Почему частные виртуальные сети используют для усиления защиты информации в компьютерных сетях

Обновлено: 03.07.2024

Безопасность информационного взаимодействия локальных сетей и отдельных компьютеров через открытые сети, например, через сеть Internet , требует качественного решения двух базовых задач:

защиты подключенных к публичным каналам связи локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды;
защиты информации в процессе передачи по открытым каналам связи.

Защита информации в процессе передачи по открытым каналам связи основана на выполнении следующих функций:

Перечисленные функции во многом связаны друг с другом, и их реализация основана на криптографической защите передаваемых данных. Высокая эффективность такой защиты обеспечивается за счет совместного использования симметричных и асимметричных криптографических систем .

Объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную сеть, обеспечивающую безопасность циркулирующих данных, называют защищенной виртуальной сетью (Virtual Private Network - VPN ). Виртуальная сеть формируется на основе каналов связи открытой сети. Сам термин «виртуальная» подчеркивает, что каналы связи виртуальной сети моделируются с помощью каналов связи реальной. Открытая сеть может служить основой для одновременного сосуществования множества виртуальных сетей, количество которых определяется пропускной способностью открытых каналов связи.

Открытую внешнюю среду передачи информации можно разделить на среду скоростной передачи данных, в качестве которой может использоваться сеть Internet , а также более медленные общедоступные каналы связи, в качестве которых чаще всего применяются каналы телефонной сети. Наиболее эффективным способом объединения локальных сетей и удаленных компьютеров является объединение на основе глобальной сети Internet. В случае отсутствия непосредственного подключения доступ к Internet может осуществляться и через телефонную сеть. Организация виртуальных сетей на основе Internet обладает рядом преимуществ:

гарантирует высокое качество информационного обмена, так как магистральные каналы и маршрутизаторы Internet имеют большую пропускную способность, и характеризуются надежностью передачи информации;
обеспечивает масштабируемую поддержку удаленного доступа к ресурсам локальной сети, позволяя мобильным пользователям связываться по местным телефонным линиям с поставщиками услуг Internet и через них входить в свою корпоративную сеть;
для организации удаленного доступа пользователей к локальной сети исключается необходимость в наличии модемных пулов, а трафиком дистанционного доступа можно управлять точно так же, как любым другим трафиком Internet;
сокращаются расходы на информационный обмен через открытую внешнюю среду:

использование Internet для объединения локальных сетей значительно дешевле аренды каналов связи телефонных и других глобальных сетей, например, сетей frame relay , не говоря уже о стоимости самостоятельного построения коммуникаций.

при удаленном доступе вместо того, чтобы устанавливать дорогостоящие непосредственные соединения с локальной сетью по междугородной или международной телефонной связи, удаленные пользователи могут подключаться к Internet и, далее, связываться с сетью своей организации через эту глобальную сеть.

Виртуальную сеть, использующую в качестве внешней среды передачи информации глобальную сеть Internet , часто называют еще сетью Extranet .

Эффективность использования виртуальных сетей во многом определяется степенью защищенности информации, циркулирующей по открытым каналам связи. Безопасность информационного обмена необходимо обеспечить как в случае объединения локальных сетей, так и в случае доступа к локальным сетям удаленных пользователей.

Способы создания защищенных виртуальных каналов

Распространен также вариант, характеризующийся более низкой безопасностью, но более высоким удобством применения. Согласно данному варианту рабочие станции и серверы локальной сети, а также удаленные компьютеры не участвуют в создании защищенного туннеля, который прокладывается только внутри публичной сети с коммутацией пакетов, например, внутри Internet . В качестве конечных точек такого туннеля чаще всего выступают провайдеры Internet и/или пограничные маршрутизаторы (брандмауэры) локальной сети. При удаленном доступе к локальной сети туннель создается между сервером удаленного доступа провайдера Internet , а также пограничным провайдером Internet или маршрутизатором (брандмауэром) локальной сети. При объединении локальных сетей туннель формироваться только между пограничными провайдерами Internet и/или маршрутизаторами (брандмауэрами) локальной сети.

Аргументацией в пользу описанного варианта создания виртуальных сетей выступает тот факт, что уязвимыми для злоумышленников в большей степени являются сети с коммутацией пакетов, такие, как Internet , а не каналы телефонной сети или выделенные каналы связи. Виртуальные сети, построенные по данному варианту, обладают хорошей масштабируемостью и управляемостью. Для клиентских компьютеров и серверов локальной сети, входящей в виртуальную сеть, защищенные туннели полностью прозрачны и программное обеспечение этих узлов остается без изменений. Однако по причине того, что часть защищаемого трафика проходит в незащищенном виде по публичным каналам связи, данный вариант существенно снижает безопасность информационного взаимодействия. Кроме того, большая часть работы по созданию защищенных туннелей ложится на провайдеров, которым необходимо доверять и платить.

