Говоря о протоколах, используемых для передачи информации по сетям VPN, следует отметить, что основными в этих случаях являются четыре протокола: Layer 2 ForwardingProtocol (протокол трансляции канального уровня), Layer 2 TunnelingProtocol (протокол туннелирования канального уровня), Point-to-PointTunnelingProtocol (протокол туннелирования точка точка), а также протокол IPSecurity (IPSec), предложенный комитетом IETF.
В последнее время растет популярность технологии SSLVPN на базе протокола SSL\TLS, который используется для защиты соединений в WEB-броузерах.
Первые три спецификации известны под общим названием протоколов трансляции канального уровня, поскольку в соответствии с ними пакеты протоколов сетевого уровня (AppleTalk, IP и IPX) сначала инкапсулируются в другие пакеты протокола канального уровня (РРР), а уже затем передаются адресату по IP-сети. Хотя эти спецификации и претендуют на решение проблемы безопасности в сетях VPN, они не обеспечивают шифрования, аутентификации, проверки целостности каждого передаваемого пакета, а также средств управления ключами. На сегодняшний день наиболее современным решением защиты сетей VPN является спецификация IPSec. Поэтому в случае использования первых трех спецификаций для обеспечения безопасности информации при передаче в рамках VPN необходимо применение дополнительных средств ее защиты.
Виртуальные частные сети на основе протокола SSL (Secure Sockets Layer) предназначены для безопасного предоставления корпоративных сетевых услуг любому авторизованному пользователю, который получает возможность удаленного доступа к корпоративным ресурсам из любой точки мира, где имеется Интернет и стандартный веб-браузер. Использование веб-броузера и встроенных систем шифрования SSL обеспечивает доступ к корпоративной сети с любых удаленных устройств, например, через домашние ПК, интернет-киоски или беспроводные устройства Wi-Fi, то есть из любой точки, включая и те, где установка клиентского программного обеспечения VPN и создание соединений VPN с протоколом IPSec сопряжены с большими трудностями. Администраторы могут настраивать параметры доступа к веб-сайтам и корпоративным приложениям индивидуально для каждого пользователя. Кроме того, поскольку корпоративные межсетевые экраны, как правило, поддерживают соединения по протоколу SSL, дополнительная настройка сети не требуется. В результате технология SSL VPN позволяет легко обходить межсетевой экран и обеспечивать доступ из любой точки.
2.4.3 Виды реализации VPN-устройств
Все продукты для создания VPN можно условно разделить на две категории: программные и аппаратные. Программное решение для VPN - это, как правило, готовое приложение, которое устанавливается на подключенном к сети отдельном компьютере. Ряд производителей, такие как компании Axent Technologies, Check Point Software Technologies и NetGuard, поставляют VPN-пакеты, которые легко интегрируются с программными межсетевыми экранами и работают на различных операционных системах, включая Windows NT/2000, Sun Solaris и Linux. Поскольку для построения VPN на базе специализированного программного обеспечения требуется создание отдельной компьютерной системы, такие решения обычно сложнее для развертывания, чем аппаратные. Создание подобной системы предусматривает конфигурирование сервера для распознавания данного компьютера и его операционной системы, VPN-пакета, сетевых плат для каждого соединения и специальных плат для ускорения операций шифрования. Такая работа в ряде случаев может оказаться затруднительной даже для опытных специалистов. С другой стороны, программные решения для VPN стоят относительно недорого. В отличие от них аппаратные VPN-решения включают в себя все, что необходимо для соединения, - компьютер, частную (как правило) операционную систему и специальное программное обеспечение. Ряд компаний, в том числе Cisco Systems, NetScreen и Sonic, предлагают целый спектр решений, которые могут масштабироваться в зависимости от количества одновременных VPN-соединений, с которыми предполагается работать, и ожидаемого объема трафика. Развертывать аппаратные решения, безусловно, легче. Они включают в себя все, что необходимо для конкретных условий, поэтому время, за которое их можно запустить, исчисляется минутами или часами. Еще одним серьезным преимуществом аппаратных VPN-решений является гораздо более высокая производительность. К минусам аппаратных VPN-решений можно отнести их высокую стоимость. Еще один недостаток таких решений состоит в том, что управляются они отдельно от других решений по безопасности, что усложняет задачу администрирования инфраструктуры безопасности, особенно при условии нехватки сотрудников отдела защиты информации.
