Защита информации, передаваемой по каналам связи

Защита информации, передаваемой по каналам связи

При межсетевом взаимодействии между территориально удаленными объектами  компании возникает задача обеспечения  безопасности информационного обмена между клиентами и серверами  различных сетевых служб. Сходные  проблемы имеют место и в беспроводных локальных сетях (Wireless Local Area Network, WLAN), а также при доступе удаленных абонентов к ресурсам корпоративной информационной системы. В качестве основной угрозы здесь рассматривается несанкционированное подключение к каналам связи и осуществление перехвата (прослушивания) информации и модификация (подмена) передаваемых по каналам данных (почтовые сообщения, файлы и т.п.).

Для защиты данных, передаваемых по указанным каналам связи, необходимо использовать соответствующие средства криптографической защиты. Криптопреобразования могут осуществляться как на прикладном уровне (или на уровнях между протоколами  приложений и протоколом TCP/IP), так  и на сетевом (преобразование IP-пакетов).

В первом варианте шифрование информации, предназначенной для  транспортировки по каналу связи  через неконтролируемую территорию, должно осуществляться на узле-отправителе (рабочей станции - клиенте или  сервере), а расшифровка - на узле-получателе. Этот вариант предполагает внесение существенных изменений в конфигурацию каждой взаимодействующей стороны (подключение средств криптографической защиты к прикладным программам или коммуникационной части операционной системы), что, как правило, требует больших затрат и установки соответствующих средств защиты на каждый узел локальной сети. К решениям данного варианта относятся протоколы SSL, S-HTTP, S/MIME, PGP/MIME, которые обеспечивают шифрование и цифровую подпись почтовых сообщений и сообщений, передаваемых с использованием протокола http.

Второй вариант предполагает установку специальных средств, осуществляющих криптопреобразования в точках подключения локальных  сетей и удаленных абонентов  к каналам связи (сетям общего пользования), проходящим по неконтролируемой территории. При решении этой задачи необходимо обеспечить требуемый уровень  криптографической защиты данных и  минимально возможные дополнительные задержки при их передаче, так как  эти средства туннелируют передаваемый трафик (добавляют новый IP-заголовок  к туннелируемому пакету) и используют различные по стойкости алгоритмы  шифрования.

В связи с тем, что средства, обеспечивающие криптопреобразования на сетевом уровне полностью совместимы с любыми прикладными подсистемами, работающими в корпоративной  информационной системе (являются «прозрачными»  для приложений), то они наиболее часто и применяются. Поэтому, остановимся  в дальнейшем на данных средствах  защиты информации, передаваемой по каналам  связи (в том числе и по сетям  общего доступа, например, Internet).

Необходимо учитывать, что  если средства криптографической защиты информации планируются к применению в государственных структурах, то вопрос их выбора должен решаться в  пользу сертифицированных в России продуктов.

Решения на базе сертифицированных криптошлюзов

Для реализации второго варианта и обеспечения конфиденциальности и достоверности информации, передаваемой между объектами компании по каналам  связи, можно использовать сертифицированные  криптошлюзы (VPN-шлюзы). Например, Континент-К, VIPNet TUNNEL, ЗАСТАВА-Офис компаний НИП «Информзащита», Инфотекс, Элвис+. Эти устройства обеспечивают шифрование передаваемых данных (IP-пакетов) в соответствии с ГОСТ 28147-89, а также скрывают структуру локальной сети, защищают от проникновения извне, осуществляют маршрутизацию трафика и имеют сертификаты Гостехкомиссии РФ и ФСБ (ФАПСИ).

Криптошлюзы позволяют осуществить защищенный доступ удаленных абонентов к ресурсам корпоративной информационной системы (рис.1). Доступ производится с использованием специального программного обеспечения, которое устанавливается на компьютер пользователя (VPN-клиент) для осуществления защищенного взаимодействия удаленных и мобильных пользователей с криптошлюзом. Программное обеспечение криптошлюза (сервер доступа) проводит идентификацию и аутентификацию пользователя и осуществляет его связь с ресурсами защищаемой сети.

С помощью криптошлюзов можно формировать виртуальные защищенные каналы в сетях общего пользования (например, Internet), гарантирующие конфиденциальность и достоверность информации и организовывать виртуальные частные сети (Virtual Private Network – VPN), которые представляют собой объединение локальных сетей или отдельных компьютеров, подключенных к сети общего пользования в единую защищенную виртуальную сеть. Для управления такой сетью обычно используется специальное программное обеспечение (центр управления), которое обеспечивает централизованное управление локальными политиками безопасности VPN-клиентов и криптошлюзов, рассылает для них ключевую информацию и новые конфигурационные данные, обеспечивает ведение системных журналов.

