Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
ФПСУ-IP имеет сертификат Гостехкомиссии, удовлетворяющий требованиям к третьему классу защищенности МЭ в соответствии с РД «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности». Сертификат № 233 от 29 апреля 1999 года.
ФПСУ-IP обладает следующими функциональными возможностями:
• фильтрация сетевых пакетов уровня IP и TCP в соответствии с задаваемыми администраторами правилами на основе IP-адресов отправителя и получателя, фреймов, инкапсулированных в IP-протоколы, времени и даты передачи пакета, разрешенных портов абонентов (для TCP/UDP-пакетов), а также пар адресов абонентов, для которых разрешено соединение;
• трансляция сетевых адресов отправителя и получателя в межсетевых туннелях, скрывающая внутренние адреса субъекта и объекта информационного взаимодействия (NAT);
• осуществление при туннелировании двусторонней аутентификации;
• применение «проходного» сжатия данных;
• строгая защита передаваемых данных на уровне IP, в том числе от навязывания ранее переданных;
• сокрытие факта использования защитных свойств комплекса. При нарушении правил фильтрации и сбросе пакета на межсетевом экране клиент получает ICMP-сообщение о том, что маршрут не найден.
• регистрация в защищенном хранилище записей статистической информации о функционировании комплекса (в том числе суточный биллинг);
• визуальное отображение на экране попыток нарушения правил фильтрации;
• обеспечение защиты от несанкционированного доступа к информации и ресурсам комплекса посредством идентификации администратора по идентификатору и содержимому памяти электронной таблетки touch memory, а также по паролю условно постоянного действия;
• разделение прав на доступ к работе комплекса для различных классов администраторов с обеспечением учета их активных действий.
Защита информации при межсетевом взаимодействии
289
Центральный офис Филиалы
|Ф щ .,-........... .•^N.............VPN.....n.....
' HP Open View""" ' VPN 1 VPN 1 M
Ethernet \
\
• ' I •ФЛСУ-3 7 Корпоративная (общедоступная сеть) T^Ro
и uter Ethernet
В Ш рпсу-i
I Rou V
tot VPN 2 VPN 2 ФП тМ— ~Ш
Ethernet :
HP Open ^ View/ Администратор ФПСУ
SNMP-агент"
Рис. 3.14. Типовая схема использования ФПСУ-IP
Типовая схема использования ФПСУ-IP приведена на рис. 3.14.
Алгоритмы защиты информации базируются на использовании ГОСТа, но протоколы идентификации, аутентификации, нелинейного преобразования данных и их компрессии, а также обмена аутентификационньши данными (ключами) являются собственными разработками АМИКОНа, выполненными при участии фирмы «ИнфоКрипт», и не соответствуют стандарту IPSec, что, конечно, можно оценивать неоднозначно. В фирменной реализации АМИКОНа не предусмотрена передача пакетного ключа вместе с каждым IP-пакетом, а защита трафика осуществляется на сеансовом ключе, который периодически меняется. При этом объем служебной информации в IP-пакете составляет 18-20 байт. Возможность эффективного сжатия информации также снижает количество передаваемых данных.
Ключевая система ФПСУ-IP является симметричной, то есть на каждом ФПСУ-IP имеется таблица данных парно-выборочной связи, первоначально загружаемая вручную локально. Одновременно в комплексе ФПСУ-IP может находиться по четыре комплекта собственных ключей и все необходимые данные для осуществления парно-выборочной связи для групп (максимально 32) генерации (в каждой группе генерации может быть до 9999 комплектов). Как только производится изменение номера комплекта на одном из ФПСУ-IP системы, все взаимодействующие
10 - з
290 Компьютерная безопасность и практическое применение криптографии
ФПСУ-IP автоматически осуществляют переход на новые комплекты. Использование технологии парно-выборочной связи, конечно, повышает надежность системы, но при этом теряется гибкость ключевой системы, присущая технологии с открытыми ключами. Так, например, остается вопрос обеспечения взаимодействия между организациями, имеющими разные подразделения генерации ключей и соответственно разные ключевые таблицы. По окончании использования всех комплектов ключей новые ключи придется распределять по всем ФПСУ-IP вручную. При увеличении за границы размерности ключевой матрицы числа ФПСУ-IP в системе необходимо генерировать новую матрицу и опять-таки вручную переустанавливать ее на все ФПСУ-IP.
Программный комплекс «Игла-П»
ПК «Игла-П» (МО ПНИЭИ) предназначен для организации защищенных VPN на базе общедоступных сетей передачи данных (создан на основе реализации SKIP-протокола). Применяя ПК «Игла-П», любой абонент защищенной VPN может обмениваться данными с любым другим абонентом VPN, причем шифрование передаваемых данных для абонентов является прозрачным. В ходе организации защиты информации обеспечивается не только шифрование IP-пакетов (инкапсулирование IP-пакета), но и аутентификация сторон информационного обмена.
Кроме того, «Игла-П» обеспечивает фильтрацию входящего трафика, что характерно для средств защиты данного типа. Это функциональное свойство аналогично принципу, лежащему в основе межсетевых экранов, но очевидные ограничения, которые присутствуют при построении средств защиты ПК «Игла-П», не позволяют полномасштабно развернуть систему фильтрации трафика, поэтому задаваемые в нем правила фильтрации носят слишком общий характер. Тем не менее такая функция необходима для надежной эксплуатации рабочей станции, особенно для предотвращения негативных последствий при поступлении некорректной информации от каналов связи или при передаче сообщений абоненту локальной сети.