лекция№15 (1088450), страница 2
Текст из файла (страница 2)
-Сервер IP-адресов - обеспечивает работу с динамическими IP-адресами, ведет в реальном времени базу IP-адресов всех подключенных к VPN в данный момент времени клиентов (рабочих станций, серверов, мобильных и удаленных пользователей и т.д.).
-Почтовый сервер - обеспечивает маршрутизацию почтовых конвертов, а также управляющих сообщений ЦУСа при взаимодействии объектов сети между собой.
-Proxy-сервер защищенных соединений - обеспечивает работу абонентских пунктов защищенной сети от имени одного адреса.
-Сервер-туннель
-позволяет организовать защиту трафика между локальными сетями, и используется тогда, когда нет необходимости разграничения доступа внутри каждой из локальных сетей, входящих в виртуальную сеть. Позволяет также зашифровать трафик между группой незащищенных компьютеров одной локальной сети и группой незащищенных компьютеров другой локальной сети, в том случае, когда не требуется защищать трафик от всех компьютеров локальной сети для передачи его по открытой глобальной сети;
-обеспечивает туннелирование всего IP-трафика между защищаемыми сетями в защищенное соединение между ViPNet [Координаторами] по UDP-протоколу;
-позволяет обеспечить защищенное управление маршрутизаторами сети (Cisco и др.) за счет использования технологии обратного туннеля.
-Межсетевой экран - обеспечивает фильтрацию IP-трафика от всех источников вне VPN и источников, трафик от которых туннелируется, в соответствии с заданной политикой защиты; при наличии нескольких сетевых интерфейсов позволяет по каждому из них определить собственный набор правил фильтрации, что позволяет использовать ViPNet [Координатор] как мультиинтерфейсный сетевой экран для разделения локальной сети на несколько сегментов с разными режимами безопасности.
- Сервер "открытый Интернет" - в этом режиме ViPNet [Координатор] устанавливается в точке присоединения локальной сети к Интернет и обеспечивает фильтрацию и туннелирование (шифрование) открытого трафика при доставке его к компьютеру локальной сети с установленной на нем компонентой ViPNet[Клиент]. В результате, потенциально "опасный" открытый трафик, равно как и работающий с ним компьютер, будут "изолированы" от остальных компьютеров локальной сети.
Функциональность ViPNet [Координатора] определяется Центром управления сетью и формируемыми им справочниками и маршрутными таблицами.
В виртуальной сети может быть установлено множество ViPNet [Координаторов], взаимодействующих между собой. При этом может быть организовано их взаимное резервирование для повышения надежности развернутой VPN-сети.
Для установки ViPNet [Координатора] необходим IBM-совместимый компьютер с операционной системой Windows NT/2000/XP или Linux, а также не менее 100 Мбайт свободного места на жестком диске. Характеристики компьютера определяются размерностью сети и производительностью каналов связи.
ViPNet[Клиент] - обеспечивает защиту информации при ее передаче в сеть, а также защиту от доступа к ресурсам компьютера и атак на него из локальных и глобальных сетей.
При этом ViPNet [Клиент] может быть установлен как на рабочую станцию (мобильную, удаленную, локальную), так и на всевозможные типы серверов (баз данных, файл-серверов, WWW, FTP, SMTP, SQL и пр.) с целью обеспечения безопасных режимов их использования.
Подсистемы:
-Персональный межсетевой экран - позволяет защитить компьютер от попыток несанкционированного доступа как из глобальной, так и из локальной сети:
-управлять доступом к данным компьютера из локальной или глобальной сети;
-определять адреса злоумышленников, пытающихся получить доступ к информации в компьютере;
-обеспечивать режим установления соединений с другими открытыми узлами локальной или глобальной сети только по инициативе пользователя, при этом компьютер пользователя остается "невидимым" для открытых узлов локальной и глобальной сетей (технология Stealth), что исключает возможность запуска по инициативе извне всевозможных программ "шпионов";
-формировать "черные" и "белые" списки узлов открытой сети, соединение с которыми соответственно "запрещено" или "разрешено";
-осуществлять фильтрацию трафика по типам сервисов для данного адреса открытой сети или диапазона адресов, что позволяет в случае необходимости ограничить использование "опасных" сервисов на "сомнительных" узлах открытой сети;
-осуществлять фильтрацию трафика по типам сервисов и протоколов для связанных с данным узлом других защищенных узлов;
-контролировать активность сетевых приложений на данном компьютере, где установлен ViPNet [Клиент], что позволяет вовремя обнаружить и заблокировать активность несанкционированно установленных и запущенных программ "шпионов", которые могут передавать злоумышленникам сведения об информации, обрабатываемой на данном компьютере (пароли доступа, данные о кредитных картах, идентификаторы для доступа в корпоративные базы данных и др.).
