VPN. Старые песни о главном

Алексей Лукацкий

Введение

Варианты использования

   Межсетевые экраны и средства построения VPN

   Защита от внешних и внутренних атак

   Производительность

   Сертифицированные или несертифицированные решения

Заключение

Введение

Статьи о технологии виртуальных частных сетей (Virtual Private Networks, VPN) в последнее время появляются как грибы после дождя. Это связано с тем, что бурное развитие современных информационных технологий и, в частности, сети Интернет вызывает необходимость защиты информации, передаваемой в рамках распределенной корпоративной сети, использующей сети открытого доступа. В случае использования собственных физических каналов доступа эта проблема так остро не стоит, поскольку в такую сеть не имеет доступа никто из посторонних. Однако собственные каналы может позволить себе далеко не каждая компания. Поэтому остается довольствоваться тем, что есть в распоряжении компании. А есть только Интернет. Вот и приходится изобретать способы защиты конфиденциальных данных, передаваемых по незащищенной (по определению) сети.

Прежде чем начать рассказ о VPN, хотелось бы дать неформальное определение этой технологии. Приведу определение компании Check Point Software Technologies: «VPN — это технология, которая объединяет доверенные сети, узлы и пользователей через открытые сети, которым нет доверия». На мой взгляд, это наиболее яркая характеристика технологии, получающей в наши дни все большее распространение в среде не только технических специалистов, но и рядовых пользователей, которым также требуется защита информации (например, пользователям Интернет-банков или Интернет-порталов).

Как я уже помянул в самом начале, статей о технологии VPN появилось огромное количество. Однако, как правило, в них описываются сугубо технические понятия, такие как «используемый алгоритм криптографического преобразования», «туннелирование», «сервер сертификатов» и т.д. Подобные статьи, безусловно, интересны, но только не для конечных пользователей, которым глубоко безразлично, какой длины ключ используется в приобретаемом средстве построения VPN или сколько дополнительных байт добавляется к IP-пакету при инкапсуляции. Их больше интересует несколько иная интерпретация этих вопросов — сколько лет можно не беспокоиться за сохранность своей информации и насколько медленнее будет работать сеть, защищенная с помощью VPN-устройства. Хочу привести пример из жизни. К нам на работу позвонил потенциальный клиент и попросил рассказать о программно-аппаратном комплексе построения VPN «Континент», разработанном в нашей компании и сертифицированном в Гостехкомиссии России и ФАПСИ. Прослушав продолжительный рассказ обо всех достоинствах нашего продукта, клиент задал вопрос: «А какова стойкость защиты, реализуемой «Континентом»?» На что получил незамедлительный ответ: «Два в двести пятьдесят шестой степени, так как такова длина используемого ключа шифрования». Для математика-криптографа этого было бы вполне достаточно, но только не для рядового пользователя, поэтому звонивший уточнил свой вопрос: «Я защищаю информацию, за которую могут дать от трех до пяти лет. Срок давности по этой статье 15 лет. Следовательно, мне нужен продукт, который не взломают в течение двадцати лет».

Вот почему я не хотел бы в данной статье касаться сугубо технических вопросов и аспектов, связанных с использованием VPN-устройств. Я предпочитаю рассказать об этой технологии с точки зрения конечного пользователя, делая упор на особенностях применения VPN в России. Ведь многие пользователи не знают, что ввоз, приобретение и использование средств построения VPN регламентируются различными нормативными документами, разработанными в соответствующих государственных ведомствах (Государственном таможенном комитете, Гостехкомиссии России, ФАПСИ и т.д.).

Конечные пользователи чаще всего задают следующие вопросы:

  1. Как защитить удаленный филиал организации или подключиться к корпоративной сети из дома или с notebook?
  2. Нужна  ли мне VPN, если используется межсетевой экран (firewall)?
  3. Защищает ли VPN от внешних и внутренних атак?
  4. Насколько медленнее будет работать сеть после установки VPN?
  5. Чем различаются сертифицированное и несертифицированное VPN-устройства?
  6. Почему VPN-устройства сертифицируются по классу межсетевых экранов?

На эти вопросы я и постараюсь ответить в данной статье.

