Для управления безопасностью применяют индустриальный стандарт RADIUS (Remote Authentication Dial-In User Service), представляющий собой базу данных пользовательских профилей, которые содержат пароли (аутентификация) и права доступа (авторизация).
Средства обеспечения безопасности далеко не ограничиваются приведенными примерами. Многие производители маршрутизаторов и брандмауэров предлагают свои решения. Среди них – Ascend, CheckPoint и Cisco.
4.3. ДОСТУПНОСТЬ.
Доступность включает три в равной степени важные составляющие: время предоставления услуг, пропускную способность и время задержки. Время предоставления услуг является предметом договора с сервис-провайдером, а остальные две составляющие относятся к элементам качества услуг (Quality of Service - QoS). Современные технологии транспорта позволяют построить VPN, удовлетворяющие требованиям практически всех существующих приложений.
4.4. УПРАВЛЯЕМОСТЬ.
Администраторы сетей всегда хотят иметь возможность осуществлять сквозное, из конца в конец, управление корпоративной сетью, включая и ту часть, которая относится к телекоммуникационной компании. Оказывается, что VPN предоставляют в этом плане больше возможностей, чем обычные частные сети. Типичные частные сети администрируются «от границы до границы», т.е. сервис-провайдер управляет сетью до фронтальных маршрутизаторов корпоративной сети, в то время как абонент управляет собственно корпоративной сетью до устройств доступа к WAN. Технология VPN позволяет избежать этого своеобразного разделения «сфер влияний», предоставляя и провайдеру, и абоненту единую систему управления сетью в целом, как ее корпоративной частью, так и сетевой инфраструктурой общедоступной сети. Администратор сети предприятия имеет возможность выполнять мониторинг и реконфигурацию сети, управлять фронтальными устройствами доступа, определять состояние сети в режиме реального времени.
4.5. АРХИТЕКТУРА VPN.
Существуют три модели архитектуры виртуальных частных сетей: зависимая, независимая и гибридная как комбинация первых двух альтернатив. Принадлежность к той или иной модели определяется тем, где реализуются четыре основных требования, предъявляемых к VPN. Если провайдер сетевых глобальных услуг предоставляет полное решение для VPN, т.е. обеспечивает туннелирование, безопасность, производительность и управление, то это делает архитектуру зависимой от него. В этом случае все процессы в VPN для пользователя прозрачны, и он видит только свой нативный трафик – IP-, IPX- или NetBEUI–пакеты. Преимущество зависимой архитектуры для абонента заключается в том, что он может использовать существующую сетевую инфраструктуру «как она есть», добавляя лишь брандмауэр между VPN и частной WAN/LAN.
Независимая архитектура реализуется в том случае, когда организация обеспечивает все технологические требования на своем оборудовании, делегируя сервис-провайдеру лишь транспортные функции. Такая архитектура обходится дороже, однако предоставляет пользователю возможность полного контроля за всеми операциями.
Гибридная архитектура включает зависимые и независимые от организации (соответственно, от сервис-провайдера) сайты.
Какие же коврижки сулят VPN для корпоративных пользователей? Прежде всего, по оценкам индустриальных аналитиков, это снижение расходов на все виды телекоммуникаций от 30 до 80 %. А также это практически повсеместный доступ к сетям корпорации или других организаций; это реализация безопасных коммуникаций с поставщиками и заказчиками; это улучшенный и расширенный сервис, недостижимый в сетях PSTN, и многое другое. Специалисты рассматривают виртуальные частные сети как новую генерацию сетевых коммуникаций, а многие аналитики считают, что VPN вскоре заменят большинство частных сетей, базирующихся на арендуемых линиях.
ЗАКЛЮЧЕНИЕ.
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML//EN">
Internet: эволюция философии защиты.
Проблема защиты информации в Internet ставится и, с той или иной степенью эффективности, решается с момента появления сетей на основе протоколов семейства TCP/IP.
В эволюциях технологий защиты можно выделить три основных направления. Первое — разработка стандартов, имплиментирующих в сеть определенные средства защиты, прежде всего административной. Примером являются IP security option и варианты протоколов семейства TCP/IP, используемые в Министерстве обороны США. Второе направление — это культура межсетевых экранов (firewalls), давно применяемых для регулирования доступа к подсетям. Третье, наиболее молодое и активно развивающееся, направление — это так называемые технологии виртуальных защищенных сетей (VPN, virtual private network, или intranet).
