Основная опасность искажения и/или хищения информации нередко связана с ее транспортировкой по коммуникационным каналам. Для ее защиты могут использоваться криптографические методы, но применяемые сейчас средства шифрования файлов и электронной почты часто не удовлетворяют пользователей. Надежность информации должна быть гарантированна системами защиты, способными предотвращать проникновение как в каналы, связывающие между собой клиент-серверные компоненты, так и в хранилищах данных.
Эта задача может быть успешно решена с помощью технологии виртуальных частных сетей (Virtual Private Networks, VPN). Виртуальная частная сеть базируется на трех китах: туннелирование, шифрование и аутентификация.
Туннелирование обеспечивает передачу данных между двумя точками — окончаниями туннеля — таким образом, что для источника и приемника данных оказывается скрытой вся сетевая инфраструктура, лежащая между ними. Транспортная среда туннеля, как паром, подхватывает пакеты используемого сетевого протокола у входа в туннель и без изменений доставляет их к выходу. Однако нельзя забывать, что на самом деле «паром» с данными проходит через множество промежуточных узлов открытой публичной сети. Такое положение дел таит в себе две проблемы. Первая заключается в том, что передаваемая через туннель информация может быть перехвачена злоумышленниками. Если она конфиденциальна (номера банковских карточек, финансовые отчеты, сведения личного характера), то вполне реальна угроза ее компрометации. Хуже того, злоумышленники имеют возможность модифицировать передаваемые через туннель данныетак, что получатель не сможет проверить их достоверность. Поэтому туннель в чистом виде не обеспечивает полноценной защиты информации.
Указанные проблемы решаются современными средствами криптографической защиты информации. Чтобы воспрепятствовать внесению несанкционированных изменений в пакет с данными на пути его следования по туннелю, используется метод электронной цифровой подписи. При этом каждый передаваемый пакет снабжается дополнительным блоком информации, который вырабатывается в соответствии с асимметричным криптографическим алгоритмом и уникален для содержимого пакета и секретного ключа ЭЦП отправителя. Этот блок информации является ЭЦП пакета и позволяет выполнить аутентификацию данных получателем, которому известен открытый ключ ЭЦП отправителя. Защита передаваемых через туннель данных от несанкционированного просмотра достигается путем использования сильных алгоритмов шифрования. Таким образом, связка «туннелирование + аутентификация + шифрование» позволяет передавать данные между двумя точками через сеть общего пользования, моделируя работу частной (локальной) сети. Иными словами, рассмотренные средства позволяют построить виртуальную частную сеть. Дополнительным эффектом VPN-соединения является возможность (и даже необходимость) использования системы адресации, принятой в локальной сети.
В этой связи VPN можно рассматривать как надежно защищенный информационный канал, расположенный между двумя или более компьютерами, участвующими в обмене данными. Эти каналы могут прокладываться через потенциально опасные участки сети и эффективно решать две задачи: защиту внешних входов/выходов и защиту информации.
Реализация виртуальной частной сети на практике выглядит следующим образом. В локальной вычислительной сети офиса фирмы устанавливается сервер VPN. Удаленный пользователь (или маршрутизатор, если осуществляется соединение двух офисов) с использованием клиентского программного обеспечения VPN инициирует процедуру соединения с сервером. Происходит аутентификация пользователя — первая фаза установления VPN-соединения. В случае подтверждения полномочий наступает вторая фаза — между клиентом и сервером выполняется согласование деталей обеспечения безопасности соединения. После этого организуется VPN-соединение, обеспечивающее обмен информацией между клиентом и сервером в форме, когда каждый пакет с данными проходит через процедуры шифрования/дешифрования и проверки целостности — аутентификации данных.
Виртуальная частная сеть решает проблему сохранности информации по всей протяженности канала. Таким образом, получается собственная защищенная сеть, поддерживаемая средствами VPN, которая может работать совместно с Internet или с любыми другими сетями.
Чтобы обеспечить совместимость различных реализаций VPN, были приняты стандарты, наиболее распространенными среди которых являются протоколы РРТР и L2ТР. Оба эти стандарта обеспечивают схожий уровень функциональности, кроме того, L2ТР предлагает более высокую защищенность соединения за счет использования протокола обеспечения безопасности IPSEC.
Используемый в большинстве VPN стандарт IPSEC предполагает прозрачное шифрование потока информации «на выходе» из компьютера. При правильной реализации этого стандарта приложения и пользователи продолжают работу в сети, не замечая при этом, что передаваемая и/или получаемая информация проходит этап шифрования/дешифрования. В этом случае VPN-технология не приостанавливает информационный процесс, не вносит изменений в используемые прикладные системы и не требует обучения пользователей дополнительным средствам защиты информации.
Однако зачастую на практике задача создания защищенного канала связи между несколькими структурными подразделениями организации решается путем физической прокладки собственных выделенных каналов. Отметим, что такие проекты стоят недешево. К тому же эти каналы проходят по неконтролируемой территории, задействуется оборудование и программное обеспечение различных провайдеров. При этом используются основные протоколы Internet и общее пространство адресов, что приводит практически к открытости и возможности несанкционированного доступа к информационным потокам предприятия.
