ОБЗОР
Во второй половине 90-х годов появилось нескольких близких по методам реализации технических решений, нацеленных на защиту данных в сетях общего пользования. Несмотря на имеющиеся различия, они объединены одним названием VPN (Virtual Private Networks). О нюансах этого термина и оттенках его перевода на русский язык чуть позже, пока же заметим, что все эти решения сводятся к обеспечению информационной безопасности в корпоративных сетях, построенных на принципах Интернет-технологий.
Появление виртуальных сетей обусловлено рядом причин, в том числе и требованиями современной экономики, которая предполагает наличие географически распределенных предприятий и соответствующей им информационной инфраструктуры. VPN - очередной шаг на этом пути, они призваны заменить более дорогие и менее надежные технологии организации распределенных систем, использующие выделенные линии, модемные пулы, технологию Frame Relay и др.
Построение корпоративных информационных систем с использованием VPN имеет смысл как с финансовой, так и с эксплуатационной точки зрения. Внедряя VPN для передачи конфиденциальной информации, предприятие экономит значительные средства, поскольку может отказаться от несвойственных ему коммуникационных функций, передать их компаниям, предоставляющим услуги связи (ISP - сервис-провайдерам Интернета). Тем самым оно отказывается от непрофильной для себя деятельности, отпадает необходимость в наличии собственной коммуникационной аппаратуры, сервисной службы и т. д. Надо учесть, что профессиональное обслуживание не только снижает затраты на эксплуатацию, но и повышает качество услуг и их надежность, что подтверждается широко известными примерами, когда передача данных через Интернет оказывалась более надежной, чем специализированные сетевые решения. Так было, например, с американскими системами передачи данных во время войны в Персидском заливе.
О том, какие реальные выгоды сулят VPN, можно судить по материалам аналитической компании Forrester Research. Она сравнила годовые издержки при использовании выделенного сервера удаленного доступа Remote Access Server (RAS) и VPN (см. таблицу).
Годовые издержки компаний при использовании технологий
RAS и VPN из расчета на 1000 пользователей, млн. долл.
Эти и многие другие факты, подтверждающие экономическую эффективность новой технологии, стимулируют предприятия к скорейшему внедрению VPN. О том, насколько VPN оказались привлекательными, свидетельствуют данные еще нескольких аналитиков рынка. Так, компания Infonetics Research считает, что в 2001 г. более 70% компаний, использующих Интернет в корпоративных целях, перейдут на VPN. Другой известный аналитик - Gartner Group - предсказывает, что число таких фирм достигнет 90% к 2002 г.
Все это, вместе взятое, позволило Международной ассоциации компьютерной безопасности (International Computer Security Association) в одном из последних отчетов утверждать, что VPN входит в список Top 10 (“горячая десятка”) тех продуктов, которые компании намереваются приобрести в ближайшее время.
VPN пришли в Россию
С наступлением 2000 г. волна VPN накатила на Россию. В январе - феврале состоялось несколько специализированных семинаров на эту тему, собравших немалую аудиторию. Их проводили центр РОЦИТ, компании Jet Infosytems и “Информзащита” и холдинг ЛАНИТ, естественно, при непременном и активном участии еще одной компании - “Элвис+”. Таким образом, VPN стали хитом зимнего сезона по номинации “информационная безопасность”.
Неожиданная согласованность, проявленная устроителями семинаров, отнюдь не случайна. Вероятно, наступил момент, когда существующая инфраструктура связи может обеспечить достаточные условия, а спрос - необходимые для внедрения VPN в нашей стране.