Создание защищенного туннеля выполняют компоненты виртуальной сети, функционирующие на узлах, между которыми формируется туннель. Эти компоненты принято называть инициатором и терминатором туннеля. Инициатор туннеля инкапсулирует (встраивает) пакеты в новый пакет, содержащий наряду с исходными данными новый заголовок с информацией об отправителе и получателе. Хотя все передаваемые по туннелю пакеты являются пакетами IP, инкапсулируемые пакеты могут принадлежать к протоколу любого типа, включая пакеты немаршрутизируемых протоколов, таких, как NetBEUI. Маршрут между инициатором и терминатором туннеля определяет обычная маршрутизируемая сеть IP, которая может быть и сетью, отличной от Internet . Терминатор туннеля выполняет процесс, обратный инкапсуляции - он удаляет новые заголовки и направляет каждый исходный пакет в локальный стек протоколов или адресату в локальной сети.

"Лаборатория Касперского" сообщает об обнаружении первого в мире компьютерного макро вируса Macro.Office.Corner,
способного заражать файлы известного офисного приложения Microsoft Project. Corner является многоплатформенным макро
вирусом, заражающим как файлы формата MS Project, так и MS Word. Возможность заражения этих двух приложений основана
на присутствии в программном коде вируса двух функций: при работе с инфицированными документами первая из них
автоматически запускается MS Word, вторая - MS Project. Эти функции имеют различные названия в шаблоне
NORMAL.DOT, зараженных документах Word и проектах Project.

Процедуры размножения вируса стандартны для других макро вирусов, ориентированных на приложения MS Office: вирус
определяет активный документ или проект и добавляет в него свой код при помощи стандартных команд языка
программирования VBA (Visual Basic for Applications). Вирус безопасен и никак не проявляется.

Присутствие вируса Corner в документах может быть определено по комментариям, которые он вставляет в зараженные файлы:
I never realized the lengths I"d have to go All the darkest corners of a sense I didn"t know Just for one moment hearing someone call Looked
beyond the day in hand There's nothing there at all Project98/Word97-2k Closer

"Для [квалифицированного] хакера добыть эту информацию не составит особого труда. Тест нацелен на обнаружение слабых
мест в системе. Мы хотим, чтобы атакующие подобрались как можно ближе к внутреннему кольцу безопасности, кольцу,
которое не должно подвести", — заявил Эд Герк (Ed Gerck), исполнительный директор компании.

10 лет назад предприниматель Расс Сарбора из Ботеллы пригласил Еремина из тогда еще СССР, где тот работал в Центральном
аэро-гидродинамическом институте ( ЦАГИ). Еремин привлек внимание американца тем, что разработал алгоритм,
посредством которого можно было производить объемные вычисления, связанные с моделированием сложных процессов, на
обычных компьютерах, - в то время как те же задачи американцы выполняли на суперкомпьютерах стоимостью в десятки
миллионов долларов. Сарбора и Еремин создали фирму Elegant Mathematics со штаб-квартирой в Москве, в которую набрали
около 20 высококлассных российских специалистов - математиков, физиков, программистов из Академии Наук, МГУ и
Математического института Стеклова.

Сейчас Сарбора заявляет, что шокирован тем, что его партнер подозревается в шпионаже. Сам Еремин сейчас находится в
Москве и отказывается комментировать обвинения в шпионаже.

По словам представителя японского Агентства Безопасности, ведущие специалисты в области компьютерных технологий
осуществляют разработку программного материала, способного отразить вирусные атаки, а также попытки хакерских взломов
системы.

Стимулом к работе в данном направлении послужила хакерская атака в январе 2000 г., в результате которой были взломаны
веб-сайты Агентства Науки и Технологий, а также Агентства Менеджмента и Управления. Подозрения пали на китайских
хакеров, т.к. в результате инцидентов на правительственных сайтах остались ссылки на порносайты и надписи на китайском
языке, осуждающие бесчинства Японской Армии во время Второй Мировой Войны.

Канцлер ФРГ Герхард Шредер заявил, что создание международных стандартов электронной безопасности - основной шаг на
пути к завоеванию доверия пользователей Сети и борьбы с преступностью. "Преступность в Интернете - это глобальная
проблема, и бороться с ней можно только при помощи глобальных мер: улучшение координации международного
сотрудничества, и прежде всего разработка минимальных стандартов.," - заявил г-н Шредер.

Специалисты по проблемам Интернета стран "большой восьмерки" заявили, что разработка единых стандартов - проблема не
простая, так как необходимо принять во внимание культурные особенности всех стран.

