Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
3. «Застава-Сервер»
Продукт является функциональным аналогом продуктов семейства «Застава-Клиент» для серверных платформ. Он отличается прежде всего расширенными ресурсами для поддерлсания миолсественных соединений с клиентскими программными агентами, а также способностью работать с узлами, не имеющими постоянного IP-адреса.
4. «Застава-Офис»
Это программный комплекс, предназначенный для коллективной защиты входящего и исходящего трафика сегмента локальной сети; защиты этого сегмента от несанкционированного доступа из внешних сетей; обеспечения путем туннелирования трафика защищенного взаимодействия с другими сегментами локальных сетей, защищенными при помощи аналогичных систем, и с отдельными рабочими станциями, защищенными при помощи программных систем «Застава-Клиент», а также с серверами, защищенными «Заставой-Сервером». Работает под управлением ОС Solaris Intel/Sparc. Продукт может управляться как из командной строки, так и удаленно с использованием графической оболочки, написанной на Java. ПО SKIP имеет сертификат ГТК № 46 для Windows 3.11/95 и № 48 для Solaris 2.4 («Застава-Офис» и «Застава-Клиент»).
Межсетевой экран «Застава»
Продукт представляет собой межсетевой экран (МЭ) уровня TCP/UDP со всеми стандартными возможностями экранов подобного класса.
286 Компьютерная безопасность и практическое применение криптографии
МЭ обеспечивает дистанционное управление системными компонентами, в том числе и конфигурирование фильтров, проверку взаимной согласованности всех фильтров, анализ регистрационной информации.
Межсетевой экран включает средства контроля за целостностью своей программной и информационной части по контрольным суммам.
В МЭ предусмотрена процедура восстановления после сбоев и отказов оборудования, которая обеспечивает восстановление свойств МЭ. Также имеется возможность управления по SNMP.
«Застава» имеет сертификат Гостехкомиссии об удовлетворении требованиям к третьему классу защищенности МЭ в соответствии с РД «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности». Сертификат № 145 от 9 января 1998 года.
В настоящее время разработчик не занимается усовершенствованием этого продукта, предлагая в составе комплексной защиты информации межсетевой экран Firewall-1 от Checkpoint.
Продукт Certificate Discovery Server
Продукт обеспечивает распределение сертификатов открытых ключей под управлением стандартного и совместимого по ряду SKIP-продуктов различных производителей протокола CDP (Certificate Discovery Protocol). Типовая схема построения защищенной сети на основе продуктов «Застава» изображена на рис. 3.13.
ФПСУ-IP
Продукт ФПСУ-IP (АМИКОН) представляет собой межсетевой фильтр уровня TCP/UDP с возможностями организации криптографически защищенных по ГОСТу на уровне межсетевых соединений IP и сжатия сетевого трафика. Основные криптографические возможности комплекса реализованы с участием фирмы «ИнфоКрипт». Комплекс выполнен под собственной защищенной операционной средой на базе ОС DOS 5.0 и в качестве сетевых протоколов канального уровня поддерживает только Ethernet. Система рассчитана на наличие двух сетевых карт 10/100 Мбит/с. ФПСУ-IP реализован по принципу ложного ARP-сервера, который устанавливается в физический разрыв, разделяющий два сегмента сети, перехватывает ARP-запросы сетевых устройств, в ответ предоставляя свой МАС-адрес. Приходящие на него IP-пакеты подвергаются фильтрации и, если задано, дополнительно обрабатываются для организации VPN (компрессия данных и/или криптографическая обработка с применением
Защита информации при межсетевом взаимодействии_287
мэ
«Застава-Офис»
Сервер БД «Застава-Клиент»
Рис. 3.13. Типовая схема использования «Заставы»
имитовставок), затем транслируются на другой интерфейс или сбрасываются в соответствии с результатами обработки.
Данный подход к реализации продукта представляется весьма разумным, так как в данной ситуации внутренний интерфейс межсетевого экрана может не иметь IP-адреса и таким образом быть неуязвимым к атакам уровня IP изнутри сети. Кроме того, такой МЭ полностью прозрачен для клиентов сети, пользователи могут даже не знать о его наличии. Выбор DOS в качестве операционной системы межсетевого экрана делает ее более безопасной и производительной по сравнению с Windows NT и UNIX из-за однозадачное™ DOS и отсутствия в ней встроенных сетевых возможностей. Однако такой выбор налагает на разработчика дополнительные обязанности по реализации удаленного доступа администратора и организации мониторинга и управления системой защиты.
Защита от НСД к операционной среде и рабочей информации осуществляется с помощью платы «Аккорд», функционирующей по принципу
288 Компьютерная безопасность и практическое применение криптографии
расширения BIOS. Эта система обеспечивает разграничение доступа обслуживающего персонала по уровням доступа к системе и защиту программного обеспечения на жестком диске на ключе, находящемся на идентификаторе touch memory, что делает бессмысленным несанкционированное изъятие платы защиты от НСД и кражу межсетевого экрана (или жесткого диска) для получения доступа к рабочим материалам.
