Средства обеспечения безопасности VPN

При построении защищенной виртуальной сети VPN первостепенное значение имеет задача обеспечения информационной безопасности. Согласно общепринятому определению, под безопасностью данных понимают их конфиденциальность, целостность и доступность. Применительно к задачам VPN критерии безопасности данных могут быть определены следующим образом:

- конфиденциальность — гарантия того, что в процессе передачи данных по защищенным каналам VPN эти данные могут быть известны только легальным отправителю и получателю;_:

- целостность — гарантия сохранности передаваемых данных во время прохождения по защищенному каналу VPN. Любые попытки изменения, модифицикации, разрушения или создания новых данных будут обнаружены и станут известны легальным пользователям;

- доступность — гарантия того, что средства, выполняющие функции VPN, постоянно доступны легальным пользователям. Доступность средств VPN является комплексным показателем, который зависит от надежности реализации, качества обслуживания и степени защищенности самого средства от внешних атак.

Конфиденциальность обеспечивается с помощью различных методов и алгоритмов симметричного и асимметричного шифрования. Целостность передаваемых данных обычно достигается с помощью различных вариантов технологии электронной подписи, основанных на асимметричных методах шифрования и односторонних функциях.

Аутентификация осуществляется на основе многоразовых и одноразовых паролей, цифровых сертификатов, смарт-карт, протоколов строгой аутентификации, обеспечивает установление VPN-соединения только между легальными пользователями и предотвращает доступ к средствам VPN нежелательных лиц.

Авторизация подразумевает предоставление абонентам, доказавшим свою легальность (аутентичность), разных видов обслуживания, в частности разных способов шифрования их трафика. Авторизация и управление доступом часто реализуются одними и теми же средствами.

Для обеспечения безопасности передаваемых данных в виртуальных защищенных сетях должны быть решены следующие основные задачи сетевой безопасности:

- взаимная аутентификация абонентов при установлении соединения;

- обеспечение конфиденциальности, целостности и аутентичности передаваемой информации;

- авторизация и управление доступом;

- безопасность периметра сети и обнаружение вторжений;

- управление безопасностью сети.

Аутентификация абонентов.Процедура аутентификации (установление подлинности) разрешает вход для легальных пользователей и предотвращает доступ к сети нежелательных лиц.

Обеспечение конфиденциальности, целостности и аутентичности информации.Задача обеспечения конфиденциальности информации заключается в защите передаваемых данных от несанкционированного чтения и копирования. Основным средством обеспечения конфиденциальности информации является шифрование.

Авторизация и управление доступом.Ключевым компонентом безопасности VPN является гарантия того, что доступ к компьютерным ресурсам получают авторизованные пользователи, в то время как для неавторизованных пользователей сеть полностью закрыта.

При построении программных средств авторизации применяются:

- централизованная схема авторизации;

- децентрализованная схема авторизации.

Основное назначение централизованной системы авторизации — реализовать принцип единого входа. Управление процессом предоставления ресурсов пользователю осуществляется сервером. Централизованный подход к процессу авторизации реализован в системах Kerberos, RADIUS и TACACS.

В последнее время активно развивается так называемое ролевое управление доступом. Оно решает не столько проблемы безопасности, сколько улучшает управляемость систем. Суть ролевого управления доступом заключается в том, что между пользователями и их привилегиями помещают промежуточные сущности — роли. Для каждого пользователя одновременно могут быть активными несколько ролей, каждая из которых дает ему вполне определенные права.

Поскольку ролей много меньше, чем пользователей и привилегий, использование ролей способствует понижению сложности и, следовательно, улучшению управляемости системы. Кроме того, на основании ролевой модели управления доступом можно реализовать такой важный принцип, как разделение обязанностей (например, невозможность в одиночку скомпрометировать критически важный процесс).

Безопасность периметра сети и обнаружение вторжений.Жесткий контроль доступа к приложениям, сервисам и ресурсам защищаемой сети является важной функцией правильно построенной сети. Использование таких средств безопасности, как МЭ, системы обнаружения вторжений, системы аудита безопасности, антивирусные комплексы обеспечивает системную защиту перемещаемых по сети данных.

Важной частью общего решения безопасности сети являются МЭ, которые контролируют трафик, пересекающий периметр защищаемой сети и накладывают ограничения на пропуск трафика в соответствии с политикой безопасности организации.

Дополнительным элементом гарантии безопасности периметра сети является система обнаружение вторжений IDS (Intrusion Detection System), работающая в реальном времени и предназначенная для обнаружения, фиксации и прекращения неавторизованной сетевой активности как от внешних, так и от внутренних источников.

Системы анализа защищенности сканируют корпоративную сеть с целью выявления потенциальных уязвимостей безопасности, давая возможность менеджерам сети лучше защитить сеть от атак.

Управление безопасностью сети.Сети VPN интегрируют как сами сетевые устройства, так и многочисленные сервисы управления безопасностью и пропускной способностью. Компаниям необходимо целостное управление этими устройствами и сервисами через инфраструктуру VPN, включая пользователей удаленного доступа и средств extranet. В связи с этим управление средствами VPN становится одной из важнейших задач обеспечения эффективного функционирования VPN. Система управления корпоративной сетью должна включать необходимый набор средств для управления политиками безопасности, устройствами и сервисами VPN любого масштаба.

Система управления безопасностью сети является краеугольным камнем семейства продуктов, обеспечивающих сквозную безопасность VPN. Для обеспечения высокого уровня безопасности и управляемости VPN, и в частности системы распределения криптографических ключей и сертификатов, необходимо обеспечить централизованное скоординированное управление безопасностью всей защищаемой корпоративной сети.