Виртуальные частные или собственные сети - VPN (Virtual Private Networks) в качестве альтернативы корпоративным сетям начали интересовать отечественных заказчиков еще лет пять назад. Переломным моментом здесь стало появление общедоступных открытых сетей, в частности, Интернет. Виртуальные сети, наложенные как бы поверх Интернет, существенно дешевле и гораздо безопаснее привычных корпоративных сетей компаний, построенных на выделенных линиях. Более того, VPN считается наиболее современным защитным средством потоков внутренней информации.
VPN представляет собой комбинацию туннелирования и шифрования на выделенных шлюзах. Туннель - это временная или виртуальная связь между, например, двумя удаленными офисами компании, которая устанавливается на каждый конкретный случай, и разрушается, когда она не нужна. Туннельный режим обычно реализуют на специально выделенных защитных шлюзах, в роли которых могут выступать маршрутизаторы или межсетевые экраны. Шлюзы соединяются между собой по выделенным или по коммутируемым линиям, по сетям общего пользования типа Интернет или другим сетям связи, которые поддерживают передачу данных по протоколу TCP/IP. Суть туннелирования состоит в том, чтобы "упаковать" передаваемую порцию данных вместе со служебными полями в новый "конверт".
Такая "упаковка" данных является самостоятельным сервисом безопасности. Очевидно, что в Интернет весь идущий трафик, как правило, не защищен, и его может просмотреть кто угодно. Если в IP-сетях пересылаемый пакет данных имеет один заголовок, то при отправке по туннелю VPN, такой пакет данных как бы заворачивается в дополнительный конверт, снабженный IP-адресом первого шлюза и IP-адресом второго шлюза. А дальше в "конверте" размещается целиком весь пакет данных в закодированном виде.
Данный сервис может применяться как для обеспечения конфиденциальности и целостности всего передаваемого пакета данных, включая служебные поля, так и для осуществления перехода между сетями с различными протоколами (например, IPv4 и IPv6).
Понятно, что важнейшим средством обеспечения конфиденциальности является шифрование. В VPN чаще всего используется криптография с открытыми ключами. Это означает, что при выходе из локальной сети информация кодируется открытым ключом, а при входе декодируется закрытым ключом. Данные функции реализуются специальными программными или аппаратно-программными средствами.
Система управления ключами - третья составляющая VPN-решения. В большинстве существующих сегодня отечественных продуктах, применяется статический метод, при котором каждый участник процесса заранее имеет все ключи. То есть, составляется матрица зависимости, где расписываются все возможные связи. С одной стороны, этот метод удобен, так как здесь заранее все четко определено. С другой стороны, если у компании, например, появляется еще одно удаленное подразделение, то для включения его в сеть VPN требуется расширить матрицу зависимости, что представляет собой трудоемкий процесс, занимающий определенное время. Кроме того, обязательная периодическая смена ключей каждый раз требует составления новой матрицы.
Наряду со статическим, существует динамический режим распределения ключей. Он подразумевает наличие в сети некоего Центра распределения ключей (ЦРК). Центр может представлять собой аппаратно-программное устройство, в котором сосредоточена вся информация об имеющихся в сети ключах и обо всех абонентах. При этом каждый абонент владеет только своим секретным ключом для декодирования входящей информации, и открытым ключом ЦРК. Абонент, при необходимости связи с любым удаленным офисом, запрашивает Центр распределения, и получает открытый ключ для кодирования отсылаемой информации. Другими словами, для каждого сеанса ЦРК предоставляет уникальный открытый ключ. При наличии динамического режима, подключение к сети новых абонентов представляет собой простое уведомление об этом Центра распределения ключей. Помимо функции раздачи, ЦРК может осуществлять функции управления контуром безопасности и хранить информацию о структуре сети.
По словам начальника отдела средств и методов защиты информации Jet Infosystems Павла Вороненко, еще полтора - два года назад не существовало ни одного отечественного и западного продукта, управляющего ключами, полностью удовлетворявшего определенным требованиям. Ситуация была такова, что многие разработчики переписывали существующие протоколы, и реализовывали их собственными силами.
На сегодня в мире существует два основных стандарта, связанных с распределением ключей. Их небольшое число связано с тем, что еще лет пять назад не было понимания о дальнейшем развитии технологии VPN.
