Шлюз безопасности vpn

Технологии виртуальных защищенных сетей VPN

Задача реализация корпоративной сети компании в рамках одного здания может быть решена относительно легко. Однако на сегодня инфраструктура компаний имеет географически распределенные отделы самой компании. Реализация защищенной корпоративной сети в таком случае задача более сложного плана. В таких случаях зачастую используют безопасные vpn сервера.

Концепция построения виртуальных защищенных сетей VPN

В концепции создании виртуальных сетей VPN лежит простая идея — если в глобальной сети есть 2 узла, которым нужно обменяться данными, то между ними нужно создать виртуальный защищенный туннель для реализации целостности и конфиденциальности данных, передающих через открытые сети.

Основные понятие и функции сети VPN

При наличии связи между корпоративной локальной сетью и сетью Интернет возникают угрозы информационной безопасности двух типов:

• несанкционированный доступ к ресурсам локальной сети через вход
• несанкционированный доступ к информации при передаче через открытую сеть Интернет

Защита данных при передаче по открытым каналам основана на реализации виртуальных защищенных сетей VPN. Виртуальной защищенной сетью VPN называют соединение локальные сетей и отдельных ПК через открытую сеть в единую виртуальную корпоративную сеть. Сеть VPN разрешает с помощью туннелей VPN создавать соединения между офисами, филиалами и удаленными пользователями, при этом безопасно транспортировать данные (рис.1).

Рисунок — 1

Туннель VPN являет собой соединение, проходящее через открытую сеть, где транспортируются криптографически защищенные пакеты данных. Защита данных при передаче по туннелю VPN реализована на следующих задачах:

• криптографическое шифрование транспортируемых данных
• аутентификация пользователей виртуальной сети
• проверка целостности и подлинности передаваемых данных

VPN-клиент являет собой программный или аппаратный комплекс, работающий на основе персонального компьютера. Его сетевое ПО изменяется для реализации шифрования и аутентификации трафика.

VPN-сервер — также может быть программным или аппаратным комплексом, реализующий функции сервера. Он реализует защиту серверов от несанкционированного доступа из других сетей, а также организацию виртуальной сети между клиентами, серверами и шлюзами.

Шлюз безопасности VPN — сетевое устройство, подключаемое к 2 сетям и реализует функции аутентификации и шифрования для множества хостов, находящихся за ним.

Суть туннелирования заключается в том, чтобы инкапсулировать (упаковать) данные в новый пакет. Пакет протокола более низкого уровня помещается в поле данных пакета протокола более высокого или такого же уровня (рис.2). Сам процесс инкапсуляции не защищает от искажения или несанкционированного доступа, он разрешает защитить конфиденциальность инкапсулированных данных.

Рисунок — 2

При прибытии пакета в конечную точка виртуального канала из него извлекается внутренний исходных пакет, расшифровывают и используют дальше по внутренней сети (рис.3).

Рисунок — 3

Также инкапсуляция решает проблему конфликта двух адресов между локальными сетями.

Варианты создания виртуальных защищенных каналов

При создании VPN есть два популярных способа(рис.4):

• виртуальных защищенный канал между локальными сетями (канал ЛВС-ЛВС)
• виртуальный защищенных канал между локальной сетью и узлом (канал клиент-ЛВС)

Рисунок — 4

Первый метод соединения разрешает заменить дорогие выделенные каналы между отдельными узлами и создать постоянно работающие защищенные каналы между ними. Здесь шлюз безопасности служит интерфейсом между локальной сетью и туннелем. Многие предприятия реализуют такой вид VPN для замены или дополнения к Frame Relay.

Вторая схема нужна для соединения с мобильными или удаленными пользователями. Создания туннеля инициирует клиент.

С точки зрения информационной безопасности самым лучшим вариантом является защищенный туннель между конечными точками соединения. Однако такой вариант ведет к децентрализации управления и избыточности ресурсов, ибо нужно ставить VPN на каждом компьютере сети. Если внутри локальной сети, которая входит в виртуальную, не требует защиты трафика, тогда в качестве конечной точки со стороны локальной сети может выступать межсетевой экран или маршрутизатор этой же сети.

Методы реализации безопасности VPN

При создании защищенной виртуальной сети VPN подразумевают, что передаваемая информация будет иметь критерии защищаемой информации, а именно: конфиденциальность, целостность, доступность. Конфиденциальность достигается с помощью методов асимметричного и симметричного шифрования. Целостность транспортируемых данных достигается с помощью электронно-цифровой подписи. Аутентификация достигается с помощью одноразовых/многоразовых паролей, сертификатов, смарт-карт, протоколов строгой аутентификации.

Для реализации безопасности транспортируемой информации в виртуальных защищенных сетях, нужно решить следующие задачи сетевой безопасности:

• взаимная аутентификация пользователей при соединении
• реализация конфиденциальности, аутентичности и целостности транспортируемых данных
• управление доступом
• безопасность периметра сети и обнаружение вторжений
• управление безопасностью сети

VPN-решения для создания защищенных сетей

Классификация сетей VPN

На основе глобальной сети Интернет можно реализовывать почти все виды трафика. Есть разные схемы классификации VPN. Самая распространенная схема имеет 3 признака классификации:

• рабочий уровень модели OSI
• архитектура технического решения VPN
• метод технической реализации VPN

Защищенный канал — канал между двумя узлами сети, вдоль определенного виртуального пути. Такой канал можно создать с помощью системных методов, основанных на разных уровнях модели OSI (рис.5).

Рисунок — 5

Можно заметить, что VPN создаются на достаточно низких уровнях. Причина такова, что чем ниже в стеке реализованы методы защищенного канала, тем проще их реализовать прозрачными для приложений. На канальном и сетевом уровнях зависимость приложений от протоколов защиты исчезает. Если для защиты информации реализован протокол из верхних уровней, то способ защиты не зависит от технологии сети, что можно считать плюсом. Однако приложение становится зависимым от конкретного протокола защиты.

VPN канального уровня. Методы на таком уровня разрешают инкапсулировать трафик третьего уровня (и более высоких) и создавать виртуальные туннели типа точка-точка. К таким относят VPN-продукты на основе протокола L2F, PPTP, L2TP.

VPN сетевого уровня. VPN-продукты такого уровня реализуют инкапсуляцию IP в IP. К примеру используют протокол ipsec.

VPN сеансового уровня. Некоторые VPN реализуют подход «посредники каналов», такой метод работает над транспортным уровнем и ретранслирует трафик из защищенной сети в общедоступною сеть Интернет для каждого сокета отдельно.

Классификация VPN по архитектуре технического решения

• внутрикорпоративные VPN — нужны для реализации защищенной работы между отделами внутри компании
• VPN с удаленным доступом — нужны для реализации защищенного удаленного доступа к корпоративным информационным ресурсам
• межкорпоративные VPN — нужны между отдельными частями бизнеса разнесенных географически

Классификация VPN по методу технической реализации

• VPN на основе маршрутизаторов — задачи защиты падают на устройство маршрутизатора
• VPN на основе межсетевых экранов — задачи защиты падают на устройство межсетевого экрана
• VPN на основе программных решений — применяется ПО, которое выигрывает в гибкости и настройке, однако проигрывает в пропускной способности
• VPN на основе специальных аппаратных устройствах — устройства, где шифрование реализовано специальными отдельными микросхемами, реализуют высокую производительность за большие деньги

Шлюз безопасности vpn

Надеемся, что Вы указали достаточно контактной информации, и наши сотрудники смогут связаться с Вами в ближайшее время.

Согласие на обработку персональных данных

Пользователь, регистрируясь на сайте, дает свое согласие ООО «Айдеко», расположенному по адресу 620144, г. Екатеринбург, ул. Кулибина 2, оф.500, на обработку своих персональных данных со следующими условиями:

1. Согласие дается на обработку своих персональных данных с использованием средств автоматизации.
2. Согласие дается на обработку следующих персональных данных:
   1. Номера контактных телефонов;
   2. Адрес электронной почты;
   3. Место работы и/или занимаемая должность;
   4. Город пребывания или регистрации.
3. Целью обработки персональных данных является: предоставление доступа к материалам сайта http://ideco.ru, доступа к сервису on-line вебинаров или подготовки документов для согласования вариантов развития договорных отношений, включая коммерческие предложения, спецификации, проекты договоров или платежных документов.
4. В ходе обработки с персональными данными будут совершены следующие действия: сбор, систематизация, накопление, хранение, уточнение, использование, блокирование, уничтожение.
5. Основанием для обработки персональных данных является ст. 24 Конституции Российской Федерации; ст.6 Федерального закона №152-ФЗ «О персональных данных»; Устав ООО «Айдеко», иные федеральные законы и нормативно-правовые акты.
6. Передача персональных данных может осуществляться третьим лицам только в порядке, установленном законодательством Российской Федерации или при получении дополнительного согласия Пользователя.
7. Данное согласие действует до момента реорганизации или ликвидации ООО «Айдеко». Также Согласие может быть отозвано Пользователем, путем направления письменного заявления на почтовый адрес ООО «Айдеко».
8. Хранение персональных данных осуществляется согласно Приказу Министерства культуры РФ от 25.08.2010 №558 об утверждении «Перечня типовых управленческих документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» и иным нормативно-правовым актам в области архивного дела и архивного хранения.

