Создаём VPN с ViPNet

 СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

Создаём VPN с ViPNet

Сегодня все чаще приходится сталкиваться с настройкой безопасного удаленного доступа к корпоративным ресурсам для сотрудников, использующих различные способы подключения. От выбора инструмента для решения этой задачи часто зависит защищенность, надежность, удобство администрирования и использования ресурсов сети.

В случае подключения к корпоративным ресурсам удаленных клиентов для защиты информации применяются виртуальные частные сети (VPN), но большинство сегодняшних решений концентрируются на защите трафика между удаленным пользователем и локальной сетью или между сетями. При таком решении удаленные пользователи для обмена информацией между собой вынуждены использовать ресурсы центральной сети, что не всегда рационально, так как ведет к увеличению необоснованной нагрузки на сеть и повышению стоимости решения. И когда число удаленных и мобильных пользователей начинает превышать некоторый предел, начинаешь задумываться о правильности выбранного инструмента.

Проект ViPNet

Технологии создания VPN, заложенные в продуктах и решениях ViPNet, разрабатываемых российской компанией Инфотекс (http://www.infotecs.ru), позволяют организовать безопасный обмен защищенной информацией как в локальных, так и в глобальных сетях независимо от способа (модем, xDSL, ISDN, GPRS, Ethernet, WiFi и прочие), места подключения компьютеров и типа выделяемого им IP-адреса (см. рисунок). Обеспечивается работа из-за устройств, реализующих трансляцию сетевых адресов (NAT). Одна из главных особенностей – возможность создания зашифрованного соединения между клиентскими компьютерами напрямую, минуя центральный узел.

Дополнительно входящие в состав ViPNet межсетевой экран и система обнаружения атак обеспечивают фильтрацию неразрешенного трафика и блокирование большинства известных видов атак. Например, можно запретить прохождение всех открытых IP-пакетов, проходящих через интерфейс, выходящий в открытую сеть вроде Интернета. Для внутренних интерфейсов могут быть использованы более мягкие правила, разрешающие незашифрованные соединения определенных типов. Реализован также контроль приложений, при обнаружении сетевой активности того или иного приложения пользователю будет выдан запрос на разрешение соединения для этого приложения. Обработка пакетов до того, как они будут переданы на транспортный уровень, позволяет обеспечить защиту IP-трафика любого приложения, не нарушая привычного порядка работы пользователя. Поэтому установка ViPNet поверх существующих решений не влияет на работу сети и может быть выполнена без изменения настроек и структуры существующей сети.

Некоторые сторонние бизнес-приложения (MS NetMeeting, VoxPhone, Internet Phone, Compaq Insight Manager) могут быть вызваны ViPNet. С абонентом, выбранным из окна VPN-клиента, соединение будет установлено автоматически. Весь трафик при этом принудительно шифруется. Кроме того, в составе ViPNet – целый набор необходимых в повседневной работе защищенных бизнес-приложений, за которые не нужно платить дополнительно: защищенная служба обмена сообщениями, почтовая служба «Деловая почта», файловый обмен и веб-ссылка, позволяющая получить доступ к корпоративным информационным ресурсам, построенным на основе веб-технологий. Для отправки файла или письма адресату можно использовать контекстное меню Проводника.

Продукт коммерческий, cтоимость лицензии зависит от количества внутренних интерфейсов и внутренних IP-адресов клиентов, а также версии продукта.

Структура сети ViPNet

Доступны три решения, позволяющие организовать виртуальную сеть: ViPNet CUSTOM, ViPNet OFFICE и ViPNet TUNNEL. Первое позволяет создавать произвольные сети неограниченного масштаба и объединять в единую защищенную виртуальную сеть произвольное число локальных сетей и рабочих станций. В качестве программы управления VPN-сетью в решении ViPNet CUSTOM используется программа ViPNet Администратор. Её облегченная версия ViPNet Менеджер, применяемая в решении ViPNet OFFICE, позволяет легко создавать и изменять структуру защищенной сети небольшого или среднего размера несколькими движениями мыши. Самое простое решение – ViPNet TUNNEL. Оно предназначено для защиты соединения только между сетями, связанными друг с другом через Интернет.

Структура сети VipNet

VipNet Менеджер

Помимо конфигурирования сети и настройки различных вариантов взаимодействия, задачей ViPNet Менеджера является формирование и обновление наборов ключей, паролей пользователей и администраторов, требующихся при установке и работе узлов сети ViPNet, отслеживание возможных конфликтов, отзыв старых или скомпрометированных сертификатов электронно-цифровой подписи.

