<< Предыдущая

стр. 43
(из 48 стр.)

ОГЛАВЛЕНИЕ

Следующая >>

ГВС

Рис. 11.11. Схема защиты локальной вычислительной сети

подмены. Поэтому для выхода в сеть из сегмента и входа из сети в сегмент применяются средства с
операционной системой DOS и шифрованием – маршрутизаторы (см. рис.11.10) или
специализированные сетевые платы.
Предложенная выше структура не является единственной. Допускается введение мостов,
маршрутизаторов, межсетевых экранов как в защищенной части сети, так и в открытой (рис. 11.12).
Поскольку все они, как правило, реализованы под управлением неаттестованных операционных
систем, их можно рассматривать не как основные средства защиты, а лишь как вспомогательные.
а) ...
АП1 АП2 АПn Сервер



Устройство
контроля сети


б) ...
АП1 АП2 АПn Сервер



Устройство
защиты от НСД



в) ГВС ...
АП1 АП2 АПn Сервер

router
Устройство
защиты от НСД



г) ...
АП1 АП2 АПn Сервер

ГВС
Крипто-маршрутизатор

Крипто-маршрутизатор
ГВС
...
АПn+1 АПm Сервер


Рис. 11.12. Варианты структуры защищенных ЛВС:
а) ЛВС с программной защитой сервера,
б) ЛВС с программно-аппаратной защитой сервера,
в) ЛВС с выходом в глобальную вычислительную систему,
г) ЛВС с защищенным обменом через открытую сеть
На базе криптомаршрутизатора КМ «КРИПТОН-IP» можно строить защищенные виртуальные
корпоративные (частные) сети (Virtual Private Network – VPN), в которых сетевые соединения
устанавливаются в интересах и по требованию определенных пользователей.
Типичная схема подключения локальной сети к высшей глобальной сети через
криптомаршрутизаторы КМ представлена на рис. 11.13. КМ обеспечивает контроль всего IP-трафика,
циркулирующего между внешней и внутренней сетями. К прохождению допускаются только пакеты,
исходящие из узлов или предназначенные для узлов, связь с которыми разрешена. Кроме того, КМ
обеспечивает прозрачное шифрование/дешифрование трафика, что позволяет использовать
открытые каналы связи (в том числе и сеть Internet) для организации VPN.
При использовании сети Internet криптомаршрутизатор КМ должен иметь корректно
выделенный провайдером внешний IP-адрес, необходимый для правильной промежуточной
маршрутизации. Организация работы КМ позволяет полностью скрывать топологию ЛС.
В настоящий момент КМ может включать несколько сетевых интерфейсов (в том числе модем
и мультипортовую плату) и поддерживать связь через последовательный порт (нуль-модем). КМ
поддерживает сетевые адаптеры, соответствующие широко распространенному стандарту Ethernet.
КМ «КРИПТОН-IP» является средством защиты компьютерных сетей и позволяет создавать
защищенные VPN на базе любых открытых сетей или на базе ЛС, использующих незащищенные
линии связи. Кроме того, он может быть использован для разграничения передаваемой информации
с разным уровнем доступа. Фильтрация трафика на IP-уровне и выбор правил политики безопасности
позволяет применять КМ для организации как полностью защищенной сети, так и сети с выборочной
передачей и приемом пакетов в открытом виде (с разрешением работы некоторым узлам сети без
защиты трафика).
VPN




LAN 1 LAN 2
КМ 1 КМ 2




Internet

… …



Modem
КМ 3


VPN VPN
LAN 3









Рис. 11.13. Типичная сетевая топология с использованием КМ.




