Безопасность в Internеt
С. Рябко, АО ЭЛВИС+
Проблема информационной безопасности Internet (или корпоративной TCP/IP-сети) обсуждается в литературе давно.
Internet с удручающей периодичностью потрясают скандалы, суть которых можно выразить простым словосочетанием: хищение (или порча) информации. Эта ситуация не устраивает многих пользователей, в первую очередь тех, кто тяготеет к коммерческому использованию практически неограниченных ресурсов Internet.
Но Internet не был бы Internet'ом, если бы в его недрах не родилось решение, отвечающее выставляемым жизнью проблемам. Причем, техническая идея предложенного решения обладает общностью, позволяющей говорить о том, что Internet после ее внедрения по степени безопасности превзойдет даже специализированные закрытые корпоративные сети.
В значительной степени информационная безопасность Internet определяется особенностями базовых коммуникационной и операционной платформ - TCP/IP и UNIX. TCP/IP обладает высокой совместимостью как с различными по физической природе и скоростным характеристикам каналами, так и с широким кругом аппаратных платформ; кроме того, этот протокол в равной мере эффективно работает как в локальных сетях, так и в региональных и глобальных сетях; совокупность этих характеристик делает протокол TCP/IP уникальным средством для интеграции больших распределенных гетерогенных информационных систем.
И вот теперь мы можем говорить и об адекватном сетевом решении для обеспечения информационного безопасности для протокола TCP/IP. Это решение обладает фундаментальной универсальностью и общностью, оно позволяет с регулируемой степенью надежности защищать трафик всех без исключения пользователей и прикладных систем при полной прозрачности (невидимости для приложений) средств защиты.
Что представляют собой эти средства защиты?
Протокол, управляющий шифрованием трафика SKIP (Simple Key management for Internet Protocol) и созданный на его основе масштабируемый ряд продуктов защиты информации (ряд программных реализаций протокола SKIP для базовых аппаратно-программных платформ, устройство коллективной защиты локальной сети SKIPBridge, устройство сегментирования сетей и обеспечения регулируемой политики безопасности SunScreen).
Протокол управления криптоключами SKIP
SKIP (Simple Key mamagement for Internet Protocol - Простой протокол управления криптоключами в интерсети) разработан компанией Sun Microsystems в 1994 году и предложен в качестве стандарта Internet. На 33-й сессии "законодательного органа" Internet - комиссии Internet Engineering Task Force (IETF), прошедшей в июле этого года в Стокгольме была создана рабочая группа по протоколу SKIP, что можно считать первым шагом к принятию SKIP в качестве стандарта.
В основе SKIP лежит криптография открытых ключей Диффи-Хеллмана.
SKIP имеет, по сравнению с существующими системами шифрования трафика ряд уникальных особенностей:
- SKIP универсален: он шифрует IP-пакеты, не зная ничего о приложениях, пользователях или процессах, их формирующих; установленный в компьютере непосредственно над пакетным драйвером, он обрабатывает весь трафик, не накладывая никаких ограничений ни на вышележащее программное обеспечение, ни на физические каналы, на которых он используется
- SKIP сеансонезависим: для организации защищенного взаимодействия не требуется дополнительного информационного обмена (за исключением однажды и навсегда запрошенного открытого ключа партнера по связи)
- SKIP независим от системы шифрования (в том смысле, что различные системы шифрования могут подсоединяться к системе, как внешние библиотечные модули); пользователь может выбирать любой из предлагаемых поставщиком или использовать свой алгоритм шифрования информации; могут использоваться различные (в разной степени защищенные) алгоритмы шифрования для закрытия пакетного ключа и собственно данных.
Устройство обеспечения безопасности локальной сети SKIPBridge
Устройство SKIPBridge представляет собой систему, устанавливаемую на интерфейсе внутренняя/внешняя сеть (локальная сеть/коммуникационный провайдер). Устройство обеспечивает защиту (шифрование) трафика, направляемого из внутренней сети во внешнюю на основе протокола SKIP, а также фильтрацию и дешифрование трафика, поступающего из внешней сети во внутреннюю.
IP-пакеты, принимаемые из внешней сети, обрабатываются протоколом SKIP (расши-фровываются, фильтруются открытые пакеты в режиме только защищенного трафика, контролируется и обеспечивается имитозащита). Пакеты, прошедшие фильтрацию SKIP, при помощи протокола IP передаются программному обеспечению SKIPBridge, решающему задачи административной безопасности (обеспечивающему пакетную фильтрацию), и затем - операционной системе устройства SKIPBridge, которая маршрутизует пакеты на адаптер внутренней (локальной) сети.
Устройство SunScreen: аппаратная система защиты локальных сетей
SunScreen - это специализированная система защиты, разработанная компанией Sun Microsystems, решающая задачи развитой фильтрации пакетов, аутентификации и обеспечения конфиденциальности трафика. Устройство SunScreen выполнено на основе аппаратного модуля SPF-100. SPF-100 содержит SPARC-процессор, работающий под управлением специальной усеченной версии ОС Solaris, из которой изъяты функции низкоуровневой обработки IP-пакетов. SunScreen не имеет IP-адреса, поэтому он "невидим" из внешней сети и, поэтому, неподвержен прямой атаке.
Устройство SunScreen, содержит пять Ethernet-адаптеров, к которым могут подсоединяться четыре независимых сегмента локальной сети и коммуникационный провайдер. Для каждого сегмента обеспечивается настройка индивидуальной политики безопасности путем задания сложного набора правил фильтрации пакетов (по направлению распространения, по адресам отправителя/получателя, по протоколам и приложениям, по времени суток и т.д.).
Другой важной чертой SunScreen является поддержка протокола SKIP, что, с одной стороны используется для обеспечения безопасности работы, управления и конфигурирования систем SunScreen, а с другой - позволяет организовывать SKIP-защиту пользовательского трафика. Использование протокола SKIP в Screen-системах привностит несколько дополнительных возможностей. Screen-устройства могут инкапсулировать весь внешний трафик защищаемых локальных сетей в SKIP (производить SKIP-туннелиро-вание). При этом исходные IP-пакеты могут помещаться в блоки данных SKIP-пакетов, а сетевые адреса всех узлов внутренних сетей могут быть заменены на некоторые виртуальные адреса, отвечающие во внешней сети Screen-устройствам (адресная векторизация). В результате весь трафик между защищаемыми локальными сетями может выглядеть извне только как полностью шифрованный трафик между узлами-Screen-устрой-ствами. Вся информация, которая может быть в этом случае доступна внешнему наблюдателю - это временная динамика и оценка интенсивности трафика, которая, заметим, может маскироваться путем использования сжатия данных и выдачи "пустого" трафика.
Продукт SunScreen был признан журналом "LAN Magazin" продуктом 1996 года в категории firewall.
Заключение
Описанные технические решения - только часть бурно развивающейся индустрии обеспечения безопасности в Internet. Однако уже сейчас достаточно очевидно, что речь идет о возникновении новой, общной, выходящей по масштабу за пределы отдельного протокола технической идеи, которая полагает конец разрозненным техническим решениям в области безопасности и дает начало единой технологии построения защищенных коммуникаций.
[Назад]
[Содержание]
[Вперед]