Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Защита от внешних и внутренних атак

К сожалению, приходится отметить, что средства построения VPN не являются полноценными средствами обнаружения и блокирования атак. Они могут предотвратить ряд несанкционированных действий, но далеко не все возможности, которые могут использовать хакеры для проникновения в корпоративную сеть. Они не могут обнаружить вирусы и атаки типа "отказ в обслуживании" (это делают антивирусные системы и средства обнаружения атак), они не могут фильтровать данные по различным признакам (это делают межсетевые экраны) и т.д. На это мне можно возразить, что эти опасности не страшны, так как VPN не примет незашифрованный трафик и отвергнет его. Однако на практике это не так. Во-первых, в большинстве случае средство построения VPN используется для защиты лишь части трафика, например, направленного в удаленный филиал. Остальной трафик (например, к публичным Web-серверам) проходит через VPN-устройство без обработки. А во-вторых, перед лицом статистики склоняют головы даже самые отъявленные скептики. А статистика утверждает, что до 80% всех инцидентов, связанных с информационной безопасностью, происходит по вине авторизованных пользователей, имеющих санкционированный доступ в корпоративную сеть. Из чего следует вывод, что атака или вирус будут зашифрованы наравне с безобидным трафиком.

Производительность

Производительность сети — это достаточно важный параметр, и на любые средства, способствующие его снижению, в любой организации смотрят с подозрением. Не являются исключением и средства построения VPN, которые создают дополнительные задержки, связанные с обработкой трафика, проходящего через VPN-устройство. Все задержки, возникающие при криптографической обработке трафика, можно разделить на три типа:

· Задержки при установлении защищенного соединения между VPN-устройствами.

· Задержки, связанные с зашифровыванием и расшифровыванием защищаемых данных, а также с преобразованиями, необходимыми для контроля их целостности.

· Задержки, связанные с добавлением нового заголовка к передаваемым пакетам.

Реализация первого, второго и четвертого вариантов построения VPN предусматривает установление защищенных соединений не между абонентами сети, а только между VPN-устройствами. С учетом криптографической стойкости используемых алгоритмов смена ключа возможна через достаточно длительный интервал времени. Поэтому при использовании средств построения VPN задержки первого типа практически не влияют на скорость обмена данными. Разумеется, это положение касается стойких алгоритмов шифрования, использующих ключи не менее 128 бит (Triple DES, ГОСТ 28147-89 и т.д.). Устройства, использующие бывший стандарт DES, способны вносить определенные задержки в работу сети.

Задержки второго типа начинают сказываться только при передаче данных по высокоскоростным каналам (от 10 Мбит/с). Во всех прочих случаях быстродействие программной или аппаратной реализации выбранных алгоритмов шифрования и контроля целостности обычно достаточно велико и в цепочке операций «зашифровывание пакета — передача пакета в сеть» и «прием пакетов из сети — расшифровывание пакета» время зашифровывания (расшифровывания) значительно меньше времени, необходимого для передачи данного пакета в сеть.

Основная проблема здесь связана с добавлением дополнительного заголовка к каждому пакету, пропускаемому через VPN-устройство. В качестве примера рассмотрим систему диспетчерского управления, которая в реальном масштабе времени осуществляет обмен данными между удаленными станциями и центральным пунктом. Размер передаваемых данных не велик — не более 25 байтов. Данные сопоставимого размера передаются в банковской сфере (платежные поручения) и в IP-телефонии. Интенсивность передаваемых данных — 50-100 переменных в секунду. Взаимодействие между узлами осуществляется по каналам с пропускной способностью в 64 Кбит/с.

Пакет со значением одной переменной процесса имеет длину 25 байтов (имя переменной — 16 байтов, значение переменной — 8 байт, служебный заголовок — 1 байт). IP-протокол добавляет к длине пакета еще 24 байта (заголовок IP-пакета). При использовании в качестве среды передачи каналов Frame Relay LMI добавляется еще 10 байтов FR-заголовка. Всего — 59 байтов (472 бита). Таким образом, для передачи 750 значений переменных процесса за 10 секунд (75 пакетов в секунду) необходима полоса пропускания 75×472 = 34,5 Кбит/с, что хорошо вписывается в имеющиеся ограничения пропускной способности в 64 Кбит/с. Теперь посмотрим, как ведет себя сеть при включении в нее средства построения VPN. Первый пример — средства на основе порядком уже подзабытого протокола SKIP.

К 59 байтам данных добавляется 112 байт дополнительного заголовка (для ГОСТ 28148-89), что составит 171 байт (1368 бит). 75×1368 = 102,6 Кбит/с, что на 60% превышает максимальную пропускную способность имеющегося канала связи.

Для протокола IPSec и вышеуказанных параметров пропускная способность будет превышена на 6% (67,8 Кбит/с). Это при условии, что дополнительный заголовок для алгоритма ГОСТ 28147-89 составит 54 байта. Для протокола, используемого в российском программно-аппаратном комплексе «Континент-К», дополнительный заголовок, добавляемый к каждому пакету, составляет всего 36 байтов (или 26 — в зависимости от режима работы), что не вызывает никакого снижения пропускной способности (57 и 51 Кбит/с соответственно). Справедливости ради необходимо отметить, что все эти выкладки верны лишь при условии, что, кроме указанных переменных, в сети больше ничего не передается.

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...