Вы находитесь в разделе Типовых решений систем безопасности
Комплексирование средств или решений? к вопросу об эффективности комплексной защиты информации ,часть 1,На сегодняшний день пришло понимание того, что частное решение в области защиты информации, по большому счету, во многом просто бессмысленно. К одному из ключевых вопросов комплексирования можно отнести следующее – а кто же может и должен создавать комплексные решения – системный интегратор или разработчик? Ведь если задуматься, разница в их подходах к комплексированию огромна – системный интегратор объединяет в единую систему средства, а разработчик технические решения при создании средств. Насколько реализация системного подхода к построению комплексного средства защиты влияет на отдельные технические решения, мы рассмотрели в одной из своих предыдущих статей, посвященной рассмотрению подходов, реализованных в комплексной системе защиты информации от несанкционированного доступа КСЗИ Панцирь-К для ОС Windows 2000/XP/2003, предназначенной для противодействия как внутренним, так и внешним ИТ-угрозам (для решения данной совокупности задач защиты информации т создана КСЗИ). В данной же работе мы попытаемся рассмотреть вопрос построения комплексной криптографической защиты корпоративной сети предприятия с использованием средств защиты информации семейства Панцирь: Корпоративная VPN Панцирь для ОС Windows 2000/XP/2003 и Система защиты данных (СЗД) Панцирь для ОС Windows 2000/XP/200 При этом акцентируем внимание читателя на ключевом вопросе, как же реализована комплексность решения при создании разработчиком данных средств защиты и может ли быть обеспечена соответствующая эффективность защиты при объединении в единую систему средств различных производителей.Защита виртуальных каналов связи корпоративной сети предприятия Данная задача защиты решается посредством построения корпоративной VPN. Корпоративная VPN – это наложенная (виртуальная) на сеть общего пользования сетевая инфраструктура, ограниченная рамками корпорации. Подобную инфраструктуру в общем случае составляют локальные вычислительные средства, объединяемые в корпоративную локальную сеть, корпоративные локальные сети, объединяемые в единое коммуникационное пространство, к которому, кроме того, подключаются удаленные и мобильные пользователи. Хранение и обработка в рамках виртуальной (основанной на использовании каналов связи общего пользования) сети корпоративной информации требует ее защиты, состоящей в реализации разграничительной политики доступа к корпоративным ресурсам и в криптографической защите виртуальных (наложенных на существующее телекоммуникационное оборудование) каналов связи. Важнейшим условием построения защиты в корпоративных приложениях является то, что собственно пользователь должен рассматриваться в качестве основного потенциального злоумышленника (инсайдера). Это обусловливается тем, что пользователь здесь обрабатывает не собственную информацию, а корпоративную, следовательно, может быть заинтересован в ее хищении. Это обусловливает необходимость исключения пользователя из схемы администрирования средства защиты. С учетом сказанного, попытаемся сформулировать общие требования к корпоративной VPN:
Выше сформулированы основополагающие требования к корпоративной VPN. На практике они могут быть реализованы (если эти требования не реализованы, то это не корпоративная VPN) различным образом. При построении корпоративной VPN (как и любого иного средства защиты для корпоративных приложений – априори сложного средства не только в части его реализации, но и в части администрирования – средство защиты может быть либо простым, либо эффективным), одной из важнейших задач разработчика является задача упрощения администрирования. В данной работе рассмотрим подходы к построению корпоративной VPN, реализованные в ПО Корпоративная VPN Панцирь для ОС Windows 2000/XP/2003 (разработка ЗАО НПП Информационные технологии в бизнесе). Итак, как отмечалось, при построении корпоративной VPN должны быть решены две ключевые задачи - реализация разграничительной политики доступа к корпоративным ресурсам и криптографическая защита виртуальных (наложенных на существующее телекоммуникационное оборудование) каналов связи корпоративной сети. Реализация разграничительной политики доступа к корпоративным ресурсам Когда речь заходит о реализации разграничительной политики доступа к ресурсам, в первую очередь, необходимо определиться с тем, что же является субъектом и объектом доступа. Это позволит определить способ их идентификации. В общем случае, как объектом, так и