Сеть с ин­те­гри­ро­ван­ной без­опас­но­стью

Без­опас­ной мож­но на­звать толь­ко та­кую сеть, к ко­то­рой не­воз­мож­но под­клю­чить неав­то­ри­зо­ван­ные устрой­ства и несанк­ци­о­ни­ро­ван­ных поль­зо­ва­те­лей, то есть сеть долж­на «знать» и тех и дру­гих. Для управ­ле­ния этой ин­фор­ма­ци­ей и ее рас­про­стра­не­ни­ем нуж­ны до­пол­ни­тел

Lan - - Колонка Редактора - Оскар Крас­нов

Без­опас­ной мож­но на­звать толь­ко та­кую сеть, к ко­то­рой не­воз­мож­но под­клю­чить неав­то­ри­зо­ван­ные устрой­ства и несанк­ци­о­ни­ро­ван­ных поль­зо­ва­те­лей, то есть сеть долж­на «знать» и тех и дру­гих. Для управ­ле­ния этой ин­фор­ма­ци­ей и ее рас­про­стра­не­ни­ем нуж­ны до­пол­ни­тель­ные про­то­ко­лы.

Про­то­кол IP раз­ра­ба­ты­вал­ся для поддержания свя­зи да­же в слу­чае вы­хо­да из строя ча­сти се­ти. По­это­му ме­ха­низ­мы обес­пе­че­ния на­деж­но­сти со­еди­не­ния бы­ли преду­смот­ре­ны в нем с са­мо­го на­ча­ла. В то же вре­мя та­кие ас­пек­ты без­опас­но­сти, как аутен­ти­фи­ка­ция поль­зо­ва­те­лей, предот­вра­ще­ние под­клю­че­ния сто­рон­них устройств и при­ме­не­ние пра­вил кон­тро­ля до­сту­па, в нем от­сут­ству­ют. Эти ме­ха­низ­мы ре­а­ли­зу­ют­ся от­дель­но — на ос­но­ве ба­зо­вых стан­дар­тов IP, раз­ра­ба­ты­ва­е­мых IETF. Раз­бе­рем по­дроб­нее, ка­кие стан­дар­ты при этом используются.

АР­ХИ­ТЕК­ТУ­РА СЕ­ТИ

Вна­ча­ле необ­хо­ди­мо опре­де­лить, что же имен­но тре­бу­ет­ся для обес­пе­че­ния без­опас­но­сти се­ти. В клас­си­че­ской ар­хи­тек­ту­ре IPv4 есть толь­ко от­пра­ви­те­ли и по­лу­ча­те­ли, и та­кое пред­став­ле­ние уже не со­от­вет­ству­ет все­му раз­но­об­ра­зию су­ще­ству­ю­щих ва­ри­ан­тов се­тей: ма­ги­страль­ных, опе­ра­тор­ских, кор­по­ра­тив­ных, кам­пус­ных, се­тей ЦОД и мно­гих дру­гих.

В об­щем слу­чае сеть мож­но рас­смат­ри­вать в рам­ках ста­рой па­ра­диг­мы как сред­ство вза­и­мо­дей­ствия поль­зо­ва­те­лей с сер­вер­ным обо­ру­до­ва­ни­ем. Од­на­ко в со­вре­мен­ных усло­ви­ях как поль­зо­ва­те­ли, так и сер­ве­ры мо­гут пе­ре­ме­щать­ся из од­но­го сег­мен­та се­ти в дру­гой. Пе­ре­ме­ще­ние по­след­них ста­ло воз­мож­но в ре­зуль­та­те раз­ви­тия вир­ту­а­ли­за­ции в рам­ках об­лач­ных вы­чис­ле­ний и мо­биль­ных тех­но­ло­гий. Это тре­бу­ет на­зна­че­ния до­пол­ни­тель­ных ро­лей, по­это­му в лю­бой со­вре­мен­ной се­ти мож­но обоб­щен­но вы­де­лить несколь­ко ос­нов­ных эле­мен­тов (см. рис. 1).