Эксперты считают, что в качестве основы для таких стандартов можно было бы использовать американские системы расчетов в
Интернете, а также электронную подпись, что позволит, в частности, развивать электронный бизнес.

В ходе вчерашней конференции министр иностранных дел Германии Йошка Фишер (Joschka Fischer) сообщил, что совокупный
убыток всех стран от преступности в Интернете составляет $42,5 млрд., а в будущем этот показатель увеличится.

В Соединенных Штатах хакера традиционно представляют подростком с экзотическим цветом волос, который от нечего делать
или для демонстрации собственной лихости разрисовывает сайты или взламывает NASA. Единственное, что может ему грозить,
- это повестка в суд. Худший исход судебного заседания (которое, кстати, вполне может закончится в пользу хакера), – крупный
штраф или несколько месяцев тюрьмы.

В Европе компьютерный взлом – занятие серьезных и взрослых людей. Иногда оно, по сведениям ZDNet, кончается трагически,
– как в случае с 27-летним хакером по имени Tron, членом организации Chaos Computer Club, председатель которой стал
недавно одним из пяти вновь избранных директоров ICANN. Tron считался одним из наиболее одаренных компьютерщиков
Европы: например, он был первым, кто догадался, как сделать ресурс телефонных карт неисчерпаемым.

В 1998 году Tron - его настоящее имя было Борис Флорисик - был найден в Берлинском парке повешенным на собственном
ремне. Полиция решила, что это самоубийство, но семья, друзья и остальные члены Chaos Computer Club решили, что это
происки русской мафии. По словам одного из членов клуба, который пожелал остаться неизвестным, Tron либо отказался
работать на мафию, либо взломал не тот компьютер.

Нет никаких доказательств того, что в этом случае действительно была замешана мафия или крупные корпорации. Однако сама
мысль о том, что за взлом компьютера могут убить, - а эта мысль, по мнению специалистов, даже не приходит в голову
американским хакерам, – делает европейский компьютерный андеграунд более осторожным и рассудительным.

Эксперты считают, что некоторое отставание Европы в компьютерных технологиях и программном обеспечении привело к
тому, что хакерство в Европе стало искусством и серьезной профессией, а не развлечением. Например, практически все
крупные хакеры Европы также являются и фрикерами. Канадский хакер по имени ktwo, который несколько месяцев работал в
Восточной Европе, считает, что из-за крайне высокой по сравнению с Америкой стоимостью услуг телефонной связи этот вид
деятельности получил широкое распространение среди европейских компьютерных специалистов.

Отсутствие денег на доступ в Интернет, на новую технику и новое программное обеспечение также играет свою роль в развитии
хакерства в Европе. Недостатки своих компьютеров европейские хакеры восполняют достоинствами своих мозгов.

Европейские хакеры, согласно данным журналистов, чаще воздерживаются от взлома известных сайтов и саморекламы в
средствах массовой информации. Также они гораздо реже сообщают о своих подвигах в чатах и веб-конференциях, как это
зачастую проделывают их американские коллеги. Однако, по мнению американских специалистов, они гораздо чаще
взламывают сайты в знак протеста против чего-либо или в защиту прав человека.

По мнению аналитиков, европейские хакеры более склонны учиться самостоятельно, разрабатывать уникальные методики
взлома и обнаружения "дыр" в программном обеспечении. Поэтому они считаются наиболее опасными в среде специалистов по
компьютерной безопасности. Особенной славой пользуются хакеры из России и Болгарии.

Американские специалисты также считают, что на хакерство в Европе большое воздействие оказывают как мафия, так и
правительственные организации. По мнению Уильяма Малика, "наиболее плотная концентрация хакеров – на Балканах, где
остались наиболее квалифицированные кадры бывшего Совестского Союза".

В рамках акции, проводящейся с 16 октября по 31 декабря 2000 года, любой желающий сможет получить удаленный доступ в корпоративную сеть компании "Инфотекс" и, используя все функции, доступные сотрудникам компании, оценить возможности ПО ViPNet.

Каждый, участник акции сможет воспользоваться следующими функциями ПО ViPNet:

- Защищенная деловая почта - позволяет клиентам сети осуществлять обмен электронной почтой в защищенном виде

- Защищенный доступ к базам данных - позволяет поставщикам и пользователям ценной деловой информации защитить ее от несанкционированного доступа

- Защищенный файловый обмен - позволяет клиентам сети обмениваться файлами в режиме on - line в защищенном виде

- Защищенная конференция – позволяет организовать диалог двух или более клиентов сети в реальном времени в защищенном режиме

- Мониторинг и идентификация – позволяет блокировать попытки постороннего доступа к защищенным ресурсам и идентифицировать несанкционированные обращения по IP адресам и доменным именам.

