19 1 Програмний комплекс vipnet
Мал. 56. Структура комплесного засоби захисту корпоративної мережі
19.1. Програмний комплекс VIPNET
Призначення. технологія ViPNet призначена для створення цілісної системи довірчих відносин і безпечного функціонування технічних засобів і інформаційних ресурсів корпоративної мережі, яка взаємодіє із зовнішніми технічними засобами та інформаційними ресурсами.
Спосіб. створення в телекомунікаційній інфраструктурі корпоративної мережі інтегрованої віртуальної захищеної середовища. що включає наступні компоненти:
-Розподілену систему міжмережевих і персональних мережевих екранів, що захищає інформаційні ресурси і користувачів як від зовнішніх, так і внутрішніх мережевих атак.
-Розподілену систему мережевого і персонального шифрування трафіку будь-яких додатків і операційної системи, яка гарантує цілісність і конфіденційність інформації, як на зовнішніх, так і внутрішніх комунікаціях, і забезпечує розмежування доступу до технічних і інформаційних ресурсів.
-Систему електронного цифрового підпису та шифрування інформації на прикладному рівні, що забезпечує достовірність і юридичну значимість документів і скоєних дій.
-Систему прозорого для програмних додатків шифрування даних при збереженні вказаних даних в процесі роботи цих додатків на мережевих і локальних жорстких дисках, інших носіях, що забезпечує цілісність і недоступність інформації для несанкціонованого використання в процесі її зберігання.
-Систему контролю і управління зв'язками, правами і повноваженнями захищених об'єктів корпоративної мережі, що забезпечує автоматизоване управління політиками безпеки в корпоративній мережі.
- Створення всередині розподіленої корпоративної мережі інформаційно-незалежних віртуальних захищених контурів, що включають як окремі комп'ютери, так і сегменти мереж, для забезпечення функціонування в єдиній телекомунікаційної середовищі різних по конфіденційності або призначенням інформаційних завдань.
-Захист локальних мереж в цілому, їх сегментів чи окремих комп'ютерів та іншого обладнання від несанкціонованого доступу і різних атак, як із зовнішніх, так і з внутрішніх мереж.
-Підтримка захищеної роботи мобільних і віддалених користувачів корпоративної мережі.
-Організацію безпечного для локальних мереж підключення окремих робочих станцій цих мереж до відкритих ресурсів мережі Інтернет і виключення ризику атаки з Інтернет на всю локальну мережу через підключення до відкритих ресурсів комп'ютери локальної мережі.
-Захист (конфіденційність, автентичність і цілісність) будь-якого виду трафіку, що передається між будь-якими компонентами мережі: робочими станціями (мобільна, віддалена, локальна), серверами, мережевими пристроями і вузлами. При цьому стає недоступною для перехоплення з мережі, в тому числі для учасників VPN, і будь-яка парольний інформація різних додатків, баз даних, поштових серверів і ін. Що істотно підвищує безпеку цих прикладних систем.
-Захист керуючого трафіку для систем і засобів віддаленого управління об'єктами мережі: маршрутизаторами, міжмережевими екранами, серверами та ін. А також самих засобів віддаленого управління від можливих атак з глобальної або корпоративної мережі.
-Контроль доступу до будь-якого вузла (робоча станція, сервер, маршрутизатор і т.д.) і сегменту мережі (локальна мережа, сегмент локальної мережі, група сегментів мережі і т.д.), включаючи фільтрацію трафіку для кожного вузла окремо за допомогою набору стандартних і індивідуальних налаштувань.
-Захист від несанкціонованого доступу інформаційних ресурсів корпоративної мережі, що зберігаються на робочих станціях (мобільних, віддалених і локальних), серверах (WWW, FTP, SMTP, SQL, файл-серверах і т.д.) і інших сховищах загальний доступ.
-Організація безпечної роботи учасників VPN зі спільним інформаційним груповим і / або корпоративним інформаційним ресурсом.
-Аутентифікація користувачів і мережевих об'єктів VPN як на основі використання системи симетричних ключів, так і на основі використання інфраструктури відкритих ключів (PKI) і сертифікатів стандарту X.509.
-Оперативне управління розподіленої VPN-мережею (включаючи систему розподілених мережевих екранів) і політикою інформаційної безпеки на мережі з одного центру з можливістю делегування частини повноважень локальним адміністраторам.