Око­неч­ные устрой­ства. Это мо­гут быть как лич­ные устрой­ства поль­зо­ва­те­лей, так и сер­ве­ры. Все они мо­гут пе­ре­ме­щать­ся из од­но­го сег­мен­та в дру­гой, по­это­му необ­хо­ди­мо преду­смот­реть процедуру про­вер­ки их под­лин­но­сти с по­сле­ду­ю­щим вы­де­ле­ни­ем им ре­сур­сов се­ти в со­от­вет­ствии с по­ли­ти­кой без­опас­но­сти. В част­но­сти, речь идет об уни­каль­ном иден­ти­фи­ка­то­ре, ко­то­рый дол­жен прий­ти на сме­ну IP-ад­ре­су.

Же­ла­тель­но, что­бы у поль­зо­ва­те­ля и сер­ве­ра иден­ти­фи­ка­то­ры бы­ли по­сто­ян­ны­ми вне за­ви­си­мо­сти от то­го, к ка­ко­му сег­мен­ту се­ти сей­час под­клю­че­но око­неч­ное устрой­ство. Та­кое свой­ство се­ти мож­но на­звать вир­ту­а­ли­за­ци­ей. По­гра­нич­ные устрой­ства. Это те шлю­зы, к ко­то­рым под­клю­ча­ют­ся око­неч­ные устрой­ства. Имен­но они долж­ны вы­пол­нять всю наи­бо­лее ин­тел­лек­ту­аль­ную ра­бо­ту по обес­пе­че­нию без­опас­но­сти и гиб­ко­сти се­ти: аутен­ти­фи­ка­цию око­неч­ных устройств, вы­де­ле­ние для них ре­сур­сов се­ти, марш­ру­ти­за­цию па­ке­тов меж­ду око­неч­ны­ми устрой­ства­ми, а при необ­хо­ди­мо­сти и про­зрач­ное пе­ре­клю­че­ние око­неч­ных устройств с од­но­го по­гра­нич­но­го шлю­за на дру­гой.

Про­це­ду­ра пе­ре­клю­че­ния долж­на быть та­кой, что­бы се­ан­сы свя­зи меж­ду око­неч­ны­ми устрой­ства­ми при этом не пре­ры­ва­лись. Та­ким об­ра­зом, имен­но по­гра­нич­ные устрой­ства долж­ны под­дер­жи­вать до­пол­ни­тель­ные про­то­ко­лы аутен­ти­фи­ка­ции поль­зо­ва­те­лей, под­клю­че­ния их к се­ти и обес­пе­че­ния без­опас­но­сти. Эти про­то­ко­лы сле­ду­ет ин­кап­су­ли­ро­вать в чи­стый IPv4 без необ­хо­ди­мо­сти ре­а­ли­за­ции до­пол­ни­тель­ных про­то­ко­лов на всех устрой­ствах се­ти.

Се­те­вые устрой­ства. Эти эле­мен­ты ин­фра­струк­ту­ры при­зва­ны обес­пе­чить мак­си­маль­но быст­рую пе­ре­да­чу па­ке­тов от од­но­го по­гра­нич­но­го устрой­ства к дру­го­му. При ис­поль­зо­ва­нии тех­но­ло­гии

SDN они мо­гут да­же не вы­пол­нять марш­ру­ти­за­цию па­ке­тов — это за них бу­дет де­лать кон­трол­лер се­ти. Фак­ти­че­ски это про­стые ком­му­та­то­ры без под­держ­ки слож­ных про­то­ко­лов, ко­то­рые, од­на­ко, обес­пе­чи­ва­ют мак­си­маль­но быст­рую пе­ре­сыл­ку па­ке­тов меж­ду от­пра­ви­те­лем и по­лу­ча­те­лем.

Кон­трол­лер се­ти. Цен­траль­ным эле­мен­том си­сте­мы яв­ля­ет­ся кон­трол­лер, ко­то­рый осу­ществ­ля­ет управ­ле­ние се­те­вы­ми устрой­ства­ми для фор­ми­ро­ва­ния марш­ру­тов, а так­же аутен­ти­фи­ка­цию и ре­ги­стра­цию око­неч­ных устройств. Он опре­де­ля­ет пра­ви­ла вза­и­мо­дей­ствия око­неч­ных устройств — для это­го мож­но объ­еди­нять устрой­ства в груп­пы. Кон­трол­лер мо­жет как са­мо­сто­я­тель­но вы­пол­нять все необ­хо­ди­мые функ­ции, так и раз­де­лять их меж­ду различными уз­ла­ми.