Если Вы желаете принять участие в нашей акции, Вам необходимо:

Зарегистрироваться на сервере ОАО «Инфотекс», заполнив регистрационную форму

Загрузить, распечатать, внимательно изучить, подписать и переслать в наш офис по факсу (095) 737-7278 "Соглашение о конфиденциальности".

Загрузить к себе на компьютер ПО "Сервис Безопасности"

После получения подписанного Вами Соглашения о конфиденциальности, Вам будут высланы регистрационные файлы и краткое описание по установке программы

краткое описание по установке программы в формате .doc находится здесь

*Мы рекомендуем организациям для участия в акции присылать заявки на 2-3 участников.

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием
рассмотрим их.

В предыдущей лекции была приведена классификация решений виртуализации . В рамках текущей лекции мы более подробно рассмотрим ключевые особенности виртуализации сетей.

В 1960-х инженерно - технический отдел американской телефонной компании разработал систему автоматического соединения абонентов АТС - Centrex. Данный факт можно считать началом истории виртуализации сетей, поскольку использовались уже существующие каналы связи, т.е. создавались виртуальные каналы передачи сигнала.

Виртуальной частной сетью ( VPN - Virtual Private Network ) называют обобщенную группу технологий, обеспечивающих возможность установления сетевых соединений поверх другой сети. Иными словами, VPN можно назвать имитацией сети, построенной на выделенных каналах связи.

Технически виртуальная сеть - это криптосистема , защищающая данные при передаче их по незащищенной сети. Т.е. потоки данных одной группы пользователей (предприятия), использующих VPN , в рамках одной публичной сети защищены от влияния иных потоков данных.

На базе одной физической сети может функционировать несколько виртуальных.

Структура VPN включает в себя: каналы связи, маршрутизаторы и защищенные протоколы. Локальные сети объединяются в виртуальную при помощи "виртуальных выделенных каналов", для создания которых применяется механизм туннелирования (пакеты локальной сети инкапсулируются в новые IP - пакеты инициатором туннеля , на обратном конце " туннеля " происходит обратный процесс).

Подключение нового пользователя к VPN осуществляется через VPN - сервер .

Цели и задачи виртуальных частных сетей

Основной целью виртуальной сети является максимально возможное обособление потока данных компании (определенной группы пользователей) от потока данных других пользователей общей сети.

Соответственно, глобальной задачей виртуальной сети является обеспечение указанной обособленности данных, которую можно разделить на следующие подзадачи, решаемые средствами VPN :

Конфиденциальность - гарантия того, что данные не будут просмотрены третьими лицами.
Целостность - обеспечение сохранности передаваемых данных.
Доступность - санкционированные пользователи должны иметь возможность подключения к VPN постоянно.

Защита информации в виртуальных частных сетях

Основной угрозой при использовании виртуальных частных сетей , очевидно, является несанкционированный доступ к данным, который можно разделить на два типа:

несанкционированной доступ в процессе передачи данных по открытой (общей) сети;
несанкционированный доступ к внутренним корпоративным сетям.

Основными функциями защиты информации при передаче данных по виртуальным сетям являются:

аутентификация;
шифрование;
авторизация.

Также отметим, что угрозу по перехвату пакетов по пути следования ряд специалистов считает преувеличенной. Пакеты проходят через маршрутизаторы и коммутаторы провайдеров, т.е. фактически не заходят в сети сторонних лиц и организаций. Таким образом, основная угроза перехвата исходит со стороны самих провайдеров. От входа во внутренние сети организаций и перехвата данных по пути существуют такие способы защиты, как межсетевые экраны, proxy - сервера и средства организации защищенного канала соответственно.

Классификация виртуальных сетей

Существует несколько различных вариантов классификации виртуальных сетей. Приведем наиболее распространенные из них.

Классификация по архитектуре:

Данные сети предназначены для обеспечения защищенного удаленного доступа к корпоративным сетевым информационным ресурсам.

Предназначены для объединения различных структурных подразделений компании, или групп предприятий в единую защищенную информационную сеть.

Данные сети предназначены для обеспечения взаимодействия с поставщиками, клиентами, партнерами и т.д.

Классификация по уровню ЭМВОС (Эталонная модель взаимодействия открытых систем, Open System Interconnection Basic Reference Model - OSI):

Данный тип обеспечивает инкапсуляцию трафика сетевого и более высоких уровней и построение виртуальных туннелей "точка - точка". На данном уровне используются протоколы L2F и PPTP (протоколы построения VPN будут рассмотрены в завершающей части данной лекции).

Данный тип осуществляет инкапсуляцию IP в IP. К протоколам данного уровня относят SKIPP и IPSec .

