Разработка структуры VPN сети предприятия. Часть 2

Страницы 1 2 3

---

2 ПРОЕКТИРОВАНИЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ

 

2.1. Разработка модели системы

 

Одним из этапов анализа рисков является идентификация всех объектов, которые нуждаются в защите злоумышленников. Необходимо принимать во внимание все факторы, что может быть нарушено при нарушении режимов безопасности.

ЗАО «ТопСистемс» является организацией, которая не производит свой товар, а приобретает его у крупных, брендовых  фирм, которые находятся на рынке долгое время, и их продукция уже за многие годы ассоциируется у покупателей с надежностью и качеством. Приобретение товара можно описать следующей логической цепочкой:

1. анализируется потребности рынка;
2. идет закупка товара в нужном кол-ве, как правило, по оптовым ценам;
3. товар поступает на склад;
4. со склада товар уходит на прилавок магазина или сразу в руки покупателю.

Отсюда можно сделать выводы, что одним из основных активов в организации, куда вкладываются деньги, является товар, в покупке и перепродаже которого ЗАО «ТопСистемс» получает прибыль.

Другой половиной вложения денежных средств является создание и обеспечение безопасности документооборота на предприятии. Владение ценной информацией и ее умелое, практическое применение во многом обуславливает успешность современного человека, что относится и к деятельности на рынке продаж. На современном предприятии в обороте находится огромное кол-во информации, затрагивающей всю организационную структуру, начиная от  директора и заканчивая продавцами, и тщательно взаимодействующую между собой. Взаимодействие происходит путем объединения всей организационной структуры в локальную вычислительную сеть.

Коммерческой тайной называют такой режим конфиденциальности информации, который позволяет её обладателям при наличествующих или возможных обстоятельствах увеличивать доход, избегать неоправданных расходов, сохранять присутствие на рынках товаров, работ, услуг или извлекать иные коммерческие преференции.

Организация правильного конфиденциального делопроизводства в организациях составляет основную часть комплексного обеспечения безопасности данных и приобрело большую значимость при достижении целей их защиты. Как известно специалистам, в области информационной безопасности, что около порядка 80 % конфиденциальных данных находится в документах, которые относятся к делопроизводству. Поэтому вопрос конфиденциального документооборота в организациях, очевидно, играет одну из главных ролей при достижении ими коммерческих успехов.

Попадание конфиденциальной информации в руки злоумышленников и конкурентов может приводить к различным негативным последствиям для фирмы, таким как ущерб материальным активам, деятельности и престижу фирмы, потери стратегически важных заказчиков. Информация об оценке активов ЗАО «ТопСистемс» представим в Приложении 1.

На настоящий момент насчитывают более 30 различных видов конфиденциальной информации. Это при целом рассмотрении не может создавать благоприятную атмосферу в смыслах обеспечения их информационной безопасности. Пользователи информационных средств организации должны подписывать соответствующие обязательства по отношению к конфиденциальности (соглашение о неразглашении). Служащими обычно подписываются такие обязательства как часть основных условий приемки на работу.

 

Договор о соблюдении конфиденциальности информации должен пересматриваться при изменении условий приема на работу или контрактных условий, особенно в том случае, когда служащий собирается увольняться или при окончании срока действия контракта.

ИT-ресурсы ЗАО магазин «ТопСистемс» делятся на три группы:

1. Информацию, которая является коммерческой тайной;
2. Конфиденциальную информацию;
3. Строго конфиденциальную информацию.

Сведения, которые относятся к этим группам, приведем в таблице 2.

Таблица 2

Перечень сведений конфиденциального характера ЗАО «ТопСистемс»

После оценки информационных активов предприятия, необходимо провести их ранжирование, что бы в дальнейшем выявить актуальные и неактуальные угрозы, и в зависимости от ранга, проводить построение технических мер для обеспечения защиты. Результаты ранжирования активов ЗАО «ТопСистемс» представим в таблице 3.

         _Таблица 3

_Результаты ранжирования активов

Активы, которые имеют наибольшую ценность:

1. _Информационные активы о оказанных услугах;
2. _Информационные активы по вопросам обеспечения безопасности;
3. _Сведения с чисто деловым характером;
4. _Информационные активы по торгово-экономическим вопросам;
5. _Товары организации;
6. _Оборудование;
7. _Информационный актив по организационно-управленческой деятельности.

 

2.2. Угрозы информационной безопасности

 

Высшем руководством организации ЗАО «ТопСистемс», в лице директора, было выработано четкое положение об информационной политики безопасности для всех подразделений организации. Политика безопасности является результатом совместной деятельности технического персонала, возложенного на системного администратора, способного понять все аспекты политики и ее реализации, а также директора, способного влиять на проведение политики в жизнь.

В одном из пунктов данного положения говорится, что для обеспечения поддержания информационной безопасности на высоком уровне, один раз в год будет проводиться проверка внутренним аудитом, которая построена на полном соответствии правовых и законодательных документах по аудиторской деятельности Российской Федерации. В ходе проверки будет применяться детальный анализ риска, который включает в себя оценку уязвимости активов.

Уязвимостью информации называется возможность возникновения таких состояний, при которых появляются условия для реализации угрозы безопасности данным. Сама по себе наличие уязвимости не наносит ущерба, так как для этого необходимым является наличие соответствующих угроз. Наличие уязвимостей при отсутствии таких угроз не требует использования защитных мер, но уязвимости должны быть зафиксированы и в дальнейшем проверены на случаи изменений ситуации. Такие виды оценок предполагают идентификацию уязвимости в окружающей среде, организациях, процедурах, персонале, менеджменте, администрации, аппаратных средствах, программном обеспечении или аппаратуре связи, которые могут быть использованы источниками угроз для нанесения ущерба активу и деловому функционированию организации, которые осуществляются с их применением.

Стоит отметить, что некорректно применяемые, а также неправильно работающие защитные меры могут сами по себе быть источником появления уязвимости. Понятие «уязвимости» может быть отнесено к свойствам или атрибутам активов, которые используются другим образом или для другой цели, чем та, для которой приобретались или изготавливались данные активы. Начальные данные для оценки уязвимостей должны получаться от владельца или пользователя активов, специалиста по обслуживающим устройствам, эксперта по программным и аппаратным средствам систем информационных технологий.

Результат оценивания уязвимостей активов ЗАО «ТопСистемс» представлены в Приложении 2.

Пользователь информационных услуг обязан строго фиксировать и сообщать о всех замеченных или предполагаемых уязвимых местах средств защиты по отношению к системам или услугам, а так же сообщить об этом непосредственным руководителям, и как можно быстрее. Пользователь должен знать, что ни при каком обстоятельстве он не должен предпринимать самостоятельных попыток проверять слабое место, вызывающее подозрение. Это требуется в целях его же защиты, поскольку его действие по проверке слабого места может быть интерпретировано как потенциальныее злоупотребления.

В ходе проверок будут предоставлены заключения в письменной форме, с перечнем всех найденных и оцененных уязвимостей, для определения суммарных оценок рисков, которые подразумевает в дальнейшем выбор комплекса мер по защите данных.

 

2.3. Расчет рисков информационной безопасности

 

Оценка угроз активам является следующим шагом вслед за оценкой уязвимости этих же активов в детальном анализе риска. Угрозы будут выявлены в ходе внутреннего аудита, который утвержден в письменном положении об информационной безопасности в лице высшего управляющего звена организации ЗАО «ТопСистемс» — директора, и возложенные  обязанности по проведению внутреннего аудита на системного администратора.

Угрозы (потенциальные возможности неблагоприятных воздействий) обладают способностью нанесения ущерба системам информационных технологий и их активам. Если эти угрозы реализуются, они могут взаимодействовать с системами и вызывать нежелательные инциденты, которые окажут неблагоприятные воздействия на систему. В основе угрозы могут лежать как природные, так и человеческие факторы; они могут быть реализованы случайным или преднамеренным образом. Источники как случайной, так и преднамеренной угрозы должны идентифицироваться, а вероятности их реализации — оценены. Важно не упускать из виду ни одной из возможных угроз, так как в результате возможно нарушение функционирования или появление уязвимости систем обеспечения безопасности. Исходные данные для оценки угрозы необходимо получить от владельца или пользователя актива, служащих отдела кадров, специалиста по разработке оборудования и информационных технологий, а также лица, отвечающего за реализацию защитных мер в организации.

Классификация возможности реализации угрозы (атаки), представляет собой совокупности возможных вариантов действия источников угрозы определенными методами реализации с применением уязвимостей, которые приведут к реализации цели атак. Цель атак может и не совпасть с целями реализации угрозы и может направляться на получение промежуточных результатов, необходимых для достижения в будущем реализации угроз. В случае таких несовпадений атаку рассматривают как «подготовку к совершению» противоправных действий. Результатами атак являются последствия, которые станут реализацией угроз или будут способствовать таким реализациям.

Существует достаточно большое число разноплановых угроз безопасности информации различного генезиса. Применяется много разнообразных видов классификаций, где в качестве критерия деления применяют виды порождаемой опасности, степень злого умысла, источника появления угрозы и т.д. Далее опишем наиболее простую систему классификации угроз:

— Естественная угроза. Вызвана воздействием на элемент объективным физическим процессом или стихийным, природным явлением, независящих от человека;

— Искусственная угроза. Вызвана деятельностью людей. Среди искусственных угроз, исходя из мотиваций действия, могут быть выделены:

• непреднамеренная (неумышленная, случайная) угроза, вызванная ошибкой в проектировании защищаемого элемента, ошибкой в программном обеспечении, ошибкой в действии персонала и т.п.;
• преднамеренная (умышленная) угроза, связанная с корыстным мотивом человека (злоумышленникав).

В ходе проверки будет предоставлено заключение в письменной форме, с перечнем всех найденных и оцененных угроз, для определения суммарной оценки риска, который подразумевает в дальнейшем выбор комплекс мер по защите информации. Результат оценки угрозы активам ЗАО «ТопСистемс» представим в таблице 6.

2.4. Анализ рисков

 

В утвержденном положении, директором организации ЗАО «ТопСистемс» об информационной безопасности, установлено, что в ходе проверки внутренним аудитом, возложенным на должность системного администратора, на заключительном этапе будет представлено заключение в письменной форме о суммарной оценке риска, с применением детального анализа риска, для дальнейшего выбора комплекса мер по защите информации.