11.4. Технология работы с ключами
При использовании шифрования с открытым распределением ключей каждый пользователь
должен иметь как минимум один секретный ключ и множество открытых ключей других абонентов.
Понятно, что секретный ключ должен быть недоступен для других. Открытые ключи не являются
секретными, но существует опасность их подмены.
Использование секретной дискеты или электронной карточки с ключами. Секретный
ключ и все открытые ключи могут быть записаны на определенный ключевой носитель, в качестве
которого может использоваться дискета, смарт-карта или Тouch-Мemory. Доступ к этим носителям
должен быть только у их владельца. Однако при большом количестве открытых ключей такой вариант
нецелесообразен, поскольку генерация ключей замедляется.
Предлагается следующий вариант работы с ключами. На ключевой дискете (или другом
носителе) находятся:
• собственный секретный ключ (ключи);
• собственный открытый ключ (ключи);
• открытый ключ для проверки сертификата.
Напомним, что под сертификатом понимается открытый ключ с подписью ключом
сертификационного центра (ключом администратора сети). Таким образом, минимально на ключевой
дискете могут находиться только два собственных ключа. В этом случае в качестве ключей для
формирования и проверки сертификата могут использоваться собственные ключи.
Регистрация (сертификация) открытых ключей у администратора. Организуется
сертификационный центр для регистрации пользователей сети. В сертификационный центр
поступают открытые ключи и сопровождающие их документы. В ответ пользователь получает:
• открытые ключи с сертификатом всех зарегистрированных пользователей (в том числе и свой);
• файл или базу данных с полномочиями этих пользователей (также с сертификатом);
• открытый ключ для проверки сертификата как в виде файла, так и в распечатанном виде.
Пользователь при получении должен сначала проверить истинность открытого ключа для
проверки сертификата, а затем – сертификаты всех полученных ключей и файлов. Также
необходимо проверить свой открытый ключ. При положительных результатах проверки такие ключи
можно использовать для шифрования.
Распределение открытых ключей по компьютерам и разрешение использования их для
доступа к конкретному компьютеру или серверу осуществляет только администратор сети или
сегмента сети.
Администрирование сети. Для обслуживания сегмента сети (и возможно, сети в целом)
необходим администратор безопасности, который:
• генерирует (сертифицирует, регистрирует) ключи абонентов;
• определяет права доступа к абонентским пунктам и серверам;
• уточняет права доступа к отдельным фрагментам информации на серверах;
• устанавливает систему ограничения доступа на ПК;
• осуществляет текущий контроль за работой сети.
В качестве администратора безопасности можно использовать администратора сегмента сети
при наличии у него необходимых прав допуска к информации. Однако, разграничение доступа между
отдельными сегментами сети должен выполнять другой человек.
Разрешение на допуск к некоторой конкретной информации определяется при регистрации
открытого ключа (и размещении его на соответствующем ПК). Для ограничения доступа к ПК
достаточно убрать с него соответствующий ключ.


11.5. Программные продукты ЗАСТАВА фирмы ЭЛВИС+ для защиты
корпоративной сети.
На основе опыта внедрения систем сетевой информационной безопасности ОАО Элвис+
разработала общий концептуальный подход к решению задач построения защищенных
корпоративных систем [92]. Суть решения заключается в следующих принципах:
• построение жесткого периметра корпоративной части сети на основе технологий виртуальных
защищенных сетей VPN (Virtual Private Network) c использованием протокола SKIP;
• обеспечение небольшого числа контролируемых точек открытого доступа в периметр
корпоративной защищенной сети;
• построение эшелонированной системы защиты с контролем проникновения в защищенный
периметр;
• обеспечение дистанционного администрирования и аудита всех компонентов системы защиты.
Эти решения обеспечивают построение виртуальных закрытых сетей (intranet), их безопасную
эксплуатацию и интеграцию с открытыми коммуникационными системами.
Организация безопасного взаимодействия корпоративной сети с открытыми
коммуникационными сетями.
Защищенная корпоративная сеть, построенная на основе технологий VPN, не может быть
полностью изолирована от внешних информационных систем, поскольку людям необходимо
обмениваться почтой, новостями, получать данные из внешних информационных источников, что
приводит к угрозе проведения атаки на информационные ресурсы корпоративной сети в рамках этого
информационного обмена.
Поэтому, наряду с построением виртуальной защищенной сети предприятия, другой важной
проблемой защиты корпоративной сети является организация безопасного взаимодействия с
открытыми сетями.
Концепция защищенной корпоративной сети ОАО ЭЛВИС+ состоит в том, чтобы закрыть
трафик корпоративной сети средствами защиты информации сетевого уровня (построить
виртуальную корпоративную сеть) и организовать фильтрацию информации в точках соединения с
открытыми сетями. В качестве средств фильтрации информации на интерфейсах с открытыми
сетями применяются традиционные решения – межсетевой экран (firewall), сервисы защиты типа
proxy (посредник).
Важным элементом защиты от несанкционированного проникновения из открытой сети в
корпоративную является последовательное (каскадное) включение нескольких фильтров-эшелонов
защиты. Как правило, между открытой и корпоративной сетями устанавливается так называемая зона
контролируемого доступа или «демилитаризованная зона» (рис.11.14).
В качестве внешнего и внутреннего фильтров применяются межсетевые экраны.
Демилитаризованная зона представляет собой, как правило, сегмент сети,
характеризующийся тем, что в нем представляются информационные ресурсы для доступа из
открытой сети. При этом серверы, предоставляющие эти ресурсы для открытого доступа,

