Дмитрий Костров

Тема данной статьи не нова - бум технологии построения виртуальных частных сетей (Virtual Private Network, VPN) уже прошел. Однако в России этот процесс развивался весьма однобоко. На нашем рынке существует целый сонм различных средств для создания VPN с применением криптографии, но как услуга эта технология у нас практически не используется.

Общее определение виртуальной частной сети таково: это выделенная сеть на базе общедоступной сети, которая поддерживает конфиденциальность за счет использования туннелирования и других процедур защиты. Более полно VPN определяется как среда для организации процесса шифрования или инкапсулирования информации, безопасным образом передаваемой затем из одной точки в другую. При этом безопасность передачи через открытую, незащищенную, маршрутизируемую сеть связи может обеспечиваться устойчивой технологией шифрования.

Временем появления термина VPN как устоявшегося принято считать начало 1997 г., хотя технологии транспортировки шифрованного или инкапсулированного потока информации использовались и до того. Функционально VPN можно представить как комплекс процессов, обеспечивающих отправку и прием защищенных данных из одной точки в другую через незащищенную сеть (например, Интернет).

 

Отечественные средства защиты для VPN

Перечень наиболее популярных отечественных средств защиты для VPN, использующих национальные устройства шифрования, выглядит так:

  • аппаратно-программный комплекс "Континент-К";
  • аппаратно-программный комплекс "ШИП";
  • программный комплекс "Игла-П";
  • аппаратно-программный комплекс "Домен-К";
  • криптографический IP-маршрутизатор для MS-DOS;
  • криптографический комплекс Net-PRO IP Gateway;
  • комплекс ФПСУ-IP;
  • VPN-продукты серии "Застава";
  • комплекс кодирования межсетевых потоков "Тропа-Джет";
  • комплекс "Брус-К";
  • криптомаршрутизатор Citadel VPN.

Разнообразие во всем

Способов классификации VPN несколько. Так, по назначению сетей выделяют территориально-распределенные интрасети; экстрасети; внутренние частные сети компании; сети удаленного доступа.

Многие производители средств для создания VPN проводят собственную классификацию типов таких сетей. Например, их делят на удаленные VPN (предоставляющие доступ мобильным пользователям и удаленным офисам к сети компании, рис. 1), интрасети, которые связывают центральный и удаленные офисы (рис. 2), и экстрасети, объединяющие компанию с ее партнерами и клиентами (рис. 3).

Fig.1
Рис. 1. Пример удаленной VPN.

Fig.2
Рис. 2. Пример интрасети VPN.

Fig.3
Рис. 3. Пример экстрасети VPN.

Столь же популярна классификация VPN по типу используемого для создания сети оборудования, программного обеспечения или архитектуры. Выделяют, например, сети, построенные на основе межсетевого экрана; маршрутизатора; "черного ящика"; оборудования удаленного доступа; VPN для удаленного доступа; прокси-сервера; программного обеспечения.

Существует еще несколько способов классификации виртуальных частных сетей, наиболее емкий из которых - по применяемым в них способам транспортировки информации. В этом случае они подразделяются на доверенные, защищенные, гибридные и аутсорсинговые, или провайдерские VPN. Аутсорсинговыми называют те VPN, которые полностью управляются компаниями-аутсорсерами, например, сервис-провайдерами.

 

Требования к различным видам VPN

Доверенная VPN включает набор различных маршрутов и данные, передаваемые по этим маршрутам. Никто, кроме доверенного провайдера, не должен иметь возможность конфигурировать оборудование в доверенных VPN. Если такая VPN состоит из сегментов разных сетей, принадлежащих разным провайдерам, то соглашение о конфиденциальности должно быть заключено с каждым из них.

Весь трафик, передаваемый по защищенной VPN, должен быть аутентифицирован и зашифрован. Все точки защищенной сети должны иметь согласованные политики безопасности. Такая сеть обычно имеет один или несколько туннелей, а каждый из них - две точки связности.

В гибридных VPN защищенная сеть может быть подсетью большой доверенной VPN (например, сеть одного подразделения в общей сети компании). Разграничение по адресам защищенной VPN, созданной на базе доверенной VPN, должно быть как можно более ясным и четким.

В аутсорсинговых VPN все элементы услуг, предоставляемых провайдером, который создает VPN, должны быть ясны и понятны клиентам. Должны быть оговорены и уровни услуг, например, SLA (Service Level Agreement). Так как администратор VPN не может контролировать всю сеть, то провайдер обязан извещать его обо всех возможных проблемах и изменениях, касающихся данной VPN.