Лицензионное Соглашение

о предоставлении прав на тестовое использование Программного Комплекса «Интернет-Шлюз Ideco ICS 6»

Лицензия ООО «Айдеко» на право использования программы для ЭВМ «Программный комплекс «Интернет-шлюз Ideco ICS 6» (далее – «Программа»):

1. Настоящая лицензия на право использования Программы (далее — «Лицензия») предоставляется лицу – конечному пользователю (далее — «Лицензиат») Лицензиаром — ООО «Айдеко» и содержит информацию об ограничении прав на тестовое использование Программы, включая любые ее компоненты.
2. Если Вы не согласны с условиями Лицензии, Вы не имеете права устанавливать, копировать или иным способом использовать данную Программу и любые ее компоненты, и должны их удалить.
3. Лицензиар предоставляет Лицензиату неисключительное право, которое включает использование Программы и ее компонентов следующими способами: право на воспроизведение, ограниченное правом инсталляции запуска, в объемах использования, предусмотренными настоящей Лицензией. Право на использование Программы и ее компонентов предоставляется исключительно с целью ознакомления и тестирования сроком на 1 (один) месяц с даты, указанной в настоящей лицензии.
4. Программа поставляется как есть, Лицензиар устранил все известные ему ошибки, остается вероятность выявления ошибок при дальнейшей эксплуатации.
5. Лицензиату известны важнейшие функциональные свойства Программы, в отношении которых предоставляются права на использование, и Лицензиат несет риск соответствия Программы его ожиданиям и потребностям, а также риск соответствия условий и объема предоставляемых прав своим ожиданиям и потребностям.
6. Лицензиар не несет ответственность за какие-либо убытки, ущерб, независимо от причин его возникновения, (включая, но не ограничиваясь этим, особый, случайный или косвенный ущерб, убытки, связанные с недополученной прибылью, прерыванием коммерческой или производственной деятельности, утратой деловой информации, небрежностью, или какие-либо иные убытки), возникшие вследствие использования или невозможности использования Программы и любых ее компонентов.
7. Лицензиат может устанавливать и использовать одну копию Программы на одном компьютере или сервере.
8. Программа включает технологии защиты от копирования, чтобы предотвратить ее неправомочное копирование. Запрещено незаконное копирование Программы и любых ее компонентов, удаление или изменение защиты от копирования.
9. Лицензиат не может модифицировать и декомпилировать Программу и любые ее компоненты, изменять структуру программных кодов, функции программы, с целью создания родственных продуктов, распространять или содействовать распространению нелицензионных копий Программы и любых ее компонентов.
10. Не допускается аренда и передача Программы и любых ее компонентов третьими лицам, а также распространение Программы и любых ее компонентов в сети Интернет.
11. По истечению тестового периода использования Программы Лицензиат обязан деинсталлировать Программу и все ее компоненты (удалить из памяти ЭВМ), удалить все сделанные копии Программы и ее компонентов, и уведомить об этом Лицензиара, либо приобрести право на использование Программы.

VPN на основе протокола PPTP: как повысить безопасность?

Архив номеров / 2007 / Выпуск №4 (53) / VPN на основе протокола PPTP: как повысить безопасность?

Дмитрий Рощин

VPN на основе протокола PPTP: как повысить безопасность?

В настоящее время большинство специалистов считают протокол PPTP ненадежным с точки зрения безопасности и не рекомендуют его использование для создания виртуальных частных сетей (VPN). Однако существует способ построения VPN на основе этого протокола с уровнем защищенности, достаточным для использования в корпоративной среде, и минимальными финансовыми затратами.

Нелегкая судьба протокола PPTP

Протокол PPTP (Point-to-Point Tunneling Protocol) разработан компанией Microsoft совместно с компаниями Ascend Communications, 3Com/Primary Access, ECI-Telematics и US Robotics. Этот протокол получил статус интернет-стандарта, но так и не был утвержден.

Для организации туннеля в PPTP используется протокол GRE (Generic Routing Encapsulation), а для шифрования трафика используется MPPE (Microsoft Point-to-Point Encryption), протокол для шифрования пакетов протокола PPP потоковым шифром RC4.

Фактически задача PPTP состоит в организации шифрованного туннеля, внутри которого будет работать протокол PPP.

GRE не единственный протокол транспортного (согласно модели OSI) уровня, используемый в PPTP – для организации управляющего канала PPTP использует протокол TCP (порт 1723).

В реализации Microsoft поддерживаются следующие методы аутентификации: PAP, CHAP, SPAP, MSCHAP v1, MSCHAP v2, EAP. Несмотря на наличие ряда «врожденных» дефектов, о которых я еще скажу далее, данный протокол до сих пор активно используется многими организациями благодаря тому, что до появления L2TP/IPSEC это был единственный VPN-протокол, поддержка которого была встроена в ОС Windows.

Итак, как настроить PPTP VPN таким образом, чтобы обеспечить максимально возможный для данного протокола уровень безопасности? Думаю, что предложенное решение будет интересно еще и как очередной пример взаимодействия в рамках конкретной задачи коммерческого программного обеспечения с программным обеспечением, имеющим открытый исходный код.

