Вы находитесь в разделе Типовых решений систем безопасности
Как защитить беспроводную ,wi-fi, корпоративную сетьНа сегодняшний день все более широкое практическое использование находят беспроводные (Wi-Fi) внутриофисные (indoor) корпоративные сети. При этом корпоративная ЛВС может быть, как целиком построена на базе технологии WLAN (Wireless LAN), так и содержать в своем составе беспроводной сегмент (сегменты) корпоративной сети. При всех неоспоримых преимуществах технологии WLAN, связанных с передачей беспроводного трафика по радиоканалу, ее внедрение связано с возникновением источников угроз информационной безопасности, несвойственных проводным технологиям. Наличие подобных угроз при необходимости защищать конфиденциальную информацию, обрабатываемую в корпоративной сети предприятия (в сегменте сети), является существенным сдерживающим фактором практического использования Wi-Fi сетей в корпоративных приложениях. Рассмотрим одно из решений, позволяющих построить защищенную корпоративную VPN на базе технологии WLAN. Общие требования к корпоративной VPN Начиная разговор о построении, либо об использовании средства защиты, прежде всего, необходимо определиться с областью его практического применения (для чего оно создано, как следствие, чем определяется его потребительская стоимость), т.к. именно область практического использования диктует те требования к системному средству, которые должны быть реализованы разработчиком, дабы повысить потребительскую стоимость данного средства. Важнейшими условиями использования средств защиты в корпоративных приложениях (напомним, что в статье речь идет о построении внутриофисных (indoor) корпоративных сетей) является следующее:
Корпоративная VPN – это наложенная (виртуальная) на сеть общего пользования сетевая инфраструктура, ограниченная рамками корпорации. Подобную инфраструктуру в общем случае составляют локальные вычислительные средства, объединяемые в корпоративную локальную сеть, корпоративные локальные сети, объединяемые в единое коммуникационное пространство, к которому, кроме того, подключаются удаленные и мобильные пользователи. Хранение и обработка в рамках виртуальной (основанной на использовании каналов связи общего пользования) сети корпоративной информации требует ее защиты, состоящей в реализации разграничительной политики доступа к корпоративным ресурсам и в криптографической защите виртуальных (наложенных на существующее телекоммуникационное оборудование) каналов связи. С учетом всего сказанного ранее, попытаемся сформулировать общие требования к корпоративной VPN:
Реализация разграничительной политики доступа к корпоративным ресурсам Когда речь заходит о реализации разграничительной политики доступа к ресурсам, в первую очередь, необходимо определиться с тем, что же является субъектом и объектом доступа. Это позволит определить способ их идентификации. В общем случае, как объектом, так и субъектом доступа (как правило, в VPN субъект одновременно является и объектом доступа – он может обращаться и к нему могут обращаться) может выступать либо компьютер, при этом доступ разграничивается между компьютерами, либо пользователь, соответственно доступ разграничивается между пользователями. Универсальность корпоративной VPN достигается в том случае, когда в качестве субъекта и объекта может выступать как компьютер в составе корпоративной сети, так и пользователь – сотрудник предприятия. Это, а также сложность идентификации компьютеров в сети по адресам (требуются специальные устройства – координаторы сети, а это дополнительные затраты и дополнительная сложность администрирования) обусловливает целесообразность включения специальной сущности Идентификатор, никак не связанной ни с адресом компьютера, ни с учетной записью пользователя, используемой для идентификации субъектов и объектов VPN. В зависимости от способа хранения идентификатора субъекта/объекта (на компьютере, например, в реестре или в файле, либо на внешнем носителе, предоставляемом пользователю, например, на электронном ключе, либо на смарт-карте), т.е. его принадлежности (принадлежит компьютеру или пользователю), может быть реализована разграничительная политика доступа к ресурсам VPN для компьютеров или же для пользователей. Теперь, в двух словах, о пользователях. По разным причинам, они могут обладать различной степенью доверия, либо решать различные функциональные задачи. Поэтому пользователей целесообразно подразделять на пользователей с высоким и низким уровнями доверия. Пользователю с низким уровнем доверия целесообразно разрешить передачу информации только в рамках корпоративной сети, т.