IPSec решения

Корпорация Intel предлагает первое семейство сетевых адаптеров с встроенной защитой данных - Intel® PRO/100 S Desktop, Server и Mobile Adapters. Эти адаптеры оптимизированы для аппаратной обработки IPSec в Windows* 2000, и для расширения возможностей Windows NT* 4.0 и Windows 98 используя Intel® Packet Protect software. Реализованная в адаптерах технология переносит операции кодирования/декодирования на контроллер Intel® 82550 адаптера, который имеет интегрированный сопроцессор кодирования. Это решение позволяет освободить центральный процессор сервера или ПК для выполнения других задач и, таким образом не влияет на пропускную способность сетевого соединения.

IPSec обеспечивает превосходную защиту локальной сети, однако процесс кодирования/декодирования требует от ЦП интенсивных вычислений. Если обработка этих процессов производится на сервере, то это требует настолько много вычислительной мощности ЦП, что эффективная пропускная способность сервера может снизиться с 100 Мбит/с до 20 Мбит/с. При этом эффективность работы сервера и ПК пользователя может снижаться, в то время как утилизация ЦП возрастает, потому что процессоры сосредоточены на кодировании, вместо других функций, требуемых пользователям.

Разгрузка ЦП особенно важна для работы сервера, потому что серверы получают зашифрованные пакеты от многих рабочих станций и должны тратить больше времени на обработку, чем рабочая станция. Для этого IPSec адаптер устанавливается на каждый сервер и пользовательские рабочие станции, которые будут частью защищенной локальной сети.

IPSec выполняется на 3 уровне протокольного стека, в результате этого он прозрачен для приложений, в отличии от технологий защиты, которые выполняются на других уровнях. Это означает, что применение протокола IPSec относительно недорого и не требует изменения приложений и повторного обучения пользователей.

Три уровня развертывания защиты

На первом этапе развертывания защиты локальной сети адаптеры Intel® PRO/100 S должны быть устанавлены на ПК пользователей, которым нужна защищенная связь и на серверы, которые используются этими пользователями. После того, как адаптеры установлены согласно правилам IPSec, при установлении связи компьютер предложит использовать протокол IPSec и если оба компьютера допускают использование протокола IPSec, то передаваемые ими данные будут зашифрованы. Если сервер или клиентская рабочая станция не поддерживает протокол IPSec, то последует открытая передача данных. Благодаря этому все передаваемые данные между выбранными клиентами и серверами будут зашифрованы, и информация не может быть перехвачена другими пользователями внутри локальной сети предприятия. Для идентификации пользователя используются предварительно распределенные ключи.

На следующем этапе должны определяться различные уровни кодирования и идентификации для каждого пользователя в зависимости от роли ПК и исходя из трафика проходящего через него. Для усиления защиты локальной сети создаются две рабочие группы. Одна рабочая группа - эксклюзивная, она использует индивидуальную политику защиты, кроме того, эта рабочая группа входит и в общую политику защиты. Это позволяет надежно дифференцировать сообщения между эксклюзивной рабочей группой и основной сетью. При этом выделенная рабочая группа может посылать кодированные сообщения доступные для всех пользователей или только для определенных клиентов внутри самой группы.

Третий этап – авторские полномочия. Как только политика защиты для выделенной рабочей группы построена и хорошо работает, они могут быть сгруппированы вместе, и развертывание IPSec может быть расширенно на других членов группы. Таким образом, модель выделенной рабочей группы может быть расширена на часть или на всю компанию. На определенном этапе этого процесса предприятие может решить, что ему необходима более строгая защита. Хотя предварительно распределенные ключи обеспечивают превосходную идентификацию для начального этапа защиты локальной сети, но это не самый строгий уровень, который возможен. Строгий уровень идентификации можно обеспечить, используя стандарт X.509 дл цифровых удостоверений, которые проверяются авторскими полномочиями. В решениях Intel используется Entrust* - один из наиболее уважаемых видов авторских полномочий. В рассмотренном примере, при выдачи цифровых удостоверений, возможно, уникально идентифицировать каждого пользователя выделенной группы. Это позволяет системному администратору дифференцировать запросы сделанные разными по приоритету пользователями.

Ключи защиты

Процесс аутентификации IPSec требует уникального идентификатора или ключа для каждого привлеченного компьютера. Распределение и обслуживание этих ключей может быть произведено одним из двух способов:

§ Предварительно распределенные ключи

В этом случае сетевой администратор сам распределяет ключи. Преимущества предварительно распределенных ключей в том, что они просты в конфигурировании и не требуют специального программного обеспечения. Предварительно распределенные ключи подходят для рабочей группы среднего размера, с умеренными потребностями защиты.

§ Авторские полномочия

В этом случае третье лицо выпускает цифровые удостоверения. Авторские полномочия гарантируют, что пользователь предоставляя уникальный сертификат, будет определен, кто он есть и каковы его полномочия. Наиболее широко применяется промышленный стандарт для определения цифровых удостоверений – Х.509. Обычно, метод авторских полномочий применяется в финансовых учреждениях или других организациях, где необходимо подтверждение своих полномочий.

IPSec в сетевых адаптерах Intel

Сетевая безопасность является одной из основных проблем, связанных с развитием сетей и Internet. В локальных сетях защита данных особенно важна при быстром росте деловой среды, где безопасность – основное беспокойство пользователя. Сетевые адаптеры Intel, использующие IPSec, разгружают ЦП и обеспечивают безопасную соединение клиент – сервер. Применение адаптеров, реализующих IPSec, является экономичным, легко устанавливаемым и масштабируемым решением для защиты данных в локальных сетях. Сетевые адаптеры Intel, реализующие IPSec:

§ Intel PRO/100 S Desktop Adapter

§ Intel PRO/100 S Server Adapter

§ Intel PRO/100+ Dual Port S Server Adapter

§ Intel PRO/100 SR CardBus II Mobile Adapter

§ Intel PRO/100 SR LAN+Modem56 CardBus II Mobile Adapter

§ Intel PRO/100 SR Mobile Adapter (RealPort Type III)

§ Intel PRO/100 SR LAN+Modem56 Mobile Adapter (RealPort Type III)

9. Заключение

Как уже было отмечено в одной из первых глав, главной целью создания сети Интернет было обеспечение функциональности при выходе из строя одного или нескольких ее узлов, цель совсем состояла в обеспечение безопасности, исходно сеть создавалась как незащищенная открытая система, предназначенная для информационного общения все возрастающего числа пользователей. При этом подключение новых пользователей должно было быть максимально простым, а доступ к информации - наиболее удобным. Все это явно противоречит принципам создания защищенной системы, безопасность которой должна быть описана на всех стадиях ее создания и эксплуатации, а пользователи - наделены четкими полномочиями.