Организация защищенного канала между локальными сетями через Internet через туннелирование однокарточными координаторами

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

Министерство образования Российской Федерации Федеральное агентство по образованию Государственное образовательное учреждение высшего профессионального образования «Северокавказский государственный технический университет» Кафедра защиты информации

Курсовая работа

по дисциплине «Технология построения защищенных автоматизированных систем»

Тема: «Организация защищенного канала между локальными сетями через Internet через туннелирование однокарточными координаторами»

Автор работы: Положенцев Александр Викторович

Специальность: 090105 «Комплексное обеспечение

информационной безопасности автоматизированных систем»

Номер группы БАС-071

Ставрополь, 2011

Содержание

Введение

1. Средства обеспечения безопасности VPN

1.1 Типы VPN

1.2 Методы реализации VPN сетей

1.3 Анализ возможных уязвимостей протокола PPTP

2. Построение защищенного канала между ЛВС с помощью ПО VipNеt

2.1 Технология VipNеt

2.2 Организация защищенной автоматизированной системы

Заключение

Список использованной литературы

Введение

Виртуальная сеть - это новый уровень услуг сетевого взаимодействия в области интеграции, территориально распределенных информационных ресурсов, систем, технологий и локальных сетей для их объединения в единую логическую сеть на основе использования сетей общего пользования.

Исторически, проблему организации надёжного канала для передачи данных решали при помощи прокладки прямого кабеля, физически защищённого от перехвата данных, например за счёт расположения его, в труднодоступных местах или установки датчиков объёма, контролирующих доступ к нему. Но стоимость подобных решений была слишком высока даже для соединения близкорасположенных объектов, а в случае соединения объектов из разных частей страны или разных стран стоимость приближалась к астрономическим цифрам.

С другой стороны, конец XX века был отмечен лавинообразным распространением Internet: в геометрической прогрессии росли скорости доступа, охватывались все новые и новые территории, практически между любыми двумя точками в мире можно было установить быструю связь через Internet. Но передача информации не была безопасной, злоумышленники могли перехватить, украсть, изменить её. В это время стала набирать популярность идея организации надёжного канала, который для связи будет использовать общедоступные коммуникации, но за счёт применения криптографических методов защитит передаваемые данные. Стоимость организации такого канала была во много раз меньше стоимости прокладки и поддержания выделенного физического канала, таким образом, организация защищённого канала связи становилась доступной средним и малым предприятиям, и даже частным лицам.

При объединении сетей через Internet, сразу же возникает вопрос о безопасности передачи данных, поэтому возникла необходимость создания механизмов позволяющих обеспечить конфиденциальность и целостность передаваемой информации. Сети, построенные на базе таких механизмов, и получили название VPN.

Кроме того, очень часто современному человеку, развивая свой бизнес, приходится много путешествовать. Это могут быть поездки в отдаленные уголки нашей страны или в страны зарубежья. Нередко людям нужен доступ к своей информации, хранящейся на их домашнем компьютере, или на компьютере фирмы. Преимущества технологии VPN в том, что организация удалённого доступа делается не через телефонную линию, а через Internet, что намного дешевле и лучше.

1. Средства обеспечения безопасности VPN

локальная сеть программный туннелирование internet

1.1 Типы VPN

VPN подразделяют на три группы:

- trusted (доверенные) VPNs,

- secure (безопасные) VPNs,

- hybrid (гибридные) VPNs.

Когда Internet еще не был таким большим и универсальным, многие компании брали в аренду у провайдера часть его сети. Провайдер же предоставлял клиентам возможность использовать часть своей сети так, как если бы она полностью принадлежала клиенту: копания применяла свою политику безопасности, использовала свои IP адреса. И хотя сданные в аренду разным компаниям сети могли использовать одно и то же сетевое оборудование (например, коммутаторы), провайдер гарантировал, что его клиенты не имеют доступ к сетям друг друга. Очевидно, что такие сети строились при полном доверии к провайдеру, отсюда и их название.

С течением времени, Internet завоевывал все большую популярность у корпоративных пользователей. И, учитывая, что trusted VPN не обеспечивает, настоящей конфиденциальности данных производители начали создавать протоколы, которые позволяют шифровать данные на "краю" локальной сети и на удаленном узле, создавая, таким образом, так называемый "туннель" между локальной сетью и удаленным узлом (или другой сетью).

Учитывая то, что весь трафик шифруется, даже если злоумышленник сможет перехватить данные, он не сможет их прочесть, и если он попробует изменить данные - об это станет сразу же известно принимающей стороне. Таким образом, осуществляется действительно защищенное соединение. Все VPN, использующие шифрование, называются secure VPN. Trusted VPN и secure VPN можно использовать одновременно, такие сети называются hybrid VPN.

C середины 90-х две компании развивали свои собственные VPN-протоколы:

- Microsoft PPTP,

- Cisco L2F.

В дальнейшем эти протоколы объединили в один, так появился протокол L2TP, который затем стал открытым стандартом. Но по ряду причин, многие и по сей день используют протокол PPTP, причем в реализации самой Microsoft, что отрицательно сказывается на безопасности VPN соединении.

Point to Point Tunneling Protocol (PPTP) - туннельный протокол типа точка-точка - был создан для создания secure VPN по общедоступной TCP/IP сети с помощью стандартного протокола PPP.

Сначала создается управляющее туннелем соединение (через TCP, порт 1723). После обмена служебными сообщениями, узлы создают соединение для пересылки данных, посредством протокола Generic Routing Encapsulation (GRE). Данные, предназначенные для пересылки через туннель, инкапсулируются необычным образом. Во-первых, данные проходят все уровни OSI модели до уровня Network включительно, а на уровне Data Link только вычисляются заголовок и окончание PPP пакета. Затем весь полученный пакет шифруется. К полученному шифротексту протокол PPTP добавляет вычисленные заранее заголовок и окончание PPP пакета. Далее, этот PPP-кадр инкапсулируется в GRE-пакет. К GRE-пакету приписывается IP заголовок, затем он инкапсулируется в PPP-кадр и отправляется получателю.

Учитывая то, что PPTP использует GRE, который инкапсулирует протоколы сетевого уровня (IPX, AppleTalk, и т.д.) для передачи их по IP-сетям, очевиден главный недостаток PPTP -возможность создания туннеля только поверх TCP/IP сетей.

Layer 2 Tunneling Protocol (L2TP) - протокол туннелирования на втором уровне - является объединением двух протоколов:

- PPTP-туннелирование по TCP/IP-сетям,

- L2F - туннелирование по X.25,ATM, Frame Relay.

L2TP использует для транспортировки протокол UDP (как для туннелирования данных, так и для управления туннелем). Сначала данные в процессе инкапсуляции доходят до второго уровня (Data Link),затем к полученному PPP-кадру приписывается L2TP заголовок. Итоговое L2TP-сообщение инкапсулируется UDP, который, в свою очередь, инкапсулируется IPSec.

Таким образом, L2TP отвечает только за создание и управление туннелем, а также за надежную доставку UDP-датаграмм (в заголовке L2TP есть поля, Next-Received и Next-Sent которые схожи по функциональности Acknowledgement Number и Sequence Number в протоколе TCP). Шифрование же - прерогатива IPSec.

1.2 Методы реализации VPN сетей

Главной отличительной чертой VPN является использование сети Internet в качестве магистрали для передачи корпоративного IP-трафика. Сети VPN предназначены для решения задач подключения конечного пользователя к удаленной сети и соединения нескольких локальных сетей.

Структура VPN включает в себя каналы глобальной сети, защищенные протоколы и маршрутизаторы. Для объединения удаленных локальных сетей в виртуальную сеть корпорации используются так называемые виртуальные выделенные каналы. Для создания подобных соединений используется механизм туннелирования. Инициатор туннеля инкапсулирует пакеты локальной сети в новые IP-пакеты, содержащие в своем заголовке адрес этого инициатора туннеля и адрес терминатора туннеля. На противоположном конце терминатором туннеля производится обратный процесс извлечения исходного пакета.

При осуществлении подобной передачи требуется учитывать вопросы конфиденциальности и целостности данных, которые невозможно обеспечить простым туннелированием. Для достижения конфиденциальности передаваемой корпоративной информации необходимо использовать некоторый алгоритм шифрования, причем одинаковый на обоих концах туннеля.

Для того чтобы была возможность создания VPN на базе оборудования и программного обеспечения от различных производителей необходим некоторый стандартный механизм. Таким механизмом построения VPN является протокол Internet Protocol Security (IPSec). IPSec описывает все стандартные методы VPN. Этот протокол определяет методы идентификации при инициализации туннеля, методы шифрования, используемые конечными точками туннеля и механизмы обмена и управления ключами шифрования между этими точками. Из недостатков этого протокола можно отметить то, что он ориентирован на IP.

Другими протоколами построения VPN являются протоколы PPTP (Point-to-Point Tunneling Protocol), разработанный компаниями Ascend Communications и 3Com, L2F (Layer-2 Forwarding) - компании Cisco Systems и L2TP (Layer-2 Tunneling Protocol), объединивший оба вышеназванных протокола. Однако эти протоколы, в отличие от IPSec, не являются полнофункциональными (например, PPTP не определяет метод шифрования).

Говоря об IPSec, нельзя забывать о протоколе IKE (Internet Key Exchange), позволяющем обеспечить передачу информации по туннелю, исключая вмешательство извне. Этот протокол решает задачи безопасного управления и обмена криптографическими ключами между удаленными устройствами, в то время, как IPSec кодирует и подписывает пакеты. IKE автоматизирует процесс передачи ключей, используя механизм шифрования открытым ключом, для установления безопасного соединения. Помимо этого, IKE позволяет производить изменение ключа для уже установленного соединения, что значительно повышает конфиденциальность передаваемой информации.

Варианты построения VPN:

· VPN на базе брандмауэров:

Брандмауэры большинства производителей поддерживают туннелирование и шифрование данных. Все подобные продукты основаны на том, что если уж трафик проходит через брандмауэр, то почему бы его заодно не зашифровать. К программному обеспечению собственно брандмауэра добавляется модуль шифрования. Недостатком данного метода можно назвать зависимость производительности от аппаратного обеспечения, на котором работает брандмауэр. При использовании брандмауэров на базе ПК надо помнить, что подобное решение можно применять только для небольших сетей с небольшим объемом передаваемой информации.

В качестве примера решения на базе брандмауэров можно назвать FireWall-1 компании Check Point Software Technologies. FairWall-1 использует для построения VPN стандартный подход на базе IPSec. Трафик, приходящий в брандмауэр, дешифруется, после чего к нему применяются стандартные правила управления доступом. FireWall-1 работает под управлением операционных систем Solaris и Windows NT 4.0.

· VPN на базе маршрутизаторов:

Другим способом построения VPN является применение для создания защищенных каналов маршрутизаторов. Так как вся информация, исходящая из локальной сети, проходит через маршрутизатор, то целесообразно возложить на этот маршрутизатор и задачи шифрования.

Ярким примером оборудования для построения VPN на маршрутизаторах является оборудование компании Cisco Systems. Начиная с версии программного обеспечения IOS 11.3(3)T маршрутизаторы Cisco поддерживают протоколы L2TP и IPSec. Помимо простого шифрования проходящей информации Cisco поддерживает и другие функции VPN, такие как идентификация при установлении туннельного соединения и обмен ключами.

Для построения VPN Cisco использует туннелирование с шифрованием любого IP-потока. При этом туннель может быть установлен, основываясь на адресах источника и приемника, номера порта TCP(UDP) и указанного качества сервиса (QoS). Для повышения производительности маршрутизатора может быть использован дополнительный модуль шифрования ESA (Encryption Service Adapter).

Кроме того, компания Cisco System выпустила специализированное устройство для VPN, которое так и называется Cisco 1720 VPN Access Router (Маршрутизатор Доступа к VPN), предназначенное для установки в компаниях малого и среднего размера, а также в отделениях крупных организаций.