е. разрешить взаимодействие только с компьютерами в составе VPN, трафик в которой должен шифроваться. Пользователю с высоким уровнем доверия может потребоваться разрешить взаимодействие, как с компьютерами VPN (по защищенному каналу связи), так и с компьютерами внешней сети (здесь информация передается в открытом виде). Поскольку сущность Идентификатор в общем случае может присваиваться, как пользователю, так и компьютеру, то в двух режимах (с возможностью выхода в незащищенный сегмент сети и без такой возможности) могут использоваться и компьютеры корпоративной сети. Теперь, в двух словах, о реализации данного подхода. На компьютеры в составе VPN устанавливаются клиентские части, основу которых составляет сетевой драйвер. Клиентская часть блокирует какой-либо доступ в сеть (и из сети) до тех пор, пока не будет проведена идентификация (компьютера или пользователя, соответственно, идентификатор располагается либо на компьютере, либо на внешнем носителе у пользователя) на сервере VPN. При идентификации компьютера процедура осуществляется автоматически, для идентификации пользователя – ему необходимо ввести в компьютер идентификатор (например, вставить смарт-карту с идентификатором). После идентификации на сервере, в зависимости от уровня доверия, соответствующего идентификатору, клиентская часть позволит взаимодействие (компьютера или пользователя) либо только с компьютерами в составе VPN – на которых также установлена клиентская часть, информация при этом будет передаваться в шифрованном виде, либо же в защищенном режиме (с шифрованием трафика) с компьютерами VPN, в незащищенном (трафик не шифруется) – только с внешними по отношению к VPN компьютерами. Принадлежность компьютера к VPN определяется взаимодействием клиентских частей по защищенному протоколу. Таким образом, собственно виртуальная сеть (VPN) формируется из состава компьютеров, на которых установлена клиентская часть – только они могут взаимодействовать с иными компьютерами из состава ЛВС – это одно из важнейших условий использования технологии WLAN. Для подключения к VPN необходима идентификация компьютера, либо пользователя на сервере VPN. Настройка же разграничительной политики доступа внутри VPN (разграничение доступа между сущностями Идентификатор, которые могут присваиваться как компьютерам – разграничение между компьютерами, так и пользователя – разграничение между пользователями) осуществляется администратором на сервере (о том, как это делается, чуть ниже). Настройка и эксплуатация VPN заметно упрощаются. Например, для подключения к VPN мобильного пользователя в любой точке земного шара, достаточно наличия у него компьютера, подключенного к сети, на котором должна быть установлена клиентская часть VPN, и идентификатора, который ему выдаст администратор (мы пока говорим только о реализации разграничительной политики). Администратор же, создавая идентификатор, может соответствующим образом назначить уровень доверия и определить те идентификаторы (компьютеры или пользователей) с которыми в рамках VPN по защищенному протоколу сможет общаться мобильный пользователь. Никаких координаторов для этого не требуется, т.к. адрес (который может быть различным при каждом удаленном подключении компьютера к сети) не используется в качестве идентифицирующей сущности. Он фиксируется на сервере VPN средствами аудита, но это уже иной вопрос. Что же мы получаем в результате реализации данного решения. Установкой клиентских частей на компьютеры из состава VPN (заметим, что когда речь заходит о беспроводных сетях, то вся разграничительная политика доступа может быть реализована только распределено, т.е. непосредственно компьютерами, включенными в состав VPN), вне зависимости от используемого канала – проводная, либо беспроводная связь, и назначением для них соответствующих идентификаторов, обеспечивается возможность взаимодействия между собою только этих компьютеров – любое обращение со стороны внешнего компьютера к компьютеру из состава VPN блокируется (если компьютер из состава VPN не предназначен для связи с внешней сетью). Для компьютеров же из состава VPN, может быть задано разграничение прав доступа между субъектами (пользователями, либо компьютерами) уже собственно в составе корпоративной сети. Реализация криптографической защиты виртуальных каналов связи корпоративной сети Выше мы говорили, что основными требованиями к реализации криптографической защиты виртуальных каналов корпоративной сети являются: прозрачное