В начало В начало

Варианты использования

Можно выделить четыре основных варианта построения сети VPN, которые используются во всем мире. Данная классификация предлагается уже упоминавшейся компанией Check Point, которая не без основания считается законодательницей моды в области VPN и межсетевых экранов. Так, например, по данным независимых консалтинговых и аналитических агентств, компания Check Point захватила 52% мирового рынка VPN-решений (по данным Dataquest) и 41% мирового рынка межсетевых экранов (по данным IDC).

  1. Вариант «Intranet VPN», который позволяет объединить в единую защищенную сеть несколько распределенных филиалов одной организации, взаимодействующих по открытым каналам связи. Именно этот вариант получил широкое распространение во всем мире, и именно его в первую очередь реализуют компании-разработчики.
  2. Вариант «Remote Access VPN», позволяющий реализовать защищенное взаимодействие между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который подключается к корпоративным ресурсам из дома (домашний пользователь) или через notebook (мобильный пользователь). Данный вариант отличается от первого тем, что удаленный пользователь, как правило, не имеет «статического» адреса и подключается к защищаемому ресурсу не через выделенное устройство VPN, а напрямую с собственного компьютера, где и устанавливается программное обеспечение, реализующее функции VPN.
  3. Вариант «Client/Server VPN», который обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда необходимо создать в одной физической несколько логических сетей. Например, когда требуется разделить трафик между финансовым департаментом и отделом кадров, которые обращаются к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, которая действует на уровне выше канального.
  4. Вариант «Extranet VPN» предназначен для тех сетей, куда подключаются так называемые пользователи со стороны, уровень доверия к которым намного ниже, чем к своим сотрудникам.
В начало В начало

Межсетевые экраны и средства построения VPN

Вопрос о том, нужно ли использовать VPN, если уже есть межсетевой экран (и наоборот), на повестке дня даже не стоит, поскольку эти решения выполняют абсолютно разные задачи. Межсетевой экран — это ограда вокруг вашей сети, препятствующая проникновению внутрь разных «нехороших парней», в то время как VPN — это бронированный автомобиль, который защищает ваши ценности в случае их вывоза за пределы ограды, то есть во внешнем мире, со всеми сопряженными с этим сложностями и опасностями. Поэтому для обеспечения необходимого уровня защищенности информационных ресурсов следует использовать оба решения. Проблема совместного применения межсетевых экранов и VPN возникает в случае защиты корпоративной сети во всех указанных вариантах, кроме третьего. Именно поэтому так важно найти правильное ее решение. Существует две крайности — устанавливать межсетевой экран перед VPN-устройством и после него. В первом случае возникает ситуация, когда на межсетевой экран из Интернета попадает еще нерасшифрованный трафик, что делает невозможным контроль передаваемого содержимого (вирусы, аплеты Java, команды протоколов и т.д.). Во втором случае дело обстоит несколько лучше, однако само устройство VPN становится уязвимым к внешним атакам. Кроме того, оно теряет способность осуществлять дифференцированную обработку трафика с точки зрения его содержания или пользователя, являющегося получателем данных. Идеальным решением, к которому пришло большинство зарубежных производителей (Check Point, Cisco Systems и т.д.) и начинают склоняться отечественные разработчики, является совмещение в одном устройстве функций межсетевого экрана и VPN. В этом случае указанные проблемы исчезают.

В начало В начало

Защита от внешних и внутренних атак

К сожалению, приходится констатировать, что средства построения VPN не являются полноценными средствами обнаружения и блокирования атак. Они могут предотвратить ряд несанкционированных действий, но далеко не все из тех, к которым способны прибегнуть хакеры для проникновения в корпоративную сеть. Данные средства не могут обнаружить вирусы и атаки типа «отказ в обслуживании» (это делают антивирусные системы и средства обнаружения атак), они не умеют фильтровать данные по различным признакам (это прерогатива межсетевых экранов) и т.д. Здесь могут возразить, что, мол, эти опасности не страшны, поскольку VPN не примет незашифрованный трафик и отвергнет его. Однако на практике не все так просто. Во-первых, в большинстве случаев средство построения VPN используется для защиты лишь части трафика, к примеру направленного в удаленный филиал. Остальной трафик (например, к публичным Web-серверам) проходит через VPN-устройство без обработки. А во-вторых, перед статистикой склоняют головы даже самые отъявленные скептики. А статистика утверждает, что до 80% всех инцидентов, связанных с информационной безопасностью, происходит по вине авторизованных пользователей, имеющих санкционированный доступ в корпоративную сеть. Из чего следует вывод, что атака или вирус будут зашифрованы наравне с безобидным трафиком.