Стоит обратить внимание на одно обстоятельство. Периодически в связи с появлением какой-то новой технологии возникает нездоровый “просветительский” бум, как, например, это было с Java в 1995 г. В таких случаях под лозунгом ликвидации безграмотности проводятся акции, на поверку оказывающиеся не чем иным, как продолжением маркетинговой политики. В данном случае дело обстоит не вполне так, хотя определенная маркетинговая составляющая с неизбежностью присутствовала на всех семинарах. VPN как технология не есть что-то совершенно новое, этот подход к обеспечению безопасности в той или иной форме опробован в тех компаниях, которые предлагают соответствующие продукты в течение как минимум нескольких лет. До поры до времени они не были востребованы, а теперь наступил их час. Наверное, поэтому никто из участников семинаров не стремился ошеломить публику своей информированностью, речь скорее шла о практическом внедрении тех или иных систем.
Взгляды участников на предмет обсуждения сильно различались. Они не имели единого мнения не только о том, что следует понимать под VPN, но даже и о том, как точнее назвать эти виртуальные сети по-русски? А это вопрос отнюдь не праздный, так как в нашем языке нет аналога английскому слову private, точно выражающему специфику предмета. Чаще всего используются определения: собственные, автономные, частные, защищенные, конфиденциальные и даже наложенные. Заметим, что и в оригинальном названии обнаруживается определенная неточность. Термин VPN по существу используется для защищенных сетей SVPN (Secure Virtual Private Networks), именно так они называются в документах Security Association, относящихся к протоколу IPSec. В связи с этим буквальный перевод этого полного названия “защищенные виртуальные собственные сети”, вероятно, наиболее точен.
Стоит обратить внимание на любопытную закономерность: предпочтение, отдаваемое тому или иному определению, очень точно характеризует специализацию компании на рынке. Можно даже построить условную ось, где на одном полюсе будут фирмы, традиционно близкие к государственным органам, обеспечивающим информационную безопасность (им, естественно, ближе “конфиденциальные”), а на другом - те, кто исповедует либерторианские взгляды и уделяет особое внимание вопросам защиты прав личности (они выбирают, разумеется, “частные”).
И все же что такое VPN?
Разброс, обнаруживаемый при переводе названия VPN, вполне закономерен, дело в том, что и в мире пока нет однозначного представления об этом предмете. Можно с уверенностью сказать одно - в основе виртуальных сетей всех модификаций лежит идея использования открытых каналов для передачи закодированной конфиденциальной информации.
Здесь используется старый, как мир, прием строительства защищенной зоны в небезопасном пространстве. Он опирается на две основные составляющие: оборонительные сооружения и надежные коммуникации. Раньше с успехом решалась первая часть проблемы, но связь всегда оставалась ахиллесовой пятой. В отличие от прошлого, в киберпространстве успешно решаются обе задачи.
Итак, в древности главной частью любой оборонительной системы были замки, крепости и другие фортификационные сооружения (читай, корпоративные системы, состоящие из множества территориальных отделений и защищенные целым арсеналом средств безопасности). Они были расположены на территории, где действовали противники, разбойники и вражеские агенты (хакеры, конкуренты и прочее). Тогда удавалось построить надежные укрытия, но создать защищенную систему коммуникаций не представлялось возможным, так как не было соответствующих технических средств. В виртуальном пространстве они есть. Эти средства строятся с применением новых проколов передачи данных и криптографии. Используя их, можно проложить надежные пути сообщения (своего рода туннели), недоступные для противника. В самом общем виде VPN можно представить себе именно в виде туннеля, проложенного в Интернете.
Еще можно сравнить VPN с привычными защитными экранами. Функции экранов заключаются в том, чтобы отражать неавторизованный трафик, а VPN передают через туннель только авторизованный. Смежность этих функций приводит к тому, что некоторые экраны частично решают задачи, специфичные для VPN, и наоборот.
Уподобление задачи создания VPN строительству виртуальных туннелей (tunneling) - это вовсе не метафора, а один из стандартизованных ключевых терминов, определяющих VPN. Более того, туннели называют краеугольным камнем (cornerstone) технологии, но надо признать, что подобный принцип существует и во Frame Relay.
