Net-PRO - новое средство организации VPN

Защита данных

Юрий Кинцов, Елена Никонова, Виктор Тимаков

По мере развития телекоммуникационных средств связи и информационных технологий (в том числе средств защиты информации) виртуальные частные сети (Virtual Private Network, VPN) приобретают все большую привлекательность в качестве инструмента для организации электронного бизнеса, документооборота, оперативного средства совершения финансовых операций и др.

Приведем три основные функции, при наличии которых наложенную корпоративную сеть, построенную на базе сети общего пользования, можно считать виртуальной частной сетью:

- шифрование;

- аутентификация;

- контроль доступа к ресурсам.

Только реализация всех этих возможностей позволяет защитить пользовательские машины, серверы предприятия и данные, передаваемые по физически незащищенным каналам связи, от внешних нежелательных вторжений, утечки информации и несанкционированных действий.

Весной 1998 г. компания “Сигнал-КОМ”, специализирующаяся на разработке средств защиты информациии и речевого трафика, выпустила программный комплекс Net-PRO, предназначенный для построения защищенных виртуальных частных IP-сетей.

При создании Net-PRO был использован подход к организации VPN, основанный на протоколах SOCKS и SSL.

Протокол SOCKS

Протокол SOCKS, автором которого является Дэвид Коблас, известен с 1990 г. В последние годы широкое распространение получили 4-я и 5-я версии этого протокола. SOCKS v5 в настоящее время одобрен IETF и включен в RFC 1928.

Протокол SOCKS описывает процедуру взаимодействия TCP/IP клиент-серверных приложений через сервер-посредник, или proxy-сервер. Общая схема взаимодействия по протоколу SOCKS v4 такова:

- пользователь, желающий установить связь с каким-либо сервером в сети, соединяется вместо этого с proxy-сервером (в нашем случае - с SOCKS-сервером) и сообщает ему адрес удаленного сервера;

- SOCKS-сервер соединяется с удаленным сервером-адресатом;

- пользователь и удаленный сервер взаимодействуют друг с другом по цепочке соединений, SOCKS-сервер просто ретранслирует данные.

В SOCKS v5, по сравнению с версией 4, имеются следующие дополнительные возможности:

- аутентификация (предусмотрено использование различных методов);

- работа с доменными именами (в SOCKS v4 можно было работать только с сетевыми адресами);

- поддержка протокола UDP.

Общая схема установления соединения по протоколу SOCKS v5 выглядит следующим образом:

- соединившись с SOCKS-сервером, пользователь сообщает ему идентификаторы всех поддерживаемых методов аутентификации: парольной аутентификации (RFC 1929), аутентификации с использованием GSS-API (RFC 1961), без аутентификации и т. д. - список может расширяться;

- SOCKS-сервер решает, каким методом аутентификации воспользоваться (если сервер не поддерживает ни один из методов аутентификации, предложенных пользователем, соединение разрывается);

- SOCKS-сервер аутентифицирует пользователя в соответствии с выбранным методом аутентификации; допускается также двухсторонняя аутентификация, т. е. пользователь может в свою очередь убедиться, что соединился с нужным SOCKS-сервером;

- пользователь сообщает SOCKS-серверу доменное имя или адрес какого-либо сервера (хоста) в сети, с которым он желает соединиться;

- на основании результатов аутентификации SOCKS-сервер принимает решение об установлении соединения с этим хостом;

- пользователь и хост взаимодействуют друг с другом по цепочке соединений, SOCKS-сервер ретранслирует данные; при этом, если в ходе аутентификации пользователь и SOCKS-сервер обменялись сеансовым ключом, то весь трафик между ними может быть зашифрован.

Семейство продуктов Net-PRO

Основная цель, которую ставили перед собой разработчики программного продукта Net-PRO, - создание комплекса средств, обеспечивающих достаточную гибкость при решении широкого круга задач информационной безопасности в сетях различной конфигурации. Продукт состоит из трех функциональных модулей:

- Net-PRO VPN Server - межсетевой экран, реализующий функции SOCKS-сервера;

- Net-PRO VPN Client - клиентский модуль, поддерживающий протокол SOCKS;

- Net-PRO PC Firewall - локальный защитный экран.

Модули Net-PRO работают под управлением Windows 95/NT, однако применение SOCKS-посредников позволяет защищать ресурсы, функционирующие и на любых других платформах.

Шифрование в семействе продуктов Net-PRO обеспечивается за счет использования расширенного протокола SSL (Secure Socket Layer), свободного от экспортных ограничений, касающихся длины криптографических ключей, и дополненного отечественными алгоритмами шифрования (ГОСТ 28147 - 89).

