2-е издание, стереотипное
Рекомендовано УМО по образованию в области
информационной безопасности в качестве
учебного пособия для студентов
высших учебных заведений, обучающихся
по специальностям «Компьютерная безопасность»
и «Комплексное обеспечение информационной
безопасности автоматизированных систем»
Москва
Горячая линия - Телеком
2011
Стр.1
ББК 32.973.2-018.2я73
УДК 004.732.056(075.8)
З-31
Запечников С. В., Милославская Н. Г., Толстой А. И.
З-31 Основы построения виртуальных частных сетей. Учебное пособие
для вузов. – 2-е изд., стереотип. – М.: Горячая линия–Телеком,
2011. – 248 с.: ил.
ISBN 978-5-9912-0215-2.
Рассматриваются основы построения виртуальных частных сетей
(VPN). Даются основные определения. Описывается технология туннелирования
в сетях. Подробно анализируются стандартные протоколы
построения VPN и управление криптографическими ключами в VPN.
Выделяются особенности различных вариантов и схем создания VPN.
В качестве примеров реализации VPN приводятся различные российские
продукты (по состоянию на момент выхода в свет первого издания книги).
Для студентов высших учебных заведений, обучающихся по специальностям
«Компьютерная безопасность» и «Комплексное обеспечение
информационной безопасности автоматизированных систем», и слушателей
курсов повышения квалификации по специальности «Комплексное
обеспечение информационной безопасности автоматизированных систем».
ББК 32.973.2-018.2я73
Адрес издательства в Интернет WWW.TECHBOOK.RU
Учебное издание
Запечников Сергей Владимирович, Милославская Наталья Георгиевна,
Толстой Александр Иванович
ОСНОВЫ ПОСТРОЕНИЯ ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЕЙ
Учебное пособие
2-е издание, стереотипное
Обложка художника В. Г. Ситникова
Подписано в печать 15.08.11. Печать офсетная. Формат 60×88/16
Уч.-изд. л. 15,5. Тираж 100 экз. Изд. № 110215
ISBN 978-5-9912-0215-2
© С. В. Запечников, Н. Г. Милославская,
А. И. Толстой, 2003, 2011
© Издательство «Горячая линия – Телеком», 2011
Стр.2
Предисловие
Основой для учебного пособия послужил опыт преподавания
технологий защиты в открытых сетях лично авторов и их коллег,
подробные описания, сделанные разработчиками данных технологий
и средств защиты, а также многочисленные отечественные и зарубежные
публикации по рассматриваемой тематике.
В настоящее время специалистов-профессионалов по различным
аспектам защиты информации готовит ряд вузов России. Обучение
происходит на специализированных факультетах, ознакомительных
курсах или курсах повышения квалификации. Но все эти учебные
заведения испытывают острую нехватку узкопрофильной учебнометодической
литературы, что, в первую очередь, сказывается на
качестве обучения. Данное учебное пособие предлагается для обучающихся
(студентов, аспирантов и повышающих квалификацию
специалистов) по группе специальностей "Информационная безопасность".
Поскольку
число атак на сети неизменно растет, а создать полностью
защищенную информационную среду очень сложно, нужны
специализированные средства, предназначенные для осуществления
защиты информации, передаваемой по открытым каналам связи сетей
передачи данных, и воплощения в жизнь выработанной организацией
политики безопасности ее информационных и сетевых ресурсов.
Специалист в области информационной безопасности должен
владеть определенными теоретическими знаниями и практическими
навыками в данной, очень важной области обеспечения информационной
безопасности. На сегодняшний день учебной литературы
по вопросам построения виртуальных частных сетей, к сожалению,
пока не имеется.
Основная задача, которую призвано решить учебное пособие, —
это представить обучающимся систематизированный подход к проблеме
виртуальных частных сетей (VPN), ознакомить их с характерными
признаками различных вариантов их построения, а также научить
квалифицировано выбирать, применять и самостоятельно разрабатывать
реализующие такие возможности средства. В пособии
показано, что при условии грамотного использования VPN (совме
Стр.3
4
Основы построения виртуальных частных сетей
стно с другими средствами обеспечения информационной безопасности,
такими как средства аутентификации, средства обнаружения
вторжений и т.п.) может быть реализована достаточно надежная защита
информации от несанкционированного перехвата с различными
целями во время ее передачи по открытым каналам связи. Такие
знания особенно важны для специалистов-практиков по защите информации
в современных сетях.
Важно подчеркнуть, что для приступающих к ознакомлению
с учебным пособием есть определенные требования по предварительной
подготовке. Например, следует знать протоколы и сервисы
Internet, сетевые операционные системы, основные принципы безопасности
сетей и технологий их защиты, иметь базовые знания по
криптографии.
Учебное пособие состоит из введения, пяти разделов, заключения
и приложений с полезной информацией.
Во введении отмечается своевременность рассмотрения заявленной
в названии учебного пособия темы и решаемые на основе
технологии виртуальных сетей задачи.
Первый раздел содержит основные определения, цели и задачи,
а также описание специфики построения VPN и основного применяемого
подхода — туннелирования. Выделены особенности построения
VPN в различных типах сетей и рассмотрены разные схемы
VPN. Вводится понятие политики безопасности для VPN и называются
другие средства защиты информации, дополняющие VPN
и реализующие комплексный подход к защите информации в корпоративных
сетях.
Во втором разделе детально рассматриваются стандартные протоколы
создания виртуальных частных сетей, реализующие функции
VPN на различных уровнях модели взаимодействия открытых
систем OSI/ISO (с указанием соотнесения их с уровнями стека протоколов
TCP/IP) - канальном, сетевом и сеансовом.
Третий раздел посвящен управлению криптографическими ключами
в VPN. Последовательно изучаются жизненный цикл криптографических
ключей, особенности управления ключевой системой
асимметричных криптосистем, концепция инфрастуктуры открытых
Стр.4
Предисловие
5
ключей, метод сертификации открытых ключей и модель инфраструктуры
открытых ключей PKIX.
В четвертом разделе даются основы практического построения
VPN, перечисляются и поясняются требования к VPN-продуктам,
которые подразделяются на шлюзы и клиенты, рассматриваются варианты
реализации VPN и решения для организации VPN на базе
сетевой операционной системы, маршрутизаторов, межсетевых экранов,
специализированного программного обеспечения и аппаратных
средств. Также анализируются четыре основных вида VPN:
Intranet VPN, Client/server VPN, Extranet VPN и Remote Access VPN
и приводятся полезные рекомендации специалистов по выбору VPNпродуктов.
Пятый
раздел описывает некоторые реализации VPN на основе
таких российских разработок, как аппаратно-программный комплекс
защиты информации "Континент-К", программные продукты компании
"ЭЛВИС+", VPN-решения компании "Инфотекс", семейство
продуктов "Net-PRO" компании "Сигнал-КОМ", продукты
МО ПНИЭИ "ШИП" и "Игла-2" и аппаратно-программный комплекс
"ФПСУ-IР" компании "Амикон". С целью определения лучших условий
применения рассмотренных продуктов приводится их
сравнение.
В заключение выделены основные проблемы, возникающие при
использовании VPN-продуктов, и указаны возможные варианты их
усовершенствования.
В приложениях представлена полезная информация справочного
характера: сравнение зарубежных продуктов для создания VPN
и документы, в которых содержится полное описание основных
протоколов для VPN.
После каждого раздела приведены вопросы для самоконтроля.
Авторы признательны коллегам по факультету "Информационная
безопасность" МИФИ, а также всем рецензентам.
Авторы, естественно, не претендуют на исчерпывающее изложение
всех названных в работе аспектов проблемы построения VPN,
поэтому с благодарностью внимательно изучат и учтут критические
замечания и предложения читателей при дальнейшей работе над
учебным пособием.
