Перспективы использования технологий виртуальных частных сетей для расширения спектра услуг на основе Интернет
ЗАО "Демос-Интернет"
Сахаров Василий Петрович <Vasily.Sakharov@desy.de>

Введение

Идея применения того, что на сегодняшний день принято в совокупности именовать "виртуальными частными сетями", т.е., защищенными коммуникационными ресурсами на базе открытых сетей восходит к временам Второй Мировой Войны, когда радио-операторы USAF (индейцы племени Апачи) вели секретные переговоры по открытому эфиру широковещательного диапазона на своем родном языке. В некотором смысле сегодняшний Интернет может быть уподоблен эфиру, а средства криптозащиты каналов связи в нем стали более изощренными.

Развернувшаяся в течение последних (1997-1998гг) маркетинговая шумиха вокруг средств и методов построения виртуальных частных сетей (Virtual Private Networks - VPN) привела к заметной (по крайней мере, в около-компьютерной прессе) путанице как в концептуальном, так и в терминологическом плане.

Здесь не ставится задача "ликбеза" по технологическим проблемам VPN, однако основные принципиальные компонеты решений рассматриваются в общем плане и с точки зрения провайдера услуг интернет. Юридические аспекты и особенности использования сопутствующих VPN криптотехнологий в России не рассматриваются по понятной причине…

Основные определения VPN

Напомним устоявшиеся, широко используемые понятия и/или определения VPN:

• Совокупность соединений frame relay или ATM между узлами, изолированная от других пользователей той же самой инфраструктуры frame relay или ATM благодаря механизму виртуальных каналов. Данная разновидность VPN заменяет различные типы арендуемых линий для соединения определенных точек.
• IP-туннели между узлами, реализованные в отдельной IP инфраструктуре сети IP, которая не поддерживается ни одним из основных Internet провайдеров.
• IP-туннели между узлами, реализованные в общей инфраструктуре Internet.
• IP-туннели, которые соединяют поддерживаемые Internet провайдером концентраторы удаленного доступа по телефонному номеру с корпоративным брандмауэром. При этом всю логику и управление обеспечивает Internet-провайдер(VPN_outsourcing).
• IP-туннели между удаленным пользователем и корпоративным брандмауэром с распределением логических и управляющих функций между пользовательские компьютером и брандмауэром.
• IP-туннели между программой клиента, которая выполняется на пользовательском компьютере, и сервером, расположенным в том же самом или в другом узле.
• IP-туннели между провайдером специализированных услуг на базе Internet, - например, пейджинговой компанией, - и брандмауэром или сервером узла.

Большинство же производителей называют VPN совокупность работающих по TCP/IP шифрованных каналов связи между локальными сетями.

Общая структурная характеристика соотношения классов защищенных сетевых решений может быть представлена следующим образом

Очевидно, что средства шифрования и меры безопасности, предлагаемые поставщиками коммуникационных решений как дополнения важны, но недостаточны. Простое дополнение не приводит автоматически к увеличению производительности и надежности защищенного обмена для критических приложений.

Таким образом, масштабируемые, критические важные и повсеместно доступные коммуникациионные каналы между филиалами, партнерами, клиентами и сотрудниками (внутри и удаленными) - это VPN.

Настоящие VPN обеспечивают как безопасность, так и производительность работы приложений, и , что весьма важно для поставщиков такого рода услуг, управляемость ресурсов.

Для упрощения интерпретации совокупного восприятия VPN-puzzle, будем исходить из парадигмы безопасности коммуникационных ресурсов в целом, откуда будет следовать покомпонентная структура технологии.

Технология VPN обеспечивает связь между сетями, а также между удаленным пользователем и корпоративной сетью с помощью защищенного канала (тоннеля), "проложенного" в общедоступной сети Internet. Данные, передаваемые по виртуальной частной сети, упаковываются в зашифрованные IP-пакеты. Владельцы VPN-сетей используют различные схемы шифрования и аутентификации, которые обеспечивают защиту данных. Чтобы получить доступ к виртуальной частной сети, зарегистрированные пользователи должны прежде всего подключиться к Internet по выделенной линии связи или телефонной линии через локального провайдера услуг Internet,т.е., получить доступ в Point-of-Presence(POP).