Криптошлюзы могут поставляться как программные решения, так и как аппаратно-программные комплексы. К сожалению, большинство из сертифицированных криптошлюзов не поддерживает протокол IPSec и, поэтому они функционально не совместимы с аппаратно-программными продуктами других производителей.

Решения на базе протокола  IPSec

Протокол IP Security (IPSec) является базовым для построения систем безопасности сетевого уровня, представляет собой набор открытых международных стандартов и поддерживается большинством производителей решений по защите сетевой инфраструктуры.

Протокол IPSec позволяет организовать на сетевом уровне потоки защищенных и аутентичных данных (IP-пакетов) между различными взаимодействующими принципалами, включая компьютеры, межсетевые экраны, маршрутизаторы, и обеспечивает:

• аутентификацию, шифрование и целостность передаваемых данных (IP- пакетов);
• защиту от повторной передачи пакетов (replay attack);
• создание, автоматическое обновление и защищенное распространение криптографических ключей;
• использование широкого набора алгоритмов шифрования (DES, 3DES, AES) и механизмов контроля целостности данных (MD5, SHA-1). Существуют программные реализации протокола IPSec, использующие российские алгоритмы шифрования (ГОСТ 28147-89), хеширования (ГОСТ Р 34.11-94), электронной цифровой подписи (ГОСТ Р 34.10-94);
• аутентификацию объектов сетевого взаимодействия на базе цифровых сертификатов.

Текущий набор стандартов IPSec включает в себя базовые спецификации, определенные в документах RFC (RFC 2401-2412, 2451). Request for Comments (RFC) – серия документов группы Internet Engineering Task Force (IETF), начатая в 1969 году и содержащая описания набора протоколов Internet. Архитектура системы определена в RFC 2401 «Security Architecture for Internet Protocol», а спецификации основных протоколов в следующих RFC:

• RFC 2402 «IP Authentication Header» - спецификация протокола AH, обеспечивающего целостность и аутентификацию источника передаваемых IP-пакетов;
• RFC 2406 «IP Encapsulating Security Payload» - спецификация протокола ESP, обеспечивающая конфиденциальность (шифрование), целостность и аутентификацию источника передаваемых IP-пакетов;
• RFC 2408 «Internet Security Association and Key Management Protocol» - спецификация протокола ISAKMP, обеспечивающего согласование параметров, создание, изменение, уничтожение защищенных виртуальных каналов (Security Association – SA) и управление необходимыми ключами;
• RFC 2409 «The Internet Key Exchange» - спецификация протокола IKE (включает в себя ISAKMP), обеспечивающего согласование параметров, создание, изменение и уничтожение SA, согласование, генерацию и распространение ключевого материала, необходимого для создания SA.

Протоколы AH и ESP могут использоваться как совместно, так и отдельно. Протокол IPSec для обеспечения безопасного сетевого взаимодействия использует симметричные алгоритмы шифрования и соответствующие ключи. Механизмы генерации и распространения таких ключей предоставляет протокол IKE.

Защищенный виртуальный  канал (SA) – важное понятие в технологии IPSec. SA – направленное логическое соединение между двумя системами, поддерживающими протокол IPSec, которое однозначно идентифицируется следующими тремя параметрами:

• индексом защищенного соединения (Security Parameter Index, SPI – 32- битная константа, используемая для идентификации различных SA c одинаковыми IP- адресом получателя и протоколом безопасности);
• IP-адресом получателя IP-пакетов (IP Destination Address);
• протоколом безопасности (Security Protocol – один из AH или ESP протоколов).

В качестве примера, на рис.2 приводится решение удаленного доступа  по защищенному каналу компании Cisco Systems на базе протокола IPSec. 
На компьютер удаленного пользователя устанавливается специальное программное обеспечение Cisco VPN Client. Существуют версии данного программного обеспечения для различных операционных систем – MS Windows, Linux, Solaris.

Cisco VPN Client взаимодействует с Cisco VPN Series 3000 Concentrator и создает защищенное соединение, которое называется IPSec-туннелем, между компьютером пользователя и частной сетью, находящейся за VPN-концентратором.

VPN-концентратор представляет  собой устройство, которое терминирует  IPSec-туннели от удаленных пользователей  и управляет процессами установки  защищенных соединений с VPN-клиентами,  установленными на компьютерах  пользователей.

К недостаткам такого решения  можно отнести отсутствие поддержки  компанией Cisco Systems российских алгоритмов шифрования, хеширования и электронной цифровой подписи.

Литература

1. Константин Кузовкин. Удаленный доступ к информационным ресурсам. Аутентификация. Директор информационной службы, 2003, № 9.
2. Michael Wenstrom. Managing Cisco Network Security. Cisco Press, 2001.
3. Константин Кузовкин. Защищенная платформа для Web-приложений. Открытые системы, 2001, № 4.
4. Алексей Лукацкий. Неизвестная VPN. Компьютер-Пресс, 2001, № 10.