Данный тип VPN использует подход под названием "посредник каналов" - трафик из защищенной сети ретранслируется в общедоступную для каждого программного интерфейса в отдельности. Часто используется протокол TLS для шифрования информации.

Классификация по способу реализации:

Реализация осуществляется на базе аппаратно - программного комплекса, обеспечивающего высокую производительность и защищенность.

Обеспечение работы VPN осуществляется специальным ПО, установленным на ПК пользователя.

Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания .

Сравнение с частными сетями

Для более наглядной иллюстрации основных отличий между виртуальной сетью и частной рассмотрим следующий пример.

Задача: организовать безопасные каналы связи в компании, имеющей несколько удаленных филиалов.

Решение на основе частной корпоративной сети.

В данном случае, филиалы связаны с центральным офисом посредством LAN , доступ в Интернет может осуществляться как через центральный офис , так и каждым филиалом самостоятельно.

Скорость передачи данных. Фактически скорость будет ограничена возможностями локальной сети предприятия.
Безопасность. При должной организации можно минимизировать риск нежелательной утечки данных.
Стоимость решения. Поскольку предприятие использует собственные каналы передачи данных, нет необходимости в аренде таковых. С другой стороны, стоимость организации корпоративной сети может быть более, чем высока.

Решение на основе виртуальной частной сети.

В данном решении предприятие арендует каналы связи у провайдеров, центральный офис и филиалы объединены в виртуальную частную сеть .

Особенности решения, по сравнению с частной сетью:

Скорость передачи данных. Зависит от условий, предоставляемых поставщиком услуг связи (провайдером), сильно зависит от региональных особенностей.
Безопасность. Учитывая, что данные предприятия попадают в общедоступную сеть, то для обеспечения безопасности необходимо использовать различные средства и алгоритмы защиты информации (шифрование).
Стоимость. Необходимо оплачивать услуги провайдера, но нет затрат связанных с организацией корпоративной локальной сети.

Исходя из сравнения решений по параметрам Скорость/Безопасность/Стоимость, выгода от использования VPN , строго говоря, неочевидна. Но виртуальные сети обладают рядом иных преимуществ:

Масштабируемость. В случае расширения штата, открытии нового филиала и т.п. не требуется затрат для обеспечения коммуникаций. Новые пользователи просто подключаются к уже организованной виртуальной сети предприятия.
Гибкость и мобильность. Не имеет значения физическое местоположение пользователя сети. Для подключения к виртуальной сети предприятия достаточно наличия любого канала связи с внешним миром.

Исходя из всего вышеизложенного, можно выделить основные сценарии использования VPN :

Организация удаленного доступа к корпоративным сетевым ресурсам через любую общедоступную сеть. Для реализации данного сценария обязательным является только наличие корпоративного VPN - сервера, к которому могут подключаться удаленные клиенты.
Intranet VPN . Объединение территориально распределенных филиалов компании в единую сеть передачи данных. Для реализации сценария необходимо наличие VPN - сервера в каждом из связываемых организационных объединений.
Extranet VPN . Предоставление клиентам и партнерам доступа к корпоративным сетевым ресурсам.

Таким образом, несмотря на ряд недостатков, можно утверждать, что виртуальная частная сеть , в ряде случаев, может оказаться более предпочтительной, чем частная корпоративная локальная сеть .

Текст научной работы на тему «Система защиты информации на основе виртуальных частных сетей»

СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ НА ОСНОВЕ ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЕЙ

Е.Ю. Михайлина, Д.В. Лопатин

Тамбовский государственный университет имени Г.Р. Державина, г. Тамбов, Россия

В условиях интеграции сетевых технологий, все возрастающей роли технологий беспроводных соединений,

постоянно повышающейся мобильности

пользователей все большее значение приобретают средства сетевой защиты

информации, обеспечивающие персональную защиту компьютеров, которые позволяют гарантировать целостность данных, безопасность компьютеров и

Для удовлетворения таких потребностей были разработаны Virtual Private Networks

(Виртуальные частные сети) (VPN).

Технология VPN объединяет преимущества подключений удаленного доступа с

простотой и гибкостью подключений к Интернету. Виртуальные частные сети проводят шифрование данных и проверку подлинности, что гарантирует

конфиденциальность пересылаемых через Интернет данных и позволяет подключаться к сети только пользователям, имеющим соответствующие права. Технология VPN также позволяет использовать

общедоступную сеть для создания

защищенных каналов связи с различными организациями и отдельными

В данной работе рассматривается организация, осуществляющая передачу конфиденциальной информации внутри сети, и ее филиал через сеть Интернет.

Целью данной работы является построение системы защиты информации на основе виртуальной частной сети.