· VPN на базе программного обеспечения:

Следующим подходом к построению VPN являются чисто программные решения. При реализации такого решения используется специализированное программное обеспечение, которое работает на выделенном компьютере и в большинстве случаев выполняет роль proxy-сервера. Компьютер с таким программным обеспечением может быть расположен за брандмауэром.

В качестве примера такого решения можно выступает программное обеспечение AltaVista Tunnel 97 компании Digital. При использовании данного ПО клиент подключается к серверу Tunnel 97, аутентифицируется на нем и обменивается ключами. Шифрация производится на базе 56 или 128 битных ключей Rivest-Cipher 4, полученных в процессе установления соединения. Далее, зашифрованные пакеты инкапсулируются в другие IP-пакеты, которые в свою очередь отправляются на сервер. В ходе работы Tunnel 97 осуществляет проверку целостности данных по алгоритму MD5. Кроме того, данное ПО каждые 30 минут генерирует новые ключи, что значительно повышает защищенность соединения.

Положительными качествами AltaVista Tunnel 97 являются простота установки и удобство управления. Минусами данной системы можно считать нестандартную архитектуру (собственный алгоритм обмена ключами) и низкую производительность.

· VPN на базе сетевой ОС:

Решения на базе сетевой ОС мы рассмотрим на примере системы Windows NT компании Microsoft. Для создания VPN Microsoft использует протокол PPTP, который интегрирован в систему Windows NT. Данное решение очень привлекательно для организаций использующих Windows в качестве корпоративной операционной системы. Необходимо отметить, что стоимость такого решения значительно ниже стоимости прочих решений. В работе VPN на базе Windows NT используется база пользователей NT, хранящаяся на Primary Domain Controller (PDC). При подключении к PPTP-серверу пользователь аутентифицируется по протоколам PAP, CHAP или MS-CHAP. Передаваемые пакеты инкапсулируются в пакеты GRE/PPTP. Для шифрования пакетов используется нестандартный протокол от Microsoft Point-to-Point Encryption c 40 или 128 битным ключом, получаемым в момент установки соединения. Недостатками данной системы являются отсутствие проверки целостности данных и невозможность смены ключей во время соединения. Положительными моментами являются легкость интеграции с Windows и низкая стоимость.

· VPN на базе аппаратных средств:

Вариант построения VPN на специальных устройствах может быть использован в сетях, требующих высокой производительности. Примером такого решения служит продукт cIPro-VPN компании Radguard.

Данный продукт использует аппаратное шифрование передаваемой информации, способное пропускать поток в 100 Мбит/с. cIPro-VPN поддерживает протокол IPSec и механизм управления ключами ISAKMP/Oakley. Помимо прочего, данное устройство поддерживает средства трансляции сетевых адресов и может быть дополнено специальной платой, добавляющей функции брандмауэра.

1.3 Анализ возможных уязвимостей протокола PPTP

PPTP в реализации Micrsoft:

· Аутентификация:

PPTP от Micrsoft поддерживает аутентификацию в трех вариантах:

1) Пароль в открытом виде.

2) Хеш от пароля (используемые хеш - Lan Manager и WindowsNT хеш).

3) Аутентификация по протоколу MS-CHAP.

Шифрование даных, передаваемый по туннелю, возможно только если используется последний метод аутентификации.

· Хеш-функции:

Хеш-функции используются так же и в протоколе MS-CHAP и при шифровании данных.

Lan Manager - эта функция, основанная на DES, была разработана еще для IBM-OS/2. Она вычисляется следующим образом:

1) Пароль приводится к длине 14 байт (все что выходит за рамки 14 байт опускается, а если пароль меньше 14 байт - в конце дописываются нули).

2) Затем все символы алфавита приводятся к верхнему регистру. Цифры и спецсимволы остаются без изменения.

3) Каждая половина полученной строки используется как ключ. Этими ключами по алгоритму DES шифруется фиксированная константа - получаются две 8 байтовые строки.

4) Эти 8 байтовые строки объединяют, и получается 16 байтный хеш.

Очевидны недостатки этого хеша:

а) ограничение возможных значений пароля, путем перевода символов алфавита в верхний регистр.

б) независимость хэширования двух 7 байтовых строк.

в) нет индивидуальной привязки (т.е. у двух пользователей с одинаковым паролем будут одинаковые хеш-функции).

Все это делает Lan Manager уязвимым для атаки по словарю. А отсутствие индивидуальной привязки делает эту атаку еще и очень быстрой.

WindowsNT хеш вычисляется по такой схеме:

а) Пароль приводится к 14 байтной длине (длина паролей ограничена диспетчером пользователей - сама WindowsNT хеш может принимать пароли длиной до 128 символов).

б) Преобразование полученной строки в Unicode.

в) Хеширование строки с помощью функции MD-4 и получение 16 байтной строки хеша.

В новой функции устранены многие слабости Lan Manager, хотя и не все - индивидуальной привязки нет.

Но куда более серьезная проблема состоит в том, что допущены грубейшие ошибки в реализации. Хотя Lan Manager хеш был включен в протокол для совместимости и не нужен в NT сетях - оба значения хеш-функций передаются вместе. Таким образом, не составляет труда подобрать пароль атакой по словарю Lan Manager хеша и впоследствии подобрать регистр по WindowsNT хешу.

Протокол аутентификации MS-CHAP. Реализация PPP CHAP от Microsoft (MS-CHAP) работает следующим образом:

1) Клиент посылает серверу запрос.

2) Сервер в ответ присылает случайную 8 байтовую строку.

3) Клиент вычисляет хеш Lan Manager от пароля, дописывает к результату 5 нулей. Полученную 21 байтовую строку делит на три 7 байтовых части и использует их в качестве ключа для шифрования случайной 8 байтовой последовательности, присланной сервером. В итоге, получается 24 байтовая строка, которую клиент отправляет серверу. То же самое происходит с использованием Windows NT хеша.

4) Сервер находит в своей базе хеш-функции от пароля, вычисляет 24 байтовую строку от 8 байтовой последовательности, посланной клиенту, и сравнивает свой результат и результат, присланный клиентом. Если сравнение проходит удачно, на этом аутентификация заканчивается.

