лекция№15 (1088450), страница 3
Текст из файла (страница 3)
-формирование запросов на сертификацию ключей администратора в вышестоящем Сертификационном Центре и создание сертификатов администраторов нижестоящих Сертификационных Центров для организации иерархических систем сертификации.
Цифровая подпись администратора Сертификационного Центра в составе сертификата обеспечивает достоверность и однозначность соответствия открытого ключа и его владельца.
IPSafe-PRO - IP-шифратор для организации VPN с функциями межсетевого экрана
Криптографический комплекс "IPSafe-PRO" предназначен для построения защищенных виртуальных частных IP-сетей (Virtual Private Network - VPN), создаваемых на базе сетей общего пользования (в том числе, Интернет).
"IPSafe-PRO" представляет собой программно-аппаратный комплекс, реализующий функции межсетевого экрана и криптографического маршрутизатора, обеспечивающего защиту конфиденциальной информации путем организации защищенных туннелей между территориально удаленными IP-сетями корпоративных информационно-вычислительных систем.
Базовая конфигурация криптографического комплекса "IPSafe-PRO" представляет собой устройство с двумя Ethernet-интерфейсами, выполненное на основе IBM PC-совместимого персонального компьютера (размера BookSize).
"IPSafe-PRO" устанавливается на выходе из локальной сети и выполняет фильтрацию и криптографическую обработку входящих и исходящих IP-пакетов в соответствии с заданными правилами.
Для защиты данных в "IPSafe-PRO" используется протокол ESP (Encapsulated Security Payload, RFC 2406) в туннельном режиме, предоставляющий следующие необходимые услуги безопасности:
-конфиденциальность данных;
-аутентификацию источника данных;
-целостность данных;
-сокрытие топологии защищаемых локальных корпоративных сетей;
-защиту от анализа трафика.
Выбор алгоритмов криптообработки в комплексе "IPSafe-PRO" осуществляется в соответствии с требованиями политики безопасности защищаемой сети:
Net-PRO – система защиты информации в сетях TCP/IP (Интернет/Интранет)
Система "Net-PRO" предназначена для организации защищенных виртуальных частных IP-сетей (Virtual Private Network - VPN) на базе Интернет/Интранет, обеспечивающих аутентификацию взаимодействующих сторон и надежную защиту (шифрование и контроль целостности) потоков данных, передаваемых по открытым каналам связи.
"Net-PRO" обеспечивает защиту потоков данных в различных вариантах:
-в пределах корпоративной локальной сети;
-при взаимодействии объединенных локальных сетей;
-при взаимодействии с удаленными ресурсами через сети общего пользования (включая Интернет);
-при необходимости организации безопасной работы удаленного компьютера с корпоративной сетью и др.
"Net-PRO" позволяет:
-скрывать реальную топологию защищаемой локальной сети;
-обеспечивать аутентифицированный доступ в защищаемую локальную сеть для удаленных пользователей с динамически выделяемыми адресами;
-контролировать доступ к открытым ресурсам внешних сетей.
"Net-PRO" обеспечивает надежную аутентификацию пользователей, основанную на двухключевых крипто-алгоритмах и сертификатах, не требующих от пользователя запоминания и ввода пароля. Для аутентификации и защиты потоков данных в "Net-PRO" используется модернизированный протокол SSL (Secure Socket Layer), свободный от экспортных ограничений, касающихся длины криптографических ключей. Пользователям предоставляется целый набор методов шифрования (включая отечественный ГОСТ 28147-89); предусмотрено 3 режима аутентификации (двусторонняя, односторонняя и без аутентификации); аутентификация осуществляется на основе применения цифровых сертификатов в формате Х.509.
В системе "Net-PRO" реализован инструментарий управления политикой безопасности, обеспечивающий легкую и быструю настройку и оперативную корректировку:
-параметров аутентификации пользователей;
-алгоритмов крипто-обработки;
-правил разграничения доступа аутентифицированных пользователей к ресурсам внешней или локальной сети, компьютерам или отдельным приложениям;
-типов разрешенных приложений и др.
