На главную страницу  
+7 (499) 124-62-26
О компании Продукты Демо-версии Купить Цены Контакты Решения
Защита персональных данных
Защита web-сайта
Интернет-банк
Трансграничный файловый обмен
Терминальный доступ
VPN
Электронная подпись
Доверенное время
Рутокен-Криптотуннель
Ideco МагПро ГОСТ-VPN
Защита электронной почты
Встраивание СКЗИ

VPN

VPN (Virtual Private Network – виртуальная частная сеть) – технология, разработанная для того, чтобы создавать надежно защищенные сети на базе инфраструктуры уже имеющейся сети (в частности, Интернет). Технология VPN необходима для объединения локальных сетей или отдельных машин, подключенных к сети общего пользования, в единую сеть, обеспечивающую секретность и целостность передаваемой по ней информации.

Безопасность в сетях VPN обеспечиваются путем шифрования передаваемых данных и использования ряда механизмов противодействия несанкционированному доступу. Таким образом, для сетей на базе технологии VPN характерны следующие основные вещи:

  • защита от несанкционированного доступа (аутентификация),

  • шифрование.

    С помощью VPN можно решать следующие задачи:

  • доступ удаленных сотрудников к внутренним ресурсам организации,

  • объединение разнесенных офисов в единую информационную сеть,

  • настройка работы межкорпоративного портала,

  • защита серфинга и т.д.

    Наше предложение по организации VPN – использование продукта OpenVPN-ГОСТ. Данный продукт предоставляет всю функциональность OpenVPN, но при этом в качестве "криптографического ядра" использует сертифицированное СКЗИ МагПро КриптоПакет.

    Решение прикладных задач

    Обеспечение защиты конфиденциальной информации при передаче через Интернет – такая задача рано или поздно встает перед любой организацией, которая внедряет IT-решения для автоматизации бизнес-процессов. Основными случаями обмена через Интернет являются:

  • доступ сотрудника на web-портал организации
  • доступ сотрудника на терминальный сервер организации
  • электронная почта
  • обмен файлами между организациями, в том числе трансграничный
  • объединение внутренних сетей филиалов организации в единую сеть
  • объединение частей корпоративных сетей нескольких организаций в единую сеть для ведения совместного проекта.
  • Основной проблемой Интернета как канала передачи информации является возможность атаки “man in the middle”. Злоумышленник подключается к линии между клиентом и сервером и подменяет передающуюся информацию. Возможны совершенно разные варианты этой атаки. Например, злоумышленник может "прикидываться" сервером и вводить клиента в заблуждение с целью извлечь выгоду из обмана. Следует отметить, что наиболее легко эту атаку может реализовать Интернет-провайдер. С целью обеспечения безопасного обмена разработаны различные протоколы защиты и созданы программные продукты, реализующие данные протоколы. Во всех подобных протоколах используются методы криптографии. Именно криптография позволяет:

  • провести строгую аутентификацию сервера
  • провести строгую аутентификацию клиента
  • обеспечить шифрование данных, которыми обмениваются клиент и сервер.
  • Эти меры позволяют успешно противостоять атаке "man in the middle".

    Защита на различных уровнях модели OSI

    Наиболее распространенной моделью представления стека сетевых протоколов является модель OSI. Упрощенная модель OSI представлена на рисунке.

    Что такое защита информации на каком-либо уровне модели OSI? Каждый последующий уровень сетевых пакетов инкапсулирован в предыдущем. То есть данные протокола прикладного уровня (например, HTTP) находится внутри пакета транспортного уровня (например, TCP), который находится внутри пакета сетевого уровня (например, IP), который находится внутри кадра канального уровня (например, кадра Ethernet).

    При защите информации на сетевом уровне шифруется содержимое пакета IP, то есть пакет TCP. В другом варианте защиты на сетевом уровне шифруется целый пакет IP и данный зашифрованный пакет в свою очередь инкапсулируется. Такая дополнительная инкапсуляция позволяет скрыть топологию сетей участников обмена.

    Следует отметить, что защита, например, на канальном уровне обеспечивает абсолютно "прозрачное" использование сетевого уровня.