автоматическое (принудительное для пользователя) шифрование виртуальных каналов корпоративной сети, централизованное генерирование ключей шифрования администратором (пользователь должен быть исключен из схемы администрирования и управления VPN), отсутствие ключа шифрования виртуальных каналов связи у пользователя и соответственно, невозможность доступа пользователя к ключам шифрования. Важным условием эффективности защиты беспроводных сетей является необходимость частой смены ключей шифрования виртуальных каналов, что обусловливается простотой перехвата информации, передаваемой по радиоканалу. Это, с учетом необходимости централизованного генерирования ключей для всех субъектов/объектов (определяемых идентификаторами) корпоративной сети, существенно усложняет задачу администрирования VPN. Подход к реализации ключевой политики, реализованный в ПО Корпоративная VPN Панцирь для ОС Windows 2000/XP/2003, состоит в следующем. Каждый субъект/объект VPN характеризуется парой признаков: идентификатор и ключ шифрования взаимодействия с сервером VPN (каждый субъект VPN имеет свой ключ шифрования взаимодействия с сервером VPN). Данная пара генерируется администратором при создании субъекта/объекта. Если субъектом/объектом VPN выступает компьютер, то идентификатор и ключ шифрования взаимодействия с сервером VPN заносятся на компьютер (в файл, либо в реестр) администратором при установке клиентской части (в процессе эксплуатации по усмотрению администратора данные параметры могут быть изменены), если же субъектом/объектом VPN выступает пользователь, то сгенерированная администратором пара признаков: идентификатор и ключ шифрования взаимодействия с сервером VPN, выдаются пользователю администратором на внешнем носителе (Flash-устройство, электронный ключ, смарт-карта). До момента идентификации субъекта/объекта клиентской частью VPN на сервере, на компьютере не хранится какой-либо информации о ключах шифрования виртуальных каналов. Ключи шифрования виртуальных каналов генерируются сервером при идентификации субъектов/объектов VPN автоматически, т.е. даже администратор безопасности не обладает ключевой информацией. Осуществляется это следующим образом. При идентификации субъекта/объекта VPN на сервере, для идентифицируемого субъекта/объекта сервером автоматически генерируются ключи шифрования (каждая пара взаимодействующих субъектов/объектов VPN имеет свой ключ шифрования) с другими субъектами/объектами VPN. Данная информация (ключи шифрования данного компьютера с другими активными компьютерами в составе VPN) сервером в зашифрованном виде передается на идентифицированный компьютер (идентифицированному пользователю), где хранится в оперативной памяти – эта информация не доступна пользователю. Одновременно на все остальные активные (идентифицированные ранее) компьютеры из состава VPN сервером выдаются сгенерированные ключи шифрования для взаимодействия с вновь идентифицированным субъектом/объектом. Таким образом, в каждый момент времени в оперативной памяти идентифицированного компьютера в составе VPN хранится таблица с ключами шифрования трафика с другими активными (идентифицированными) компьютерами в составе VPN (для каждой пары этот ключ свой). Данная таблица пополняется после идентификации каждого последующего субъекта/объекта. Смена ключа шифрования осуществляется сервером автоматически при каждой последующей идентификации субъекта/объекта. Таким образом, вся процедура генерации ключевых пар полностью автоматизирована, не требует участия администратора безопасности, ключи шифрования виртуальных каналов VPN не доступны не только пользователям корпоративной сети, но и администратору. Разграничение же доступа между субъектами/объектами в составе VPN (о чем упоминалось ранее) реализуется тем, что при идентификации субъекта/объекта ему передаются ключи шифрования виртуальных каналов только с теми активными субъектами/объектами, с которыми администратором разрешено взаимодействие данному субъекту/объекту. Клиентская же часть VPN, установленная на компьютере в составе VPN, позволит осуществлять с него взаимодействие только с теми активными субъектами/объектами, для взаимодействия с которыми получены соответствующие ключи шифрования с сервера VPN. Что же мы получаем в результате реализации данного решения. В состав VPN вводится сервер, который также может взаимодействовать только с компьютерами из состава VPN. Данный сервер может резервироваться с автоматической репликацией базы и автоматическим включением при недоступности основного сервера. На сервере