В первоначальном виде протокол PPTP представлял собой настоящее решето. Буквально все его составляющие были уязвимы к различным видам атак. Пароли в виде LM-хэшей; алгоритм MSHAP v1 (сплошное недоразумение); шифрование MPPE (многократное использование ключей шифрования, атаки на шифр RC4, генерация ключей шифрования на основе пароля пользователя); полное отсутствие аутентификации сервера и проверки подлинности шифрованных пакетов; отсутствие шифрования во время установления PPP-соединения; нет никакой защиты канала управления и т. д.

Все эти уязвимости были выявлены в 1998 году Брюсом Шнаером [1]. После чего Microsoft провела работу по усилению безопасности и улучшению качества кода реализации PPTP. Новая версия протокола получилась более защищенной, появилась вторая версия протокола MSCHAP.

Однако в скором времени все тот же неугомонный Брюс Шнаер в 1999 году опять провел криптографический анализ уже обновленного протокола [2]. Результаты снова оказались неутешительными, это и понятно, ведь многие из уязвимостей существуют из-за недоработок в дизайне протокола. Осталась генерация ключей шифрования на основе пароля пользователя, равно как и отсутствие проверки подлинности шифрованных пакетов, шифрование во время установления PPP-соединения по-прежнему отсутствует.

В 2003 году Джошуа Райт написал утилиту asleap [3], которая за доли секунд взламывает слабые пароли, защищенные алгоритмом MSCHAPv2, а чуть позже в нее был добавлен функционал работы с PPTP (см. рис. 1). Эта утилита изначально разрабатывалась для атак на патентованный протокол Cisco Systems LEAP. Многие специалисты по информационной безопасности, увидев ее в действии, начали призывать махнуть рукой на ущербный от рождения протокол, мол, горбатого могила исправит, и переходить на L2TP/IPsec.

Рисунок 1. Демонстрация работы asleap

Конечно, уровень безопасности протокола IPSEC на порядок выше, чем PPTP, однако есть один нюанс, который позволяет и PPTP от Microsoft отстоять свое право на существование. И вот в чем он заключается.

Свет в конце туннеля

Главная уязвимость PPTP на сегодняшний день заключается в слабости алгоритмов парольной аутентификации (MSCHAP, MSCHAPv2), а также в том, что при использовании этих алгоритмов сессионные ключи MPPE получаются из пользовательского пароля [4]. Ведь редкий пользователь установит себе пароль типа «3hEML@4rj897#KJK$$», его будет сложновато запомнить, а вот, например, пароль «boomer» запомнить легко. А наличие простого пароля хотя бы у одного пользователя делает возможным проникновение злоумышленника во внутреннюю сеть организации. Здесь мы наблюдаем изначально неправильный подход к решению задачи – безопасность системы аутентификации и шифрования ставится в зависимость от пользователя.

Ситуация в корне меняется, если вместо парольной аутентификации использовать аутентификацию EAP-TLS – расширение протокола PPP, разработанное Microsoft, которое позволяет использовать для взаимной аутентификации SSL-сертификаты. Этот метод аутентификации лишен недостатков MSCHAPv [1, 2], так как аутентификация пользователя производится по уникальному ключу, который генерируется на основе случайных данных. На сегодняшний день использование SSL-сертификатов является одним из самых надежных методов аутентификации. Тот факт, что с его использованием построено большинство современных систем электронной коммерции и интернет-банков, говорит о многом.

В случае использования сертификатов, с длиной ключа 2048 бит на сегодняшний день, EAP-TLS практически невозможно взломать.

Сеансовые ключи MPPE в данном случае генерируются на основе ключа TLS master secret, полученного в процессе аутентификации TLS. Клиенты также получают возможность проверки подлинности сервера еще на этапе аутентификации. Кроме того, использование EAP-TLS дает нам возможность применять двухфакторную аутентификацию клиентов, используя смарт-карты или электронные ключи e-token. Такая конфигурация позволяет выжать максимум безопасности из протокола PPTP и достичь компромисса между безопасностью, удобством работы пользователей и стоимостью всего решения.

Рассмотрим пример практической реализации VPN с использованием двухфакторной аутентификации по протоколу EAP-TLS.

Предположим, что согласно ТЗ, полученному от IT-директора компании Testco, нам необходимо обеспечить безопасный удаленный доступ в локальную сеть компании 3 группам сотрудников (см. таблицу).

Техническое задание для обеспечения безопасного удаленного доступа в локальную сеть компании

Угрозы для VPN

• Ключевые слова :
• VPN
• Защита информации
• Кибератаки

Термин Virtual Private Network, то есть виртуальная частная сеть, приобрел в последнее время широкую известность, поскольку с помощью VPN можно в принципе обойти блокировку сайтов. Впрочем, переоценивать возможности этой технологии не стоит — у нее есть свои проблемы и уязвимости, к тому же законодатели собираются ввести запрет на пользование услугами VPN от иностранных компаний.

ВАРИАНТЫ VPN

Приватность VPN обычно достигается шифрованием, при этом применяемые криптографические методы обеспечивают такую защиту, чтобы посторонние не могли ни прочитать сообщение, ни установить источник передачи. Однако, для того чтобы посмотреть данные в зашифрованном соединении, хакерам вовсе необязательно взламывать алгоритм шифрования. Прежде чем обсуждать используемые ими приемы, стоит привести классификацию самих технологий создания VPN.

IPSec VPN. Эта технология основана на протоколе шифрования IPSec, который разрабатывался как часть подсистемы шифрования IPv6, но был перенесен на базу IPv4. Ясно, что при переходе на IPv6 криптографические функции будут реализовываться самим протоколом. Шифрование выполняется на уровне сетевых библиотек оконечных устройств, поэтому их IP-адреса, необходимые для маршрутизации, не скрываются. В результате протокол можно легко заблокировать на уровне шлюза, а значит, его использование при подключении домашних пользователей может быть ограничено.

SSL VPN. Эта технология построения частной сети базируется на протоколе TLS (ранее он назывался SSL). Шифрование выполняется на уровне браузера, поскольку TLS — часть защищенного протокола HHTPS. SSL VPN реализуется преимущественно на корпоративных шлюзах и используется для доступа мобильных пользователей к Web-ресурсам корпоративной сети. IP-адреса тоже не скрываются, так как на уровне браузера используются стандартные сетевые библиотеки. Основное достоинство данного подхода — простота. Установка дополнительного программного обеспечения на клиенте не нужна, а на уровне транспорта используется протокол HTTP, который редко блокируется фильтрами.

Tor. Технология разрабатывалась в первую очередь для обеспечения анонимности в Интернете, поэтому в данном протоколе предусматривается шифрование всей информации, в том числе адреса отправителя. Единая сквозная адресация отсутствует: каждый отдельный маршрутизатор «знает» только ближайшие к нему устройства, которым он должен передать полученную информацию. Естественно, обмен между всеми участниками шифруется. Следует отметить, что Tor решает две задачи: обеспечение конфиденциальности и анонимность коммуникации, — поэтому выявление реальных IP-адресов отправителя или получателя уже является успешной атакой.

Другие варианты. Проприетарных решений по организации VPN — великое множество. Они позволяют организовать взаимодействие между узлами сети, на каждом из которых имеется ПО одного производителя. В России немало поставщиков таких решений, поскольку существует собственная школа шифрования и есть унаследованные технологии. Для примера можно назвать компании «ИнфоТеКС» и «Код безопасности», которые выпускают собственные достаточно популярные продукты. Некоторые из них также скрывают IP-адреса участников, каждый из которых взаимодействует со всеми остальными участниками сети только через шлюз. В отличие от других технологий, при этом используются нестандартные протоколы и алгоритмы шифрования, что не позволяет подключиться к такой сети с помощью программного обеспечения другого поставщика. Схема «звезда» позволяет обеспечить высокий уровень скрытности, но создает большую нагрузку на шлюз.

Строго говоря, есть еще MPLS VPN, где шифрование не используется: пакеты, принадлежащие разным частным сетям, разделяются при помощи специальных MPLS-меток или тегов. Для реализации таких VPN нужно, чтобы все маршрутизаторы в сети поддерживали данную технологию, но осуществить это в масштабах всего Интернета невозможно. Некоторые операторы предлагают в своей сети услугу MPLS VPN, однако пользователь оказывается привязан к конкретному поставщику услуг, у которого точки присутствия должны располагаться поблизости от всех офисов заказчика. К тому же модель угроз для такой VPN существенно отличается от модели для криптографических VPN и по сути состоит из одного пункта — атаки на оператора (внутренние или внешние). Поэтому мы не будем рассматривать MPLS VPN подробно.

УГРОЗЫ

Каждый клиент использует VPN для решения определенных задач. С помощью этой технологии к сети центрального офиса подключаются удаленные филиалы, дистанционные рабочие места или мобильные сотрудники. Банки могут предоставлять услуги доступа к платежным сервисам, обеспечивая безопасность по VPN, а операторы — предлагать услуги защищенного соединения своим клиентам. Но массовую популярность технология VPN приобрела после создания реестра запрещенных сайтов и ограничения доступа к ним.

Услуги VPN обхода блокировки сайтов предоставляют в основном иностранные компании. В этом случае канал между клиентом и оператором шифруется, чтобы не было понятно, к какому сайту запрашивается доступ, а само подключение выполняется с иностранного IP, принадлежащего оператору. Чаще всего для этого используется Tor — тогда маршрутизатор оператора, который должен заблокировать трафик, не может определить конечного получателя и отправителя пакета.

В зависимости от цели использования VPN, можно выделить следующие основные угрозы.

