<< Предыдущая

стр. 42
(из 48 стр.)

ОГЛАВЛЕНИЕ

Следующая >>

криптосуммы (дайджеста) при помощи ключа Кп


Рис. 11.7. Последовательность операций формирования пакета
в протоколе SKIP

Поскольку SKIP-защищенный пакет является стандартным IP-пакетом, все промежуточное
сетевое оборудование между отправителем и получателем стандартным образом маршрутизует этот
пакет до его доставки узлу-получателю.

Аутентификация
Реализуется в коммуникационном модуле. Один из вариантов аутентификации,
использующий симметричную криптографию, выглядит следующим образом.
• Шифрование и генерация случайных чисел могут осуществляться с помощью платы серии
КРИПТОН.
• Оба абонента владеют секретным ключом Sk.
• Абонент A генерирует случайное число Da и посылает его абоненту B.
• Абонент B шифрует принятое число Da на ключе Sk (результат обозначим через Da(Sk)),
генерирует свое случайное число Db и посылает абоненту A числа Db и Da(Sk).
• Абонент A шифрует Da и сравнивает результат шифрования Da(Sk) с полученным числом. Если
они совпадают, значит, это абонент B. Далее абонент A шифрует число Db и посылает абоненту
B число Db(Sk) совместно с информацией.
• Абонент B шифрует Db и сравнивает Db(Sk) с полученным числом. Если числа совпадают,
значит, абонент В связан с абонентом A и может передавать ему информацию.


11.3. Защита компонентов ЛВС от НСД
Защита абонентских пунктов
Рассмотрим несколько вариантов реализации абонентских пунктов (АП). Предположим, что
уровень защищенности абонентского пункта должен обеспечивать нахождение в нем секретной
информации. Помещения, в которых будут находиться такие абонентские пункты, должны иметь
соответствующую категорию. Передача информации между абонентскими пунктами и абонентским
пунктом и сервером в защищенном режиме производится в зашифрованном виде.
Абонентский пункт для DOS, Windows 3.11. В состав пункта включаются (рис. 11.8):
• система защиты от несанкционированного доступа КРИПТОН-ВЕТО;
• коммуникационный модуль с аутентификацией, абонентским шифрованием или с шифрованием
пакетов.
Коммуникационный модуль обеспечивает защиту ПК со стороны сети. Он пропускает на ПК
только пакеты, зашифрованные определенными ключами. Запись ключевой информации на ПК
осуществляется администратором сегмента сети, в котором находится абонентский пункт. В функции
коммуникационных программ Crypton Fort E+ Client входят:
• реализация заданной дисциплины работы и разрешение доступа (на абонентский пункт могут
прислать пакеты только абонентские пункты, включенные в список разрешенных соединений);
• аутентификация трафика (производится строгая аутентификация абонентского пункта, который
прислал пакет по сети);
• шифрование IP пакетов;
• сбор статистики и сигнализация;
• настройка параметров защиты с помощью удобного графического интерфейса.
Абонентский пункт, работающий под управлением DOS, можно отнести к полностью
контролируемой системе. Для абонентского пункта с Windows 3.Х при необходимости возможно
усиление защиты с помощью криптомаршрутизатора под управлением DOS или специализированной
сетевой платы.
Локальная вычислительная сеть

Защита от НСД со стороны
Сетевая плата
сети:
? разрешение доступа,
? аутентификация трафика,
? шифрование трафика,
Crypton Fort E+
? сбор статистики и сигна-
Client
лизация
ПК под управлением DOS и
Windows 3.x Защита документооборота:
? электронная цифровая
Абонентское шифрование и подпись документов,
ЭЦП
? сжатие документов,
(CryptonSoft, CryptonSign,
? шифрование документов
CryptonArcMail)

Защита от НСД со стороны
КРИПТОН-ВЕТО консоли:
(Плата серии КРИПТОН или ? аутентификация пользо-
эмулятор для КРИПТОН-НСД) вателя,
? разграничение полномо-
чий,
? проверка целостности
ОС и ПО
...

