 |
Администраторы локальных сетей все чаще сталкиваются с проблемами защиты информации. Особенно важно это становится в сетях, в которых приходится работать с информацией, требующей дополнительной защиты. Это сети государственных учреждений, предприятий, связанных с выпуском определенной продукции, иных организаций, которым раскрытие внутренней информации может принести серьезный экономический ущерб. Тем более важное значение приобретает проблема в тех случаях, когда локальные сети должны быть доступны из Глобальной сети, когда к ним должны подключаться мобильные пользователи или сотрудники удаленных подразделений либо когда пользователи локальной сети должны иметь доступ к Глобальной сети.
Одним из решений этой проблемы является создание виртуальных частных сетей (Virtual Private Network — VPN).
Для их создания используется специальное программное обеспечение, одно из которых предлагает компания «Инфотекс». Их решение называется ViPNet (точнее, два решения — ViPNet Office и ViPNet Custom). Они отличаются тем, что второе решение позволяет создавать произвольные сети неограниченного масштаба. Определимся с различиями, а потом рассмотрим принцип создания VPN. В качестве базовой программы в решении ViPNet Custom используется программа «Администратор», во втором решении — «Менеджер». ViPNet Manager — это облегченная версия программного обеспечения ViPNet «Администратор», позволяющая простым образом, на интуитивном уровне, задавать и изменять структуру защищенной сети ViPNet.
Офисное решение проще и не имеет встроенного решения для использования ЭЦПВ первом решении имеется возможность работы с ЭЦП. При этом в качестве удостоверяющего центра выступает программа «Администратор», а в качестве регистрационного центра — «Центр регистрации». Соответственно, во втором варианте отсутствуют все возможности, связанные с использованием дополнительных криптографических модулей, компрометацией ключей и так далее. В качестве криптографического ядра в программном обеспечении решений ViPNet используется СКЗИ "Домен-К". Криптографическое ядро реализует следующие криптоалгоритмы: AES (256 бит), ГОСТ (256 бит), 3DES (168 бит) и DES (56 бит). Алгоритмом по умолчанию является ГОСТ (256 бит), остальные алгоритмы могут быть свободно выбраны самим пользователем. Длина ключа для асимметричной ключевой системы (открытый и секретный ключи) равна 1024 бит (ГОСТ Р 34.10-2001).
 |
Программное обеспечение ViPNet Office устанавливается поверх существующей физической сети и не ухудшает ее показателей. Система защищает сеть от атак как извне, так и изнутри локальной сети. Ядром программного обеспечения ViPNet является так называемый ViPNet-драйвер, главными функциями которого являются фильтрация и шифрование/дешифрирование исходящих/входящих IP-пакетов. ViPNet-драйвер является сетевым драйвером и работает над вторым уровнем модели OSI, что позволяет вести обработку пакетов (дешифрирование, контроль целостности, фильтрацию и блокирование) до того, как они будут переданы на транспортный уровень. Модули ViPNet обрабатывают весь TCP/IP-трафик, осуществляя его шифрование и дешифрирование, контроль целостности и фильтрацию согласно установленной политике безопасности. В результате соединение любого компьютера с модулем ViPNet (находящегося как во внешней сети, так и во внутреннем защищенном сегменте) с другим ViPNet-компьютером является шифрованным соединением (туннелем) и поэтому изолированным от внешних сетевых соединений.
Дополнительно ViPNet-модуль обеспечивает расширенный набор средств безопасности, включая, но не ограничиваясь, фильтрацию нешифрованного и только что расшифрованного трафика согласно установленной политике безопасности. Технология ViPNet совместима с любыми технологиями доступа к сети — xDSL, ISDN, GPRS, UMTS, WiFi и т. д.
 |
Перед установкой системы проработайте существующую структуру локальной сетиПроцесс создания VPN выполняется за несколько этапов. Первой программой, которая должна быть установлена в сети, является «Менеджер». Она служит для конфигурирования сети ViPNet и создания справочно-ключевой информации (дистрибутивов ключей и паролей пользователей), требующейся для установки и работы узлов сети ViPNet. При первом запуске программы запускается мастер «Создание сети ViPNet». На этом этапе выполняются создание структуры сети, дистрибутивы ключей для всех пользователей и парольная информация. Следующий шаг — создание связей между узлами сети. Возможны три варианта:
- связать все сетевые узлы (все СУ будут связаны между собой);
- связать все абонентские пункты каждого координатора — абонентские пункты каждого координатора будут иметь связи только со своим координатором и другими абонентскими пунктами своего координатора, при этом все координаторы между собой будут иметь связи;
- связать каждый абонентский пункт со своим координатором — каждый абонентский пункт будет иметь связь только со своим координатором, при этом все координаторы будут иметь связи между собой.
Как структуру, так и связи можно редактировать после их создания, переносить абонентов от одного координатора к другому, при этом следует учитывать, что количество координаторов и абонентских пунктов не может превышать количества приобретенных лицензий. Компьютеры, на которых будет установлено программное обеспечение ViPNet ("Координатор", «Клиент»), становятся частью защищенной виртуальной сети, что означает, что информация, которой каждый компьютер обменивается с другими, становится недоступной для любых других компьютеров, не участвующих в данном соединении. А информация, расположенная на самом компьютере, недоступна с любого компьютера, не участвующего в VPN. Доступ с компьютеров, участвующих в VPN, определяется наличием соответствующих связей, ключей, настройкой фильтров и полностью контролируем.
