8(495)909-90-01
8(964)644-46-00
pro@sio.su
Главная
Системы видеонаблюдения
Охранная сигнализация
Пожарная сигнализация
Система пожаротушения
Система контроля удаленного доступа
Оповещение и эвакуация
Контроль периметра
Система домофонии
Парковочные системы
Проектирование слаботочных сетей
Аварийный
контроль
Вы находитесь в разделе Типовых решений систем безопасности

Комплексирование средств или решений? к вопросу об эффективности комплексной защиты информации ,часть 1,



На сегодняшний день пришло понимание того, что частное решение в области защиты информации, по большому счету, во многом просто бессмысленно. К одному из ключевых вопросов комплексирования можно отнести следующее – а кто же может и должен создавать комплексные решения – системный интегратор или разработчик? Ведь если задуматься, разница в их подходах к комплексированию огромна – системный интегратор объединяет в единую систему средства, а разработчик технические решения при создании средств. Насколько реализация системного подхода к построению комплексного средства защиты влияет на отдельные технические решения, мы рассмотрели в одной из своих предыдущих статей, посвященной рассмотрению подходов, реализованных в комплексной системе защиты информации от несанкционированного доступа КСЗИ Панцирь-К для ОС Windows 2000/XP/2003, предназначенной для противодействия как внутренним, так и внешним ИТ-угрозам (для решения данной совокупности задач защиты информации т создана КСЗИ).

В данной же работе мы попытаемся рассмотреть вопрос построения комплексной криптографической защиты корпоративной сети предприятия с использованием средств защиты информации семейства Панцирь: Корпоративная VPN Панцирь для ОС Windows 2000/XP/2003 и Система защиты данных (СЗД) Панцирь для ОС Windows 2000/XP/200 При этом акцентируем внимание читателя на ключевом вопросе, как же реализована комплексность решения при создании разработчиком данных средств защиты и может ли быть обеспечена соответствующая эффективность защиты при объединении в единую систему средств различных производителей.Защита виртуальных каналов связи корпоративной сети предприятия

Данная задача защиты решается посредством построения корпоративной VPN.

Корпоративная VPN – это наложенная (виртуальная) на сеть общего пользования сетевая инфраструктура, ограниченная рамками корпорации. Подобную инфраструктуру в общем случае составляют локальные вычислительные средства, объединяемые в корпоративную локальную сеть, корпоративные локальные сети, объединяемые в единое коммуникационное пространство, к которому, кроме того, подключаются удаленные и мобильные пользователи. Хранение и обработка в рамках виртуальной (основанной на использовании каналов связи общего пользования) сети корпоративной информации требует ее защиты, состоящей в реализации разграничительной политики доступа к корпоративным ресурсам и в криптографической защите виртуальных (наложенных на существующее телекоммуникационное оборудование) каналов связи.

Важнейшим условием построения защиты в корпоративных приложениях является то, что собственно пользователь должен рассматриваться в качестве основного потенциального злоумышленника (инсайдера). Это обусловливается тем, что пользователь здесь обрабатывает не собственную информацию, а корпоративную, следовательно, может быть заинтересован в ее хищении. Это обусловливает необходимость исключения пользователя из схемы администрирования средства защиты.

С учетом сказанного, попытаемся сформулировать общие требования к корпоративной VPN:
  • Все задачи администрирования, как в части задания разграничительной политики доступа к корпоративным ресурсам, так и в части реализации ключевой политики (создания и распространения ключей шифрования виртуальных каналов), должны решаться непосредственно администратором безопасности централизованно (в состав VPN должен входить АРМ администратора безопасности);
  • Пользователь должен быть исключен из схемы администрирования – должен работать в корпоративной сети под принуждением администратора – должен общаться только с теми пользователями (или компьютерами), с которыми ему разрешено администратором, при этом должен обмениваться с ними данными только в том виде (открытыми, либо зашифрованными), в котором ему разрешено администратором. Как следствие, шифрование виртуальных каналов должно осуществляться автоматически (под принуждением) прозрачно для пользователя, ключ шифрования пользователя (предоставляемый ему администратором) не должен позволять нарушить пользователю конфиденциальность данных при их хищении.


Выше сформулированы основополагающие требования к корпоративной VPN. На практике они могут быть реализованы (если эти требования не реализованы, то это не корпоративная VPN) различным образом.

При построении корпоративной VPN (как и любого иного средства защиты для корпоративных приложений – априори сложного средства не только в части его реализации, но и в части администрирования – средство защиты может быть либо простым, либо эффективным), одной из важнейших задач разработчика является задача упрощения администрирования. В данной работе рассмотрим подходы к построению корпоративной VPN, реализованные в ПО Корпоративная VPN Панцирь для ОС Windows 2000/XP/2003 (разработка ЗАО НПП Информационные технологии в бизнесе).

Итак, как отмечалось, при построении корпоративной VPN должны быть решены две ключевые задачи - реализация разграничительной политики доступа к корпоративным ресурсам и криптографическая защита виртуальных (наложенных на существующее телекоммуникационное оборудование) каналов связи корпоративной сети.

