Петров А.А. Комп без-ть
.pdfСравнительные характеристики отечественных средств построения УРЫ 411
1Р-пакетом, а это 112 байт служебной информации для ГОСТа, приводят к значительному возрастанию служебного трафика во время использования некоторых клиент-серверных технологий. При превалировании в сети пакетов длиной равной или близкой МТ11 (Мах1тиш Тгапз1:ег Шй;, для Е1Ьегпе1; это 1500 байт) подобная нагрузка может и не считаться избыточ ной - примерно 10% от общего объема трафика, однако для большинства клиент-серверных технологий средняя длина 1Р-пакета в сети намного меньше и служебный трафик 5К1Р может составлять больше половины от всего сетевого 1Р-трафика. Это сказывается на производительности вы числительных систем, работающих в распределенной среде с использо ванием низкоскоростных (меньше 64 Кбит) каналов связи, связывающих подсети корпоративной сети. Зависимость скорости передачи данных по протоколу Р ТР от М ТО для \УАИ 64 Кбит/с (Р га те Ке1ау) с использова нием и без использования криптографической защиты канала с помощью «Заставы» приведена иа рис. П. 1.2. Для опытов с \УАЫ были задейство ваны рабочие станции ЗипШИа 5 277 МГц с 64 М б О З У и установлен ной ОС 5о1апз 2.6.
|
|
|
РТР, т ы |
64 Кбит/с |
|
|
|
6 ,0 0 - |
|
|
|
|
|
|
5.00 - |
|
|
|
|
|
о* |
|
|
|
|
|
|
^ |
4,00 ч |
|
|
|
|
- А — Шифрование |
I |
|
|
|
|
|
Без шифрования |
§• |
3 ,0 0 - |
|
|
|
|
|
* |
|
|
|
|
|
|
о |
|
|
|
|
|
|
|
2.00 - |
|
|
|
|
|
|
1,00 - |
|
|
|
|
|
|
I |
I |
I |
I |
I I |
I |
|
1400 |
|
512 |
|
256 |
128 |
|
|
|
|
М Ю (байт) |
|
|
|
Рис. П.1.2. Влияние «Заставы-Офис» на производительность А/АИ |
|||||
Из этого рисунка видно, что в канале |
при уменьшении размера 1Р- |
|||||
пакета скорость передачи данных падает более чем в два раза, что вызвано ростом служебного трафика при сохранении полосы пропускания. Макси мальная скорость шифрования, декларируемая разработчиком, составля ет 8 Мбит/с.
412 Приложение 1
К недостаткам также можно отнести невозможность «Заставы-Офис» версии 2.01 работать с фрагментированными 1Р-пакетами (с установленным флагом 1Р~заголовка ЭР). Такие пакеты системой просто игнорируются. Это может вызвать проблемы при взаимодействии различных телекоммуника ционных сред, характеризующихся разными МТО. В настоящее время эти проблемы решены в версии 2.5. Кроме того, по сравнению с другими сред ствами защиты информации, располагающимися в том же сегменте рынка, что и «Застава», данный продукт имеет более высокую цену. Произво дителем декларируется совместимость 5К1Р-продуктов серии «Заста ва» с продуктами других компаний (среди них 51Ш и СЬескРотГ). Од нако 5К1Р-продукты «Застава» различных версий, например 1.62 и 2.01, несовместимы между собой при использовании ГОСТа в качестве алгорит ма шифрования по причине того, что в версии 2.01 были исправлены от дельные ошибки реализации 5К1Р. Отметим, что обновление версии в этом случае производится бесплатно.
Разработчику также необходимо предусмотреть дополнительную защиту (возможно, криптографическую) от несанкционированного доступа ключе вых материалов системы, защита которых в настоящих версиях возложена на штатные средства 5о1ап$.
Следует отметить надежность и управляемость «Заставы». В течение года непрерывной эксплуатации сбои программного обеспечения наблю дались всего дважды, и они не приводили к фатальному краху межсетево го взаимодействия. Так как смена пакетных ключей комплекса произво дится по умолчанию через равные промежутки времени (120 с) либо при прохождении 102400 байт по соединению, необходимо обеспечить синхронизацию таймеров взаимодействующих станций. Это можно сде лать с использованием Ш Т (№1;\уогк Типе Рго1осо1). Межсетевой экран «Застава» поддерживает управление с помощью протокола 5ИМРу1 и у2, что позволяет интегрировать его в корпоративную систему сетевого управ ления типа НР Ореп\Телу.
Пакет «Застава-Офис» имеет графические средства администрирова ния, реализованные с помощью > у а РМ1. Они довольно удобны в работе и позволяют полностью выполнить настройку системы. Однако ^ у а К.М1 весьма чувствителен к пропускной способности сети, и более пригодным может оказаться использование утилит командной строки системы защи ты «Застава».
Наличие сервера сертификатов делает управление ключевой системой достаточно гибким, особенно по сравнению со схемой таблиц ключей, которая используется в ФПСУ-1Р. Так, в частности, допускается наличие
Сравнительные характеристики отечественных средств построения УРЫ 413
нескольких центров генерации и сертификации ключевой информации. Однако плановую смену ключей все равно придется производить вручную, причем на каждом межсетевом экране. Этот процесс может осуществляться централизованно с рабочего места администратора по защищенным каналам
спомощью удаленного терминала и утилит командной строки «Заставы».
Взаключение следует сказать, что комплекс «Застава» постоянно раз вивается, и уже в следующих версиях в нем планируется полностью реа лизовать вырабатываемые в настоящее время стандарты 1Р5ес, что позво лит строить и управлять УРЫ более гибко. Высокой оценки заслуживает надежность и управляемость комплексом, на основе которого строятся корпоративные и межкорпоративиые УРЫ.
