Принципы построения частных виртуальных сетей (VPN)

Интернет всё чаще используется в качестве средства коммуникации между компьютерами, поскольку он предлагает эффективную и недорогую связь. Однако Интернет является сетью общего пользования и для того чтобы обеспечивать безопасную коммуникацию через него необходим некий механизм, удовлетворяющий как минимум следующим задачам:

¾ конфиденциальность информации;

¾ целостность данных;

¾ доступность информации.

Этим требованиям удовлетворяет механизм, названный VPN (Virtual Private Network – виртуальная частная сеть) – обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений поверх другой сети (Интернет) с использованием средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).

Создание VPN не требует дополнительных инвестиций и позволяет отказаться от использования выделенных линий. В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов:

— узел-узел;

— узел-шлюз;

— шлюз- шлюз. 

Существует множество различных решений для построения виртуальных частных сетей. Наиболее известные и широко используемые протоколы – это:

¾ PPTP (Point-to-Point Tunneling Protocol) – этот протокол стал достаточно популярен благодаря его включению в операционные системы фирмы Microsoft. Для шифрования используется протокол двухточеченого шифрования Microsoft, протоколы аутентификации пароля, расширенный протокол аутентификации. Протокол PPTP использует 2 канала, работающих совместно: 1 — канал управления (посылает в обе стороны все команды, которые управляют сеансом подключения), 2 — инкапсулированный канал передачи данных (вариант протокола общей инкапсуляции для маршрутизации, его плюс: может инкапсулировать и передавать протоколы, отличающиеся от протокола IP).

¾ L2TP (Layer-2 Tunneling Protocol) – сочетает в себе протокол L2F (Layer 2 Forwarding) и протокол PPTP. Как правило, используется в паре с IPSec.

¾ IPSec (Internet Protocol Security) – набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. IPsec является неотъемлемой частью Интернет-протокола IPv6 и необязательным расширением версии Интернет-протокола IPv4. Подключение по протоколу IPSec имеет 2 основных режима: 1 — транспортный (форма связи «узел-узел», где применяется шифрование только содержательной части пакета. Этот режим VPN удобно использовать для зашифрованной связи между узлами одной сети), 2 — режим туннелирования (может применяться дл я организации «шлюз-шлюз». При организации связи «шлюз-шлюз» упрощается связь между сетями, не требуется установка специального ПО на узлах сети).

 

5.8 Принцип работы и возможности СЗИ от НСД на примере Secret Net

Система Secret Net предназначена для защиты от несанкционированного доступа к информационным ресурсам компьютеров, функционирующих под управлением операционных систем MS Windows 8/7/Vista/XP и Windows Server 2012/2008/2003.

Защита от несанкционированного доступа (НСД) обеспечивается комплексным применением набора защитных механизмов, расширяющих средства безопасности ОС Windows. Система Secret Net может функционировать в следующих режимах:

¾ автономный режим — предусматривает только локальное управление защитными механизмами;

¾ сетевой режим — предусматривает локальное и централизованное управление защитными механизмами, а также централизованное получение информации и изменение состояния защищаемых компьютеров.

Основные функции, реализуемые системой Secret Net:

—  контроль входа пользователей в систему;

—  разграничение доступа пользователей к ресурсам файловой системы и устройствам компьютера;

—  создание для пользователей ограниченной замкнутой среды программного обеспечения компьютера (замкнутой программной среды);

— разграничение доступа пользователей к конфиденциальным данным;

—  контроль потоков конфиденциальной информации в системе;

—  контроль вывода на печать и добавление грифов в распечатываемые документы (маркировка документов);

—  контроль целостности защищаемых ресурсов;

—  контроль подключения и изменения устройств компьютера;

—  функциональный контроль ключевых компонентов Secret Net;

—  защита содержимого дисков при несанкционированной загрузке;

—  уничтожение (затирание) содержимого файлов при их удалении;

—  теневое копирование выводимой информации;

—  регистрация событий безопасности в журнале Secret Net;

—  мониторинг и оперативное управление защищаемыми компьютерами (только в сетевом режиме функционирования);

—  централизованный сбор и хранение журналов (только в сетевом режиме функционирования);

—  централизованное управление параметрами механизмов защиты (только в сетевом режиме функционирования).

Средства защиты информации в обязательном порядке должны лицензироваться.

Общие сведения об интеграции Secret Net и комплексов "Соболь".

ПАК семейства "Соболь" обеспечивают защиту от НСД к информационным ресурсам автономных компьютеров, сетевых рабочих станций и серверов, на которые устанавливается система Secret Net. ПАК семейства "Соболь" могут функционировать как автономно, так и совместно с Secret Net.

В автономном режиме работы ПАК "Соболь" реализуют свои основные функции до старта операционной системы независимо от Secret Net. Любым внешним программам при этом запрещается доступ к энергонезависимой памяти комплекса. Управление пользователями, журналом регистрации событий, настройка общих параметров осуществляются средствами администрирования комплекса без ограничений.

В режиме совместного использования (интеграции) внешним программам, входящим в состав Secret Net, разрешается доступ к энергонезависимой памяти комплекса. В этом случае значительная часть функций управления комплексом осуществляется с помощью средств администрирования Secret Net. Перечень функций представлен в следующей таблице 1.

Таблица 1

Функция	Описание
Управление входом пользователя Secret Net в комплекс "Соболь" с помощью идентификатора, инициализированного и присвоенного пользователю в системе Secret Net	Пользователю предоставляются права на автоматический вход в комплекс и далее в систему при однократном предъявлении идентификатора. Также для входа может использоваться пароль, записанный в память персонального идентификатора
Управление работой подсистемы контроля целостности ПАК "Соболь"	Для ПАК "Соболь" задания на контроль целостности файлов жесткого диска формируются средствами администрирования Secret Net
Автоматическая передача записей журнала регистрации событий ПАК "Соболь" в журнал Secret Net	Передача записей и их преобразование осуществляется автоматически при загрузке подсистемы аппаратной поддержки Secret Net

 

Для обеспечения защиты данных в процессе централизованного управления ПАК "Соболь" в Secret Net реализован ряд криптографических преобразований на основе ГОСТ 28147–89,  ГОСТ Р34.10–2001.

Разграничение доступа пользователей к устройствам выполняется на основании списков устройств, формируемых и поддерживаемых в актуальном состоянии механизмом контроля подключения и изменения устройств.

Система Secret Net предоставляет следующие возможности для разграничения доступа пользователей к устройствам:

— установка стандартных разрешений и запретов на выполнение операций с устройствами;

— назначение устройствам категорий конфиденциальности или допустимых уровней конфиденциальности сессий пользователей для разграничения доступа с использованием механизма полномочного управления доступом.