Сетевое железо - статьи

       

Общедоступные ключи


Управление ключами является составной частью любой виртуальной частной сети. Протокол IP Security обеспечивает обмен ключами через Internet (Internet Key Exchange, IKE) и поддерживает актуальные значения ключей между любыми двумя участниками туннельной передачи. Однако поддержание всего туннеля в состоянии стопроцентной готовности или его предварительная активизация (bootstrapping) представляет собой серьезную проблему.

Активизация туннеля включает в себя передачу первоначальных ключей между взаимодействующими сторонами, что позволит им начать обмениваться данными в защищенном режиме. После формирования защищенного канала функции контроля за информационной безопасностью переходят к IKE. Чем больше число туннельных каналов, соединяют ли они офисы филиалов компании или отдельных пользователей (последнее встречается чаще), тем сложнее становится процедура их предварительной активизации.

В настоящее время существуют три подхода к решению этой задачи. Первый - наименее привлекательный - основан на вводе ключей вручную. Впрочем, задавать вручную все параметры всех ключей сегодня не возьмется никто, разве что военные. Второй вариант опирается на так называемые секреты (secrets), предварительно заданные сетевым администратором на обоих концах соединения. Это вполне работоспособный алгоритм, но, к сожалению, он плохо масштабируется. Наконец, третий подход требует привлечения независимого "участника", который именуется инфраструктурой общедоступных ключей (PKI) и обеспечивает распределение ключей, а также управление ими.

Задавшись целью протестировать способность VPN-продуктов взаимодействовать со средствами PKI других производителей, мы прибегли к помощи компании Entrust Technologies, одного из ведущих поставщиков продуктов PKI.

В результате проведенного исследования удалось выявить три уровня поддержки инфраструктуры PKI. Верхние строчки в нашем рейтинге заняли разработки TimeStep и Check Point Software, которые позволили построить виртуальную сеть с использованием уже имевшихся средств PKI, извлечь ключи и наладить постоянное взаимодействие с PKI.
В крупной сети это единственный способ приступить к продуктивной работе в обозримое время.

В отсутствии постоянного сеансового доступа программные средства оказываются не в состоянии проверять подлинность сертификатов по спискам аннулированных ключей для обнаружения недействительных соединений.

Корпорация Cisco Systems также имеет в своем арсенале протокол обработки сертификатов - Certificate Enrollment Protocol (CEP). Он используется в маршрутизаторах этой фирмы и поддерживается рядом производителей VPN-продуктов и средств PKI.

Разработкам упомянутых компаний заметно уступают продукты второй группы, которые требуют, чтобы сетевой администратор настраивал процедуру взаимодействия с PKI вручную, как правило вставляя дискеты, полученные от уполномоченного органа сертификации, в накопитель на управляющей станции. Этот вариант в общем-то неплох на стадии запуска сети, однако страдает недостатком масштабируемости, поскольку не предлагает простого способа доставки ключей из PKI к устройствам виртуальной сети. Мы протестировали процедуру обмена ключами, обратившись к разработкам Data Fellows и RADGUARD, и убедились, что сети VPN, построенные на продуктах этих компаний, способны взаимодействовать между собой без предварительной установки секретов.

Наконец, последними в списке оказались производители, которые сумели обеспечить ручной обмен ключами с PKI, но не взаимодействие с изделиями других фирм. Типичными представителями данной группы являются Intel, Nortel Networks и VPNet.



Содержание раздела