В современном мире информация является одним из ценнейших ресурсов, поэтому ее защита - важная задача. Немалую роль в работе организации любого уровня играют телефонные переговоры. В силу возрастающей популярности IP-телефонии, все острее встает вопрос обеспечения ее безопасности в общем и конфиденциальности разговоров в частности.
Знание основных источников опасности для сетей IP-телефонии, а также понимание методов устранения этих угроз поможет сохранить репутацию и финансовые ресурсы компании. Не смотря на то, что в статье описаны решения под бесплатную платформу Asterisk, проблематика актуальна для любых других платформ IP-телефонии.
Наиболее часто встречаемая уязвимость телефонных сетей, особенно опасная для IP-телефонии. В случае применения IP-телефонии злоумышленнику не нужен физический доступ к линии передачи данных. Находящееся внутри корпоративной сети устройство перехвата, скорее всего, может быть обнаружено, внешнее прослушивание отследить практически невозможно. Кроме того, перехваченные данные или голос могут быть переданы далее с изменениями. В таких условиях весь незашифрованный голосовой поток необходимо считать небезопасным.
Отказ от использования или упрощение механизмов аутентификации и авторизации в IP-телефонии открывает для злоумышленника возможность не санкционированно получить доступ к системе, подменив данные о пользователе своими. Возможен также взлом учетных данных пользователей посредством перебора или прослушивания незащищенных каналов связи. Подобная уязвимость может быть использована для совершения дорогостоящих звонков за счет жертвы, сводя на нет всю возможную выгоду от использования IP-телефонии. Также эта брешь в безопасности может применяться для приема звонков, предназначенных взломанной либо записи перехваченных звонков на носители злоумышленника с целью применения данной информации в корыстных целях.
Одной из разновидностей атак является «отказ в обслуживании» (Denial of Service, DoS). Эта атака нацелена на превышение предельной нагрузки на систему большим количеством коротких звонков или информационного мусора. Без постоянного отслеживания признаков подобных атак и применения пассивных средств защиты, это приводит к тому, что серверы IP-телефонии не справляются с возросшей нагрузкой и не в состоянии обслуживать подключенных абонентов.
При проектировании любой коммуникационной системы важно понимать, что ни одно из самостоятельных технических решений безопасности не в состоянии обеспечить абсолютную защиту от всех возможных угроз.
Проанализировав основные источники угроз безопасности IP-телефонии, можно выделить ключевые критерии защищенности:
Необходимость обеспечения защиты траффика IP-телефонии для предотвращения перехвата или прослушивания телефонных звонков, внесения изменений в передаваемую информацию, кражи учетных данных пользователей.
Обеспечение уверенности, что передаваемая информация не подвергается правке со стороны неавторизованных пользователей, что запросы на выполнение определенных задач или функций (например, совершение звонка или внесение изменений в настройки системы IP-телефонии ) инициированы авторизованными пользователями или приложениями.
Бесперебойное функционирование корпоративной системы IP-телефонии в условиях DoS-атак, различных «червей», «вирусов» и т.п.
Рассмотрим наименее защищенный и, при этом, один из самых распространенных примеров реализации IP-телефонии.
Рисунок 1 - Реализация IP-телефонии
Сервер телефонии на базе IP-АТС Asterisk имеет прямой выход в сеть интернет для обслуживания удаленных филиалов и связи с SIP-провайдером, предоставляющим доступ к внешним линиям связи. Аутентификация пользователей происходит по IP-адресам.
Решение задач информационной безопасности должно быть комплексным, поскольку каждый способ защиты не только закрывает свою часть информационного периметра, но и дополняет другие решения.
Последним рубежом защиты является сам сервер IP-телефонии. Существует несколько классических методов защиты сервера от атак.
