Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под
Скачать 7.28 Mb.
|
Принципы работы механизма замены ключевых документов по графику Особенности работы ЗСПД при групповой замене КД. При настройке любого из возможных криптотуннелей должно быть указано значение криптопараметра Номер серии ключей (см. раздел 3.1.1.2, Рис. 3.8, с. 80 или раздел 2.4.2, Рис. 2.24, с. 40). При эксплуатации ранее выпускавшихся изделий защиты при настройке криптотуннеля в качестве значения параметра Номер серии ключей должно быть указано реальное (действительное) значение номера серии КД, подлежащего загрузке в изделие. Как следствие, когда возникает необходимость перевода работы ЗСПД на использование КД с новым номером серии, приходится на всех изделиях защиты в настройках всех криптотуннелей изменить значение параметра Номер серии ключей с предыдущего на последующее, выполнив по возможности синхронно с этим соответствующую замену загруженных в изделие ключевых документов. Примечание. Процедура замены хранящихся в изделии КД (выполняемая согласно РЭ на конкретное изделие) предполагает удаление из изделия (во избежание недоразумений) отработавшего свой срок КД предыдущей серии и загрузку КД последующей серии для работы изделия в течение предстоящего периода действия нового КД. При этом в течение времени выполнения операций перезагрузки КД защищенный обмен по криптотуннелям на направлениях обмена, поддерживаемых данным изделием защиты, будет нарушен. Глава 3. Средства защиты при передаче данных через сети 123 Изменение настроек криптотуннелей с заменой номера серии КД (в масштабе ЗСПД на тех узлах, которые затрагивает замена номера серии КД) персонал ЗСПД должен выполнить вручную и в сжатые строки, поэтому решение этой задачи выливается в проблему. С учетом того, что перевод ЗСПД на функционирование с КД новой серии осуществляется регулярно, становится ясно, что указанный метод замены КД трудоемок, вносит существенную напряженность в работу персонала ЗСПД в периоды переходов на работу с новыми КД и может вызывать временные нарушения в работе ЗСПД на отдельных направлениях обмена. Неразрешимой проблемой становится выполнение перенастройки криптотуннелей на изделиях, функционирующих в составе необслуживаемых технических комплексов, когда доступ персонала к изделиям защиты невозможен физически – например, когда изделия функционируют в составе космической аппаратуры, автономных систем мониторинга морского или наземного базирования и т.д. При использовании применявшейся ранее технологии перехода ЗСПД на работу с КД новой серии по истечении допустимого срока действия КД, загруженного при запуске изделия, обмен с необслуживаемыми комплексами будет прекращен. Поэтому (в дополнение к используемой ранее технологии перехода ЗСПД на работу с новыми КД) изделия защиты нового поколения поддерживают механизм автоматической замены ключевых документов и автоматического перехода ЗСПД на работу с КД новой серии в соответствии с графиком, заранее составляемым администратором изделия; исходные данные для составления графика администратор изделия получает от Администрации ЗСПД. При настройке криптотуннелей должны быть учтены дополнительные требования и, кроме того, предварительно должна быть выполнена загрузка в изделие ключевых документов всех серий, предусмотренных графиком их замены (пояснения см. ниже). Основные принципы работы механизма автоматической замены КД. Ниже изложены основные принципы, положенные в основу работы механизма замены КД по графику. 1. В изделии обеспечивается загрузка и хранение ключевых документов одновременно нескольких серий (подробнее см. ЭД на конкретное изделие и документ «Правила пользования»). 2. При настройке всех криптотуннелей ЗСПД в качестве значения параметра Номер серии ключей используется не реальное значение номера серии КД, а условное числовое значение в таблице-графике, обозначающее идентификатор номера серии КД, отнесенный к работе данного криптотуннеля. 