Напротив, VPN-технология является средством создания дешевых и надежно защищенных каналов, реализуемых через открытые сети Internet, исключая физическую прокладку кабельного оборудования на местности. Схема подключения в корпоративную информационную сеть аграрного формирования приведена на рис. 3.1.
Рис.3.1. Схема подключения VPN в корпоративную информационную сеть агроформирования
Приступая к построению VPN, прежде всего, необходимо определиться со средствами, которые будут выделены на реализацию проекта. VPN-соединения могут быть организованы как с помощью программного обеспечения (коммерческого или свободно распространяемого), так и с помощью аппаратных средств, в изобилии появившихся на рынке. Поскольку стоимость аппаратных решений для организации VPN приемлема даже для малых фирм или индивидуальных предпринимателей, а в эксплуатации они гораздо удобнее и надежнее, нежели программные средства на базе персональных компьютеров, имеет смысл обратить внимание на некоторые из них.
Создать точку доступа для нескольких VPN-соединений можно на основе VPN-маршрутизатора DI-804НV/DI-808НV (позволяет организовать до 40 соединений) производства D-Link или брандмауэра ZyWALL (от 1 до 100 соединений в зависимости от модификации) компании ZyХЕLL. Конфигурирование обоих устройств может быть выполнено через удобный веб-интерфейс, продукты ZyХЕLL, кроме того позволяют получить доступ к ZyNOS (сетевой операционной системе ZyХЕLL) в режиме командной строки по протоколу Telnet , что дает возможность более тонкой настройки и отладки соединений. Недорогим решением для объединения локальных сетей является использование ADSL-модема-маршрутизатора-брандмауэра ZyХЕLL Prestige Р661Н. Это устройство позволяет организовать два VPN-соединения, но помимо того, может служить мостом между тремя IP-подсетями, разделяющими общую среду Ethernet (с возможностью фильтрации трафика между ними), направлять IP-трафик в соответствии с таблицей статических маршрутов, реализует фирменную технологию Any-IP, которая позволяет задействовать его в качестве шлюза по умолчанию компьютерам, сконфигурированным в расчете на работу в другой сети.
Крупная агропродовольственная структура в случае необходимости обеспечить безопасное соединение нескольких офисов (по схеме route-to-route) и дать возможность удаленной работы (remote access) с ресурсами локальной сети своим сотрудникам скорее всего предпочтет оборудование Cisco как наиболее мощный и гибкий вариант. Если фирма только развивается и ей требуется подключить к главному офису одно региональное представительство, можно ограничиться маршрутизаторами-брандмауэрами производства ZyХЕLL или D-Link. Это решение существенно дешевле, а главное, не предъявляет таких высоких требований к профессиональному уровню системных администраторов, как настройка маршрутизаторов Cisco. Примерная стоимость аппаратных средств для организации виртуальной частной сети приведена в приложении А.
Обращаясь к программным реализациям VPN, нужно вспомнить о том, что операционные системы Microsoft имеют встроенную поддержку VPN -соединений по протоколам РРТР или L2ТР. Если построение VPN-сервера на базе серверной операционной системы этого производителя может вызывать споры и дискуссии, то наличие интегрированного VPN-клиента безусловно является удобством и позволяет организовывать удаленные рабочие места сотрудников с минимальными затратами. Если же в фирме используется другая операционная система или по каким-то причинам интегрированные средства признаны неудовлетворительными, стоит обратить внимание на свободную кросс-платформенную реализацию VPN-сервера ОреnVPN, которая доступна по ссылке: httр://ореnvpn.net/.
При внедрении виртуальной частной сети в корпоративной агропродовольственной структуре возникает проблема оценки экономического эффекта от использования VPN. Это связано как со сложностью подсчета затрат на систему (необходимо учитывать помимо прямых затрат на внедрение множество косвенных расходов), так и с определением результата функционирования системы, который выявить очень непросто. Кроме того, что вложения в приобретение соответствующего оборудования для осуществления VPN-соединений с целью защиты информации и сопутствующие затраты представляют собой инвестиции в проект, не приносящий прямого дохода. В этой связи, определение экономического эффекта в данном случае сводится к двум направлениям:
1) сопоставлению затрат на реализацию проекта по внедрению VPN с затратами на реализацию других аналогичных проектов, обеспечивающих защиту информации, и выявлению наиболее выгодного варианта;
2) определению экономии затрат интегрированной агропродовольственной структуры за счет использования VPN-сетей. Эта экономия определяется в размере стоимости возможного ущерба от утечки информации.
Какова бы ни была система защиты информации в конкретной организации, главное — помнить два основных правила:
Первое: комплексная защита информации — это, прежде всего, совокупность принятых в компании мер по защите, а не набор продуктов. Нельзя списывать со счетов и то, что в обеспечении информационной безопасности участвует каждый сотрудник компании.
Второе: основа любой системы защиты — это люди. От того, насколько грамотно персонал настроит эксплуатируемые системы, как он будет готов реагировать на инциденты в области безопасности, зависит защищенность предприятия в целом.
В заключении можно сказать, что конкретные продукты и решения по информационной безопасности совершенствуются год от года, интегрируются между собой. Все это происходит так стремительно, что, кажется, будто недалек тот день, когда кто-нибудь предложит универсальный продукт для защиты любых информационных систем всеми доступными средствами.
