Построение отказоустойчивых VPN каналов

Главная > Список решений > Построение отказоустойчивых VPN каналов

 Построение отказоустойчивых VPN каналов

 

При построении корпоративной VPN должны быть решены две ключевые задачи - реализация разграничительной политики доступа к корпоративным ресурсам и криптографическая защита виртуальных ("наложенных" на существующее телекоммуникационное оборудование) каналов связи корпоративной сети.

Реализация разграничительной политики доступа к корпоративным ресурсам.

Когда речь заходит о реализации разграничительной политики доступа к ресурсам, в первую очередь, необходимо определиться с тем, что же является субъектом и объектом доступа. Это позволит определить способ их идентификации. В общем случае, как объектом, так и субъектом доступа (как правило, в VPN субъект одновременно является и объектом доступа) может выступать либо компьютер, при этом доступ разграничивается между компьютерами, либо пользователь, соответственно доступ разграничивается между пользователями. Универсальность корпоративной VPN достигается в том случае, когда в качестве субъекта и объекта может выступать как компьютер в составе корпоративной сети, так и пользователь – сотрудник предприятия. Это, а также сложность идентификации компьютеров в сети по адресам (требуются специальные устройства – координаторы сети, а это дополнительные затраты и дополнительная сложность администрирования) обусловливает целесообразность включения специальной сущности "Идентификатор" (никак не связанной ни с адресом компьютера, ни с учетной записью), используемой для идентификации субъектов и объектов VPN. В зависимости от способа хранения идентификатора субъекта/объекта (на компьютере, например, в реестре или в файле, либо на внешнем носителе, предоставляемом пользователю, например, на электронном ключе, либо на смарт-карте), т.е. его принадлежности (принадлежит компьютеру или пользователю), может быть реализована разграничительная политика доступа к ресурсам VPN для компьютеров или же для пользователей.

Теперь, в двух словах, о пользователях. По разным причинам, они могут обладать различной степенью доверия. Поэтому пользователей целесообразно подразделять на пользователей с высоким и низким уровнями доверия. Пользователю с низким уровнем доверия целесообразно разрешить передачу информации только в рамках корпоративной сети, т.е. разрешить взаимодействие только с компьютерами в составе VPN, трафик в которой шифруется. Пользователю с высоким уровнем доверия может потребоваться разрешить взаимодействие, как с компьютерами VPN (по защищенному каналу связи), так и с компьютерами внешней сети (здесь информация передается в открытом виде). Поскольку сущность "Идентификатор" в общем случае может присваиваться, как пользователю, так и компьютеру, то в двух режимах (с возможностью выхода во внешнюю сеть и без такой возможности) могут использоваться и компьютеры корпоративной сети.

Процедуру идентификации осуществляет сервер VPN (который по понятным причинам может резервироваться с автоматической репликацией базы настроек на резервный сервер). На компьютеры в составе VPN устанавливаются клиентские части, основу которых составляет сетевой драйвер. Клиентская часть блокирует какой-либо доступ в сеть до тех пор, пока не будет проведена идентификация (компьютера или пользователя, соответственно, идентификатор располагается либо на компьютере, либо на внешнем носителе у пользователя) на сервере. При идентификации компьютера процедура осуществляется автоматически, для идентификация пользователя – ему необходимо ввести в компьютер идентификатор (например, вставить смарт-карту с идентификатором). После идентификации на сервере, в зависимости от уровня доверия, соответствующего идентификатору, клиентская часть позволит взаимодействие (компьютера или пользователя) либо только с компьютерами в составе VPN – на которых также установлена клиентская часть, информация при этом будет передаваться в шифрованном виде, либо в защищенном режиме (с шифрацией) с компьютерами VPN, в открытом – только с внешними по отношению к VPN компьютерами. Отношение компьютера к VPN определяется взаимодействием клиентских частей по защищенному протоколу.

Таким образом, собственно виртуальная сеть (VPN) формируется из состава компьютеров, на которых установлена клиентская часть. Для подключения к VPN необходима идентификация компьютера, либо пользователя на сервере VPN. Реализация же разграничительной политики доступа внутри VPN (разграничение доступа между сущностями "Идентификатор", которые могут присваиваться как компьютерам – разграничение между компьютерами, так и пользователя – разграничение между пользователями) осуществляется администратором на сервере (о том, как это делается, чуть ниже).

