Защита информации в Интернет
Введение
Защита на различных уровнях модели OSI
Канальный уровень
- Подключение удаленного сотрудника к корпоративной ЛВС (VPN-шлюз)
- Объединение ЛВС филиалов организации в единую сеть
- Объединение сегментов ЛВС нескольких организаций в единую сеть для
ведения совместного проекта (межкорпоративный портал)
- Подключение к ЛВС удаленных пользователей с низким уровнем доверия
- Создание нескольких логических сетей в одной физической сети
- Анонимный серфинг
- Доступ к серверу, не имеющему внешнего адреса (экономия внешних адресов)
- Сетевой уровень
- Сертифицированное решение
- Транспортный уровень
- Сертифицированное решение
Введение
Обеспечение защиты конфиденциальной информации при передаче через
Интернет – такая задача рано или поздно встает перед любой организацией,
которая внедряет IT-решения для автоматизации бизнес-процессов.
Основными случаями обмена через Интернет являются:
доступ сотрудника на web-портал организации
доступ сотрудника на терминальный сервер организации
электронная почта
обмен файлами между организациями, в том числе трансграничный
объединение внутренних сетей филиалов организации в единую сеть
объединение частей корпоративных сетей нескольких организаций в единую сеть для ведения совместного проекта.
Основной проблемой Интернета как канала передачи информации является
возможность атаки “man in the middle”. Злоумышленник подключается к линии
между клиентом и сервером и подменяет передающуюся информацию. Возможны
совершенно разные варианты этой атаки. Например, злоумышленник может "прикидываться"
сервером и вводить клиента в заблуждение с целью извлечь выгоду из обмана.
Следует отметить, что наиболее легко эту атаку может реализовать Интернет-провайдер.
С целью обеспечения безопасного обмена разработаны различные протоколы защиты и
созданы программные продукты, реализующие данные протоколы.
Во всех подобных протоколах используются методы криптографии. Именно криптография позволяет:
провести строгую аутентификацию сервера
провести строгую аутентификацию клиента
обеспечить шифрование данных, которыми обмениваются клиент и сервер.
Эти меры позволяют успешно противостоять атаке "man in the middle".
Защита на различных уровнях модели OSI
Наиболее распространенной моделью представления стека сетевых протоколов
является модель OSI. Упрощенная модель OSI представлена на рисунке.
Что такое защита информации на каком-либо уровне модели OSI? Каждый последующий
уровень сетевых пакетов инкапсулирован в предыдущем. То есть данные протокола
прикладного уровня (например, HTTP) находится внутри пакета транспортного уровня
(например, TCP), который находится внутри пакета сетевого уровня (например, IP),
который находится внутри кадра канального уровня (например, кадра Ethernet).
При защите информации на сетевом уровне шифруется содержимое пакета IP,
то есть пакет TCP. В другом варианте защиты на сетевом уровне шифруется целый пакет
IP и данный зашифрованный пакет в свою очередь инкапсулируется. Такая дополнительная
инкапсуляция позволяет скрыть топологию сетей участников обмена.
Следует отметить, что защита, например, на канальном уровне обеспечивает абсолютно
"прозрачное" использование сетевого уровня.
Канальный уровень
Одним из программных продуктов, реализующих защиту на канальном уровне,
является OpenVPN (www.openvpn.net). Данный продукт позволяет организовать
закрытую сеть на базе Интернет. При подключении к такой сети клиент проходит
процедуру строгой криптографической аутентификации по цифровому сертификату,
что обеспечивает защиту от несанкционированного доступа к ресурсам сети.
Кроме того, обеспечивается шифрование сетевого трафика при работе в сети.
OpenVPN поддерживает режимы работы "мост" и "маршрутизатор". При работе в
режиме "мост" происходит шифрование и инкапсуляция кадров Ethernet.
Следует отметить, что если шифрование обеспечивает защиту от доступа к
передаваемой информации, то из-за инкапсуляции злоумышленник не сможет
выяснить адресата передаваемой информации.
Рассмотрим задачи, которые возможно решить с помощью OpenVPN в режиме "мост".
Подключение удаленного сотрудника к корпоративной ЛВС (VPN-шлюз)
Решение данной задачи предполагает использование серверной части OpenVPN
в качестве дополнительного шлюза в ЛВС организации. Сегмент ЛВС, доступный
через VPN-шлюз, обычно называют доменом шифрования. Рабочие места и сервера,
входящие в домен шифрования, не подключаются к VPN. При подключении к
серверу OpenVPN клиент получает прозрачный доступ ко всем машинам,
находящимся в домене шифрования. Получат ли подобный доступ к машине
клиента машины из домена шифрования, зависит от настроек сервера OpenVPN.
Объединение ЛВС филиалов организации в единую сеть
Другой задачей, которую можно решить с помощью OpenVPN, является объединение
ЛВС филиалов организации в единую сеть через Интернет. В этом случае сервера OpenVPN
устанавливается в качестве дополнительных шлюзов в свои ЛВС, а затем соединяются между собой.