Доверенные сети

К доверенным VPN относятся виртуальные сети, построенные без использования шифрования на базе специализированных протоколов инкапсуляции, таких, как L2F, L2TP, MPLS, GRE (Generic Routing Encapsulation), а также сети на основе инкапсуляции IP в протоколы Х.25, Frame Relay (FR) и ATM. Следует отметить, что VPN на базе протоколов L2F, L2TP и PPTP обычно обозначают VPDN.

L2F (Layer-2 Forwarding) - протокол, разработанный Cisco Systems (http://www.cisco.com) при поддержке компаний Shiva и Northern Telecom в 1996 г. В нем не специфицируются конкретные методы аутентификации и шифрования. Для удаленного доступа к провайдеру Интернета в нем определен не только PPP, но и другие протоколы, например, SLIP. Кроме того, его можно использовать в сочетании с протоколом PPTP (Point-to-Point Tunneling Protocol), созданным компанией Microsoft.

РРТР получает РРР-пакеты, инкапсулирует их внутри заголовка GRE с учетом доверия к РРР. Для идентификации протокол РРТР использует алгоритмы РАР (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol) и MPPE (Microsoft Point to Point Encryption). В РРТР определены два режима работы: принудительный и добровольный.

L2TP - основанный на отраслевых стандартах сетевой протокол туннелирования уровня 2. Он представляет собой дальнейшее развитие протокола L2F и объединяет технологии L2F и PPTP. Его применение совместно с IPSec (IP Security - альтернативный протокол туннельных каналов связи) позволяет провайдерам услуг связи устанавливать безопасные "туннели" для подключения заказчиков через свою сеть с разделяемым доступом или через Интернет (т. е. IPsec ориентирован в том числе и на организацию удаленного доступа).

При установлении коммутируемого соединения L2TP работает как РРР, но, в отличие от РРТР, определяет свой собственный протокол туннелирования. Будучи протоколом 2-го уровня, он разрешает транспортировку трафика, сформированного протоколами, отличными от IP, а также допускает множество соединений внутри туннеля, присваивая уникальный код вызова для каждого такого сеанса. L2TP поддерживает два режима связи: принудительный и добровольный, которые отличаются друг от друга способом исполнения процедуры обеспечения безопасности.

MPLS (Multi Protocol Label Switching) - это технология быстрой коммутации пакетов в многопротокольных сетях, основанная на использовании меток. MPLS сочетает в себе возможности управления трафиком, присущие технологиям канального уровня (Data Link Layer 2), с масштабируемостью и гибкостью, характерными для сетевого уровня (Network Link Layer 3). "Многопротокольность" в названии технологии означает, что MPLS - инкапсулирующий протокол и может транспортировать трафик, порожденный множеством других протоколов.

В документе RFC 3031, описывающем архитектуру протокола MPLS, определены, в частности, два технологических решения: с передачей информации о маршрутах с использованием протокола BGP (Border Gateway Protocol) и применение для этой цели фреймов второго уровня поверх MPLS.

Защищенные сети

К защищенным VPN относятся виртуальные сети, безопасность которых обеспечивается за счет алгоритмов криптографического преобразования информации. Очень часто они строятся на базе протокола IPSec. Комплект протоколов IP Security содержит спецификации и процедуры для шифрования трафика, аутентификации и обеспечения защиты при транспортировке IP-пакетов. Первоначально IPsec включал в себя три алгоритмо-независимых базовых спецификации, опубликованные в качестве RFC-документов "Архитектура безопасности IP", "Аутентифицирующий заголовок"(Authentication Header, AH) и "Инкапсуляция зашифрованных данных" (Encapsulating Security Payload, ESP) - RFC1825, 1826 и 1827. В ноябре 1998 г. рабочая группа IP Security Protocol предложила новые версии этих спецификаций - RFC2401 - RFC2412, имеющие в настоящее время статус предварительных стандартов. Сейчас в состав IPSec входят почти 20 предложений по стандартам и 18 RFC.

Чаще всего защищенные VPN строятся на основе протокола IPsec с применением алгоритма ESP и шифрованием в туннельном и транспортных режимах. Так называемые группы безопасности (Security Associations, SA) могут создаваться как вручную, так и с использованием протокола IKE (Internet Key Exchange), сертификатов или паролей (preshared secrets). Кроме используемых в IPSec методов защиты, для обеспечения безопасности VPN часто применяются и другие алгоритмо-зависимые средства, например, на базе стандартов шифрования MD5, SHA, DES.

Вместе с тем следует отметить, что многие протоколы, которые используются для создания защищенных VPN, имеют в своем арсенале средств защиты только аутентификацию и не поддерживают шифрование. Разумеется, такие сети более защищены, чем сети без аутентификации, но отнести их к VPN можно лишь с большой натяжкой.

