Научная литература
booksshare.net -> Добавить материал -> Информатика -> Петров А.А. -> "Компьютерная безопасность. Криптографические методы защиты" -> 169

Компьютерная безопасность. Криптографические методы защиты - Петров А.А.

Петров А.А. Компьютерная безопасность. Криптографические методы защиты — M.: ДМК, 2000. — 448 c.
ISBN 5-89818-064-8
Скачать (прямая ссылка): comp_safety.pdf
Предыдущая << 1 .. 163 164 165 166 167 168 < 169 > 170 171 172 173 174 175 .. 181 >> Следующая

Разработчику также необходимо предусмотреть дополнительную защиту (возможно, криптографическую) от несанкционированного доступа ключевых материалов системы, защита которых в настоящих версиях возложена на штатные средства Solaris.
Следует отметить надежность и управляемость «Заставы». В течение года непрерывной эксплуатации сбои программного обеспечения наблюдались всего дважды, и они не приводили к фатальному краху межсетевого взаимодействия. Так как смена пакетных ключей комплекса производится по умолчанию через равные промежутки времени (120 с) либо при прохождении 102400 байт по соединению, необходимо обеспечить синхронизацию таймеров взаимодействующих станций. Это можно сделать с использованием NTP (Network Time Protocol). Межсетевой экран «Застава» поддерживает управление с помощью протокола SNMPvI и v2, что позволяет интегрировать его в корпоративную систему сетевого управления типа HP Open View.
Пакет «Застава-Офис» имеет графические средства администрирования, реализованные с помощью Java RMI. Они довольно удобны в работе и позволяют полностью выполнить настройку системы. Однако Java RMI весьма чувствителен к пропускной способности сети, и более пригодным может оказаться использование утилит командной строки системы защиты «Застава».
Наличие сервера сертификатов делает управление ключевой системой достаточно гибким, особенно по сравнению со схемой таблиц ключей, которая используется в ФПСУ-IP. Так, в частности, допускается наличие
Сравнительные характеристики отечественных средств построения VPN 413
нескольких центров генерации и сертификации ключевой информации. Однако плановую смену ключей все равно придется производить вручную, причем на каждом межсетевом экране. Этот процесс может осуществляться централизованно с рабочего места администратора по защищенным каналам с помощью удаленного терминала и утилит командной строки «Заставы».
В заключение следует сказать, что комплекс «Застава» постоянно развивается, и уже в следующих версиях в нем планируется полностью реализовать вырабатываемые в настоящее время стандарты IPSec, что позволит строить и управлять VPN более гибко. Высокой оценки заслуживает надежность и управляемость комплексом, на основе которого строятся корпоративные и межкорпоративиые VPN.
3. «Шип». Производитель -МО ПНИЭИ, г. Москва
Результаты испытаний системы «Шип» показали, что в целом этот комплекс реализует характеристики, отраженные в документации, однако у него есть и существенные недостатки. Например, при плановой смене ключей наблюдались разрывы связи, доходившие до нескольких минут, что, конечно, молсет привести к нарушению работы сетевых прилолсений.
Отсутствие поддержки протоколов динамической маршрутизации (например, RIP), в случае отказа АПК «Шип», не позволяет перейти на резервную конфигурацию связи по открытому каналу без перекоммутации сетевых кабелей. Вариант обхода неисправного АПК «Шип» с использованием резервного маршрутизатора LAN-LAN требует наличия в холодном резерве дополнительного сетевого оборудования в каждом филиале. Заметим также, что через «Шип» не может транслироваться незашифрованный трафик, поэтому с его помощью трудно построить многочисленные гибкие VPN смешанного назначения и обеспечить из внутренней сети одновременный доступ к защищенным комплексам «Шип» и общедоступным ресурсам сети. Кроме того, обнаружилось, что затруднительно управлять оборудованием региональной сети из локальной сети организации, так как сетевое оборудование находится за комплексом «Шип». Для того чтобы справиться с этой проблемой, придется резервировать дополнительные порты сетевого оборудования, из-за чего увеличивается общая стоимость сети. «Застава» и ФПСУ-IP имеют возможность транслировать незашифрованный трафик и тем самым поддерживать отдельную VPN, служащую только для защиты системы управления корпоративной сетью.
414
Приложение 1
Необходимость постоянной связи с центром управления ключевой системой (ЦУКС) также нельзя отнести к достоинствам этого комплекса, потому что «Шип» осуществляет периодический (15 мин) опрос ЦУКС. Разрыв этого канала может привести к нарушению функционирования всей сети. Продукты лее типа «Застава», имея загруженные в локальные базы данных сертификаты, могут обходиться без сервера сертификатов. ФПСУ-IP пока не предусматривает наличия централизованного управления ключами. Отметим, что ЦУКС «Шип» распространяет таблицы соответствия ключей и абонентов, а не сами ключи. Так что при использовании всей ключевой матрицы новую таблицу все равно придется ставить на каждый «Шип» вручную.
Максимальная скорость шифрования, декларируемая разработчиком, составляет, как и у «Заставы», 8 Мбит/с.
Документация на «Шип» является самой полной по сравнению с описанными выше продуктами, хотя и не лишена мелких недочетов.
Так как «Шип» использует SKIP, то недостатки, которые описаны при анализе «Заставы», в равной мере относятся и к «Шипу».
По стоимости «Шип» занимает промежуточное положение между ФПСУ-IP и «Заставой». В отличие от ФПСУ-IP в составе комплекса «Шип», по заявлению разработчиков, имеется клиентское программное обеспечение, разработанное для Windows NT, хотя, скорее всего, реализация под Windows 95 тоже могла бы быть полезной.
Предыдущая << 1 .. 163 164 165 166 167 168 < 169 > 170 171 172 173 174 175 .. 181 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed