При выборе подходов к построению системы сетевой безопасности в телекоммуникационных сетях железных дорог, на наш взгляд, следует исходить из следующих факторов:

  совокупность информационных систем железных дорог России представляет собой множество отличающихся друг от друга программно-технических систем;
  ведомственная телекоммуникационная сеть железной дороги имеет огромную протяженность и носит разветвленный характер. К ней подключены самыми различными способами, в самых разнообразных местах сотни сторонних организаций. В таких условиях сеть железной дороги нельзя считать безопасной средой для функционирования информационных систем;
  в различных информационных системах используют разнообразные прикладные программные средства, ориентированные на сетевые технологии. Прикладные службы могут меняться и, каждый раз при изменении программного средства встает вопрос об информационной безопасности;
  локальная сеть, особенно большая, может быть серьезным источником различных угроз, поскольку многие действия локальной сети слабо контролируемы. Типовые средства защиты от НСД, обеспечивающие защиту от несанкционированного доступа и разграничение доступа на данном компьютере или разграничение доступа с данного компьютера к сетевым ресурсам, совершенно не эффективны с точки зрения защиты от сетевых атак.

Перечисленные факторы определяют задачу разработки универсальных средств безопасности для вновь создаваемых прикладных технологий.

Технология VPN
Как решить проблему безопасного подключения локальной сети к Интернет и сделать максимально защищенной работу через ведомственную сеть МПС, которая является сегодня не менее агрессивной средой, чем сам Интернет? Эту задачу решает технология VPN - виртуальных защищенных сетей.

До сих пор многие определяют понятие "виртуальные сети" как соединение локальных сетей через открытую IP-сеть с использованием на выходах этих сетей специальных устройств, осуществляющих шифрование проходящего через них трафика и туннелирование его между двумя такими устройствами.

О действительно защищенной виртуальной сети можно говорить только в том случае, когда в такой сети присутствуют как равноправные объекты защиты отдельные компьютеры (их расположение значения не имеет) и защищенные организационными мерами выделенные фрагменты локальной сети (например, группы серверов).

Агенты VPN, перехватывающие весь сетевой трафик, устанавливаются на каждый компьютер, который требует защиты при его информационном взаимодействии с окружающей средой. Или наоборот, компьютер, работающий из локальной сети с открытыми ресурсами, может быть с помощью технологии VPN изолирован от локальной сети.

Агенты VPN, перехватывающие сетевой трафик независимо от приложения его создающего, путем криптографических преобразований каждого IP-пакета индивидуализируют его и делают недоступным для любых других компьютеров, кроме пары компьютеров, обменивающихся между собой информацией, Если идет обмен с каким-то сервером, то парольная информация становится недоступной. Прикладная система будет защищена, вне зависимости от используемой технологии, будь то Oracle, Informix, Microsoft SQL сервер или просто файловый сервер.

\/РN-агенты легко создают замкнутые или пересекающиеся группы пользователей, исходя из логики требуемых информационных связей, независимо от приложений, сетевой операционной системы, без каких-либо настроек сетевого оборудования, без участия сетевых администраторов. Такие пользователи могут находиться в одной или разных локальных сетях, а также в глобальной сети, подключившись к Интернет через провайдера.

Требования к средствам VPN
При таком подходе средства для образования виртуальных сетей должны удовлетворять ряду требований. Сформулируем необходимые требования к таким средствам, используемым в стандартных локальных и глобальных сетях при высоком уровне безопасности в процессе информационного обмена.

Прежде всего, обязательно должны присутствовать агенты для групповой и персональной защиты компьютеров, работающие в различных операционных средах. Программное обеспечение такого агента должно быть реализовано на низком уровне операционной системы, чтобы взаимодействовать непосредственно с сетевым драйвером и обеспечивать перехват любого трафика, независимо от используемых протоколов. Агент VPN не только обеспечивает преобразование (шифрование) трафика в зависимости от адресата, но и выполняет функции мощного персонального сетевого экрана с разнообразными возможностями. Система обязана поддерживать протоколы динамического выделения IР-адресов, т.е. должны присутствовать надежные процедуры авторегистрации IР-адресов, специальные программы серверов, взаимодействующих между собой и выполняющих функции оповещения о новых IР-адресах участников VPN.