Этот ба­зо­вый на­бор функ­ци­о­наль­ных уз­лов дол­жен обес­пе­чить без­опас­ность се­те­вых ком­му­ни­ка­ций, при­чем не толь­ко внут­ри од­ной ав­то­ном­ной си­сте­мы, но и в несколь­ких раз­не­сен­ных сег­мен­тах, свя­зан­ных меж­ду со­бой, на­при­мер, по ка­на­лам от­кры­то­го Ин­тер­не­та или арен­до­ван­ны­ми ли­ни­я­ми свя­зи, при­над­ле­жа­щи­ми дру­гим вла­дель­цам. Это воз­мож­но бла­го­да­ря то­му, что се­те­вое вза­и­мо­дей­ствие меж­ду по­гра­нич­ны­ми устрой­ства­ми ор­га­ни­зу­ет­ся с по­мо­щью про­сто­го про­то­ко­ла IPv4 без до­пол­ни­тель­ных оп­ций.

ТРЕ­БО­ВА­НИЯ

В по­доб­ной си­сте­ме вза­и­мо­дей­ствия по­яв­ля­ет­ся воз­мож­ность бо­лее стро­го кон­тро­ли­ро­вать ком­му­ни­ка­ци­он­ную сре­ду и обес­пе­чи­вать не толь­ко це­лост­ность, но и дру­гие свой­ства без­опас­но­сти. Рас­смот­рим их по­дроб­нее.

Не­под­дель­ность. Од­ним из наи­бо­лее про­блем­ных свойств IPv4 яв­ля­ет­ся его ано­ним­ность: не все­гда мож­но уста­но­вить од­но­знач­ное со­от­вет­ствие меж­ду устрой­ством и его поль­зо­ва­те­лем. По­сколь­ку устрой­ство мо­жет про­из­воль­но уста­нав­ли­вать соб­ствен­ные IP-ад­ре­са, важ­но пра­виль­но их по­до­брать. По­это­му в за­щи­щен­ной ком­му­ни­ка­ци­он­ной сре­де необ­хо­ди­мо про­во­дить аутен­ти­фи­ка­цию как устрой­ства, так и поль­зо­ва­те­ля.

Си­сте­ма долж­на га­ран­ти­ро­вать невоз­мож­ность под­клю­че­ния по­сто­рон­них устройств (точ­нее, от­но­сить неиз­вест­ные устрой­ства к от­дель­ной груп­пе обо­ру­до­ва­ния с мак­си­маль­но жест­ки­ми огра­ни­че­ни­я­ми по до­сту­пу), а пра­ви­ла до­сту­па долж­ны быть при­вя­за­ны уже не к устрой­ству, а к поль­зо­ва­те­лю. Для это­го нуж­но ре­а­ли­зо­вать процедуру стро­гой аутен­ти­фи­ка­ции поль­зо­ва­те­лей, на­при­мер по про­то­ко­лу RADIUS, по­сле ко­то­рой все дей­ствия внут­ри се­ти мо­гут быть за­фик­си­ро­ва­ны с при­вяз­кой к кон­крет­но­му че­ло­ве­ку, что поз­во­лит из­ба­вить­ся от ано­ним­но­сти.

Кон­тро­ли­ру­е­мость. Ес­ли си­сте­ма под­дер­жи­ва­ет ре­ги­стра­цию поль­зо­ва­те­лей, раз­де­ле­ние их на груп­пы и опре­де­ле­ние для каж­дой груп­пы сво­их пра­вил до­сту­па к ре­сур­сам се­ти, кон­троль за око­неч­ны­ми устрой­ства­ми улуч­ша­ет­ся. При ис­поль­зо­ва­нии клас­си­че­ско­го про­то­ко­ла IP око­неч­ное устрой­ство мо­жет по­лу­чить до­ступ ко всем со­сед­ним устрой­ствам ло­каль­ной се­ти, в то вре­мя как в без­опас­ной — толь­ко к раз­ре­шен­ным для кон­крет­ной груп­пы. Фак­ти­че­ски та­кой ме­ха­низм обес­пе­чи­ва­ет сег­мен­та­цию се­ти по умол­ча­нию, при­чем с воз­мож­но­стью ди­на­ми­че­ско­го из­ме­не­ния гра­ниц сег­мен­та­ции. Это ока­зы­ва­ет­ся по­лез­ным, на­при­мер, при за­ра­же­нии от­дель­но­го

устрой­ства агрес­сив­ным чер­вем — его мож­но быст­ро ло­ка­ли­зо­вать и не дать чер­вю про­ник­нуть в дру­гие уз­лы се­ти.