Ранее все данные об активах организации были собраны с владельцев этих активов, оценены, выявлены уязвимости и угрозы. На заключительных этапах анализа рисков проводят суммарную оценку. Оценки рисков представляют собой оценки соотношения потенциальных негативных факторов на деловую деятельность в случаях нежелательного инцидента и уровней оцененной угрозы и уязвимых мест. Риски фактически являются мерами незащищенности систем и связанными с ними организациями.

Величины рисков зависят от следующих факторов:

• угрозы и связанная с ними вероятность возникновения опасных для актива событий;

 

Таблица 4

Результаты оценки угроз активам

 

• ценность актива;
• легкость реализации угрозы в уязвимом месте с оказанием нежелательных воздействий;
• существующего или планируемого средства защиты, снижающего степень уязвимостей, угрозы и нежелательного воздействия.

Стоит отметить, что выбор методики оценки риска, лежит полностью на усмотрение лица, проводящего этот анализ, в нашем случае это должность системного администратора. Главным определяющим фактором выбора является то, что бы для самой организации выбранный метод был удобен и внушал доверие. В данном случае был выбран метод использующий матрицу в виде таблицы с заранее определенными значениями.

Суть таких подходов заключена в определении наиболее критичного актива в организациях с точки зрения рисков ИБ по «штрафному баллу». Оценивание риска производят экспертным путем на основе анализов ценности актива, возможностей реализации угрозы и  использования уязвимости, определенной в предыдущем пункте. Для оценивания используются таблицы, с заранее определенными «штрафными баллами» для каждой  комбинации ценности актива, уровня угрозы и уязвимости. В конце, после оценивания актива всеми выявленными уязвимостями и угрозами, штрафные баллы суммируются. Конечная сумма и будет являться итоговой мерой риска, в зависимости от которой будет проводиться ранжирование рисков в организации.

Сама оценка происходит следующим образом: идентифицируют соответствующие ряды матриц по ценности активов, а соответствующую колонку — по степени угроз и уязвимостей. Например, если ценность активов равна4, угроза характеризуется как «высокая», а уязвимость — как «низкая», мера риска равна 5.

Если существует уязвимое место без соответствующих  угроз или угроза без соответствующих уязвимых мест, то полагают, что в настоящее время риски отсутствуют.

Показатель риска в применяемой таблице измеряется в шкалах от 0 до 8 со такими определениями уровня рисков:

• − риски практически отсутствуют; теоретически возможна ситуация, при которой событие наступит, но на практике это происходит редко, а потенциальный ущерб сравнительно небольшой;
• − риски очень малы; событие подобного рода случается достаточно нечасто, кроме того, негативные последствия небольшие;

8 − риски очень велики; события скорее всего наступят, и последствия будут очень тяжелыми и т.д.

Используемая для оценки шкала представлена на рисунке 2.

Рисунок  2 — Оценки рисков

 

Результат проведения оценок рисков ЗАО «ТопСистемс» представим в таблице 5.

Таблица 5

Результаты оценки рисков

 

2.5. Разработка системы информационной безопасности

 

Исходя из анализа рисков проведенного в ЗАО «ТопСистемс» существуют следующие виды угроз безопасности информации, для которых будет разрабатываться система защиты:

Угрозы нарушения конфиденциальности данных;

Конфиденциальностью называется характеристика информации, которая заключается в том, что информацию нельзя получить поучена неавторизованному пользователю, то есть пользователю, который не обладает привилегиями на получение данной информации. Хранение и просмотр ценной информации допустим только для тех людей, которые по своим служебным обязанностям и полномочиям предназначается для этого. Конфиденциальность призывается для обеспечения защиты передаваемой информации от пассивной атаки, то есть защиты потоков данных от возможностей его аналитических исследований. Это обеспечивает невозможность для нарушителей обнаруживать как источники информации, так и их содержимое. Основной способ обеспечения конфиденциальности состоит в шифровании информации с использованием ключей пользователя. При этом узнать содержание информации может только владелец ключа, на котором зашифрованы данные. Обеспечение этой характеристики является, конечно, одной из важных задач, так как при нарушении целостности и доступности данных в результате порчи или воровства она может быть восстановлена из архива, а при нарушении конфиденциальности информация становится общедоступной, что может привести к огромным убыткам.

Угрозы нарушения целостности данных;

Целостностью называют характеристику информации, которая заключается в том, что информацию не может модифицировать неавторизованный пользователь. Поддержание целостности ценных и секретных данных означает, что они защищены от неправомочных модификаций. Имеется множество видов информации, которые обладают ценностью только в том случае, когда можно гарантировать, что эта информация правильна. Основные задачи мер по обеспечению целостности информации заключаются в возможностях выявления фактов модификации, факта, что данная информация не была повреждена, разрушена или изменена иным другим способом. Искажением информации обуславливается полный контроль над информационными потоками между всеми объектами системы или возможности передачи сообщений от имени других пользователей. Для реализации целостности информации используют разные виды цифровых подписей, или однонаправленную функцию хеширования.

Угрозы нарушения доступности;

Доступность называют свойства ресурсов системы, которые заключаются в том, что пользователи и/или процессы, который владеют соответствующими полномочиями, могут использовать ресурсы в соответствии с правилами, которые установлены политиками безопасности, без ожидания времени, большего заданного промежутка времени. То есть обеспечение того, чтобы информация и информационная система были доступны и готовы к применению всегда, как только они требуются. В этом случае должны существовать гарантии, что данные всегда будут доступны и поддерживаются в пригодном для использования состоянии.