Man-in-the-middle (MITM) — «шпион посредине» (см. рис. 1). Это атака на VPN, при которой злоумышленник вклинивается в канал шифрования между отправителем и получателем, создавая два отдельных шифрованных соединения. Обычно такая атака осуществляется в момент обмена ключами шифрования: злоумышленник перехватывает их и навязывает обеим общающимся сторонам свои ключи. При использовании SSL и сертификатов ему достаточно встроиться в цепочку доверия браузера.

Например, именно так перехватываются SSL-VPN правительствами США, Японии и Китая, поскольку сертификаты правительственных центров этих стран находятся в числе доверенных в большинстве браузеров. Методика перехвата зашифрованного соединения при этом следующая: в инфраструктуре DNS соответствующей страны для сайтов, которые нужно прослушивать, указываются IP-адреса правительственного центра. Когда клиент пытается обратиться к подконтрольному сайту, ему возвращаются адреса правительственного центра.

Поскольку используемый сертификат признается как доверенный, клиент полагает, что соединение защищено. Далее уже правительственный центр расшифровывает трафик, протоколирует его, вновь зашифровывает и пересылает на соответствующий сайт. В результате клиент может и не знать, что взаимодействует с серверами перечисленных правительств, считая, что взаимодействует с требуемым ему сайтом.

Примерно по такой схеме, например, работает Большой китайский межсетевой экран. В отношении правительств США и Японии нет данных о таком способе прослушки, однако среди доверенных сертификатов есть в том числе и правительственные центры сертификации указанных стран. Поэтому при использовании SSL VPN стоит проверить список доверенных сертификатов и деактивировать в нем те удостоверяющие центры, которые вам не нужны (см. рис. 2).

Следует отметить, что российского правительственного сертификата в списке нет, поэтому даже сайт госуслуг имеет иностранный сертификат компании Comodo. В результате потенциально возможна ситуация, когда по политическим причинам сертификат может быть отозван и сайт сразу станет недоверенным.

Общим же методом защиты от MITM-атак является взаимная аутентификация отправителя и получателя до установления соединения, для чего обычно используются инфраструктура открытых ключей (PKI) или другие методы верификации отправителя и получателя.

Man-in-the-browser (MITB) — «шпион в браузере». Это вариант атаки MITM, при котором перехват шифрованного соединения происходит в браузере отправителя или получателя. Строго говоря, информация перехватывается еще до шифрования с помощью вредоносных компонент, написанных на JavaScript,. NET или других языках, с использованием которых создаются модули расширения для браузеров. Эта атака характерна в основном для SSL VPN, организуемой посредством браузера, и браузерного модуля Tor.

В случае сетевых VPN браузер может быть использован для раскрытия анонимного источника. Например, во многие браузеры встраивается поддержка WebRTC, которая позволяет провести видеоконференцию непосредственно в Web-интерфейсе. Однако, если страница с конфигурацией WebRTC загружается с сервера, то само взаимодействие между клиентами выполняется напрямую. В результате появляется возможность раскрытия анонимности путем обращения через анонимное соединение к нужному абоненту и навязывания ему общения напрямую. Конечно, сам WebRTC предусматривает механизмы шифрования и защиты от прослушивания, но реальный IP-адрес уже будет идентифицирован. Аналогичным способом злоумышленник может раскрыть анонимность с помощью DNS, например, подставив на сайт, защищенный с помощью Tor, ссылку на собственный открытый Web-ресурс.

Защититься от MITB можно посредством контроля среды исполнения модулей браузера — например, с помощью антивируса. Некоторые антивирусы позволяют проверять сценарии, написанные на JavaScript и других браузерных языках, на вредоносность, так что не стоит ими пренебрегать. А некоторые решения для организации SSL VPN способны осуществлять проверку на наличие шпиона в браузере, поэтому в первую очередь следует внедрять именно их. Кроме того, рекомендуется удостовериться, что в браузере нет подозрительных модулей. Если таковые окажутся, необходимо выяснить, для чего они установлены, и избавиться от ненужных.

Identity Theft — кража личности. В организациях, где VPN используется для защиты доступа к корпоративным ресурсам, у злоумышленников появляется возможность проникновения внутрь сети с помощью аутентификационной информации легальных пользователей. Ее можно получить путем перехвата паролей в результате атаки MITM или MITB. Подключившись к корпоративному шлюзу и создав защищенное соединение, злоумышленник может действовать от имени сотрудника компании и получить расширенные полномочия и доступ к внутренней структуре сети, которая не всегда сегментирована и дополнительно укреплена.