Аутентификация основывается либо на паролях, либо на цифровых идентификаторах - сертификатах в формате X.509.

Управление доступом к ресурсам осуществляется на основе аутентифицирующей информации, предоставляемой пользователем, а также с помощью набора правил, формируемых администратором SOCKS-сервера (или серверов, если их несколько) с учетом топологии виртуальной сети.

Особенно следует подчеркнуть, что в отличие от традиционных межсетевых экранов при использовании Net-PRO идентифицируются конкретные лица, а не IP-адреса машин, которые этими лицами используются для выхода в сеть.

Net-PRO VPN Server на страже IP-сети

Центральное место в семействе продуктов Net-PRO занимает модуль Net-PRO VPN Server, играющий роль межсетевого экрана (Firewall), выполняющего в шлюзе локальной сети фильтрацию приложений и процедуры аутентификации и шифрования потока данных.

Net-PRO VPN Server позволяет безопасно объединять через сети общего пользования (в том числе через Интернет) локальные сети предприятий и их филиалов, соединять центральный офис компании с удаленными (мобильными) сотрудниками, партнерами по бизнесу и клиентами. При этом обеспечивается шифрование данных, аутентификация и полный контроль доступа к сетевым ресурсам.

Net-PRO VPN Server оснащен средствами борьбы со “спуфингом”*1, позволяя контролировать соответствие физического происхождения пакета и его IP-адреса.

-----

*1. “Спуфинг” (spoofing) - распространенный хакерский прием, заключающийся в том, что злоумышленник пытается извне получить несанкционированный доступ к вашей сети, подделывая содержимое своего пакета под пакет с более высокими привилегиями доступа, например выдавая его за пакет из вашей локальной сети.

Зачем нужен Net-PRO VPN Client?

Как же заставить пользовательские приложения соединяться с требуемым ресурсом не напрямую, а через SOCKS-сервер? Возможно несколько вариантов:

1) некоторые современные приложения имеют встроенную поддержку протокола SOCKS; к таким приложениям относятся популярные Web-браузеры;

2) существуют так называемые “соксификаторы” (например, NEC SocksCap, Hummingbird SOCKS Client и др.) - программы-посредники, заставляющие приложения пользователей работать по протоколу SOCKS, причем без модификации самих приложений.

К сожалению, ни приложения со встроенной поддержкой протокола SOCKS, ни соксификаторы в большинстве своем не поддерживают методов строгой аутентификации и шифрования. И в этом смысле семейство продуктов Net-PRO компании “Сигнал-КОМ” выгодно отличается от них.

Net-PRO VPN Client является соксификатором, причем выполненным по уникальной технологии. Он внедряется между пользовательскими приложениями и стеком коммуникационных протоколов, перехватывая коммуникационные вызовы, формируемые приложениями, и перенаправляя их (в случае надобности) на SOCKS-сервер Net-PRO. При этом осуществляется аутентификация и шифрование данных по протоколу SSL.

Net-PRO VPN Client устанавливается на компьютерах локальной сети, защищаемой с помощью Net-PRO VPN Server, или на удаленном компьютере, доступ с которого в защищаемую сеть осуществляется через сеть общего пользования (например, через Интернет) в режиме прямого или коммутируемого подключения.

Работа клиентского модуля совершенно прозрачна для приложений и не требует их модификации. Все настройки (коммуникационные и криптографические) производятся в программе конфигурирования модуля Net-PRO с помощью удобного графического интерфейса.

Net-PRO PC Firewall - индивидуальное средство защиты компьютера

Клиентский модуль Net-PRO PC Firewall занимает особое положение в семействе продуктов Net-PRO, играя роль индивидуального средства защиты, поддерживающего прямое (без представительства proxy-сервера) защищенное взаимодействие с аналогичными клиентскими модулями.

Net-PRO PC Firewall устанавливается на отдельных компьютерах, обеспечивая защиту передаваемых между ними потоков данных (аутентификацию и шифрование) независимо от того, находятся ли эти компьютеры в пределах одной локальной сети или взаимодействуют через глобальную сеть общего пользования. Фактически Net-PRO PC Firewall является локальным защитным сетевым экраном, ограждающим рабочую станцию пользователя от нежелательных вторжений.

В частных виртуальных сетях, защищаемых сервером Net-PRO, дополнительная установка на компьютеры модуля Net-PRO PC Firewall повышает уровень безопасности VPN, обеспечивая поверх установленных защищенных SOCKS-соединений сквозную аутентификацию и защиту данных между компьютерами в разных локальных сетях.

