- •Список используемых сокращений и определений
- •Лабораторная работа №1. Изучение основ комплекса сетевого экранирования "фпсу-ip/Клиент"
- •Теоритические сведения:
- •1.1 Общие сведения о комплексе "фпсу-ip/Клиент"
- •Ход работы:
- •Лабораторная работа № 2. Инсталляция комплекса
- •Теоритическая часть:
- •2.1 Системные требования
- •2.2 Контроль целостности программного обеспечения
- •2.3 Процедура инсталляции
- •Ход работы:
- •Лабораторная работа № 3. Эксплуатация комплекса
- •Теоритические сведения:
- •Описание доступных через мэ фпсу-ip рабочих станций
- •Настройка блокировок пакетов при установленном туннеле с фпсу-ip
- •Получение сведений об устройстве vpn - Key
- •Ход работы:
Список используемых сокращений и определений
TM |
(Touch-memory, TM-таблетка, TM-идентификатор) - электронный носитель |
|
iButton DS1993 – DS1996; |
VPN |
Virtual Private Network, виртуальная частная сеть передачи данных; |
АРМ |
автоматизированное рабочее место; |
МЭ |
межсетевой экран; |
НСД |
несанкционированный доступ к информации; |
НЖМД |
накопитель на жестких магнитных дисках, жесткий диск, винчестер; |
ОС |
операционная система; |
ПАК |
программно-аппаратный комплекс; |
ПО |
программное обеспечение; |
ПЭВМ |
персональная электронная вычислительная машина, персональный |
|
компьютер; |
СКЗИ |
средство криптографической защиты информации; |
СЗИ НСД |
система защиты информации от несанкционированного доступа; |
ФПСУ-IP |
программно-аппаратный комплекс СЗИ НСД ФПСУ-IP, использующий СКЗИ |
|
"Туннель 2.0"; |
Хост |
узел сети, не являющийся маршрутизатором, т.е. не передающий |
|
информацию из одной сети в другую. |
Криптосеть |
(Криптосеть Клиентов) совокупность ПАК "ФПСУ-IP/Клиент", использу- |
|
ющих ключи клиентов, выработанные на основе единого общесистемного |
|
ключа, имеющая собственное имя и уникальный номер; |
Лабораторная работа №1. Изучение основ комплекса сетевого экранирования "фпсу-ip/Клиент"
Цель и задачи работы: Изучить основы структуры аппаратного комплекса сетевого экранирования "ФПСУ-IP/Клиент"
Теоритические сведения:
1.1 Общие сведения о комплексе "фпсу-ip/Клиент"
Программно-аппаратный комплекс "ФПСУ-IP/Клиент" является средством защиты информационных обменов отдельных рабочих станций от несанкционированного доступа. "ФПСУ-IP/Клиент" предназначен для построения защищенных каналов связи между оборудованными комплексом рабочими станциями и межсетевыми экранами ФПСУ-IP, обеспечивающими дальнейшую защиту передаваемых данных на пути к станциям назначения. Кроме того, комплекс "ФПСУ-IP/Клиент" (далее Комплекс) может выполнять функции локального межсетевого экрана, принимая и передавая сетевые пакеты в соответствии с задаваемыми правилами фильтрации.
Механизм защиты канала связи заключается в том, что между Комплексом и межсетевым экраном ФПСУ-IP создается VPN-туннель, по которому IP-пакеты передаются в зашифрованном виде, что обеспечивает достоверность, целостность и конфиденциальность передаваемой информации.
VPN-туннеле производятся обязательные взаимные процедуры идентификации и аутентификации Комплекса и МЭ ФПСУ-IP, как при установлении защищенного соединения, так и в процессе приема данных из туннеля.
составе ПАК "ФПСУ-IP/Клиент" используется средство криптографической защиты информации "Туннель 2.0", что позволяет осуществлять шифрование передаваемой информации в соответствии с ГОСТ 28147-89.
Аутентификация взаимодействующих сторон и преобразование передаваемой в межсетевых туннелях информации производятся с использованием ключей клиентов Криптосети, вырабатываемых при помощи программы "Центр генерации ключей клиентов" (ЦГКК), входящей в состав СКЗИ "Туннель 2.0" (подробнее см. документ ИНФК.11485466.4012.011.92 "Центр гене-рации ключей Клиентов" Руководство по применению).
Комплекс, по указанию пользователя, может производить сжатие передаваемой через туннель информации, что эффективно для низкоскоростных соединений.
Во время существования VPN -туннеля с МЭ ФПСУ-IP, если это не запрещено по требованиям безопасности, Комплекс может обмениваться данными с другими рабочими станциями сети в обычном открытом режиме.
