РЕКОМЕНДАЦИИ ПО СОЗДАНИЮ И АДМИНИСТРИРОВАНИЮ ЧАСТНЫХ ВИРТУАЛЬНЫХ СЕТЕЙ КОРПОРАТИВНОГО УРОВНЯ

Компьютерные сети являются основным средством передачи данных, в том числе информации ограниченного доступа. Высокая ценность побуждает злоумышленников к попыткам несанкционированного доступа к информации с целью получения выгоды. Соответственно для многих компаний возникает потребность в противодействии таким попыткам, чтобы минимизировать возможные риски. С этой целью разрабатывается множество технологий, таких как межсетевое экранирование, контроль целостности передаваемых данных, обнаружение и предотвращение вторжений, разграничение доступа к сети. Их дополняют другие средства защиты, например, антивирусные, системы предотвращения утечек и так далее, которые косвенно влияют на сетевую безопасности [1].

Так как большинство сетевого трафика передаются открытым каналам глобальной сети интернет, то перед предприятиями появляется потребность в организации простой, надежной и безопасной сети передачи данных. Удовлетворить эту потребность призвана технология Частных Виртуальных Сетей (VPN - Virtual Private Network).

Сейчас область применения технологии частных виртуальных сетей достаточно обширна, в основном VPN рекомендуется использовать для:

•  создания защищённых корпоративных и ведомственных сетей любых масштабов, уровней территориальной распределённости и связанности. Создается объединение всех территориально-распределённых подразделений организации в единую виртуальную сеть. Для соблюдения законодательства рекомендуется рассматривать программное обеспечение, которое работает на сертифицированных криптографических алгоритмах ГОСТ 28147—89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, что позволяет соответствовать требованиям регуляторов в области информационной безопасности;
•  обеспечение безопасного доступа в сеть Интернет. Большинство продукты VPN включают в свой функционал функции межсетевого экранирования и трансляции сетевых адресов (Network Address Translation — NAT), а также контекстный анализ протоколов прикладного уровня, что позволяет использовать их для защиты корпоративной сети при подключении к сети общего пользования;
•  защищённый доступ удалённых и мобильных пользователей к корпоративной сети (предоставление защищённого доступа клиентов к сервисам компании). Для защиты соединения используются стандартные протоколы IPsec и IKE для шифрования трафика;
•  защита каналов связи между центрами обработки данных (ЦОД). Применение функций распределения нагрузки позволяет защищать широкополосные каналы связи, том числе связывающие несколько центров обработки данных;
•  межведомственное взаимодействие (подключение сетей организаций-партнеров). Продукты VPN позволяют организовывать подключения отдельных компьютеров или сетей других организаций к корпоративной сети;

Так как данные в глобальных сетях отправляются через оборудование, принадлежащее организациям-посредникам (провайдерам). Следовательно, они могут устанавливать любые правила по обработке данной информации и воздействовать на всю проходящую информацию, что может привести к нарушениям целостности, доступности или конфиденциальности информации на пути её следования [2].

В технологии VPN двух локальных сетей, которые подключены через глобальную, создается иллюзия, что они соединены через специальную выделенную линию – эта технология получила название туннелирование. Туннель создает логическое соединение, проходящее через глобальную сеть, при этом физический возможно большое множество промежуточных узлов. Локальные компьютеры, расположенные на концах туннеля, думают, что они соединены непосредственно между собой, или что входят в одну локальную сеть. Созданием и поддержанием туннеля занимается технология VPN. Безопасность передачи данных достигается защитой от атак посредника: конфиденциальность обеспечивается шифрованием пакетов и сокрытием их размера, целостность – подсчетом контрольных суммы пакетов, доступность – резервированием маршрутов передачи [2].

Первым этапом внедрения любого средства защиты информации, является определение политики безопасности предприятия. Именно она дает ответ на главный вопрос: «что и как нужно защищать?». Данный вопрос связывает информационную безопасность и реальные потребности организации. Установить, что нужно защищать, то есть выделить те самые объекты защиты можно опираясь на законодательство, например, федеральный закон «О персональных данных» или на основе проведенной оценки рисков, которая выявит, какие будут потери, например, финансовые или репутационные, в случае осуществления несанкционированного доступа.

Вторым важным аспектом политики безопасности является установление легитимных пользователей, которые имеют права взаимодействовать с объектом защиты. Таким образом, составляется круг субъектов, которые имеют право доступа к объекту защиты. Политика безопасности подразумевает ответственность пользователей за нарушение правил доступа.

Важным этапом является составление актуальной модели угроз, которая составляется, опираясь на нормативные документы регуляторов. В данном документе следует конкретно описать какие виды угроз возможны, оценить насколько каждая из них возможна и что ущерб повлечет за собой. Для определения источников угрозы полезно описать модель нарушителя. После утверждения модели угроз и нарушителя возможет выбор средства защиты, которые должны быть использованы для уменьшения вероятности реализации угрозы [2].

Если разбирать политику безопасности применительно к VPN, то защищаемыми объектами являются в основном серверы или ПК, на которых обрабатывается конфиденциальная информация. Субъектами будут выступать удаленные пользователи, которые со своих устройств осуществляют доступ к серверам. Согласно политике безопасности, они будут разделены на легитимных и нелегитимных. Модель угроз, касательно передачи информации по сети, должна содержать нарушения целостности конфиденциальности и доступности со стороны лица, не обладающего соответствующими полномочиями [3]:

•  нарушение целостности: возможность не санкционировано изменить данные при передаче от узла к узлу или послать информацию от лица другого узла;
•  нарушение конфиденциальности: возможность ознакомиться несанкционированному субъекту с перехваченной информацией при передаче её от узла к узлу;
•  нарушение доступности: возможность нарушить ограничить доступ к ресурсу, расположенному на узле сети, не обладая соответствующими привилегиями.

Технология IPsec предполагает защиту от всех вышеперечисленных нарушений, поэтому VPN построенную на основе IPsec можно рассматривать в качестве средства защиты для выполнения требований. Все это вместе, как раз и определяет структуру VPN сети предприятия [3].

В функционал VPN включается разграничение доступа к защищаемой сети. Данный пункт невозможен без идентификации и аутентификации. Каким образом будут идентифицироваться клиенты и с помощью каких механизмов будут подтверждать свою подлинность необходимо определить еще на стадии составления плана реализации политики безопасности. Этот фактор влияет на выбор VPN продукта, так как он должен осуществлять поддержку выбранных методов аутентификации.

После того программное обеспечение VPN установлено и настроено, необходимо распределить секреты между узлами. Взаимная идентификация и аутентификация сторон выполняются посредством IPsec (протоколом IKE) при установлении защищенного соединения. При этом в качестве метода аутентификации возможно использовать предварительно распределенный секретный ключ или цифровые сертификаты. Первом вариант считается недостаточно надежным для него требуется предварительно распределенный секретный ключ, который является секретом. Ключ идентичный на для обоих субъектов взаимодействия. Первичное распространение наборов таких ключей при инициализации сети обычно вызывает проблемы, особенно в крупных организациях. Сам набор ключей представляет из себя список ключей для связи между двумя узлами, таким образом, если у узла есть связь с десятью другими узлами, то для достижения безопасности при компрометации одного из ключей, у него должно быть десять разных ключей для связи с каждым из узлов. Набор, как правило, шифруется на ключе, получаемом из пароля пользователя. Данный процесс первичной инициализации достаточно тяжело автоматизировать, так как на начальном этапе отсутствует защищенный канал, а передавать ключ общий секретный ключ по открытой сети нельзя.

Для аутентификации субъектов в виртуальных частных сетях рекомендуется использовать второй вариант, который использует технологию открытых ключей (PKI). Она предполагает у каждого субъекта своего уникально закрытого ключа. Закрытый ключ хранится в неизвлекаемом виде на токене или смарт-карте, и   дополнительно защищается ПИН-кодом. Персональный сертификат должен быть подписан удостоверяющим центром, а у других субъектов должен корневой сертификат УЦ для проверки подлинности. Удостоверяющий центр позволяет гарантировать, что открытый ключ принадлежит именно владельцу данного сертификата.  При выпуске цифровых сертификатов требуются указывать в качестве идентификатора ФИО и другие уникальные данные субъекта, что позволяет достаточно точно идентифицировать пользователя. IPsec позволяет ограничивать время жизни безопасного соединения сроком действия сертификата, российским законодательством установлено, что срок действия контейнера закрытого ключа не может быть более 1 год и 3 месяца. Система позволяет прекратить действия сертификата через список отозванных сертификатов (CRL). Технология PKI основана на ассиметричной криптографии, которая позволяет субъекту не передавать свой закрытый (секретный ключ) [4].

Таким образом, можно прийти к выводу, что компании использующее программные продукты для построения VPN, должны дополнительно обеспокоиться вопросом приобретения и распространения ключей шифрования

К основным достоинства использования VPN технологий для защиты информации в распределенных сетевых информационных системах компаний относят:

• защиты всей корпоративной сети — от масштабных корпоративных  территориально-распределённых сетей офисов до отдельных рабочих мест сотрудников;

• легкая масштабируемость всей системы защиты, т. е. для защиты объектов любой сложности и производительности можно найти приемлемые средства защиты информации;

• использование ресурсов глобальной сетей для построения корпоративной сети. Угрозы, которые появляются при использовании сетей общего пользования, например, интернет, будут ликвидироваться продуктами реализующие технологию VPN;

• достоверная идентификация всех субъектов. Возможна обеспечения аутентификация пользователей по средствам использования PKI на основе цифровых сертификатов;

• сегментация информационной системы для организация безопасной передачи данных по каналам связи.

Организация VPN входит в число важнейших технологий, которая позволяет выполнить требований регуляторов в составе систем защиты персональных данных и конфиденциальной информации, в том числе в государственных информационных системах (ГИС) с учётом требований по криптографической защите информации при передаче по открытым каналам связи.

Список литературы:

1. Соколов А. В., Шаньгин В. Ф.  Защита информации в распределенных корпоративных сетях и системах. — М. : ДМК Пресс, 2002. - 655 с.
2. Браун С. Виртуальные частные сети. — М.: Лори, 2001. — 508 с.
3. Запечников СВ., Милославская Н.Г., Толстой А.И. Основы построения виртуальных частных сетей: Учебн. пособие для вузов. — М.: Горячая линия—Телеком, 2003. — 249 с.
4. Росляков, А. В. Виртуальные частные сети. Основы построения и применения — М.: Эко-Трендз, 2006. - 304 c.