100 Мифы и заблуждения информационной безопасности Лукацкий

Вид материала

Документы

Содержание Миф №91 «VPN - это обязательно шифрование»30.09.2010 01:40

Подобный материал:

• Аннотация, 418.67kb.
• Е. А. Свирский Рассматриваются вопросы работы курсов повышения квалификации по информационной, 67.93kb.
• Система менеджмента информационной безопасности, 205.89kb.
• Теоретические основы информационной безопасности автоматизированных систем, 26.65kb.
• Содержание курса. Урок, 902.96kb.
• Обеспечение информационной безопасности организации как метод антикризисного управления, 54.18kb.
• Мифы Древней Греции Мифы Древней Индии Мифы древних славян Мифы североамериканских, 33.93kb.
• «Комплексные системы информационной безопасности», 260.23kb.
• Вопросы по информационной безопасности, 268.68kb.
• Рекомендации по обеспечению информационной безопасности Заключение, 358.69kb.

Миф №91 «VPN - это обязательно шифрование»30.09.2010 01:40

Из пункта А в пункт Б необходимо передать информацию таким образом, чтобы к ней никто не смог получить доступ. Не только реальная, но и постоянно возникающая на практике задача; особенно в последнее время. В качестве пунктов А и Б могут выступать отдельные узлы или целые сегменты сетей. В случае с передачей информации между сетями в качестве защитной меры может выступать выделенный канал связи, принадлежащей компании, информация которой требует защиты. Однако поддержание таких каналов связи - это очень дорогое удовольствие. Проще, если информация будет передаваться по обычным каналам связи (например, через Internet или по GPRS-каналу), но каким-либо способом будет отделена или скрыта от трафика других компаний, циркулирующего в Internet.

Не стоит думать, что задача конфиденциальной передачи информации возникает в глобальных сетях. Такая потребность может возникнуть и в локальных сетях, в которых требуется отделать один тип трафика, от другого (например, трафик платежной системы от трафика информационно-аналитической системы). Итак, как сделать так, чтобы информация могла передаваться по тем же проводам, что и обычная информация, но при этом была недоступна для других? Помочь в этом может технология виртуальных частных сетей (virtual private network, VPN).

И здесь вновь часто возникает некорректное толкование термина, а точнее его подмена. Многие специалисты ставят знак равенства между термином «VPN» и «шифрование», а точнее считают невозможным построить VPN-решения без применения криптографии. И если посмотреть в Википедию, то она подливает масла в огонь, заявляя, что «несмотря на то, что коммуникации осуществляются по сетям с меньшим или неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии». Однако, если спросить у многих операторов связи, как они понимают термин «VPN», то можно услышать совершенно иные определения и толкования. Дело в том, что у операторов связи для скрытия трафика от посторонних глаз применяются совершенно иные технологии. Например, разделение трафика в канале связи с помощью меток.

Эта технология может применяться как в глобальных, так и в локальных сетях. Причем второй случай распространен чаще - это всем известная технология виртуальных локальных сетей (VLAN), используемая для структуризации современных ЛВС уровня предприятия. Вместо того, чтобы строить физически независимые сети для каждой задачи или бизнес-процесса, гораздо эффективнее и дешевле использовать единую инфраструктуру (например, кабельную сеть), а трафик делить с помощью специальных меток (тэгов). Узлы, входящие в VLAN могут группироваться на основе различных признаков:

• Группировка по портам. Классический и самый простой способ формирования VLAN, согласно которому каждому порту коммутатора соответствует определенный номер VLAN.
  
• Группировка по MAC-адресам. Принадлежность к VLAN определяется по MAC-адресам сетевых пакетов.
  
• Группировка по номерам подсетей сетевого уровня. В данном случае VLAN является аналогом обычной подсетью, которая известна по протоколам IP.
  
• Группировка по меткам. Самый эффективный и надежный способ группирования узлов в VLAN, согласно которому номер виртуальной сети добавляется к кадру, передаваемому между коммутаторами.
  

Существуют и другие способы формирования VLAN, например, по протоколам или по результатам аутентификации субъектов доступа.

Однако помимо структуризации VLAN могут применяться и для отделения одного типа трафика от другого. Т.к. VLAN реализуются на канальном уровне, то их область применения не выходит за рамки локальной сети, но и тут они неплохо справляются со своими задачами. В частности, независимо от адреса канального уровня (уникального, группового или широковещательного) смешение данных из разных VLAN невозможно. В то же время внутри одной VLAN трафик передается как обычно. Применение VLAN относится к классическим рекомендациям по безопасности и упоминается во многих стандартах и «лучших практиках» (например, в Cisco SAFE, CIS Security Configuration Guide, NSA Security Guide и т.д.). Технология VLAN реализована сейчас в большинстве коммутаторов ведущих сетевых производителей и не требует дополнительных финансовых затрат для внедрения.

В глобальных сетях распространение получил некий аналог VLAN - технология MPLS (MultiProtocol Label Switching), которая также использует метки для разделения трафика и образования виртуальных каналов в IP-, ATM- и других сетях.

Зачем я заговорил о сетевых технологиях и какое отношение они имеют к информационной безопасности? Дело в том, что с помощью технологий VLAN или MPLS (а также GRE, VRF и т.д.) можно реализовать требование обеспечения конфиденциальности, которое прописано во многих нормативных актах и, в т.ч., в законе «О персональных данных». Разумеется, полной гарантии сохранности данных в секрете ни технология VLAN, ни технология MPLS не дает, но та же проблема относится и к шифрованию. 100%-й безопасности вообще не существует. Поэтому применение технологий разделения трафика в канале связи имеют право на существование в контексте безопасности, но при обязательном соблюдении иных защитных мер, рекомендуемых производителями сетевого оборудования. Примером такого руководства является документ компании Cisco – «Network Virtualization--Path Isolation Design Guide».

И, разумеется, нельзя забывать про процесс моделирования угроз, который позволяет ответить на вопрос – какие угрозы актуальны в конкретной анализируемой системе. В зависимости от исходных данных, технология MPLS может как обеспечить должный уровень конфиденциальности передаваемой информации, так и даже не приблизиться к нему. Но во многих распространенных сценариях (например, при обработке персональных данных) этих технологий действительно достаточно, т.к. злоумышленники не будут затрачивать усилия на «взлом» MPLS или сетевого оборудования, поддерживающего VLAN, если цель может быть достигнута более простыми и дешевыми средствами.