-Виключення можливості використання декларованих можливостей операційних систем і додатків для здійснення інформаційних атак, крадіжки секретних ключів і мережевих паролів.
Склад програмного комплексу:
-ViPNet-драйвер, який взаємодіє безпосередньо з драйвером мережевого інтерфейсу і дозволяє забезпечити незалежність програми від операційної системи і її додатків. Драйвер контролює весь IP-трафік, що надходить і виходить з комп'ютера, і виконує його фільтрацію за численними параметрами і при необхідності - шифрування і інкапсуляцію.
-Криптографічне ядро "Домен-К", що забезпечує шифрування всього IP-трафіку між комп'ютерами за алгоритмом, рекомендованого ГОСТ 28147-89, а також, при необхідності, за іншими алгоритмами (DES, 3DES, RC6). Одночасно проводиться інкапсуляція всіх типів IP-пакетів в єдиний тип UDP-формату, що повністю приховує структуру інформаційного обміну.
ViPNet [Адміністратор] - створює логічну інфраструктуру віртуальної мережі, визначає політики безпеки в ній, здійснює моніторинг і управління об'єктами мережі. Формує симетричну ключову інформацію і первинну парольний інформацію для об'єктів мережі, випускає сертифікати відкритих ключів для об'єктів мережі. Включає в себе програми:
-Центр Управління Мережею (ЦУС) - є реєстраційним центром і призначений для конфігурації і управління віртуальною мережею, вирішує такі основні завдання.
-Задає вузли мережі, групи користувачів і користувачів в них.
-Визначає типові політики безпеки і розподіл допустимих повноважень користувачів і локальних адміністраторів на конкретних вузлах зі зміни політик безпеки для цих вузлів.
-Визначає можливість доступу конкретних комп'ютерів локальної мережі до відкритих ресурсів Інтернет і інших зовнішніх мереж. При цьому спеціальна технологія забезпечує під час доступу в зовнішню мережу блокування будь-якого трафіку цих комп'ютерів з усіма ресурсами локальної мережі та об'єктами віртуальної мережі.
-Відповідно до заданими зв'язками і політиками безпеки формує відповідні довідники доступу для вузлів і довідники допустимих зв'язків для Ключового центру.
-Забезпечує автоматичну захищену доставку і контроль доставки на розгорнуті вузли змінених довідників доступу, ключової інформації з КЦ (симетричні ключі, сертифікати користувачів, списки сертифікатів, виведених з дії, сертифікати ключових центрів інших мереж ViPNet і ін.).
-Забезпечує обмін з ЦУСамі інших віртуальних ViPNet-мереж списками об'єктів своїх мереж, які повинні взаємодіяти між собою. Виробляє взаємне узгодження з цими ЦУСамі допустимих міжмережевих зв'язків між об'єктами мереж. Забезпечує обмін кореневими сертифікатами цих мереж, списками сертифікатів, виведених з дії.
-Здійснює автоматичне оновлення програмного забезпечення ViPNet на об'єктах мережі в віддаленому режимі.
-формування та автоматичне оновлення через ЦУС симетричною ключової інформації і первинної пральний інформації для об'єктів і користувачів мережі;
-виконання функцій, що засвідчує, сертифікатів цифрових підписів.
ViPNet [Координатор] - виконує маршрутизацію поштових і керуючих захищених повідомлень при взаємодії об'єктів мережі між собою і ViPNet [Адміністратором].
-здійснює тунелювання пакетів від обслуговується ViPNet [Координатором] групи незахищених комп'ютерів локальної мережі для передачі трафіку від них до інших об'єктів VPN в зашифрованому вигляді по відкритих каналах Інтернет / Інтранет;
-фільтрує трафік від джерел, що не входять до складу VPN, відповідно до заданої політикою безпеки (функція брандмауера);
-забезпечує можливість роботи захищених за технологією ViPNet комп'ютерів локальної мережі через мережеві екрани і проксі-сервера інших виробників.
-Поштовий сервер - забезпечує маршрутизацію поштових конвертів, а також керуючих повідомлень ЦУСа при взаємодії об'єктів мережі між собою.
