випнет 2. Решение предполагается осуществить на базе комплекса программных и программноаппаратных средств защиты информации производства оао Инфотекс
Скачать 43.77 Kb.
|
Введение Администраторы локальных сетей все чаще сталкиваются с проблемами защиты информации. Особенно важно это становится в сетях, в которых приходится работать с информацией, требующей дополнительной защиты. Это сети государственных учреждений, предприятий, связанных с выпуском определенной продукции, иных организаций, которым раскрытие внутренней информации может принести серьезный экономический ущерб. Тем более важное значение приобретает проблема в тех случаях, когда локальные сети должны быть доступны из Глобальной сети, когда к ним должны подключаться мобильные пользователи или сотрудники удаленных подразделений либо когда пользователи локальной сети должны иметь доступ к Глобальной сети. Решение предполагается осуществить на базе комплекса программных и программно-аппаратных средств защиты информации производства ОАО «Инфотекс». Данные решения позволяют строить надежные и высокозащищенные каналы передачи персональных данных в рамках локальных сетей и сети Интернет (VPN), и решать широкий спектр вопросов защиты информации, включая развертывание инфраструктуры открытых ключей (PKI) в корпоративных и государственных распределенных системах обработки персональных данных любого уровня сложности. Ядром комплекса является набор программного обеспечения ViPNet Administrator, выполняющий функции центра управления защищенной сетью, центра выработки ключей шифрования и удостоверяющего центра. Для решения задач сетевого экранирования и шифрования каналов передачи персональных данных между локальными сетями в ViPNet CUSTOM используется сервер ViPNet Coordinator, который может поставляться как в виде программного обеспечения для ОС Windows и Linux, так и в виде программно-аппаратных комплексов. Для защиты рабочих станции и мобильных компьютеров в составе ViPNet CUSTOM предназначено ПО ViPNet Client, выполняющее функции персонального сетевого экрана и пункта абонентского шифрования. ПО ViPNet Client поддерживает режим шифрования «точка-точка», что позволяет его использовать на компьютерах локальной сети для обеспечения разграничения доступа к информации без необходимости физического сегментирования локальной. В состав ViPNet CUSTOM также входит ряд дополнительных компонентов, позволяющих разворачивать инфраструктуру открытых ключей и создавать на ее основе системы юридически значимого электронного документооборота: ViPNet CryptoService (содержит Microsoft Windows и Office совместимый криптопро-вайдер), ViPNet Registration Point (пункт регистрации абонентов сети - для построения разветвленной сети центров регистрации), ViPNet Publication Service (сервис публикации сертификатов в сетевых хранилищах, поддержка Active Directory). ПО ViPNet Administrator совместно с ПО ViPNet CryptoService составляют пакет программ, объединенных общим названием - средство криптографической защиты (СКЗИ) «Домен-К». Компания ИнфоТеКС выпускает несколько версий СКЗИ «Домен-К», отвечающих разным уровням требований к СКЗИ. Глава 1. Организация защищённого канала между несколькими локальными сетями через Internet и мобильными пользователями. Туннель на однокарточных координаторах Схема незащищённой автоматизированной системы Информация об исходной схеме сети Адреса в локальных сетях частные. На входах в локальные сети стоят компьютеры PROXY с реальными адресами. Локальных сетей может быть сколько угодно. К открытому Интернету подключается произвольное количество мобильных пользователей. Требуемая защита Требуется защита информационного обмена при прохождении через открытый Интернет. Требуется, чтобы защищенный туннель был прозрачен для пользователей, которые работают с ресурсами удаленных ЛВС. Требуется, чтобы пользователи локальной сети не имели доступа к ресурсам открытого Интернета, за исключением ресурсов других локальных сетей, определенных администратором, с которыми организуется защищенное взаимодействие и, возможно, ресурсов мобильных пользователей. Требуется организовать защищенный доступ мобильных пользователей к туннелируемым ресурсам ЛВС. Требуется исключить необходимость установки ПО ViPNet [Координатор] на шлюзы ЛВС. Схема защиты, обеспечивающая выполнение