Сервер может сравнивать ответ по Lan Manager или Windows NT хешам.

Это зависит от того, установлен ли флаг в принятом от клиента пакете (если установлен - используется Windows NT хеш, если нет - Lan Manager хеш).

Как мы видим, здесь так же можно воспользоваться слабостями хеш-функции Lan Manager. Так же можно использовать то, что случайная 8 байтовая последовательность шифруется 7 байтовыми ключами независимо.

Учитывая то, что протокол не предусматривает аутентификации сервера, атакующий может легко замаскироваться под сервер.

Протокол MPPE - протокол шифрования в одноранговых сетях обеспечивает шифрование PPTP пакетов. Для собственно шифрования используется поточный шифр RC4 с 40- или 128-битным симметричным ключом.

40-битовый ключ получается таким образом:

1) Генерация 64-битового ключа из хэш-функции Lan Manager пароля пользователя (известного пользователю и серверу) с помощью SHA.

2) Установка старших 24 бит ключа в значение 0xD1269E.

128-битовый ключ получается так:

1) Объединение хеша Windows NT и 64-битового случайного значения, выданного сервером при работе по протоколу MS-CHAP.

2) Генерация 128-битового ключа с помощью SHA.

Полученный в итоге ключ используется для шифрования. После каждых 256 пакетов ключ меняется. Смена ключа происходит следующим образом:

1) Генерация определяющего ключа - 64-битового для 40-битового шифрования и 128-битового для 128-битового шифрования - путем хеширования предыдущего ключа и исходного ключа с помощью SHA.

2) Если требуется 40-битовый ключ, то установка старших 24 бит ключа в значение 0xD1269E.

При потере синхронизации происходит смена ключа. Как мы видим, все опять упирается в несовершенство хеш-функций - достаточно легко проводить атаки по словарю, особенно, если учесть, что в распоряжении атакующего все стандартные заголовки PPP пакета.

2. Построение защищенного канала между ЛВС с помощью ПО VipNеt

2.1 Технология VipNеt

VipNеt - это широкая линейка продуктов компании «ИнфоТеКС», включающая программные и программно-аппаратные комплексы (средства защиты информации ограниченного доступа, в том числе персональных данных).

VipNеt позволяет организовывать защиту информации в крупных сетях (от нескольких десятков до десятков тысяч сетевых узлов -- рабочих станций, серверов и мобильных компьютеров) и нацелен на решение двух важных задач информационной безопасности:

· Создание защищенной, доверенной среды передачи информации ограниченного доступа с использованием публичных и выделенных каналов связи (Internet, телефонные и беспроводные линии связи) путем организации виртуальной частной сети (VPN) с одним или несколькими центрами управления.

· Развертывание инфраструктуры открытых ключей (PKI) с организацией Удостоверяющего Центра с целью использования механизмов электронно-цифровой подписи в прикладном программном обеспечении заказчика (системах документооборота и делопроизводства, электронной почте, банковском программном обеспечении, электронных торговых площадках и витринах), с поддержкой возможности взаимодействия с PKI-продуктами других отечественных производителей.

VipNеt -- это постоянное развитие функциональных возможностей и следование современным требованиям российского рынка средств защиты информации.

Компания «ИнфоТеКС» особое внимание уделяет вопросам сертификации своих разработок в соответствии с требованиями ФСБ и ФСТЭК России. Отдельные продукты и наборы продуктов из состава VipNеt регулярно проходят сертификацию по требованиям к СКЗИ, средствам сетевого экранирования (межсетевым и персональным сетевым экранам), по отсутствию не декларированных возможностей. Так, например, под общим названием СКЗИ «Домен-КС2/КМ» проходит сертификацию набор продуктов, состоящий из VipNеt Administrator (в части Ключевого центра), VipNеt MFTP и VipNеt CryptoService. А под названием ПАК «Удостоверяющий центр корпоративного уровня VipNеt КС2/КМ» проходит сертификацию набор из VipNеt Administrator (в части Удостоверяющего центра), VipNеt Publication Service, VipNеt Registration Point и VipNеt Client. Необходимость объединения продуктов в такие наборы для сертификации вызвана различиями в специфике систем сертификации ФСБ и ФСТЭК России и разными требованиями, по которым сертификация осуществляется, а также невозможностью выделить из комплексного решения, которым является VipNеt CUSTOM, отдельно сетевой экран или отдельно Удостоверяющий центр.

Технические преимущества VipNеt:

· VipNеt ориентирован на организацию защищенного взаимодействия «клиент-клиент», в то время как большинство VPN-решений других производителей обеспечивают только соединения уровня «сервер-сервер» или «сервер-клиент». Это дает возможность реализовать любую необходимую политику разграничения доступа в рамках всей защищенной сети, а также снизить нагрузку на VPN-серверы, так как в общем случае при взаимодействии «клиент-клиент» VPN-сервер не задействован в операциях шифрования трафика между этими клиентами.

· Большое внимание в VipNеt уделено решению проблемы функционирования в условиях наличия разнообразного сетевого оборудования и программного обеспечения, реализующего динамическую или статическую трансляцию адресов и портов (NAT / PAT), что существенно облегчает процесс интеграции системы защиты в существующую инфраструктуру сети. В большинстве случаев настройка ПО VipNеt Client вручную не требуется.

· В VipNеt CUSTOM реализована раздельная фильтрация открытого и шифруемого трафиков, что позволяет даже среди доверенных сетевых узлов ограничивать возможность работы через несанкционированные порты, протоколы и за счет этого повышать уровень безопасности защищенной сети.

· Каждый компонент VipNеt CUSTOM содержит встроенный сетевой экран и систему контроля сетевой активности приложений или работают совместно с ПО VipNеt Client, что позволяет получить надежную распределенную систему межсетевых и персональных сетевых экранов.