-дозволяє організувати захист трафіку між локальними мережами, і використовується тоді, коли немає необхідності розмежування доступу усередині кожної з локальних мереж, що входять у віртуальну мережу. Дозволяє також зашифрувати трафік між групою незахищених комп'ютерів однієї локальної мережі і групою незахищених комп'ютерів іншої локальної мережі, в тому випадку, коли не потрібно захищати трафік від всіх комп'ютерів локальної мережі для передачі його по відкритої глобальної мережі;
-забезпечує туннелирование всього IP-трафіку між захищеними мережами в захищене з'єднання між ViPNet [Координаторами] по UDP-протоколу;
-дозволяє забезпечити захищене управління маршрутизаторами мережі (Cisco і ін.) за рахунок використання технології зворотного тунелю.
-Брандмауер - забезпечує фільтрацію IP-трафіку від всіх джерел поза VPN і джерел, трафік від яких туннелируют, відповідно до заданої політикою захисту; при наявності декількох мережевих інтерфейсів дозволяє по кожному з них визначити власний набір правил фільтрації, що дозволяє використовувати ViPNet [Координатор] як мультиінтерфейсний мережевий екран для поділу локальної мережі на кілька сегментів з різними режимами безпеки.
- Сервер "відкритий Інтернет" - в цьому режимі ViPNet [Координатор] встановлюється в точці приєднання локальної мережі до Інтернет і забезпечує фільтрацію і туннелирование (шифрування) відкритого трафіку при доставці його до комп'ютера локальної мережі з встановленої на ньому компонентою ViPNet [Клієнт]. В результаті, потенційно "небезпечний" відкритий трафік, так само як і що працює з ним комп'ютер, будуть "ізольовані" від інших комп'ютерів локальної мережі.
Функціональність ViPNet [Координатора] визначається Центром управління мережею і які формувались їм довідниками і маршрутними таблицями.
У віртуальній мережі може бути встановлено безліч ViPNet [Координаторів], взаємодіючих між собою. При цьому може бути організовано їх взаємне резервування для підвищення надійності розгорнутої VPN-мережі.
ViPNet [Клієнт] - забезпечує захист інформації при її передачі в мережу, а також захист від доступу до ресурсів комп'ютера і атак на нього з локальних і глобальних мереж.
При цьому ViPNet [Клієнт] може бути встановлений як на робочу станцію (мобільний, віддалену, локальну), так і на всілякі типи серверів (баз даних, файл-серверів, WWW, FTP, SMTP, SQL та ін.) З метою забезпечення безпечних режимів їх використання.
-Персональний міжмережевий екран - дозволяє захистити комп'ютер від спроб несанкціонованого доступу як з глобальною, так і з локальної мережі:
-керувати доступом до даних комп'ютера з локальної або глобальної мережі;
-забезпечувати режим встановлення з'єднань з іншими відкритими вузлами локальної або глобальної мережі тільки з ініціативи користувача, при цьому комп'ютер користувача залишається "невидимим" для відкритих вузлів локальної і глобальної мереж (технологія Stealth), що виключає можливість запуску з ініціативи ззовні всіляких програм "шпигунів";
-формувати "чорні" і "білі" списки вузлів відкритої мережі, з'єднання з якими відповідно "заборонено" або "дозволено";
-здійснювати фільтрацію трафіку за типами сервісів і протоколів для пов'язаних з цим вузлом інших захищених вузлів;
-контролювати активність мережевих додатків на даному комп'ютері, де встановлений ViPNet [Клієнт], що дозволяє вчасно виявити і заблокувати активність несанкціоновано встановлених і запущених програм "шпигунів", які можуть передавати зловмисникам відомості про інформацію, що обробляється на комп'ютері (паролі доступу, дані про кредитні картах, ідентифікатори для доступу в корпоративні бази даних і ін.).
Підсистема встановлення захищених з'єднань між комп'ютерами, оснащеними ViPNet [Клієнтом] дозволяє:
-блокувати шифровані пакети при порушенні їх цілісності, перевищенні допустимої різниці між часом відправлення та поточним часом (захист від переповторов) або при неможливості аутентифицировать пакет;
-організувати схему захищеного використання всіляких Web-додатків, в тому числі Web-trading, Web-ordering, Web-хостингу, Web-мовлення і т.д. з доступом до Web-платформі, на якій встановлений ViPNet [Клієнт], тільки певним списком учасників VPN;
- використовувати недорогі і загальнодоступні мережеві ресурси відкритої мережі для передачі конфіденційної інформації.