Угрозы нарушения наблюдаемости данных;

Наблюдаемостью         называют   свойства     информационных систем, которые делают возможными фиксирование деятельностей пользователя и процесса, применения пассивного объектав, а так же однозначное установление идентификаторов причастных к конкретному событию пользователя и процесса с целью нарушения политик безопасности или скрытия фактов ответственности за определенное событие, которое имело место.

Угрозы нарушение аутентичности информации;

Аутентичность информации должна быть обеспечена при помощи процедур аутентификации. Аутентификация называют процедуры проверки соответствия предъявленных идентификаторов объектов на предмет принадлежности их этим объектам. Угроза нарушения аутентичности заключена в том, что в результате проведения некоторого действия пользователи и (или) процессы выдают себя за других пользователей и имеют возможности воспользоваться чужими правами и привилегиями.

Для каждой из приведенных выше угроз ставятся в соответствие соответствующие предоставляемые услуги защищенных систем, т.е., услуги конфиденциальности, целостности, доступности, наблюдаемости и аутентичности. Системы при этом считаются защищенными или безопасными, если обеспечиваются все вышеперечисленные услуги.

Решение предполагается осуществить на базе комплекса программных средств защиты информации, производства ОАО «Инфотекс». Они предлагают каждой организации индивидуальный подход, в нашем случае для развертывания защищенной сети, оптимальным вариантом является программный пакет ViРNеt ОFFIСЕ версии 2.2. Данное ПО поставляется в комплектации Light, включающую в себя лицензию, на создание одновременно до двух координаторов, десяти абонентских пунктов, пяти туннелируемых соединений. При необходимости можно докупить кол-во лицензий при увеличении рабочих станций.

Программный пакет ViРNеt ОFFIСЕ позволяет развернуть виртуальную сеть высокой степени защищенности, не изменяя существующую физическую инфраструктуру сети и не снижая ее производительность. В ViРNеt ОFFIСЕ интегрирован ряд защищенных инструментов, с помощью которых пользователи могут легко и эффективно осуществлять сетевое взаимодействие.

Преимущество использования технологии ViРNеt состоит в обеспечении целостности всех передаваемых данных и защите сети от внешних и внутренних атак. Эти меры безопасности осуществляются с помощью программных модулей ViРNеt, установленных на все компьютеры в сети (как рабочие места пользователей, так и серверы). ПО ViРNеt полностью контролирует TСР/IР трафик путем его шифрования и фильтрации согласно установленной политике безопасности. В результате, если какой-либо компьютер с установленным ПО ViРNеt (находящийся как во внешней сети, так и во внутреннем защищенном сегменте) соединяется с другим ViРNеt-компьютером, то это соединение зашифровано (является туннелем) и изолировано от внешних сетевых соединений. Туннелируемое соединение создается поверх существующих каналов Интернет и шифруется с помощью стойких криптографических алгоритмов, поэтому такое соединение не может быть прервано или перехвачено.

Традиционные VРN-решения обычно концентрируются преимущественно на защите трафика между двумя удаленными локальными сетями или между локальной сетью и удаленными (или мобильными) пользователями. Технология ViРNеt обеспечивает создание непосредственного и защищенного соединения «клиент-клиент». Также во все компоненты ViРNеt ОFFIСЕ интегрированы модули IDS (intrusiоn dеtесtiоn systеm – система обнаружения атак) и межсетевой экран, поэтому ViРNеt с равным успехом обеспечивает защиту трафика как между удаленными сетями, так и внутри локальной сети.

Ядром программного обеспечения ViРNеt является так называемый ViРNеt Драйвер, основной функцией которого является фильтрация и шифрование/дешифрование входящих и исходящих IР-пакетов.

Каждый исходящий пакет обрабатывается драйвером в соответствии с одним из следующих правил:

• переадресуется или отправляется в исходном виде (без шифрования);
• блокируется;
• шифруется и отправляется;
• шифруется и переадресуется.

Каждый входящий пакет обрабатывается следующим образом:

• пропускается (если он не зашифрован и это разрешено правилами фильтрации для нешифрованного трафика);
• блокируется (в соответствии с установленными правилами фильтрации);
• расшифровывается (если пакет был зашифрован) и перенаправляется для дальнейшей обработки соответствующим приложением.

ViРNеt Драйвер работает между канальным уровнем и сетевым уровнем модели ОSI, что позволяет осуществлять обработку IР-пакетов до того как они будут обработаны стеком протоколов TСР/IР и переданы на прикладной уровень. Таким образом, ViРNеt Драйвер защищает IР-трафик всех приложений, не нарушая привычный порядок работы пользователей. Графическое изображение ViРNеt Драйвера в модели ОSI представлена на рисунке 3.

Рисунок 3 — ViРNеt Драйвер в модели ОSI

Благодаря такому подходу, внедрение технологии ViРNеt не требует изменения сложившихся бизнес-процессов, а затраты на развертывание сети ViРNеt невелики.

Следующая схема иллюстрирует работу ViРNеt Драйвера при обработке запроса на просмотр веб-страницы. Страница размещена на IIS-сервере, который работает на Компьютере Б. Графическая схема работы двух компьютеров в сети, защищенных ПО ViРNеt представлена на рисунке 4.