· Для разрешения возможных конфликтов IP-адресов в локальных сетях, включаемых в единую защищенную сеть, VipNеt CUSTOM предлагает развитую систему виртуальных адресов. Во многих случаях она позволяет упростить настройку прикладного ПО пользователя, так как наложенная виртуальная сеть со своими виртуальными адресами скрывает реальную сложную структуру сети. Также становится возможным решение проблем взаимодействия локальных сетей с пересекающейся IP-адресацией.

· VipNеt поддерживает возможность межсетевого взаимодействия, что позволяет устанавливать необходимые защищенные каналы связи между произвольным числом защищенных сетей, построенных с использованием VipNеt.

· VipNеt обеспечивает защиту информации в современных мультисервисных сетях связи, предоставляющих услуги IP-телефонии и аудио- и видеоконференцсвязи. Поддерживается приоритезация трафика и протоколы H.323, Skinny, SIP.

· ПО VipNеt Coordinator поддерживает работу на современных многопроцессорных и многоядерных серверных платформах, что позволяет обеспечивать высокую скорость шифрования трафика.

Практические преимущества VipNеt:

· По сравнению с обычными VPN-решениями VipNеt предоставляет целый ряд дополнительных возможностей по защищенному обмену информацией: встроенные службы мгновенного обмена сообщениями (чат и конференция) и файлами, а также собственная защищенная почтовая служба с элементами автоматизации обмена письмами, файлами и поддержкой механизмов ЭЦП.

· Дополнительные сетевые возможности комплекса VipNеt, такие как контроль сетевой активности приложений, строгий контроль доступа в Internet, механизмы аварийной перезагрузки и защиты от вторжений на этапе загрузки операционной системы, -- позволяют организовать защиту от большинства сетевых атак и минимизировать затраты на систему безопасности в целом.

· VipNеt является самодостаточным комплексом продуктов, поэтому нет необходимости приобретать дополнительные элементы, такие как базы данных, почтовые серверы и специализированные серверные платформы. VipNеt не несет скрытых затрат -- Вы платите только за те компоненты VipNеt, которые Вам необходимы.

· Так как VipNеt может поставляться в виде программного комплекса, его установка и настройка не потребует приобретения специализированного оборудования и может быть произведена на уже существующем компьютерном парке заказчика. В большинстве случаев также не требуется переконфигурация сетевого оборудования.

· Гибкое ценообразование и возможность по мере необходимости пополнения лицензий на компоненты VipNеt позволяют формировать оптимальное ценовое решение для каждого конкретного заказчика. Вы платите только за то, что Вам нужно сейчас, остальное можно купить позже.

· Компания «ИнфоТеКС» проводит на регулярной основе учебные курсы по подготовке администраторов защищенных сетей, построенных с использованием продуктовой линейки VipNеt. Обучив собственных специалистов, можно существенно сэкономить на работах по установке, настройке и эксплуатации защищенной сети.

2.2 Организация защищенной автоматизированной системы

Необходимо организовать защищенный канал между локальными сетями через Internet через туннелирование однокарточными Координаторами.

Обеспечить защиту данной автоматизированной системы необходимо с помощью ПО VipNеt. Для начала необходимо ознакомиться с программными продуктами VipNеt их особенностями и функциями.

VipNеt Administrator (Администратор) -- это базовый программный комплекс для настройки и управления защищенной сетью, включающий в себя:

VipNеt NCC (Центр Управления Сетью, ЦУС) -- программное обеспечение, предназначенное для конфигурирования и управления виртуальной защищенной сетью VipNеt.

VipNеt KC & CA (Удостоверяющий и Ключевой Центр, УКЦ) -- программное обеспечение, которое выполняет функции центра формирования ключей шифрования и персональных ключей пользователей -- Ключевого Центра, а также функции Удостоверяющего Центра.

VipNеt NCC решает следующие задачи:

· Создание узлов защищенной сети, пользователей и допустимых связей между ними путем формирования необходимых баз данных для работы, Удостоверяющего и Ключевого Центров;

· Определение политики безопасности на каждом узле и формирование списка прикладных задач, которые должны выполняться на каждом узле (шифрование трафика, ЭЦП, Деловая Почта и т.д.);

· Автоматическая рассылка всем узлам сети разнообразной справочно-ключевой информации (справочников связей узлов, корневых и отозванных сертификатов, новых ключей шифрования, информации о связях с другими сетями VipNеt и др.);

· Проведение автоматического централизованного обновления ПО VipNеt на узлах защищенной сети, включая программно-аппаратные комплексы VipNеt Coordinator HW;

· Удаленный доступ к журналам событий на узлах защищенной сети;

· Организация межсетевого взаимодействия с целью установления защищенных связей между объектами нескольких сетей VipNеt;

· Управление лицензиями, включая иерархическое распределение лицензий по подчиненным сетям.

Основными функциями Ключевого Центра являются:

· Формирование и хранение первичной ключевой информации (мастер ключи шифрования и межсетевые мастер ключи);

· Формирование ключей шифрования для узлов защищенной сети и ключей шифрования между пользователями защищенной сети (двухуровневая схема);

· Выполнение процедур смены мастер ключей и компрометации ключей шифрования;

· Выработка персональных ключей защиты пользователей и криптографических надежных парольных фраз (паролей);

· Запись персональных ключей пользователей на аппаратные носители ключей -- электронные идентификаторы (eToken, ruToken, Smartcard, touch memory).

Все ключи шифрования, формируемые Ключевым Центром, -- симметричные, длиной 256 бит, используются при шифровании прикладных данных и IP-трафика по ГОСТ 28147-89.

Основными функциями Удостоверяющего Центра являются:

· Создание ключей подписи и издание сертификатов Уполномоченных лиц УЦ, формирование запроса на издание сертификата Уполномоченного лица к головному УЦ;

· Импорт сертификатов Уполномоченных лиц УЦ смежных сетей и головного УЦ;

· Создание ключей подписи пользователей и издание соответствующих сертификатов, рассмотрение запросов на издание сертификатов от пользователей сети;

· Взаимодействие с Центрами Регистрации;

· Выполнение операций по отзыву, приостановлению и возобновлению сертификатов, рассылка списков ототозванных сертификатов;

· Ведение журналов работы и хранение списков изданных сертификатов;

· Запись сертификатов и секретных ключей пользователей на аппаратные носители ключей;

· Кросс-сертификация с УЦ других производителей (УЦ «Крипто-Про», УЦ «Сигнал-КОМ», «Стандарт УЦ» и др.)

УЦ обеспечивает возможность формирования ключей подписи и их сертификацию на основе алгоритма ГОСТ Р 34.10-2001. Сертификаты формируются в формате X.509 v3 и могут быть сохранены по стандартам PKCS.

Программное обеспечение, входящее в состав набора VipNеt Administrator, устанавливается на компьютеры вместе с программным обеспечением VipNеt Client. Это делается с целью сетевой защиты составляющих VipNеt Administrator и их включения в единую защищенную сеть VipNеt.

Программное обеспечение VipNеt NCC и VipNеt KC&CA можно установить как единый программный комплекс на один компьютер, так и на разные, поручив работу с данными программами разным сотрудникам. Это позволяет разграничивать сферы ответственности администраторов защищенной сети и решать проблему «суперпользователя».

VipNеt Coordinator (Windows) -- программный сервер защищенной сети VipNеt, устанавливаемый на ОС Windows 2000/Windows XP/Vista/Windows 7/Server 2003/Server 2008 (32 бит), ОС Vista/Windows 7/Server 2008/Server 2008 R2 (64 бит).

В зависимости от настроек VipNеt Coordinator может выполнять следующие функции:

· Сервера IP-адресов -- обеспечивает регистрацию, и доступ в реальном времени к информации о состоянии объектов защищенной сети и текущем значении их сетевых настроек (IP- адресов и т.п.);

· Прокси-сервера защищенных соединений -- обеспечивает подключение локальной VipNеt сети к другим аналогичным сетям через выделенные каналы связи или публичные сети;

· Туннелирующего сервера (криптошлюза) -- обеспечивает туннелирование трафика с шифрованием от незащищенных компьютеров и серверов локальной сети для его передачи к другим объектам защищенной сети (в том числе мобильным и удаленным) по не доверенным каналам связи. Для мобильных и удаленных объектов защищенной сети туннельный сервер выступает в роли сервера доступа к ресурсам локальной сети;

· Межсетевого экрана -- обеспечивает (в соответствии с заданной политикой безопасности) фильтрацию открытого и защищенного трафиков по множеству параметров (порты, протоколы, диапазоны адресов и др.) между сегментами защищенной и открытой сетей;

· Сервера защищенной почты -- обеспечивает маршрутизацию почтовых сообщений программы VipNеt Client [Деловая почта] и служебных рассылок в рамках защищенной сети VipNеt;

· Отказоустойчивого сервера защищенной сети VipNеt, построенного в виде кластера серверов.

Одной из важных возможностей ПО VipNеt Coordinator помимо шифрования трафика является перехват и фильтрация IP-пакетов, проходящих через каждый сетевой интерфейс координатора. Можно настроить правила антиспуфинга для открытого трафика, выбрать для каждого сетевого интерфейса режим безопасности при обработке открытого трафика, настроить правила фильтрации для открытого и защищенного трафика.

Еще одним очень важным элементом является обеспечение Координатором трансляции открытых сетевых адресов (NAT). Можно настроить статические и динамические правила трансляции для организации подключения к открытым ресурсам Internet. Координатор поддерживает также трансляцию сетевых адресов на прикладном уровне для протокола FTP в целях обеспечения возможности работы FTP-клиентов в активном режиме, и фильтрацию команд FTP-протокола для защиты от использования некорректных значений IP-адресов клиента и сервера.

При просмотре Internet-ресурсов VipNеt Coordinator обеспечивает:

· Блокировку наиболее распространенных баннеров, рекламы, которые могут отвлекать пользователя и приводить к увеличению Internet-трафика. Администратор может расширить список блокируемых баннеров.

· Блокировку Flash-анимации, которая может выполнять несанкционированные пользователем действия.

· Защиту от несанкционированного сбора информации о действиях пользователя в Internet (путем блокирования Cookies и Referer).

Администратор может задать общие правила блокировки для всех веб-сайтов, а также список исключений для отдельных веб-сайтов. Программа позволяет управлять параметрами обработки прикладных протоколов FTP, HTTP, SIP (привязкой портов к протоколам).

При помощи встроенной программы «Контроль приложений» обеспечивается защита координатора на уровне приложений, путем контроля за сетевой активностью приложений. Это гарантирует блокирование любого неразрешенного пользователем приложения, при попытках последнего проявить сетевую активность. Возможность использования программы «Контроль приложений» зависит от регистрационного файла.

В процессе работы координатора формируются различные журналы: регистрации IP-трафика, сетевой активности приложений, регистрации событий по изменению настроек безопасности в программе. Также программа отображает в режиме on-line различную статистическую информацию о зарегистрированном сетевом трафике и заблокированных веб-фильтрами элементах веб-страниц. С помощью этой информации пользователь может легко проанализировать различные события, зафиксированные программой и скорректировать настройки программы.

Программа предоставляет возможность сохранять текущие настройки. Это позволяет в дальнейшем выбирать ту либо иную конфигурацию, в зависимости от потребностей. В программе предусмотрен режим Администратора, для перехода в который необходимо ввести пароль администратора сетевого узла. В этом режиме доступны некоторые дополнительные возможности по настройке программы, просмотр журнала регистрации событий, изменение дополнительных настроек безопасности.

Программа позволяет получить защищенный доступ на удаленный компьютер пользователя сети VipNеt (из окна «Защищенная сеть»), используя внешние программы Remote Administrator, Remote Desktop Connection и VNC.

В программе предусмотрены средства для отслеживания срока действия пароля пользователя, возможность смены пароля, а также входа в программу от имени другого пользователя, если их несколько. За эти и некоторые другие функции отвечает модуль «Настройка параметров безопасности».

Предоставляется возможность использования различных сервисных служб программы для работы в Защищенной сети между пользователями, такие как:

· Обмен сообщениями/Конференция -- эта функция предназначена для передачи сообщений в реальном времени между пользователями сети VipNеt. Все сообщения шифруются в процессе передачи.