    Канальный уровень

    Одним из программных продуктов, реализующих защиту на канальном уровне, является OpenVPN (www.openvpn.net). Данный продукт позволяет организовать закрытую сеть на базе Интернет. При подключении к такой сети клиент проходит процедуру строгой криптографической аутентификации по цифровому сертификату, что обеспечивает защиту от несанкционированного доступа к ресурсам сети. Кроме того, обеспечивается шифрование сетевого трафика при работе в сети. OpenVPN поддерживает режимы работы "мост" и "маршрутизатор". При работе в режиме "мост" происходит шифрование и инкапсуляция кадров Ethernet. Следует отметить, что если шифрование обеспечивает защиту от доступа к передаваемой информации, то из-за инкапсуляции злоумышленник не сможет выяснить адресата передаваемой информации.

    Рассмотрим задачи, которые возможно решить с помощью OpenVPN в режиме "мост".

    Подключение удаленного сотрудника к корпоративной ЛВС (VPN-шлюз)

    Решение данной задачи предполагает использование серверной части OpenVPN в качестве дополнительного шлюза в ЛВС организации. Сегмент ЛВС, доступный через VPN-шлюз, обычно называют доменом шифрования. Рабочие места и сервера, входящие в домен шифрования, не подключаются к VPN. При подключении к серверу OpenVPN клиент получает прозрачный доступ ко всем машинам, находящимся в домене шифрования. Получат ли подобный доступ к машине клиента машины из домена шифрования, зависит от настроек сервера OpenVPN.

    Объединение ЛВС филиалов организации в единую сеть

    Другой задачей, которую можно решить с помощью OpenVPN, является объединение ЛВС филиалов организации в единую сеть через Интернет. В этом случае сервера OpenVPN устанавливается в качестве дополнительных шлюзов в свои ЛВС, а затем соединяются между собой.

    Объединение сегментов ЛВС нескольких организаций в единую сеть для ведения совместного проекта (межкорпоративный портал)

    Основной проблемой при создании межкорпоративного портала является логическое разделение сети организации на два сегмента, один из которых предоставляет свой ресурс организациям парнерам, а другой закрыт для них. Для решения данной проблемы одна из организаций разворачивает на внешем адресе сервер OpenVPN. На все рабочие места и сервера, участвующие в портале, устанавливается клиент OpenVPN, и эти машины подключаются к серверу.

    Подключение к ЛВС удаленных пользователей с низким уровнем доверия

    Решение данной задачи требуется для сетей, к которым подключаются "внешние" пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных "рубежей" защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации.

    Создание нескольких логических сетей в одной физической сети

    Решение данной задачи требуется, например, когда надо разделить трафик между внутренними департаментами организации, которые обращаются к серверам из одного физического сегмента. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например, между рабочей станцией и сервером. Этот вариант похож на технологию VLAN, но вместо разделения трафика, используется его шифрование.

    Анонимный серфинг

    Под серфингом понимаются любые действия пользователя в Интернет. При этом интернет-провайдеру данного пользователя становятся известны web-сайты, на которые ходил пользователь; адресаты писем пользователя и т.п. Использование OpenVPN в качестве дополнительного "логического" шлюза в интернет, установленного на территории организации, в которой работает пользователь, обеспечивает анонимность серфинга.

    Доступ к серверу, не имеющему внешнего адреса (экономия внешних адресов)

    Сетевой уровень

    OpenVPN в режиме "маршрутизатор" обеспечивает защиту информации на сетевом уровне. При этом так же происходит строгая атуентификация участников обмена по цифровому сертификату, но шифруются и инкапсулируются IP-пакеты, а не кадры Ethernet. Спектр задач, которые можно решить таким способом, в общем, не отличается от спектра задач, решаемых с помощью OpenVPN в режиме "мост". Следует иметь в виду, что режим "маршрутизатор" является более производительным, чем режим "мост", но имеет и свои недостатки. В частности, не поддерживаются:

  • сетевые протоколы, отличные от IP
  • широковещательные запросы.
  • Сертифицированное решение

    В качестве "криптографического ядра" OpenVPN использует библиотеку OpenSSL. Фирмой Криптоком создана сертифицированная в ФСБ версия данной библиотеки – СКЗИ МагПро КриптоПакет. Кроме того, создан коммерческий продукт OpenVPN-ГОСТ. Данный продукт является полным аналогом OpenVPN, но все криптографические операции в нем производятся по алгоритмам ГОСТ 28147, ГОСТ 34.11-94, ГОСТ 34.10-2001 с использованием сертифицированного СКЗИ МагПро КриптоПакет.

     
    Copyright © ООО "Криптоком". 2001-2016. All Rights Reserved.