VPN. Старые песни о главном

Статьи о технологии виртуальных частных сетей (Virtual Private Networks, VPN) в последнее время появляются как грибы после дождя. Это связано с тем, что бурное развитие современных информационных технологий и, в частности, сети Интернет вызывает необходимость защиты информации, передаваемой в рамках распределенной корпоративной сети, использующей сети открытого доступа. В случае использования собственных физических каналов доступа эта проблема так остро не стоит, поскольку в такую сеть не имеет доступа никто из посторонних. Однако собственные каналы может позволить себе далеко не каждая компания. Поэтому остается довольствоваться тем, что есть в распоряжении компании. А есть только Интернет. Вот и приходится изобретать способы защиты конфиденциальных данных, передаваемых по незащищенной (по определению) сети.

Прежде чем начать рассказ о VPN, хотелось бы дать неформальное определение этой технологии. Приведу определение компании Check Point Software Technologies: «VPN — это технология, которая объединяет доверенные сети, узлы и пользователей через открытые сети, которым нет доверия». На мой взгляд, это наиболее яркая характеристика технологии, получающей в наши дни все большее распространение в среде не только технических специалистов, но и рядовых пользователей, которым также требуется защита информации (например, пользователям Интернет-банков или Интернет-порталов).

Как я уже помянул в самом начале, статей о технологии VPN появилось огромное количество. Однако, как правило, в них описываются сугубо технические понятия, такие как «используемый алгоритм криптографического преобразования», «туннелирование», «сервер сертификатов» и т.д. Подобные статьи, безусловно, интересны, но только не для конечных пользователей, которым глубоко безразлично, какой длины ключ используется в приобретаемом средстве построения VPN или сколько дополнительных байт добавляется к IP-пакету при инкапсуляции. Их больше интересует несколько иная интерпретация этих вопросов — сколько лет можно не беспокоиться за сохранность своей информации и насколько медленнее будет работать сеть, защищенная с помощью VPN-устройства. Хочу привести пример из жизни. К нам на работу позвонил потенциальный клиент и попросил рассказать о программно-аппаратном комплексе построения VPN «Континент», разработанном в нашей компании и сертифицированном в Гостехкомиссии России и ФАПСИ. Прослушав продолжительный рассказ обо всех достоинствах нашего продукта, клиент задал вопрос: «А какова стойкость защиты, реализуемой «Континентом»?» На что получил незамедлительный ответ: «Два в двести пятьдесят шестой степени, так как такова длина используемого ключа шифрования». Для математика-криптографа этого было бы вполне достаточно, но только не для рядового пользователя, поэтому звонивший уточнил свой вопрос: «Я защищаю информацию, за которую могут дать от трех до пяти лет. Срок давности по этой статье 15 лет. Следовательно, мне нужен продукт, который не взломают в течение двадцати лет».

Вот почему я не хотел бы в данной статье касаться сугубо технических вопросов и аспектов, связанных с использованием VPN-устройств. Я предпочитаю рассказать об этой технологии с точки зрения конечного пользователя, делая упор на особенностях применения VPN в России. Ведь многие пользователи не знают, что ввоз, приобретение и использование средств построения VPN регламентируются различными нормативными документами, разработанными в соответствующих государственных ведомствах (Государственном таможенном комитете, Гостехкомиссии России, ФАПСИ и т.д.).

Конечные пользователи чаще всего задают следующие вопросы:

1. Как защитить удаленный филиал организации или подключиться к корпоративной сети из дома или с notebook?
2. Нужна  ли мне VPN, если используется межсетевой экран (firewall)?
3. Защищает ли VPN от внешних и внутренних атак?
4. Насколько медленнее будет работать сеть после установки VPN?
5. Чем различаются сертифицированное и несертифицированное VPN-устройства?
6. Почему VPN-устройства сертифицируются по классу межсетевых экранов?

На эти вопросы я и постараюсь ответить в данной статье.