Примеры организации VPN на базе продуктов семейства Net-PRO

Рассмотрим несколько типовых примеров применения продуктов семейства Net-PRO для организации защищенных виртуальных частных сетей на базе сетей общего пользования, в частности Интернета.

На рис. 1 приводится возможный вариант использования Net-PRO для организации безопасного доступа к ресурсам локальной сети предприятия удаленных пользователей (сотрудников, клиентов или партнеров), независимо от способа их подключения к Интернету - по коммутируемой или по выделенной линии.

Рис. 1. Защищенный доступ с удаленных рабочих станций в локальную сеть

При попытке удаленного пользователя установить соединение с сервером, находящимся в локальной сети предприятия, клиентский модуль Net-PRO VPN Client начинает взаимодействовать с SOCKS-сервером (Net-PRO VPN Server). По завершении первого этапа установления соединения пользователь будет аутентифицирован, а проверка правил доступа покажет, имеет ли он право соединяться с конкретным приложением на конкретном сервере; все дальнейшее взаимодействие будет осуществляться по каналу, защищенному шифрованием.

Помимо защиты локальной сети от несанкционированного доступа, на SOCKS-сервер Net-PRO может возлагаться контроль за доступом сотрудников предприятия к открытым ресурсам Интернета (Telnet, WWW, SMTP, POP и др.). Доступ является полностью авторизованным, при этом идентифицируются конкретные лица, а не компьютеры, с которых они выходят в сеть. Правила доступа могут содержать запрещение или разрешение на соединение с конкретными ресурсами Интернета в зависимости от полномочий или потребностей конкретного сотрудника (или группы сотрудников). Действие правил доступа может зависеть и от других параметров, например от метода аутентификации или времени суток. Дополняют функции контроля развитые средства мониторинга и журнал событий.

Для организации надежного контроля доступа к ресурсам локальной сети предприятия серверы приложений (рис. 1), могут быть выделены в отдельный сегмент. Net-PRO VPN Server позволяет полностью скрывать топологию локальной сети, выполняя процедуру преобразования символьных имен, с помощью которых удаленный пользователь адресуется к ресурсам защищаемой сети, в незарегистрированные локальные IP-адреса.

На рис. 2 показано, как с помощью Net-PRO на базе сети общего пользования (Интернета) можно построить частную корпоративную сеть, обеспечивающую безопасное взаимодействие локальных сетей предприятия и его филиалов. Для этого в точке сопряжения каждой локальной сети с Интернетом устанавливается SOCKS-сервер Net-PRO, а на рабочих станциях в локальных сетях - какой-либо из SOCKS-посредников:

- Net-PRO VPN Client;

- соксификатор (SOCKS-клиент) любой другой фирмы;

- приложение со встроенной поддержкой протокола SOCKS.

Рис. 2. Схема построения защищенной виртуальной корпоративной сети

При такой конфигурации VPN сотрудники предприятия и филиала получают доступ ко всем серверам предприятия и филиала так, как если бы они находились в одной локальной сети. При этом два SOCKS-сервера Net-PRO, взаимодействуя между собой, с помощью шифрования создают защищенный виртуальный канал. Все, что говорилось в предыдущем примере относительно контроля доступа, остается верным и в этом случае.

Наконец, стоит рассмотреть вариант организации виртуальной частной сети на базе только локальных защитных экранов Net-PRO PC Firewall для защиты сетей TCP/IP, включающих серверы и рабочие станции под управлением Windows NT/95. Использование локальных защитных экранов не требует наличия proxy-серверов, так как защищенные аутентифицированные соединения устанавливаются непосредственно между конечными точками сети, оснащенными модулем Net-PRO PC Firewall.

Заключение

Семейство программных продуктов Net-PRO компании “Сигнал-КОМ” ориентировано на создание защищенных частных виртуальных сетей (VPN), базирующихся на IP-сетях общего пользования, и с успехом может быть применено как средство коллективной и индивидуальной защиты в сетях Интернет/интранет.

Net-PRO работает совершенно прозрачно для пользователя, не требуя модификации приложений и прикладных служб.

Построение VPN на базе семейства продуктов Net-PRO позволяет обеспечить защиту потоков данных в различных вариантах, в том числе:

- в пределах корпоративной локальной сети;

- при взаимодействии объединенных локальных сетей;

- при взаимодействии с удаленными ресурсами в сетях общего пользования;

- при организации безопасной работы удаленного компьютера с локальной сетью.

С авторами можно связаться по телефону: (095) 111-5308.