Исторически существовал вариант стандарта SKIP (Simple Key management for Internet Protocols), основным идеологом которого была компания Sun Microsystems. Первые решения по управлению ключами, были построены и западными и отечественными разработчиками на основе этого стандарта. SKIP имеет такой недостаток, как отсутствие поддержки переговоров по поводу алгоритмов шифрования. Другими словами, стандарт не поддерживает динамический режим распределения ключами.
Кроме SKIP сегодня существует такой стандартный метод управления ключами, как ISAKMP/Oakley (Internet Security Association and Key Management Protocol), поддерживающий динамический режим распределения ключей. ISAKMP/Oakley выбран в качестве платформы стандарта IPSec. Данный стандарт поддерживается сетевым протоколом IPv6. Спецификации семейства IPSec регламентируют такие аспекты, как управление доступом, контроль целостности на уровне пакетов, аутентификация источника данных, защита от воспроизведения, конфиденциальность, администрирование (управление криптографическими ключами). Протоколы обеспечения аутентичности и конфиденциальности могут использоваться в двух режимах: транспортном и туннельном. В первом случае защищается только содержимое пакетов, во втором - весь пакет.
Некоторые компании разрабатывали соответствующие продукты по собственным протоколам (Cisco Systems).
В России до последнего времени существовал единственный сертифицированный отечественный продукт, с помощью которого можно было осуществить кодирование межсетевых потоков в сетях VPN - "ШИП", разработанный МО ПНИЭИ. Однако, он обладал невысокой производительностью и низкой устойчивостью - примерно раз в сутки всю систему надо было перезапускать. Декларируемая скорость обработки данных у этого продукта - 7 Мбит/сек, а реальная - до 4 Мбит/сек. Для сравнения: решение, предлагаемое Cisco Systems, имеет скорость обработки более 100 Мбит/сек.
Для сетей VPN компания Cisco предлагает как аппаратные средства - плата расширения ESA (Encryption Service Adapter), на которой установлен специализированный процессор для шифрования, так и программное обеспечение дополняющее возможностью шифрования данных ПО Cisco IOS, установленное на маршрутизаторы серии 1720/1750 или 7100. Кроме того, технология, разработанная Cisco Systems, позволяет произвести туннелирование с одновременным шифрованием любого IP-потока.
До последнего времени практически ни одно решение не позволяло вести администрирование всей VPN-сети с одного рабочего места, то есть существовали серьезные проблемы управления всей системой. В настоящее время эти вопросы решаются как западными, так и отечественными разработчиками. В частности, в 1999 году российская компания Jet Infosystems разработала и провела опытную эксплуатацию Комплекса кодирования межсетевых потоков "Тропа". В состав комплекса, разработанного с учетом спецификации IPSec, включен центр мониторинга и управления межсетевыми потоками, осуществляющий функции сбора и обработки статистической и служебной информации. Кроме того, продукт "Тропа" имеет возможности интеграции с межсетевым экраном, что позволяет в рамках одной VPN-сети использовать часть кодирующих шлюзов, реализованных в виде отдельных выделенных компьютеров, а часть - в комплексе с межсетевыми экранами. В настоящее время готовится вторая версия продукта.
В России развитие VPN-технологий связано существованием определенной проблемы использования средств криптографии. В нашей стране все виды деятельности, связанные с криптографией, регламентируются Федеральным агентством правительственной связи и информации (ФАПСИ). На сегодняшний день ситуация складывается такая, что из современных продуктов, имеющих криптографический модуль, сертификатом ФАПСИ обладает лишь комплекс "Тропа".
Кроме того, ситуацию осложняет запрет на ввоз в Россию западных средств криптографии. Закон разрешает западным компаниям, имеющим представительства в России, в своей работе использовать собственные средства криптографии, но продавать их они не имеют права. Ответственность за использование западных средств шифрования в России несет пользователь. Интеграция же российских криптографических средств в западные продукты не просматривается даже в перспективе.
Однако урегулирование правовой основы использования средств криптозащиты при участии представителей российского компьютерного рынка - дело не только необходимое, но вполне реальное. Так, в 1997 году компания Jet Infosystems приняла активное участие в подготовке, утвержденного затем, Руководящего документа по межсетевым экранам, после чего стало возможно официально использовать это современное средство защиты информации.
Как бы то ни было, но решения на базе VPN-технологий
становятся все более актуальными. По
ориентировочным оценкам, емкость этого
рынка к следующему году будет
составлять более 10 млрд. долларов.