Rambler's Top100
Статьи ИКС № 9 2005
Александр ЗОЛОТНИКОВ  Дмитрий СОБОЛЕВ  Д.Н. БАРАНОВ  01 сентября 2005

Вас защищает оператор

Для предоставления широкого спектра высококачественных услуг современный оператор связи должен обладать разветвленной мультисервисной сетью, использующей современные технологии передачи и обработки информации и основанной на комплексном применении различных средств связи. Пользователями такой сети выступают коммерческие и госорганизации, а также физические лица, которые в силу сложившихся в настоящее время условий в области защиты информации (вирусная и хакерская преступность, киберпреступность, возможность несанкционированного доступа, вандализм и т.п.) предъявляют повышенные требования к обеспечению безопасности ресурсов. Это заставляет операторов связи и производителей телекоммуникационного оборудования и программного обеспечения заботиться об информационной безопасности.

Средства защиты становятся непременным атрибутом оборудования и ПО. Разрабатываются также и специальные решения по защите информации.


Защищенная магистраль

Магистральная IP-сеть ЗАО «Компания ТрансТелеКом» (рис. 1) спроектирована и построена на базе технологии IP-MPLS по иерархической двухуровневой архитектуре. Она состоит из опорной сети MPLS-коммутаторов (ядра) и периферийной области, выполняющей функцию обслуживания клиентов. Ядро образуют IР-маршрутизаторы (Cisco GSR12000), которые используют коммутацию по меткам и выполняют функции коммутации и управления MPLS-трафиком. Периферия построена на PE-маршрутизаторах (Cisco 7513). Они отвечают за присвоение меток пользовательским пакетам, поддержание виртуальных таблиц маршрутизации (VRF) для VPN и взаимодействие с сайтом заказчика.

Особенность архитектуры сети – разграничение маршрутной информации. Сокрытие структуры ядра достигается за счет использования так называемой глобальной таблицы маршрутизации, в которой содержатся все маршруты в пределах внутренней сети. Данная информация недоступна из других сетей и в другие VPN также не передается. Виртуальная таблица маршрутизации, которая используется в периферийной области, работает только с пакетами, поступающими с сайтов. Они напрямую подключены к РЕмаршрутизатору, таким образом маршрутная информация VPN, размещаемая в PE-маршрутизаторах, в опорную сеть не попадает.

Многослойная броня для сервисов

Защищенность магистральной IP-сети определяется как самой технологией IPMPLS, так и дополнительными мерами, реализованными в рамках системы обеспечения информационной безопасности (СОИБ).

Особенности данной магистральной сети обусловливают поддержку нескольких «технологических» механизмов сетевой защищенности. Во-первых, адресные пространства и маршрутная информация построенных на ее основе VPN не пересекаются. Во-вторых, VPN, которые входят в ее состав, устойчивы к атакам из других сетей (например, «отказ в обслуживании» или «несанкционированный доступ»). В-третьих, в опорную сеть невозможно получить несанкционированный доступ извне. И наконец, в сети можно применять любые средства криптографической защиты.

Изолированность адресного пространства достигается за счет использования особой схемы адресации VPN-IPv4, которая реализована путем добавления 8-байтного указателя маршрута к оригинальному IP-адресу. Указатель обеспечивает уникальность клиентских адресов в пределах сети связи оператора и позволяет различным VPN работать в одном адресном пространстве IPv4.

Локализация маршрутной информации сети определяется механизмом работы PE-маршрутизаторов, которые фактически изолируют каждую виртуальную таблицу маршрутизации VPN. Рассылка обновлений таблиц производится в виртуальных сетях согласно правилам:

– обмен с другими сетями разрешен только через интерфейсы, принадлежащие VPN;

– обмен с другими PE-маршрутизаторами реализован по специализированному протоколу MP-IGBP, согласно которому при обмене маршрутами используются VPN-IPv4 и специализированные политики экспорта-импорта маршрутов на основе атрибутов route-target, а маршруты идентифицируются разделителями маршрутов.

Противодействие атакам

Устойчивость к атакам типа «отказ в обслуживании» достигается за счет разграничения адресного пространства, маршрутной информации разных сегментов сети и сокрытия структуры ядра. Кроме того, в качестве технических мер используются установка предельных значений на количество маршрутов, принимаемых от клиентских маршрутизаторов, и специальная настройка PE-маршрутизаторов, позволяющая не принимать от клиентских маршрутизаторов пакеты с метками. Организационная мера – ограничение доступа к PE-маршрутизаторам.

Атакам типа «несанкционированный доступ» противостоят встроенные защитные механизмы PEмаршрутизатора, обеспечивающие возможность приема на его интерфейс только клиентских пакетов без меток и присвоения меток на основе анализа VRF. Это позволяет отсечь несанкционированные пакеты на интерфейсе VPN.

Но система нужна!

Несмотря на наличие «естественной» защиты магистральной сети, система обеспечения информационной безопасности (рис. 2), безусловно, необходима, и прежде всего для обеспечения устойчивости сети к воздействиям искусственного и естественного характера, способным нарушить предоставление клиентам сети услуг сетевого транспорта с заданным QoS. Поэтому уже на начальном этапе построения магистральной IP-сети были предусмотрены СОИБ и подразделение для ее круглосуточной эксплуатации (служба администраторов безопасности, организационно не подчиненных службе эксплуатации магистральной IP-сети). Служба администраторов безопасности в режиме реального времени реагирует на нарушения ИБ и принимает меры по их устранению.

Основные задачи СОИБ – обеспечение защищенности системы управления магистральной IP-сетью и контроль за действиями всего инженерно-технического персонала, обслуживающего сеть связи.

В ее состав входят подсистемы администрирования и управления, где использованы средства защиты информации от Cisco Systems, ISS, Hewlett-Packard, «Информзащиты», Check Point и др. Управление компонентами

СОИБ осуществляется стандартными средствами. А в интересах системы анализа и сбора событий был разработан специальный программный комплекс, позволяющий аккумулировать информацию из регистрационных журналов и проводить ее автоматизированную обработку. Главные особенности реализованной системы ИБ – разделение функций между подразделениями, осуществляющими управление опорной сети и периферийной области с постоянным контролем совершаемых ими действий, а также полный комплект процедур, инструкций, методических указаний по ИБ для всех участников процесса предоставления услуг на магистральной IP-сети. Последние определяют порядок действий персонала как в штатных, так и в нештатных ситуациях. СОИБ позволяет контролировать доступ не только в систему управления сети, но и к любому из ее устройств, обеспечивая защищенность сети на нужном уровне, что подтверждено сертификатом Гостехкомиссии России (класс 1Г, согласно требованиям РД на автоматизированные системы). В соответствии с полученным сертификатом магистральная IP-сеть «ТрансТелеКом» может использоваться государственными и коммерческими структурами для передачи информации ограниченного доступа (не содержащей сведений, составляющих государственную тайну), а также для построения защищенных корпоративных сетей, организации безопасного доступа к ним и предоставления безопасного доступа в публичные сети с использованием сертифицированного оборудования. Компания получила необходимые лицензии на деятельность по защите информации, в том числе с использованием криптографических средств.

В рамках решения проблемы ИБ государства разрабатывают свою политику, принимают совместные решения. К примеру, Окинавскую хартию глобального информационного общества в 2000 г. подписали восемь государств, в том числе и Россия.

В нашей стране принят ряд законодательных актов, утверждена Доктрина информационной безопасности РФ.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Поделиться: