показать все 

Использование криптографии в России имеет ряд особенностей и ограничений. О некоторых из них мы поговорим в этой статье

Большинство крупных компаний имеет удаленные офисы и филиалы, соединенные между собой высокопроизводительными каналами связи. Кроме того, зачастую сотрудникам необходим доступ в корпоративную сеть во время командировок или из дома. Однако в таком случае при передаче корпоративного трафика используются открытые каналы связи, в которых можно организовать прослушивание трафика в целях сбора конфиденциальной информации, например, паролей от пользовательских учетных записей.

Дополняет актуальность проблемы с прослушиванием трафика также и развитие технологий беспроводной передачи информации. Сейчас во многих публичных местах имеется доступ к Wi-Fi, который зачастую не защищен вообще никаким шифрованием. В случае если пользователь захочет почитать корпоративную почту, например, из кафе, то есть риск перехвата его учетных данных и другой информации, передаваемых по беспроводной сети.

Решение проблемы

Для обеспечения защиты передаваемой информации от прослушивания используются виртуальные частные сети (VPN), в которых для защиты данных применяется шифрование. Сегодня на рынке существует множество средств для создания собственной VPN. При этом большинство из них позволяет организовать межсетевое взаимодействие как между филиалами, так и сделать доступным удаленное подключение пользователей с мобильных устройств.

Набор этих средств достаточно разнообразен. Можно воспользоваться решениями с открытым исходным кодом, таким как Open VPN [1], а можно внедрить дорогостоящие аппаратные решения. Но при выборе подходящего решения нужно обязательно учитывать ряд обстоятельств, пренебрежение которыми может привести к серьезным расходам и даже к проблемам с регулирующими органами.

Шифрование только по ГОСТ

Как уже упоминалось выше, неотъемлемой частью VPN является шифрование. И вот здесь очень важный аспект заключается в том, какие данные передаются по этим защищенным каналам связи. В случае если по ним не передаются персональные данные, то есть информация, по которой однозначно можно идентифицировать человека (например, ФИО, паспортные данные, адрес проживания, телефон и другие), то в таком случае можно использовать любой алгоритм шифрования. Естественно, мы не рассматриваем случаи, когда по каналам передаются сведения, составляющие государственную тайну. Здесь речь идет лишь об обычном, «гражданском», трафике. Но если по каналам связи начинают передаваться персональные данные, тогда в соответствии с ФЗ №152 и другими нормативными актами контролирующие органы предписывают нам использовать только сертифицированные криптографические алгоритмы.  

Очень важный аспект заключается в том, какие данные передаются по этим защищенным каналам связи

В России единственным сертифицированным государственными органами, а точнее, ФСБ, криптоалгоритмом является ГОСТ 28147-89. Все оборудование, использующее шифрование, должно задействовать именно этот алгоритм. И вот тут все многообразие предлагаемых на рынке ИТ-решений по построению VPN становится нам практически полностью недоступным.

Программные и аппаратные комплексы иностранного производства не поддерживают алгоритм шифрования ГОСТ и соответственно не имеют сертификатов ФСБ. В связи с этим для создания VPN-соединений мы можем использовать лишь ограниченное число решений российского производства. В своей статье я не буду упоминать все сертифицированные ФСБ решения, однако полный список со сроками действия сертификатов можно найти на следующей странице [1]. Наиболее распространенными средствами криптографической защиты каналов связи являются АПКШ Континент от компании «Код безопасности» [2], ПАК ViPNet от «Инфотекса» [3] и программно-аппаратные решения S-Terra [4], известные своими возможностями по встраиванию в оборудование Cisco Systems.

Сертифицированные средства создания VPN-каналов имеют ряд ограничений и особенностей, о которых мы поговорим далее.

Цена вопроса

Вопрос стоимости сертифицированных средств защиты информации всегда стоял остро. В прежние времена, когда доллар стоил немногим более 30 рублей, несертифицированное устройство Cisco вполне могло стоить столько же, сколько средство с сертификатом ФСБ отечественного производства. После роста курса доллара, естественно, все иностранное оборудование тоже существенно подорожало. Однако отечественные устройства, собранные из иностранных комплектующих (как правило, даже на базе серверов из Юго-Восточной Азии), также выросли в цене, но пропасть между решениями российского и иностранного производства все же несколько уменьшилась.

Однако я не случайно упомянул об оборудовании, построенном на основе серверов, дело в том, что крупные иностранные гиганты, такие как Cisco, HP, McAfee, Fortinet и другие, используют при производстве своего «железа» собственные разработки, которые, естественно, более производительны, чем обычный сервер с установленной, пусть даже и специально собранной версией Unix. В результате мы имеем ту разницу в производительности, о которой я подробно расскажу далее.

Производительность каналов

Прежде всего необходимо понимать, что любая VPN использует часть пропускной способности канала связи для шифрования. Эта утилизация может достигать 20 процентов в зависимости от вида передаваемого трафика. Причем насколько «просядет канал», предвидеть заранее крайне сложно опять-таки из-за того, что вряд ли кто-то может точно сказать, какого размера сетевые пакеты преобладают в трафике. Чем меньше пакеты, тем больше  загружается канал.