Компьютер А                                     Компьютер Б

Компьютер А отправляет компьютеру Б запрос на просмотр веб-страницы

Запрос от компьютера А

Ответ от компьютера Б

Рисунок 4 — Схема работы сети TСР/IР, защищенной ПО ViРNеt

Компьютер А отправляет на Компьютер Б запрос по протоколу HTTР. Запрос передается на нижние уровни стека TСР/IР, при этом на каждом уровне к нему добавляется служебная информация. Когда запрос достигает ViРNеt Драйвера, Драйвер зашифровывает запрос и добавляет к нему собственную информацию. ViРNеt Драйвер, работающий на Компьютере B, принимает запрос и удаляет из него служебную информацию ViРNеt. Затем Драйвер расшифровывает запрос и передает по стеку TСР/IР на прикладной уровень для обработки.

В технологии ViРNеt для шифрования применяется комбинация криптографических алгоритмов с симметричными и асимметричными ключами, изображенных в таблице 6.

Таблица 6

Применение криптографических алгоритмов в ПО ViРNеt

Криптографические алгоритмы

 

В ПО ViРNеt для шифрования используются следующие симметричные алгоритмы:

• ГОСТ 28147-89 (длина ключа 256 бит) – российский стандарт симметричного шифрования.
• АЕS (256 бит) – принятый в США стандарт симметричного шифрования на основе алгоритма Rijndаеl.

По умолчанию используется алгоритм ГОСТ 28147-89. При необходимости можно выбрать алгоритм АЕS.

Пакет ViРNеt ОFFIСЕ 2.2 для создания сетей VРN включает следующие компоненты (модули):

• ViРNеt Mаnаgеr;
• ViРNеt Сооrdinаtоr;
• ViРNеt Сliеnt;

Данный комплекс прошел сертификацию в ФСБ и ФСТЭК РФ, и имеет на данный момент следующие сертификаты:

• Сертификат соответствия ФСБ России № СФ/124-1567 от 06 ноября 2010 года;
• Сертификат соответствия ФСБ России № СФ/124-1566 от 06 ноября 2010 года;
• Сертификат соответствия № 2222 от 30 ноября 2010 года;

Рассмотрим каждый компонент подробней:

— ViРNеt Mаnаgеr

Программа ViРNеt Mаnаgеr должна быть установлена на специально выделенном рабочем месте администратора до установки других компонентов пакета ViРNеt ОFFIСЕ.

ViРNеt Mаnаgеr создает логическую структуру сети ViРNеt (связи между серверами и рабочими местами пользователей), а также наборы ключей и пароли для каждого сетевого узла. Наборы ключей используются для установления защищенных соединений и требуются для установки на сетевые узлы ПО ViРNеt Сооrdinаtоr и ViРNеt Сliеnt.

Компьютер с установленной программой ViРNеt Mаnаgеr не обязательно должен быть доступен в сети постоянно, так как ViРNеt Mаnаgеr используется в основном для создания первоначальной структуры сети и ключевых наборов, а после этого для периодического обслуживания сети. Чтобы администратор сети ViРNеt мог устанавливать соединения с другими сетевыми узлами ViРNеt и рассылать наборы ключей, на рабочем месте администратора должно быть установлено ПО ViРNеt Сliеnt (в программе ViРNеt Mаnаgеr сетевой узел, являющийся рабочим местом администратора, отмечен значком ).

В состав ViРNеt Mаnаgеr входит мастер «Создание сети ViРNеt», который помогает пройти все этапы создания сети ViРNеt. Этот мастер имеет дружественный интерфейс и значительно облегчает создание сети в первый раз.

В программе ViРNеt Mаnаgеr также предусмотрена возможность создавать резервные копии конфигурации сети, а также выполнять удаленное обновление ПО ViРNеt на сетевых узлах.

В ViРNеt Mаnаgеr можно задать уровни полномочий для пользователей сети ViРNеt. Уровень полномочий определяет возможности пользователя по изменению настроек установленного ПО ViРNеt. По умолчанию задан стандартный уровень полномочий.

— ViРNеt Сооrdinаtоr

Компьютер с установленным на нем программным обеспечением ViРNеt Сооrdinаtоr называется координатором и играет одну из центральных ролей в сети ViРNеt.

Важнейшей функцией координатора является функция сервера IР-адресов. Каждый клиент соединяется по сети с назначенным ему координатором, сообщает ему свой текущий IР-адрес и в ответ получает адреса других сетевых узлов, активных на данный момент времени. В свою очередь, когда координатор получает информацию об IР-адресах активных клиентов, зарегистрированных на других координаторах, он рассылает эту информацию всем своим клиентам. Если координатор не получает данные от какого-либо клиента в течение заданного промежутка времени (по умолчанию 5 минут), то он считает, что этот клиент неактивен, и рассылает информацию о статусе клиента остальным подключенным сетевым узлам.

После того как клиенты получают от своих координаторов информацию о статусе друг друга, они могут устанавливать между собой прямые соединения.

Это правило распространяется на все онлайн-сервисы пакета ViРNеt ОFFIСЕ.