субъектом доступа (как правило, в VPN субъект одновременно является и объектом доступа) может выступать либо компьютер, при этом доступ разграничивается между компьютерами, либо пользователь, соответственно доступ разграничивается между пользователями. Универсальность корпоративной VPN достигается в том случае, когда в качестве субъекта и объекта может выступать как компьютер в составе корпоративной сети, так и пользователь – сотрудник предприятия. Это, а также сложность идентификации компьютеров в сети по адресам (требуются специальные устройства – координаторы сети, а это дополнительные затраты и дополнительная сложность администрирования) обусловливает целесообразность включения специальной сущности Идентификатор (никак не связанной ни с адресом компьютера, ни с учетной записью), используемой для идентификации субъектов и объектов VPN. В зависимости от способа хранения идентификатора субъекта/объекта (на компьютере, например, в реестре или в файле, либо на внешнем носителе, предоставляемом пользователю, например, на электронном ключе, либо на смарт-карте), т.е. его принадлежности (принадлежит компьютеру или пользователю), может быть реализована разграничительная политика доступа к ресурсам VPN для компьютеров или же для пользователей. Теперь, в двух словах, о пользователях. По различным причинам, они могут обладать различной степенью доверия. Поэтому пользователей целесообразно подразделять на пользователей с высоким и низким уровнями доверия. Пользователю с низким уровнем доверия целесообразно разрешить передачу информации только в рамках корпоративной сети, т.е. разрешить взаимодействие только с компьютерами в составе VPN, трафик в которой шифруется. Пользователю с высоким уровнем доверия может потребоваться разрешить взаимодействие, как с компьютерами VPN (по защищенному каналу связи), так и с компьютерами внешней сети (здесь информация передается в открытом виде). Поскольку сущность Идентификатор в общем случае может присваиваться, как пользователю, так и компьютеру, то в двух режимах (с возможностью выхода во внешнюю сеть и без такой возможности) могут использоваться и компьютеры корпоративной сети. Процедуру идентификации осуществляет сервер VPN (который по понятным причинам может резервироваться с автоматической репликацией базы настроек на резервный сервер). На компьютеры в составе VPN устанавливаются клиентские части, основу которых составляет сетевой драйвер. Клиентская часть блокирует какой-либо доступ в сеть до тех пор, пока не будет проведена идентификация (компьютера или пользователя, соответственно, идентификатор располагается либо на компьютере, либо на внешнем носителе у пользователя) на сервере. При идентификации компьютера процедура осуществляется автоматически, для идентификация пользователя – ему необходимо ввести в компьютер идентификатор (например, вставить смарт-карту с идентификатором). После идентификации на сервере, в зависимости от уровня доверия, соответствующего идентификатору, клиентская часть позволит взаимодействие (компьютера или пользователя) либо только с компьютерами в составе VPN – на которых также установлена клиентская часть, информация при этом будет передаваться в шифрованном виде, либо в защищенном режиме (с шифрацией) с компьютерами VPN, в открытом – только с внешними по отношению к VPN компьютерами. Отношение компьютера к VPN определяется взаимодействием клиентских частей по защищенному протоколу. Таким образом, собственно виртуальная сеть (VPN) формируется из состава компьютеров, на которых установлена клиентская часть. Для подключения к VPN необходима идентификация компьютера, либо пользователя на сервере VPN. Реализация же разграничительной политики доступа внутри VPN (разграничение доступа между сущностями Идентификатор, которые могут присваиваться как компьютерам – разграничение между компьютерами, так и пользователя – разграничение между пользователями) осуществляется администратором на сервере (о том, как это делается, чуть ниже). Настройка и эксплуатация VPN заметно упрощаются. Например, для подключения к VPN мобильного пользователя в любой точке земного шара, достаточно наличия у него компьютера, подключенного к сети, на котором должна быть установлена клиентская часть VPN, и идентификатора, который ему выдаст администратор (мы пока говорим только о реализации разграничительной политики). Администратор же создавая идентификатор, может соответствующим образом назначить уровень доверия и определить те идентификаторы (компьютеры или пользователей) с которыми в рамках VPN по защищенному протоколу сможет общаться мобильный пользователь. Никаких координаторов для этого не требуется, т.