3. Таблица-график (пример на Рис. 3.41) содержит всю информацию, необходимую для работы механизма автоматической замены КД по графику. Записи таблицы определяют соответствие между идентификатором номера серии КД и реальным значением параметра Номер серии ключей для ключевого документа, который должен быть в определенный период времени использован для функционирования криптотуннеля. В составе таблицы-графика могут присутствовать записи двух видов: - статические – содержащие сведения о соответствии между идентификатором и реальным значением номера серии КД, но не содержащие сведений о дате и времени наступления события очередной замены КД; записи этого вида появляются в таблице-графике в случае, когда при создании записи (см. раздел 3.4.3, с. 125) поля параметров Дата и Время бланка создания и настройки записей графика замены ключей (см. Рис. 3.43, с. 126) остаются не заполненными; - динамические – содержащие сведения о соответствии между идентификатором и реальным значением номера серии КД, а также сведения о дате и времени наступления события очередной замены КД. 4. На этапе подготовки к работе в изделие загружаются КД нескольких серий. Ключи одной из серий планируется применить немедленно, а остальные − в перспективе согласно запланированному графику замены КД. По исходным данным Администрации ЗСПД выполняется настройка изделия, включающая: настройку криптотуннелей изделия с использованием идентификаторов номеров серий КД, обеспечивающих работу криптотуннелей; настройку таблицы-графика, включающей статические и/или динамические записи, содержащие информацию о соответствии идентификаторов реальным значениям параметра Номер серии ключей для каждого из криптотуннелей изделия. 5. На этапе штатной работы изделия программа управления автоматически обеспечивает работу механизма замены КД по графику, интерпретируя сведения, подготовленные администратором изделия в виде таблицы-графика. Примечание. Администратор изделия может использовать как существовавшую ранее и по- прежнему действующую технологию замены КД вручную, так и воспользоваться появившимися в новых изделиях средствами автоматической замены КД по графику. Организация работы изделия в режиме автозамены КД. Рассмотрим подробнее те действия, которые должны выполнить администраторы (во взаимодействии с Администрацией ЗСПД) на этапе подготовки изделий защиты к функционированию в режиме автозамены КД в масштабе всей ЗСПД, а также остановимся на вопросах работы программ управления изделий. 124 Глава 3. Средства защиты при передаче данных через сети На этапе подготовки администратор изделия должен, взаимодействуя с Администрацией ЗСПД, составить представление о всех криптотуннелях, с которыми придется работать изделию в течение всего предстоящего периода эксплуатации, а также о реальных номерах серий КД, с помощью которых в предстоящий период будет периодически (в режиме автозамены) обеспечиваться работа всех запланированных криптотуннелей. Получив эту информацию, администратор может приступать к составлению списка идентификаторов номеров серий КД и таблиц-графиков соответствия каждого идентификатора номера серии (отнесенного к конкретному поддерживаемому изделием криптотуннелю) реальному номеру серии КД в конкретный период действия КД. Криптотуннель Идентификатор номера серии КД Номер серии КД Начало периода действия КД (дата – время) TNL_1 1 287 – 1 362 01.04.2017 – 00:00 1 390 01.07.2017 – 00:00 … … … 1 400 01.04.2018 – 00:00 TNL_2 2 412 – 2 812 01.04.2017 – 00:00 2 890 01.07.2017 – 00:00 … … … 2 900 01.04.2018 – 00:00 Рис. 3.41 Пример таблицы-графика для настройки режима автозамены КД по графику Рассмотрим простой пример. Пусть требуется подготовить к работе в предстоящий период изделие, которое должно поддерживать обмен по двум криптотуннелям – TNL_1 и TNL_2. Известны реальные номера серий КД и для каждого из криптотуннелей согласованная с Администрацией ЗСПД очередность использования КД для каждого периода работы изделия между моментами автозамены КД, известны также моменты времени (очередность дат и времен), в которые должна происходить автозамена очередных КД в ЗСПД. Пусть начало работы изделия запланировано на январь 2017 года. Обладая этими данными, согласованными с Администрацией ЗСПД, администратор изделия может составить представленную на Рис. 3.41 таблицу, необходимую для выполнения настройки режима автозамены КД. При настройке криптотуннелей TNL_1 и TNL_2 в качестве значения параметра Номер серии ключей (см. раздел 3.1.1.2, Рис. 3.8, с. 80 или раздел 2.4.2, Рис. 2.24, с. 40) для TNL_1 должно быть указано значение идентификатора номера серии КД, равное 1, а для TNL_2 указано значение идентификатора номера серии КД, равное 2. Эти значения в настройках криптотуннелей TNL_1 и TNL_2 будут неизменны в течение всех периодов действия ключей всех сменяющих друг друга серий. КД может быть любым; период действия КД также может быть любым. Итак, согласно исходным данным криптотуннель TNL_1 должен обеспечить работу для идентификатора номера серии КД, равного 1, а криптотуннель TNL_2 должен обеспечить работу для идентификатора номера серии КД, равного 2. Кроме того, согласно исходным данным, приведенным в таблице на Рис. 3.41 администратор перед началом работы изделия выполняет настройку изделия на работу в режиме автоматической замены КД по графику (процедура выполнения настройки приведена в разделе 3.4.3, с. 125). В результате этих действий в составе конфигуратора изделия формируется таблица-график соответствия всех идентификаторов реальным номерам серии ключевых документов. После включения изделия в процессе инициализации его работы выполняется процедура открытия криптотуннелей. Этой процедурой в изделии управляет БВМ, которому доступен перечень всех криптотуннелей изделия – статических, TNL-интерфейсов и L2–TNL-интерфейсов. БВМ, открывая очередной криптотуннель, на основе информации из таблицы-графика устанавливает соответствие значения идентификатора номера серии (для TNL_1 в примере – это 1) реальному значению номера серии (287) и выдает шифратору команду на открытие криптотуннеля на этом направлении с использованием номера серии КД 287. Затем БВМ переходит к следующему в списке криптотуннелю – для криптотуннеля TNL_2 с идентификатором номера серии 2 шифратор получает команду на открытие на этом направлении криптотуннеля с номером серии КД 412. И так БВМ обрабатывает весь список криптотуннелей, подлежащих открытию. Проверка времени выполняется непрерывно (каждые 20 сек). Если подходящих промежутков несколько (промежутки пересекаются), берется первый в таблице. Действие строки заканчивается, когда вступает в действие другая строка. При этом выполняется перезагрузка всех туннелей. Глава 3. Средства защиты при передаче данных через сети 125 Как было сказано выше, таблица-график может включать статические (не содержащие сведений о дате и времени замены КД) и динамические (содержащие сведения о дате и времени замены КД) записи. Если в таблице-графике присутствуют только статические записи, изделие будет работать без автозамены КД (весь период действия КД, пока администратор не выполнит перенастройку и перезагрузку КД вручную). В нашем примере ситуация была бы такой, если бы таблица-график, например, для криптотуннеля TNL_1 содержала бы единственную запись – верхнюю, с незаполненной колонкой Начало периода действия КД. В нашем примере таблица-график (Рис. 3.41) содержит после статической записи несколько динамических, что означает следующее: с момента запуска изделия криптотуннель TNL_1 будет работать, используя номер серии 287 , но только до 24-х часов 31 марта 2017 года. В полночь будет выполнен переход работы криптотуннеля на КД с номером серии 362, и так будет продолжаться до начала следующего периода действия КД. И т.д. Примечание. Отметим, что маршрутизаторы изделия в работе с криптотуннелями оперируют значениями идентификаторов номеров серий КД, а не значениями реальных номеров серий КД. Реальными номерами серий КД оперирует шифратор изделия. Синхронизация процессов автозамены КД в масштабе ЗСПД. Весьма важным вопросом при выполнении автоматической (по графику) замены КД является вопрос синхронизации во времени всех процедур автозамены КД в масштабе ЗСПД. От степени синхронности выполнения этих процедур зависит величина периода времени, в течение которого защищенный обмен в ЗСПД может быть нарушен. Очевидно, величину этого периода следует сокращать. Очевидно также, что чем точнее и синхроннее идут внутренние часы каждого из изделий защиты в составе ЗСПД, тем короче будет время перехода изделий защиты на работу с КД новой серии. Если в ЗСПД не допускается наличие перерывов в защищенной связи, то для обеспечения синхронной замены КД следует при настройке изделий защиты задействовать возможности, предоставляемые службой времени (SNTP-службой), поддерживаемой маршрутизаторами изделия (подробнее см. раздел 4.1.5, с. 135). Внимание! Уместно напомнить, что всякая ЗСПД логически может быть представлена в виде двух сегментов: центрального сегмента, представляющего собой транспортное ядро ЗСПД (состоит из инфраструктуры сетей общего пользования), и периферийного сегмента, представляющего собой сегмент защищенных сетей (состоит из ЛВС Пользователя). По условиям работы ЗСПД«Бастион3-Ф» в ее составе не может существовать ни одного устройства, с которого одновременно возможен информационный обмен как с устройствами в составе центрального, так и с устройствами в составе периферийного сегмента – в этом случае неминуемо возникает канал утечки защищаемой информации. Поэтому в составе ЗСПД приходится, соблюдая основополагающие принципы ее назначения, организовывать два независимых контура систем управления (в частности, системы удаленного управления изделиями защиты), систем единого сетевого времени (в частности, системы синхронизации работы SNTP-служб блоков внутренней и блоков наружной маршрутизации изделия) и пр. При построении системы синхронизации единого времени в составе ЗСПД следует учесть необходимость рассмотрения организации двух контуров систем единого сетевого времени: системы синхронизации от SNTP- серверов, функционирующих в составе центрального сегмента ЗСПД (например, синхронизация показаний внутренних часов SNTP-служб блоков наружной маршрутизации изделий защиты) и системы синхронизации от SNTP-серверов, функционирующих в составе периферийного сегмента ЗСПД (например, синхронизация показаний внутренних часов SNTP-служб блоков внутренней маршрутизации изделий защиты). В изделии служба синхронизации времени может быть организована и настроена в двух вариантах: время внутреннего маршрутизатора и шифратора изделия зависит от времени наружного маршрутизатора; при этом часы SNTP-службы БНМ настраиваются на корректировку от SNTP- серверов центрального сегмента ЗСПД (в качестве такого SNTP-сервера может выступать SNTP-служба какого-либо из БНМ изделия защиты), а шифратор и БВМ настраиваются по времени БНМ; понятно, что такая схема синхронизации уязвима со стороны сетей общего пользования и работа незащищенного SNTP-протокола может быть нарушена посылкой пакетов с ложными метками времени; время внутреннего маршрутизатора и шифратора изделия не зависит от времени наружного маршрутизатора (см. раздел 4.1.5, Рис. 4.6, с. 135, параметр Время внутреннего маршрутизатора независимо ); при этом часы SNTP-службы БВМ изделия настраиваются на корректировку от SNTP- серверов периферийного сегмента ЗСПД (в качестве такого SNTP-сервера может выступать SNTP- служба какого-либо из БВМ изделия защиты); учитывая, что механизм автозамены КД работает, ориентируясь на часы БВМ, а все БВМ в ЗСПД связаны между собой, и часы их SNTP-служб могут быть синхронизированы между собой, а уязвимости SNTP-протокола практически ничто не угрожает, этот вариант организации в ЗСПД системы синхронизации времени с целью проведения автозамены КД по графику предпочтительнее. 3.4.3. Настройка режима замены ключевых документов по графику Как следует из приведенных выше сведений, для обеспечения при функционирования изделия автоматической замены ключевых документов по графику следует выполнить следующие работы: 126 Глава 3. Средства защиты при передаче данных через сети подготовить исходные данные (во взаимодействии с Администрацией ЗСПД) для настройки таблицы- графика замены КД; процесс подготовки исходных данных рассмотрен на конкретном примере в разделе 3.4.2 (см. Рис. 3.41, с. 124); выполнить настройку работы изделия с соответствующими криптотуннелями согласно подготовленным исходным данным; выполнить настройку работы изделия в режиме автозамены КД согласно подготовленным исходным данным; процесс настройки приведен ниже в данном разделе РНУ; если принято решение о необходимости организации системы синхронизации единого времени в масштабе всей ЗСПД, выполнить настройку работы изделия в режиме синхронизации часов SNTP- служб маршрутизаторов изделия согласно установленному Администрацией ЗСПД варианту – с зависимостью или с независимостью часов SNTP-службы БВМ изделия от показаний часов SNTP- службы БНМ изделия (подробнее см. раздел 4.1.5, Рис. 4.6, с. 135, параметр Время внутреннего маршрутизатора независимо); выполнить запуск изделия и загрузить в него все ключевые документы, требуемые согласно графику замены. Для первоначального создания или для управления ранее созданной таблицей-графиком автозамены КД следует выбрать цепочку альтернатива ГМ: |