Объединение сегментов ЛВС нескольких организаций в единую сеть для
ведения совместного проекта (межкорпоративный портал)
Основной проблемой при создании межкорпоративного портала является логическое
разделение сети организации на два сегмента, один из которых предоставляет свой ресурс
организациям парнерам, а другой закрыт для них. Для решения данной проблемы одна из
организаций разворачивает на внешем адресе сервер OpenVPN. На все рабочие места и
сервера, участвующие в портале, устанавливается клиент OpenVPN, и эти машины подключаются к серверу.
Подключение к ЛВС удаленных пользователей с низким уровнем доверия
Решение данной задачи требуется для сетей, к которым подключаются "внешние"
пользователи (например, заказчики или клиенты). Уровень доверия к ним намного
ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных "рубежей"
защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации.
Создание нескольких логических сетей в одной физической сети
Решение данной задачи требуется, например, когда надо разделить трафик
между внутренними департаментами организации, которые обращаются к серверам
из одного физического сегмента. Особенность данного варианта в том, что VPN строится
между узлами, находящимися, как правило, в одном сегменте сети, например, между
рабочей станцией и сервером. Этот вариант похож на технологию VLAN, но вместо разделения
трафика, используется его шифрование.
Анонимный серфинг
Под серфингом понимаются любые действия пользователя в Интернет. При этом интернет-провайдеру
данного пользователя становятся известны web-сайты, на которые ходил пользователь;
адресаты писем пользователя и т.п.
Использование OpenVPN в качестве дополнительного "логического" шлюза в интернет, установленного
на территории организации, в которой работает пользователь, обеспечивает анонимность серфинга.
Доступ к серверу, не имеющему внешнего адреса (экономия внешних адресов)
Сетевой уровень
OpenVPN в режиме "маршрутизатор" обеспечивает защиту информации на сетевом уровне.
При этом так же происходит строгая атуентификация участников обмена по цифровому сертификату,
но шифруются и инкапсулируются IP-пакеты, а не кадры Ethernet.
Спектр задач, которые можно решить таким способом, в общем, не отличается от
спектра задач, решаемых с помощью OpenVPN в режиме "мост". Следует иметь в виду, что
режим "маршрутизатор" является более производительным, чем режим "мост", но имеет и свои недостатки.
В частности, не поддерживаются:
сетевые протоколы, отличные от IP
широковещательные запросы.
Сертифицированное решение
В качестве "криптографического ядра" OpenVPN использует библиотеку OpenSSL.
Фирмой Криптоком создана сертифицированная в ФСБ версия данной библиотеки – СКЗИ МагПро КриптоПакет.
Кроме того, создан коммерческий продукт OpenVPN-ГОСТ. Данный продукт является полным аналогом OpenVPN,
но все криптографические операции в нем производятся по алгоритмам ГОСТ 28147-89, ГОСТ 34.11-2012, ГОСТ 34.10-2012
с использованием сертифицированного СКЗИ МагПро КриптоПакет.
Транспортный уровень
Транспортные соединения используются для доступа к конкретному сетевому сервису,
например web-сайту, терминальному серверу, почтовому серверу, серверу базы данных и т.п.
Логические "концы" соединения называются портами.
Защита соединений на транспортном уровне (TCP-соединений) осуществляется по протоколу
SSL/TLS. После установки транспортного соединения клиент инициирует процедуру "рукопожатия"
с сервером. В результате этой процедуры происходит аутентификация сервера и клиента
по цифровому сертификату, стороны договариваются об используемых алгоритмах шифрования –
шифрсьютах. Шифрсьюты специальным образом "привязываются" к портам защищаемого соединения.
Благодаря этому, все данные, попадающие в настроенный таким образом транспортный канал,
шифруются отправителем и расшифровываются адресатом.
Для реализации защиты транспортного соединения приложение, осуществляющее обмен,
должно использовать криптографическую библиотеку, реализующую SSL/TLS.
Часто бывает, что приложение было написано без защиты, или же используемые им шифрсьюты
не удовлетворяют требованиям к безопасности. Например, все web-браузеры и web-сервера
используют для защиты шифрсьюты, реализованные по импортным алгоритмам,
а в РФ ФСБ требует в ряде случаев использовать шифрсьюты, реализованные по ГОСТ.
Для решения указанной проблемы модуль обеспечения безопасности канала
следует отделить от приложения. Существенным плюсом данной схемы является то,
что сами приложения не приходится модифицировать.
Именно такую схему можно реализовать с помощью продуктов КриптоТуннель.
Использование этих продуктов позволяет обеспечить защиту практически любых прикладных протоколов и приложений, как-то:
доступ к web-сайту по HTTP
файловый обмен по WebDAV
терминальный доступ по RDP (Remote Desktop)
электронная почта (SMTP, POP3, IMAP)
доступ к базе данных по SQL
общие папки по NFS
произвольный обмен по TCP-соединению (без динамического открытия портов).
Сертифицированное решение
Представленные средства защиты транспортного уровня являются исполнениями
СКЗИ МагПро КриптоПакет, сертифицированного в ФСБ, и поэтому
удовлетворяют всем требованиям регуляторов безопасности.
|