Фактически такое использование VPN позволяет проникнуть сквозь защищенный периметр компании. Именно поэтому и говорят о размывании защитного периметра: часть удаленных устройств находится на неподконтрольной администратору территории, и что с ними происходит — неизвестно. Во избежание компрометации нужны механизмы, которые позволяли бы осуществлять строгую аутентификацию пользователей независимо от того, какие устройства они выбирают для работы. В частности, для решения этой задачи предлагаются специальные аппаратные идентификаторы. Кроме того, необходимо осуществлять контроль за действиями удаленных пользователей для выявления аномального поведения. Некоторые решения даже предусматривают жесткую привязку клиентов VPN к определенному оборудованию и не дают подключаться с посторонних устройств. Наконец, не стоит забывать и о сегментации корпоративной сети, предусмотрев дополнительные проверки при попытке доступа к закрытой информации.

Конечно, всегда возможна атака на криптографические VPN с помощью методов криптоанализа — вплоть до замораживания памяти мобильных устройств с помощью низких температур с целью кражи ключа шифрования. Однако современные алгоритмы и протоколы шифрования настолько сложны, что применение методов криптоанализа для их взлома требует высочайшей квалификации, не всегда позволяет достичь нужного результата и обходится очень дорого. Возможно, в полной модели угроз их надо рассматривать и учитывать, но на практике с этим сталкиваются редко — в основном в случае атак на VPN со стороны спецслужб. Частным лицам и даже небольшим компаниям защититься от подобных атак трудно, поэтому следует относиться к ним как к форс-мажору. Обычно контроль за исправлением ошибок в протоколах и алгоритмах осуществляют сами производители средств VPN, поэтому рекомендуется своевременно устанавливать обновления соответствующих продуктов и библиотек, а также продлевать контакты на техническую поддержку.

ЗАКЛЮЧЕНИЕ

Решения для реализации VPN уже достаточно зрелые. Стоит отметить, что они поддерживались еще первым поколением межсетевых экранов. Однако новые технологии, в частности WebRTC или DNS-атаки, порождают новые угрозы, поэтому, даже если вы давно используете VPN, следует регулярно заново оценивать вероятность тех или иных рисков и при обнаружении опасности внедрять решения, которые обеспечат надежную защиту.

VPN-решения для корпоративных сетей

Virtual Private Network (VPN) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Термин виртуальной частной сети (VPN) стал широко распространенным с выходом операционной системы Microsoft Windows 95. Основная идея состояла в том, чтобы обеспечить сотрудникам безопасный доступ к внутренней сети организации, не открывая сети для атак хакеров. В этой статье мы рассмотрим лучшие варианты для организации корпоративных VPN, доступных на сегодняшний день.

Содержание

2020: Семь причин, по которым вашей компании будет полезна VPN

Удаленный доступ к данным

Вы избавляетесь от незащищенных критических точек: ваша информация не размещается изолированно в общем хранилище с единственной точкой входа. Время — деньги, и речь не только об удобстве, но и об эффективности. Вы не просто экономите время, но и повышаете гибкость ваших услуг, предоставляя клиентам возможность удаленного взаимодействия с вами. Ваши сотрудники и клиенты могут соединяться с вашей сетью, не опасаясь того, что их информация попадет в посторонние руки. При этом сотрудникам не обязательно находиться непосредственно в офисе компании, чтобы продуктивно трудиться [1] .

«Принеси личное устройство» (BYOD)

Еще одно преимущество, напрямую связанное с возможностью удаленного доступа к данным. Многие сотрудники предпочитают пользоваться своими личными гаджетами для выполнения служебных обязанностей. Однако внешнее оборудование создает риск для безопасности информации вашей компании, и не стоит экономить на инфраструктурных расходах по цене чего-то настолько важного, как безопасность вашей сети.

Цензура

Правительства некоторых стран предотвращают доступ к отдельным веб-сайтам по политическим и иным причинам. Это создает определенные сложности и вызывает досаду у всех, кто привык пользоваться Интернетом без ограничений. Пользователи организации, внедрившей VPN, смогут обходить подобные ограничения, которые действуют в различных странах. Более того, без корпоративной VPN могут могут оказаться недоступными даже такие популярные онлайн-сервисы, как предоставляемые компанией Google. Ваши клиенты и сотрудники смогут везде чувствовать себя, как дома, оставаясь в сети, чьи серверы расположены в Соединенных Штатах. Отметим, что количество IP-адресов, которыми располагает компания, зависит от числа ее провайдеров VPN, а дополнительные IP-адреса повышают надежность ваших систем защиты и позволяют увеличить скорость работы Интернета благодаря уменьшению объема трафика.

Защититесь от неприятных случайностей

В период перевода веб-сайта с протокола HTTP на HTTPS пользователь легко может оказаться на незащищенной HTTP-странице. Доступ к таким страницам — потенциальный фактор риска, поскольку пароли и другие конфиденциальные данные, отправляемые на сайт, передаются в незащищенном виде.

«Аварийный выключатель»

В случае, если соединение VPN отключено или скомпрометировано, устройство или приложение, которое использует это соединение, мгновенно автоматически блокируется.