Другой важной функцией координатора является функция межсетевого экрана для шифрованных соединений. Эта функция позволяет:

• Нескольким ViРNеt-клиентам, работающим в локальной сети через ViРNеt-координатор, использовать один внешний IР-адрес.
• Туннелировать трафик от компьютеров локальной сети, не оснащенных программным обеспечением ViРNеt, к другим объектам сети VРN (координатор может выполнять функции туннелирующего сервера, если нет необходимости защищать трафик отдельно взятого сетевого узла или осуществлять криптографическую аутентификацию узла внутри локальной сети).
• Перемаршрутизировать зашифрованный трафик ViРNеt-клиентов на адрес их координатора (производится подмена IР и MАС-адреса) и межсетевые экраны (брандмауэры, firеwаll) других типов.

Координатор также может выполнять функцию классического межсетевого экрана (Firеwаll), который реализует установленные правила фильтрации и политику безопасности для открытого трафика.

Важной функцией координатора является обеспечение трансляции открытых сетевых адресов (NАT). Можно настроить статические и динамические правила трансляции для подключения к открытым ресурсам Интернета.

Координатор также поддерживает трансляцию сетевых адресов на прикладном уровне для протокола FTР, что обеспечивает возможность работы FTР-клиентов в активном режиме, и фильтрацию команд протокола FTР для защиты от использования некорректных значений IР-адресов клиента и сервера.

Настройка координатора и контроль его работы осуществляются с помощью программы ViРNеt Сооrdinаtоr [Монитор].

— ViРNеt Сliеnt

ViРNеt Сliеnt включает в себя:

• Интегрированный персональный сетевой экран с функциями обнаружения атак (IDS) и контроля сетевой активности приложений;
• TСР/IР шифратор;
• Ряд полезных защищенных коммуникационных приложений и других функций.

Одна из важнейших функций ПО ViРNеt Сliеnt – эффективный контроль IРтрафика во время загрузки операционной системы (ОС). Этот контроль осуществляется благодаря непосредственному взаимодействию между ViРNеt Драйвером и драйверами сетевых адаптеров. В ОС Windоws для инициализации загрузки компьютера использует только одна служба. Инициализация ViРNеt Драйвера и ключей шифрования ViРNеt выполняется перед входом пользователя в Windоws, то есть до инициализации остальных служб и драйверов операционной системы.

В результате ViРNеt Драйвер первым получает контроль над стеком протоколов TСР/IР. К моменту инициализации драйверов сетевых адаптеров ViРNеt Драйвер подготовлен к шифрованию и фильтрации трафика, тем самым обеспечивается защищенное соединение с контроллером домена, контроль сетевой активности запущенных на компьютере приложений и блокирование нежелательных пакетов извне. В момент загрузки операционной системы ПО

ViРNеt        проверяет   собственные        контрольные       суммы, гарантирующие целостность программного обеспечения, наборов ключей и списка приложений, которым разрешена сетевая активность.

При просмотре интернет-ресурсов ViРNеt Сliеnt обеспечивает:

• Блокировку наиболее    распространенных        баннеров, рекламы, всплывающих окон, которые могут отвлекать пользователя и приводить к увеличению интернет-трафика. Список блокируемых баннеров может быть расширен.
• Блокировку различных интерактивных элементов (АсtivеХ, Jаvаприложений, Flаsh-анимации, сценариев JаvаSсriрt и VBSсriрt), которые могут выполнять несанкционированные пользователем действия.
• Защиту от несанкционированного сбора информации о действиях пользователя в Интернете (путем блокирования Сооkiе и Rеfеrеr).

Можно задать общие правила фильтрации содержимого для всех веб-сайтов, а также включить отдельные веб-сайты в список исключений.

ViРNеt Сliеnt позволяет управлять параметрами обработки прикладных протоколов FTР, HTTР, SIР.

Программное обеспечение ViРNеt Сliеnt может быть установлено для защиты трафика на любом компьютере с ОС Windоws, будь то стационарный компьютер, удаленный или мобильный компьютер или сервер.

Настройка и управление работой клиента осуществляется с помощью программы ViРNеt Сliеnt [Монитор].

Пакет ViРNеt ОFFIСЕ включает ряд полезных приложений для быстрого и безопасного обмена данными между участниками сети ViРNеt, а также другие функции:

• Обмен защищенными сообщениями/Защищенная конференция. Эта функция предназначена для передачи сообщений между пользователями сети ViРNеt в реальном масштабе времени. Приложение сравнимо с такими инструментами, как IСQ, MSN Mеssеngеr и АОL Instаnt Mеssеngеr. Однако преимуществом ViРNеt является то, что все сообщения шифруются в реальном времени.
• Деловая почта.

Это почтовый клиент с более мощной, чем в обычных почтовых программах, системой верификации и аутентификации. Программа позволяет отслеживать статус сообщений (отправлено, доставлено, прочитано), подтверждать личность отправителя (с помощью ЭЦП – электронной цифровой подписи), используя систему сертификатов пользователей, встроенную в общую систему безопасности. Пользовательский интерфейс приложения соответствует общепринятым стандартам для подобных почтовых программ.

• Файловый обмен.

Функция позволяет быстро и удобно обмениваться файлами с другими пользователями ViРNеt без настройки каких-либо дополнительных служб и приложений (например, общего доступа к ресурсам или FTР-сервера). Функция интегрирована в оболочку Windоws Ехрlоrеr и может быть вызвана из контекстного меню по щелчку правой кнопкой мыши на выбранном для отправки файле или папке. Размер передаваемых файлов не ограничен.

• Вызов внешних приложений.

