Обзор VPN-продуктов по техническим характеристикам
Все государственные учреждения и организации, которые осуществля-ющие работу с конфиденциальной информацией должны использоваться только VPN-продукты российского производства, использующие стандарт защиты информации – ГОСТ 28147-89 с сертификацией Гостехкомиссии при Президенте РФ на соответствие по одному из классов защищенности от несанкционированного доступа к информации по руководящему документу «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».
Здесь представлены обзор основных отечественных и зарубежных VPN-продуктов.
Отечественные VPN-продукты
Здесь представлены обзор основных отечественных VPN-продуктов:
· Аппаратно-программный комплекс «Континент-К»
· Программный комплекс VipNet
· Комплекс «Тропа-Джет»
· Комплекс программных продуктов VPN «Застава»
Аппаратно-программный комплекс «Континент-К»
Аппаратно-программный комплекс «Континент-К» (рис. 1.1) пред-
назначен для построения виртуальных частных сетей общего пользования, которые используют протоколысетевой модели передачи данных TCP/IPи обеспечивающие следующие принципы:
· защиту информационных систем от атак со стороны сетей
общего пользования;
· эффективную защиту конфиденциальной информации, пере-
Рис. 1.1. Основные функциональные блоки комплекса «Континент-К».
|
|
|
даваемой по сетям общего пользования;
· полную «прозрачность» для конечных пользователей;
· безопасный доступ к ресурсам сетей общего пользования.
Для составных частей VPNмогут использоваться:
· локальные вычислительные сети организации (ЛВС);
· сегменты использования ЛВС;
· отдельные компьютеры (для руководителей и сотрудников).
Аппаратно-программный комплекс «Континент-К» включает следу-
ющие компоненты:
1. Центр управления сетью (ЦУС).
Центр управления сетью (ЦУС) – управление сетью криптошлюзов
в режиме реального времени при помощи специального ПО.
Функции центра управления сетью:
· мониторинг сети криптошлюзов. ЦУС получает информацию
от криптошлюзов о попытках несанкционированного доступа и системных событиях (установка связи, изменение конфигурации и т.д.);
· создание резервной копии конфигурации для реализациихолод-
ной мены ЦУС;
· удаленные настройка криптошлюзов по защищенному каналу,
создал и изменение в графическом режиме правил фильтрации в пакетном фильтре;
· рассылка ключевой информации с ЦУС на удаленные крип-
тошлюзы
· возможность удаленной перезагрузки подключенного крип-
тошлюзов администратором;
|
|
|
· хранение системных журналов и журналов несанкционирован-
ного доступа (НСД). Они могут быть импортированы программой управления на АРМ администратора в виде базы данных MS Access.
2. Криптошлюз.
Криптошлюз — специальное устройство, совмещающее в себе
шифратор трафика, статический маршрутизатор и межсетевой экран. КШ функционирует под управлением защищенной версии ОС FreeBSD и программного обеспечения разработки ЗАО НИП «ИНФОРМЗАЩИТА». Криптошлюз обеспечивает преобразование проходящего трафика в соответствии с ГОСТ 28147- 89 (с длиной ключа шифрования 256 бит). Реализована возможность сжатия шифруемого пакета.
Каждый IP-пакет шифруется на индивидуальном ключе, что
обеспечивает высокий уровень защищенности трафика.
Криптошлюз обладает функциями межсетевого экрана. Гибкая
система пакетной фильтрации позволяет разграничивать доступ по различ-ным параметрам:
· интерфейсам;
· IP-адресам;
· портам TCP/UDP;
· времени работы правила фильтрации;
· флагам заголовка пакета.
Криптошлюз является многоинтерфейсным устройством, позво-
ляющимна уровне сетевых карт разделять до 15 внутренних подсетей. Для защиты от несанкционированного доступа к системным данным криптош-люза используется электронный замок «Соболь».
|
|
|
3. Программа управления сетью.
Для доступа к ЦУС используется специальная программа управ-
ления (ПУ), которая устанавливается на один из компьютеров в защищаемой сети. Администратор получает доступ к ЦУС только при вводе ключевой информации, которая создается при инициализации ЦУС и является уни-кальной. Программа управления устанавливает связь с центром управления системой по защищенному каналу, что повышает общий уровень безопас-ности системы.
Программа управления позволяет работать с ЦУС в режиме реаль-
ного времени. Администратор отслеживает общее состояние сети, зафикси-рованные попытки НСД, системные события, осуществляет настройку и кон-фигурирование сети.