«Координатор» управляет компьютерами, зарегистрированными в его базе данныхПосле установки «Менеджера» и настройки структуры сети устанавливается ПО «Координатор». Как правило, компьютер с этой системой устанавливается на границах локальных сетей и их сегментов и обеспечивает:
- включение в VPN открытых и защищенных компьютеров, находящихся в этих локальных сетях или их сегментах, независимо от типа адреса, выделяемого им;
- разделение и защиту сетей от сетевых атак и оповещение компьютера с ViPNet ("Клиент") о состоянии других сетевых узлов, связанных с ним.
 |
«Координатор» в рамках VPN может нести различную нагрузку, выполнять разнообразные функции:
- функцию сервера-маршрутизатора, обеспечивающую маршрутизацию почтовых конвертов и управляющих сообщений при взаимодействии объектов сети между собой;
- функцию сервера IP-адресов, обеспечивающую регистрацию и предоставление информации о текущих IP-адресах и способах подключения объектов корпоративной сети;
- функцию сервера ViPNet-Firewall, обеспечивающую работу защищенных компьютеров локальной сети в VPN от имени одного адреса; работу защищенных компьютеров локальной сети через другие Firewall; туннелирование пакетов в защищенное соединение от заданных адресов незащищенных компьютеров; фильтрацию открытых пакетов, в том числе и туннелируемых, в соответствии с заданной политикой безопасности (функции межсетевого экрана);
- функцию ViPNet-сервера открытого Интернета, обеспечивающую организацию безопасного подключения части компьютеров локальной сети к Интернету без их физического отключения от локальной сети организации.
Для ускорения работы с шифрованным трафиком с использованием алгоритма ГОСТ 28147-89 и разгрузки центрального процессора на компьютерах, где обрабатывается большой объем информации, рекомендуется использовать специальную плату-ускоритель криптопреобразований. Все операции шифрования/дешифрирования, загружающие центральный процессор, выполняются криптоакселератором, и, тем самым, загрузка процессора такая же, как при обработке нешифрованного трафика.
«Координатор» обеспечивает выполнение нескольких режимов работы с открытыми ресурсами — от разрешения до их полной блокировки. Одной из важных возможностей программы является перехват и фильтрация (пропуск или блокирование) любых открытых IP-пакетов, проходящих через каждый его сетевой интерфейс. Для защиты компьютера от несанкционированных попыток приложений, работающих на этом компьютере, выполнить сетевую операцию в программе реализована возможность мониторинга активности приложений. В него встроена система обнаружения вторжений (intrusion detection system, IDS). Она служит для обнаружения и предотвращения действий со стороны злоумышленника (хакера либо взломщика), которые могут привести к проникновению внутрь системы или совершению по отношению к ней каких-либо злоупотреблений. (Две последние функции включены и в состав пакета «Клиент».)
«Координатор» фиксирует различного рода информацию по результатам своей работы на компьютере. Эту информацию можно просматривать через интерфейс программы. Там можно просмотреть список пропущенных и блокированных IP-пакетов, блокированных адресов, событий, атак.
 |
Дополнительные модули обеспечивают защищенный обмен почтовыми сообщениями и файлами, помогают организовывать конференцииВ состав пакетов «Координатор» и «Клиент» входят дополнительные модули, обеспечивающие защищенный обмен транспортными конвертами (файлами, сообщениями, электронной почтой) между клиентами защищенной сети. Основной транспортный модуль называется MFTP и предназначен для обеспечения надежной и безопасной передачи транспортных конвертов между узлами сети ViPNet посредством протоколов TCP (канал передачи MFTP) и SMTP/POP3. При связи по каналу MFTP устанавливается TCP-соединение с узлом-получателем конвертов, проводится взаимная аутентификация узлов и осуществляется прием/передача конвертов друг для друга. При связи по каналу SMTP/POP3 транспортный модуль переадресует конверты для отправки модулю MailTrans, который передает их через сервер SMTP, а также забирает с сервера POP3 конверты, предназначенные для этого узла.
Транспортные конверты для передачи формируются прикладными задачами сети, например «Деловой почтой». Эта система предназначена для организации защищенной передачи электронных документов по открытым каналам связи по всему маршруту следования документа, от отправителя к получателю в сети ViPNet. Помимо обычных функций по работе с электронной почтой «Деловая почта» обеспечивает шифрование и простановку ЭЦП на отправляемые сообщения, ведение регистрационных данных на них, а также предоставляет гибкие возможности по работе с документами: сортировку документов, архивацию, поиск, автоматическую обработку файлов и входящих писем в соответствии с различными правилами, задаваемыми пользователем (автопроцессинг).
Остается лишь сказать, что на рабочие места устанавливается ПО «Клиент», во многом повторяющее функции «Координатора», за исключением тех, которые связаны с преобразованием адресов, организацией связи между зарегистрированными на «Координаторе» членами групп, защитой от внешних проникновений из открытой сети и некоторыми иными функциями.
Использование системы ViPNet Office позволяет создать защищенную виртуальную сеть, решить многие вопросы по защите как самой сети, так и информации, циркулирующей в ней. Это решение апробировано во многих организациях и зарекомендовало себя с положительной стороны.
Ссылки по теме
Статья получена: hostinfo.ru
Противовирусные препараты: за и против
Добро пожаловать в Армению. Знакомство с Арменией
Крыша из сэндвич панелей для индивидуального строительства
Возможно ли отменить договор купли-продажи квартиры, если он был уже подписан
Как выбрать блеск для губ
Чего боятся мужчины
Как побороть страх перед неизвестностью
Газон на участке своими руками
Как правильно стирать шторы
Как просто бросить курить
- 3153 -