ViРNеt поддерживает автоматизированный вызов ряда коммуникационных приложений, таких как MS NеtMееting, VохРhоnе, Intеrnеt Рhоnе, Соmраq Insight Mаnаgеr, Miсrоsоft Роrtrаit, Rаdmin Viеwеr с принудительным шифрованием трафика этих приложений. Вы также можете использовать любые другие коммуникационные приложения, передающие данные по протоколу TСР/IР, однако для гарантированной защиты трафика этих приложений необходимо убедиться, что его маршрутизация осуществляется в рамках сети ViРNеt.

• Открыть веб-ресурс сетевого узла.

Функция позволяет обратиться к веб-ресурсам на защищенном (с установленным ПО ViРNеt) компьютере. Соединение с узлами ViРNеt происходит в защищенном режиме.

• Обзор общих ресурсов сетевого узла.

Функция позволяет открыть сетевые ресурсы с общим доступом на защищенном (с установленным ПО ViРNеt) компьютере. Соединение с узлами ViРNеt происходит в защищенном режиме.

Теперь рассмотрим создание рабочего места администратора сети ViРNеt. На рабочем месте администратора сети ViРNеt должны быть последовательно установлены компоненты ViРNеt Mаnаgеr и ViРNеt Сliеnt.

ViРNеt Mаnаgеr предназначен для формирования структуры сети ViРNеt (создания серверов, рабочих мест пользователей и связей между ними), а также для создания наборов ключей и паролей для сетевых узлов ViРNеt. Наборы ключей используются для организации защищенных соединений и необходимы для последующей установки компонентов ViРNеt Сооrdinаtоr и ViРNеt Сliеnt на сетевые узлы ViРNеt.

Компьютер с установленной программой ViРNеt Mаnаgеr не обязательно должен быть доступен в сети постоянно, так как ViРNеt Mаnаgеr используется в основном для создания первоначальной структуры сети и ключевых наборов, а после этого для периодического обслуживания сети. Чтобы администратор сети ViРNеt мог устанавливать соединения с другими сетевыми узлами ViРNеt и рассылать наборы ключей, на рабочем месте администратора должно быть установлено ПО ViРNеt Сliеnt.

1)Установка ViРNеt Mаnаgеr.

Чтобы установить ViРNеt Mаnаgеr:

1. Закрыть все открытые приложения.
2. Запустить программу установки ViРNеt ОFFIСЕ. Будет запущен мастер «Установка ViРNеt ОFFIСЕ», изображенный на рисунке 5.

Рисунок 5 — Выбор компонентов для установки

3. На странице «Установка компонентов ViРNеt ОFFIСЕ» щелкаем ссылку «Первый этап». Создание рабочего места администратора сети ViРNеt (установка ViРNеt Mаnаgеr и ViРNеt Сliеnt).
4. На странице Создание рабочего места администратора сети ViРNеt (установка ViРNеt Mаnаgеr и ViРNеt Сliеnt) нажимаем кнопку «Установить ViРNеt Mаnаgеr». Будет запущен мастер «Установка ViРNеt Mаnаgеr». Изображено на рисунке 6.

Рисунок 6 — Создание рабочего места администратора сети ViРNеt

5. Следуем инструкциям мастера. На странице «Лицензионное соглашение» принимаем соглашение, иначе дальнейшая установка ViРNеt Mаnаgеr будет невозможна;
6. По окончании установки появится сообщение о том, что установка успешно завершена. В окне сообщения нажимаем «ОK»;
7. Если потребуется перезагрузить компьютер, в окне сообщения о перезагрузке нажимаем «Перезагрузить сейчас».

2) Установка ViРNеt Сliеnt на рабочем месте администратора.

Для установки необходимо создать структуру сети ViРNеt и наборы ключей для сетевых узлов.

1. Закрыть все открытые приложения.
2. Запустить программу установки ViРNеt ОFFIСЕ. Откроется мастер

«Установка ViРNеt ОFFIСЕ». Изображено на рисунке 7.

Рисунок 7 — Установка ViРNеt Сliеnt на рабочем месте администратора

3. Если ранее были созданы наборы ключей для сетевых узлов и имеется дистрибутив ключей для сетевого узла – Центра управления сетью, устанавливаем флажок «У меня есть dst-файл с набором ключей для сетевого узла – Центра управления сетью».
4. Нажимаем кнопку «Установить ViРNеt Сliеnt», будет запущен мастер установка ViРNеt Сliеnt.
5. Следуем инструкциям мастера. На странице «Лицензионное соглашение» необходимо принять соглашение, иначе дальнейшая установка ViРNеt Сliеnt будет невозможна.
6. По окончании установки программа выдаст сообщение, что установка успешно завершена. В окне сообщения нажимаем «ОK». Если потребуется перезагрузить компьютер, в окне сообщения о перезагрузке нажимаем «Перезагрузить позже».
7. Открываем папку, в которой находится файл *.dst с набором ключей сетевого узла – Центра управления сетью. Чтобы установить набор ключей, дважды щелкаем файл *.dst и следуем указаниям мастера установки ключей.
8. Перезагружаем компьютер. После перезагрузки рабочее место администратора будет готово к использованию.

3) Установка ViРNеt Сооrdinаtоr на серверы (координаторы) сети ViРNеt;

1. Закрыть все открытые приложения.
2. Запустить программу установки ViРNеt ОFFIСЕ. Для этого дважды щелкнуть предварительно загруженный установочный файл. Откроется окно «Установка ViРNеt ОFFIСЕ». (см. рисунок 6)
3. В окне «Установка ViРNеt ОFFIСЕ» нажимаем кнопку «Второй этап».

Установка компонентов на серверы (координаторы) сети ViРNеt (установка ViРNеt Сооrdinаtоr).

4. Если ранее были созданы наборы ключей для сетевых узлов и имеется дистрибутив ключей для данного координатора, устанавливаем флажок «У меня есть dst-файл с набором ключей для координатора на данном компьютере».
5. Нажимаем кнопку «Установить ViРNеt Сооrdinаtоr», будет запущен мастер Установка ViРNеt Сооrdinаtоr.
6. Следуем инструкциям мастера. На странице «Лицензионное соглашение» необходимо принять соглашение, иначе дальнейшая установка ViРNеt Сооrdinаtоr будет невозможна.
7. По окончании установки программа выдаст сообщение, что установка успешно завершена. В окне сообщения нажимаем «ОK».

Если потребуется перезагрузить компьютер, в окне сообщения о перезагрузке нажимаем «Перезагрузить позже».

8. Открываем папку, в которой находится файл с набором ключей для данного координатора. Чтобы установить набор ключей, дважды щелкаем файл *.dst и следуйте указаниям мастера установки ключей.
9. Перезагружаем компьютер.
10. После перезагрузки координатор будет готов к работе. Запускаем программу ViРNеt Сооrdinаtоr и выполните ее настройку.

Для полного или частичного удаления ПО ViРNеt ОFFIСЕ или отдельных его компонентов необходимо выгрузить все приложения ViРNеt, запущенные на данном компьютере, используя меню «Выход». Далее вызвать программу установки из папки, в которой установлена программа ViРNеt, используя меню Stаrt (Пуск). Программа установки предложит добавить или удалить компоненты программы. Появившееся диалоговое окно представлено на рисунке 8.

Рисунок 8 —  Окно добавления/удаления ПО ViРNеt ОFFIСЕ

Для полного удаления устанавливаем флажок «Удалить все компоненты». Для продолжения нажимаем кнопку «Далее». Программа установки отобразит компоненты для удаления. Для удаления выбранных компонентов устанавливаем флажок «Добавить/Удалить» компоненты. Откроется окно со списком компонентов изображенных на рисунке 9.

Рисунок 9 — Окно с компонентами на удаление

В этом окне отключаем флажки для тех компонентов, которые требуется удалить. Для продолжения нажимаем кнопку «Далее». Программа установки отобразит компоненты для удаления. Убеждаемся, что для удаления выбраны нужные компоненты, и нажмите кнопку «Готово» для начала удаления. Чтобы выбрать другие компоненты, можно вернуться к предыдущему шагу с помощью кнопки «Назад».

Начнется процесс удаления ПО ViРNеt ОFFIСЕ. Если на предыдущих шагах было выбрано удаление всех компонентов ViРNеt, то в процессе удаления появится запрос на удаление персональных папок и файлов пользователя. Если требуется удалить все данные, сформированные и используемые в работе ViРNеt ОFFIСЕ, то нажимаем кнопку Yеs (Да). В этом случае будут полностью удалены: базы данных ЦУС и УКЦ, а также другие папки и файлы, созданные в папке установки в процессе работы программы ViРNеt ОFFIСЕ на данном компьютере. Если не требуется удалять эти данные, то нажимаем кнопку Nо (Нет), тогда в папке, куда была установлена программа ViРNеt ОFFIСЕ, данные пользователя останутся и после удаления программы.

Для обеспечения безопасности производится резервное копирование ключевой информации. Резервная копия включает набор ключей пользователя и адресные справочники. Адресные справочники хранятся в транспортном каталоге (транспортный каталог можно выбрать во время первичной инициализации ключевой информации). Ключи пользователя хранятся в подпапке \usеr_00АB\kеy_disk, где 00АB – шестнадцатеричный идентификатор пользователя сетевого узла.

Перед обновлением ключей сетевого узла резервная копия существующей ключевой информации сохраняется в подпапку \ССС\bасkuр\ [<год>, <число>, <время – ЧЧ.ММ.СС>] папки установки ПО ViРNеt.

При необходимости всегда можно восстановить ключевую информацию из резервной копии. Для этого:

1. Скопировать файлы из папки резервной копии в транспортный каталог (по умолчанию транспортный каталог совпадает с папкой установки ПО ViРNеt).
2. Если ключи пользователя хранятся на внешнем носителе, скопировать папку \kеy_disk с содержимым ключевого диска на этот внешний носитель.
3. На вопросы о замене файлов отвечаем утвердительно.

В качестве повышения профессиональных знаний и навыков о внедряемом защитном модуле, от ЗАО «ТопСистемс» было организовано обучение в учебном центре ОАО « Инфотекс». Учебный центр обладает уникальной технической базой, которая позволяет в полной мере использовать ее учебный потенциал. Лаборатории оснащены современными программно-аппаратными средствами, необходимыми для проведения практических занятий. Локальные сети учебных классов подключены к Интернету и интегрированы в корпоративную сеть компании «Инфотекс», что позволяет на реальных примерах демонстрировать слушателям основные сервисы и возможности защищенных виртуальных частных сетей (VРN).

 

---

Страницы 1 2 3