В статье рассматриваются методы и типы защиты информации на магистральном участке распределенной сети.
Ключевые слова: технологии передачи данных, VPN, криптографические шлюзы, туннелирование, шифрование.
При подключении локальной сети к распределенной сети появляются угрозы несанкционированного доступа злоумышленника к данным, обрабатывающимся внутри организации. Кроме того, возможен перехват информации, проходящей в открытом виде через сеть.
Для обеспечения защиты данных необходимо создать выделенный канал, проходя через который, зашифрованная информация будет недоступна для злоумышленников. В свою очередь необходимо учитывать, что предполагаемый злоумышленник может обладать средствами дешифрования. Поэтому появляется необходимость защитить информацию стойкими криптографическими алгоритмами. В этом случае информация утратит свою актуальность еще до момента дешифрования предполагаемым злоумышленником.
Одним из средств, позволяющих обеспечить требуемый уровень защиты, является технология виртуальных частных сетей. Виртуальная частная сеть (VPN) — это территориально распределенная корпоративная логическая сеть, создаваемая на базе уже существующих сетей (локальных корпоративных сетевых структур, сетей связи общего пользования, сети Интернет), имеющая сходный с основной сетью набор услуг и отличающаяся высоким уровнем защиты данных. Каналы VPN могут соединять локальные подсети организации в одну изолированную сеть [2].
VPN сети могут быть построены с помощью:
– Программного обеспечения;
– Маршрутизаторов;
– Межсетевых экранов;
– Программно-аппаратных комплексов.
Также существует три основных вида соединений VPN:
- Remote Access VPN
Этот вид соединения предназначен для удаленного подключения сотрудников к сети организации. Поскольку работник может находиться на большом расстоянии от офиса и в то же время нуждаться во внутренних ресурсах организации, необходимо обеспечить возможность его подключения к сети компании.
Компьютер работника в таком случае будет являться клиентом удаленного доступа, связь с которым на стороне организации будет поддерживать сервер (Remote Access Server). Сервер будет принимать запросы клиента и высылать ответы, предоставляя имеющиеся ресурсы. Клиент может воспользоваться как программным обеспечением, предоставляемым операционной системой, так и специальным программным обеспечением, обеспечивающим шифрование, в том случае, если это необходимо. Данные между клиентом и маршрутизатором проходят через туннель, построенный поверх публичной сети Интернет.
- Site-to-site VPN
Такой вид предназначен для соединения между собой нескольких сетей. Обычно такой технологией пользуются для объединения нескольких филиалов компании. Поддержка канала в данном случае осуществляется с помощью шлюзов, находящихся на концах туннеля. В этом случае компьютеры в одной локальной сети могут подключаться к другой, а данные проходят по виртуальному частному каналу, соединяющему сети. VPN шлюз обеспечивает соединение и предназначен для отправки и получения зашифрованных данных. Одной из его основных характеристик является используемый протокол туннелирования, определяющий способ передачи и упаковки, а также обеспечивающий шифрование кадров. Подключение типа Узел-узел.
В некоторых случаях требуется подключение двух сетевых устройств между собой. Например, в операционной системе Windows 7 есть встроенный VPN сервер, позволяющий создать одно VPN подключение. Также подключение такого типа может использоваться для соединения двух серверов, находящихся в разных городах, если этого требует политика безопасности.
Для защиты информации, передаваемой через сеть Интернет, используется туннелирование. При использовании Site-to-site VPN, туннели создаются между пограничными маршрутизаторами для того, чтобы обеспечить прохождение трафика через общедоступные сети. Туннелирование — это создание логического соединения между двумя узлами при помощи инкапсуляции протоколов. Инкапсуляция — это процесс добавления заголовка при перемещении данных с верхнего уровня модели OSI на нижний. Заголовок включает в себя служебные поля (к примеру адрес отправителя и получателя). При прохождении пакета сверху вниз на каждом уровне добавляются свои заголовки. При туннелировании пакет протокола уровня N помещается в поле данных пакета N+1. На стороне отправителя исходный пакет, который мы можем зашифровать помещается в пакет IP и далее идет по сети. В заголовке IP пакета будет находиться адрес отправителя и получается. Адрес отправителя будет соответствовать IP адресу пограничного маршрутизатора на стороне отправителя, а адрес получателя-пограничному маршрутизатору на стороне получателя. Таким образом, получив IP пакет, получатель извлечет из него исходный пакет, находившийся в поле его данных [1].
Туннелирование не защищает информацию, находящуюся в поле данных пакета, но при его использовании совместно с шифрованием можно защитить не только данные, но и заголовки уровней, которые зачастую содержат служебную информацию. Шифрование данных без заголовков может позволить потенциальному злоумышленнику получить информацию об архитектуре внутренней сети организации. Также с помощью инкапсуляции можно предотвратить конфликт IP адресов в сети
Туннелирование не может обеспечить целостность информации. Но с использованием электронной подписи становится возможным защитить целостность и удостоверить отправителя.
Протоколы туннелирования расположены на втором и третьем уровнях модели OSI и используют в качестве логически неделимого элемента данных кадры или пакеты. Чаще всего на втором уровне используются протоколы PPTP и L2TP.
PPTP это туннельный протокол типа точка-точка, разработанный в 1999 году. Данные, проходящие через сеть, шифруются, а пакеты PPP инкапсулируются в пакеты IP. PPTP это один из самых простых, популярных и быстрых протоколов, который поддерживают большинство устройств. Для работы PPTP необходим концентратор доступа (PAC), обслуживающий сетевые сервера PPTP, называемые PNS (Network Server).
