Садердинов А.А. Информационная безопасность предприятия

Подождите немного. Документ загружается.

ловном офисе и филиалах Cisco VPN engine, а на защищаемые ра-

бочие и мобильные станции и серверы Cisco VPN Client. При этом

должна обеспечиваться масштабируемость решений, а сама защита

строится на основе маршрутизаторов Cisco с поддержкой VPN и

программных VPN клиентов.

Технология VPN для защиты информации, передаваемой по

открытым каналам связи.

Функцию защиты информации, передаваемой по откры тым

каналам связи, поддерживающим протоколы TCP/IP, пр одукты

семейства ViPNet вполне могут выполнить для пос троения защи-

щенны х виртуальных частных сетей (VPN) любых конфигураций.

Рис 30. Защита информации передаваемой по открытым каналам связи

VPN-проду кты ViPNet обеспечивают:

защиту (конфиденциальность, подлинность и целостность) пе-

редаваемой по сетям информации;

контроль доступа в защищаемый периметр сети;.

безопасный доступ пользователей VPN к ресурсам сетей обще-

го пользования;

идентификацию и ау тентификацию пользователей сете вых

объектов;

централизованное управление политикой корпоративной сете-

вой безопасности.

Технология ViPNet представляет собой сертифицированный

программный комплекс, позволяющий организовать виртуальную

сеть, защищенную о т несанкционированного доступа по классу 1В

для автоматизированных систем и 3 классу для меж сетевых экра-

нов. Комплекс предназначен для работы в операционны х системах

Wmdows95/98/Me/NT/2000.

Полностью безопасная работа пользователей обеспечивает ся

при установке средств защиты на каждый компьютер, участ-

вующий в виртуальной защищенной сети. Информация в этом слу-

чае, которой данный компьютер обменивается с другими компью-

терами, становится недоступной для любых других компьютеров,

не участвующих в данном соединении. Инфор мация, которая рас-

положена на самом компьютере, недоступна с любого компьютера,

не участвующего в VPN. Доступ с компьютеров, участвующих в

VPN, определяется наличием соответствующих связей, настройкой

фильтров и полностью контролируем администраторами безопас-

ности. При взаимодействии между компьютерами, включенными в

VPN сеть, обеспечивается установление между такими компьюте-

рами защищенных соединений. При этом осуществляется преобра-

зование всего IP — трафика между двумя компьютерами в нечи-

таемые форматы по алгоритму, рекомендованному ГОСТ 28147 -89.

Одновременно производится инкапсуляция всех типов IP-пакетов в

единый тип, что полностью скрывает структуру информационного

обмена. Преобразование трафика осуществляется на симметричных

ключах длиной 256 бит.

Если в локальной сети возможно выделение участков сети, где

не может быть пребывания посторонних лиц, то эти груп-пы ком-

пьютеров могут защищаться совместно. В этом случае не требуется

установка программных средств на каждый ком пьютер.

Компьютеры виртуальной сети могут: располагаться внутри

локальных сетей любого типа, поддерживающих IP-протокол; на-

хо диться за другими типами сетевых экранов; иметь реаль ные или

виртуальные адреса; подключаться через общедоступ ные сети пу-

тем выделенных или коммутируемых соединений.

Основой всех программ для виртуальной сети является ViPNet-

драйвер, взаимодействующий непосредственно с драй вером сете-

вого интерфейса, в результате сего обеспечивается независимость

программы от операционной системы. Драйвер контролирует весь

IP-трафик (поступающий и исхо дящий из компьютера) и фильтру-

ет его по многочисленным параметрам.

Программный комплекс « ViPNet» включает в себя:

ViPNet [Администратор]

ViPNet [Координатор]

ViPNet [Клиент]

ViPNet [Администратор] создает инфраструктуру сети, осу -

ществляет мониторинг и управление ее объектами. Он так же фор-

мирует первичную ключевую и парольную информацию для объ-

ектов сети, сертифицирует ключевую информацию, сформирова н-

ную самими объектами сети.

ViPNet [Координатор] выполняет:

- маршрутизацию защищенных пакетов при взаимодействии

объектов сети между собой;

- регистрацию и предоставление информации о состоянии объ-

ектов сети;

- организацию работы защищенных компьютеров локаль ной

сети в VPN от имени одного адреса;

- туннелирование пакетов от заданных незащищенных компью-

теров локальной сети;

- фильтрацию открытых пакетов в соответствии с заданной по-

литикой безопасности;

- организацию работы защищенных компьютеров локаль ной

сети через сетевые экраны других производителей. ViPNet

[Клиент] обеспечивает защиту информации при ее

передаче по открытым каналам сетей общего пользования,а так же

защиту от доступа к ресурсам компьютера из сетей общего пользо-

вания.