к. адрес (который может быть различным при каждом удаленном подключении компьютера к сети) не используется в качестве идентифицирующей сущности. Реализация криптографической защиты виртуальных каналов связи корпоративной сети Выше мы говорили, что основными требованиями к реализации криптографической защиты виртуальных каналов корпоративной сети являются: прозрачное автоматическое (принудительное для пользователя) шифрование виртуальных каналов корпоративной сети, централизованное генерирование ключей шифрования администратором (пользователь должен быть исключен из схемы администрирования и управления VPN), отсутствие ключа шифрования виртуальных каналов связи у пользователя и соответственно, невозможность доступа пользователя к ключам шифрования. Важным условием эффективности защиты является необходимость частой смены ключей шифрования виртуальных каналов. Это, с учетом необходимости централизованного генерирования ключей для всех субъектов/объектов (определяемых идентификаторами) корпоративной сети, существенно усложняет задачу администрирования VPN. Подход к реализации ключевой политики, реализованный в ПО Корпоративная VPN Панцирь для ОС Windows 2000/XP/2003, состоит в следующем. Каждый субъект/объект VPN характеризуется парой признаков: идентификатор и ключ шифрования взаимодействия с сервером VPN. Данная пара генерируется администратором при создании субъекта/объекта. Если субъектом/объектом VPN выступает компьютер, то идентификатор и ключ шифрования взаимодействия с сервером VPN устанавливаются на компьютере администратором при установке клиентской части (в процессе эксплуатации по усмотрению администратора данные параметры могут быть изменены), если же субъектом/объектом VPN выступает пользователь, то сгенерированная администратором пара признаков идентификатор и ключ шифрования взаимодействия с сервером VPN выдаются пользователю администратором на внешнем носителе (Flash-устройство, электронный ключ, смарт-карта). До момента идентификации субъекта/объекта клиентской частью VPN на сервере, на компьютере не хранится какой-либо информации о ключах шифрования виртуальных каналов. Ключи шифрования виртуальных каналов генерируются сервером при идентификации субъектов/объектов VPN автоматически, т.е. даже администратор безопасности не обладает ключевой информацией. Осуществляется это следующим образом. При идентификации субъекта/объекта VPN на сервере, для идентифицируемого субъекта/объекта сервером автоматически генерируются ключи шифрования (каждая пара взаимодействующих субъектов/объектов VPN имеет свой ключ шифрования) с другими субъектами/объектами VPN. Данная информация (ключи шифрования данного компьютера с другими активными компьютерами в составе VPN) сервером в зашифрованном виде передается на идентифицированный компьютер (идентифицированному пользователю), где хранится в оперативной памяти – эта информация не доступна пользователю. Одновременно на все остальные активные (идентифицированные ранее) компьютеры из состава VPN сервером выдаются сгенерированные ключи шифрования для взаимодействия с вновь идентифицированным субъектом/объектом. Таким образом, в каждый момент времени в оперативной памяти идентифицированного компьютера в составе VPN хранится таблица с ключами шифрования трафика с другими активными (идентифицированными) компьютерами в составе VPN (для каждой пары этот ключ свой). Данная таблица пополняется после идентификации каждого последующего субъекта/объекта. Смена ключа шифрования осуществляется сервером автоматически при каждой последующей идентификации субъекта/объекта. Таким образом, вся процедура генерации ключевых пар полностью автоматизирована, не требует участия администратора безопасности, ключи шифрования виртуальных каналов VPN не доступны не только пользователям корпоративной сети, но и администратору. Разграничение же доступа между субъектами/объектами в составе VPN (о чем упоминалось ранее) реализуется тем, что при идентификации субъекта/объекта ему передаются ключи шифрования виртуальных каналов только с теми активными субъектами/объектами, с которыми администратором разрешено взаимодействие данному субъекту/объекту. Клиентская же часть VPN, установленная на компьютере в составе VPN, позволит осуществлять с него взаимодействие только с теми активными субъектами/объектами, для взаимодействия с которыми получены соответствующие ключи шифрования с сервера VPN. Теперь рассмотрим вопросы администрирования и построения интерфейсов. Рассмотрим, в чем состоят задачи администрирования VPN, ведь, как отмечали ранее, множество функций администратора VPN нам удалось автоматизировать. В своем составе ПО Корпоративная VPN Панцирь для ОС Windows 2000/XP/2003 содержит: клиентские части, устанавливаемые на компьютеры, включаемые в состав VPN, серверные части (основная и резервная), устанавливаемые на выделенные компьютеры, АРМ администратора безопасности, может устанавливаться как на отдельном компьютере, так и на сервере VPN. Теперь об администрировании. На сервере необходимо создать базу субъектов/объектов VPN. Это реализуется из интерфейса серверной части, приведенного на рис. Для каждого созданного субъекта необходимо указать доверенный он (тогда ему разрешается взаимодействие с внешней сетью), либо нет, также для задания системного субъекта существует сущность резервный сервер. Для созданных субъектов сервером VPN автоматически генерируются его идентификатор и ключ шифрования взаимодействия с сервером VPN, которые необходимо сохранить на внешнем носителе (либо на Flash-устройстве, если субъектом выступает компьютер, либо на одном из выбранных носителей – электронный ключ или карта (может быть также и Flash-устройство), если субъектом выступает пользователь. Данное устройство будет использоваться пользователь для его идентификации, с целью получения доступа к виртуальным каналам VPN. Данное устройство впоследствии администратору необходимо будет передать соответствующему сотруднику предприятия (пользователю). Кроме того, необходимо настроить системные параметры сервера, см. рис.1, задать алгоритм шифрования виртуальных каналов в VPN, см. рис.2, задать способ хранения и ввода идентифицирующих субъект данных, см. рис.  Рис. Настройка сервера VPN  Рис. Задание алгоритма шифрования в VPN на сервере  Рис. Задание способа хранения и ввода идентифицирующих субъекта данных После того, как субъекты/объекты доступа созданы, может быть задана разграничительная политика доступа в составе VPN, что реализуется на сервере из интерфейса, приведенного на рис.  Рис. Задание разграничительной политики в составе VPN Для этого в левой части интерфейса следует выбрать субъект, для которого необходимо разграничить доступ (это может быть пользователь, либо компьютер). Субъектом может выступать и концентрирующий элемент (папка в интерфейсе). В правой части, где также отображаются субъекты/объекты VPN, следует выбрать объекты (это также могут быть пользователи, либо компьютеры, в качестве объектов также могут выступать папки), к которым следует разрешить, либо запретить (в зависимости от реализуемой разграничительной политики) доступ для выбранного субъекта. Все весьма просто и наглядно. Настройка корпоративной VPN завершена. Если субъектами доступа являются пользователи (не компьютеры), то после установки клиентской части на компьютер пользователя, администратор должен передать пользователю ключ (карту) с идентификационными данными и ключом шифрования взаимодействия с сервером VPN (эти данные администратор всегда сможет изменить на сервере, соответственно выдав новый ключ (требуется изменить содержимое ключа) пользователю). В процессе функционирования от пользователя (если он, а не компьютер, является субъектом VPN) требуется лишь подключать ключ (карту) к компьютеру для идентификации, с целью получения доступа к сети, от администратора же вообще не требуется никаких дополнительный действий (все ключи шифрования между каждой парой субъектов на сервере генерируются автоматически, при каждом подключении компьютера VPN к серверу VPN). Администратору остается только осуществлять функции контроля работы пользователей в VPN с использованием соответствующих средств аудита. Кроме того, он может осуществлять необходимые текущие действия по управлению VPN, например, временно заблокировать идентификатор (субъект/объект) – вывести его из состава корпоративной VPN, изменить текущие права доступа какого-либо субъекта и т.д. Читайте далее:  Стандарт сжатия видеоизображения h.264. новые возможности в области охранного видеонаблюдения Выставка ifsec 2008 ,41 - 50, О безопасности в великобритании и не только... досмотр Противодействуем внутренним it-угрозам О безопасности в великобритании и не только... противопожарный антиавось Предотвращение грабежа Верный, доступный, надежный Некоторые мысли после выставки mips 2008 Мы увидим симбиоз айтишников и безопасников Rfid перспективы и реальность Выбор оптоволоконных передатчиков видеосигнала Рост выпуска rfid изделий Видеосерверы от atv inc. - мифы и реальность Новые особенности контрольных панелей Тест-драйв express-видео - 2. новые скорости!
|