в систему и обмена конфиденциальной информацией; 2) передаваемая

конфиденциальная информация должна быть защищена криптографическими методами, обеспечивающими ее конфиденциальность, целостность и подлинность; 3) в целях расследования возможных инцидентов должна вестись регистрация в журналах наиболее важных событий, связанных с

передачей защищаемой информации по каналам связи; 4) должна быть обеспечена безопасная работа пользователей в Интернет средствами межсетевого экранирования.

Для выполнения данных требований использовалась технология VipNet.

Программный комплекс ViPNet состоит из следующих компонентов: ПО ViPNet

Administrator; ПО ViPNet Coordinator; ПО ViPNet Client [1].

Технология ViPNet обеспечивает

прозрачное взаимодействие защищаемых компьютеров, независимо от способа и места подключения этих компьютеров к сети, а также типа выделяемого адреса. При этом обеспечивается не только гарантированная

защита трафика, передаваемого между компьютерами, включенными в VPN, от перехвата и модификации путем его шифрования, но также защита самих

компьютеров от сетевых атак из любой точки сети за счет интегрированных в технологию ViPNet персональных и межсетевых экранов. В сети ViPNet используется интегрированная

многоуровневая защита от

несанкционированного доступа к сети и к конфиденциальной информации [3].

В результате создания системы защиты информации на основе технологии VipNet, были решены задачи по управлению доступом пользователей к информационным ресурсам; обеспечена защита

информационных ресурсов от всевозможных сетевых атак со стороны неконтролируемой сети и защита передаваемых данных (защита от несанкционированного доступа к информации и обеспечение целостности информации или защита от ее искажения).

Анализ угроз информационной безопасности предприятия показал, что риск информационной системы с используемой политикой безопасности составлял 77,97 %. Риск информационной системы после создания системы защиты и применения необходимых контрмер по защите информационных ресурсов составил 38,22 %.

Предложенный комплекс мер, направленный на защиту информации, существенно снизил вероятность реализации угроз. Снизился процент реализации угроз на

каждый ресурс и на всю информационную систему. Эффективность комплекса контрмер превышает 50 %, из этого можно сделать вывод о том, что в информационной системе был разработан комплекс мер, адекватный угрозам в данной системе.

Результаты данной работы

свидетельствуют о том, что с внедрением технологии защищенного доступа ViPNet обеспечивается гарантия целостности и подлинности получаемой информации за счет полного сокрытия (шифрования) всей передаваемой информации от

несанкционированных пользователей и использования механизмов ЭЦП,

обеспечивается надежная защита от атак злоумышленников со стороны открытой сети; криптографические алгоритмы

функционирования защищенной сети ViPNet гарантируют невозможность получения из перехваченной информации паролей и ключей доступа к информационным ресурсам.

2. Петренко С. Защищенная виртуальная частная сеть: современный взгляд на защиту конфиденциальных данных // Мир Internet. 2009. № 2. С. 15-17.

3. Чефранова А.О., Игнатов В.В., Урив-ский А.В. Технология построения VPN ViPNet: курс лекций. М., 2009.

В предыдущих номерах нашего журнала уже были описаны основные методы защиты информации: шифрование (cм. «Мир ПК», №2/02, c. 70) и электронная цифровая подпись (№3/02, с. 78). Сегодня предлагаем вам ознакомиться со способами их применения.

Понятно, что информацию защищают вовсе не алгоритмы шифрования и электронной цифровой подписи (ЭЦП), а системы, в которых эти алгоритмы реализованы. Их можно условно разделить на системы автоматической защиты информации и системы защиты информации прикладного уровня.

Системы для внимательных и неленивых

Предположим, вы регулярно работаете с важными документами, которые нежелательно хранить на компьютере в открытом виде (скажем, в момент вашего отсутствия может подойти некто и их прочесть и даже переписать). В целях безопасности можно использовать программу, с помощью которой вы зашифровываете файл перед уходом и расшифровываете при необходимости.

Аналогичная ситуация и с ЭЦП: допустим, вы хотите подписать файл и вложить его в письмо. Легко! Даете команду программе, она эту подпись вычисляет и записывает в файл, а адресат при получении проверяет ее подлинность. Естественно, можно использовать шифрование и ЭЦП в комплексе — все зависит только от вашего желания.

Поскольку такие системы предусматривают выбор защищаемых объектов вручную, их интерфейс должен предоставлять возможность «бродить» по файловой системе, чтобы найти нужные. Оптимальным вариантом является встроенность программы непосредственно в Windows Explorer, как, например, WinZip в контекстное меню (см. рисунок).

Вы выбираете в обычном и донельзя знакомом окне файл, жмете правую кнопку мыши и подписываете его с помощью новой команды. По-моему, очень удобно: все под рукой и не нужно вызывать какие-то лишние программы. А еще лучше — встроенные прямо в офисные приложения средства защиты: устанавливаете программу электронной подписи, и в Word появляется дополнительная панель с кнопками «Подписать», «Проверить подпись» и т. д.