Варианты использования

Можно выделить четыре основных варианта построения сети VPN, которые используются во всем мире. Данная классификация предлагается уже упоминавшейся компанией Check Point, которая не без основания считается законодательницей моды в области VPN и межсетевых экранов. Так, например, по данным независимых консалтинговых и аналитических агентств, компания Check Point захватила 52% мирового рынка VPN-решений (по данным Dataquest) и 41% мирового рынка межсетевых экранов (по данным IDC).

1. Вариант «Intranet VPN», который позволяет объединить в единую защищенную сеть несколько распределенных филиалов одной организации, взаимодействующих по открытым каналам связи. Именно этот вариант получил широкое распространение во всем мире, и именно его в первую очередь реализуют компании-разработчики.
2. Вариант «Remote Access VPN», позволяющий реализовать защищенное взаимодействие между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который подключается к корпоративным ресурсам из дома (домашний пользователь) или через notebook (мобильный пользователь). Данный вариант отличается от первого тем, что удаленный пользователь, как правило, не имеет «статического» адреса и подключается к защищаемому ресурсу не через выделенное устройство VPN, а напрямую с собственного компьютера, где и устанавливается программное обеспечение, реализующее функции VPN.
3. Вариант «Client/Server VPN», который обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда необходимо создать в одной физической несколько логических сетей. Например, когда требуется разделить трафик между финансовым департаментом и отделом кадров, которые обращаются к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, которая действует на уровне выше канального.
4. Вариант «Extranet VPN» предназначен для тех сетей, куда подключаются так называемые пользователи со стороны, уровень доверия к которым намного ниже, чем к своим сотрудникам.

Межсетевые экраны и средства построения VPN

Вопрос о том, нужно ли использовать VPN, если уже есть межсетевой экран (и наоборот), на повестке дня даже не стоит, поскольку эти решения выполняют абсолютно разные задачи. Межсетевой экран — это ограда вокруг вашей сети, препятствующая проникновению внутрь разных «нехороших парней», в то время как VPN — это бронированный автомобиль, который защищает ваши ценности в случае их вывоза за пределы ограды, то есть во внешнем мире, со всеми сопряженными с этим сложностями и опасностями. Поэтому для обеспечения необходимого уровня защищенности информационных ресурсов следует использовать оба решения. Проблема совместного применения межсетевых экранов и VPN возникает в случае защиты корпоративной сети во всех указанных вариантах, кроме третьего. Именно поэтому так важно найти правильное ее решение. Существует две крайности — устанавливать межсетевой экран перед VPN-устройством и после него. В первом случае возникает ситуация, когда на межсетевой экран из Интернета попадает еще нерасшифрованный трафик, что делает невозможным контроль передаваемого содержимого (вирусы, аплеты Java, команды протоколов и т.д.). Во втором случае дело обстоит несколько лучше, однако само устройство VPN становится уязвимым к внешним атакам. Кроме того, оно теряет способность осуществлять дифференцированную обработку трафика с точки зрения его содержания или пользователя, являющегося получателем данных. Идеальным решением, к которому пришло большинство зарубежных производителей (Check Point, Cisco Systems и т.д.) и начинают склоняться отечественные разработчики, является совмещение в одном устройстве функций межсетевого экрана и VPN. В этом случае указанные проблемы исчезают.

Защита от внешних и внутренних атак

К сожалению, приходится констатировать, что средства построения VPN не являются полноценными средствами обнаружения и блокирования атак. Они могут предотвратить ряд несанкционированных действий, но далеко не все из тех, к которым способны прибегнуть хакеры для проникновения в корпоративную сеть. Данные средства не могут обнаружить вирусы и атаки типа «отказ в обслуживании» (это делают антивирусные системы и средства обнаружения атак), они не умеют фильтровать данные по различным признакам (это прерогатива межсетевых экранов) и т.д. Здесь могут возразить, что, мол, эти опасности не страшны, поскольку VPN не примет незашифрованный трафик и отвергнет его. Однако на практике не все так просто. Во-первых, в большинстве случаев средство построения VPN используется для защиты лишь части трафика, к примеру направленного в удаленный филиал. Остальной трафик (например, к публичным Web-серверам) проходит через VPN-устройство без обработки. А во-вторых, перед статистикой склоняют головы даже самые отъявленные скептики. А статистика утверждает, что до 80% всех инцидентов, связанных с информационной безопасностью, происходит по вине авторизованных пользователей, имеющих санкционированный доступ в корпоративную сеть. Из чего следует вывод, что атака или вирус будут зашифрованы наравне с безобидным трафиком.