В начало В начало

Производительность

Производительность сети — это достаточно важный параметр, и на любые средства, способствующие его снижению, в любой организации смотрят с подозрением. Не являются исключением и средства построения VPN, которые создают дополнительные задержки, связанные с обработкой трафика, проходящего через VPN-устройство. Все задержки, возникающие при криптографической обработке трафика, можно разделить на три типа:

  • Задержки при установлении защищенного соединения между VPN-устройствами.
  • Задержки, связанные с зашифровыванием и расшифровыванием защищаемых данных, а также с преобразованиями, необходимыми для контроля их целостности.
  • Задержки, связанные с добавлением нового заголовка к передаваемым пакетам.

Реализация первого, второго и четвертого вариантов построения VPN предусматривает установление защищенных соединений не между абонентами сети, а только между VPN-устройствами. С учетом криптографической стойкости используемых алгоритмов смена ключа возможна через достаточно длительный интервал времени. Поэтому при использовании средств построения VPN задержки первого типа практически не влияют на скорость обмена данными. Разумеется, это положение касается стойких алгоритмов шифрования, использующих ключи не менее 128 бит (Triple DES, ГОСТ 28147-89 и т.д.). Устройства, использующие бывший стандарт DES, способны вносить определенные задержки в работу сети.

Задержки второго типа начинают сказываться только при передаче данных по высокоскоростным каналам (от 10 Мбит/с). Во всех прочих случаях быстродействие программной или аппаратной реализации выбранных алгоритмов шифрования и контроля целостности обычно достаточно велико и в цепочке операций «зашифровывание пакета — передача пакета в сеть» и «прием пакетов из сети — расшифровывание пакета» время зашифровывания (расшифровывания) значительно меньше времени, необходимого для передачи данного пакета в сеть.

Основная проблема здесь связана с добавлением дополнительного заголовка к каждому пакету, пропускаемому через VPN-устройство. В качестве примера рассмотрим систему диспетчерского управления, которая в реальном масштабе времени осуществляет обмен данными между удаленными станциями и центральным пунктом. Размер передаваемых данных не велик — не более 25 байтов. Данные сопоставимого размера передаются в банковской сфере (платежные поручения) и в IP-телефонии. Интенсивность передаваемых данных — 50-100 переменных в секунду. Взаимодействие между узлами осуществляется по каналам с пропускной способностью в 64 Кбит/с.

Пакет со значением одной переменной процесса имеет длину 25 байтов (имя переменной — 16 байтов, значение переменной — 8 байт, служебный заголовок — 1 байт). IP-протокол добавляет к длине пакета еще 24 байта (заголовок IP-пакета). При использовании в качестве среды передачи каналов Frame Relay LMI добавляется еще 10 байтов FR-заголовка. Всего — 59 байтов (472 бита). Таким образом, для передачи 750 значений переменных процесса за 10 секунд (75 пакетов в секунду) необходима полоса пропускания 75×472 = 34,5 Кбит/с, что хорошо вписывается в имеющиеся ограничения пропускной способности в 64 Кбит/с. Теперь посмотрим, как ведет себя сеть при включении в нее средства построения VPN. Первый пример — средства на основе порядком уже подзабытого протокола SKIP.

К 59 байтам данных добавляется 112 байт дополнительного заголовка (для ГОСТ 28148-89), что составит 171 байт (1368 бит). 75×1368 = 102,6 Кбит/с, что на 60% превышает максимальную пропускную способность имеющегося канала связи.

Для протокола IPSec и вышеуказанных параметров пропускная способность будет превышена на 6% (67,8 Кбит/с). Это при условии, что дополнительный заголовок для алгоритма ГОСТ 28147-89 составит 54 байта. Для протокола, используемого в российском программно-аппаратном комплексе «Континент-К», дополнительный заголовок, добавляемый к каждому пакету, составляет всего 36 байтов (или 26 — в зависимости от режима работы), что не вызывает никакого снижения пропускной способности (57 и 51 Кбит/с соответственно). Справедливости ради необходимо отметить, что все эти выкладки верны лишь при условии, что, кроме указанных переменных, в сети больше ничего не передается.