В простейшем случае VPN представляет собой защищенный канал связи между двумя и более узлами сети общего доступа. Кроме того, что они значительно дешевле традиционных частных глобальных сетей, VPN на основе Internet отличаются масштабируемой поддержкой удаленного доступа к корпоративным ресурсам, позволяя мобильным пользователям связываться по местным телефонным линиям с поставщиками услуг Internet и через них входить в свою корпоративную сеть. Это исключает необходимость в наличии серверов удаленного доступа и банков модемов в штаб-квартире корпорации и означает, что трафиком дистанционного доступа можно управлять точно так же, как любым другим трафиком Internet.

Тем не менее, все эти системы зависят от степени гарантированной защищенности коммуникаций. Защищенные службы могут строиться по принципу "из конца в конец" (между рабочими станциями) или применяться к отдельным компонентам сети (site-to-site).

Чтобы VPN была защищена на уровне 3, архитектура защиты должна включать методы аутентификации и шифрования дейтаграмм, а также метод обмена и управления необходимыми для этого ключами.

Шифрование на основе ключей требует средств обмена единственным ключом или одним из пары ключей между отправителем и получателем. Если используется секретный ключ, отправитель и получатель должны располагать одним и тем же ключом, и он должен быть отправлен отправителем получателю до начала каких либо процедур обмена защищенной информацией.

При использовании для защиты информации пары разделяемых ключей процедура обмена ключами несколько упрощается. В этом случае каждый пользователь получает пару ключей - частный и открытый. Частный ключ применяется для шифрования данных, а для их расшифровки достаточно открытого ключа.

В архитектуре IPSec для разных задач предусмотрено два заголовка дейтаграмм. Заголовок IP Authentication Header, или AH, отвечает за аутентификацию и целостность данных - гарантируя, что полученная получателем дейтаграмма действительно передана лицом, указанным в качестве отправителя, и что с момента передачи она не подвергалась изменениям. Заголовок ESP (Encapsulating Security Payload) сохраняет конфиденциальность дейтаграмм IP посредством шифрования их содержимого.

В целях совместимости два брандмауэра на концах VPN должны договориться о следующих соглашениях:

• об идентичности комбинации AH/ESP;
• о преобразованиях, используемых для вычисления AH и ESP;
• о применении одного и того же секретного ключа для вычисления дайджест-сообщения, используемого при аутентификации,
• и о применении одного и того же секретного ключа для шифрования/дешифрования.

Эти взаимные соглашения образуют информацию Security Association. В архитектуре IPSec обмен этой информацией происходит в ходе сеанса управления ключами, который предшествует любому обмену защищаемыми данными.

IETF по IPSec сконцентрировала свое внимание на методах управления ключами SKIP (Simple Key management for Internet Protocols) и ISAKMP/Oakley (Internet Security Association and Key Management Protocol).

SKIP проще в реализации, но он не поддерживает переговоров по поводу алгоритмов шифрования; если получатель, использующий SKIP, не в состоянии расшифровать пакет, он уже не сможет прочесть его.

ISAKMP/Oakley поддерживает такие переговоры и выбран в качестве платформы для протокола обязательного управления ключами в IPSec для IPv6. В воплощениях IPv4 может применяться как ISAKMP/Oakley, так и SKIP.

Виртуальные частные сети можно создать, применив чисто программное решение, установив необходимое ПО на маршрутизаторе или брандмауэре либо воспользовавшись специализированным оборудованием для шифрования информации.

Наилучшим решением с точки зрения конфигурирования и управления является специализированное оборудование для шифрования информации. Другие решения подходят лишь в том случае, когда сеть невелика, денег очень мало, времени весьма много, а надежность не является основным требованием.