Рис.11.8. Структура средств защиты АП под управлением DOS и Windows 3.x

Абонентский пункт для Windows NT и UNIX. Поскольку в этом случае нельзя полностью
доверять операционной системе, то такой абонентский пункт относится к частично контролируемым
системам. Поэтому для подобных абонентских пунктов внутри сегмента сети необходимо
использовать полностью контролируемое устройство для анализа функционирования программных
средств защиты. В целом защита строится аналогично описанной выше для абонентского пункта под
управлением DOS (рис. 11.9).
В состав пункта включаются:
• система защиты от несанкционированного доступа КРИПТОН-ЗАМОК (обеспечивает ограничение
доступа на ПК и проверку целостности программного обеспечения перед загрузкой операционной
системы);
• коммуникационный модуль с аутентификацией, абонентским шифрованием или с шифрованием
пакетов.
Для выхода во внешний сегмент или при хранении и обработке важной информации
возможна реализация шифрующегo модуля в виде криптомаршрутизатора (рис. 11.10), который
реализуется как полностью контролируемая система. Такой криптомаршрутизатор может выполнять
также функции контроля за программным обеспечением абонентских пунктов с частично
контролируемым ПО.
Защита терминалов. Терминальные устройства должны подключаться к хост-компьютерам,
которые защищаются так же, как абонентский пункт, описанный выше.
Поскольку канал связи между хост-компьютером и терминалом не шифруется, последние
должны находиться в одной комнате.
Устройство ? Контроль трафика сети.
контроля сети ? Контроль ПО защиты
абонентских пунктов.
? Сбор статистики и
сигнализация

Локальная вычислительная сеть

Защита от НСД со стороны
Сетевая плата
сети:
? разрешение доступа,
? аутентификация трафика,
? шифрование трафика,
Crypton Fort E+ ? сбор статистики и
Client сигнализация

ПК под управлением Защита документооборота:
Windows 95, ? электронная цифровая
Windows NT, UNIX подпись документов,
? сжатие документов,
Абонентское шифрование и
? шифрование документов
ЭЦП
(КРИПТОН®Шифрование,
Защита от НСД со стороны
КРИПТОН®Подпись,
консоли:
Crypton ArcMail)
? ограничение доступа,
? аутентификация
КРИПТОН-ЗАМОК пользователя,
(Плата серии КРИПТОН)
? проверка целостности
ОС и ПО,
? сохранность ключей



Рис.11.9.Структура средств защиты АП под управлением Windows 95/98/NT и UNIX



Защита маршрутизаторов. Криптомаршрутизатор.
Подобная защита реализуется только под управлением сертифицированной DOS. Схема
защиты похожа на расширенный абонентский пункт, дополненный сетевыми платами и программным
обеспечением для выполнения функций маршрутизации пакетов. Такой защищенный компьютер
рассматривается как барьер между открытой и закрытой средой.
Структурная схема криптографического IP-маршрутизатора «КРИПТОН-IP» показана на рис.
11.10.
Локальная
Глобальная
вычислительная
вычислительная
сеть
сеть
Сетевая плата


АП1 Сетевая плата

Разрешение
*
DOS доступа в ЛВС.
... ? Аутентификация
трафика.
ПО
? Шифрование
криптомаршрутизатора
АПn трафика.
? Маршрутизация.
? Сбор статистики и
КРИПТОН-ВЕТО
сигнализация.
Плата КРИПТОН
? Контроль средств
защиты на АП