Метод защиты |
Описание |
Применение политики сложных паролей |
Получение учетных данных методом перебора (bruteforce) требует значительных затрат времени и вычислительных ресурсов, усложнение паролей позволит сделать данный метод атак нецелесообразным |
Отключение гостевых звонков |
Разрешение на совершение исходящих звонков имеют только пользователи системы. Этой настройкой можно отсечь попытки позвонить извне без предварительной авторизации |
Отключение ответа о неверном пароле |
По умолчанию Asterisk выдает одну ошибку о неверном пароле для существующего аккаунта и другую для несуществующего аккаунта. Существует множество программ для подбора паролей, поэтому злоумышленнику не составит труда проверить все короткие номера и собирать пароли лишь к существующим аккаунтам, которые ответили «неверный пароль» |
Использование систем блокировки доступа после неудачных попыток регистрации |
Просмотр отчетов системы на предмет обнаружения попыток взлома позволят выделить и блокировать IP-адрес атакующего. Таким образом, можно сократить количество мусорного SIP трафика и защититься от множественных попыток взлома |
Ограничение направлений звонков, доступных абонентам, применение схемы «запрещено все, кроме разрешенного» |
В случае получения злоумышленником учетных данных пользователя системы, он сможет совершать звонки только по определенным направлениям. Это позволит избежать несанкционированного совершения дорогостоящих международных звонков |
Регулярные проверки системы на предмет попыток взлома, контроль параметров |
Организация системы мониторинга состояния системы позволит улучшить качество IP-телефонии и отметить типовые для данной конфигурации параметры. Отклонения этих параметров от полученных типовых значений поможет выявить проблемы с оборудованием, каналами связи и выявить попытки вторжения злоумышленников |
Межсетевой экран пропускает исходящий трафик от сервера телефонии к SIP-провайдеру и фильтрует входящий по определенным правилам. Рациональным решением можно считать закрытие на межсетевом экране всех сетевых портов для IP-телефонии, кроме необходимых для ее корректной работы и администрирования. Этот же метод защиты целесообразно применять на самом сервере телефонии, чтобы защитить его от внутренних атак.
Таким образом, сервер телефонии доступен из внешних сетей только по определенным служебным портам, подключение к которым, из соображений безопасности, будет выполняться с применением шифрования.
Для защиты конфиденциальных переговоров и минимизации возможности попадания конфиденциальной или коммерческой информации в руки злоумышленника необходимо защитить передаваемые по открытым каналам связи данные от перехвата и прослушивания.
Поскольку для совершения звонка клиент и сервер предварительно обмениваются служебными данными для установления соединения, данную проблему можно разделить на две составляющих – защиту служебных данных IP-телефонии и защиту голосового трафика. В качестве средства защиты могут быть использованы протокол TLS (Transport Layer Security) для защиты SIP сигналов и протокол SRTP (Secure Real Time Protocol) для защиты голосового трафика.
Рисунок 2 - Шифрование IP-телефонии
TLS — криптографический протокол, обеспечивающий защищённую передачу данных между узлами в сети, является стандартным методом для шифрования SIP-протокола. TLS обеспечивает конфиденциальность и целостность передаваемой информации, осуществляет аутентификацию.
После установления защищенного соединения начинается передача голосовых данных, обезопасить которые позволяет применение протокола SRTP.
Протокол SRTP считается одним из лучших способов защиты IP телефонии на базе IP-АТС Asterisk. Основное преимущество этого протокола – отсутствие какого-либо влияния на качество связи. Схема работы протокола SRTP выглядит так: каждому совершаемому вами звонку присваивается уникальный код, который делает подслушивание разговоров неавторизированными в системе пользователями практически невозможным. Благодаря этому протокол SRTP выбирают как для обычных, так и для конфиденциальных звонков.
Не следует забывать о необходимости защиты подключения сервера телефонии к внешним каналам связи (мобильная связь, телефонные сети общего пользования).
В случае необходимости организации систем с повышенными требованиями к защите IP-телефонии, возможно подключение удаленных пользователей посредством виртуальных частных сетей (VPN). Содержание перехваченных пакетов, отправленных по шифрованным VPN туннелям понятно только владельцам ключа шифрования. Этот же метод применим для защиты подключений к поставщикам услуг IP-телефонии. На текущий момент многие VoIP провайдеры предлагают возможность VPN-подключения.
Рисунок 3 - Схема работы IP-телефонии через VPN-туннель
Однако технология VPN имеет ряд недостатков, ограничивающих ее применение:
Применение перечисленных методов защиты сервера позволит свести к минимуму вероятность взлома, а при успешном обходе системы безопасности минимизировать ущерб.
Рисунок 4 - Комплексная защита IP-телефонии
Абсолютную гарантию безопасности, к сожалению, не сможет дать ни один комплекс мер. Рассмотренные выше аспекты лишь частично решают задачу построения защищенной коммуникационной системы . На практике следует рассматривать всю инфраструктуру корпоративной сети, проводить глубокий анализ требуемого уровня защиты. Необходимо учитывать не только необходимость обеспечения безопасности IP-телефонии , но и выходов на внешние каналы связи (мобильная связь, телефонные сети общего пользования). Только такой подход, вместе с постоянным совершенствованием систем информационной безопасности , позволит создать надежную и защищенную систему.