-передавати електронні повідомлення через відкриті канали зв'язку із захистом на всьому маршруті проходження від відправника до одержувача, при цьому в якості відкритого каналу можуть бути використані стандартні сервера SMTP / POP3;
-одночасно з самим повідомленням захистити прикріплені до нього файли;
-організувати за встановленими правилами захищений автопроцессінг стандартних документів, "народжуваних" іншими додатками і системами управління бізнесом (бухгалтерськими, банківськими, управлінськими та ін.);
-здійснювати пошук документа в поштовій базі документів за багатьма параметрами (відправник, отримувач, тема, дата, період, контекст і т.п.);
-підтверджувати особу відправника, використовуючи електронний підпис, вбудовану в загальну систему безпеки;
-передати повідомлення тільки тим одержувачам, для яких воно призначалося, а також при необхідності автоматично відправити копії повідомлень на задані в ЦУСе вузли;
-підтвердити отримання та використання повідомлень, а також дату, час отримання і особистості одержувачів;
-вести облікову нумерацію повідомлень.
Технічні характеристики комплексу:
- Кількість об'єктів, яке може бути зареєстровано в одній мережі, практично не обмежена (до 65000 координаторів, до 65000 абонентських вузлів на одному координатора).
-Продуктивність роботи Драйвера захисту трафіку в залежності від операційної системи і потужності комп'ютера - від 6 до 32 Мбіт / сек.
-Для розвантаження процесорів серверів мережі і збільшення пропускної спроможності до 60-96 Мбіт / сек у них може бути встановлена PCI-плата ViPNet-Turbo 100.
19.2. Комплексні рішення компанії "Сигнал-Ком"
Продукція компанії "Сигнал-КОМ" включає широкий спектр програмно-апаратних та інструментальних засобів для розробки захищених інформаційних систем і створення VPN (Virtual Private Network):
-сертифіковані реалізації алгоритму ЕЦП, відповідні Федеральним законом "Про електронний цифровий підпис";
-криптографічні бібліотеки, що підтримують українські та міжнародні криптографічні стандарти;
-Засвідчує Центр для адміністрування тимчасових і ієрархічних систем з відкритим розподілом криптографічних ключів на базі цифрових сертифікатів X.509;
-програмні комплекси для організації захищених систем електронного документообігу на базі Web-додатків і електронної пошти;
-міжмережеві екрани з функціями криптографічного захисту трафіку на базі протоколів SOCKS, SSL / TLS, IPSec.
Основним компонентом всіх комплексних (спеціалізованих) рішень фірми є бібліотека криптографічних перетворень "Кріпто-КОМ 3.0". Вона не поставляється у вигляді кінцевого самостійного продукту, а використовується в якості сертифікованого кріптоядра, вбудованого в високорівневі криптографічні бібліотеки ( "Message-PRO", "SSL-PRO", "PKI-PRO") і прикладні програмні засоби захисту інформації ( "Inter- PRO "," Mail-PRO "," Notary-PRO "," Office-PRO "та ін.).
Крипто-КОМ 3.0 - засіб криптографічного захисту інформації
Засіб криптографічного захисту інформації (СКЗИ) "Кріпто-КОМ 3.0" призначено для забезпечення гарантованого захисту інформації при її зберіганні, обробці та передачі по відкритих каналах зв'язку.
ЗКЗІ "Кріпто-КОМ 3.0" має сертифікати ФАПСИ СФ / 124-0476 і СФ / 124-0477 від 10.06.01, які засвідчують, що ЗКЗІ відповідає вимогам українських державних стандартів в галузі криптографічного захисту інформації ГОСТ 28147-89, ГОСТ Р 34.10-94 , ГОСТ Р 34.11-94, вимогам ФАПСИ до стійкості ЗКЗІ і може використовуватися для забезпечення безпеки інформації рівня КС1 і КС2, що не містить відомостей, що становлять державної таємниці.
До складу СКЗИ "Кріпто-КОМ 3.0" входить:
-Програмно-апаратний комплекс (ПАК) Кріптоменеджер - виконує функції центру управління ключовою системою (ЦУКС) в складі ЗКЗІ; забезпечує формування, реєстрацію, оновлення, облік і зберігання ключових документів користувачів; для формування ключової інформації використовує надійний апаратний датчик випадкових чисел (ДСЧ) зі складу пристрою криптографічного захисту даних (УКЗД) "КРІПТОН-4К / 16" фірми "АНКАД" або його більш пізніх модифікацій, сертифікованих ФАПСИ.