По желанию администратора осуществляет импорт базы данных
с ЦУС на любой выбранный компьютер в виде MS Access.
Программа управления предъявляет невысокие системные требова-ния к компьютеру, на котором установлена, и предоставляет пользователю удобный графический интерфейс.
4. Абонентский пункт.
Для доступа в сеть, защищаемую АПК «Континент-К», внешних
пользователей используется специальное клиентское ПО — абонентский пункт (АП). Оно устанавливается на компьютер пользователя, в качестве которого может выступать ноутбук, удаленный сервер, обычный компьютер. Абонентский пункт подключается к серверу доступа и позволяет осуществить:
|
|
|
· поддержку динамического распределения IP-адресов —
возможность удаленного доступа мобильных пользователей;
· удаленный доступ к ресурсам защищаемой сети по шифрован-
ному каналу;
· доступ как по выделенным, так и по коммутируемым каналам
связи;
· связь с сетью, защищаемой АПК «Континент-К», через сервер
доступа практически без снижения производительности соединения;
· идентификацию и аутентификацию пользователя; работу под
управлением ОС Windows 9S/NT/2000 с невысокими системными требова-ниями.
АП может функционировать в одном из трех режимов: режим
ожидания команды пользователи, инициализация соединения с севером доступа и криптошлюзом «Континент-К» активный режим функциониро-вания.
5. Программа управления сервером доступа
Для управления сервером доступа используется специальная
программа управления (ПУ СД), которая, как правило, устанавливается на один из компьютеров в защищаемой сети. Администратор получает доступ к СД только при вводе ключевой информации, которая создается при инициа-лизации СД и является уникальной. Программа управления устанавливает связь с сервером доступа по защищенному каналу, что повышает общий уро-вень безопасности системы. Администратор отслеживает поддерживаемые сервером доступа соединения, добавляет и удаляет пользователей, выдает им сертификаты.
6. Сервер доступа.
Для подключения удаленных абонентов к сети, защищаемой АПК
«Континент-К». используется специальное программное обеспечение — сервер доступа (СД). Сервер доступа устанавливается на криптошлюз «Континент-К». защищающий сегмент сети, к которому требуется организовать удаленный доступ. После запроса на соединение сервер доступа проводит идентификацию и аутентификацию удаленного пользователя, определяет его уровень доступа, устанавливаемый администратором «Континент-К». На основании этой информации осуществляется подключение абонента к ресурсам сети. СД позволяет осуществить практически неограниченное количество одновременных сеансов связи с удаленными пользователями. Управление сервером доступа осуществляется при помощи программы управления сервером доступа.
Программный комплекс ViPNet
Программный комплекс ViPNetсостоит из пакета программ, кото-
рый является универсальным программным средством для создания виртуальных защищённых сетей VPNлюбой конфигурации, объединённых с системой распределённых межсетевых и персональных экранов.
Технология ViPNet гарантирует:
· быстрое развёртывание корпоративных защищённых решений
на базе имеющихся у корпорации локальных сетей, доступных ресурсов глобальных и ведомственных телекоммуникационных сетей, телефонных и выделенных каналов связи, средств спутниковой, мобильной радиосвязи и др.
· создание внутри распределённой кооперативной сети информа-
ционно-независимых виртуальных защищённых контуров, включающих как отдельные компьютеры, так и сегменты сетей, для обеспечения функционирования в единой телекоммуникационной среде различных по конфиденциальности или по указанию информационных задач;
· защиту как локальных сетей в целом, их сегментов, так и отдель-
ных компьютеров и другого оборудования от несанкционированного доступа, и различных атак как из внешних, так и из внутренних сетей;
· защиту (конфиденциальность, подлинность и целостность) лю-
бого вида трафика, передаваемого между любыми компонентами сети, будь то рабочая станция (мобильная, удаленная, локальная), информационные серверы доступа, сетевые устройства и узлы;
· защиту управляющего трафика для систем и средств удаленного
управления объектами сети: маршрутизаторами, межсетевыми экранами, серверами и пр., а также самих средств удаленного управления от возможных атак из глобальной или корпоративной сети;
· поддержку защищённой работы мобильных и удалённых пользо-
вателей корпоративной сети. Организацию контролируемого и безопасного для корпоративной сети подключения внешних пользователей для защищенного обмена информацией с ресурсами компьютеры локальной сети;
· защиту от НСД к информационным ресурсам корпоративной
сети, хранимым на рабочих станциях (мобильных, удаленных и локальных),
серверах (WWW, FTP, SMTP, SQL, файл-серверах и т.д.) и других храм щах группового доступа;
· исключение возможности использования недекларированных
возможностей операционных систем и приложений для совершения информационных атак, кражи секретных ключей и сетевых паролей;
· оперативное управление распределенной VPN-сетью (включая
систему распределенных сетевых экранов) и политикой информационной безопасности на сети из одного центра с возможностью делегирования части полномочий локальным администраторам;
· контроль доступа к любому узлу (рабочая станция, сервер,
маршрутизатор и т.д.) и сегменту сети (локальная сеть, сегмент локальной сети, группа сегментов сети и т.д.), включая фильтрацию трафика правила, которой могут быть определены для каждого узла отдельно как с помощью набора стандартных настроек, так и с помощью индивидуальной настройки;
· организацию безопасной работы участников VPN с совмест-
ныминфекционным групповым и/или корпоративным информационным ресурсом;
· аутентификацию пользователей и сетевых объектов VPN как на
основе использования системы симметричных ключей, так и на основе использования инфраструктуры открытых ключей (PKI) и сертификатов стандарта Х.509;
· организацию безопасного для локальных сетей подключения от-
дельных рабочих станций этих сетей к открытым ресурсам Интернета и исключение риска атаки из Интернета на всю локальную сеть через подключённые к открытым ресурсам компьютеры локальной сети.
