Крипто- маршрутизатор
гвс
Рис.11.11. Схема защиты локальной вычислительной сети
мента и входа из сети в сегмент применяются средства с операционной системой DOS и шифрованием - маршрутизаторы (см. рис. 11.10) или специализированные сетевые платы.
»Функции
крипто- маршрутизатора.
Функции
контроля сети.
Функции
разграничения доступа (защиты от НСД)
СЕРВЕР
СЕРВЕР
1
N
АП,
АП„
АП2
Устройство защиты от нсд
АП,
АП2
АП„
СЕРВЕР
6)
]
г
Устройство защиты от нсд I
АП,
АП2
АП„
СЕРВЕР
~1
Г
УСТРОЙСТВО
ЗАЩИТЫ ОТ
НСД
гвс
В)
ROUTER
АП,
□ С
КРИПТО-МАРШРУТИЗАТОР
КРИПТО-МАРШРУТИЗАТОР
АП„
—i—
АПа
СЕРВЕР
г)
ГВС
гвс
АП„*,
АПт
Рис. 11.12. Варианты структуры защищенных ЛВС: а) ЛВС с программной защитой сервера; б) ЛВС с программно-аппаратной защитой сервера;
в) ЛВС с выходом в глобальную вычислительную систему;
г) ЛВС с защищенным обменом через открытую сеть
Поскольку все они, как правило, реализованы под управлением неаттестованных операционных систем, их можно рассматривать не как основные средства защиты, а лишь как вспомогательные.
На базе криптомаршрутизатора КРИЛТОН-1Р можно строить защищенные виртуальные корпоративные (частные) сети (Virtual Private Network-VPN), в которых сетевые соединения устанавливаются в интересах и по требованию определенных пользователей.
Типичная схема подключения локальной сети к высшей глобальной сети через криптомаршрутизаторы (КМ) представлена на рис.11.13. КМ обеспечивает контроль всего IP-трафика между внешней и внутренней сетями. К прохождению допускаются только пакеты, исходящие из узлов или предназначенные для узлов, связь с которыми разрешена. Кроме того, КМ обеспечивает прозрачное шифрование/дешифрование трафика, что позволяет использовать открытые каналы связи (в том числе и сеть Internet) для организации VPN. При использовании сети Internet КМ должен
иметь корректно выделенный провайдером внешний IP-адрес, необходимый для правильной промежуточной маршрутизации. Организация работы КМ позволяет полностью скрывать топологию ЛС. В настоящий момент КМ может включать несколько сетевых интерфейсов (в том числе модем и мультипортовую плату) и поддерживать связь через последовательный порт (нуль-модем). КМ поддерживает сетевые адаптеры, соответствующие широко распространенному стандарту Ethernet.
Криптомаршрутизатор КРИПТОН-1Р является средством защиты компьютерных сетей и позволяет создавать защищенные VPN на базе любых открытых сетей или на базе ЛС, использующих незащищенные линии связи. Кроме того, он может быть использован для разграничения передаваемой информации с разным уровнем доступа. Фильтрация трафика на IP-уровне и выбор правил политики безопасности позволяет применять КМ для организации как полностью защищенной сети, так и сети с выборочной передачей и приемом пакетов в открытом виде (с разрешением работы некоторым узлам сети без защиты трафика).
11.4. Технология работы с ключами
При использовании шифрования с открытым распределением ключей каждый пользователь должен иметь как минимум один секретный ключ и множество открытых ключей других абонентов. Понятно, что секретный ключ должен быть недоступен для других. Открытые ключи не являются секретными, но существует опасность их подмены.
Использование секретной дискеты или электронной карточки с ключами. Секретный ключ и все открытые ключи могут быть записаны на определенный ключевой носитель, в качестве которого может использоваться дискета, смарт-карта или Touch- Memory. Доступ к этим носителям должен быть только у их владельца. Однако при большом количестве открытых ключей такой вариант нецелесообразен, поскольку генерация ключей замедляется.
Предлагается следующий вариайт работы с ключами. На ключевой дискете (или другом носителе) находятся:
собственный секретный ключ (ключи);
собственный открытый ключ (ключи);
открытый ключ для проверки сертификата.