Рис. 11.10. Структура криптомаршрутизатора

Криптомаршрутизатор «КРИПТОН-IP» предназначен для применения в качестве
маршрутизатора пакетов данных (с IP-форматом) между глобальной и локальными компьютерными
сетями с обеспечением защиты от несанкционированного доступа к данным пакета. Как в самом
комплексе «КРИПТОН-IP», так и в пакетах данных при обмене или в открытой сети осуществляется
криптографическая защита данных (их шифрование согласно ГОСТ 28147-89). Для контроля
целостности и истинности файлов данных введено формирование (при необходимости) их
электронной цифровой подписи согласно ГОСТ Р 34.10-94.
Для защиты от НСД подключенных к комплексу локальных компьютерных сетей используются
также методы фильтрации IP-пакетов по определенным правилам с аутентификацией их источников.
Кроме криптографической защиты данных, в комплексе «КРИПТОН-IP» реализовано
разграничение доступа к размещенным в его памяти программным средствам и данным с
регистрацией в электронном журнале процесса доступа к ресурсам комплекса.
В комплексе применено сертифицированное аппаратно-программное средство
криптографической защиты информации Crypton ArcMail, имеющее сертификат ФАПСИ
(регистрационный номер СФ/120-0278 от 30.06.99 г.), в состав которого входят следующие
аппаратные и программные средства:
(а) устройство криптографической защиты данных (УКЗД) «КРИПТОН-4К/16», имеющее свой
локальный программный BIOS УКЗД, который выполняет:
• Загрузку ключей шифрования данных до загрузки операционной среды компьютера;
• Контроль целостности операционной среды компьютера до загрузки MS DOS под управлением
программного обеспечения комплекса;
• Шифрование данных под управлением программного обеспечения комплекса;
(б) адаптер смарт-карт SA-101i, обеспечивающий ввод ключевой информации в УКЗД со смарт-
карт с открытой памятью, минуя шину данных компьютера;
(в) программы системы криптографической защиты информации от несанкционированного
доступа (СКЗИ НСД) «КРИПТОН-ВЕТО 2.0», которые управляют:
• процессом контроля целостности операционной среды компьютера;
• шифрованием данных;
• контролем разграничения доступа к ресурсам компьютера комплекса;
• регистрацией в электронном журнале процесса работы комплекса;
(г) программы комплекса Crypton Router v.2.0, реализующие методы криптографической защиты и
автоматическую маршрутизацию пакетов при приеме/передаче по сети обмена данными.
Любой абонент защищенной сети, подсоединенной к криптомаршрутизатору, может
обмениваться данными с любым другим абонентом сети, причем шифрование передаваемых данных
для абонентов является прозрачным.
Кроме того, применение криптомаршрутизатора позволяет скрыть трафик между абонентами
защищенных локальных сетей. Это определяется тем, что обмен данными происходит между
криптомаршрутизаторами, имеющими собственные сетевые адреса, а адреса абонентов передаются
по каналам связи только в зашифрованном виде.
Для систем с конфиденциальной информацией можно использовать маршрутизатор под
управлением UNIX Crypton Fort E+ Branch, отдавая себе отчет, что это все-таки частично
контролируемая система.
Для контроля абонентского пункта локальной сети, не выходящей в глобальную
вычислительную сеть (ГВС), можно использовать облегченный вариант устройства контроля сети,
представляющего собой урезанный криптомаршрутизатор – без второй сетевой платы и ПО
маршрутизации.
Защита центра генерации ключей. Центр генерации ключей располагается на отдельном
компьютере (по структуре аналогичен абонентскому пункту под управлением DOS), доступ к которому
имеет только администратор сети.
В состав центра включаются:
• система защиты от несанкционированного доступа КРИПТОН-ВЕТО;
• программа CryptonSoft;
• коммуникационный модуль с аутентификацией и шифрованием пакетов.
Защита локальных серверов, серверов приложений и корпоративного сервера. Защита
баз данных и файл-серверов может производиться так же, как защита абонентского места (см. рис.
11.9). Однако доступ к серверам с секретной информацией должен ограничиваться с помощью
устройств защиты от НСД с разграничением доступа, представляющих собой расширенный
функциями проверки полномочий и обеспечения доступа к разрешенным приложениям и документам
криптомаршрутизатор (см. рис.11.10).
Защита сегментов сетей. Защита осуществляется на основе перечисленных выше
компонентов. Внутри сегмента сети используются программные коммуникационные модули на
абонентских пунктах АП1–АПn (рис. 11.11). В частично контролируемой среде есть вероятность их
Сервер Сервер
1 N
...


Устройство ? Функции крипто-
защиты маршрутизатора.
от НСД
? Функции контроля сети.
? Функции разграничения
доступа (защиты от НСД)
...
АП1 АП2 АПn



Крипто-
маршрутизатор


<< Предыдущая

стр. 42
(из 48 стр.)

ОГЛАВЛЕНИЕ

Следующая >>