Программный комплекс «ViPNet» включает в себя следующие компоненты (рис.1.2).
Рис. 1.2. Состав программного комплекса ViPNet.
1. ViPNet – Администратор (Manager)
Создаёт логическую инфраструктуру виртуальной сети, определяет
опасности в ней, осуществляет мониторинг и управление объектами сети. Он также формирует симметричную ключевую информацию и первичную паро-льную информацию для объектов сети, выпускает сертификаты открытых ключей для объектов сети.
2. ViPNet – Клиент
· выполняет маршрутизацию почтовых и управляющих защищен-
ных сообщений при взаимодействии объектов сети между собой и ViPNet Администратором;
· в реальном времени осуществляет регистрацию и предоставле-
ние информации о состоянии объектов сети, их местоположении, значении их IP-адресов и др;
· обеспечивает работу защищенных компьютеров локальной сети
в VPN от имени одного адреса (функция proxy);
· осуществляет туннелирование пакетов от обслуживаемой
ViPNet–Координатором группы незащищенных компьютеров локальной сети для передачи трафика от них к другим объектам VPN в зашифрованном виде по открытым каналам Интернет/Интранет;
· фильтрует трафик от источников, не входящих в состав VPN, в
соответствии с заданной политикой безопасности (функция межсетевого эк-
рана);
· обеспечивает возможность работы защищенных по технологии
ViPNet компьютеров локальной сети через сетевые экраны и прокси-сервере других производителей.
3. ViPNet – Координатор
Обеспечивает защиту информации при ее передаче в сеть, а также
защиту от доступа к ресурсам компьютера и атак на него из локальных и глобальных сетей. При этом ViPNet-Клиент может быть установлен как на рабочую станцию (мобильную, удаленную, локальную), так и на всевозмож-ные типы серверов (баз данных, файл-серверов, WWW, FTP, SMTP, SQL н пр.) с целью обеспечения безопасных режимов их использования.
Для среднего бизнеса компания «Инфотекс» предлагает три универ-
сальныхрешения — ViPNet OFFICE, ViPNet TUNNEL и ViPNet OFFICE FIREWALL.
Продукт ViPNet OFFICE предназначен для создания виртуальных частных сетей фиксированной конфигурации и защиты компьютерной информации. В состав программного обеспечения входит ViPNet-Коорди-натор и ViPNet-Клиент, количество которых может варьироваться в зависимости от выбранной модификации.
Продукт ViPNet TUNNEL предназначен для объединения локальных
сетей или офисов в защищенную виртуальную сеть. Этот продукт использует-
ся, если необходимо защитить трафик между офисами и нет необходимости
разграничения доступа внутри каждой из локальных сетей, входящих вVPN.
В составе пакета программ ViPNet TUNNEL поставляется две лицензии на ViPNet — Координатор и 20 туннельных лицензий для компьютеров защищаемых локальных сетей.
