Александр Лубанец, НПО РТК
Принципы построения систем информационной безопасности для широкополосных компьютерных сетей
Излишняя сложность и дороговизна технологий защиты информации в широкополосных базовых сетях, наряду с их острой необходимостью, вынуждают искать новые подходы и вырабатывать решения, позволяющие сокращать совокупную стоимость владения системами информационной безопасности распределенных в пространстве инфокоммуникационных инфраструктур предприятий без снижения их эффективности.
Структура
Чаще всего система защиты информации базовой сети представлена инфраструктурой межсетевых экранов и VPN-шлюзов, а топология представляет собой набор узлов, связанных волоконно-оптическими каналами связи, представленных высокопроизводительными маршрутизаторами. Но, несмотря на это, данная структура является источником падения производительности (из-за протоколов маршрутизации, передаваемой служебной информации, задержек в обработке пакета программным обеспечением маршрутизатора). Кроме того, она неизбежно приводит к удорожанию коммуникационной сети (см. рис. 1). Под MAN (Metropolitan Area Network) в данном случае понимается распределенная сеть предприятия, под LAN (Local Area Network) - удаленные подразделения предприятия, а под WAN (Wide Area Network) - открытая сеть Интернет. Из-за использования открытой инфраструктуры передачи данных для связи филиалов предприятия в разных городах необходима установка VPN-шлюзов в каждом из подразделений одной MAN-сети для доступа к «удаленной сети», которая может представлять из себя MAN в другом географически отдаленном месте. Недостатки рассмотренной топологии очевидны: потеря в производительности (особенно актуально это становиться с ростом скоростей передачи в базовой сети), отсутствие централизованной VPN-инфраструктуры, большие затраты на маршрутизаторы и системы управления ими.
Рисунок 1. Система информационной безопасности для маршрутизируемой инфраструктуры базовой сети
Для достижения оптимального соотношения эффективности вложений и максимального использования пропускной способности базовую сеть необходимо реализовывать на основе технологии коммутации пакетов (см. рис. 2), где основным действием является не маршрутизация пакета, а коммутация по параметру (в Ethernet-сетях это MAC-адрес сетевого интерфейса). В таких крупных сетях количество узлов может достигать огромного количества, поэтому для построения низколатентной коммутируемой сети с эффективным использованием пропускной способности необходимо ограничивать MAC-пространства по какому-нибудь объединяющему фактору (департамент предприятия, сеть филиала, демилитаризованная зона, корпоративная информационная система и т. д.), организовывая при этом широковещательные домены. Эта идея получила свое развитие в виде технологии VLAN (Virtual LAN) IEEE 802.1q.
Рисунок 2. Система информационной безопасности для коммутируемой инфраструктуры базовой сети
Технология 802.1q позволяет использовать принцип минимизации применения маршрутизаторов в базовой сети. Основные цели введения VLAN в коммутируемую среду - повышение полезной пропускной способности за счет локализации широковещательного трафика, формирование виртуальных рабочих групп из некомпактно (в плане подключения) расположенных узлов, обеспечение безопасности, улучшение соотношения «цена/производительность» по сравнению с применением маршрутизаторов.
Технические средства
Все широковещательные, многоадресные и неизвестные пакеты, попадающие в коммутатор с VLAN или широковещательного домена, пересылаются только станциям или на порты, которые являются членами только этой VLAN или широковещательного домена. VLAN 802.1q можно настроить так, чтобы ограничить распространение одноадресных пакетов для членов определенной VLAN, обеспечивая некоторую степень безопасности сети, которой на самом деле недостаточно (по причине того, что в данном случае возможен несанкционированный доступ к узлам сети и реализация атак типа «отказ в обслуживании»; при этом не исключаются угрозы, исходящее изнутри периметра безопасности). Поэтому необходимо предусмотреть такой перечень средств защиты информации, который бы отвечал принципам минимизации издержек на его использование и возможности применения в высокоскоростных сетях.
Эффективным решением является использование межсетевых экранов. Последние разработки в этой области (сетевые процессоры канального уровня с невидимыми для постороннего наблюдателя интерфейсами, т. е. без IP и MAC-адресов) позволяют фильтровать сетевой трафик по номеру VLAN-сети, т. е. параметром фильтрации в таком случае выступает дополнительный таг 802.1q, приписываемый в стандартный заголовок Ethernet-кадра. На основе такого фильтра можно реализовывать для каждой VLAN индивидуальную политику безопасности вне зависимости от их количества и без ощутимой потери производительности. Это позволяет размещать фильтры только в сегменте базовой сети, без дублирования аналогичных функций на уровне локальной сети, что существенно снижает издержки.
Особенностями коммутируемой сети на основе технологии VLAN являются: удешевление инфраструктуры, простота настройки и обслуживания, централизованное управление, масштабирование, возможность централизации информационных систем предприятия без потерь в производительности при высокой нагрузке из разных подразделений распределенной корпоративной сети.
Кроме того, межсетевые экраны в базовой сети можно применять для разных реализаций физических сред: для оптической с использованием протокола Gigabit Ethernet и для транк-соединения на основе технологии Fast Ethernet. В первом случае межсетевые экраны должны иметь два интерфейса поддерживающие высокоскоростную технологию Gigabit Ethernet (см. рис. 3-а). Во втором - необходимо применять кластерные решения для межсетевых экранов, ввиду того, что оптимальным по соотношению «стоимость/пропускная способность» транк-соединением следует считать четырехканальную структуру, за счет чего в режиме полного дуплекса можно достигать пропускной способности в 800 Мбит/с (см. рис. 3-б).
Рисунок 3. а - гигабитный сегмент базовой сети, б - транксоединение Fast Ethernet
Исключительной возможностью коммутируемых сетей с технологией VLAN является эффективное применениеVPN-инфраструктуры. Высокопроизводительные VPN-шлюзы необходимо располагать только на глобальном уровне, перед выходом в открытые сети, а если в локальных сетях есть данные, которые необходимо шифровать, то возможна установка менее требовательных к быстродействию криптошлюзов. В этом случае можно говорить о том, что VPN-решения, по большому счету, являются подмножеством решений на базе VLAN в ключе их применения к широкополосным корпоративным сетям.
Таким образом, беглое рассмотрение основных аспектов функционирования систем информационной безопасности для широкополосных компьютерных базовых сетей позволяет сказать, что приведенный подход отвечает современным требованиям минимизации издержек на IT-сектор и является технологией, которую, при наличии межсетевых экранов с указанными свойствами (поддержка Gigabit Ethernet, прозрачность фильтрующих интерфейсов, кластеризация, фильтрация по тагу VLAN и индивидуальная политика для каждой сети VLAN) целесообразно применять в базовых широкополосных сетях.