VPN автоматически генерируются ключи шифрования для каждой пары компьютеров из состава VPN, при каждой идентификации данных компьютеров. Данные ключи для каждого компьютера (его ключи для взаимодействия с другими компьютерами VPN) загружаются с сервера автоматически при идентификации компьютера. На компьютере VPN и хранятся в оперативной памяти – они недоступны пользователю. Трафик при обращении к компьютеру из состава VPN автоматически шифруется – пользователь не может передать данные внутри VPN в открытом виде. Весь трафик между компьютером из состава VPN и сервером VPN шифруется ключом шифрования взаимодействия с сервером VPN (каждый субъект VPN имеет свой ключ шифрования взаимодействия с сервером VPN, который генерируется на сервере автоматически при создании администратором субъекта VPN, этот ключ в любой момент может быть изменен администратором). Остаются вопросы, каким образом могут храниться идентификаторы, какова криптостойкость защиты (какие подключаются алгоритмы шифрования) и один из ключевых вопросов для средств защиты, предназначенных для корпоративных приложений – насколько сложно администрирование системы. Все эти вопросы рассмотрим далее. Администрирование. Интерфейсы Ранее мы неоднократно отмечали, что важнейшей задачей разработчика средств защиты для корпоративных приложений является упрощение администрирования. Это может достигаться автоматизацией наиболее трудоемких задач администрирования. Рассмотрим на конкретной разработке, как эта задача может быть решена на практике. Как ранее говорили, в своем составе ПО Корпоративная VPN Панцирь для ОС Windows 2000/XP/2003 содержит: клиентские части, устанавливаемые на компьютеры, включаемые в состав VPN, серверные части (основная и резервная), устанавливаемые на выделенные компьютеры, АРМ администратора безопасности, может устанавливаться как на отдельном компьютере, так и на сервере VPN. Теперь об администрировании. На сервере необходимо создать базу субъектов/объектов VPN. Это реализуется из интерфейса серверной части, приведенного на рис. Для каждого созданного субъекта необходимо указать доверенный он (тогда ему разрешается взаимодействие с внешней сетью), либо нет, также для задания системного субъекта существует сущность резервный сервер. Для созданных субъектов сервером VPN автоматически генерируются его идентификатор и ключ шифрования взаимодействия с сервером VPN, которые необходимо сохранить на внешнем носителе (либо на Flash-устройстве, если субъектом выступает компьютер, либо на одном из выбранных носителей – электронный ключ или карта, может быть также и Flash-устройство), если субъектом выступает пользователь. Данное устройство будет затем использоваться пользователем для его идентификации, с целью получения доступа к виртуальным каналам VPN. Данное устройство впоследствии администратору необходимо будет передать соответствующему сотруднику предприятия (пользователю). Кроме того, необходимо настроить системные параметры сервера, см. рис.1, задать алгоритм шифрования виртуальных каналов в VPN, см. рис.2, способ хранения и ввода идентифицирующих субъекта данных, см. рис. На клиентской части необходимо задать алгоритм шифрования виртуальных каналов в VPN, способ хранения и ввода идентифицирующих субъекта данных способа хранения и ввода идентифицирующих субъекта данных, параметры взаимодействия с основным и резервным серверами VPN, см. рис. Рис. Настройка сервера VPN Рис. Задание алгоритма шифрования в VPN на сервере Рис. Задание способа хранения и ввода идентифицирующих субъекта данных Рис. Задание параметров сервера VPN на клиентской части После того, как субъекты/объекты доступа созданы, может быть настроена разграничительная политика доступа в составе VPN, что реализуется на сервере из интерфейса, приведенного на рис. Рис. Задание разграничительной политики в составе VPN Для этого в левой части интерфейса следует выбрать субъект, для которого необходимо разграничить доступ (это может быть пользователь, либо компьютер). Субъектом может выступать и концентрирующий элемент (папка на интерфейсе), например, для всех компьютеров (или сотрудников) одного филиала, отдела. В правой части, где также отображаются субъекты/объекты VPN, следует выбрать объекты (это также могут быть пользователи, либо компьютеры, в качестве объектов также могут выступать папки), к которым следует разрешить, либо запретить (в зависимости от реализуемой разграничительной политики – разрешительная или запретительная) доступ для выбранного субъекта. Все весьма просто и наглядно. Настройка