Настройка и эксплуатация VPN заметно упрощаются. Например, для подключения к VPN мобильного пользователя в любой точке земного шара, достаточно наличия у него компьютера, подключенного к сети, на котором должна быть установлена клиентская часть VPN, и идентификатора, который ему выдаст администратор (мы пока говорим только о реализации разграничительной политики). Администратор же создавая идентификатор, может соответствующим образом назначить уровень доверия и определить те идентификаторы (компьютеры или пользователей) с которыми в рамках VPN по защищенному протоколу сможет "общаться" мобильный пользователь. Никаких координаторов для этого не требуется, т.к. адрес (который может быть различным при каждом удаленном подключении компьютера к сети) не используется в качестве идентифицирующей сущности.

Реализация криптографической защиты виртуальных каналов связи корпоративной сети.

Выше мы говорили, что основными требованиями к реализации криптографической защиты виртуальных каналов корпоративной сети являются: "прозрачное" автоматическое (принудительное для пользователя) шифрование виртуальных каналов корпоративной сети, централизованное генерирование ключей шифрования администратором (пользователь должен быть исключен из схемы администрирования и управления VPN), отсутствие ключа шифрования виртуальных каналов связи у пользователя и соответственно, невозможность доступа пользователя к ключам шифрования.

Важным условием эффективности защиты является необходимость частой смены ключей шифрования виртуальных каналов. Это с учетом необходимости централизованного генерирования ключей для всех субъектов/объектов (определяемых идентификаторами) корпоративной сети, существенно усложняет задачу администрирования VPN.

Каждый субъект/объект VPN характеризуется парой признаков: идентификатор и ключ шифрования взаимодействия с сервером VPN. Данная пара генерируется администратором при создании субъекта/объекта. Если субъектом/объектом VPN выступает компьютер, то идентификатор и ключ шифрования взаимодействия с сервером VPN устанавливаются на компьютере администратором при установке клиентской части (в процессе эксплуатации по усмотрению администратора данные параметры могут быть изменены), если же субъектом/объектом VPN выступает пользователь, то сгенерированная администратором пара признаков идентификатор и ключ шифрования взаимодействия с сервером VPN выдаются пользователю администратором на внешнем носителе (Flash-устройство, электронный ключ, смарт-карта).

До момента идентификации субъекта/объекта клиентской частью VPN на сервере, на компьютере не хранится какой-либо информации о ключах шифрования виртуальных каналов. Ключи шифрования виртуальных каналов генерируются сервером при идентификации субъектов/объектов VPN автоматически, т.е. даже администратор безопасности не обладает ключевой информацией. Осуществляется это следующим образом. При идентификации субъекта/объекта VPN на сервере, для идентифицируемого субъекта/объекта сервером автоматически генерируются ключи шифрования (каждая пара взаимодействующих субъектов/объектовVPN имеет свой ключ шифрования) с другими субъектами/объектами VPN. Данная информация (ключи шифрования данного компьютера с другими активными компьютерами в составе VPN) сервером в зашифрованном виде передается на идентифицированный компьютер (идентифицированному пользователю), где хранится в оперативной памяти – эта информация не доступна пользователю. Одновременно на все остальные активные (идентифицированные ранее) компьютеры из состава VPN сервером выдаются сгенерированные ключи шифрования для взаимодействия с вновь идентифицированным субъектом/объектом. Таким образом, в каждый момент времени в оперативной памяти идентифицированного компьютера в составе VPN хранится таблица с ключами шифрования трафика с другими активными (идентифицированными) компьютерами в составе VPN (для каждой пары этот ключ свой). Данная таблица пополняется после идентификации каждого последующего субъекта/объекта. Смена ключа шифрования осуществляется сервером автоматически при каждой последующей идентификации субъекта/объекта.

Таким образом, вся процедура генерации ключевых пар полностью автоматизирована, не требует участия администратора безопасности, ключи шифрования виртуальных каналов VPN не доступны не только пользователям корпоративной сети, но и администратору.

Разграничение же доступа между субъектами/объектами в составе VPN (о чем упоминалось ранее) реализуется тем, что при идентификации субъекта/объекта ему передаются ключи шифрования виртуальных каналов только с теми активными субъектами/объектами, с которыми администратором разрешено взаимодействие данному субъекту/объекту. Клиентская же часть VPN, установленная на компьютере в составе VPN, позволит осуществлять с него взаимодействие только с теми активными субъектами/объектами, для взаимодействия с которыми получены соответствующие ключи шифрования с сервера VPN.

 

Barracuda SSL VPN

Программно-аппаратное решение для обеспечения безклиентского удаленного доступа к ресурсам из любого браузера. Предоставляет полный контроль над файловыми приложениями,требующими внешний доступ,а также интегрируется с двухфакторной аутетнификацией для безопасного доступа.

 
StoneGate SSL VPN

Оптимальное решение для организации доступа к ресурсам предприятия при необходимости обеспечения постоянной доступности ресурсов для мобильных пользователей и соблюдении высоких требований к их защите.