"Net-PRO" осуществляет контроль и протоколирование событий и внештатных ситуаций.
Система "Net-PRO" включает:
-"Net-PRO VPN Server" - серверный модуль, поддерживающий взаимодействие с клиентскими модулями "Net-PRO VPN Client" и/или с аналогичными серверными модулями "Net-PRO VPN Server"; "Net-PRO VPN Server" устанавливается на входе в защищаемую локальную сеть в виде выносного устройства; реализует протокол SOCKS и используется для защиты рабочих станций и серверов, выступая в роли межсетевого экрана (FireWall), выполняющего процедуры аутентификации и шифрования потока данных, фильтрацию приложений, защиту от "спуфинга" и др.;
-"Net-PRO VPN Client" - клиентский модуль, обеспечивающий защищенное взаимодействие с серверным модулем "Net-PRO VPN Server"; "Net-PRO VPN Client" устанавливается на компьютерах локальной сети, защищаемой с помощью "Net-PRO VPN Server", или на удаленном компьютере, доступ с которого в защищаемую сеть осуществляется через сеть общего пользования (например, Интернет) в режиме прямого или коммутируемого подключения.
Inter-PRO – система защиты WWW-приложений в Интернет/Интранет
Предназначен для защиты HTTP-трафика на базе "расширенных" протоколов SSL/TLS, дополненных российскими криптографическими алгоритмами и возможностью формирования и проверки в режиме on-line электронной цифровой подписи (ЭЦП) под электронной HTML-формой, заполняемой пользователем в процессе взаимодействия с Web-сервером.
Proxy-технология, реализованная в "Inter-PRO", обеспечивает его независимость от используемого типа Web-клиента и Web-сервера, защищенное взаимодействие между которыми устанавливается через посредничество программных модулей "Inter-PRO Client" и "Inter-PRO Server", располагаемых, соответственно, на стороне клиента и на стороне сервера.
Наиболее эффективно использование "Inter-PRO" в электронных платежных системах типа "Банк-Клиент", базирующихся на Web-технологиях и ориентированных на дистанционное обслуживание клиентов через Интернет, или в любых других системах, где необходимо авторизованное подтверждение запроса на обслуживание (в системах электронной торговли, электронного страхования, платного информационного обслуживания и т.д.). При интеграции с такого рода системами "Inter-PRO" обеспечивает:
-строгую взаимную аутентификацию клиентов и банковского сервера на базе цифровых сертификатов X.509;
-конфиденциальность и целостность информации, передаваемой по протоколу HTTP;
-формирование и проверку в режиме on-line цифровой подписи под платежными документами в виде HTML-форм;
-фильтрацию трафика и разграничение доступа к Web-компоненте банковского сервера на основе цифровых сертификатов X.509.
Открытые и секретные ключи формируются самими пользователями "Inter-PRO" с помощью вcтроенной процедуры генерации ключей.
В качестве сертификационного центра выпускающего сертификаты открытых ключей для WWW-серверов и браузеров. может выступать любой сертификационный центр, поддерживающий стандарт X.509, или Сертификационный Центр "Notary-PRO", разработки "Сигнал-КОМ".
В "Inter-PRO" предусмотрена возможность хранения ключевой информации и цифровых сертификатов на дискетах, eToken и Touch Memory.
Основные характеристики:
-защита передаваемых данных на базе расширенных протоколов SSL v.2, SSL v.3 и TLS v.1.
-формирование ЭЦП под электронными документами в виде HTML-форм (POST/GET) на стороне клиента и автоматическая проверка ЭЦП на стороне сервера.
-широкий набор поддерживаемых российских и зарубежных криптографических алгоритмов;
-аутентификация пользователей на стороне сервера с использованием цифровых сертификатов формата Х.509 v.3;
-фильтрация трафика и разграничение доступа пользователей к ресурсам Web-сервера;
-передача приложениям Web-серверов атрибутов аутентификации клиента (параметров сертификата);
-обслуживание одним модулем "Inter-PRO" нескольких Web-серверов;
-широкий набор поддерживаемых операционных систем;
-широкий набор поддерживаемых Web-серверов и клиентского ПО.