Кон­фи­ден­ци­аль­ность. Это необя­за­тель­ное тре­бо­ва­ние, но при ис­поль­зо­ва­нии на­деж­ной аутен­ти­фи­ка­ции упро­ща­ет­ся и со­зда­ние VPN-тун­не­лей меж­ду око­неч­ны­ми устрой­ства­ми, а так­же це­лы­ми сег­мен­та­ми се­тей. Шиф­ро­ва­ние дан­ных мож­но ор­га­ни­зо­вать на раз­лич­ных уров­нях — на­чи­ная от при­ло­же­ний и за­кан­чи­вая от­дель­ны­ми сег­мен­та­ми.

Мо­биль­ность. Стро­го го­во­ря, в со­вре­мен­ных се­тях это тре­бо­ва­ние не без­опас­но­сти, а биз­не­са. Поль­зо­ва­те­ли пред­по­ла­га­ют, что пе­ре­клю­че­ние из од­но­го сег­мен­та в дру­гой про­ис­хо­дит без ка­ко­го-ли­бо рис­ка с со­хра­не­ни­ем всех прав до­сту­па, при­чем без при­вяз­ки к устрой­ству.

От­кры­тость. От­дель­но сле­ду­ет учи­ты­вать тре­бо­ва­ние от­кры­то­сти про­то­ко­лов для ор­га­ни­за­ции без­опас­но­го вза­и­мо­дей­ствия, что под­ра­зу­ме­ва­ет на­ли­чие стан­дар­тов и воз­мож­ность со­зда­ния неза­ви­си­мых ре­а­ли­за­ций про­то­ко­лов.

Это поз­во­ля­ет ми­ни­ми­зи­ро­вать ве­ро­ят­ность уяз­ви­мо­сти в кон­крет­ной ре­а­ли­за­ции про­то­ко­ла, ко­то­рая мо­жет ска­зать­ся на без­опас­но­сти всех устройств. Неза­ви­си­мые раз­ра­бот­ки, осо­бен­но ес­ли сре­ди них есть хо­тя бы од­на с от­кры­ты­ми ис­ход­ны­ми ко­да­ми, со­зда­ют необ­хо­ди­мые пред­по­сыл­ки для быст­ро­го пе­ре­хо­да на дру­гую вер­сию. Для от­кры­той ре­а­ли­за­ции про­то­ко­лов мож­но про­ве­сти неза­ви­си­мый аудит ко­да и оце­нить его без­опас­ность.

Это неполный спи­сок тре­бо­ва­ний, ко­то­рые за­тра­ги­ва­ют те или иные ас­пек­ты без­опас­но­сти се­ти, но пред­ло­жен­ная кон­цеп­ция по­мо­жет улуч­шить име­ю­щи­е­ся ха­рак­те­ри­сти­ки за счет до­бав­ле­ния ме­ха­низ­мов аутен­ти­фи­ка­ции, мо­биль­но­сти око­неч­ных устройств и вир­ту­а­ли­за­ции се­те­вых ком­му­ни­ка­ций.

СТАН­ДАР­ТЫ

Сле­ду­ет от­ме­тить, что про­при­е­тар­ные ре­ше­ния по­доб­но­го ти­па уже име­ют­ся да­же в Рос­сии. На­при­мер, у ком­па­нии «Ин­фоТеКС» есть си­сте­ма ViPnet, ко­то­рая обес­пе­чи­ва­ет за­щи­щен­ное вза­и­мо­дей­ствие кли­ен­тов кор­по­ра­тив­ной се­ти. Ко­ор­ди­на­то­ры ViPnet вы­сту­па­ют в ро­ли по­гра­нич­ных устройств. В ре­ше­нии преду­смот­рен иден­ти­фи­ка­тор поль­зо­ва­те­ля, поз­во­ля­ю­щий пе­ре­клю­чать око­неч­ные устрой­ства из од­но­го сег­мен­та в дру­гой. При под­клю­че­нии к си­сте­ме тре­бу­ет­ся аутен­ти­фи­ка­ция, по­сле че­го кли­ен­ты по­лу­ча­ют до­ступ к ре­сур­сам, за­щи­щен­ным ViPnet.