В начало В начало

Сертифицированные или несертифицированные решения

На этот вопрос достаточно сложно ответить даже в цикле статей. Российское законодательство в сфере информационной безопасности столь несовершенно, что толковать его можно как душе угодно. С одной стороны, государственные структуры обязаны применять только сертифицированные решения для построения своих информационных систем, в том числе и средства построения VPN. С другой стороны, собственник информации волен сам принимать решения о степени защиты своих данных и используемых для обеспечения их безопасности средств. Налицо, таким образом, явное противоречие, которое может трактоваться в зависимости от дополнительных условий. Что касается различий между сертифицированным и несертифицированным решениями, то их практически нет. За исключением разве что красивой бумажки с голограммой под названием сертификат, где говорится, что сертифицированный экземпляр соответствует некоторым требованиям, предъявляемым к средствам защиты данного класса. Второе различие — увеличение стоимости продукта по сравнению с его несертифицированным собратом. Во всем остальном эти версии идентичны. Мало того, как заметил однажды на одной из конференций представитель одной из российских сертификационных структур, «даже в случае взлома сертифицированного средства вам некому будет предъявить свои претензии». Точнее предъявить-то вы их сможете, но получить компенсацию за нанесенный моральный и материальный ущерб будет невозможно.

Еще один аспект, связанный с сертификацией, — это непонимание того, почему средства построения VPN сертифицируются по классу межсетевых экранов. На этот вопрос также нельзя ответить в двух словах. Здесь только можно заметить следующее. В настоящий момент в России существует пять систем сертификации средств защиты:

  • Гостехкомиссии при Президенте России;
  • ФАПСИ;
  • Министерства обороны;
  • ФСБ;
  • Службы внешней разведки.

Наиболее известными являются первые две системы, и именно с ними нам приходится сталкиваться в большинстве случаев. По идее, средства построения VPN являются средствами криптографического преобразования, что автоматически приводит к необходимости их сертификации по линии ФАПСИ. Однако те, кто сталкивался с этим ведомством, знают, что процесс сертификации того или иного средства очень длительный; за это время успевает выйти новая версия сертифицируемого продукта. Средняя длительность получения так называемого положительного заключения в структуре ФАПСИ — около года, еще около 6-12 месяцев уходит на получение собственно сертификата. И это только для российских средств — для зарубежных путь к получению сертификата попросту заказан. Такая ситуация привела к тому, что, по данным на 19 января 2001 года, в России не существовало действующих сертификатов ФАПСИ на средства построения VPN.

Видимо, вследствие указанных причин отечественные и зарубежные производители стали обращаться в другую, не менее известную сертифицирующую организацию — Гостехкомиссию. К таким производителям можно отнести Check Point Software с ее решением VPN-1, НИП «Информзащита» с «Континент-К» и других. Примечательно, что некоторые производители подают свои изделия на сертификацию в обе структуры, но далеко не все получают и тот и другой сертификат.

Стремясь устранить возникший вакуум в области сертификации средств построения VPN, Гостехкомиссия России приняла решение о разработке собственного руководящего документа по VPN-устройствам. По некоторым оценкам, данный документ появится к концу текущего года. После его выхода ситуация намного упростится, поскольку ГТК — организация, более лояльная ко всем компаниям-заявителям — как к российским, так и к зарубежным.

В начало В начало

Заключение

В этой небольшой статье я постарался осветить лишь некоторые аспекты, связанные с технологией виртуальных частных сетей, которая получает широкое распространение в России. Надеюсь, что данные аспекты, вызывающие наибольший интерес у специалистов любого уровня квалификации — от рядового пользователя до администратора безопасности, помогут вам быстро и эффективно внедрить эти решения в своей компании, а также обойти многие «подводные камни» и ловушки, которые расставляют конечным пользователям как государственные органы, так и компании-поставщики. В своих следующих статьях я постараюсь вернуться к этой интересной теме и рассказать о некоторых других аспектах применения решений VPN.

 

Материалы прошлых номеров

  1. Геннадий Махметов,«Виртуальные частные сети, КомпьютерПресс № 2’2000.
  2. Геннадий Махметов, «Реализация IPSec в свободно распространяемых UNIX», КомпьютерПресс № 5’2000.
  3. Алексей Кошелев, «Виртуальные частные сети», КомпьютерПресс № 11’2000.

КомпьютерПресс 5'2001