Существуют два способа построения защищенных туннелей данных под TCP/IP: на уровне локальных сетей и на уровне конечных систем. Туннели уровня локальных сетей, как правило, прозрачны для рабочих станций. В этом случае рабочие станции отправляют все сообщения "открытым текстом". Шифратор осуществляет выборку пакетов и их кодирование, а дешифратор на противоположном конце канала декодирует сообщения и передает их на сетевой сервер.

Преимуществом шифрования на уровне сети (т. е. работы в конфигурации "сеть-сеть") является то, что эта технология прозрачна для пользователей, а вся система работает под управлением администратора сети, который обеспечивает проведение корпоративной политики безопасности. Недостаток же состоит в следующем: в корпоративной локальной сети все сообщения передаются открытым текстом, что может оказаться небезопасным для некоторых видов данных.

Шифрование на уровне конечной системы осуществляется на рабочей станции или сервере. В незашифрованном виде пакеты по сети вообще не передаются. Существуют два вида такой связи: "клиент-клиент" (шифратор и дешифратор устанавливаются на конечных системах, и незашифрованные пакеты отсутствуют вовсе) и "клиент-сеть" (клиент взаимодействует с шифровальной системой сетевого уровня).

При работе в режиме dial-up, в частности при доступе к публичной сети Internet, шифрование сообщений всегда должно осуществляться на конечных системах, поскольку его нельзя доверять Internet-провайдеру. Указанные способы часто комбинируют: нередко одно и то же оборудование может поддерживать и шифрование на уровне сетей, и шифрование на уровне конечных систем.

Туннелирование через брандмауэры стоит применять только в отдельных случаях - этот подход годится для маленьких сетей, при пересылке небольших объемов данных и в относительно статичных системах. Для всех прочих случаев имеются более подходящие решения, требующие меньших затрат, обеспечивающие более высокий уровень защиты данных и лучшую производительность.

Туннели на базе маршрутизаторов

Поскольку маршрутизатор должен пропускать через себя все пакеты, покидающие локальную сеть, - так почему бы не заставить его еще и шифровать данные?

Разработанная Cisco технология реализует туннелирование с шифрованием для любого IP-потока (по выбору администратора), передаваемого в "чистом" или инкапсулированном виде. Туннель строится на основании заданных адресов источника и назначения, номеров портов TCP/UDP (User Datagram Protocol) и установленных параметров качества сервиса IP (IP Quality of Service).

Если у пользователя уже есть маршрутизатор с IOS, он может установить на нем дополнительное ПО шифрования данных (за это придется заплатить от 500 до 7000 дол.). При необходимости повысить производительность стоит воспользоваться платой расширения ESA (Encryption Service Adapter), производимой Cisco. На ней установлен специализированный сопроцессор для шифрования, производительность ESA значительно выше, чем у всех прочих.

Подобно прочим устройствам шифрования данных, ESA не только предотвращает проникновение злоумышленника в систему, но и реагирует на все подозрительные ситуации.

В зависимости от нужд удаленных пользователей принимается решение о месте расположения серверов регистрации и служб виртуальных частных сетей. Наиболее простой случай с созданием каналов для удаленных офисов: два VPN сервера создают защищенный (криптованный) канал между сегментами. Командированные сотрудники и/или “надомники” регистрируются, устанавливая связь с VPN-сервером, который пропускает затем запрос регистрации на сервере в демилитаризованной зоне, снаружи от МЭ корпоративной сети. Наемные консультанты могут без регистрации прямо связываться с другим (зона 2) VPN-сервером, чтобы оградить корпоративный сервер от ненужной аутентификации. Наиболее затейливавя конфигурация для деловых партнеров: сначала требуется соединение с VPN-сервером на зоне 2, затем проходят регистрацию на первой зоне, и, если все в порядке, пропускаются с запросом на требуемый ресурс в корпоративной сети.

Некоторые соображение по использованию технологии VPN