Од­на­ко си­сте­ма эта за­кры­тая, и у нее нет не­за­ви­си­мой ре­а­ли­за­ции. В то же вре­мя уже раз­ра­бо­тан на­бор стан­дар­тов, ко­то­рые поз­во­ля­ют стро­ить без­опас­ные се­ти. Мы рас­смот­рим на­бор стан­дар­тов RFC, по­сколь­ку они наи­бо­лее от­кры­тые и неза­ви­си­мые.

RFC 3580. IEEE 802.1X Remote Authentication Dial In User Service (RADIUS). Про­то­кол опре­де­ля­ет аутен­ти­фи­ка­цию устройств и поль­зо­ва­те­лей. Без­опас­ная сеть долж­на быть за­щи­ще­на от под­клю­че­ния по­сто­рон­них устройств, точ­нее, как от­ме­ча­лось вы­ше, нуж­но вы­де­лить их в от­дель­ный сег­мент со стро­го огра­ни­чен­ны­ми пол­но­мо­чи­я­ми. До­ступ к тем или иным ре­сур­сам кор­по­ра­тив­ной се­ти раз­ре­ша­ет­ся на ос­но­ва­нии све­де­ний об аутен­ти­фи­ка­ции устройств и поль­зо­ва­те­лей.

Internet-Draft draft-smith-kandula-sxp-00 — Source-Group Tag eXchange Protocol

(SXP). Стро­го го­во­ря, это еще не стан­дарт, а про­ект, раз­ра­ба­ты­ва­е­мый ком­па­ни­ей Cisco. Стан­дар­том он ста­нет по­сле по­яв­ле­ния не­за­ви­си­мой ре­а­ли­за­ции про­то­ко­ла, ко­то­рая бу­дет эф­фек­тив­но ра­бо­тать с дру­ги­ми его вер­си­я­ми. Од­на­ко эта тех­но­ло­гия уже до­ста­точ­но дав­но ис­поль­зу­ет­ся в ви­де TrustSec. Суть про­то­ко­ла в том, что по­сле аутен­ти­фи­ка­ции устрой­ству при­сва­и­ва­ет­ся SGT-мет­ка (Source-Group Tag), для ко­то­рой кон­трол­лер опре­де­ля­ет пра­ви­ла до­сту­па к дру­гим ре­сур­сам се­ти. Ис­поль­зо­ва­ние этой мет­ки очень по­хо­же на тех­но­ло­гию MPLS, ко­гда внут­ри еди­ной се­ти вы­де­ля­ют­ся вир­ту­аль­ные под­се­ти с неза­ви­си­мо осу­ществ­ля­е­мой марш­ру­ти­за­ци­ей. SGT­мет­ки обес­пе­чи­ва­ют вир­ту­аль­ную сег­мен­та­цию се­ти, за счет че­го и по­яв­ля­ет­ся воз­мож­ность управ­лять пра­ва­ми до­сту­па к се­те­вым ре­сур­сам.

RFC 6830 — Locator/ID Separation Protocol (LISP). Этот про­то­кол обес­пе­чи­ва­ет мо­биль­ность устройств, поз­во­ляя им пе­ре­хо­дить из од­но­го сег­мен­та се­ти в дру­гой без из­ме­не­ния IP-ад­ре­са. Тем са­мым обес­пе­чи­ва­ет­ся непре­рыв­ная связь с мо­биль­ны­ми устрой­ства­ми, вир­ту­аль­ны­ми ма­ши­на­ми и об­лач­ны­ми сер­ви­са­ми. Управ­ле­ние LISP осу­ществ­ля­ет­ся кон­трол­ле­ром, ко­то­рый по ре­зуль­та­там аутен­ти­фи­ка­ции око­неч­ных кли­ен­тов обес­пе­чи­ва­ет их пе­ре­клю­че­ние с од­но­го по­гра­нич­но­го устрой­ства на дру­гое с минимальными за­держ­ка­ми. У око­неч­ных устройств, по­ми­мо IP-ад­ре­са, со­хра­ня­ют­ся при этом и SGT-мет­ки, а так­же под­дер­жи­ва­ет­ся до­ступ к ре­сур­сам се­ти.

