Доверенные сети защитят через непроверенные узлы

<BR><BR>Развитие информационных технологий и сети Internet приводит к необходимости защиты информации, передаваемой в рамках распределенной корпоративной сети, использующей сети открытого доступа.<BR>Когда компания владеет собственными каналами передачи информации, эта проблема так остро не стоит, так как в эту сеть не имеет доступа никто из посторонних. Однако большинство фирм довольствуются Всемирной паутиной, куда свободно заходят разные пользователи с разными целями. Поэтому особо актуальны способы защиты конфиденциальных данных, передаваемых по незащищенной (по определению) сети. В настоящее время технология виртуальных частных сетей (VPN Д virtual private networks) активно развивается, предлагая пользователям широкий спектр возможностей.<BR>Алексей Лукацкий, заместитель директора по маркетингу научно-инженерного предприятия "ИНФОРМЗАЩИТА", приводит определение компании Check Point Software Technologies: "VPN Д это технология, которая объединяет доверенные сети, узлы и пользователей через открытые сети, которым нет доверия". Технология VPN получает все большее распространение не только среди технических специалистов, но и среди рядовых пользователей, которым также требуется защищать свою информацию в Internet-банках или Internet--порталах.<BR>Например, НИП "ИНФОРМЗАЩИТА" предлагает собственное решение для создания VPN на основе аппаратно-программного комплекса (АПК) "Континент-К". Продукт позволяет создавать виртуальные частные сети на основе сетей общего пользования TCP/IP (например Internet) и обеспечивает:<BR>n эффективную криптографическую защиту передаваемых данных; <BR>n полную "прозрачность" для конечных пользователей; <BR>n скрытие структуры защищаемых сетей; <BR>n защиту информационных систем от атак извне; <BR>n безопасный доступ к ресурсам сетей общего пользования. <BR><B>Продукт без взлома</B><BR>Технологии VPN описываются сугубо техническими понятиями, такими, как "используемый алгоритм криптографического преобразования", "туннелирование", "сервер сертификатов" и т.д. Алексей Лукацкий считает, что конечным пользователям безразлично, какой длины ключ используется в приобретаемом средстве построения VPN или сколько дополнительных байт добавляется к IP-пакету при инкапсуляции. Скорее их интересует несколько иная интерпретация этих вопросов Д сколько лет можно не беспокоиться за сохранность своей информации и насколько медленнее будет работать сеть, защищенная с помощью VPN-устройства.<BR> "Позвонил к нам на работу потенциальный клиент и попросил рассказать о программно-аппаратном комплексе построения VPN "Континент", который был разработан в нашей компании, Д говорит Алексей Лукацкий. Д После продолжительного рассказа обо всех достоинствах нашего продукта клиент задал вопрос: "А какова стойкость защиты, реализуемой "Континентом"?" На что незамедлительно последовал ответ: "Два в двести пятьдесят шестой степени, так как такова длина используемого ключа шифрования". Для математика-криптографа такого ответа вполне достаточно, но не для рядового пользователя, и звонивший нам уточнил свой вопрос: "Я защищаю информацию, за которую могут дать от 3 до 5 лет. Срок давности по этой статье Д 15 лет. Следовательно, мне нужен продукт, который не взломают в течение 20 лет". <BR><B>Варианты </B><BR><B>использования</B><BR>Можно выделить четыре основных варианта построения сети VPN, которые используются во всем мире. <BR>1. Вариант Intranet VPN, который позволяет объединить в единую защищенную сеть несколько распределенных филиалов одной организации, взаимодействующих по открытым каналам связи. Именно этот вариант получил широкое распространение во всем мире, и именно его в первую очередь реализуют компании-разработчики. <BR>2. Вариант Remote Access VPN, который позволяет реализовать защищенное взаимодействие между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который подключается к корпоративным ресурсам из дома (домашний пользователь) или через notebook (мобильный пользователь). Данный вариант отличается от первого тем, что удаленный пользователь, как правило, не имеет статического адреса и он подключается к защищаемому ресурсу не через выделенное устройство VPN, а прямиком со своего собственного компьютера, на котором и устанавливается программное обеспечение, реализующее функции VPN. <BR>3. Вариант Client/Server VPN, который обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физической необходимо создать несколько логических сетей. Например, когда надо разделить трафик между финансовым департаментом и отделом кадров, обращающимися к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, которая действует на уровне выше канального. <BR>4. Последний вариант Extranet VPN предназначен для тех сетей, к которым подключаются так называемые пользователи "со стороны", уровень доверия к которым намного ниже, чем к своим сотрудникам. <BR>Экраны и VPN<BR>Межсетевой экран и VPN выполняют абсолютно разные задачи. "Межсетевой экран Д это как ограда вокруг сети, которая препятствует проникновению сквозь нее всяких "нехороших парней", а VPN Д это бронированный автомобиль, который защищает ваши ценности при вывозе их за пределы ограды, т.е. во внешний мир со всеми его трудностями и опасностями. Поэтому надо использовать и то, и другое решение для обеспечения необходимого уровня защищенности информационных ресурсов", Д рассказывает Алексей Лукацкий. <BR>Вопрос совместного применения межсетевых экранов и VPN возникает в случае защиты корпоративной сети. Существуют две крайности Д устанавливать межсетевой экран перед VPN-устройством и после него. В первом случае возникает ситуация, когда на межсетевой экран из Internet попадает еще нерасшифрованный трафик, что приводит к невозможности контроля передаваемого содержимого. Во втором случае ситуация несколько лучше, но само устройство VPN становится уязвимым к внешним атакам. Кроме того, оно уже не может осуществлять обработку трафика в зависимости от его содержания или пользователя, являющегося получателем данных. Идеальным решением, к которому пришло большинство зарубежных производителей (Check Point, Cisco Systems), а также приходят отечественные разработчики, Д совместить в одном устройстве функции межсетевого экрана и VPN.<BR><B>Защита от внешних </B><BR><B>и внутренних атак</B><BR>Специалисты по безопасности информации не считают, что средства построения VPN являются полноценными для обнаружения и блокирования атак. VPN могут предотвратить ряд несанкционированных действий, но далеко не все возможности, которые могут использовать хакеры для проникновения в корпоративную сеть. VPN не могут обнаружить вирусы и атаки типа "отказ в обслуживании" (это делают антивирусные системы и средства обнаружения атак), VPN не могут фильтровать данные по различным признакам (это делают межсетевые экраны). <BR>Считается, что эти опасности не страшны, так как VPN не примет незашифрованный трафик и отвергнет его. Однако на практике это не так. В большинстве случаев средство построения VPN используется для защиты лишь части трафика, например направленного в удаленный филиал. Остальной трафик (к публичным Web-серверам) проходит через VPN-устройство без обработки. <BR>А статистика утверждает, что до 80% всех инцидентов, связанных с информационной безопасностью, происходят по вине авторизованных пользователей, имеющих санкционированный доступ в корпоративную сеть.