Проектирование корпоративной VoIP сети на базе Asterisk в ТОО “Центр технической компетенции DEMEU”

 

Целостность - это  элемент, который включает безопасность устройства инфраструктуры сети (физический и логический доступ), безопасность периметра и конфиденциальность данных. Безопасность физического доступа может выражаться в размещении оборудования сети в специально созданных для этого оборудования шкафах, которые имеют ограниченный доступ.

 

Безопасность  логического доступа главным  образом относится к обеспечению  механизмов идентичности (идентификации и авторизации) перед тем, как дать доступ для сети связи Telnet или для терминала к компонентам инфраструктуры общей сети (например, маршрутизаторам или межсетевым экранам). Безопасность периметра связана с функциями межсетевых экранов, определяющих, какой трафик разрешен или запрещен от различных зон сети, обычно - между сетью Интернет и главным комплексом или между пользователями удаленного доступа и главным комплексом.

 

Конфиденциальность  данных может обеспечиваться протоколами безопасности на транспортном уровне SSL и Secure Shell Protocol (SSH), которые осуществляют безопасную передачу данных между клиентом и сервером. Безопасный протокол передачи гипертекста (S-HTTP) предоставляет надежный механизм Web-транзакций, однако в настоящее время наиболее популярным средством является SSL. Средство SOCKS является рамочной структурой, позволяющей приложениям клиент/сервер в доменах TCP и UDP удобно и безопасно пользоваться услугами сетевого межсетевого экрана. Протокол безопасности IP (IPSec) представляет собой набор стандартов поддержки целостности и конфиденциальности данных на сетевом уровне (в сетях IP). X.509 является стандартом безопасности и идентификации, который поддерживает структуры безопасности электронного информационного транспорта.

 

Последним главным  элементом системы безопасности является аудит, который необходим  для слежения и верификации процесса исследования политики безопасности. Для испытания эффективности  инфраструктуры системы безопасности, аудит безопасности должен происходить часто, через равные промежутки времени. Он также должен включать проверки установки новой системы, методы для определения возможной вредительских действий кого-либо из внутреннего персонала и возможного наличия особого класса проблем (нападения типа "отказ в сервисе"), а также общее следование политике безопасности объекта.

 

При разработке политики безопасности необходимо учитывать  требование сбалансировать легкость доступа  к информации и адекватный механизм идентификации разрешенного пользователя и обеспечения целостности и конфиденциальности данных. Политика безопасности должна внедрятся принудительно как технически, так и организационно - тогда она будет по-настоящему эффективна.

 

9.1 VPN

 

VPN (англ. Virtual Private Network — виртуальная частная сеть) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).

 

В зависимости  от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.

Обычно VPN развёртывают на уровнях не выше сетевого, так как применение криптографии на этих уровнях позволяет использовать в неизменном виде транспортные протоколы (такие как TCP, UDP).

 

Пользователи Microsoft Windows обозначают термином VPN одну из реализаций виртуальной сети — PPTP, причём используемую зачастую не для создания частных сетей.

 

Чаще всего  для создания виртуальной сети используется инкапсуляция протокола PPP в какой-нибудь другой протокол — IP (такой способ использует реализация PPTP — Point-to-Point Tunneling Protocol) или Ethernet (PPPoE) (хотя и они имеют различия). Технология VPN в последнее время используется не только для создания собственно частных сетей, но и некоторыми провайдерами «последней мили» на постсоветском пространстве для предоставления выхода в Интернет.

 

При должном  уровне реализации и использовании специального программного обеспечения сеть VPN может обеспечить высокий уровень шифрования передаваемой информации. При правильной настройке всех компонентов технология VPN обеспечивает анонимность в Сети.

VPN состоит из  двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера. Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов, удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.

Классифицировать VPN решения можно по нескольким основным параметрам:

- по степени защищенности используемой среды;

- по способу реализации;

- по назначению;

- по типу протокола;

- по уровню сетевого протокола.

По способу  реализации:

- в виде специального программно-аппаратного обеспечения. Реализация VPN сети осуществляется при помощи специального комплекса программно-аппаратных средств. Такая реализация обеспечивает высокую производительность и, как правило, высокую степень защищённости;

- в виде программного решения. Используют персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN;

- интегрированное решение. Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.

 

 

Рисунок 9.1.1. Классификация VPN

 

По назначению:

- Intranet VPN. Используют для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи;

- Remote Access VPN. Используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера, корпоративного ноутбука, смартфона или интернет-киоскa;

- Extranet VPN. Используют для сетей, к которым подключаются «внешние» пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации;

- Internet VPN. Используется для предоставления доступа к интернету провайдерами, обычно в случае если по одному физическому каналу подключаются несколько пользователей;

- Client/Server VPN. Он обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например, между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физической сети необходимо создать несколько логических сетей. Например, когда надо разделить трафик между финансовым департаментом и отделом кадров, обращающихся к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, но вместо разделения трафика, используется его шифрование.

По типу протокола. Существуют реализации виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN решений поддерживает именно его. Адресация в нём чаще всего выбирается в соответствии со стандартом RFC5735, из диапазона Приватных сетей TCP/IP.

По уровню сетевого протокола. По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI.

Примеры VPN:

- IPSec (IP security) — часто используется поверх IPv4. IPSec (сокращение от IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет;

- PPTP (point-to-point tunneling protocol) — разрабатывался совместными усилиями нескольких компаний, включая Microsoft. PPTP (англ. Point-to-Point Tunneling Protocol) — туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. PPTP помещает (инкапсулирует) кадры PPP в IP-пакеты для передачи по глобальной IP-сети, например Интернет. PPTP может также использоваться для организации туннеля между двумя локальными сетями. РРТР использует дополнительное TCP-соединение для обслуживания туннеля;

- PPPoE (PPP (Point-to-Point Protocol) over Ethernet) - сетевой протокол канального уровня передачи кадров PPP через Ethernet. В основном используется xDSL-сервисами. Предоставляет дополнительные возможности (аутентификация, сжатие данных, шифрование);

- L2TP (англ. Layer 2 Tunneling Protocol — протокол туннелирования второго уровня) — в компьютерных сетях туннельный протокол, использующийся для поддержки виртуальных частных сетей. L2TP не обеспечивает шифрование и конфиденциальность сам по себе, он опирается на инкапсулируемый протокол для обеспечения конфиденциальности;

- OpenVPN — свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами, находящимися за NAT-firewall, без необходимости изменения их настроек.

 

 

9.2 Межсетевой экран (Firewall)

 

Межсетевой  экран или сетевой экран —  комплекс аппаратных или программных  средств, осуществляющий контроль и  фильтрацию проходящих через него сетевых  пакетов в соответствии с заданными  правилами.

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Некоторые сетевые  экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых (серых) адресов  или портов на внешние, используемые за пределами ЛВС.

Брандма́уэр (нем. Brandmauer) — заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в области компьютерных технологий в немецком языке употребляется слово «firewall».

 

Рисунок 9.2.1. Расположение межсетевого экрана в сети

 

Сетевые экраны подразделяются на различные типы в  зависимости от следующих характеристик:

- обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;

- на уровне  каких сетевых протоколов происходит  контроль потока данных;

- отслеживаются  ли состояния активных соединений  или нет.

В зависимости  от охвата контролируемых потоков данных сетевые экраны делятся на:

- традиционный  сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями;

- персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Вырожденный случай — использование традиционного  сетевого экрана сервером, для ограничения  доступа к собственным ресурсам.

В зависимости  от уровня, на котором происходит контроль доступа, существует разделение на сетевые  экраны, работающие на:

- сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;

- сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных;

- уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.