· Файловый Обмен -- позволяет пользователям сети VipNеt быстро и удобно обмениваться файлами без установки каких-либо дополнительных служб, например, ftp или совместного использования (sharing) ресурсов. Функция интегрирована в оболочку Windows Explorer и реализуется с помощью контекстного меню, вызываемого по правой кнопке мыши на выбранном для отправки файле или папке.

· Вызов внешних приложений -- программа поддерживает автоматизированный вызов ряда коммуникационных приложений, таких как MS NetMeeting, VoxPhone, Internet Phone, Compaq Insight Manager, Microsoft Portrait с принудительным шифрованием трафика этих приложений.

· Проверка соединения с узлом и информирование о статусе пользователя -- эта функция предоставляет возможность пользователю по своей инициативе узнавать о текущем статусе других пользователей защищенной сети -- об их доступности, активности и т. д.

· Функция «Web-ссылка» -- позволяет обратиться в защищенном режиме к информационным веб-ресурсам узла защищенной сети.

· Функция «Открыть сетевой ресурс» -- позволяет открыть доступные сетевые ресурсы на узле защищенной сети. На компьютеры пользователей защищенной сети VipNеt обращение происходит в защищенном режиме.

VipNеt Client (Клиент) -- это программный комплекс для ОС Windows 2000/Windows XP/Vista/Windows 7/Server 2003/Server 2008 (32 бит), ОС Vista/Windows 7/Server 2008/Server 2008 R2 (64 бит), выполняющий на рабочем месте пользователя или сервере с прикладным ПО функции VPN-клиента, персонального экрана, клиента защищенной почтовой системы, а также криптопровайдера для прикладных программ, использующих функции подписи и шифрования.

Клиент состоит из набора взаимосвязанных программных модулей:

VipNеt [Монитор] -- совместно с низкоуровневым драйвером шифрования и фильтрации трафика отвечает за реализацию функций:

Персонального сетевого экрана -- надежно защищает рабочую станцию/сервер от возможных сетевых атак, как из глобальной, так и из локальной сети. При этом:

· Осуществляется фильтрация защищенного и открытого трафиков по множеству параметров («белый» и «черный» списки IP-адресов, порты, протоколы);

· Реализуется режим «stealth» (режим инициативных соединений), позволяющий сделать невидимым компьютер защищенной сети из открытой сети;

· Обеспечивается обнаружение и блокировка типичных сетевых атак (элементы IDS).

Шифратора IP-трафика -- обеспечивает защиту (конфиденциальность, подлинность и целостность) любого вида трафика (приложений, систем управления и служебного трафика ОС), передаваемого между любыми объектами защищенной сети, будь то рабочие станции, файловые серверы, серверы приложений.

Высокая производительность шифрующего драйвера, поддерживающего современные многоядерные процессоры, позволяет в реальном времени защищать трафик служб голосовой и видеосвязи в сетях TCP/IP и обеспечивать одновременную работу множества пользовательских сессий.

Поддерживается прозрачная работа через устройства статической и динамической NAT/PAT маршрутизации при любых способах подключения к сети.

Чат-клиента -- позволяет пользоваться услугами встроенного сервиса обмена защищенными сообщениями и организации чат-конференций между объектами защищенной сети VipNеt, на которых установлены VipNеt Client или VipNеt Coordinator (Windows).

Клиента службы обмена файлами -- позволяет обмениваться между объектами защищенной сети VipNеt любыми файлами без установки дополнительного ПО (например, FTP-сервера/клиента) или использования функций ОС по общему доступу к файлам через сеть.

Обмен файлами производится через защищенную транспортную сеть VipNеt с гарантированной доставкой и «докачкой» файлов при обрыве связи.

VipNеt [Контроль приложений] -- программа, которая позволяет контролировать сетевую активность приложений и компонент операционной системы.

При этом можно формировать «черный» и «белый» списки приложений, которым запрещено или разрешено работать в сети, а также задавать реакцию на сетевую активность неизвестных приложений.

В большинстве случаев это позволяет предотвратить несанкционированную сетевую активность вредоносного ПО, например, программ - «троянов».

VipNеt [Деловая Почта] -- программа, которая выполняет функции почтового клиента защищенной почтовой службы, функционирующей в рамках защищенной сети VipNеt, и позволяет:

· Формировать и отсылать письма адресатам защищенной сети через простой графический интерфейс пользователя;

· Осуществлять многоадресную рассылку;

· Использовать встроенные механизмы ЭЦП для подписи, в том числе множественной, текста письма и его вложений;

· Контролировать все этапы «жизни» письма благодаря встроенному механизму обязательного квитирования писем. Можно всегда убедиться, что письмо было доставлено, прочитано, открыты вложения. Квитанции об этих событиях могут автоматически подписывать ЭЦП получателя;

· Благодаря встроенной функции аудита иметь доступ к истории удаления писем;

· Вести архивы писем и при необходимости легко переключаться между текущим хранилищем писем и этими архивами;

· Использовать мощный механизм автоматической обработки входящих писем и файлов -- задавать правила обработки входящих писем, а также правила по автоматическому формированию и отправке писем с заданными файлами;

· Любой отправитель корреспонденции может быть однозначно идентифицирован. Поэтому этот сервис VipNеt является идеальным решением для внутрикорпоративного обмена документами и письмами.

VipNеt MFTP -- программа, выполняющая функции обмена служебной информацией между узлами защищенной сети (обновления ключей шифрования, связей узлов, программного обеспечения) и конвертами с письмами «Деловой Почты» и конвертами «Файлового Обмена».

Криптопровайдер VipNеt CSP -- VipNеt Client содержит встроенный криптопровайдер, реализующий стандартный для разработчиков прикладных систем под ОС Windows интерфейс Microsoft CryptoAPI 2.0.

При этом дополнительно предоставляется СОМ-интерфейс для вызова криптографических функций и их использования Web приложениями, а также низкоуровневый С-интерфейс к криптографическим функциям для встраивания в приложения заказчика.