Виртуальная сеть ViPNet строится путем установки на компьютеры одного из двух вариантов программного обеспечения: ViPNet Координатора или ViPNet Клиента. ViPNet Клиент – самый нижний элемент в иерархии, обеспечивает защиту и включение в VPN отдельных компьютеров, в терминологии ViPNet – Абонентских Пунктов (АП). В качестве последних могут выступать как рабочие станции пользователей, так и серверы. Применяемое при этом программное обеспечение выполняет функции сетевого экрана, шифрования трафика, а также сервисные функции, о которых говорилось раннее. Поэтому при установке на компьютер одного из компонентов ViPNet использовать другой персональный брандмауэр не нужно.

Координатор – это Клиент с дополнительными возможностями. Компьютер с установленным ViPNet Координатором используется на границах разделения локальных сетей, обеспечивая включение в сеть VPN компьютеров, находящихся в этих сетях, и выполняя функции межсетевого экрана. Варианты соединения Клиентов и Координаторов задаются при построении VPN-сети с помощью ViPNet Менеджера. При установке предлагается выбрать один из трех вариантов:

• связать все сетевые узлы – все узлы сети ViPNet будут связаны между собой;
• связать все абонентские пункты каждого Координатора – АП, привязанные к «своему» Координатору, могут иметь связи только с Координатором и другими АП своего координатора;
• связать каждый абонентский пункт со своим Координатором – каждый АП будет иметь связь только со своим Координатором.

Координаторы всегда будут иметь связи между собой.

В дальнейшем можно более гибко распределить возможности АП и Координаторов по созданию защищенных туннелей, перенося клиентов к другому Координатору, создавая и удаляя узлы, задавая связи вплоть до соединений компьютер-компьютер. Компьютеры, на которых по тем или иным причинам невозможна установка клиентской части, могут быть защищены на маршруте Координатор-Координатор, а при наличии в конечной точке необходимого ПО и до нее. Сервер IP-адресов, входящий в состав Координатора, хранит информацию о текущем состоянии других узлов и их текущих IP-адресах. Наличие таких данных позволяет любому другому компьютеру быстро найти нужный узел.

Все программное обеспечение ViPNet вы можете установить на компьютеры под управлением ОС Windows 2000/XP/2003, для Координатора – и под ОС Linux.

Шифрование в сети ViPNet

В решениях VPN традиционно используется один из двух методов шифрования. Асимметричные алгоритмы популярны в первую очередь благодаря удобству при распределении ключей, но надежность асимметричных ключей в отличие от симметричных до сих пор никем строго не доказана. Недостатком последних является необходимость в первоначальной безопасной передаче ключей корреспондентскому компьютеру.

Разработчики ViPNet попытались взять лучшее, что есть у обеих технологий, и максимально уменьшить имеющиеся недостатки, и в ViPNet используется ключевая структура, в которой объединены оба принципа распределения ключей. Базовой составляющей является подсистема централизованного управления симметричной ключевой структурой, обеспечивающая высокий уровень безопасности функционирования сети. Система открытого распределения ключей – дополнительная и функционирует под защитой симметричной ключевой структуры, в связи с чем присущие ей проблемы безопасности становятся неактуальными.

Криптографическое ядро системы ViPNet по умолчанию использует алгоритм с длиной ключа 256 бит. Но есть и другие алгоритмы, которые могут быть свободно выбраны самим пользователем. Длина открытого ключа для асимметричной ключевой системы равна 1024 бит (ГОСТ Р 34.10-2001). Технологии ViPNet в составе продукта ViPNet Custom прошли сертификацию в ФСБ и ФСТЭК и используются крупными заказчиками, среди которых Российские железные дороги, Пенсионный фонд РФ и другие.

Первичные ключевые наборы для каждого сетевого узла генерируются при установке ViPNet Менеджера. При установке ПО на клиентские компьютеры или на Координаторы необходимио скопировать соответствующий файл с ключевым набором на сменный носитель, ввести пароль и указать на местонахождение этого файла. Пароли пользователя формируются автоматически на основе оригинального механизма парольных фраз, облегчающих запоминание паролей.

При наличии схемы будущей сети установка и настройка ViPNet OFFICE (TUNNEL) очень проста. Первым устанавливается Менеджер, а затем Клиенты и Координаторы. При установке Менеджера создается структура будущей сети, которую затем можно будет скорректировать. Система будет работать сразу после установки в настройках по умолчанию.

При создании сложной разветвленной виртуальной сети VPN, в которой защищенность циркулирующей информации стоит на первом месте, стоит присмотреться к программным продуктам ViPNet. В них сочетаются все необходимые функции по защите информации и управлению доступом к различным сетевым ресурсам. Набор защищенных бизнес-приложений делает их использование для конечного пользователя еще более удобным и понятным.

На правах рекламы