Здесь следует сказать, что в настоящее время на территории России наиболее распространены защищенные сети VPN на базе протокола IPSеc и его модификаций, поскольку последний достаточно хорошо документирован и позволяет реализовать национальные криптографические алгоритмы (см. врезку "Отечественные средства защиты для VPN"). При этом в России практически все средства создания VPN используют туннельный режим протокола IPSec (в части, касающейся ESP).

Гибридные сети

К этой категории VPN относят защищенные сети, которые строятся как часть больших доверенных VPN. Сегменты, где поддерживается шифрование, контролируются пользователем, а доверенная часть VPN может контролироваться, например, провайдером услуг. Необходимо отметить, что гибридной сетью может называться и доверенная сеть с использованием шифрования (например, IPSec поверх MPLS).

Плюсы и минусы

Основная причина, по которой компании используют защищенные VPN, заключается в том, что им требуется передавать "чувствительную" или/и конфиденциальную информацию через Интернет, не опасаясь, что кто-либо сможет перехватить и прочесть передаваемые данные. Провайдеры, реализующие технологии доверенных VPN, заинтересованы в передаче данных по заранее указанным маршрутам, через сеть одного или нескольких доверенных поставщиков услуг.

Различия между доверенными и защищенными VPN выделяются уже на этапе определения требований к сети (см. врезку "Требования к различным видам VPN"). Защищенные VPN гарантируют конфиденциальность передаваемой информации, но не отвечают за маршруты передачи. Доверенные VPN обеспечивают необходимую маршрутизацию и время доставки, поддерживая требуемый уровень QoS, но не могут противостоять таким атакам, как перехват и анализ трафика.

Именно из-за плюсов и минусов этих двух технологий и появились гибридные частные сети. Чаще всего гибридная сеть создается тогда, когда компания уже использует доверенную VPN, но некоторые ее подразделения нуждаются в большей защищенности передаваемой ими информации.

Что же касается эксплуатации VPN (доверенных, защищенных или гибридных), то администратор этой сети всегда должен знать все о той сетевой среде, где функционирует данная VPN.

Сегодня и завтра

С предоставлением услуг в области построения VPN (особенно доверенных) в России пока дело обстоит неважно. Большинство провайдеров под термином VPN понимают простое туннелирование в сети Х.25. А развертывание сетей и предоставление услуг с использованием протокола MPLS (доверенная VPN) предлагают лишь единицы. Большую часть рынка защищенных VPN сегодня составляют сети, построенные по типу "черного ящика".

Вообще говоря, сеть типа IP VPN + MPLS ориентирована на построение защищенной корпоративной IP-сети клиента на базе частной сетевой инфраструктуры одной компании. Она сочетает в себе преимущества применения Интернет-протокола (IP) с безопасностью частных сетей и качеством сервиса, которые привносит технология MPLS. Используя принципы IP-технологий, такие VPN предоставляют возможность связи "каждого-с-каждым", тем самым обеспечивая максимальную гибкость и масштабируемость корпоративных сетей.

Сети IP VPN + MPLS лучше всего подходят для создания корпоративного пространства для электронной коммерции, обеспечивающего единую сетевую среду для подразделений корпорации (построение зоны интрасети) и организацию партнерских экстрасетей, представляющих собой расширение интрасетей. Они могут также стать основой для электронной коммерческой деятельности корпорации (заключение финансовых сделок с другими организациями или клиентами и т. д.). При этом, как правило, провайдер предлагает несколько вариантов доступа в сеть MPLS: коммутируемый, по выделенным линиям, каналам Frame Relay или АТМ, а также с использованием технологии ADSL.

Анализ тенденций на российском рынке виртуальных частных сетей позволяет сделать вывод, что в дальнейшем этот сегмент пойдет по пути развития услуг доверенных VPN. Очевидно, что произойдет и увеличение доли гибридных VPN, поскольку все большему числу компаний необходимо передавать конфиденциальную и иную "чувствительную" информацию, что требует не только аутентификации, но и криптографической защиты.

 

Средства создания VPN

На рынке нет недостатка в средствах для построения виртуальных частных сетей. Одна только Cisco Systems предлагает серию следующих элементов: маршрутизаторы с возможностью создания VPN; межсетевые экраны PIX; VPN-концентраторы; VPN-клиенты; системы для осуществления мониторинга СIDS; системы управления CW 2000. Во всех элементах поддерживаются следующие спецификации протокола IPSec: AH, ESP, шифрования DES и 3DES, Diffie-Hellman, MD5, SHA-1, RSA, а также протокол IKE и сертификаты.

Photo
Концентратор для построения VPN серии 3000 производства Cisco.