В связи с этим перед внедрением VPN необходимо сначала определиться с загруженностью каналов связи. Причем важно обратить внимание не на то, какой канал вам предоставляет провайдер (например, 1 или 10 Гбит), а то, на сколько процентов этот канал загружен. Возможно, у вас канал связи уже используется более чем на 90 процентов (помимо веб и почты, днем по нему идут IP-телефония и ВКС, а ночью перекачиваются бэкапы и другой служебный трафик). В результате, когда весь этот трафик будет помещен в VPN-туннель, канал будет загружен на все 100% и начнутся проблемы с пропускной способностью, особенно заметные при работе сервисов ВКС и IP-телефонии. Поэтому перед началом внедрения VPN необходимо собрать всех ответственных за сетевые сервисы и четко определиться с тем, как эти сервисы утилизируют канал, насколько они критичны, как приоретизируются.

Производительность сетевых каналов связи постоянно растет, сейчас провайдеры доступа в интернет уже могут предложить своим заказчикам каналы шириной в 10 Гбит

Далее необходимо провести пилотное внедрение VPN в целях проверки на практике степени загрузки каналов связи. В случае проблем с работой каналов связи можно либо ограничить или снизить приоритет для некоторых видов трафика (например, заблокировать доступ пользователей к сайтам социальных сетей), либо арендовать у провайдера более «широкий» канал.

Эти недостижимые 10 гигабит

Производительность сетевых каналов связи постоянно растет, сейчас провайдеры доступа в интернет уже могут предложить своим заказчикам каналы шириной в 10 Гбит. Особенно часто такая пропускная способность требуется при обеспечении отказоустойчивости. Например, если необходимо связать два центра обработки данных (ЦОД), основной и резервный. При этом в резервном ЦОД должна находиться точная копия всех обрабатываемых данных, естественно, включая и персональные. Таким образом, возникает необходимость в использовании сертифицированных средств шифрования. И вот здесь возникают серьезные трудности с тем, как обеспечить необходимую пропускную способность VPN-канала в совокупности с требованиями регуляторов, предъявляемыми к шифрованию каналов связи.

Дело в том, что сертифицированные ФСБ криптомаршрутизаторы в большинстве своем могут обеспечить производительность немногим более двух Гбит/c. Причем объединение нескольких устройств в кластер не помогает увеличить производительность. Кластеризация применяется для обеспечения отказоустойчивости.

Например, пусть у нас имеется два криптомаршрутизатора, объединенных в кластер, каждый из которых обеспечивает скорость в 2 Гбит/c. При этом суммарная производительность VPN-канала все равно будет два гигабита, так как кластер обеспечивает лишь защиту от выхода из строя одного из устройств, но не позволяет увеличить общую скорость. Но здесь исключением являются решения S-Terra. Их криптомаршрутизатор С-Терра Шлюз позволяет распределять нагрузку между устройствами. Например, чтобы обеспечить VPN-канал на 10 Гбит/с, необходимо развернуть кластер из четырех устройств С-Терра Шлюз 7000.

При этом, правда, предъявляются дополнительные требования к каналообразующему оборудованию провайдера связи на обоих концах канала, так как необходима поддержка больших пакетов (Jumbo Frames, 9600 байт). Кроме того, коммутаторы, подключенные к кластеру криптомаршрутизаторов, должны поддерживать технологию LACP – объединение сетевых интерфейсов с использованием Link Aggregation Control Protocol, – которая позволяет обеспечивать динамическое распределение пакетов между несколькими интерфейсами. Но, несмотря на все эти трудности, обеспечить криптографическую защиту каналов связи шириной в 10 Гбит вполне возможно.

Всеобщая мобилизация

Широкое распространение мобильных устройств не оставило в стороне и криптографию. Сейчас существует множество приложений, предназначенных для получения VPN-доступа с мобильных устройств. Однако проблема сертифицированной криптографии здесь также актуальна.

Для решения этой проблемы предлагается использовать специализированное устройство – планшет. «Код безопасности» предлагает свой Континент Т-10 [5]. По сути, это планшет под управлением специальной версии Android, на который установлено все необходимое ПО для подключения к VPN сети на основе АПКШ Континент.

Альтернативным решением проблемы с криптографической защитой соединений является использование программных решений, таких как ViPNet Client for Android от «Инфотекс» [6]. Это приложение позволяет установить защищенное удаленное соединение с сетью ViPNet. Такое решение дает возможность избежать дополнительных затрат на приобретение отдельного устройства. Кроме того, сотрудники могут использовать свои собственные мобильные устройства для работы.

В этой небольшой статье я постарался охватить несколько критичных аспектов использования криптографии при защите каналов связи. При внедрении VPN важно помнить как о технических ограничениях при внедрении и использовании виртуальных частных сетей, так и о требованиях регуляторов к использованию шифрования. бит

---

1. Реестр сертифицированных ФСБ средств защиты информации – http://clsz.fsb.ru/certification.htm.
2. Сайт компании «Код безопасности» – http://www.securitycode.ru.
3. Сайт компании «Инфотекс» – http://www.infotecs.ru.
4. Сайт компании «С-Терра» – http://www.s-terra.com.
5. Решение Т-10 – http://www.securitycode.ru/products/kontinent_t_10.
6. Приложение ViPNet Client for Android – http://www.infotecs.ru/products/catalog.php?SECTION_ID=&ELEMENT_ID=5459.