Безопасность в Internet- Intranet

       

Защита данных при передаче через публичные сети


Средства контроля доступа защищают внутренние ресурсы сети от преднамеренного и непреднамеренного разрушения или использования. Широкое использование Internet и других публичных сетей для организация различных связей предприятия делает необходимым защищать информацию также и при ее передаче. Эта задача решается средствами создания виртуальных частных сетей (VPN) в публичных сетях с коммутацией пакетов. Средства VPN организуют в публичных сетях защищенные каналы, по которым передаются корпоративные данные. Технология VPN предусматривает комплексную защиту передаваемых данных: при создании VPN-канала проверяется аутентичность двух сторон, создающих канал, а затем каждый пакет переносит цифровую подпись отправителя, удостоверяющую аутентичность и целостность пакета. Для защиты от несанкционированного доступа пакеты могут шифроваться, причем для скрытия адресной информации, раскрывающей внутреннюю структуру сети, пакеты могут шифроваться вместе с заголовком и инкапсулироваться во внешний пакет, несущий только адрес внешнего интерфейса VPN-шлюза.

Предыдущие поколения VPN-шлюзов (защищающих данные всех узлов сети) и VPN-клиентов (защищающих данные отдельного компьютера) во многом использовали фирменные алгоритмы и протоколы защиты данных (для аутентификации сторон, реализации цифровой подписи и шифрования). Сегодня ситуация изменилась - основой для организации защищенных VPN-каналов стал комплекс стандартов Internet, известный под названием IPSec. Стандартам IPSec свойственна гибкость: в них оговорены обязательные для аутентификации и шифрования протоколы и алгоритмы, что обеспечивает базовую совместимость IPSec-продуктов, и в то же время разработчику продукта не запрещается дополнять этот список другими протоколами и алгоритмами, что делает возможным постоянное развитие системы безопасности. Для аутентификации сторон и генерации сессионных ключей в IPSec предусмотрена возможность использования цифровых сертификатов и инфраструктуры PKI, что делает решение IPSec масштабируемым и согласованным с другими средствами защиты, например, контроля доступа. Протоколы IPSec прошли успешную широкомасштабную проверку в экстрасети ANX автомобильных концернов Америки, и поддержка IPSec сегодня стала обязательным условием для перспективных VPN-продуктов.

Средства VPN предприятия должны эффективно поддерживать защищенные каналы различного типа:


Спектр VPN-продуктов, выпускаемых компанией CheckPoint, позволяет на основе открытых стандартов защитить передаваемые данные для всех типов коммуникаций, использующих публичные сети, а также для наиболее ответственных соединений внутри корпоративной сети:

Для защиты соединений "сеть-сеть" как в рамках intranet (то есть соединений между сетями предприятия), так и в рамках extranet (соединений сетей предприятия с сетями партнеров по бизнесу) могут использоваться продукты VPN-1 Gateway или VPN-1 Appliance.

VPN-1 Gateway представляет собой программное решение, объединяющее функции межсетевого экрана FireWall-1 с VPN-функциями на основе платформ Windows NT или Unix. Линия продуктов VPN-1 Appliance представляет собой несколько моделей специализированных аппаратно-программных устройств, разработанных компанией CheckPoint совместно с компанией Nokia.

Как VPN-1 Gateway, так и устройства VPN-1 Appliance, поддерживают стандарты IPSec, IKE, цифровые сертификаты X.509 и инфраструктуру публичных ключей PKI. Реализация протоколов IPSec в VPN-продуктах компании CheckPoint прошла сертификацию ICSA, что гарантирует возможность установления защищенных extranet-каналов с предприятиями-партнерами, пользующимися стандартными IPSec-продуктами. Помимо IPSec, данные продукты поддерживают защиту передаваемых данных на основе распространенного в Internet протокола SKIP, а также с помощью фирменного протокола FWZ. Для аутентификации пользователей могут применяться все схемы, описанные выше в разделе 3.

Устройства линии VPN-1 Appliance объединяют функциональные возможности VPN-1 Gateway с развитыми методами IP-маршрутизации от компании Nokia. Устройства VPN-1 Appliance предназначены для организации защищенных каналов в крупных и средних организациях, в которых особенно необходимы высокая производительность и надежность, обеспечиваемые специально спроектированной аппаратной платформой. Устройство VPN-1 Appliance очень удобно использовать в удаленных офисах предприятия, в которых часто отсутствует квалифицированный персонал. Разработанное компанией Nokia и основанное на Web приложение Network Voyager позволяет конфигурировать и управлять шлюзом VPN-1 Appliance с помощью стандартного Web-браузера из любой точки сети. Первое место и награда "Blue Ribbon", присужденные VPN-1 Appliance журналом Network World в апреле 1999 года по результатом тестирования шлюзов VPN от шести ведущих производителей, свидетельствуют о больших перспективах этой новой линии продуктов CheckPoint.

Удаленные и мобильные сотрудники предприятия могут поддерживать защищенные связи с сетями своего предприятия с помощью клиентского программного обеспечения VPN-1 SecuRemote и VPN-1 SecureClient. VPN-1 SecuRemote поддерживает станадрты IPSec, IKE и цифровые сертификаты, что позволяет устанавливать VPN-соединения не только с шлюзами своего предприятия, но и с шлюзами предприятий-партнеров в рамках extranet. Продукт VPN-1 SecureClient добавляет к VPN-возможностям SecuRemote функции контроля доступа на основе той же технологии Stateful Inspection которая применяется в продуктах FireWall-1/VPN-1. Использование VPN-1 SecureClient усиливает защиту предприятия за счет того, что установление VPN-соединения разрешается удаленному компьютеру только в том случае, когда его конфигурация безопасности соответствует установленной администратором предприятия.

С помощью продукта VPN-1 SecureServer можно обеспечить полную функциональность защиты FireWall-1/VPN-1 для отдельного ответственного сервера предприятия, что может быть полезно в незащищенных удаленных офисах, а также для обеспечения дополнительных мер безопасности для определенного сервера внутренней подсети предприятия.

Все продукты VPN компании CheckPoint работают с различными системами и средствами поддержки инфраструктуры публичных ключей от ведущих производителей, что позволяет предприятию без проблем организовывать защиту данных при установлении соединений с предприятиями-партнерами.




  • с удаленными и мобильными сотрудниками (защищенный удаленный доступ)
  • с сетями филиалов предприятий (защита intranet)
  • с сетями предприятий-партнеров (защита extranet)


  • Для защиты удаленного доступа важно наличие клиентских частей VPN для основных клиентских операционных систем, которые сегодня пока не поддерживают протоколы IPSec в стандартной поставке. От шлюза VPN в этом варианте требуется хорошая масштабируемость для поддержания сотен, а возможно и тысяч защищенных соединений.

    При защите extranet основным требованием является соответствие реализации VPN-продуктов стандартам IPSec, что с большой степенью уверенности подтверждается наличием у продукта сертификата ICSA.

    Предприятие может снять с себя часть забот по защите данных, воспользовавшись услугами провайдера по организации VPN. Провайдер настраивает параметры защищенных каналов для своих клиентов в соответствии с их требованиями, а при необходимости дополняет услуги VPN услугами межсетевого экрана, также настраиваемого по заданию пользователя.

    В том случае, когда VPN-шлюз поддерживает удаленное защищенное управление, провайдер может взять на себя услуги по конфигурированию и эксплуатации шлюза, установленного на территории пользователя.


    Содержание раздела