Безопасность в Internеt

C.Рябко


В статье обсуждаются проблемы информационной безопасности в сети Internet или в корпоративной TCP/IP-сети (Intranet).

Internet с удручающей периодичностью потрясают скандалы, суть которых можно выразить простым словосочетанием: хищение (или порча) информации. Эта ситуация не устраивает многих пользователей, в первую очередь тех, кто тяготеет к коммерческому использованию практически неограниченных ресурсов Internet.

Но Internet не был бы Internet'ом, если бы в его недрах не родилось решение, отвечающее выставляемым жизнью проблемам. Причем, техническая идея предложенного решения обладает общностью, позволяющей говорить о том, что Internet после ее внедрения по степени безопасности превзойдет даже специализированные закрытые корпоративные сети.

В значительной степени информационная безопасность Internet определяется особенностями базовых коммуникационной и операционной платформ - TCP/IP и UNIX. TCP/IP обладает высокой совместимостью как с различными по физической природе и скоростным характеристикам каналами, так и с широким кругом аппаратных платформ; кроме того, этот протокол в равной мере эффективно работает как в локальных сетях, так и в региональных и глобальных сетях; совокупность этих характеристик делает протокол TCP/IP уникальным средством для интеграции больших распределенных гетерогенных информационных систем.

И вот теперь мы можем говорить и об адекватном сетевом решении для обеспечения информационного безопасности для протокола TCP/IP. Это решение обладает фундаментальной универсальностью и общностью, оно позволяет с регулируемой степенью надежности защищать трафик всех без исключения пользователей и прикладных систем при полной прозрачности (невидимости для приложений) средств защиты.

Что представляют собой эти средства защиты?

Протокол, управляющий шифрованием трафика SKIP (Simple Key management for Internet Protocol) и созданный на его основе масштабируемый ряд продуктов защиты информации (ряд программных реализаций протокола SKIP для базовых аппаратно-программных платформ, устройство коллективной защиты локальной сети SKIPBridge, устройство сегментирования сетей и обеспечения регулируемой политики безопасности SunScreen).

Протокол управления криптоключами SKIP

SKIP (Simple Key mamagement for Internet Protocol - Простой протокол управления криптоключами в интерсети) разработан компанией Sun Microsystems в 1994 году и предложен в качестве стандарта Internet. На 33-й сессии "законодательного органа" Internet - комиссии Internet Engineering Task Force (IETF), прошедшей в июле этого года в Стокгольме была создана рабочая группа по протоколу SKIP, что можно считать первым шагом к принятию SKIP в качестве стандарта.

В основе SKIP лежит криптография открытых ключей Диффи-Хеллмана.

SKIP имеет, по сравнению с существующими системами шифрования трафика ряд уникальных особенностей:

Устройство обеспечения безопасности локальной сети SKIPBridge

Устройство SKIPBridge представляет собой систему, устанавливаемую на интерфейсе внутренняя/внешняя сеть (локальная сеть/коммуникационный провайдер). Устройство обеспечивает защиту (шифрование) трафика, направляемого из внутренней сети во внешнюю на основе протокола SKIP, а также фильтрацию и дешифрование трафика, поступающего из внешней сети во внутреннюю.

IP-пакеты, принимаемые из внешней сети, обрабатываются протоколом SKIP (расши-фровываются, фильтруются открытые пакеты в режиме только защищенного трафика, контролируется и обеспечивается имитозащита). Пакеты, прошедшие фильтрацию SKIP, при помощи протокола IP передаются программному обеспечению SKIPBridge, решающему задачи административной безопасности (обеспечивающему пакетную фильтрацию), и затем - операционной системе устройства SKIPBridge, которая маршрутизует пакеты на адаптер внутренней (локальной) сети.

Устройство SunScreen: аппаратная система защиты локальных сетей

SunScreen - это специализированная система защиты, разработанная компанией Sun Microsystems, решающая задачи развитой фильтрации пакетов, аутентификации и обеспечения конфиденциальности трафика. Устройство SunScreen выполнено на основе аппаратного модуля SPF-100. SPF-100 содержит SPARC-процессор, работающий под управлением специальной усеченной версии ОС Solaris, из которой изъяты функции низкоуровневой обработки IP-пакетов. SunScreen не имеет IP-адреса, поэтому он "невидим" из внешней сети и, поэтому, неподвержен прямой атаке.

Устройство SunScreen, содержит пять Ethernet-адаптеров, к которым могут подсоединяться четыре независимых сегмента локальной сети и коммуникационный провайдер. Для каждого сегмента обеспечивается настройка индивидуальной политики безопасности путем задания сложного набора правил фильтрации пакетов (по направлению распространения, по адресам отправителя/получателя, по протоколам и приложениям, по времени суток и т.д.).

Другой важной чертой SunScreen является поддержка протокола SKIP, что, с одной стороны используется для обеспечения безопасности работы, управления и конфигурирования систем SunScreen, а с другой - позволяет организовывать SKIP-защиту пользовательского трафика. Использование протокола SKIP в Screen-системах привностит несколько дополнительных возможностей. Screen-устройства могут инкапсулировать весь внешний трафик защищаемых локальных сетей в SKIP (производить SKIP-туннелиро-вание). При этом исходные IP-пакеты могут помещаться в блоки данных SKIP-пакетов, а сетевые адреса всех узлов внутренних сетей могут быть заменены на некоторые виртуальные адреса, отвечающие во внешней сети Screen-устройствам (адресная векторизация). В результате весь трафик между защищаемыми локальными сетями может выглядеть извне только как полностью шифрованный трафик между узлами-Screen-устрой-ствами. Вся информация, которая может быть в этом случае доступна внешнему наблюдателю - это временная динамика и оценка интенсивности трафика, которая, заметим, может маскироваться путем использования сжатия данных и выдачи "пустого" трафика.

Продукт SunScreen был признан журналом "LAN Magazin" продуктом 1996 года в категории firewall.

Заключение

Описанные технические решения - только часть бурно развивающейся индустрии обеспечения безопасности в Internet. Однако уже сейчас достаточно очевидно, что речь идет о возникновении новой, общной, выходящей по масштабу за пределы отдельного протокола технической идеи, которая полагает конец разрозненным техническим решениям в области безопасности и дает начало единой технологии построения защищенных коммуникаций.