Существуют также интегрированные решения, в которых функции построения VPN реализуются наряду с функцией фильтрации сетевого трафика, обеспечения качества обслуживания или распределения полосы пропускания. Основное преимущество такого решения - централизованное управление всеми компонентами с единой консоли. Второе преимущество - более низкая стоимость в расчете на каждый компонент по сравнению с ситуацией, когда такие компоненты приобретаются отдельно. Примером такого интегрированного решения может служить VPN-1 от компании Check Point Software, включающий в себя помимо VPN-модуля, модуль, реализующий функции межсетевого экрана, модуль, отвечающий за балансировку нагрузки, распределение полосы пропускания и т.д. Как правило, выбор VPN решения определяется тремя факторами: размер сети, технические навыки, которыми обладают сотрудники организации, и объем трафика, который планируется обрабатывать. Процесс шифрования данных требует существенных вычислительных ресурсов и может перегрузить компьютер, когда несколько VPN-соединений одновременно участвуют в передаче данных. В этом случае, чтобы разгрузить центральный процессор, возможно, придется установить специальные ускорительные платы.
Какой бы путь ни был выбран, все равно придется столкнуться с проблемой управления VPN-устройствами и поддержания согласованных правил безопасности для VPN и межсетевых экранов в масштабах всей организации. Если сотрудники не обладают достаточными навыками в этой области, можно доверить создание виртуальной частной сети независимой компании, оказывающей соответствующие услуги.
Следует также отметить, что использование VPN не является поводом для отказа от специализированных средств безопасности. По статистике, до 80% всех инцидентов, связанных с информационной безопасностью, происходит по вине авторизованных пользователей, имеющих санкционированный доступ в корпоративную сеть, а это значит, что атака или вирус от такого пользователя будут зашифрованы и переданы наравне с безобидным трафиком [30]. Необходимо упомянуть еще одну особенность VPN - использование этой технологии снижает производительность сети, что обусловлено задержками установления защищенного соединения между VPN-устройствами, задержками шифрования данных, задержками контроля их целостности и увеличенным трафиком из-за использования более длинных заголовков пакетов.
В общем средства VPN позволяют осуществлять безопасную передачу данных по открытым каналам связи, при этом обеспечивая надежную криптографическую защиту данных от всевозможных угроз. При этом уровень защищенности при использовании VPN средств зависит от правильности их настройки, что требует определенного квалификационного уровня системного администратора и знание технологии VPN и используемых протоколов.
2.5 Сервер обновлений ПО
В современных КИС численность рабочих станций уже давно превысила цифру в 100 единиц. При всем этом перечень прикладного ПО, которое используется пользователями в КИС, также может быть довольно большим. Многие администраторы сталкиваются с проблемой обновления ОС и приложений в локальной сети. Чтобы обеспечивать должный уровень безопасности ПО не должно содержать в себе потенциально опасных уязвимостей. Разработчики ПО при обнаружении уязвимостей сразу же выпускают к нему заплатки или патчи. Суть проблемы как раз и заключается в том, чтобы установить эти обновления на рабочие станции КИС. ПО может иметь в себе встроенные средства обновления, а производители данного ПО, как правило, регулярно обновляют свои веб-сайты новыми версиями ПО. Но если в сети насчитывается большое количество компьютеров, то обновление каждого из них займет определенный процент времени администратора, а также повлечет большой расход интернет трафика.
Для автоматизации процесса обновления, а также экономии ресурсов компании используется специализированное ПО для централизованного обновления. Сервер обновлений скачивает все необходимые заплатки с определенной периодичностью на свой локальный диск, а рабочие станции для обновления подключаются уже непосредственно к нему. Чаще всего эти средства обновления рассчитаны на конкретную операционную систему или антивирусный продукт. Выгоды такого решения очевидны: экономия времени администратора, актуальная версия ПО, содержащая последние программные улучшения, обновленная база вирусов обеспечивающая защиту от всех известных вирусов.