Для создания полноценной защиты от прослушивания необходимо "спрятать" сервер IP-телефонии, для чего отлично подходит решение «Сервер в Израиле» .
Системная интеграция. Консалтинг
Для обеспечения системной безопасности используются следующие функции:
При установлении связи шлюза с другим шлюзом своей зоны производится необязательная проверка идентификатора и пароля пользователя. Пользователь в любое время может быть лишен права доступа.
Действительно, при разработке протокола IP не уделялось должного внимания вопросам информационной безопасности, однако со временем ситуация менялась, и современные приложения, базирующиеся на IP , содержат достаточно защитных механизмов. А решения в области IP-телефонии не могут существовать без реализации стандартных технологий аутентификации и авторизации, контроля целостности и шифрования и т. д. Для наглядности рассмотрим эти механизмы по мере того, как они задействуются на различных стадиях организации телефонного разговора, начиная с поднятия телефонной трубки и заканчивая сигналом отбоя.
В IP-телефонии , прежде чем телефон пошлет сигнал на установление соединения, абонент должен ввести свой идентификатор и пароль на доступ к аппарату и его функциям. Такая аутентификация позволяет блокировать любые действия посторонних и не беспокоиться, что чужие пользователи будут звонить в другой город или страну за ваш счет.
После набора номера сигнал на установление соединения поступает на соответствующий сервер управления звонками, где осуществляется целый ряд проверок с точки зрения безопасности. В первую очередь удостоверяется подлинность самого телефона - как путем использования протокола 802.1x, так и с помощью сертификатов на базе открытых ключей, интегрированных в инфраструктуру IP-телефонии . Такая проверка позволяет изолировать несанкционированно установленные в сети IP-телефоны, особенно в сети с динамической адресацией. Явления, подобные пресловутым вьетнамским переговорным пунктам, в IP-телефонии просто невозможны (разумеется, при условии следования правилам построения защищенной сети телефонной связи).
Однако аутентификацией телефона дело не ограничивается - необходимо выяснить, предоставлено ли абоненту право звонить по набранному им номеру. Это не столько механизм защиты, сколько мера предотвращения мошенничества. Если инженеру компании нельзя пользоваться междугородной связью, то соответствующее правило сразу записывается в систему управления звонками, и с какого бы телефона ни осуществлялась такая попытка, она будет немедленно пресечена. Кроме того, можно указывать маски или диапазоны телефонных номеров, на которые имеет право звонить тот или иной пользователь.
В случае же с IP-телефонией проблемы со связью, подобные перегрузкам линий в аналоговой телефонии, невозможны: при грамотном проектировании сети с резервными соединениями или дублированием сервера управления звонками отказ элементов инфраструктуры IP-телефонии или их перегрузка не оказывает негативного влияния на функционирование сети.
В IP-телефонии решение проблемы защиты от прослушивания предусматривалось с самого начала. Высокий уровень конфиденциальности телефонной связи обеспечивают проверенные алгоритмы и протоколы (DES, 3DES , AES , IPSec и т. п.) при практически полном отсутствии затрат на организацию такой защиты - все необходимые механизмы (шифрования, контроля целостности , хэширования, обмена ключами и др.) уже реализованы в инфраструктурных элементах, начиная от IP-телефона и заканчивая системой управления звонками. При этом защита может с одинаковым успехом применяться как для внутренних переговоров, так и для внешних (в последнем случае все абоненты должны пользоваться IP-телефонами).
Однако с шифрованием связан ряд моментов, о которых необходимо помнить, внедряя инфраструктуру VoIP . Во-первых, появляется дополнительная задержка вследствие шифрования/дешифрования, а во-вторых, растут накладные расходы в результате увеличения длины передаваемых пакетов.
До сих пор мы рассматривали только те опасности, которым подвержена традиционная телефония и которые могут быть устранены внедрением IP-телефонии . Но переход на протокол IP несет с собой ряд новых угроз, которые нельзя не учитывать. К счастью, для защиты от этих угроз уже существуют хорошо зарекомендовавшие себя решения, технологии и подходы. Большинство из них не требует никаких финансовых инвестиций, будучи уже реализованными в сетевом оборудовании, которое и лежит в основе любой инфраструктуры IP-телефонии .