корпоративной VPN завершена. Если субъектами доступа являются пользователи (не компьютеры), то после установки клиентской части на компьютер пользователя и настройки системных параметров (параметров взаимодействия с сервером VPN, способа хранения и ввода идентифицирующей информации), администратор должен передать пользователю электронный ключ (карту) с идентификационными данными и ключом шифрования взаимодействия с сервером VPN (эти данные администратор всегда сможет изменить на сервере, соответственно передав их затем пользователю). В процессе функционирования, от пользователя (если он, а не компьютер, является субъектом VPN) требуется лишь подключать электронный ключ (карту) к компьютеру для идентификации, с целью получения доступа к сети, от администратора же вообще не требуется никаких дополнительный действий (все ключи шифрования между каждой парой субъектов на сервере генерируются автоматически, при каждом подключении компьютера VPN к серверу VPN). Администратору остается только осуществлять функции контроля работы пользователей в VPN с использованием соответствующих средств аудита. Кроме того, он может осуществлять необходимые текущие оперативные действия по управлению VPN, например, временно заблокировать идентификатор (субъект/объект) – вывести его из состава корпоративной VPN, изменить статус субъекта и т.д. Заметим, что рассматриваемое средство защиты характеризуется весьма широким спектром (универсальностью), как подключаемых криптоалгоритмов (см. рис. , так и возможностями хранения и ввода идентификационных данных и ключа (см. рис. . В порядке замечания отметим, что целью данной работы не являлось детальное описание какого-либо конкретного средства защиты. Мы постарались сформулировать, как общие требования к построению корпоративной VPN (ориентируясь на особенности данной области приложений средства защиты), так и требования, реализация которых необходимо при построении беспроводной защищенной ЛВС (либо беспроводного сегмента), а также рассмотреть подходы к решению одной из ключевых задач реализации средства защиты в данных приложениях – задачи упрощения администрирования. На наш взгляд, при всем многообразии на рынке, средств построения VPN именно для корпоративных приложений на сегодняшний день очень мало – единицы. Большинство решений может в той или иной мере эффективно использоваться для построения частных VPN – для личного использования. Те же средства, которые ориентированы на корпоративное использование, отличаются высокой сложностью не только собственно средств защиты, но и их администрирования. Кроме того, большинство подобных средств предназначено для защиты корпоративных проводных сетей. В заключение отметим, что VPN для корпоративных приложений является лишь одной из компонент комплекса средств защиты, правда, очень важной, а, при реализации беспроводной корпоративной сети, просто необходимой. Помимо этого, в данных приложениях существует множество иных задач защиты, в частности, защита от НСД к информационным и к системным компьютерным ресурсам, без реализации которой нельзя говорить об обеспечении какого-либо уровня безопасности вычислительного средства (т.е. собственно компьютера), криптографическая защита данных, сохраняемых на жестком диске и на внешних накопителях (монтируемых устройствах) и т.д. Другими словами, эффективная защита может быть обеспечена лишь в случае реализации комплексного подхода к защите, как от внутренних, так и от внешних ИТ-угроз. Одно из возможных комплексных решений состоит в совместном использовании двух продуктов ЗАО НПП Информационные технологии в бизнесе: рассмотренной в данной статье ПО Корпоративная VPN Панцирь для ОС Windows 2000/XP/2003, и Комплексной системы защиты информации (КСЗИ) Панцирь-К для ОС Windows 2000/XP/200 Однако рассмотрение вопросов комплексной защиты корпоративных ресурсов выходит за рамки настоящей работы. Читайте далее: 11 - 15 февраля 2008 года 18 - 24 февраля 2008 года 17 - 23 марта 2008 года 21 - 27 апреля 2008 года ,рынок безопасности, 28 - 30 апреля 2008 года ,рынок it, 01 - 04 мая 2008 года ,рынок безопасности, 05 - 11 мая 2008 года ,рынок it, 19 - 25 мая 2008 года ,рынок it, Кто там? Сколько может стоить безопасность? Особенности национального монтажа Заземление в системах промышленной автоматизации. часть 2 ,окончание, Использование расчетов on-line при выборе и подключении источников питания постоянного напряжения ох Г-образный четырехполюсник как модель элементов систем безопасности при поиске неисправности Выставка ifsec 2008 ,41 - 50,
|