VPN[А дминистратор] включает в себя программы Центр

Управления Сетью и Ключевой Центр.

Центр Управления Сетью (ЦУС) предназначен для созда ния и

управления конфигурации сети: и управления ею:

- построение конфигурации виртуальной сети (сетевые объекты

и связи между ними, включая межсетевые);

- изменение конфигурации сети;

- формирование и рассылка защищенных а дресны х спра-

вочников, защищенных таб лиц маршрутизации и информации о

ключевых связях абонентов для Ключевого Центра безопасно-

сти;

- определение прав доступа к ресурсам каждого пользователя.

Ключевой Центр (КЦ) предназначен для обеспечения клю чевой

информацией абонентов, абонентских пунктов и серве ров. КЦ соз-

дает ключевые дискеты для абонентов и ключевые наборы для

абонентских пунктов. КЦ осуществляет:

- формирование и обновление первичной ключевой и па-

рольной информации для объектов и пользователей сети;

- сертификацию цифровых подписей, сформированных на об ъ-

ектах сети.

Для установки ViPNet [Администратор] необ ходим IBM-

совместимый компьютер с операционной системой Windows'95,

Windows'98 или Windows NT 4.0/ 2000 и не менее 20 Мбайт сво-

бодного места на жестком диске.

ViPNet [Координатор]

ViPNet [Координатор] - многофункциональный модуль, осуще-

ствляющий в зависимости о т настроек следующие функции:

- Сервер IP-адресов обеспечивает работу с динамическими 1Р-

дресами;

- Почтовый сервер обеспечивает маршрутизацию почто вых

конвертов и управляющих сообщений ЦУСа и КЦ и абонент-

ских пунктов;

- Сервер туннель обеспечивает работу абонентских пунк тов за-

щищенной сети от имени одного адреса; обеспечивает туннели-

рование пакетов от незащище нных пакетов локальной сети;

- обеспечивает фильтрацию открыты х пакетов в соответствии с

заданной политикой защиты. Функциональность ViPNet [Коор-

динатора] определяется

Центром управления сетью и формируемыми им справо чни-

ками и маршрутными таблицами.

В зависимости от конфигурации VPN возможны следую щие ва-

рианты функционирования ViPNet [Координатора]:

Вариант 1VPN с троится в рамках одной не фрагментиро-

ванной локальной сети.

Вариант 2 VPN должна объединить несколько локальных сетей

с защищенными компьютерами (фрагментов локаль ной сети) и

удаленные защищенные компьютеры. Все ком пьютеры имеют ре-

альные IP - адреса, доступные от любого объекта VPN.

Вариант 3 VPN должна объединить несколько ло кальных сетей

(фрагментов локальной сети), а также удаленные защи щенные

компьютеры. Компьютеры локальной сети имею т внутренние или

реальные адреса. В локальных сетях стоят сетевые экраны других

производителей.

Вариант 4 VPN должна объединить несколько ло кальных сетей

(фрагментов локальной сети), имеющих защищенные и незащи-

щенные компьютеры, и удаленные защищенные компьютеры.

Компьютеры локальной сети имеют внутренние или реальные ад-

реса. Ставится задача: обеспечить работу объектов VPN локальной

сети от имени одного адреса внутри фрагментированной локальной

сети, через выделенный или коммутируемый канал, а для отдель-

ных незащищенных компьютеров обеспечить туннелирование от-

крытых пакетов в за щищенное соединение. В локальных сетях сто-

ят сетевые экраны других производителей.

Вариант 5 VPN должна объединить несколько локальных сетей

(фрагментов локальной сети) и удаленные защищенные компьюте-

ры, при этом защита вну три локальной сети (фрагмента локальной

сети) не требуется.

Для установки ViPNet [Координатора] необхо дим IBM-сов-

местимый компьютер с операционной системой Wmdows'95, Win-

dows'98 или Windows NT 4.0/ 2000 и не менее 20 Мбайт сво бодного

места на жестком диске.

ViPNet [Клиент]

ViPNet [Клиент] - модуль, реализующий на рабочем месте сле-

дующие функции:

1. Персональный сетевой экран — позволяет защитить компью-

тер от попыток несанкционированного доступа как из глобаль-

ной, так и из локальной сети, управление досту пом к данным

компьютера из локальной или глобальной сети, определение

адреса злоумышленников, пы тающихся по лучить доступ к ин-

формации на Вашем компьютере, обеспечение режима устано в-

ления соединений то лько по инициативе пользователя.

2. Установление защищенны х соедине ний с другими ком-

пьютерами, оснащенными ViPNet [Клиентом], для любых стан-

дартных сетевых приложений; (преобразование IP-пакетов в

нечитаемые форматы с добавлением в них инфор мации для

обеспечения целостности, контроля времени, идентификации и

скрытия первоначальной структуры пакета, блокировка паке-

тов, целос тность которых нарушена или истекло время отправ-

ки).