3.«Шип». Производитель -
МО ПНИЭИ, г. Москва
Результаты испытаний системы «Ш и п » показали, что в целом этот комп лекс реализует характеристики, отраженные в документации, однако у него есть и существенные недостатки. Например, при плановой смене ключей наблюдались разрывы связи, доходившие до нескольких минут, что, конеч но, может привести к нарушению работы сетевых приложений.
Отсутствие поддержки протоколов динамической маршрутизации (на пример, К.1Р), в случае отказа А П К «Ш и п », не позволяет перейти на ре зервную конфигурацию связи по открытому каналу без перекоммутации сетевых кабелей. Вариант обхода неисправного А П К «Ш и п » с использо ванием резервного маршрутизатора ЬАЫ-ЬАЫ требует наличия в холодном резерве дополнительного сетевого оборудования в каждом филиале. Заме тим также, что через «Ш и п » не может транслироваться незашифрован ный трафик, поэтому с его помощью трудно построить многочисленные гибкие УРЫ смешанного назначения и обеспечить из внутренней сети одновременный доступ к защищенным комплексам «Ш и п » и общедос тупным ресурсам сети. Кроме того, обнаружилось, что затруднительно управлять оборудованием региональной сети из локальной сети орга низации, так как сетевое оборудование находится за комплексом «Ш ип». Для того чтобы справиться с этой проблемой, придется резервировать дополнительные порты сетевого оборудования, из-за чего увеличивается общая стоимость сети. «Застава» и Ф П С У -1Р имеют возможность транс лировать незашифрованный трафик и тем самым поддерживать отдель ную УРЫ, служащую только для защиты системы управления корпора тивной сетью.
414 Приложение 1
Необходимость постоянной связи с центром управления ключевой сис темой (Ц У К С ) также нельзя отнести к достоинствам этого комплекса, потому что «Ш ип» осуществляет периодический (15 мин) опрос Ц УКС . Разрыв этого канала может привести к нарушению функционирования всей сети. Продукты же типа «Застава», имея загруженные в локальные базы данных сертификаты, могут обходиться без сервера сертификатов. Ф П С У -1Р пока не предусматривает наличия централизованного управле ния ключами. Отметим, что Ц УК С «Ш и п » распространяет таблицы соот ветствия ключей и абонентов, а не сами ключи. Так что при использова нии всей ключевой матрицы новую таблицу все равно придется ставить на каждый «Ш ип» вручную.
Максимальная скорость шифрования, декларируемая разработчиком, составляет, как и у «Заставы», 8 Мбит/с.
Документация на «Ш и п » является самой полной по сравнению с опи санными выше продуктами, хотя и не лишена мелких недочетов.
Так как «Ш ип» использует 5К1Р, то недостатки, которые описаны при анализе «Заставы», в равной мере относятся и к «Ш ипу».
По стоимости «Ш ип» занимает промежуточное положение между Ф П С У - 1Р и «Заставой». В отличие от Ф П С У -1Р в составе комплекса «Ш и п », по заявлению разработчиков, имеется клиентское программное обеспечение, разработанное для 'М псЬ^з ЫТ, хотя, скорее всего, реализация под \Утйо^з 95 тоже могла бы быть полезной.
После доработки и устранения недостатков, в частности увеличения на дежности и управляемости, «Ш ип» может стать хорошим средством защи ты корпоративных сетей.
4 . Заключение
По результатам проведенных стендовых испытаний и опытной эксплуата ции в региональных сетях наиболее пригодным для создания внутрикор поративной УРЫ считается ФПСУ-1Р. Вместе с тем лучшим для реализа ции системы управления и распределения сертификатов, а также наиболее соответствующим стандартам 1Р5ес для обеспечения безопасности межкорпоративной территориально распределенной сети, иа взгляд авторов приложения, является комплекс «Застава». АП К «Ш и п » может исполь зоваться в корпоративных сетях среднего размера с устойчивыми канала ми связи между узлами системы и центром управления ключевыми сис темами.
П р и ло ж ен и е 2
Си с тем а с а н к ц и о н и ро в а н н о го
ДОСТУПА К РЕСУРСАМ КОРПОРАТИВНОЙ
ИНФОРМАЦИОННОЙ СИСТЕМЫ
Здесь рассматривается класс информационных систем повышенной слож ности, которые обычно называют корпоративными информационными системами или системами масштаба предприятия. Как правило, любая корпоративная информационная система состоит из ряда подсистем (сбора данных, технологической обработки данных, управления пред приятием, поддержки принятия решения, информационно-аналитичес кая и т.д.).
При построении систем масштаба предприятия для сокращения общих затрат, связанных с их установкой и эксплуатацией, желательно объединять все входящие в этот класс подсистемы в один комплекс и придерживаться следующих основополагающих правил:
•поддержка открытых стандартов, подразумевающая соответствие об щепринятым стандартам;
•масштабируемость, означающая, что программное обеспечение долж но работать с приемлемой производительностью без внесения в него существенных изменений при увеличении мощности и количества ис пользуемого оборудования;
•многозвенность; принцип многозвенности означает, что каждый уро вень системы (клиент, АУеЪ-сервер, сервер приложений, сервер баз дан ных) отвечает и реализует функции, наиболее присущие ему;
•аппаратно-платформенная независимость программного обеспече ния, используемого при разработке системы;
•коммуникативность. Этот принцип означает, что различные уровни системы могут взаимодействовать между собой как по данным, так и по приложениям.