Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
• управление ключевой системой защищенной сети из одного или нескольких центров управления.
В рамках KK «Шип» реализуется развитая ключевая система, а таюке эффективные процедуры управления ключами. Ключевая система построена на основе парных симметричных ключей шифрования, которые формируются в виде полной матрицы (серии) на заранее определенное число абонентов системы с учетом необходимого запаса. В состав механизмов управления ключами входит механизм распространения справочника соответствия (номер ключа - IP-адрес - имя компьютера) с использованием стандартного протокола Domain Name Service (DNS).
В зависимости от размеров создаваемой защищенной VPN и от требований к системе защиты по надежности, бесперебойности и работоспособности можно выделить три основных архитектуры построения защищаемых с использованием KK «ШИП» и подобных ему устройств VPN (рис. 3.12):
• обеспечение защиты VPN небольших размеров (а). Данная схема с одним ЦУКС «Шип» актуальна при организации защиты VPN небольшого размера и при отсутствии жестких требований ко времени оповещения абонентов о компрометации какого-либо абонента и жестких требований к полноте собираемых протоколов об ошибках доступа;
• построение защиты VPN с резервированием ЦУКС (б). При организации защиты VPN среднего размера и при наличии жестких требований ко времени оповещения абонентов о компрометации какого-либо абонента и к полноте собираемых протоколов об ошибках доступа следует использовать схему защиты VPN с несколькими ЦУКС «Шип»: один - главный, остальные - резервные. При этом желательно, чтобы ЦУКС «Шип» имели по возможности независимые друг от друга каналы подключения к глобальной сети передачи данных.
• построение региональных защищенных VPN (в). При организации защиты VPN большого размера (более 1024 KK «Шип») либо с целью минимизации межрегионального обмена, либо с целью структурирования управления доступом к VPN следует использовать региональную
Защита информации при межсетевом взаимодействии
283
Рис. 3.12. Схемы организации защиты VPN
284 Компьютерная безопасность и практическое применение криптографии
структуру защиты VPN, в которой главный ЦУКС «Шип» хранит описания и осуществляет сбор протоколов и действия, выполняемые при компрометации ключей, только для региональных ЦУКС «Шип», хранящих описания абонентов.
Использование криптографического комплекса «Шип» позволяет решать ряд задач по обеспечению конфиденциальности и целостности информации, передаваемой в сетях общего пользования, построенных на основе протоколов IP, Х.25, Frame Relay, то есть наиболее распространенных в настоящее время типах сетей, а также внутри организаций. Решение заключается в создании защищенных подсетей и закрытии доступа из внешних сетей к ресурсам локальных сетей и отдельным компьютерам. К сожалению, кроме несомненных достоинств KK «Шип» имеет ряд существенных недостатков. На некоторых видах трафика вследствие использования SKIP-протокола происходит падение производительности канала передачи данных. Кроме того, при отсутствии встроенных механизмов синхронизации системного времени необходимо ее обеспечивать, поскольку рассинхронизация приводит к отказу в работе.
Система защиты информации «Застава»
Базовой технологией, используемой при построении продуктов «Застава» (Элвис+), является протокол SKIP (Simple Key Internet Protocol).
Программное обеспечение «Заставы» работает на операционных системах Windows 95/98/NT, Solaris (SPARC и Intel).
Все продукты, реализующие протокол SKIP, имеют открытый интерфейс для подключения любых модулей преобразования данных, в том числе и криптобиблиотек, и не содержат криптокомпонентов в своем составе. Это дает возможность выбирать криптобиблиотеки от разных производителей по собственному усмотрению и позволяет разработчику избежать необходимости сертификации SKIP-продуктов в ФАПСИ. К числу разработчиков криптомодулей для SKIP-продуктов относятся и несколько отечественных компаний, в частности «Анкад», обладающая необходимыми лицензиями и сертификатами на свою продукцию и предоставляющая реализацию алгоритма шифрования ГОСТ 28147-89, а также фирма «ЛанКрипто», разработавшая модуль преобразования данных, реализующий сразу несколько алгоритмов разной степени стойкости.
Система «Застава» имеет сертификаты Гостехкомиссии и состоит из следующих компонентов:
Защита информации при межсетевом взаимодействии
285
1. «Застава-Персональный клиент»
Продукт является средством защиты рабочей станции (шифрование и аутентификация IP-трафика), находящейся в персональной эксплуатации. Эта программа содержит все средства администрирования и конфигурирования, необходимые для ее взаимодействия с любыми другими SKIP-совместимыми средствами защиты (в частности, средствами сертификации).
2. «Застава-Корпоративный клиент»
Продукт является средством защиты рабочей станции корпоративной сети. От предыдущего продукта эта программа отличается тем, что пользователь защищаемой рабочей станции лишен возмолшости определять политику безопасности (следовательно, структуру сетевых соединений) для своей станции. Политика безопасности полностью контролируется администратором безопасности корпоративной сети и выдается пользователю как целостная структура данных на некотором носителе.