Для того чтобы избавить пользователей от необходимости ежедневного шифрования и расшифровывания файлов, разработчики стали эти операции автоматизировать. Но лично я предпочитаю именно «ручные» системы, главное достоинство которых — гибкость: они выполняют только заданные вами действия.

«Прозрачные» системы защиты

Однако использование «ручных» средств устраивает далеко не всех. Кроме того, многократно повторямые операции существенно повышают риск ошибки, и результатом может явиться, например, появление важного документа в открытом виде. Намного безопаснее системы автоматического («прозрачного») шифрования информации, которые эффективно защищают ее в соответствии с первоначальными настройками без вашего последующего участия. Для того-то и придуман компьютер, чтобы перекладывать на него рутинную работу, — лень по-прежнему служит двигателем прогресса. Не верьте тому, кто утверждает, что ПК создали для сложных математических расчетов, — это только полезный побочный эффект .

Существующие автоматические системы защиты можно условно разделить на те, которые защищают сетевой обмен данными, и системы «прозрачного» шифрования данных на компьютере пользователя.

Виртуальные частные сети

Технология VPN (Virtual Private Network — виртуальная частная сеть) — не единственный способ защиты сетей и передаваемых по ним данных. Но я считаю, что она достаточно эффективна, и ее повсеместное внедрение — это не только дань моде, весьма благосклонной к VPN в последние пару лет.

Суть VPN состоит в следующем:

На все компьютеры, имеющие выход в Интернет, устанавливается средство, реализующее VPN (VPN-агент). Не должно остаться ни одного незащищенного!
VPN-агенты автоматически шифруют всю исходящую информацию (и соответственно расшифровывают всю входящую). Они также следят за ее целостностью с помощью ЭЦП или имитоприставок (криптографическая контрольная сумма, рассчитанная с использованием ключа шифрования).

Поскольку информация, циркулирующая в Интернете, представляет собой множество пакетов протокола IP, VPN-агенты работают именно с ними.

Перед отправкой IP-пакета VPN-агент действует следующим образом:

Из нескольких поддерживаемых им алгоритмов шифрования и ЭЦП по IP-адресу получателя выбирает нужный для защиты данного пакета, а также ключи. Если же в его настройках такого получателя нет, то информация не отправляется.
Определяет и добавляет в пакет ЭЦП отправителя или имитоприставку.
Шифрует пакет (целиком, включая заголовок).
Проводит инкапсуляцию, т. е. формирует новый заголовок, где указывается адрес вовсе не получателя, а его VPN-агента. Эта полезная дополнительная функция позволяет представить обмен между двумя сетями как обмен всего-навсего между двумя компьютерами, на которых установлены VPN-агенты. Всякая полезная для темных целей злоумышленника информация, например внутренние IP-адреса, ему уже недоступна.

При получении IP-пакета выполняются обратные действия:

Заголовок содержит сведения о VPN-агенте отправителя. Если таковой не входит в список разрешенных в настройках, то информация просто отбрасывается. То же самое происходит при приеме пакета с намеренно или случайно поврежденным заголовком.
Согласно настройкам выбираются алгоритмы шифрования и ЭЦП, а также необходимые криптографические ключи.
Пакет расшифровывается, затем проверяется его целостность. Если ЭЦП неверна, то он выбрасывается.
И наконец, пакет в его исходном виде отправляется настоящему адресату по внутренней сети.

Все операции выполняются автоматически. Сложной в технологии VPN является только настройка VPN-агентов, которая, впрочем, вполне по силам опытному пользователю.

VPN-агент может находиться непосредственно на защищаемом ПК, что полезно для мобильных пользователей, подключающихся к Интернету где попало. В этом случае он обезопасит обмен данными только того компьютера, на котором установлен.

Возможно совмещение VPN-агента с маршрутизатором (в этом случае его называют криптографическим) IP-пакетов. Кстати, ведущие мировые производители в последнее время выпускают маршрутизаторы со встроенной поддержкой VPN, например Express VPN от Intel, который шифрует все проходящие пакеты по алгоритму Triple DES.

Как видно из описания, VPN-агенты создают каналы между защищаемыми сетями, которые обычно называют «туннелями». И действительно, они «прорыты» через Интернет от одной сети к другой; циркулирующая внутри информация спрятана от чужих глаз.

Кроме того, все пакеты «фильтруются» в соответствии с настройками. Таким образом, все действия VPN-агентов можно свести к двум механизмам: созданию туннелей и фильтрации проходящих пакетов.