Самое простое, что можно сделать для повышения защищенности телефонных переговоров, когда они передаются по той же кабельной системе, что и обычные данные, - это сегментировать сеть с помощью технологии VLAN для устранения возможности прослушивания переговоров обычными пользователями. Хорошие результаты дает использование для сегментов IP-телефонии отдельного адресного пространства. И, конечно же, не стоит сбрасывать со счетов правила контроля доступа на маршрутизаторах (Access Control List, ACL ) или межсетевых экранах (firewall), применение которых усложняет злоумышленникам задачу подключения к голосовым сегментам.
Какие бы преимущества IP-телефония ни предоставляла в рамках внутренней корпоративной сети, они будут неполными без возможности осуществления и приема звонков на городские номера. При этом, как правило, возникает задача конвертации IP-трафика в сигнал, передаваемый по телефонной сети общего пользования (ТфОП). Она решается за счет применения специальных голосовых шлюзов ( voice gateway), реализующих и некоторые защитные функции, а самая главная из них - блокирование всех протоколов IP-телефонии (H.323, SIP и др.), если их сообщения поступают из неголосового сегмента.
Для защиты элементов голосовой инфраструктуры от возможных несанкционированных воздействий могут применяться специализированные решения - межсетевые экраны (МСЭ), шлюзы прикладного уровня ( Application Layer Gateway, ALG ) и пограничные контроллеры сеансов (Session Border Controller). В частности, протокол RTP использует динамические порты UDP, открытие которых на межсетевом экране приводит к появлению зияющей дыры в защите. Следовательно, межсетевой экран должен динамически определять используемые для связи порты, открывать их в момент соединения и закрывать по его завершении. Другая особенность заключается в том, что ряд протоколов, например,
История развития передачи голоса в компьютерных сетях берет свое начало в далеком 1994 году. Так как интернет трафик стоил существенно дешевле, чем аренда линий аналоговых и цифровых каналов связи, при междугородних и международных переговорах, то возник совершенно законный интерес со стороны владельцев малого, среднего и крупного бизнесов. Естественно идея передачи голоса через IP была очень интересна и для производителей, поэтому каждый пытался реализовать ее по-своему.
Но это время прошло, появились конкретные стандарты/протоколы для передачи голоса по IP, такие как SIP , H.323 , MGCP . Вместе с этими открытыми протоколами появились как проприетарные решения, так и вредоносные программы, а так же методы взлома, которые усложняли жизнь, как потребителям, так и разработчикам решений на основе VoIP (Voice over IP – голос через IP).
Технологии VoIP позволяют закрыть актуальные задачи компании, связанные с коммуникациями, повысить лояльность клиентов, повысить эффективность работы сотрудников, сэкономить на телефонных переговорах, за счет:
Но решения VoIP носят в себе так же ряд недостатков, связанных с обеспечением безопасности. VoIP решения живут как в IP-сетях, так и сетях аналоговых и цифровых линий связи, поэтому обеспечивать безопасность необходимо со всех трех сторон. Иначе мы рискуем получить решение, которое только увеличивает затраты на содержание и усложняет рабочий процесс.
Системы IP-Телефонии несут в себе угрозы, которые негативно сказываются на работе всей инфраструктуры и организации в целом. Сами угрозы можно разделить на 2 категории –технологическая и кадровая. Рассмотрим каждую по отдельности.
Методов борьбы с угрозами, описанными выше, так же много, как и самих угроз:
С прослушиванием бороться очень просто. Используйте IP сеть, как транспорт для передачи голоса и используйте стойкие средства шифрования для защиты от прослушивания. Хочу заметить, что в данный момент использование криптографических средств шифрования не сертифицированных ФСБ/ФАПСИ запрещено законом. Но это уже тема для отдельного разговора.
От атак на факс-модемы и факсовые аппараты можно защититься так же просто. Используйте выделенные факс-серверы. Решений по факс серверам на рынке предостаточно, и во многих из них уже встроены средства защиты от подобного рода атак. К тому же использование факс-серверов существенно облегчает рабочий процесс. Ведь с помощью такого решения можно отправлять факсы одним кликом мыши, не отрываясь от рабочего места!