Также важными функциями средств VPN являются:

  работа через различные типы Firewall-Ргоху, осуществляющие преобразование адресов, уже установленные в локальных сетях;
  прозрачность для любых типов IP-протоколов, формируемых как прикладными программами, так и операционной системой;
  обеспечение защиты трафика еще на этапе загрузки компьютера сразу после загрузки сетевого драйвера;
  поддержание различных типов протоколов, которые могут быть критичными к преобразованию адресов (NetBios, WINS, DHCP, DNS, IСМР, НТТР, FTP, Real audio, Real video, Н323 и др.);
  высокая производительность и отсутствие слишком высокой избыточности для нормальной работы в локальных сетях;
  динамическая адаптация под все сетевые настройки компьютера;
  обеспечение для серверных объектов VPN поддержки кластерных технологий, технологий Stand by, использования альтернативных каналов связи и других технологий горячего резервирования;
отсутствие помех для различных протоколов динамической маршрутизации;
  наличие средства централизованного управления и контроля такой виртуальной сетью.

Здесь перечислены только наиболее важные функции, которые должны выполняться персональными средствами VPN для обеспечения возможности их использования одновременно в локальных и глобальных сетях без наложения серьезных ограничений на сетевую среду.
Очень немногие отечественные и импортные средства VPN удовлетворяют этим требованиям. Поэтому при выборе средств VPN, которые должны функционировать в локальных и глобальных сетях, следует внимательно познакомиться с теми свойствами, которые эти средства в состоянии реализовать.

Защита информационных ресурсов МПС России
Проблема защиты информационных ресурсов МПС России может быть условно разбита на две части:

  защита внутренней сети Интранет от посягательств извне;
  защита ресурсов при работе пользователей различного уровня при работе в глобальных телекоммуникационных сетях, включая Интернет.

Для обеспечения более высокого уровня контроля доступа в сегмент Интернет и качественной защиты от угроз целостности, доступности и конфиденциальности возникает необходимость использования специальных средств защиты, наиболее распространенными из которых считаются межсетевые экраны (МЭ).
Первая задача МЭ заключается в фильтрации пакетов. Вторая задача, которую должен решить межсетевой экран (помимо фильтрации потоков данных), - скрывать информацию о топологии защищаемой сети, тем самым, затрудняя действия потенциальных нарушителей. Именно он может осуществлять действия от имени субъектов внутренней сети, в результате чего из внешней сети кажется, что имеет место взаимодействие исключительно с межсетевым экраном.

В части обеспечения БИ при подключении к Интернету особенно важно обеспечить защиту стыка локальная сеть/ глобальная сеть, которая реализуется через сегменты связи с Интернет или через абонентские пункты связи с Интернет (АП).

Гарантированного исключения возможности проникновения во внутреннюю корпоративную сеть из Интернет можно добиться путем обязательной изоляции Интернет-сегмента организации от корпоративной сети организации.

Для сферы критических приложений это обязательное требование. Кроме того, Интернет-сегмент организации должен содержать информацию, предназначенную только для открытой публикации. При таком подходе в этом сегменте в простейшем случае можно ограничиться защитными функциями базовых операционных систем и стандартными решениями, предоставляемыми программными средствами взаимодействия с Интернет.

К достоинствам таких программно-аппаратных средств можно отнести небольшое время, требуемое на их запуск, и относительную простоту обслуживания. Однако стоимость одного МЭ колеблется от нескольких тысяч до десятков тысяч долларов США.