RFC 7348 — Virtual eXtensible Local Area Network (VXLAN). Этот про­то­кол обес­пе­чи­ва­ет ин­кап­су­ля­цию дан­ных вы­со­ко­уров­не­вых про­то­ко­лов RADIUS, SXP и LISP в про­стые IP-па­ке­ты, ко­то­рые мо­жет ком­му­ти­ро­вать лю­бое се­те­вое обо­ру­до­ва­ние. Про­то­кол поз­во­ля­ет ис­поль­зо­вать идео­ло­гию про­грамм­но­опре­де­ля­е­мых се­тей SDN, за управ­ле­ние ко­то­ры­ми от­ве­ча­ет цен­траль­ный кон­трол­лер. В ре­зуль­та­те уда­ет­ся со­здать кон­фи­гу­ра­цию, где ос­нов­ной ин­тел­лект се­ти кон­цен­три­ру­ет­ся на пе­ри­фе­рий­ных устрой­ствах и про­грамм­ном кон­трол­ле­ре (см. рис. 2).

RFC 8402 — Segment Routing (SR) Architecture. Стан­дарт опре­де­ля­ет аль­тер­на­тив­ный ва­ри­ант вир­ту­а­ли­за­ции се­тей. Он преду­смат­ри­ва­ет спе­ци­аль­ный за­го­ло­вок, в ко­то­ром ука­зы­ва­ют­ся про­ме­жу­точ­ные пунк­ты на­зна­че­ния (на­зы­ва­е­мые сег­мен­та­ми), че­рез ко­то­рые дол­жен прой­ти марш­рут. Ме­ха­низм вир­ту­а­ли­за­ции ло­каль­ных се­тей с по­мо­щью сег­мен­тов ана­ло­ги­чен тех­но­ло­гии MPLS, при­чем он при­ме­ним не толь­ко в ло­каль­ных се­тях, но и в гло­баль­ных. Раз­ра­бо­тан стан­дарт сов­мест­но со­труд­ни­ка­ми ком­па­ний Cisco, Orange и Google и уже ре­а­ли­зо­ван в про­дук­тах раз­лич­ных про­из­во­ди­те­лей, в том чис­ле Huawei и Juniper. В стан­дар­те есть несколь­ко оп­ций, часть из ко­то­рых мо­жет ра­бо­тать без кон­трол­ле­ра, а часть по­тре­бу­ет уста­нов­ки спе­ци­аль­но­го кон­трол­ле­ра.

Пе­ре­чис­лен­ные ком­по­нен­ты со­став­ля­ют ос­но­ву се­ти со встро­ен­ной без­опас­но­стью и воз­мож­но­стью сег­мен­ти­ро­ва­ния на уровне са­мой ар­хи­тек­ту­ры. Сей­час стек этих про­то­ко­лов ре­а­ли­зо­ван в про­дук­тах Cisco, од­на­ко, по­сколь­ку все стан­дар­ты от­кры­ты на уровне IETF, они или уже име­ют, или в бли­жай­шее вре­мя по­лу­чат неза­ви­си­мую от про­из­во­ди­те­ля ре­а­ли­за­цию, что поз­во­лит стро­ить сеть на ба­зе обо­ру­до­ва­ния раз­лич­ных про­из­во­ди­те­лей. При­чем и рос­сий­ские раз­ра­бот­чи­ки уже ак­тив­но за­ни­ма­ют­ся соз­да­ни­ем и со­вер­шен­ство­ва­ни­ем сво­е­го се­те­во­го обо­ру­до­ва­ния.

Рис. 2. Про­то­ко­лы, ис­поль­зу­е­мые при пе­ре­ме­ще­нии вир­ту­аль­ной ма­ши­ны с од­но­го сер­ве­ра на дру­гой без раз­ры­ва со­еди­не­ния с поль­зо­ва­те­лем

Рис. 1. Схе­ма сло­жив­шей­ся ин­фра­струк­ту­ры при ис­поль­зо­ва­нии ин­тер­нет-тех­но­ло­гий

Newspapers in Russian

Newspapers from Russia

© PressReader. All rights reserved.