Поддержка одноранговых соединений

VPN позволяет соединяться с p2p-сетями, в которых каждое подключенное устройство может одновременно работать одновременно и в качестве сервера, и в роли клиента.

Защита мобильных приложений

VPN позволяет защитить соединение мобильных устройств с сетью: снова речь об удобстве и гибкости. Распространять среди пользователей срочные сообщения будет проще, если их мобильные телефоны и планшеты тоже подключены к корпоративной сети через VPN-сервер.

Подойдет ли вам VPN любого типа?

Убедить в том, что VPN-сервер для современной компании — необходимость, легко, но выбор VPN, подходящей именно вашей организации, потребует определенных усилий. Начать стоит с того, чтобы определиться, какие возможности вам нужны от VPN-сервера, а какие — нет. Ваш будущий провайдер VPN — это как оператор кабельного телевидения: вы можете выбрать, какие каналы вы хотите смотреть, и вам не нужно платить за большие пакеты, которые вам неинтересны. Итак, существует три вида VPN.

• Самый популярный из них — VPN для удаленного доступа с коммутируемым соединением. Сотрудники, находящиеся вне офиса, могут безопасно осуществлять доступ к частной виртуальной сети, которая предоставляется им компанией. Как правило, клиенты нанимают для организации и сопровождения такой VPN поставщика соответствующих услуг, который настраивает сервер и предоставляет пользователям необходимое программное обеспечение. Те затем просто набирают бесплатный номер и при помощи предоставленного им ПО связываются с виртуальной сетью. Пользуясь бесплатными номерами, компания экономит деньги, и обеспечивает удобство работы мобильных пользователей.
• VPN двух остальных видов основаны на связи между несколькими фиксированными сетями. Такие виртуальные частные сети называются VPN типа «сеть-сеть». Для их организации требуется оборудование, обеспечивающее шифрование туннелей между сетями, формируемых в общедоступном Интернете. Сильная сторона VPN такого типа — гибкость.
• VPN-интрасети позволяют соединить несколько удаленных офисов единой частной сетью. В таких VPN предоставляется множество всевозможных сервисов, и при этом они относительно недороги и отлично подходят для подключения удаленных филиалов компании.
• В VPN-экстрасетях, в свою очередь, при помощи межсетевых соединений несколько организаций подключаются к общей среде. Этот тип VPN подходит для ситуаций, когда нужно обеспечить предоставить доступ к вашей сети пользователям из других компаний.

Какие еще факторы можно учесть при выборе VPN

• Наличие защиты, реализованной при помощи облачных сервисов.
• Наличие защиты при работе вне офиса.
• Наличие защиты от сбора данных, осуществляемого интернет-провайдерами.
• Наличие средств управления учетными записями, защиты от вредоносных программ и централизованного выставления счетов.
• Ведет ли VPN журналы доступа?
• Какая часть функций управления VPN находится в ведении компании-клиента, а за какую отвечает провайдер.
• Наличие средств управления активностью, позволяющих контролировать доступ сотрудников к вредоносным и посторонним сайтам.
• Нужны ли вам в VPN возможности отслеживания?
• Удобство доступа к службе технической поддержки провайдера.
• Стабильность работы вашего потенциального провайдера.
• Местонахождение серверов провайдера по отношению к вашему информационному хранилищу и месту хостинга основных сервисов.
• Старается ли провайдер внедрять самые новые технологии, связанные с предоставляемыми им услугами?

2019: Шифрование по ГОСТу: кому оно показано и как применять

Ситуация с рисками информационной безопасности (ИБ) во всем мире развивается таким образом, что специальная защита корпоративных каналов связи становится объективной необходимостью — вопрос только в выборе наиболее удобных и экономически выгодных ИБ-решений. Дополнительными стимулами в этом направлении стали программа «Цифровая экономика» и стратегия импортозамещения в сфере ИТ. Как регулируется VPN-шифрование в нашей стране, почему в целом растет популярность ГОСТ-криптографии и в каких случаях целесообразно приобретать ее как сервис — разбираемся вместе с руководителем направления ГОСТ VPN компании «Ростелеком-Солар» Александром Веселовым. Подробнее здесь.

В 2016 году существует целый ряд решений для построения виртуальных частных сетей. Иногда эти решения являются частью комплексной системы а иногда предлагаются как самостоятельные продукты.

«Код безопасности»

Российская компания «Код безопасности» предоставляет различные продукты для организации удаленного доступа в том числе для организации VPN-сетей между филиалами предприятий. Удаленный доступ может быть реализован с помощью двух продуктов из линейки «Континент»: комплекс из сервера доступа «Континент» 3.7 и СКЗИ «Континент-АП 3.7», ПАК СКЗИ «Континент TLS VPN сервер» для реализации удаленного доступа к веб-ресурсам с шифрованием по ГОСТ.

Производительность сервера доступа «Континент» 3.7 и СКЗИ «Континент-АП» 3.7