Для защиты рабочей станции Комплекса от несанкционированных вторжений со стороны сети Интернет и блокирования нежелательных соединений, программно-аппаратный комплекс "ФПСУ-IP/Клиент" при соединениях с ФПСУ-IP может производить фильтрацию сторонних пакетов данных (по отношению к VPN-туннелю). Такая фильтрация может осуществляться как на сетевом адаптере, связанном с ФПСУ-IP, так и на других сетевых адаптерах компьютера. Запрет на прием и/или передачу устанавливает администратор ФПСУ-IP при регистрации Комплекса, в дополнение к данным запретам администратор комплекса "ФПСУ-IP/Клиент" может назначить новые ограничения.
Фильтрация исходящих и входящих пакетов данных по задаваемым пользователем условиям может также производиться комплексом и в периоды отсутствия связи с МЭ ФПСУ-IP.
При установке межсетевых туннелей "ФПСУ-IP/Клиент" осуществляет автоматический сбор регистрационной информации о приеме и передаче пакетов на всех интерфейсах рабочей станции пользователя.
ПАК "ФПСУ-IP/Клиент" состоит из интеллектуального электронного устройства VPN-Key, подключаемого к USB-порту рабочей станции Комплекса, программного модуля интерфейса пользователя и программных драйверов поддержки, устанавливаемых на жесткий диск компьютера.
Организация защищенных межсетевых туннелей невозможна в отсутствие устройства VPN-Key, которое выполняет начальные процедуры идентификации и аутентификации наМЭ ФПСУ-IP и совместно с МЭ обеспечивает выработку сеансовых ключей для организации VPN-туннелей. Кроме того, VPN-Key осуществляет идентификацию пользователя комплекса "ФПСУ-IP/Клиент" при доступе к устройству.
VPN-Key содержит семь независимых конфигураций, каждая из которых включает в себя:
•уникальные персональные и системные идентификаторы Комплекса;
•персональные ключи доступа (аутентификационные данные).
Персональные идентификаторы пользователя обеспечивают дополнительный уровень безопасности (например, в случае утери контроля над устройством VPN-Key) и включают в себя:
•четырехзначный PIN-код (Personal Identity Number) пользователя;
•десятизначный PUK-код (Personal Unblocked Key) пользователя;
•четырехзначный PIN-код администратора;
•десятизначный PUK-код администратора.
Персональные идентификационные коды текущей конфигурации пользователя запрашиваются системой при попытках доступа Комплекса к МЭ, а коды администратора – при попытках редактирования текущей конфигурации устройства VPN-Key.
Системными идентификаторами являются: уникальный номер Криптосети Клиентов (организации), которой принадлежит данный пользователь Комплекса, уникальный номер логической группы, к которой пользователь прикреплен, и его уникальный персональный номер в этой группе.
Кроме того, в устройство VPN -Key при изготовлении или в процессе настройки комплекса "ФПСУ-IP/Клиент" прописываются IP-адреса МЭ ФПСУ-IP и рабочих станций, к которым Комплекс будет иметь защищенный доступ, а также данные о типах входящих и исходящих соединений, запрещаемых во время сеансов связи с МЭ.
Поскольку вся информация, необходимая для организации и защиты межсетевых соединений, хранится в устройстве VPN-Key, пользователь может работать с этим устройством с любого компьютера сети, оснащенного программной частью комплекса "ФПСУ-IP/Клиент".
Программное обеспечение комплекса "ФПСУ-IP/Клиент" разработано ООО "АМИКОН" (Лицензии Федеральной службы по техническому и экспортному контролю: № 0307 от 21 ноября 2006 г. на деятельность по разработке и (или) производству средств защиты конфиденциальной информации; №0536 от 21 ноября 2006 г. на деятельность по технической защите конфиденциальной информации. Лицензия Федеральной службы безопасности Российской Федерации № 5081 П от 08 февраля 2008 г. на осуществление разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем) и ООО Фирма "Инфокрипт".
от несанкционированного доступа к информации" (Гостехкомиссия России, 1997) - по 5 классу защищенности, а при осуществлении сеанса связи с базовым межсетевым экраном ФПСУ-IP - по 3 классу защищенности (сертификат соответствия № 1281, выдан ФСТЭК 3 ноября 2006г).
СКЗИ "Туннель 2.0" разработано ООО Фирма "Инфокрипт", сертификат соответствия Федеральной службы безопасности Российской Федерации № СФ/120-1357 от 13 августа 2009г.