Подсистема установления защищенных соединений между компьютерами, оснащенными ViPNet[Клиентом] позволяет:
-шифровать IP-пакеты с добавлением в них информации для обеспечения целостности, контроля времени, идентификации (авторизации) и скрытия первоначальной структуры пакета;
-блокировать шифрованные пакеты при нарушении их целостности, превышении допустимой разницы между временем отправки и текущим временем (защита от переповторов) или при невозможности аутентифицировать пакет;
-организовать схему защищенного использования всевозможных Web-приложений, в том числе Web-trading, Web-ordering, Web-хостинга, Web-вещания и т.д., с доступом к Web-платформе, на которой установлен ViPNet [Клиент], только определенному списку участников VPN;
- защитить и дополнительно авторизовать все соединения между локальными, мобильными и удаленными пользователями, оснащенными ViPNet [Клиентом], и корпоративными серверами приложений, баз данных, SQL-серверами, также оснащенными ViPNet [Клиентом];
- использовать недорогие и общедоступные сетевые ресурсы открытой сети для передачи конфиденциальной информации.
“Деловая почта” позволяет:
-передавать электронные сообщения по открытым каналам связи с защитой на всем маршруте следования от отправителя до получателя, при этом в качестве открытого канала могут быть использованы стандартные сервера SMTP/POP3;
-одновременно с самим сообщением защитить прикрепленные к нему файлы;
-организовать по установленным правилам защищенный автопроцессинг стандартных документов, "рождаемых" другими приложениями и системами управления бизнесом (бухгалтерскими, банковскими, управленческими и пр.);
-осуществлять поиск документа в почтовой базе документов по множеству параметров (отправитель, получатель, тема, дата, период, контекст и т.п.);
-подтверждать личность отправителя, используя электронную подпись, встроенную в общую систему безопасности;
-передать сообщение только тем получателям, для которых оно предназначалось, а также при необходимости автоматически отправить копии сообщений на заданные в ЦУСе узлы;
-подтвердить получение и использование сообщений, а также дату, время получения и личности получателей;
-вести учетную нумерацию сообщений.
Для установки ViPNet [Клиента] необходим IBM-совместимый компьютер с операционной системой Windows 95/98/ME/NT/2000/XP c модемом или сетевой картой и не менее 20 Мбайт свободного места на жестком диске.
Для того чтобы компьютеры, включенные в виртуальную защищенную сеть, увидели друг друга в глобальной сети, на одном или нескольких компьютерах, имеющих постоянный IP-адрес, должны быть установлены программы ViPNet [Координатор]. Каждый компьютер с ViPNet [Клиентом] будет посылать на ViPNet [Координатор] информацию о своем включении и об изменении IP-адреса, получать с него информацию о других связанных с ним компьютерах. Если ViPNet [Координаторов] несколько, то они обмениваются между собой необходимой информацией о подключении и отключении абонентов, а также информацией о подключении/отключении друг друга, осуществляют взаимное резервирование.
Технические характеристики комплекса:
- Количество объектов, которое может быть зарегистрировано в одной сети, практически не ограничено (до 65000 координаторов, до 65000 абонентских узлов на одном координаторе).
-ПО функционирует в операционных средах Windows 95/98/ME/NT/2000/XP, Linux.
-Производительность работы Драйвера защиты трафика в зависимости от операционной системы и мощности компьютера - от 6 до 32 Мбит/сек.
-Для разгрузки процессоров серверов сети и увеличения пропускной способности до 60-96 Мбит/сек в них может быть установлена PCI-плата ViPNet-Turbo 100.
2-й учебный вопрос Комплексные решения компании “Сигнал-Ком”- ? мин
Продукция компании "Сигнал-КОМ" включает широкий спектр программно-аппаратных и инструментальных средств для разработки защищенных информационных систем и создания VPN (Virtual Private Network):
-
-сертифицированные реализации алгоритма ЭЦП, соответствующие Федеральному закону "Об электронной цифровой подписи";
-
-криптографические библиотеки, поддерживающие российские и международные криптографические стандарты;
-
-Удостоверяющий Центр для администрирования одноранговых и иерархических систем с открытым распределением криптографических ключей на базе цифровых сертификатов X.509;
-
-программные комплексы для организации защищенных систем электронного документооборота на базе Web-приложений и электронной почты;
-
-межсетевые экраны с функциями криптографической защиты трафика на базе протоколов SOCKS, SSL/TLS, IPSec.