В VPN роль внешних стенок туннеля выполняют дополнительные оболочки, внутрь которых инкапсулируются исходные передаваемые пакеты. Эти вторичные пакеты и совершают безопасное “путешествие” по Сети. Любой туннель имеет входы и выходы. В качестве входных порталов туннелей выступают шлюзы узлов, входящих в VPN, они обрабатывают входные и выходные пакеты. В результате вне виртуальной сети можно видеть только входы и выходы туннеля и циркулирующие между ними защищенные пакеты. Обычно говорят, что туннель делит пространство на защищенную (красную) и незащищенную (черную) зону.
Туннель может состоять из нескольких оболочек, их число зависит от конкретной реализации VPN. Внутренняя оболочка образуется средствами криптозащиты, вся информация внутренних пакетов (основная и вспомогательная) кодируется в соответствии с принятыми в данной VPN алгоритмами.
Типы VPN?
Проще всего классифицировать виртуальные сети в зависимости от их конфигурации, выделяя три элементарных типа:
- интранет-VPN для организации взаимодействия между подразделениями внутри предприятия или между группой предприятий, объединенных корпоративными связями;
- Интернет-VPN для обеспечения удаленного доступа мобильным клиентам;
- экстранет-VPN для связи со стратегическими партнерами, пользователями и поставщиками.
Еще можно классифицировать VPN по способам реализации на базе:
- специализированных устройств, работающих под управлением систем реального времени и использующих аппаратные средства для криптографической поддержки;
- чисто программных решений на универсальных аппаратных платформах, обычно ПК или Unix-станциях;
- гибридов, где приложения VPN работают на стандартных компьютерах, но с использованием дополнительных криптографических процессоров;
- защитных экранов и маршрутизаторов, которым могут быть приданы дополнительные функции, обеспечивающие VPN.
Основные функции VPN
Как бы ни была реализована на практике виртуальная сеть, она выполняет три основные коммуникационные функции.
Идентификация (Authentication). Для того чтобы “открыть” туннель, принимающий шлюз должен опознать входное сообщение как свое. Он делает это на основании проверки ряда вложенных секретных признаков.
Инкапсуляция (Encapsulation). После того как туннель открыт, по принятому в данной сети протоколу начинается обмен защищенными пакетами с вложениями.
Шифрование (Encryption). Вложенные пакеты кодируются по принятым в сети правилам.
Перечисленные функции обеспечивают сохранение целостности и конфиденциальности данных в процессе транспортировки, позволяют представить в общих чертах процедуру передачи по VPN в виде последовательности действий:
1. Пользователь из красной зоны посылает запрос на обмен в свой шлюз. Шлюз ищет получателя в черной зоне сети.
2. Шлюз проверяет данные и, если защита не требуется, передает их вовне без каких-либо видоизменений.
3. Если же нужна защита, то осуществляются необходимые меры по идентификации и шифрованию передаваемых данных, включая содержательную информацию и конкретный адрес получателя.
4. Шлюз снабжает пакет новым заголовком, в который заносится информация, требующаяся получателю для инициализации и выполнения других функций по обеспечению безопасности.
5. Вторичный пакет посылается в черную зону, в результате образуется туннель.
6. Когда данные поступают получателю, он выполняет обратное преобразование.
Стандарты VPN
Множество альтернативных подходов к организации VPN можно классифицировать в зависимости от тех уровней, которые они занимают в модели открытых соединений OSI (что означает классификацию сетей по используемым стандартам).
Построить VPN можно на одном из трех уровней: на физическом (layer-1), транспортном (layer-2) и сетевом (layer-3). Хотя существуют проекты, где опора сделана на первые два, реальный интерес в современных условиях представляет реализация на сетевом уровне. Сейчас наибольшее распространение получили два протокола: IPSec, разработанный организацией Internet Engineering Task Force (IETF), и L2TP (Layer 2 Tunneling Protocol), объединяющий в себе протоколы L2F (Cisco) и PPTP (Microsoft).
В последующих публикациях мы постараемся привести примеры конкретных разработок.
