Принципы построения частных виртуальных сетей (VPN)

↑

▷ Содержание

⇐ ПредыдущаяСтр 3 из 4Следующая ⇒

Интернет всё чаще используется в качестве средства коммуникации между компьютерами, поскольку он предлагает эффективную и недорогую связь. Однако Интернет является сетью общего пользования и для того чтобы обеспечивать безопасную коммуникацию через него необходим некий механизм, удовлетворяющий как минимум следующим задачам:

¾ конфиденциальность информации;

¾ целостность данных;

¾ доступность информации.

Этим требованиям удовлетворяет механизм, названный VPN (Virtual Private Network – виртуальная частная сеть) – обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений поверх другой сети (Интернет) с использованием средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).

Создание VPN не требует дополнительных инвестиций и позволяет отказаться от использования выделенных линий. В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов:

— узел-узел;

— узел-шлюз;

— шлюз- шлюз. 

Существует множество различных решений для построения виртуальных частных сетей. Наиболее известные и широко используемые протоколы – это:

¾ PPTP (Point-to-Point Tunneling Protocol) – этот протокол стал достаточно популярен благодаря его включению в операционные системы фирмы Microsoft. Для шифрования используется протокол двухточеченого шифрования Microsoft, протоколы аутентификации пароля, расширенный протокол аутентификации. Протокол PPTP использует 2 канала, работающих совместно: 1 — канал управления (посылает в обе стороны все команды, которые управляют сеансом подключения), 2 — инкапсулированный канал передачи данных (вариант протокола общей инкапсуляции для маршрутизации, его плюс: может инкапсулировать и передавать протоколы, отличающиеся от протокола IP).

¾ L2TP (Layer-2 Tunneling Protocol) – сочетает в себе протокол L2F (Layer 2 Forwarding) и протокол PPTP. Как правило, используется в паре с IPSec.

¾ IPSec (Internet Protocol Security) – набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. IPsec является неотъемлемой частью Интернет-протокола IPv6 и необязательным расширением версии Интернет-протокола IPv4. Подключение по протоколу IPSec имеет 2 основных режима: 1 — транспортный (форма связи «узел-узел», где применяется шифрование только содержательной части пакета. Этот режим VPN удобно использовать для зашифрованной связи между узлами одной сети), 2 — режим туннелирования (может применяться дл я организации «шлюз-шлюз». При организации связи «шлюз-шлюз» упрощается связь между сетями, не требуется установка специального ПО на узлах сети).

5.8 Принцип работы и возможности СЗИ от НСД на примере Secret Net

Система Secret Net предназначена для защиты от несанкционированного доступа к информационным ресурсам компьютеров, функционирующих под управлением операционных систем MS Windows 8/7/Vista/XP и Windows Server 2012/2008/2003.

Защита от несанкционированного доступа (НСД) обеспечивается комплексным применением набора защитных механизмов, расширяющих средства безопасности ОС Windows. Система Secret Net может функционировать в следующих режимах:

¾ автономный режим — предусматривает только локальное управление защитными механизмами;

¾ сетевой режим — предусматривает локальное и централизованное управление защитными механизмами, а также централизованное получение информации и изменение состояния защищаемых компьютеров.

Основные функции, реализуемые системой Secret Net:

—  контроль входа пользователей в систему;

—  разграничение доступа пользователей к ресурсам файловой системы и устройствам компьютера;

—  создание для пользователей ограниченной замкнутой среды программного обеспечения компьютера (замкнутой программной среды);

— разграничение доступа пользователей к конфиденциальным данным;

—  контроль потоков конфиденциальной информации в системе;

—  контроль вывода на печать и добавление грифов в распечатываемые документы (маркировка документов);

—  контроль целостности защищаемых ресурсов;

—  контроль подключения и изменения устройств компьютера;

—  функциональный контроль ключевых компонентов Secret Net;

—  защита содержимого дисков при несанкционированной загрузке;

—  уничтожение (затирание) содержимого файлов при их удалении;

—  теневое копирование выводимой информации;

—  регистрация событий безопасности в журнале Secret Net;

—  мониторинг и оперативное управление защищаемыми компьютерами (только в сетевом режиме функционирования);

—  централизованный сбор и хранение журналов (только в сетевом режиме функционирования);

—  централизованное управление параметрами механизмов защиты (только в сетевом режиме функционирования).

Средства защиты информации в обязательном порядке должны лицензироваться.

Общие сведения об интеграции Secret Net и комплексов "Соболь".

ПАК семейства "Соболь" обеспечивают защиту от НСД к информационным ресурсам автономных компьютеров, сетевых рабочих станций и серверов, на которые устанавливается система Secret Net. ПАК семейства "Соболь" могут функционировать как автономно, так и совместно с Secret Net.

В автономном режиме работы ПАК "Соболь" реализуют свои основные функции до старта операционной системы независимо от Secret Net. Любым внешним программам при этом запрещается доступ к энергонезависимой памяти комплекса. Управление пользователями, журналом регистрации событий, настройка общих параметров осуществляются средствами администрирования комплекса без ограничений.

В режиме совместного использования (интеграции) внешним программам, входящим в состав Secret Net, разрешается доступ к энергонезависимой памяти комплекса. В этом случае значительная часть функций управления комплексом осуществляется с помощью средств администрирования Secret Net. Перечень функций представлен в следующей таблице 1.

Таблица 1

Для обеспечения защиты данных в процессе централизованного управления ПАК "Соболь" в Secret Net реализован ряд криптографических преобразований на основе ГОСТ 28147–89,  ГОСТ Р34.10–2001.

Разграничение доступа пользователей к устройствам выполняется на основании списков устройств, формируемых и поддерживаемых в актуальном состоянии механизмом контроля подключения и изменения устройств.

Система Secret Net предоставляет следующие возможности для разграничения доступа пользователей к устройствам:

— установка стандартных разрешений и запретов на выполнение операций с устройствами;

— назначение устройствам категорий конфиденциальности или допустимых уровней конфиденциальности сессий пользователей для разграничения доступа с использованием механизма полномочного управления доступом.

Познавательные статьи:



Где возникла философия и почему?

Относительная высота сжатой зоны бетона

Сущность проекции Гаусса-Крюгера и использование ее в геодезии

Тарифы на перевозку пассажиров