Основным компонентом всех комплексных (специализированных) решений фирмы является библиотека криптографических преобразований "Крипто-КОМ 3.0". Она не поставляется в виде конечного самостоятельного продукта, а используется в качестве сертифицированного криптоядра, встроенного в высокоуровневые криптографические библиотеки ("Message-PRO", "SSL-PRO", "PKI-PRO") и прикладные программные средства защиты информации ("Inter-PRO", "Mail-PRO", "Notary-PRO", "Office-PRO" и др.).
Крипто-КОМ 3.0 - средство криптографической защиты информации
Средство криптографической защиты информации (СКЗИ) "Крипто-КОМ 3.0" предназначено для обеспечения гарантированной защиты информации при её хранении, обработке и передаче по открытым каналам связи.
СКЗИ "Крипто-КОМ 3.0" имеет сертификаты ФАПСИ СФ/124-0476 и СФ/124-0477 от 10.06.01, удостоверяющие, что СКЗИ соответствует требованиям российских государственных стандартов в области криптографической защиты информации ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.11-94, требованиям ФАПСИ к стойкости СКЗИ и может использоваться для обеспечения безопасности информации уровня КС1 и КС2, не содержащей сведений, составляющих государственной тайны.
В состав СКЗИ "Крипто-КОМ 3.0" входит:
-Низкоуровневая библиотека криптографических преобразований "Крипто-КОМ 3.0" - реализует российские криптографические стандарты на шифрование (ГОСТ 28147-89), электронную цифровую подпись (ГОСТ Р 34.10-94), вычисление хэш-функции (ГОСТ Р 34.11-94; функционирует на компьютерах с архитектурой Intel x86 в операционных средах MS DOS, MS Windows 95/98/NT/2000, SCO UNIX, Linux, FreeBSD, HP-UX (сертификаты соответствия ФАПСИ распространяются на версии для MS DOS и MS Windows 95/98/NT/2000; для остальных версий имеется положительное заключение Центра сертификационных исследований, аттестованного ФАПСИ).
-Программно-аппаратный комплекс (ПАК) Криптоменеджер - выполняет функции центра управления ключевой системой (ЦУКС) в составе СКЗИ; обеспечивает формирование, регистрацию, обновление, учет и хранение ключевых документов пользователей; для формирования ключевой информации использует надежный аппаратный датчик случайных чисел (ДСЧ) из состава устройства криптографической защиты данных (УКЗД) "КРИПТОН-4К/16" фирмы "АНКАД" или его более поздних модификаций, сертифицированных ФАПСИ.
-Программа автономной генерации пар ключей "GenPair" - предназначена для самостоятельного формирования пользователями СКЗИ собственных криптографических ключей; для генерации ключей использует инициализационный ключевой носитель (дискету или электронную таблетку Touch Memory), содержащий файл инициализации для программного ДСЧ; инициализационные ключевые носители формируются администратором безопасности с помощью ПАК "Криптоменеджер" и выдаются пользователям при первичной регистрации в сети конфиденциальной связи.
СКЗИ "Крипто-КОМ 3.0" является асимметричной криптосистемой с открытым распределением ключей, ориентированной на совместное использование одноключевых и двухключевых алгоритмов. В зависимости от требований политики безопасности эксплуатирующей организации, СКЗИ "Крипто-КОМ 3.0" допускает два режима формирования криптографических ключей пользователей:
-централизованный - ключи формируются на рабочем месте администратора безопасности с помощью ПАК "Криптоменеджер";
-децентрализованный - ключи формируются самими пользователями на своих рабочих местах с помощью программы автономной генерации ключей "GenPair" и инициализационного ключевого носителя, полученного от администратора ПАК "Криптоменеджер".
В криптосистемах, построенных на базе СКЗИ "Крипто-КОМ 3.0", открытые ключи пользователей существуют в виде цифровых сертификатов, которые должны заверяться в Сертификационном Центре "Notary-PRO 2.0" разработки "Сигнал-КОМ".
Notary-PRO - Сертификационный Центр
Сертификационный Центр "Notary-PRO" предназначен для администрирования одноранговых и иерархических систем распределения ключевой информации в сетях конфиденциальной связи, построенных на базе двухключевых криптографических процедур.
Сертификационный Центр "Notary-PRO" функционирует в операционных средах Microsoft Windows 2000/NT, выполняя все необходимые функции по управлению цифровыми сертификатами открытых ключей в соответствии с Рекомендациями ITU-T X.509:
-формирование ключей и сертификатов администратора Сертификационного Центра (Certification Authority - CA);
-регистрацию запросов на сертификацию открытых ключей пользователей;
-формирование сертификатов открытых ключей на основе запросов;
-формирование и выпуск списков отозванных (скомпрометированных) сертификатов (certificate revocation lists - CRL);
-поддержание базы данных по пользователям системы;
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