3. Услуги защищенных служб реального времени для орга-

низации циркулярного обмена сообщениями, проведения ко н-

ференций, защищенных аудио- и видео- переговоров обмен со-

общениями или организация циркулярного обмена сообщения-

ми, в процессе которого организатор такого обмена видит все

сообщения, в то время как участники об мена сообщений друг

друга не видят проведение защищенны х конференций опера-

тивное видение подтверждения доставки и прочтения сообще-

ний, проведение защищен ных аудио- и видео- переговоров.

4. Сервис защищенных поч товых услуг — защищенная «дело-

вая почта» с возможностями аутентификации отпра вителя и по-

лучателя, а так же контролем за прохождением и использовани-

ем документа передачи электронных со общений по открытым

каналам связи с защитой в пределах всего маршрута следования

от отправителя до получателя, защита прикрепленных к сооб-

щениям файлов, идентификация отправителя с использованием

электронной подписи, встроенной в общую систему безопасно-

сти, передача сообщения только тем получателям, для кото рых

оно предназначалось, подтверждение получения и использова-

ния сообщений, а также даты, времени получения и личности

получателей, ведение учетной нумерации сообщений

Для установки ViPNet [Клиента] необхо дим IBM-совместимый

компьютер с операционной системой Windows'95, Wmdows'98 или

Windows NT 4.0/ 2000 с модемом или сетевой картой и не менее 20

Мбайт свободного места на жестком диске.

Приклад ные системы комплекса ViPNet

В ViPNet комплексе реализованы разнообразные прикладные

системы для работы на клиентском месте. Это Деловая почта, Дис-

петчер внешних программ, Защищенные службы реального врем е-

ни.

Деловая почта — это сочетание строгого делопроизводства и

обычной файловой системы, «электронной подпи си» и шифро-

вания, высокой автоматизации процедур свя зи и по дтвержде-

ния доставки сообщения.

Диспетчер — э то программа, обеспечивающая в автома-

тическом режиме выполнение процедур электронной подписи,

шифрования и рассылки по заданным адресам файлов, подго-

товленных другими программами пользователя.

Службы реального времени позволяю т осуществлять различ-

ные виды защищенного сервиса в режиме реального времени.

К этим службам относятся:

- Служба циркулярного обмена сообщениями в реальном

масштабе времени. Она обеспечивает оперативный обмен

информацией между участниками сети. При этом абонентам

не доступна информация друг друга.

- Служба конференций аналогична пре дыдущей службе, но

все участники обмена видят информацию друг друга. В обеих

службах обеспечивается полная информированность пользо-

вателя о доставке и прочтении сообщений, завершении сеанса

работы. Возможно оперативное по дключение и отключение

абонентов от сеанса обмена. Возможно ведение одновремен-

но нескольких независи мых сеансов обмена. Веду тся прото-

колы обмена, с возможностью их со хранения и печати.

- Служба речевого обмена обеспечивает ведение защи щенных

телефонных переговоров через локальную и глобальную сеть,

если компьютеры имеют стандартные звуковую карту, мик-

рофон и звуковые колонки или теле фонную трубку с интер-

фейсом для подсоединения к зву ковой плате.

- Служба видеообмена, которая обеспечивает ведение за-

щищенных видео-переговоров в режиме реального времени.

Эта служба функционирует, если компьютер оснащен видео-

камерой.

Логика работы ViPNet-сети

Для того чтобы компьютеры, включенные в виртуальную за-

щищенную сеть, увидели друг друга в глобальной сети, на о дном

или нескольких компьютерах, имеющих постоянный IP-а дрес,

должны быть установлены программы ViPNet [Координатор].

На каждый компьютер ViPNet-сети устанавливае тся ПО ViPNet

[Клиент]. Каждый компью тер с ViPNet [Клиентом] бу дет посы лать

на ViPNet [Координатор] информацию о своем включении и об

изменении IP-адреса, получать с него информацию о других свя-

занных с ним компьютерах. Если ViPNet [Координаторов] несколь-

ко, то эти они обмениваются между собой необходимой информ а-

цией о подключении и отключении абонентов.

Конфигурация и управление вир туальной защищенной сетью

осуществляется с помощью программ ViPNet [Администратора].

Обмен управляющей информацией между объектами сети

(справочники, ключи, программное обеспечение и др.), а так же об-

мен почтовой информацией производится с помощью специально-

го транспортного протокола над TCP/IP, а также через ViPNet [Ко-

ординатор].

Технические характеристики комплекса ViPNet представлены

ниже в табл. 3.

Таблица 3

Параметр

Значение

Пропускная способность

OCWmdowsNT

Канал 10 Мбит

Pentium III/ 450 - 9.5М бит/с

Канал 100 Мбит

Pentium III/ 450 -20М бит/с

Pentium III/700 - 28М бит/с

ОС Linux (без ViPNet [Turbo 100])

Канал 100Мбит

Pentium III/ 700 - 40М бит

ОС Linux (с ViPNet [TURBO 100])

Канал ЮОМ бит Pentium III/ 700 -

96Мбит

Накладные расходы на поддержание

туннеля

30-80 байт

Увеличение размеров пакета

40-80 байт

Максимальное количество сетевых

интерфейсов, тип интерфейсов

Снижение трафика

LAN 5-10 % DialUp 12-15 %

Максимальное число клиентов для

(одного ViPNet [Администратора]

Не ограничено

Максимальное число клиентов для

одного ViPNet [Координатора]

Windows — 50 Linux - 300

Преимущества применения технологии ViPNet

ViPNet — программный комплекс, что определяет гиб-

кость его применения. Для его внедрения не требуется

специального оборудования. Нет необходимости изменять

топологию существующей сети. Технология позволяет

легко подбирать набор необходимых комплектаций для

удовлетворения потребностей клиента.

Драйвер ViPNet работает на уровне IP-пакетов, до того, как

они передаются стандартному стеку TCP/IP, поэтому он

контролирует весь IP-трафик, поступающий в сеть и из се-

ти, и обеспечивает прозрачную защиту для любых прило -

жений.

Наличие сертификата Гостехкомиссии позволяет ис-

пользовать техноло гию ViPNet в государственных и иных

структурах, где законодательство требует пр именение сер-

тифицированных средств защиты от НСД.

Используемые симметричные ключи длиной 256 бит га-

рантинуют высокую степень защиты информации.

В техноло гии ViPNet реализован персональный сете вой

экран, что дает возможность осуществлять защиту ресу р-

сов, непосредственно на рабочей станции. Эта тех нология

позволяет без дополнительных расхо дов защи щать мо-

бильного пользователя PC, разделять дос туп между PC

внутри одной локальной сети, ставить систему на отдель-

ные компьютеры в распределенных локальных сетях.

Технология ViPNet позволяе т обеспечить защищенное,

удаленное обновление версий программного обеспечения,

справочников доступа и ключей рабочих станций вирту-

альной сети.

В технологии ViPNet реализован оригинальный режим за-

щиты «бумеранг», который предоставляет пользователю

возможность установить инициативное соединение с ка-

ким-либо о ткрытым ресурсом в сети Интернет/Интранет и

при этом исключить возможные информационные атаки от

других источников, соединение с которыми не было ини-

циировано пользователем.

Технология имеет набор собственны х программных пр и-

ложений, для осуществления защищенного документо-

оборота и менеджмента.

8.23. Система централизированного управления

RealSecure Site Protector [^]

Система RealSecure SiteProtector, разработанная компанией In-

ternet Security Systems, Inc., является средством управле ния всей

системой информационной безопасности кру пной компании.

Система RealSecure SiteProtector обеспечивает не только центра-

лизованный сбор и анализ информации от различных средств за-

щиты, используемых в организации, но и управление ими, вклю-

чая их контроль, в реальном режи ме времени.

Рис. 31. Система це нтрализованного управления все й системой информацио н-

ной бе зопасности компании RealSecure SiteProte ctor

Система RealSecure SiteProtector позволяет собирать дан ные от

систем анализа защищенности, систем обнаружения атак, межсете-

вых экранов и других средств защиты, располо женных в различны х

местах территориально-распределенной корпоративной сети, ч то

позволяет «окинуть взглядом» безопасность всей сети в целом. При

помощи данной системы персонал, отвечающий за обеспечение

информационной безопасности, сможет концентрировать свое вни-

мание на основных проблемах, связанны х с уязвимостью наиболее

критичных участков и узлов корпоративной сети.

Обсуждаемая версия системы RealSecure SiteProtector поз-

воляет управлять с единой консо ли следующими средствами:

• системы анализа защищенности на уровне сети Internet Scan-

ner;

• сенсоры системы обнаружения атак RealSecure — Network

Sensor, Server Sensor и RealSecure for Nokia;

• BlacklCE Agent (в версии 1.1);

• BlacklCE Sentry (в версии 1.1);

• BlacklCE Sentry Gigabit (в версии 1.1);

• BlacklCE Guard (в версии 1.1).

В новых версиях системы RealSecure SiteProtector будут под-

держиваться и остальные продукты компании Internet Security Sys-

tems, а также ряд других средств по защите информации, произве-

денных другими компаниями — межсетевые экраны (включая пер-

сональные), антивирусные средства, си стемы построения VPN и т.

д.