Наблюдаемый в последние годы взрывной рост популярности Internet и связанных с ней коммерческих проектов послужил толчком для развития нового поколения технологий защиты информации в TCP/IP-сетях. Причем если ранее, вплоть до начала 90-х, основной задачей защиты в Internet было сохранение ресурсов преимущественно от хакерских атак, то в настоящее время актуальной становится задача защиты коммерческой информации.
Качественно это совершенно разные виды защиты. Атакующая коммерческую информацию сторона может позволить себе большие затраты на взлом защиты и, следовательно, существенно более высокий уровень: наблюдение трафика, перехват информации, ее криптоанализ, а также разного рода имитоатаки, диверсии и мошенничества.
Наивные способы защиты, такие как запрос пароля с последующей передачей его в открытом виде по коммуникационному каналу и списки доступа на серверах и маршрутизаторах, становятся в этих условиях малоэффективными. Что же может быть противопоставлено квалифицированной и технически вооруженной атакующей стороне? Конечно же, только полноценная, криптографически обеспеченная система защиты.
Предложений подобных средств на рынке Internet достаточно много. Однако по ряду параметров ни одно из них не может быть признано адекватным задачам защиты информации именно для Internet. Например, достаточно криптостойкой и замечательной по своей идее формирования «паутины доверия» является распространенная система PGP (Pritty good privacy). Однако, поскольку PGP обеспечивает шифрование файлов, она применима только там, где можно обойтись файловым обменом. Защитить, допустим, приложения on-line при помощи PGP затруднительно. Кроме того, уровень защиты PGP слишком высок. Стыковка защиты PGP с другими прикладными системами потребует определенных усилий, если, конечно, вообще окажется осуществимой.
Выбор технологии защиты информации для большой открытой системы — сети масштаба Internet, крупной корпоративной сети, сети коммуникационного провайдера, должен удовлетворять ряду специфических требований:
· наличие открытой спецификации, отсутствие монополизма в части технологических решений
· широкая масштабируемость решений по техническим и ценовым параметрам
· универсальность технологии, переносимость, многоплатформенность
· совместимость аппаратных, программных, коммуникационных решений
· обеспечение, при необходимости, комплексной защиты информации
· простота управления ключами и организации защищенных коммуникаций для вновь подключенных пользователей.
Полноценное использование сервера требует его подключения через местный маршрутизатор, который станет одним из рубежей защиты. Маршрутизатор можно запрограммировать таким образом, что он будет блокировать опасные функции и разрешать передачу поступающих извне запросов только в специально назначенные серверы.
Частичную защиту обеспечивает блокировка портов, реализуемая в большинстве современных маршрутизаторов путем формирования списков контроля доступа на основе языка команд маршрутизатора. Еще один способ защиты - сконфигурировать маршрутизатор так, чтобы он разрешал соединения из Internet только с теми компьютерами сети, информация на которых открыта для всеобщего пользования. Остальные части сети изолируются от этих компьютеров брандмауэрами или иными средствами. Такой способ защиты используется многими крупными корпорациями.
По своим функциям к маршрутизаторам примыкают автономные пакеты фильтрации трафика, устанавливаемые на ПК или рабочих станциях. Типичным продуктом этого класса является ПО FireWall-1 компании CheckPoint Software Technologies, инсталлируемое на рабочие станции фирмы Sun и выполняющее фильтрацию входного и выходного потоков. FireWall-1 в отличие от маршрутизаторов способен динамически открывать пути передачи данных в соответствии с протоколами Internet, например с FTP. Кроме того, данный пакет снабжен удобным в работе графическим интерфейсом, средствами оповещения об угрозе взлома системы защиты и средствами регистрации доступа к сети, генерирующими сообщения о необычных действиях. Подобные продукты, как правило, обеспечивают лучшую защиту по сравнению с маршрутизаторами, но отличаются высокой стоимостью. Брандмауэры Маршрутизаторы и продукты типа только что рассмотренного ПО FireWall-1 не имеют некоторых функций, повышающих степень защищенности от опасных вторжений в сеть. Например, при передаче потока данных они не анализируют его содержимое и не в состоянии осуществлять проверку полномочий на доступ к ресурсам сети. Такими возможностями обладают брандмауэры - выделенные компьютеры с активными функциями фильтрации информационных потоков в точке связи локальной сети с внешним миром. Основная задача систем этой категории - изолировать сеть от посягательств извне путем просмотра пакетов данных, блокировки "подозрительных" видов трафика и использования специальных средств подтверждения полномочий на доступ. Таким образом, брандмауэр выступает в роли сторожа, не пропускающего любые входные или выходные данные, которые не соответствуют явно сформулированным критериям. Сегодня на рынке имеется широкий выбор средств защиты данных на основе брандмауэров.