А вот с атаками типа отказ в обслуживании бороться немного сложнее. Тем более если это касается распределенных атак отказа в обслуживании (DDoS). Но методы и средства защиты давно уже существуют и при правильном подходе к делу, можно жить не боясь данного типа атак. Используйте VoIP специализированные межсетевые экраны, внедряйте сервисы качества обслуживания QoS и не забывайте своевременно обновлять программное обеспечение компонентов, ответственных за безопасность и стабильность работы вашей IP-телефонии.
Что касается человеческого фактора, то здесь дела обстоят намного сложнее. Мы не будем рассматривать методы отбора персонала, но хочется отметить, что данный тип проблемы встречается чаще, чем описанные выше типы атак. Поэтому, если вы не крупная компания со своим отделом ИТ, который занимается обслуживанием решений VoIP, то пользуйтесь услугами компаний профессионалов, которые занимаются данными решениями. Но даже в этом случае, будет полезно узнать мнение экспертов.
Не экономьте на VoIP решениях , потому как в дальнейшем это может привести к большим потерям. Финансовые показатели дешевых и недостаточно проверенных решений очень заманчивы, но если у вас стабильный развивающийся бизнес, то лишние полгода пути к его окупаемости не сделают большой погоды, а в будущем сэкономят время и позволят избежать множество проблем. Обязательно пользуйтесь услугами компаний-профессионалов. Такие компании достаточно серьезно относятся к своей репутации и в случае ошибки со своей стороны, сделают все, чтобы исправить их последствия.
Привет, Хабр!
В этот раз хочу рассказать о технологиях шифрования VoIP звонков, о том какую защиту дают разные подходы и как организовать наиболее защищенную от прослушивания голосовую связь с технологическими гарантиями безопасности.
В статье я постараюсь доступно изложить особенности таких технологий как SIP\TLS, SRTP и ZRTP. И продемонстрирую конкретные схемы использования на примере нашего сервиса ppbbxx.com
Итак, что же собой представляет шифрованный VoIP вызов? Дальше речь пойдёт о SIP протоколе как наиболее популярном.
Как мы уже выяснили, звонок состоит из сигнальной и media частей, каждая из которых может быть зашифрована отдельно с применением специальных методов-протоколов. Для шифрования сигнальной информации применяется SIP\TLS, для шифрования «голоса» ZRTP и SRTP протоколы.
SIP\TLS - грубо говоря, аналог HTTPS для обычного SIP. Протокол позволяет клиенту убедиться, что он общается с нужным сервером при условии, что клиент доверяет предоставленному сервером сертификату. Подробнее можно прочитать на википедии
SRTP
и ZRTP
- это два разных способа шифровать RTP потоки. Принципиальное отличие между ними в том, что обмен ключами для SRTP происходит в сигнализации (на первой сигнальной стадии установки вызова). А для ZRTP непосредственно в начале обмена RTP пакетами (во второй, «медийной» части) по специальному протоколу , основанному на методе криптографии Диффи - Хеллмана.
Важно то, что для SRTP обязательным условием надёжности шифрования звонка является одновременное использование SIP\TLS + SRTP, иначе злоумышленнику не составит труда получить ключи (которые будут переданы по не шифрованному SIP) и прослушать разговор. В то время как для ZRTP это не важно, RTP поток будет надёжно зашифрован не зависимо от того, шифруется сигнализация или нет. Более того протокол умеет определять наличие «man in the middle» (в том числе серверов услуг!) между непосредственно говорящими клиентами. Это позволяет быть уверенным в том, что разговор невозможно прослушать, по крайней мере с точки зрения прослушивания сети/среды передачи данных.
Схема подключения SIP клиентов с различными настройками шифрования:
Можно выделить следующие схемы установки шифрованного звонка:
На этом закончим с теорией и перейдём к практике! Настроим собственный SIP сервер, создадим SIP пользователей, установим SIP клиенты и научимся совершать шифрованные звонки c помощью бесплатного
Первым делом пройдём в раздел "Internal network -> Domains
" и создадим собственный домен, чтобы не быть ограниченным в выборе имён SIP пользователей. Можно припарковать свой домен либо создать личный субдомен в одной из зон сервиса.
Далее необходимо в разделе "Internal network -> Sip Users
" создать SIP пользователей и настроить некоторые параметры их клиентов. Имена SIP пользователей могут быть произвольными, но так как на программных и аппаратных телефонах удобнее набирать цифры, мы будем заводить идентификаторы вида [email protected] и подобные. Я завёл 1000, 1001, 1002, 1003. После создания SIP идентификатора нужно не забыть нажать кнопку «Сохранить». Если никаких недозаполненных форм в интерфейсе настроек не осталось, система не будет ругаться и покажет лог изменений со статусом «Done».
