Надежные и безопасные сети?!

Скрыпников 'Slam' Сергей

Спецвыпуск Xakep, номер #041, стр. 041-030-3

БЕЗОПАСНОСТЬ

Никакая компания, а уж тем более ты, со своими хацкерскими делишками, не хотели бы открыто передавать в инет финансовую или другую конфиденциальную информацию. Каналы VPN защищены мощными алгоритмами шифрования, заложенными в стандарты протокола безопасности IРsec. IPSec (Internet Protocol Security) создает основы безопасности для IP. Протокол IPsec обеспечивает защиту на сетевом уровне и требует поддержки стандарта IPsec только от общающихся между собой устройств по обе стороны соединения. Все остальные устройства, расположенные между ними, просто обеспечивают трафик IP-пакетов.

Две взаимодействующие стороны заключают соглашение для обмена данными. Это соглашение регулирует некоторые параметры: IP-адреса отправителя и получателя, криптографический алгоритм, порядок обмена ключами, размеры ключей, срок службы ключей, алгоритм аутентификации и т.п.

АТАКИ НА VPN

Первое, что приходит на ум, - это атаки на используемый криптографический алгоритм. В настоящий момент все алгоритмы можно условно разделить на две категории: известные и секретные. К известным алгоритмам относятся DES, TripleDES, RSA, AES и наш отечественный ГОСТ 28147-89. Эти алгоритмы знакомы специалистам довольно давно, так же как и их слабые и сильные стороны.

Варианты атак на криптоалгоритмы довольно разнообразны. Самой простой является атака только на зашифрованный текст, когда криптоаналитик располагает лишь зашифрованным текстом, и путем анализа статистического распределения символов, а также посредством других методов пытается распознать исходный текст. Любой алгоритм должен защищать от такой атаки. Более сложным случаем является атака с известным незашифрованным текстом. Здесь аналитику известен фрагмент исходного текста, либо он делает обоснованное предположение о нем. Большинство распространенных на сегодняшний день алгоритмов устойчивы к этим атакам.

В настоящий момент для построения VPN используется ряд протоколов, включая IPSec, PPTP, L2TP и т.д. Эти протоколы не шифруют данные, а лишь определяют, как используются алгоритмы шифрования, и ряд других условий, необходимых для построения VPN (включая контроль целостности, аутентификацию абонентов и т.д.). За последние пару-тройку лет многие исследователи принимались за анализ данных протоколов с точки зрения безопасности, но серьезных дыр обнаружено практически не было. А те, что все-таки были найдены, были связаны с неправильной эксплуатацией или уже были устранены разработчиками. Однако теоретическая возможность обнаружения уязвимостей в протоколах IPSec, PPTP и т.д. сохраняется. Так что дерзай, возможно, ты будешь первым :).

Нередко VPN реализуется чисто программными средствами (например, в Windows 2000), и программное обеспечение VPN является надстройкой над операционной системой, что зачастую используется такими же гиками, как ты и я. Поэтому, независимо от надежности и защищенности ПО VPN, уязвимости операционной системы могут свести на нет все защитные механизмы VPN. Так что если будешь организовывать VPN для работы, лучше не смотреть в сторону софт-решений, а тем более в сторону мелкомягких.