3-й учебный вопрос Комплексные решения компании CheckPoint - ? мин
Компания CheckPoint выпускает продукты нескольких линий, обеспечивающие защиту сети в различных аспектах, а также выполняющие функции управления сетью:
FireWall-1 - комплекс модулей, составляющих ядро любой системы безопасности на продуктах CheckPoint. Помимо функций межсетевого экрана на основе запатентованной технологии Stateful Inspection, поддерживает аутентификацию пользователей, трансляцию адресов, контроль доступа по содержанию и аудит. Включает систему централизованного управления на основе правил политики, которая может управлять работой не только модулей FireWall-1, но и продуктов VPN-1, FloodGate- 1.
VPN-1 - набор продуктов для организации виртуальных частных сетей как со стороны центральной сети, так и со стороны удаленных пользователей. Продукты VPN-1 тесно интегрированы с FireWall- 1.
RealSecure - средства обнаружения вторжений в реальном времени. Экспертная база атак составляет более 160 образцов. Интегрированы с FireWall-1 - есть возможность автоматической реконфигурации правил экрана FireWall-1 при обнаружении вторжения.
FloodGate - средства управления качеством обслуживания. Обеспечивают гибкое распределение полосы пропускания для различных классов трафика, а также отдельных соединений. Поддерживают централизованное управление на основе правил, интегрированных с правилами FireWall-1/VPN-1.
MetaIP - система управления инфраструктурой IP-адресов предприятия. Интегрирует службы DHCP, DNS и аутентификации, дополняя их собственным сервисом UAM отображения имен пользователей на IP-адреса. Сервис UAM может быть использован межсетевыми экранами FireWall- 1, за счет чего обеспечивается контроль доступа на уровне пользователей в динамической среде DHCP.
Предложенная компанией CheckPoint в 1997 году платформа интеграции продуктов безопасности на основе открытых стандартов OPSEC (Open Platform for Secure Enterprise Connectivity) сегодня поддерживается более, чем 200 производителями, многие из которых являются членами OPSEC Alliance.
Заключение – до 5 мин.
В данной лекции были рассмотрены комплексные решения защиты информации защиты информации для корпоративных сетей.
Функциональность ViPNet [Координатора] определяется Центром управления сетью и формируемыми им справочниками и маршрутными таблицами.
В виртуальной сети может быть установлено множество ViPNet [Координаторов], взаимодействующих между собой. При этом может быть организовано их взаимное резервирование для повышения надежности развернутой VPN-сети.
Для установки ViPNet [Координатора] необходим IBM-совместимый компьютер с операционной системой Windows NT/2000/XP или Linux, а также не менее 100 Мбайт свободного места на жестком диске. Характеристики компьютера определяются размерностью сети и производительностью каналов связи.
ViPNet[Клиент] - обеспечивает защиту информации при ее передаче в сеть, а также защиту от доступа к ресурсам компьютера и атак на него из локальных и глобальных сетей.
Средство криптографической защиты информации (СКЗИ) "Крипто-КОМ 3.0" предназначено для обеспечения гарантированной защиты информации при её хранении, обработке и передаче по открытым каналам связи.
СКЗИ "Крипто-КОМ 3.0" имеет сертификаты ФАПСИ СФ/124-0476 и СФ/124-0477 от 10.06.01, удостоверяющие, что СКЗИ соответствует требованиям российских государственных стандартов в области криптографической защиты информации ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.11-94, требованиям ФАПСИ к стойкости СКЗИ и может использоваться для обеспечения безопасности информации уровня КС1 и КС2, не содержащей сведений, составляющих государственной тайны.
-
поставить задачи для самостоятельной работы; ??
Лекция разработана «____» ______________ 200__г.
________________/ <фамилия, инициалы автора> /
(подпись)
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