ПО VipNеt [Администратор] устанавливается на один из компьютеров (администратор безопасности) распределенной сети (обычно в центральном офисе). ПО позволяет:

* Создать топологию (логическую конфигурацию) VPN-сети и сгенерировать ключевую информацию для объектов VPN-сети, задать названия объектам VPN-сети и разрешить или запретить связи между ними.

* Модифицировать (добавить или удалить объекты) VPN-сети с последующей рассылкой обновленной справочной и ключевой информации тем объектам VPN-сети, которых коснулось конкретное изменение.

* Централизованно обновить установленное ПО (VipNеt [Клиент] и VipNеt [Координатор]) в случае выхода новой версии.

ПО VipNеt [Координатор] устанавливается на шлюзы локальных сетей (PROXY-серверы). IP-адреса таких компьютеров должны быть статическими реальными адресами Internet. ПО выполняет следующие функции:

* является сервером IP-адресов, то есть является справочным бюро, которое сообщает объектам VPN о текущем состоянии других объектов VPN (включены или выключены) и их IP-адресах;

* является сервером для рассылки обновлений (ПО, справочная и ключевая информация);

* является сервером-маршрутизатором для рассылки почтовых сообщений (если используется программа «Деловая Почта») и файлов, посылаемых по «файловому обмену» между объектами VPN;

* является Межсетевым Экраном, который запрещает несанкционированный доступ в ЛВС из Internet;

* выполняет подмену IP-адресов для зашифрованных IP-пакетов.

ПО VipNеt [Клиент] устанавливается на все остальные компьютеры всех локальных сетей. ПО выполняет следующие функции:

* Путем шифрования/расшифрования защищает весь информационный обмен данного компьютера с другими объектами VPN от несанкционированного доступа третьих лиц.

* Запрещает доступ к ресурсам в Internet (WEB, FTP и т.д.).

* Предоставляет большой набор сервисных возможностей для взаимодействия с другими объектами VPN (отправка онлайновых текстовых сообщений, получение информации о "включенности" конкретного объекта VPN, отправка почтовых сообщений и файлов и др.).

* При старте компьютера сообщает серверу IP-адресов свой текущий IP-адрес.

* При выключении компьютера сообщает серверу IP-адресов об этом.

* Является Персональным Сетевым Экраном, который запрещает несанкционированный доступ с открытых ресурсов на данный компьютер пользователя.

Заключение

Проанализировав схему незащищенной автоматизированной системы, в данной курсовой работе был организован защищенный канал между локальными сетями через Internet через туннелирование однокарточными Координаторами, с помощью программного обеспечения VipNеt. ПО VipNеt [Администратор] устанавливается на один из компьютеров (администратор безопасности) распределенной сети в центральном офисе. ПО VipNеt [Координатор] устанавливается на шлюзы локальных сетей (PROXY-серверы). ПО VipNеt [Клиент] устанавливается на все остальные компьютеры всех локальных сетей.

Адреса в локальных сетях частные. На входах в локальные сети стоят компьютеры PROXY с реальными адресами. Количество локальных сетей не ограничено. С помощью ПО VipNеt защитили информационный обмена при прохождении через открытый Internet, защищенный туннель прозрачен для пользователей, которые работают с ресурсами удаленных ЛВС, пользователи локальной сети не имеют доступа к ресурсам открытого Internet, за исключением ресурсов других локальных сетей, определенных администратором, с которыми организуется защищенное взаимодействие.

Программные и программно-аппаратные комплексы, разработанные компанией «ИнфоТеКС», предоставляют возможность построения сетей VPN практически любой конфигурации и использования средств VPN, удовлетворяющих требованиям самых разных потребителей -- от малого бизнеса до государственных организаций. Решение VipNеt используется во многих государственных и коммерческих структурах.

Список использованной литературы

1. Девянин П.Н. Модели безопасности компьютерных систем: учебное пособие./ П.Н. Девянин - Изд. центр «Академия», 2005

2. Хореев П.Б. Методы и средства защиты информации в компьютерных системах: учебное пособие. / П.Б. Хореев - Изд. центр «Академия», 2005

3. Торокин А.А. Инженерно-техническая защита информации: учебное пособие. / А.А. Торокин - М.: Гелиос АРВ, 2005

4. Соболев А.Н., Кириллов В.М. Физические основы технических средств обеспечения информационной безопасности. / А.Н. Соболев, В.М. Кириллов - М.: Гелиос АРВ, 2004

5. Галицкий А.В., Рябко С.Д., Шаньгин В.Ф. Защита информации в сети. Анализ технологий и синтез решений. / А.В. Галицкий, С.Д. Рябко, В.Ф.Шаньгин - М.: ДМК Пресс, 2004

6. Тарасюк М.В. Защищенные информационные технологии. Проектирование и применение. / М.В. Тарасюк - М.: Солон, 2004

7. Тихонов В.А. Организационно-правовые основы защиты информации: учебное пособие./ В.А. Тихонов - М.: Гелиос АРВ, 2006

8. Максимов Ю.Н., Сонников В.Г., Петров В.Г., Паршуткин А.В., Еремеев М.А. Технические методы и средства защиты информации./ Ю.Н. Максимов, В.Г. Сонников, В.Г. Петров, А.В. Паршуткин, М.А. Еремеев - М.: Полигон, 2005

9. Моргунова Е.А., Погуляев В.В. Комментарий к Федеральному закону «Об информации, информатизации и защите информации». Постатейный./ Е.А. Моргунова, В.В. Погуляев - М.: Юстицинформ, 2004

10. Садердинов А.А., Трайнев В.А., Федулов А.А. Информационная безопасность предприятия./ А.А. Садердинов, В.А. Трайнев, А.А. Федулов - М.: Издательский дом Дакшов И К, 2004

11. Галатенко В.А. Стандарты информационной безопасности. / В.А. Галатенко - М.: Линукс-центр, 2004

12. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. / А.Ю. Щеглов - М.: Наука и техника, 2004

13. Бармен С. Разработка правил информационной безопасности. / С. Бармен - СПб.: Вильямс, 2002

Размещено на Allbest.ru