Стр.5
ОГЛАВЛЕНИЕ
Предисловие……………………………………………………………...……..3
Принятые сокращения……….………………………………………………....6
Введение………………………………………………………………………....7
1. ВИРТУАЛЬНАЯ ЧАСТНАЯ СЕТЬ КАК СРЕДСТВО ЗАЩИТЫ
ИНФОРМАЦИИ…………………………………………………………….....14
1.1. Определение, цели и задачи…………………………………………14
1.2. Специфика построения……………………………………………....21
1.3. Виртуальные частные сети в публичных сетях Frame Relay,
АТМ, X.25, TCP/IP……………………………………….……………….22
1.4. Туннелирование в виртуальных частных сетях……………………26
1.5. Схема виртуальной частной сети…………………………………...29
1.6. Политики безопасности в виртуальных частных сетях……………32
1.7. Средства защиты информации, дополняющие виртуальные
частные сети………………………………………………………………34
Контрольные вопросы по разделу 1…………………………………………38
2. СТАНДАРТНЫЕ ПРОТОКОЛЫ СОЗДАНИЯ ВИРТУАЛЬНЫХ
ЧАСТНЫХ СЕТЕЙ…………………………………………………………....40
2.1. Уровни защищенных каналов……………………………………….40
2.2. Защита данных на канальном уровне……………………………….43
2.3. Защита данных на сетевом уровне………………………………….53
2.4. Защита на сеансовом уровне………………………………………..77
Контрольные вопросы по разделу 2………………………………….………93
3. УПРАВЛЕНИЕ КРИПТОГРАФИЧЕСКИМИ КЛЮЧАМИ В
ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЯХ…………………………………….....95
3.1. Жизненный цикл криптографических ключей……………………..95
3.2. Особенности управления ключевой системой
асимметричных криптосистем. Концепция инфрастуктуры
открытых ключей………………………………………………………..102
3.3. Метод сертификации открытых ключей…………………………..107
3.4. Модель инфраструктуры открытых ключей PKIX……………….115
3.5. Закон Российской Федерации "Об электронной цифровой
подписи"………………………………………………………………….121
Контрольные вопросы по разделу 3……….………………………………..125
4. ПОСТРОЕНИЕ ВИРТУАЛЬНОЙ ЧАСТНОЙ СЕТИ……………….......127
4.1. Требования к продуктам построения виртуальных частных
сетей………………………………………………………………………127
Стр.247
4.2. Варианты реализации………………………………………………137
4.3. Шлюзы и клиенты…………………………………………………..139
4.4. Решения для построения виртуальных частных сетей…………...141
4.4.1. Виртуальные частные сети на базе сетевой
операционной системы……………………………………………..144
4.4.2. Виртуальные частные сети на базе
маршрутизаторов…………………………………………………...146
4.4.3. Виртуальные частные сети на базе межсетевых
экранов………………………………………………………………148
4.4.4. Виртуальные частные сети на базе
специализированного программного обеспечения……………….163
4.4.5. Виртуальные частные сети на базе аппаратных
средств……………………………………………………………….164
4.5. Виды виртуальных частных сетей…………………………………167
4.5.1. Intranet VPN…………………………………………………..169
4.5.2. Client/server VPN……………………………………………..169
4.5.3. Extranet VPN …………………………………………………171
4.5.4. Remote Access VPN…………………………………………..174
4.6. VPN-консорциум о виртуальных частных сетях ………………...183
4.7. Рекомендации специалистов……………………………………….189
Контрольные вопросы по разделу 4……….………………………………..192
5. РОССИЙСКИЕ ПРОДУКТЫ ДЛЯ СОЗДАНИЯ ВИРТУАЛЬНЫХ
ЧАСТНЫХ СЕТЕЙ………………………………………………………......194
5.1. Аппаратно-программный комплекс защиты информации
"Континент-К"……………………………….…………………………..194
5.2. Программные продукты компании "ЭЛВИС+"…………………..199
5.3. VPN-решения компании "Инфотекс"……………………………..202
5.4. Семейство продуктов "Net-PRO" компании "Сигнал-КОМ"……210
5.5. Продукты МО ПНИЭИ "ШИП" и "Игла-2" ……………………...215
5.6. Аппаратно-программный комплекс "ФПСУ-IР" компании
"Амикон" ………………………………………………….……………..217
5.7. Сравнение российских продуктов…………………………………222
Контрольные вопросы по разделу 5……………………….………………..227
Заключение…………………………………………………………………...229
Приложение 1. Сравнение зарубежных продуктов для создания
виртуальных частных сетей………………………………...…………….....232
Приложение 2. Документы по основным протоколам для
виртуальных частных сетей………………………………………………....242
Список литературы…………………………………………………………..246
Стр.248