Дальше необходимо настроить используемые кодеки и методы шифрования. Для этого нужно нажать значок с шестерёнкой слева от SIP идентификатора. Я планирую использовать SIP клиент (CSipSimple) на смартфоне и хочу использовать метод шифрования ZRTP поэтому в "basic " вкладке настроек выбираю кодеки G729 и SILK, а во вкладке "protection " ZRTP метод.
Вы можете выбрать другие параметры. Важно только заметить, что настройки для SIP аккаунта в интерфейсе услуги должны соответствовать
настройкам в SIP клиенте. Это необходимо для обеспечения корректной связи между клиентами с разными настройками кодеков и шифрования. Так же не забываем сохранять созданную конфигурацию.
В целом, для настройки простейшей конфигурации этого достаточно. Можно настраивать SIP клиенты и звонить между ними, набирая их номера 1000, 1001, 1002, 1003. При желании к этому можно добавить общий SIP шлюз для звонков в телефонную сеть и настроить соответствующую маршрутизацию звонков. Но, в таком случае, это уже несколько иная схема использования услуги, которая требует скорее другого рода мер безопасности, нежели шифрование трафика до шлюза.
Запускаем CSipSimple и переходим в интерфейс настройки. Выбираем мастер «Вasic» и настраиваем, используя данные из веб интерфейса. Должно получиться так:
Далее в общих настройках CSipSimple в разделе "Медиа -> Аудиокодеки
" нужно выбрать предпочитаемые кодеки. Для звонков через 3G я рекомендую использовать SILK, OPUS, iLBC, G729. Поскольку настройки в интерфейсе сервера и в интерфейсе клиента должны совпадать
, а на сервере я выбрал SILK и G729, то в списке аудиокодеков CSipSimple я ставлю галочки только напротив этих кодеков, а остальные снимаю.
В разделе клиента "Сеть -> Безопасный протокол
" нужно выбрать желаемые параметры шифрования. Я включаю только ZRTP. Остальное оставляю выключенным. При желании можно использовать SIP\TLS - нужно учитывать что сервер ожидает TLS соединения на 443-м порту. Это сделано специально для слишком умных операторов мобильной связи, блокирующих стандартные для VoIP порты.
Так же нужно учитывать, что SRTP и ZRTP не всегда совместимы и крайне желательно выбирать в клиенте только один из них.
Сразу после выполнения инструкции звонок SIP пользователя 1001 пользователю 1000 будет выглядит таким образом.
CSipSimple показывает, что в звонке участвует MitM сервер, к которому подключены оба клиента. Параметр EC25 означает, что используется протокол Диффи-Хеллмана на эллиптических кривых с параметром 256 бит. AES-256 - алгоритм симметричного шифрования, который применяется. Статус ZRTP - Verifyed означает, что контрольная строка SAS подтверждена пользователем.
Изменим режим передачи медиа в настройках ppbbxx для обоих клиентов. Установка direct media = yes позволит передавать голос напрямую. В этом случае стороны видят одинаковые строки SAS, используется алгоритм симметричного шифрования Twofish-256. Использование ZRTP в этом режиме требует от клиентов намного большей свместимости и менее надежно с точки зрения установки связи, поскольку сервер не участвует в передаче данных. Обязательно использование одинаковых аудиокодеков на всех клиентах и корректная работа NAT.
Если у SIP пользователя 1001 шифрование не установлено, тогда как 1000 использует ZRTP, то второй клиент покажет, что зашифрованная передача голоса происходит только до сервера (End at MitM).
Спецификацией IETF, где описаны стандартные методы для всех компонентов VPN, является протокол Internet Protocol Security, или IPSec, - иногда его называют туннелирова-нием третьего уровня (Layer-3 Tunneling). IPSec предусматривает стандартные методы идентификации пользователей или компьютеров при инициации туннеля, стандартные способы использования шифрования конечными точками туннеля, а также стандартные методы обмена и управления ключами шифрования между конечными точками. Этот гибкий стандарт предлагает несколько способов для выполнения каждой задачи. Выбранные методы для одной задачи обычно не зависят от методов реализации других задач. Идентификацию можно выполнять с помощью спецификации IPSec, причем она является обязательным компонентом протокола IPv6.