конфигурируются специальным образом для того, чтобы на них не могли, использоваться, так,
называемые «опасные» сервисы (приложения), которые могут дать потенциальному нарушителю
возможность реконфигурировать систему, компрометировать ее и, опираясь на
скомпрометированные ресурсы, атаковать корпоративную сеть.


Сегмент Открытая
Демилитаризованная
корпоративной сеть
зона
сети (Internet)


Внутрениий Внешний
фильтр фильтр



Рис. 11.14. Демилитаризованная зона на интерфейсе между корпоративной и открытой сетями.

В решениях ОАО ЭЛВИС+ по организации взаимодействия с открытыми сетями обычно
применяются межсетевые экраны, обеспечивающие так называемую расширенную пакетную
фильтрацию.
Такие пакетные экраны принимают «решение» о доступе каждого пакета на основе набора
правил фильтрации, информации, содержащейся в пакете и на основе некоторой предыстории,
которую помнит фильтрационная машина, настраиваемая на обмены в рамках конкретных
протоколов (протокольный автомат). Перепрограммируемые протокольные автоматы поставляются
для большинства распространенных протоколов. Критерий фильтрации может быть основан на
применении одного или нескольких правил фильтрации.
Каждое правило формируется на основе применения операций отношения к таким элементам
IP-пакета, как:
• IP адрес источника/приемника пакета (эти правила позволяют разрешать или запрещать
информационный обмен между некоторыми заданными узлами сети);
• Поле «протокол» (TCP, UDP, ICMP и прочие) (правила фильтрации на основе этого поля
регламентируют использование инкапсулируемых в IP протоколов);
• Поле «порт» для источника/приемника пакета ( с понятием «порт» в стеке протоколов TCP/IP
ассоциируется некоторое приложение и правила этой группы могут разрешать/запрещать доступ к
заданному узлу по заданному прикладному протоколу (зависимость правил фильтрации по IP
адресам для пар источник/приемник позволяет контролировать направление доступа));
• Бинарные данные с заданным смещением относительно заголовка IP.
На практике межсетевые экраны часто представляют собой программный продукт, который
устанавливается на вычислительную платформу с несколькими сетевыми интерфейсами и
обеспечивает сегментирование (рис. 11.15) и независимую политику безопасности (набор правил
фильтрации) для различных компьютеров в различных сегментах сети.


Демилитразованная
зона


2 1
Сегмент
корпоративной сети Открытая сеть
(рабочие места (Internet)
пользователей)
ЗАСТАВА-Центр
3

Сегмент
корпоративной сети
(сегмент
серверов) Администратор
безопасности

Рис. 11.15. Сегментирование корпоративной сети.

Централизованная архитектура системы, показанная на рис. 11.15, не противоречит
каскадной схеме построения защиты. Политика доступа между сегментами настраивается как
независимый набор правил фильтрации для каждой пары интерфейсов (сегментов корпоративной

<< Предыдущая

стр. 43
(из 48 стр.)

ОГЛАВЛЕНИЕ

Следующая >>