Производительность

Производительность сети — это достаточно важный параметр, и на любые средства, способствующие его снижению, в любой организации смотрят с подозрением. Не являются исключением и средства построения VPN, которые создают дополнительные задержки, связанные с обработкой трафика, проходящего через VPN-устройство. Все задержки, возникающие при криптографической обработке трафика, можно разделить на три типа:

• Задержки при установлении защищенного соединения между VPN-устройствами.
• Задержки, связанные с зашифровыванием и расшифровыванием защищаемых данных, а также с преобразованиями, необходимыми для контроля их целостности.
• Задержки, связанные с добавлением нового заголовка к передаваемым пакетам.

Реализация первого, второго и четвертого вариантов построения VPN предусматривает установление защищенных соединений не между абонентами сети, а только между VPN-устройствами. С учетом криптографической стойкости используемых алгоритмов смена ключа возможна через достаточно длительный интервал времени. Поэтому при использовании средств построения VPN задержки первого типа практически не влияют на скорость обмена данными. Разумеется, это положение касается стойких алгоритмов шифрования, использующих ключи не менее 128 бит (Triple DES, ГОСТ 28147-89 и т.д.). Устройства, использующие бывший стандарт DES, способны вносить определенные задержки в работу сети.

Задержки второго типа начинают сказываться только при передаче данных по высокоскоростным каналам (от 10 Мбит/с). Во всех прочих случаях быстродействие программной или аппаратной реализации выбранных алгоритмов шифрования и контроля целостности обычно достаточно велико и в цепочке операций «зашифровывание пакета — передача пакета в сеть» и «прием пакетов из сети — расшифровывание пакета» время зашифровывания (расшифровывания) значительно меньше времени, необходимого для передачи данного пакета в сеть.

Основная проблема здесь связана с добавлением дополнительного заголовка к каждому пакету, пропускаемому через VPN-устройство. В качестве примера рассмотрим систему диспетчерского управления, которая в реальном масштабе времени осуществляет обмен данными между удаленными станциями и центральным пунктом. Размер передаваемых данных не велик — не более 25 байтов. Данные сопоставимого размера передаются в банковской сфере (платежные поручения) и в IP-телефонии. Интенсивность передаваемых данных — 50-100 переменных в секунду. Взаимодействие между узлами осуществляется по каналам с пропускной способностью в 64 Кбит/с.

Пакет со значением одной переменной процесса имеет длину 25 байтов (имя переменной — 16 байтов, значение переменной — 8 байт, служебный заголовок — 1 байт). IP-протокол добавляет к длине пакета еще 24 байта (заголовок IP-пакета). При использовании в качестве среды передачи каналов Frame Relay LMI добавляется еще 10 байтов FR-заголовка. Всего — 59 байтов (472 бита). Таким образом, для передачи 750 значений переменных процесса за 10 секунд (75 пакетов в секунду) необходима полоса пропускания 75×472 = 34,5 Кбит/с, что хорошо вписывается в имеющиеся ограничения пропускной способности в 64 Кбит/с. Теперь посмотрим, как ведет себя сеть при включении в нее средства построения VPN. Первый пример — средства на основе порядком уже подзабытого протокола SKIP.

Для протокола IPSec и вышеуказанных параметров пропускная способность будет превышена на 6% (67,8 Кбит/с). Справедливости ради необходимо отметить, что все эти выкладки верны лишь при условии, что, кроме указанных переменных, в сети больше ничего не передается.