IPSec может работать совместно с L2TP, в результате эти два протокола обеспечивают более надежную идентификацию, стандартизованное шифрование и целостность данных. Следует отметить, что спецификация IPSec ориентирована на IP и, таким образом, бесполезна для трафика любых других протоколов сетевого уровня. Туннель IPSec между двумя локальными сетями может поддерживать множество индивидуальных каналов передачи данных, в результате чего приложения данного типа получают преимущества с точки зрения масштабирования по сравнению с технологией второго уровня.
Некоторые поставщики VPN используют другой подход под названием «посредники каналов» (circuit proxy), или VPN пятого уровня. Этот метод функционирует над транспортным уровнем и ретранслирует трафик из защищенной сети в общедоступную сеть Internet для каждого сокста в отдельности. (Сокет IP идентифицируется комбинацией TCP-соединения и конкретного порта или заданным портом UDP. Протокол IP не имеет пятого - сеансового -уровня, однако ориентированные на сокеты операции часто называют операциями сеансового уровня).
Шифрование информации, передаваемой между инициатором и терминатором туннеля, часто осуществляется с помощью защиты транспортного уровня (Transport Layer Security, TLS), ранее протокола защищенных сокетов (Secure Sockets Layer, SSL). Для стандартизации аутентифицированного прохода через брандмауэры IETF определил протокол под названием SOCKS, и в настоящее время SOCKS 5 применяется для стандартизованной реализации посредников каналов.
В SOCKS 5 клиентский компьютер устанавливает аутентифицированный сокет (или сеанс) с сервером, выполняющим роль посредника (proxy). Этот посредник - единственный способ связи через брандмауэр. Посредник, в свою очередь, проводит любые операции, запрашиваемые клиентом. Поскольку посреднику известно о трафике на уровне сокета, он может осуществлять тщательный контроль, например, блокировать конкретные приложения пользователей, если они не имеют необходимых полномочий. Для сравнения, виртуальные частные сети уровня 2 и 3 обычно просто открывают или закрывают канал для всего трафика по аутентифицированному туннелю. Это может представлять проблему, если нет гарантии защиты информации на другом конце туннеля.
Следует отметить на наличие взаимосвязи между брандмауэрами и VPN. Если туннели завершаются на оборудовании провайдера Интернет, то трафик будет передаваться по вашей локальной сети или по линии связи с провайдером Интернет в незащищенном виде. Если конечная точка расположена за брандмауэром, то туннелируемый трафик можно контролировать с помощью средств контроля доступа брандмауэра, но никакой дополнительной защиты при передаче по локальной сети это не даст. В этом случае конечную точку будет связывать с брандмауэром незащищенный канал.
Расположение конечной точки внутри защищаемой брандмауэром зоны обычно означает открытие прохода через брандмауэр (как правило, через конкретный порт TCP). Некоторые компании предпочитают применять реализуемый брандмауэром контроль доступа ко всему трафику, в том числе и к туннелируемому, особенно если другую сторону туннеля представляет пользователь, стратегия защиты которого неизвестна или не внушает доверия. Одно из преимуществ применения тесно интегрированных с брандмауэром продуктов тунне-лирования состоит в том, что можно открывать туннель, применять к нему правила защиты брандмауэра и перенаправлять трафик на конечную точку на конкретном компьютере или в защищаемой брандмауэром подсети.
Как и любая другая вычислительная функция, работа по созданию сетей VPN проводится с помощью программного обеспечения. Между тем программное обеспечение для VPN может выполняться на самых разных аппаратных платформах. Маршрутизаторы или коммутаторы третьего уровня могут поддерживать функции VNP по умолчанию (или в качестве дополнительной возможности, предлагаемой за отдельную плату). Аппаратно и программно реализуемые брандмауэры нередко предусматривают модули VPN со средствами управления трафиком или без них. Некоторые пограничные комбинированные устройства включают в себя маршрутизатор, брандмауэр, средства управления пропускной способностью и функции VPN (а также режим конфигурации). Наконец, ряд чисто программных продуктов выполняется на соответствующих серверах, кэширует страницы Web, реализует функции брандмауэра и VPN.
Механизм VPN немыслим без идентификации. Инфраструктура с открытыми ключами (Public Key Infrastructure, PKI) для электронной идентификации и управления открытыми ключами является в настоящее время основной. Данные PKI целесообразнее всего хранить в глобальном каталоге, обращаться к которому можно по упрощенному протоколу доступа к каталогу (Lightweight Directory Access Protocol, LDAP).