Недостатки можно устранить с помощью L2TP. Это еще один протокол туннелирования, находящийся на 2 втором уровне. Для поддержания более надежного канала L2TP использует не только информационные, но и управляющие сообщения. L2TP также как и PPTP поддерживается большинством устройств и не имеет шифрования.
Из-за отсутствия шифрования, L2TP часто используют с протоколом IPSec, обеспечивающим конфиденциальность при передаче данных. В этом случае пакет инкапсулируется дважды, и информация в туннеле защищена от несанкционированного доступа. Однако это влияет на производительность системы, вследствие чего скорость передачи данных в туннеле уменьшается.
Помимо протоколов, представленных выше, существует множество других. При постройке VPN в организации необходимо провести анализ, целью которого будет выбор протокола туннелирования. Также существуют нюансы при выборе протокола четвертого уровня. При надежной связи рекомендуется использовать протокол UPD, а при частых разрывах соединения протокол TCP, поскольку он гарантирует доставку пакета. В целом, туннелирование это полезный механизм для постройки VPN, но для защиты от несанкционированного доступа его необходимо использовать совместно с шифрованием.
Шифрование — это процесс преобразования данных, используемый как для защиты информации от неавторизованных пользователей, так и для предоставления этой информации авторизованным пользователям [3].
Для построения VPN используется:
− симметричное шифрование с закрытым ключом;
− ассиметричное шифрование с открытым.
Алгоритмы симметричного шифрования используют один ключ как для шифрования, так и для дешифрования. Примерами таких алгоритмов могут быть шифр Цезаря, AES и множество других шифров. Несмотря на то, что ключ в 128 бит осуществляет достаточно надежную защиту, информацию шифруют 256-битным ключом [1].
В асимметричном шифровании используется два типа ключей: открытый и закрытый. Открытый ключ используется при шифровании данных перед отправкой, а закрытый-для дешифрования после получения. Один из самых известных алгоритмов ассиметричного шифрования — RSA.
На практике при построении VPN чаще всего используются следующие алгоритмы: Blowfish, Twofish, AES, Camellia, 3DES, MPPE, RSA. Все эти алгоритмы поддерживают 128 битные ключи, что значительно увеличивает время подбора закрытого ключа. К примеру, в RSA оба ключа являются парой простых чисел, связанных между собой. Разложение числа на множители, каждое из которых является простым числом, займет определенное время. Это время можно многократно увеличить, если использовать сравнительно большие числа для произведения.
Для аутентификации пакетов используются хэш-функции. Они используют симметричный ключ для вычисления значения, называемого Fingerprint. Эта хеш-сумма позволяет проверить подлинность и целостность пакета. Наиболее часто для расчета хеш-суммы используются такие алгоритмы, как MD5, SHA1 и SHA256.
Шифрование позволяет обеспечить защиту информации от несанкционированного доступа. Совместно с туннелированием его использование позволит обеспечить конфиденциальность, целостность и доступность информации.
Допустим, что передача информации в должна осуществляться между филиалами организации в 3 разных городах.
Если сотрудники выполняют свои должностные обязанности с рабочих мест, установка сервера доступа в локальной сети не требуется, то обычно строится Site-to-Site VPN.
Если в информационной системе обрабатываются персональные данные, необходимость применения средств защиты регламентируется Федеральным Законом [4]. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных.
Согласно Методическим Рекомендациям [5] средства криптографической защиты информации необходимо использовать для обеспечения безопасности персональных данных в том случае, если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ. К таким угрозам относится — передача персональных данных по информационно-телекоммуникационным сетям общего пользования, к которым согласно Федеральному Закону [6] относится сеть «Интернет». Для обеспечения безопасности персональных данных при их обработке в ИСПДн должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия. Перечень СКЗИ, сертифицированных ФСБ России, опубликован на официальном сайте Центра по лицензированию, сертификации и защите государственной тайны ФСБ России.
Таким образом возможны несколько вариантов: установка VPN-клиентов или криптографических шлюзов. Поскольку для примера была взята организация с 3 филиалами, приблизительное количество сотрудников в ней будет от 50 до 1000 человек.
В таком случае ставить VPN клиенты нецелесообразно, поскольку их установка будет намного дороже использования 3 криптографических шлюзов в каждом филиале.
Установка криптографического шлюза также не требует проведения монтажных работ. Для подключения к сети необходимо иметь только кабель, соединяющий шлюз и маршрутизатор.
Таким образом, для построения технологии VPN на примере данной организации, целесообразно использовать три криптографических шлюза. Шифрование каждого пакета производится на индивидуальном ключе — ключе шифрования пакета, который формируется из ключа парной связи. Центральный криптографический шлюз, который будет одновременно являться центром управления сетью, то есть с его помощью будет осуществляться централизованное управление и мониторинг работы каждого из криптографических шлюзов, целесообразно расположить в том филиале, где доступ к нему лиц, обеспечивающих его обслуживание, будет наиболее быстрым. В его функции будет входить централизованное управление: узлами сети, настройками маршрутизации, правилами фильтрации трафика, VPN-связями, криптографическими ключами, группами сетевых объектов, обновлениями программного обеспечения криптографическими шлюзами, мониторингом событий несанкционированного доступа и состоянием криптографических шлюзов.
Литература:
- Олифер В. Г., Олифер Н. А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 5-е изд. — СПб.: Питер, 2019. — 958 с.
- ГОСТ Р 53729–2009. Качество услуги «Предоставление виртуальной частной сети (VPN)". Показатели качества.
- Мэйволд Э. Безопасность сетей. 2-е изд., исправленное. — М.: Интуит, 2016. — 571 с.
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (ред. от 30.06.2018).
- Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности (утв. ФСБ РФ 31 марта 2015 г. N 149/7/2/6–432).
- Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (ред. от 29.03.2019).