Совокупность правил создания туннелей, которая называется «политикой безопасности», записывается в настройках VPN-агентов. IP-пакеты направляются в тот или иной туннель или отбрасываются после того, как будут проверены:

IP-адрес источника (для исходящего пакета - адрес конкретного компьютера защищаемой сети);
IP-адрес назначения;
протокол более высокого уровня, которому принадлежит данный пакет (например, TCP или UDP);
номер порта, с которого или на который отправлена информация (например, 1080).

Когда VPN бессилен

Увы, но при практическом применении средства VPN не всемогущи.

Серьезная проблема — атаки изнутри (т. е. когда злоумышленник завелся в одной из защищаемых сетей). По статистике около 75% финансовых потерь наносится в результате подобных агрессий.

Отказ в обслуживании (DoS- или DDoS-атаки) также является существенным препятствием для VPN-агентов.

Системы для слишком занятых

Чтобы установить и настроить систему автоматической защиты данных на компьютере, придется один раз потратить некоторое время (кстати, обычно это достаточно просто — не сравнить с весьма сложной настройкой VPN-агентов). Зато потом вы и не заметите, что ваши объекты шифруются «на лету» (правда, необходимо один раз — при входе в Windows — предъявить системе ключи).

Это происходит следующим образом.

хранения всей зашифрованной информации создается специальный файл-контейнер. Системой защиты генерируется ключ, который пользователь должен хранить при себе.
Если при входе нужный ключ не предъявлен, то контейнер остается просто файлом, ничем не выделяющимся среди прочих.
Если же предъявлен ключ и введен правильный пароль, контейнер подключается к системе и выглядит как новый логический диск (предположим, диск F), до этого отсутствовавший. Все, что затем с него считывается (например, документ, который следует отредактировать), автоматически расшифровывается; все, что записывается, - автоматически шифруется. Единственное условие - хранение важных документов именно на диске F. Это является гарантией безопасности.

Согласитесь, что такие средства очень удобны, а для малоопытных пользователей (среди них могут быть и работающие с важной информацией, например бухгалтеры или руководители) - это просто идеальный выход. Системный администратор произведет установку, настройку и вручит ключи - а дальше все легче легкого. Эти системы напоминают NTFS, которую также следует один раз настроить для автоматического разделения доступа к файлам. отличие в том, что NTFS их не шифрует.

Кстати, контейнеров может быть несколько, причем каждый из них будет защищен собственным ключом. Это важно при работе с информацией разного уровня секретности или при эксплуатации одного компьютера несколькими пользователями (если это еще актуально).

Шифрование происходит на случайном ключе (его называют «дисковым»), который, в свою очередь, шифруется на ключе, предъявляемом для открытия контейнера, и пароле.

Использование промежуточного ключа позволяет мобильно реагировать на ситуацию. Для того чтобы быстро перешифровать весь контейнер в случае, например, компрометации пароля, достаточно перешифровать только дисковый ключ.

В средства «прозрачного» шифрования входят различные дополнительные утилиты, полезные опытным пользователям. Они осуществляют следующие функции:

гарантированную очистку свободного пространства диска. Ведь при удалении объектов средствами Windows исчезает только запись о файле, но сама информация не стирается и доступна для восстановления, что совершенно недопустимо с точки зрения безопасности;
очистку файла подкачки (swap-файла). В нем Windows хранит разные динамические данные, в которые легко может попасть документ с секретного диска. Грамотному злоумышленнику не составит труда его оттуда извлечь, что также непозволительно;
автоматическую охрану контейнера. Это защищает его от случайного удаления и соответственно от потери важной информации.
экстренное отключение всех контейнеров. Все их содержимое станет недоступным, достаточно только нажать на специальную кнопку (при появлении в вашем кабинете нежелательных лиц).

Что любопытно — некоторые системы позволяют замаскировать контейнер: его можно как-нибудь необычно назвать, скажем, erotica.bmp, и при просмотре такого файла в графическом редакторе вы действительно увидите интересную картинку. Следовательно, у злоумышленника вряд ли возникнет подозрение, что там содержится что-то важное.

А последний писк моды — системы с функцией «вход под принуждением». Представьте, что у вас есть сверхсекретные документы, хранимые в контейнере. Сюда же, но с другим паролем, вы записываете якобы секретную информацию, для защиты которой будто бы и предназначен этот контейнер. И если вдруг появляется ваш закадычный враг (уверенный, что от него прячут много интересного) с утюгом наизготовку L, вы просто вводите другой пароль. Все довольны.

В настоящее время предлагается великое множество разнообразных систем защиты информации. Их основное предназначение — закрыть все возможные пути для злоумышленника. Главное — не забывать о том, что одна оставленная лазейка сделает бесполезными все средства защиты, которые вы установили.

Читайте также: