Руководство пользователя 19912012 оао ИнфоТеКС

ViPNet Client Монитор 3.2. Руководство пользователя
262
Изменение способа аутентификации пользователя
Способ аутентификации (см. «
Способы аутентификации пользователя
» на стр. 76) определяет, какие данные должен предоставить пользователь для входа в программу
ViPNet Монитор. Чтобы изменить способ аутентификации пользователя, выполните следующие действия:
1 Выполните вход в программу в качестве администратора (см. «
Работа в программе с правами администратора
» на стр. 255).
2 В окне Настройка параметров безопасности на вкладке Ключи нажмите кнопку
Изменить.
3 В окне Способ аутентификации выберите в списке один из способов: o
Пароль. Для входа в программу ViPNet Монитор требуется ввести пароль пользователя. Каждый раз после ввода пароля вычисляется парольный ключ, который используется для доступа к персональной ключевой информации пользователя. o
Пароль на устройстве. При выборе этого способа аутентификации необходимо подключить внешнее устройство, на котором будет сохранен парольный ключ пользователя.
Для входа в программу ViPNet Монитор пользователь должен обеспечить контакт устройства со считывателем и ввести ПИН-код.
Внимание! Использовать способ аутентификации Пароль на устройстве для входа в ПО ViPNet Монитор крайне не рекомендуется. Данный способ аутентификации предназначен для устройств устаревшего типа, в последующих версиях ПО ViPNet Монитор его поддержка будет прекращена. Рекомендуется использовать более надежный и безопасный способ аутентификации Устройство. o
Устройство. При выборе этого способа аутентификации необходимо подключить внешнее устройство для сохранения персонального ключа пользователя (см. «
Симметричные ключи в ПО ViPNet
» на стр. 274).
Для входа в программу ViPNet Монитор пользователь должен обеспечить контакт устройства со считывателем и ввести ПИН-код (и в некоторых случаях пароль пользователя).
При выборе способа аутентификации Устройство ключ защиты
(на стр. 375) сохраняется на внешнем устройстве. Если вы используете процедуры подписи и шифрования внутри сторонних приложений (например, в MS Office), то в этом случае настоятельно рекомендуется контейнер ключей
(на стр. 375) сохранять

ViPNet Client Монитор 3.2. Руководство пользователя
263
также на этом устройстве. Иначе подписание и шифрование в сторонних приложениях будет невозможно из-за проблемы с доступом к ключу защиты.
Контейнер ключей можно также перенести из текущей папки в другую папку на диске, но в этом случае каждый раз при подписании и шифровании в стороннем приложении вам потребуется вводить пароль.
Внимание! В случае если при использовании способов аутентификации Пароль
на устройстве и Устройство внешнее устройство будет отключено, компьютер будет автоматически заблокирован. Для продолжения работы необходимо вновь подключить это внешнее устройство. При необходимости параметры автоматической блокировки компьютера и IP-трафика могут быть изменены (см.
«
Особенности блокировки компьютера при использовании внешнего устройства для аутентификации пользователя
» на стр. 210).
4 Выбрав способ аутентификации, нажмите кнопку OK.
5 На вкладке Ключи в группе Аутентификация значения полей Способ
аутентификации и Тип носителя изменятся в соответствии с выбранным режимом.
Просмотр журнала событий
В журнале событий регистрируются действия пользователей и администратора по изменению настроек программы ViPNet Монитор:

Изменение правил фильтрации IP-пакетов.

Вход пользователя в программу и его выход.

Вход в режиме администратора.

Смена режимов безопасности.

Смена конфигурации и другие события.
Данная информация позволяет администратору контролировать соблюдение принятой политики безопасности.
Для просмотра журнала событий:
1 Выполните вход в программу в качестве администратора (см. «
Работа в программе с правами администратора
» на стр. 255).

ViPNet Client Монитор 3.2. Руководство пользователя
264
2 В окне программы ViPNet Монитор на панели навигации выберите раздел
Администратор.
3 В разделе Администратор нажмите кнопку Журнал событий.
Рисунок 122: Просмотр журнала событий
4 Для просмотра журнала событий в формате HTML или XLS в окне Журнал
событий щелкните любую строку правой кнопкой мыши и в контекстном меню выберите Просмотр в HTML-формате или Просмотр в XLS-формате (для просмотра журнала в формате XLS на компьютере должна быть установлена программа Microsoft Excel).
Информация о фиксируемых в журнале событиях представлена в таблице ниже:
Таблица6. Фиксируемые в журнале события
Столбец
Описание
Дата и время
Когда произошло событие.
Имя пользователя
Кто являлся инициатором события.
Событие
Расшифровка событий:

Вход в систему.

Выход из системы.

Режим администрирования — при входе в программу с паролем администратора.

Попытка входа в систему отвергнута (имя пользователя не установлено) — появляется в случае трехкратного неверного ввода пароля пользователя.

ViPNet Client Монитор 3.2. Руководство пользователя
265

Попытка входа Администратора в систему отвергнута (имя пользователя не установлено) — появляется в случае трехкратного неверного ввода пароля Администратора.

Технологический перезапуск — перезагрузка программы после принятия файлов обновления или после нажатия на кнопку блокировки
(при использовании кнопки в режиме блокировки Блокировать IP-
трафик или Блокировать компьютер и IP-трафик) на нижней панели основного окна программы.

Технологический перезапуск — перезагрузка программы после аварийного завершения.

Смена пользователя — вход в программу другого пользователя, зарегистрированного на данном сетевом узле.

Смена конфигурации — смена конфигурации программы в разделе
Конфигурации.

Изменение фильтра — любые действия по созданию, редактированию или удалению правил фильтрации трафика.

Смена режима безопасности.

Включение или выключение функции «Блокировать все протоколы кроме IP, ARP, RARP» — установка или снятие флажка Блокировать
все протоколы, кроме IP, ARP, RARP в окне Сервис > Настройка>
Общие.

Включение или выключение функции «Блокировать компьютер» — установка или снятие флажка Блокировать компьютер в окне
Настройка > Общие > Запуск и аварийное завершение.

ViPNet Client Монитор 3.2. Руководство пользователя
266
Справочники и ключи
Основы криптографии
267
Ключевая система ViPNet
274
Обновление справочников и ключей
280
10

ViPNet Client Монитор 3.2. Руководство пользователя
267
Основы криптографии
Криптография используется для решения трех основных задач:

обеспечение конфиденциальности данных;

контроль целостности данных;

обеспечение подлинности авторства данных.
Первая задача решается с помощью симметричных алгоритмов шифрования. Для решения второй и третьей задач требуется использование асимметричных алгоритмов и электронной подписи.
В данном разделе содержится упрощенное описание алгоритмов с симметричным ключом, с асимметричным ключом, электронной подписи, а также приводятся примеры использования этих алгоритмов в информационных системах (приведенные примеры не относятся к технологии ViPNet).
Симметричное шифрование
В симметричных алгоритмах для зашифрования и расшифрования применяется один и тот же криптографический ключ. Для того чтобы и отправитель, и получатель могли прочитать исходный текст (или другие данные, не обязательно текстовые), обе стороны должны знать ключ алгоритма.
На схеме ниже изображен процесс симметричного зашифрования и расшифрования.

ViPNet Client Монитор 3.2. Руководство пользователя
268
Рисунок 123: Зашифрование и расшифрование на симметричном ключе
Симметричные алгоритмы шифрования способны обрабатывать большое количество данных за короткое время благодаря использованию для зашифрования и расшифрования одного и того же ключа, а также благодаря простоте симметричных алгоритмов по сравнению с асимметричными. Поэтому симметричные алгоритмы часто используют для шифрования больших массивов данных.
Для шифрования данных с помощью симметричного алгоритма криптографическая система использует симметричный ключ. Длина ключа (обычно выражаемая в битах) зависит от алгоритма шифрования и программы, которая использует этот алгоритм.
С помощью симметричного ключа исходный (открытый) текст преобразуется в шифрованный (закрытый) текст. Затем шифрованный текст отправляется получателю.
Если получателю известен симметричный ключ, на котором зашифрован текст, получатель может преобразовать шифрованный текст в исходный вид.
Примечание. На практике симметричный ключ нужно передать получателю каким-либо надежным способом. Обычно создается симметричный ключ парной связи, который передается получателю лично. Затем для шифрования используются случайные (сессионные) симметричные ключи, которые зашифровываются на ключе парной связи и в таком виде предаются по различным каналам вместе с шифрованным текстом.
Наибольшую угрозу безопасности информации при симметричном шифровании представляет перехват симметричного ключа парной связи. Если он будет перехвачен, злоумышленники смогут расшифровать все данные, зашифрованные на этом ключе.

ViPNet Client Монитор 3.2. Руководство пользователя
269
Асимметричное шифрование
Асимметричные алгоритмы шифрования используют два математически связанных ключа: открытый ключ и закрытый ключ. Для зашифрования применяется открытый ключ, для расшифрования — закрытый ключ.
Открытый ключ распространяется свободно. Закрытым ключом владеет только пользователь, который создает пару асимметричных ключей. Закрытый ключ следует хранить в секрете, чтобы исключить возможность его перехвата.
Использование двух различных ключей для зашифрования и расшифрования, а также более сложный алгоритм делают процесс шифрования с помощью асимметричных ключей гораздо более медленным, чем шифрование с помощью симметричных ключей.
Открытый ключ может быть использован любыми лицами для отправки зашифрованных данных владельцу закрытого ключа. При этом парой ключей владеет только получатель зашифрованных данных. Таким образом, только получатель может расшифровать эти данные с помощью имеющегося у него закрытого ключа.
Рисунок 124: Зашифрование и расшифрование на асимметричном ключе

ViPNet Client Монитор 3.2. Руководство пользователя
270
Примечание. На практике асимметричные алгоритмы в чистом виде используются очень редко. Обычно данные зашифровываются с помощью симметричного алгоритма, а затем с помощью асимметричного алгоритма зашифровывается только симметричный ключ. Комбинированные (гибридные) криптографические алгоритмы рассматриваются ниже (см. «
Сочетание симметричного и асимметричного шифрования
» на стр. 270).
Сочетание симметричного и асимметричного
шифрования
В большинстве приложений симметричные и асимметричные алгоритмы применяются совместно, что позволяет использовать преимущества обоих алгоритмов.
В случае совместного использования симметричного и асимметричного алгоритмов:

Исходный текст преобразуется в шифрованный с помощью симметричного алгоритма шифрования. Преимущество этого алгоритма заключается в высокой скорости шифрования.

Для передачи получателю симметричный ключ, на котором был зашифрован текст, зашифровывается с помощью асимметричного алгоритма. Преимущество асимметричного алгоритма заключается в том, что только владелец закрытого ключа сможет расшифровать симметричный ключ.
На следующем рисунке изображен процесс шифрования с помощью комбинированного алгоритма.

ViPNet Client Монитор 3.2. Руководство пользователя
271
Рисунок 125: Шифрование с помощью комбинированного алгоритма
1 Отправитель запрашивает открытый ключ получателя из доверенного хранилища.
2 Отправитель создает симметричный ключ и зашифровывает с его помощью исходный текст.
3 Симметричный ключ зашифровывается на открытом ключе получателя, чтобы предотвратить перехват ключа во время передачи.
4 Зашифрованный симметричный ключ и шифрованный текст передаются получателю.
5 С помощью своего закрытого ключа получатель расшифровывает симметричный ключ.
6 С помощью симметричного ключа получатель расшифровывает шифрованный текст, в результате он получает исходный текст.

ViPNet Client Монитор 3.2. Руководство пользователя
272
Сочетание хэш-функции и асимметричного алгоритма
электронной подписи
Электронная подпись защищает данные следующим образом:

Для подписания данных используется хэш-функция, с помощью которой определяется хэш-сумма исходных данных. По хэш-сумме можно определить, имеют ли место какие-либо изменения в этих данных.

Полученная хэш-сумма подписывается электронной подписью, позволяя подтвердить личность подписавшего. Кроме того, электронная подпись не позволяет подписавшему лицу отказаться от авторства, так как только оно владеет закрытым ключом, использованным для подписания. Невозможность отказаться от авторства называется неотрекаемостью.
Большинство приложений, осуществляющих электронную подпись, используют сочетание хэш-функции и асимметричного алгоритма подписи. Хэш-функция позволяет проверить целостность исходного сообщения, а электронная подпись защищает полученную хэш-функцию от изменения и позволяет определить личность автора сообщения.
Приведенная ниже схема иллюстрирует применение хэш-функции и асимметричного алгоритма в электронной подписи.
Рисунок 126: Применение хэш-функции и асимметричного алгоритма в электронной
цифровой подписи

ViPNet Client Монитор 3.2. Руководство пользователя
273
1 Отправитель создает файл с исходным сообщением.
2 Программное обеспечение отправителя вычисляет хэш-сумму исходного сообщения.
3 Полученная хэш-сумма зашифровывается с помощью закрытого ключа отправителя.
4 Исходное сообщение и зашифрованная хэш-функция передаются получателю.
Примечание. При использовании электронной подписи исходное сообщение не зашифровывается. Само сообщение может быть изменено, но любые изменения сделают хэш-сумму, передаваемую вместе с сообщением, недействительной.
5 Получатель расшифровывает хэш-сумму сообщения с помощью открытого ключа отправителя. Открытый ключ может быть передан вместе с сообщением или получен из доверенного хранилища.
6 Получатель используют ту же хэш-функцию, что и отправитель, чтобы вычислить хэш-сумму полученного сообщения.
7 Вычисленная хэш-сумма сравнивается с хэш-суммой, полученной от отправителя.
Если эти хэш-суммы различаются между собой, то сообщение или хэш-сумма были изменены при передаче.

ViPNet Client Монитор 3.2. Руководство пользователя
274
Ключевая система ViPNet
В технологии ViPNet для шифрования применяется комбинация криптографических алгоритмов с симметричными и асимметричными ключами.
Таблица7. Применение криптографических алгоритмов в ПО ViPNet
Криптографические алгоритмы
С симметричными ключами
С асимметричными ключами

шифрование IP-трафика

шифрование сообщений программы «Деловая почта»

шифрование прикладных и служебных конвертов

создание и проверка электронной подписи

шифрование в сторонних приложениях с помощью криптопровайдера ViPNet
Симметричные ключи в ПО ViPNet
Симметричные алгоритмы используются для шифрования информации и контроля ее целостности. Для каждой пары сетевых узлов ViPNet в программе ViPNet Administrator или ViPNet Manager создается симметричный ключ обмена, предназначенный для шифрования обмена данными между этими сетевыми узлами. Таким образом, формируется матрица симметричных ключей, содержащая данные обо всех созданных для сетевых узлов симметричных ключах обмена. Эта матрица зашифрована, поэтому доступ к ней имеет только программа ViPNet Administrator или ViPNet Manager.
Симметричные ключи обмена следует передавать по защищенным каналам (для первоначальной инициализации ПО ViPNet дистрибутивы ключей передаются лично).
Если злоумышленники завладеют симметричными ключами, вся система защиты сетевого узла будет скомпрометирована.
Симметричные ключи обмена используются для шифрования IP-трафика, почтовых сообщений, прикладных и транспортных конвертов.