як засіб колективного та індивідуального захисту в мережах Інтернет / інтранет.

Net-PRO працює абсолютно прозоро для користувача, не вимагаючи модифікації додатків і прикладних служб.

Побудова VPN на базі сімейства продуктів Net-PRO дозволяє забезпечити захист потоків даних в різних варіантах, в тому числі:

- в межах корпоративної локальної мережі;

- при взаємодії об'єднаних локальних мереж;

- при взаємодії з віддаленими ресурсами в мережах загального користування;

- при організації безпечної роботи віддаленого комп'ютера з локальною мережею.

З авторами можна зв'язатися за телефоном: (095) 111-5308.

Тільки зареєстровані користувачі можуть залишати коментарі.