Илья Трифаленков, Jet Infosystems готовит клиентов к созданию VPN
В День пограничника - 28 мая - компания Jet Infosystems провела очередной семинар, посвященный средствам обеспечения безопасности корпоративных систем. На мероприятии присутствовало около 200 представителей различных организаций. А рассматривались на этот раз технология и средства для построения виртуальных корпоративных сетей. Собственно, сотрудники Jet не без оснований предлагают переводить термин Virtual Private Networks (VPN) как "виртуальная собственная сеть". Дело в том, что VPN должна работать так же надежно, как и полностью находящаяся в ведении организации компьютерная сеть (именно поэтому ее можно назвать "собственной"); однако некоторые элементы VPN могут все-таки принадлежать и сторонним организациям (поэтому-то и используется прилагательное "виртуальная").

Идея построения собственных виртуальных сетей актуальна в том случае, когда объединять несколько локальных сетей в различных зданиях или организациях для создания собственной сети дорого или слишком долго, однако необходимо обеспечить защиту передаваемых между сегментами сети данных. Ведь далеко не всегда позволительно передавать данные по общедоступным сетям в открытом виде. Впрочем, можно защищать только связи между отдельными компьютерами из различных сегментов, но если корпоративная политика требует обеспечить безопасность большей части информации, то защищать каждый отдельный канал и компьютер становится достаточно сложно. Проблема в том, что у пользователя, как правило, нет достаточной квалификации для поддержания средств защиты информации, а администратор не может эффективно контролировать все компьютеры во всех сегментах организации.

Кроме того, при защите отдельных каналов инфраструктура корпоративной сети остается прозрачной для внешнего наблюдателя. Для решения этих и некоторых других проблем применяется архитектура VPN, при использовании которой весь поток информации, передаваемый по общедоступным сетям, шифруется с помощью так называемых "канальных шифраторов".

Построение VPN позволяет защитить виртуальную корпоративную сеть так же надежно, как и собственную сеть (а иногда даже и лучше). Данная технология сейчас бурно развивается, и в этой области уже предлагаются достаточно надежные решения. Как правило, технология VPN объединяется с межсетевыми экранами (firewall). Собственно, все основные межсетевые экраны дают возможность создания на их базе виртуальной корпоративной сети. Игорь Дмитриев, заместитель генерального директора МО ПНИЭИ, чтобы прокомментировать подобное сочетание, привел такую аналогию: если межсетевой экран похож на ворота в степи, а VPN - на сплошную стену, то все вместе они напоминают стену, в которой имеются охраняемые ворота. Следует отметить, что распространение продуктов VPN регулируется тремя различными государственными органами: Министерством связи, ФАПСИ и Гостехкомиссией. Каждое из этих ведомств имеет свою методику лицензирования подобных систем, и удовлетворить сразу всем требованиям бывает достаточно сложно.

На семинаре также были представлены продукты для построения виртуальных корпоративных сетей - "Шифратор IP-пакетов" (ШИП), разработанный в Пензенском научно-исследовательском экспериментальном институте, и маршрутизаторы Bay Networks, которые можно использовать для построения межсетевого экрана.

ШИП представляет собой программно-аппаратный комплекс, с помощью которого можно шифровать все IP-пакеты, передаваемые между сегментами или отдельными компьютерами корпоративной сети в соответствии со спецификацией IPSec. Система поставляется в виде компьютера с программным обеспечением, построенным на базе специализированной операционной системы. Оно позволяет шифровать потоки информации с максимальной скоростью до 15 Мбит/с, которой, как правило, достаточно для передачи информации между сегментами корпоративной сети. Кроме собственно ШИПов в системе должен быть как минимум один Центр управления ключевой системой (ЦУКС), который занимается распределением сеансовых ключей между различными ШИПами.

Представители Jat Infosystems также представили межсетевой экран, построенный на маршрутизаторах компании Bay Networks. Возможность задавать в них правила фильтрации и протоколирования потоков информации в соответствии с политикой безопасности превращает эти маршрутизаторы в элементы межсетевого экрана, а скорость, характерная для аппаратной реализации механизмов защиты, делает такое решение более удобным, чем чисто программные решения.

Защита маршрутизатором

  
Представители Гостехкомиссии отвечают на вопросы
Официальная бумага в нашей жизни значит много. Именно поэтому некоторые компании стремятся сертифицировать свою деятельность и используемые продукты. Так поступает и Jet Infosystems, которая на пресс-конференции 26 мая объявила о сертификации в Гостехкомиссии маршрутизаторов компании Bay Networks как соответствующих требованиям руководящего документа "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" по четвертому классу защищенности. Данную степень защиты можно гарантировать только в том случае, когда каждое рабочее место окажется аттестовано Гостехкомиссией и будут выполнены "Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам".

Сертификацию прошли маршрутизаторы Advanced Remote Node (ARN), Access Stack Node 2 (ASN2) и BackBone Node (BN). Эти устройства имеют возможность управления доступом, протоколирования передаваемых потоков, шифрования данных при передаче пакетов и другие свойства, необходимые для построения межсетевого экрана. Их можно использовать для построения всей сети предприятия, что позволяет создать несколько уровней защиты для различных сегментов сети. Маршрутизаторы управляются программным обеспечением Site Manager со специального выделенного компьютера - места администратора. Этот компьютер либо подключен напрямую к маршрутизатору через последовательный порт RS-232, либо находится в специальной административной сети, в которую нет входа извне, что позволяет на аппаратном уровне защитить консоль администратора, как наиболее уязвимое для нападения место.

Следует отметить, что средства защиты, такие как фильтрация пакетов, ведение протокола событий и маршрутизация, реализованы в маршрутизаторах на аппаратном уровне. Это позволяет максимально ускорить работу межсетевого экрана. А возможность установить приоритет на протокол или интерфейс либо перенаправить пакет позволяет администратору лучше контролировать распределение нагрузки на сетевую инфраструктуру.