Выход видится в правильной организации связи с сетью Интернет и использовании средств защиты, организованных чисто программными методами. В простейшем случае можно рекомендовать физическую изоляцию Интернет-сегмента организации от корпоративной сети организации с режимом доступа к Интернет по коммутируемой линии по принципу DialUp-IP без выделения (IР-адреса. Если имеется необходимость дополнительно использовать WWW-технологии, можно предложить организацию и размещение клиентских виртуальных Web- и FTP-серверов на узле фирмы-провайдера.

Система ViPNet
Одним из средств, удовлетворяющих указанным выше требованиям, является пакет программ "Корпоративная наложенная сеть ИНФОТЕКС" (торговая марка ViPNet), сертифицированный Гостехкомиссией России по классу 1В автоматизированных систем и третьему классу межсетевых экранов.
Криптографическое ядро системы ("Домен-К") успешно прошло сертификационные испытания в ФАПСИ (сертифицирующая лаборатория - НТЦ "Атлас" ФАПСИ) и получило соответствующие сертификаты ФАПСИ о соответствии требованиям КС1 и КС2.

Система ViPNet обеспечивает прозрачную защиту информационных потоков любых приложений и любых протоколов IР как для отдельных рабочих станций, файловых серверов, серверов приложений, маршрутизаторов, серверов удаленного доступа и др., так и сегментов IР-сетей. Одновременно выполняет функции персонального сетевого экрана для каждого компьютера и межсетевого экрана для сегментов IР-сетей. Имеет большое разнообразие уровня полномочий для пользователей и настройки различных конфигураций.

Низкоуровневому сетевому драйверу сетевой защиты безразличен тип прикладной системы, работающей на компьютере. Он автоматически шифрует все информационные потоки компьютера в соответствии с заданными связями, обеспечивает надежную защиту компьютера при взаимодействии с открытыми ресурсами, создает пользователю комфортные условия работы в сети.

Ключевая структура носит комбинированный характер и имеет как симметричную схему распределения ключей, позволяющую обеспечить жесткую централизованную систему управления, так и систему открытого распределения ключей, гарантирующую информационную независимость от центральной администрации.

Прикладные программы системы ViPNet дополнительно предоставляют защищенные службы реального времени для циркулярного обмена сообщениями, проведения конференций, ведения переговоров, служб гарантированной доставки почтовой корреспонденции с процедурами электронной подписи и разграничением доступа к документам, служб автопроцессинга для автоматической доставки файлов. Отдельно оформленные криптографические функции ядра (подпись и шифрование) при необходимости могут встраиваться непосредственно в различные прикладные системы.

Программное обеспечение системы ViPNet функционирует в операционных средах Windows 95/98/МЕ/NТ/2000, Linux.
Производительность работы драйвера защиты трафика в зависимости от операционной системы и мощности компьютера - от 2 до 32 Мбит/с и практически не ограничивает работу компьютеров даже в 100 Мегабитных сетях.

Для разгрузки процессоров серверов сети и увеличения пропускной способности до 60-90 Мбит/сек в них может быть установлена РСI-плата ViPNet Turbo 100.

Опыт внедрения системы ViPNet
В настоящее время система ViPNet используется или прошла испытания в ряде систем железных дорог.
Развернута виртуальная сеть, объединяющая ряд защищенных компьютеров локальной сети ГВЦ МПС через Интернет с защищенными компьютерами 16 банков России для обеспечения приема данных о движении денежных средств по основному доходному счету МПС.

На испытательном стенде, в котором участвовали Центр фирменного транспортного обслуживания (ЦФТО) МПС России и экспедиторы, отработаны виртуальные защищенные соединения между экспедиторами с ViPNet-клиентами, выходящими в Интернет по коммутируемым каналам, и WEB-витриной через ViPNet-координатор процессингового центра, а также между несколькими АРМ в ЦФТО и АРМ процессингового центра через выделенный канал и ViPNet-координаторы ЦФТО и уполномоченного банка. Одновременно обеспечивались электронная подпись и автоматическая доставка файлов-документов между ЦФТО и процессинговым центром.

Встроенные у экспедитора специалистами банка в Internet Explorer библиотеки подписи и шифрования системы ViPNet обеспечивали выполнение соответствующих процедур при работе с WEB-витриной процессингового центра. Эти же библиотеки встроены в программы АРМ ЦФТО.

Развернуты виртуальные сети на Свердловской и Юго-Восточной железных дорогах.
Установлено несколько ViPNet-координаторов, через которые организуются защищенные виртуальные соединения клиентов дороги с необходимыми службами в отделениях дороги, и ViPNet-Клиенты на различных рабочих станциях и серверах в ИВЦ, ДЦФТО и отделениях дороги.

Реализована специальная технология подключения разрешенных станций к открытым ресурсам Интернет, исключающая одновременную работу этих станций в Интернет и в локальной сети. При этом открытый трафик Интернет помещается в защищенные туннели внутри локальной сети.

Начато развертывание виртуальной сети ViPNet для подключения к SQL-серверу ЦФТО по каналам Интернет через ViPNet-координатор ЦФТО ряда экспедиторских организаций. При этом выпущена версия ViPNet, которая обеспечивает гарантированное разграничение прав доступа между АРМ Экспедиторов к SQL-серверу со стороны сети Интернет, даже если стали известными чужие Login и пароли доступа на SQL-сервер.

На Приволжской железной дороге успешно проведены испытания виртуальной сети ViPNet для организации защищенной доставки информации непосредственно до компьютеров абонентов с сервера телеграфных каналов фирмы "Линтех" (03 Linux). Развертывается виртуальная сеть для защиты узла Интернет и создания защищенной электронной почты. Совместно с ЦФТО начаты работы по подключению к сети МПС грузоотправителей через сеть Интернет.

На Приволжской, Южно-Уральской, Северо-Кавказской железных дорогах проведены успешные испытания и готовится плановое внедрение.

Продукты ряда ViPNet
Продукты ряда ViPNet строятся на основе следующих функциональных модулей, сборка которых в единый продукт зависит от требуемой функциональности:

  центр управления сетью (ЦУС), предназначенный для создания инфраструктуры сети и управления объектами;
  ключевой центр (КЦ), предназначенный для формирования первичной ключевой и парольной информации для объектов сети, сертификации ключевой информации, сформированной объектами сети;
  ViPNet-координатор - многофункциональный модуль, осуществляющий в зависимости от настроек различные функции;
  ViPNet-клиент - модуль, реализующий на каждом рабочем месте различные функции.

Центр управления сетью обеспечивает логическую конфигурацию сети, централизованное автоматическое управление, дистанционное обновление справочников, ключей, ПО, настройку конфигурации, анализ журналов и др.

ViPNet-координатор выполняет функции:

  менеджера IP-адресов;
ргоху-сервера защищенных соединений;
  сервер-туннеля (шифрование межсетевого трафика);
  межсетевого экрана;
  сервера почтовых и управляющих сообщений,

ViPNet-клиент выполняет функции:

  персонального сетевого экрана;
прозрачного шифрования IР-трафика, генерируемого любыми сетевыми и пользовательскими приложениями;
  защищенной почтовой службы с электронной цифровой подписью;
  автопроцессинга для автоматической подписи и доставки файлов;
  защищенных служб реального времени для организации циркулярного о  бмена сообщениями, проведения конференций, аудио - и видеопереговоров;
  использования функций подписи и шифрования различными прикладными программами.

Разнообразные возможности управления режимами безопасности в зависимости от предоставленных пользователю полномочий, обеспечивают разные уровни защиты, в том числе самый жесткий, когда блокируется любой входящий и исходящий открытый трафик, и оптимальный (бумеранг/stealth), предоставляющий возможность устанавливать инициативные соединения с открытыми ресурсами.
При необходимости могут быть настроены и более тонкие стратегии для работы с открытыми ресурсами.

А.В. Шевченко - начальник отдела Главного вычислительного центра МПС России
В.В. Игнатов - вице-президент ОАО "Инфотекс"
(опубликовано в журнале "ВКСС Connect" #3/2001)