сформулированных требований Комментарии к схеме: ПО ViPNet [Администратор] устанавливается на один из компьютеров (администратор безопасности) распределенной сети (обычно в центральном офисе). ПО ViPNet [Координатор] устанавливается на один из компьютеров в каждой из объединяемых ЛВС (выбранный для этого компьютер не должен быть шлюзом ЛВС). IP-адреса таких компьютеров должны быть статическими. В составе этой схемы ViPNet [Координатор] выполняет такие же функции кроме функции Межсетевого экрана. Эти функции должны быть реализованы программным обеспечением шлюза (PROXY-сервера). ПО ViPNet [Клиент] устанавливается на компьютеры всех мобильных пользователей. Глава 2. Технология VipNet .1 Основные характеристики Продукты «Инфотекс» имеются как в аппаратно-программной так и только в программной реализации. К примеру, аналогичные продукты большинства конкурентов имеются только в аппаратно-программной реализации. Отсутствие акцента на конкретную аппаратную основу позволяет быстро восстановить работоспособность системы на базе продуктов «Инфотекс» в случае сбоев. Любой из модулей системы быстро и просто переносится на любой персональный компьютер. В ViPNet CUSTOM, продукте компании «Инфотекс» присутствует возможность построения защищенного VPN-канала между двумя пользователями. В других аналогичных продуктах такой возможности нет. Возможность построения VPN-каналов между двумя пользователями дает дополнительную защиту при передаче данных и позволяет организовать более качественное обслуживание населения отдаленных территорий за счет оперативного доступа ко всем ресурсам медицинских и социальных учреждений. Вместе с ViPNet Client Mobile обычный КПК или ноутбук включается в защищенную сеть ViPNet и превращается в устройство удаленного защищенного доступа к ресурсам корпоративной сети - внутрикорпоративный WEB-портал, почтовые сервисы, доступ к базам данных и т.п. - вся информация будет зашифрована и передана по сетям сотовых операторов и Интернету в закрытом виде. ViPNet Client Mobile поддерживает работу через интерфейсы WiFi и GPRS/EDG. В ViPNet CUSTOM компании «Инфотекс» реализован комплексный подход к задачам защиты данных. Так, в ViPNet CUSTOM уже реализованы: полноценный Удостоверяющий центр, который может работать как с внешними пользователями, так и с пользователями продуктов компании «Инфотекс». межсетевой экран (в различной конфигурации) - позволяет обеспечить в соответствии с заданной политикой безопасности фильтрацию трафика по множеству параметров (порты, протоколы, диапазоны адресов и др.) между сегментами защищенной и открытой сетей, а также и обеспечить защиту отдельного рабочего места; возможность работы одновременно по каналам связи различных типов, а также одновременно пользоваться услугами разных операторов связи, что позволит значительно повысить доступность ресурсов. система защищенной электронной почты (модуль «Деловая почта»), которая позволяет передавать сообщения по защищенным каналам связи, при этом дополнительно шифруя и подписывая их на ключах пользователя. Внедренный электронный документооборот полностью юридически значим, функционирует в рамках правовых норм Федерального закона «Об электронной цифровой подписи»; система гарантированной передачи файлов произвольных размеров по защищенным каналам связи ViPNet обеспечивает защиту информации в современных мультисервисных сетях связи, предоставляющих услуги IP-телефонии и аудио- и видеоконференцсвязи. Поддерживается приоритезация трафика и протоколы H.323, Skinny. ряд других возможностей (при необходимости готовы развернуть более наглядную презентацию о технических и коммерческих преимуществах). Система ViPNet CUSTOM очень гибкая. Добавление и удаление модулей занимает мало времени (порядка 10-30 минут в зависимости от размера сети) и не требует дополнительных настроек и переконфигурирования остальной части защищенной сети ViPNet. Переконфигурирование сети, что не маловажно, проходит прозрачно для пользователей и может выполняться централизовано. Неработоспособность части защищенной сети не оказывает влияния на остальную сеть, что позволяет достигнуть непрерывности работы. Система ViPNet CUSTOM реализована по модульному принципу. Приобретаются только те модули системы, которые необходимы для решения поставленной задачи. При появлении других задач система легко дооснащается дополнительными модулями. Такой подход позволяет значительно экономить финансовые средства как при приобретении, так и в случае масштабирования системы. Средства ЭЦП и шифрования ViPNet могут быть легко встроены в другие системы. Например, шифрование и подписание ЭЦП файлов при передаче с их помощью электронной почты, подписание ЭЦП электронных документов при их загрузке в базы данных или при формировании электронного архива. Эта же возможность раскрывает широкие перспективы при реализации различных задач в рамках межведомственного электронного документооборота. Система ViPNet CUSTOM сертифицирована ФСБ и ФСТЭК и позволяет построить систему защиты ИСПД до первой категории включительно. виртуальная сеть локальная интернет 2.2 Топология сети Для формирования обобщенной схемы защищенного электронного взаимодействия приведем только список типовых схем построения VPN на базе программных продуктов ViPNet: Полная защита нескольких локальных сетей, связанных через Internet без Proxy-серверов. Полная защита нескольких локальных сетей, связанных через Internet без Proxy-серверов + мобильные пользователи. Организация защищенного канала между несколькими локальными сетями через Internet. Туннель на многокарточных Координаторах. Организация защищенного канала между несколькими локальными сетями через Internet. Туннель на однокарточных Координаторах. Организация защищенного канала между несколькими локальными сетями через Internet + мобильные пользователи. Туннель на многокарточных Координаторах. Организация защищенного канала между несколькими локальными сетями через Internet + мобильные пользователи. Туннель на однокарточных Координаторах. Полная защита нескольких локальных сетей, связанных через Internet c Proxy-серверами и Координаторами на них. Полная защита нескольких локальных сетей, связанных через Internet c Proxy-серверами и Координаторами внутри локальных сетей. Полная защита нескольких локальных сетей, связанных через Internet c Proxy-серверами и Координаторами на них + мобильные пользователи. Полная защита нескольких локальных сетей, связанных через Internet c Proxy-серверами и Координаторами внутри локальных сетей + мобильные пользователи. Безопасный доступ из локальной сети в Интернет с использованием технологии «Открытый Интернет». При более детальном уточнении исходных данных технического задания и анализе всех поставленных задач, возможна гибридная реализация комбинированной схемы, включающей компоненты из обеих схем, либо дополненной иными комплексными решениями (в том числе по защите от НСД, участия мобильных пользователей и пр.). Данные схемы реализуются в двух решениях - ViPNet Office и ViPNet Custom. Они отличаются тем, что второе решение позволяет создавать произвольные сети неограниченного масштаба. Определимся с различиями, а потом рассмотрим принцип создания VPN. В качестве базовой программы в решении ViPNet Custom используется программа "Администратор", во втором решении - "Менеджер". ViPNet Manager - это облегченная версия программного обеспечения ViPNet "Администратор", позволяющая простым образом, на интуитивном уровне, задавать и изменять структуру защищенной сети ViPNet. В первом решении имеется возможность работы с ЭЦП. При этом в качестве удостоверяющего центра выступает программа "Администратор", а в качестве регистрационного центра - "Центр регистрации". Соответственно, во втором варианте отсутствуют все возможности, связанные с использованием дополнительных криптографических модулей, компрометацией ключей и так далее. В качестве криптографического ядра в программном обеспечении решений ViPNet используется СКЗИ "Домен-К". Криптографическое ядро реализует следующие криптоалгоритмы: AES (256 бит), ГОСТ (256 бит), 3DES (168 бит) и DES (56 бит). Алгоритмом по умолчанию является ГОСТ (256 бит), остальные алгоритмы могут быть свободно выбраны самим пользователем. Длина ключа для асимметричной ключевой системы (открытый и секретный ключи) равна 1024 бит (ГОСТ Р 34.10-2001). Программное обеспечение ViPNet Office устанавливается поверх существующей физической сети и не ухудшает ее показателей. Система защищает сеть от атак как извне, так и изнутри локальной сети. Ядром программного обеспечения ViPNet является так называемый ViPNet-драйвер, главными функциями которого являются фильтрация и шифрование/дешифрирование исходящих/входящих IP-пакетов. ViPNet-драйвер является сетевым драйвером и работает над вторым уровнем модели OSI, что позволяет вести обработку пакетов (дешифрирование, контроль целостности, фильтрацию и блокирование) до того, как они будут переданы на транспортный уровень. Модули ViPNet обрабатывают весь TCP/IP-трафик, осуществляя его шифрование и дешифрирование, контроль целостности и фильтрацию согласно установленной политике безопасности. В результате соединение любого компьютера с модулем ViPNet (находящегося как во внешней сети, так и во внутреннем защищенном сегменте) с другим ViPNet-компьютером является шифрованным соединением (туннелем) и поэтому изолированным от внешних сетевых соединений. Дополнительно ViPNet-модуль обеспечивает расширенный набор средств безопасности, включая, но не ограничиваясь, фильтрацию нешифрованного и только что расшифрованного трафика согласно установленной политике безопасности. Технология ViPNet совместима с любыми технологиями доступа к сети - xDSL, ISDN, GPRS, UMTS, WiFi и т. д. Процесс создания VPN выполняется за несколько этапов. Первой программой, которая должна быть установлена в сети, является "Менеджер". Она служит для конфигурирования сети ViPNet и создания справочно-ключевой информации (дистрибутивов ключей и паролей пользователей), требующейся для установки и работы узлов сети ViPNet. При первом запуске программы запускается мастер "Создание сети ViPNet". На этом этапе выполняются создание структуры сети, дистрибутивы ключей для всех пользователей и парольная информация. Следующий шаг - создание связей между узлами сети. Возможны три варианта:связать все сетевые узлы (все СУ будут связаны между собой); связать все абонентские пункты каждого координатора - абонентские пункты каждого координатора будут иметь связи только со своим координатором и другими абонентскими пунктами своего координатора, при этом все координаторы между собой будут иметь связи; связать каждый абонентский пункт со своим координатором - каждый абонентский пункт будет иметь связь только со своим координатором, при этом все координаторы будут иметь связи между собой. Как структуру, так и связи можно редактировать после их создания, переносить абонентов от одного координатора к другому, при этом следует учитывать, что количество координаторов и абонентских пунктов не может превышать количества приобретенных лицензий. Компьютеры, на которых будет установлено программное обеспечение ViPNet ("Координатор", "Клиент"), становятся частью защищенной виртуальной сети, что означает, что информация, которой каждый компьютер обменивается с другими, становится недоступной для любых других компьютеров, не участвующих в данном соединении. А информация, расположенная на самом компьютере, недоступна с любого компьютера, не участвующего в VPN. Доступ с компьютеров, участвующих в VPN, определяется наличием соответствующих связей, ключей, настройкой фильтров и полностью контролируем. После установки "Менеджера" и настройки структуры сети устанавливается ПО "Координатор". Как правило, компьютер с этой системой устанавливается на границах локальных сетей и их сегментов и обеспечивает: включение в VPN открытых и защищенных компьютеров, находящихся в этих локальных сетях или их сегментах, независимо от типа адреса, выделяемого им; разделение и защиту сетей от сетевых атак и оповещение компьютера с ViPNet ("Клиент") о состоянии других сетевых узлов, связанных с ним. Эта система также обеспечивает защитой компьютеры, на которых по тем или иным причинам невозможна установка клиентской части. Для таких компьютеров "Координатор" может создавать для защиты трафика защищенный туннель до аналогичного "Координатора" или до конечного компьютера. "Координатор" в рамках VPN может нести различную нагрузку, выполнять разнообразные функции: функцию сервера-маршрутизатора, обеспечивающую маршрутизацию почтовых конвертов и управляющих сообщений при взаимодействии объектов сети между собой; функцию сервера IP-адресов, обеспечивающую регистрацию и предоставление информации о текущих IP-адресах и способах подключения объектов корпоративной сети; функцию сервера ViPNet-Firewall, обеспечивающую работу защищенных компьютеров локальной сети в VPN от имени одного адреса; работу защищенных компьютеров локальной сети через другие Firewall; туннелирование пакетов в защищенное соединение от заданных адресов незащищенных компьютеров; фильтрацию открытых пакетов, в том числе и туннелируемых, в соответствии с заданной политикой безопасности (функции межсетевого экрана); функцию ViPNet-сервера открытого Интернета, обеспечивающую организацию безопасного подключения части компьютеров локальной сети к Интернету без их физического отключения от локальной сети организации. Для ускорения работы с шифрованным трафиком с использованием алгоритма ГОСТ 28147-89 и разгрузки центрального процессора на компьютерах, где обрабатывается большой объем информации, рекомендуется использовать специальную плату-ускоритель криптопреобразований. Все операции шифрования/дешифрирования, загружающие центральный процессор, выполняются криптоакселератором, и, тем самым, загрузка процессора такая же, как при обработке нешифрованного трафика. "Координатор" обеспечивает выполнение нескольких режимов работы с открытыми ресурсами - от разрешения до их полной блокировки. Одной из важных возможностей программы является перехват и фильтрация (пропуск или блокирование) любых открытых IP-пакетов, проходящих через каждый его сетевой интерфейс. Для защиты компьютера от несанкционированных попыток приложений, работающих на этом компьютере, выполнить сетевую операцию в программе реализована возможность мониторинга активности приложений. В него встроена система обнаружения вторжений (intrusion detection system, IDS). Она служит для обнаружения и предотвращения действий со стороны злоумышленника (хакера либо взломщика), которые могут привести к проникновению внутрь системы или совершению по отношению к ней каких-либо злоупотреблений. (Две последние функции включены и в состав пакета "Клиент".). "Координатор" фиксирует различного рода информацию по результатам своей работы на компьютере. Эту информацию можно просматривать через интерфейс программы. Там можно просмотреть список пропущенных и блокированных IP-пакетов, блокированных адресов, событий, атак. "Координатор" управляет компьютерами, зарегистрированными в его базе данных. В состав пакетов "Координатор" и "Клиент" входят дополнительные модули, обеспечивающие защищенный обмен транспортными конвертами (файлами, сообщениями, электронной почтой) между клиентами защищенной сети. Основной транспортный модуль называется MFTP и предназначен для обеспечения надежной и безопасной передачи транспортных конвертов между узлами сети ViPNet посредством протоколов TCP (канал передачи MFTP) и SMTP/POP3. При связи по каналу MFTP устанавливается TCP-соединение с узлом-получателем конвертов, проводится взаимная аутентификация узлов и осуществляется прием/передача конвертов друг для друга. При связи по каналу SMTP/POP3 транспортный модуль переадресует конверты для отправки модулю MailTrans, который передает их через сервер SMTP, а также забирает с сервера POP3 конверты, предназначенные для этого узла. Транспортные конверты для передачи формируются прикладными задачами сети, например "Деловой почтой". Эта система предназначена для организации защищенной передачи электронных документов по открытым каналам связи по всему маршруту следования документа, от отправителя к получателю в сети ViPNet. Помимо обычных функций по работе с электронной почтой "Деловая почта" обеспечивает шифрование и простановку ЭЦП на отправляемые сообщения, ведение регистрационных данных на них, а также предоставляет гибкие возможности по работе с документами: сортировку документов, архивацию, поиск, автоматическую обработку файлов и входящих писем в соответствии с различными правилами, задаваемыми пользователем (автопроцессинг). Остается лишь сказать, что на рабочие места устанавливается ПО "Клиент", во многом повторяющее функции "Координатора", за исключением тех, которые связаны с преобразованием адресов, организацией связи между зарегистрированными на "Координаторе" членами групп, защитой от внешних проникновений из открытой сети и некоторыми иными функциями. Использование системы ViPNet Office позволяет создать защищенную виртуальную сеть, решить многие вопросы по защите как самой сети, так и информации, циркулирующей в ней. Это решение апробировано во многих организациях и зарекомендовало себя с положительной стороны. |