Создание VPN на базе “Континента-К”
БЕЗОПАСНОСТЬ
Суть технологии виртуальных частных сетей (VPN) заключается в связывании удаленных ЛВС или отдельных пользователей при помощи виртуальных туннелей в сетях общего пользования, например в Интернете. Выигрыш по стоимости, защищенности информации и другим параметрам по сравнению с сетями на основе выделенных каналов весьма значителен.
Вследствие этого рынок VPN развивается очень бурно. По оценкам экспертов IDC, его объем в 2000 г. составил 1,8 млрд. долл, а к 2004 г. эта цифра увеличится до 7,2 млрд. долл.
Продукты для построения виртуальных частных сетей сегодня имеет практически каждый серьезный производитель телекоммуникационного оборудования. Однако первенство здесь держат компании, специализирующиеся на разработке продуктов сетевой безопасности, что позволяет сконцентрировать силы на разработке наиболее эффективных решений.
При выборе устройств для создания виртуальной частной сети пользователю приходится выбирать между отечественными и импортными (в первую очередь американскими) разработками. Между ними есть ряд различий, порой имеющих ключевое значение при выборе продукта.
Трудный путь на рынок
Западные производители предлагают пользователям широкий спектр VPN-устройств, обладающих богатыми возможностями, но имеющих два существенных недостатка.
Первый - стоимость. Западная продукция в среднем в 1,5-2,5 раза дороже отечественной за счет более высокой себестоимости плюс транспортные и таможенные расходы. Второй недостаток лежит в законодательной плоскости, поскольку средства VPN используют в работе криптографическую обработку. В США - а это главный поставщик таких продуктов - есть ряд законов, серьезно затрудняющих экспорт криптосредств с высоким уровнем стойкости.
Однако проблемы импортеров этим не заканчиваются, скорее наоборот. В России сейчас сложилась парадоксальная ситуация в законодательной области. Государственные структуры обязаны использовать только сертифицированные продукты. Однако согласно другому законодательному акту собственник информации сам волен определять уровень защиты своих данных. Налицо явное противоречие, которое, с одной стороны, позволяет трактовать ситуацию в свою пользу, а с другой - создает неопределенность на рынке.
Самым распространенным решением является сертификация продуктов в Гостехкомиссии как межсетевых экранов. Однако получают заветную бумагу только ограниченные партии импортных средств, при этом сама процедура стоит достаточно больших денег.
Вторая группа средств для создания виртуальных частных сетей представлена российскими разработчиками. Наша страна не испытывает недостатка в высококлассных специалистах, поэтому нередко отечественные продукты по своим характеристикам превосходят западные аналоги при гораздо меньшей себестоимости. При этом благодаря отсутствию таможенных и транспортных расходов их конкурентоспособность еще больше возрастает.
Проблемы, связанные с законодательной базой, актуальны и для наших производителей, которые, как правило, стараются использовать отечественные стандарты для шифрования данных. На сегодняшний день единственным доступным алгоритмом шифрования является ГОСТ 28147-89.
Российская специфика накладывает свой отпечаток на получение любых разрешительных бумаг. Отечественные компании имеют преимущество перед западными в части сертификации и активно этим пользуются. В большинстве случаев они сертифицируют не отдельные партии, а целиком все решение (как межсетевые экраны), что, несомненно, сразу значительно расширяет их возможности на рынке. Одним из успешных примеров является аппаратно-программный комплекс (АПК) “Континент-К” разработки НИП “Информзащита”, сертифицированный в Гостехкомиссии по третьему классу защищенности для межсетевых экранов.
Что умеет VPN-устройство?
Рассмотрим подробнее, как на его базе реализуется виртуальная частная сеть. Основу АПК “Континент-К” составляет специальное устройство - криптошлюз (КШ). Основные его функции включают в себя:
- преобразование проходящего трафика;
- защиту локальной сети от проникновения извне;
- сокрытие внутренней структуры сети.
КШ обладает также некоторыми возможностями, выделяющими его из ряда обычных проходных шифраторов. В первую очередь, это функции межсетевого экрана. При необходимости работы с узлами общего доступа криптошлюз позволяет устанавливать нешифрованные соединения; кроме того, он фильтрует пакеты по большому количеству параметров. В их число входят IP-адреса, порты TCP/UDP, направление движения пакетов, время и т. д. Благодаря этому достигается точная настройка системы в соответствии с потребностями пользователя.
“Континент-К” обладает большим потенциалом конфигурирования сети пользователя за счет наличия до 15 внутренних сетевых адаптеров. Таким образом, можно на физическом уровне разделять локальную сеть заказчика на подсети, гибко определять политику их взаимодействия, создавать параллельные VPN в пределах одной виртуальной частной сети. В ряде крупных организаций корпоративная политика безопасности предусматривает функционирование нескольких подсетей, например платежной и информационной, в пределах всей сети. Эту задачу также решает “Континент-К”, осуществляя разделение и независимую работу сегментов в главном офисе и в филиалах.
Управление сетью
При проектировании корпоративной сети разработчики могут использовать различные варианты управления ею. Каждый из этих вариантов обладает своими преимуществами и недостатками. В большинстве случаев с точки зрения безопасности наилучшее решение - полностью централизованное управление сетью. При этом минимизируются риски несанкционированного доступа к системной и управляющей информации и, как следствие, обеспечивается максимальная защита конфиденциальных данных.
Сети VPN на основе АПК “Континент-К” строятся именно по такому принципу. Все функции мониторинга и управления сосредоточены в специальном ПО, установленном на одном из криптошлюзов - ЦУС (центр управления системой). Отсюда осуществляется рассылка на КШ ключевой информации, новых конфигурационных данных, различных служебных команд. В обратную сторону, от криптошлюзов к ЦУС, передаются системные сведения, данные о зарегистрированных попытках несанкционированного доступа и т. д.
Администратор в режиме реального времени отслеживает состояние сети с помощью программы управления, устанавливаемой на один из компьютеров в защищаемую сеть. Эта программа подключается к ЦУС, и весь управляющий трафик шифруется на индивидуальном ключе администратора. В результате достигается высокий уровень защиты от несанкционированного доступа к системным данным.
“Континент-К” обладает еще одним полезным качеством. Штатная работа сети не подразумевает наличия оператора для каждого криптошлюза. При возникновении сбойных ситуаций, например при всплеске питающего напряжения, КШ перезагрузится и автоматически выйдет в рабочий режим. Это достигается за счет сохранения ключевой информации в специальном устройстве - электронном энергонезависимом замке “Соболь” (сертифицированный ФАПСИ продукт). Для многих клиентов, в особенности имеющих разветвленные сети с удаленными филиалами, данная характеристика очень важна. Потому как содержание штата операторов - удовольствие дорогое, а выезд специалиста из центрального офиса, с учетом российских расстояний, приведет к длительным простоям сегмента сети.