ViPNet OFFICE FIREWALL является универсальным программным
средством, обеспечивающим надежную защиту сервера и локальной сетиот
несанкционированного доступа к различным информационным и аппаратным ресурсам по IP-протоколу при работе с локальными или глобальными сетями, например Интернет. В состав программного обеспечения входит: низкоуровневый драйвер сетевой защиты ViPNet, взаимодействующий непосредственно с драйвером сетевого интерфейса и контролирующий весь IP-трафик сервера, и программа-монитор, осуществляющая загрузку необходимых параметров драйверу и фиксирующая все необходимые события. Можно выгрузить эту программу, но драйвер по-прежнемубудет обеспечивать безопасность локальной сети, не будет только вестисьжурнал трафика.
Комплекс «Тропа-Джет»
Комплекс «Тропа-Джет» компании «Инфосистемы-Джет» позволяет
строить виртуальные защищённые сети и реализировать безопасный инфор-мационный обмен между локальными сетями удалённых офисов и между локальной сетью компании и мобильными клиентами.
Комплекс «Тропа-Джет» позволяет создавать виртуальную защи-щенную с помощью фильтрации, кодирования и маршрутизации информа-ционных между географически удаленными локальными сетями. Для обеспе-чения надежного и непрерывного функционирования «Тропа-Джет» решает задачи генерации, регистрации, хранения, распределения и сопровождения ключей кодирования, а также может осуществлять мониторинги управление межсетевыми потоками.
Компоненты комплекса «Тропа-Джет» перечислены ниже на рисун-ке 1.3.
Рис. 1.3. Состав программного комплекса ViPNet.
1. Центр генерации и сертификации ключей
Центр генерации и сертификации ключей служит для генерации пар «Секретный ключ — открытый ключ», а также является репозитарием всех известных системе ключей. Он устанавливается на компьютер, не имеющий сетевых соединений. Центр генерации и сертификации ключей предназначен для изготовления секретных и открытых ключей, подготовки ключевых дне. кет, хранения эталонных копий ключей, а также подписи сертификатов ключом администратора.
2. Центр распределения ключей
В задачи Центра распределения ключей входит раздача ключей и управление контуром безопасности, а также выполнение следующих функ-ций:
· получение со сменного носителя открытых ключей шлюзов;
· выдача любому шлюзу сертификатов открытых ключей любых
других шлюзов и информации о соответствующих сегментах сети;
· рассылка шлюзам сообщений об изменениях структуры закры-
той сети;
· хранение информации о структуре сети.
Центр реализован в виде программного комплекса, выполняющего функции хранения и выдачи открытых ключей кодирования по сетевому запросу 1 от шлюзов кодирования. Центр распределения ключей может быть у станов- 1 лен либо на отдельном (выделенном) компьютере, либо совместно с одним из шлюзов кодирования.
3. Шлюз кодирования (кодирующий модуль)
Шлюз является основным модулем комплекса, обеспечивающим маршрутизацию, фильтрацию и кодирование пакетов. Каждый шлюз пред-назначен для защиты определенной группы локальных сетей. На компью-тере-шлюзе устанавливается ядерный модуль с функциями кодирования и декодирования и запускается программа аутентификации. Шлюз выполняет следующие функции:
· фильтрация трафика (деление на кодируемый и некодируемый
потоки);
· кодирование трафика (кодируемый поток);
· аутентификация с другими шлюзами;
· выработка и выполнение процедуры смены сеансовых ключей;
· регистрация событий в центре мониторинга;
· обеспечение собственной защиты.
4. Точка регистрации мобильных клиентов и мобильный клиент
Доступ к защищаемым корпоративным данным для мобильных абонентов, не подключенных к защищаемым локальным сетям, обеспечивается с помощью таких средств комплекса «Тропа-Джет», как точка регистрации мобильных клиентов и программное обеспечение мобильного клиента.
5. Центр мониторинга
Центр мониторинга представляет собой сетевое автоматизирован-ное рабочее место (АРМ) с установленным на нем набором программ, осу-ществивших сбор и анализ протоколов, поступающих от всех модулей комп-лекса.
6. Программа контроля целостности
Комплекс «Тропа-Джет» включает в себя средства формирования и пробки контрольных сумм файлов. Эти средства оформлены в виде програм-мы контроля целостности, предназначенной для выявления изменений, до-бавлений и удалений файлов и уведомления системного администратора об этих событиях.
7. Автоматизированное рабочее место администратора
Настройка и администрирование компонентов комплекса «Тропа-Джет» осуществляется централизованно с автоматизированного рабочего места (АРМ) администратора безопасности с помощью графического интер-фейса дли командной строки. Удаленное управление осуществляется поза-щищенному каналу. АРМ обеспечивает аутентификацию администраторов и разграничение доступа к функциям администрирования.
Дата добавления: 2018-04-15; просмотров: 562; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!