Напомним, что под сертификатом понимается открытый ключ с подписью ключом сертификационного центра (ключом администратора сети). Таким образом, минимально на ключевой дискете
ззз
могут находиться только два собственных ключа. В этом случае в качестве ключей для формирования и проверки сертификата могут использоваться собственные ключи.
Регистрация (сертификация) открытых ключей у администратора. Организуется сертификационный центр для регистрации пользователей сети. В сертификационный центр поступают открытые ключи и сопровождающие их документы. В ответ пользователь получает:
открытые ключи с сертификатом всех зарегистрированных пользователей (в том числе и свой);
файл или базу данных с полномочиями этих пользователей (также с сертификатом);
открытый ключ для проверки сертификата как в виде файла, так и в распечатанном виде.
Пользователь при получении должен сначала проверить истинность открытого ключа для проверки сертификата, а затем- сертификаты всех полученных ключей и файлов. Также необходимо проверить свой открытый ключ. При положительных результатах проверки такие ключи можно использовать для шифрования.
Распределение открытых ключей по компьютерам и разрешение использования их для доступа- к конкретному компьютеру или серверу осуществляет только администратор сети или сегмента сети.
Администрирование сети. Для обслуживания сегмента сети (и возможно, сети в целом) необходим администратор безопасности, который:
генерирует (сертифицирует, регистрирует) ключи абонентов;
определяет права доступа к абонентским пунктам и серверам;
уточняет права доступа к отдельным фрагментам информации на серверах;
устанавливает систему ограничения доступа на ПК;
осуществляет текущий контроль за работой сети.
В качестве администратора безопасности можно использовать администратора сегмента сети при наличии у него необходимых прав допуска к информации. Однако, разграничение доступа между отдельными сегментами сети должен выполнять другой человек.
Разрешение на допуск к некоторой конкретной информации определяется при регистрации открытого ключа (и размещении его на соответствующем ПК). Для ограничения доступа к ПК достаточно убрать с него соответствующий ключ.
11.5. Программные продукты ЗАСТАВА фирмы "ЭЛВИС+" для защиты корпоративной сети
На основе опыта внедрения систем сетевой информационной безопасности ОАО "Элвис+" разработала общий концептуальный подход к решению задач построения защищенных корпоративных систем [92]. Суть решения заключается в следующем:
построение жесткого периметра корпоративной части сети на основе технологий виртуальных защищенных сетей VPN (Virtual Private Network) с использованием протокола SKIP;
обеспечение небольшого числа контролируемых точек открытого доступа в периметр корпоративной защищенной сети;
построение эшелонированной системы защиты с контролем проникновения в защищенный периметр;
обеспечение дистанционного администрирования и аудита всех компонентов системы защиты.
Эти решения обеспечивают построение виртуальных закрытых сетей (intranet), их безопасную эксплуатацию и интеграцию с открытыми коммуникационными системами.
Организация безопасного взаимодействия корпоративной
сети с открытыми коммуникационными сетями
Защищенная корпоративная сеть, построенная на основе технологий VPN, не может быть полностью изолирована от внешних информационных систем, поскольку людям необходимо обмениваться почтой, новостями, получать данные из внешних информационных источников, что приводит к угрозе проведения атаки на информационные ресурсы корпоративной сети в рамках этого информационного обмена. Поэтому наряду с проблемой построения виртуальной защищенной сети предприятия существует другая важная проблема защиты корпоративной сети-организация безопасного взаимодействия с открытыми сетями.
Концепция защищенной корпоративной сети ОАО "ЭЛВИС+" состоит в том, чтобы закрыть трафик корпоративной сети средствами защиты информации сетевого уровня (построить виртуальную корпоративную сеть) и организовать фильтрацию информации в точках соединения с открытыми сетями. В качестве средств фильтрации информации на интерфейсах с открытыми сетями применяются традиционные решения-межсетевой экран (firewall), сервисы защиты типа proxy (посредник).
Важным элементом защиты от несанкционированного проникновения из открытой сети в корпоративную является последовательное (каскадное) включение нескольких фильтров-эшелонов защиты. Как правило, между открытой и корпоративной сетями устанавливается зона контролируемого доступа или "демилитари-