Реализация разграничительной политики доступа к корпоративным ресурсам

Когда речь заходит о реализации разграничительной политики доступа к ресурсам, в первую очередь, необходимо определиться с тем, что же является субъектом и объектом доступа. Это позволит определить способ их идентификации. В общем случае, как объектом, так и субъектом доступа (как правило, в VPN субъект одновременно является и объектом доступа) может выступать либо компьютер, при этом доступ разграничивается между компьютерами, либо пользователь, соответственно доступ разграничивается между пользователями. Универсальность корпоративной VPN достигается в том случае, когда в качестве субъекта и объекта может выступать как компьютер в составе корпоративной сети, так и пользователь – сотрудник предприятия. Это, а также сложность идентификации компьютеров в сети по адресам (требуются специальные устройства – координаторы сети, а это дополнительные затраты и дополнительная сложность администрирования) обусловливает целесообразность включения специальной сущности Идентификатор (никак не связанной ни с адресом компьютера, ни с учетной записью), используемой для идентификации субъектов и объектов VPN. В зависимости от способа хранения идентификатора субъекта/объекта (на компьютере, например, в реестре или в файле, либо на внешнем носителе, предоставляемом пользователю, например, на электронном ключе, либо на смарт-карте), т.е. его принадлежности (принадлежит компьютеру или пользователю), может быть реализована разграничительная политика доступа к ресурсам VPN для компьютеров или же для пользователей.

Теперь, в двух словах, о пользователях. По различным причинам, они могут обладать различной степенью доверия. Поэтому пользователей целесообразно подразделять на пользователей с высоким и низким уровнями доверия. Пользователю с низким уровнем доверия целесообразно разрешить передачу информации только в рамках корпоративной сети, т.е. разрешить взаимодействие только с компьютерами в составе VPN, трафик в которой шифруется. Пользователю с высоким уровнем доверия может потребоваться разрешить взаимодействие, как с компьютерами VPN (по защищенному каналу связи), так и с компьютерами внешней сети (здесь информация передается в открытом виде). Поскольку сущность Идентификатор в общем случае может присваиваться, как пользователю, так и компьютеру, то в двух режимах (с возможностью выхода во внешнюю сеть и без такой возможности) могут использоваться и компьютеры корпоративной сети.

Процедуру идентификации осуществляет сервер VPN (который по понятным причинам может резервироваться с автоматической репликацией базы настроек на резервный сервер). На компьютеры в составе VPN устанавливаются клиентские части, основу которых составляет сетевой драйвер. Клиентская часть блокирует какой-либо доступ в сеть до тех пор, пока не будет проведена идентификация (компьютера или пользователя, соответственно, идентификатор располагается либо на компьютере, либо на внешнем носителе у пользователя) на сервере. При идентификации компьютера процедура осуществляется автоматически, для идентификация пользователя – ему необходимо ввести в компьютер идентификатор (например, вставить смарт-карту с идентификатором). После идентификации на сервере, в зависимости от уровня доверия, соответствующего идентификатору, клиентская часть позволит взаимодействие (компьютера или пользователя) либо только с компьютерами в составе VPN – на которых также установлена клиентская часть, информация при этом будет передаваться в шифрованном виде, либо в защищенном режиме (с шифрацией) с компьютерами VPN, в открытом – только с внешними по отношению к VPN компьютерами. Отношение компьютера к VPN определяется взаимодействием клиентских частей по защищенному протоколу.

Таким образом, собственно виртуальная сеть (VPN) формируется из состава компьютеров, на которых установлена клиентская часть. Для подключения к VPN необходима идентификация компьютера, либо пользователя на сервере VPN. Реализация же разграничительной политики доступа внутри VPN (разграничение доступа между сущностями Идентификатор, которые могут присваиваться как компьютерам – разграничение между компьютерами, так и пользователя – разграничение между пользователями) осуществляется администратором на сервере (о том, как это делается, чуть ниже).

Настройка и эксплуатация VPN заметно упрощаются. Например, для подключения к VPN мобильного пользователя в любой точке земного шара, достаточно наличия у него компьютера, подключенного к сети, на котором должна быть установлена клиентская часть VPN, и идентификатора, который ему выдаст администратор (мы пока говорим только о реализации разграничительной политики). Администратор же создавая идентификатор, может соответствующим образом назначить уровень доверия и определить те идентификаторы (компьютеры или пользователей) с которыми в рамках VPN по защищенному протоколу сможет общаться мобильный пользователь. Никаких координаторов для этого не требуется, т.к. адрес (который может быть различным при каждом удаленном подключении компьютера к сети) не используется в качестве идентифицирующей сущности.

Реализация криптографической защиты виртуальных каналов связи корпоративной сети

Выше мы говорили, что основными требованиями к реализации криптографической защиты виртуальных каналов корпоративной сети являются: прозрачное автоматическое (принудительное для пользователя) шифрование виртуальных каналов корпоративной сети, централизованное генерирование ключей шифрования администратором (пользователь должен быть исключен из схемы администрирования и управления VPN), отсутствие ключа шифрования виртуальных каналов связи у пользователя и соответственно, невозможность доступа пользователя к ключам шифрования.

Важным условием эффективности защиты является необходимость частой смены ключей шифрования виртуальных каналов. Это, с учетом необходимости централизованного генерирования ключей для всех субъектов/объектов (определяемых идентификаторами) корпоративной сети, существенно усложняет задачу администрирования VPN.

Подход к реализации ключевой политики, реализованный в ПО Корпоративная VPN Панцирь для ОС Windows 2000/XP/2003, состоит в следующем.

Каждый субъект/объект VPN характеризуется парой признаков: идентификатор и ключ шифрования взаимодействия с сервером VPN. Данная пара генерируется администратором при создании субъекта/объекта. Если субъектом/объектом VPN выступает компьютер, то идентификатор и ключ шифрования взаимодействия с сервером VPN устанавливаются на компьютере администратором при установке клиентской части (в процессе эксплуатации по усмотрению администратора данные параметры могут быть изменены), если же субъектом/объектом VPN выступает пользователь, то сгенерированная администратором пара признаков идентификатор и ключ шифрования взаимодействия с сервером VPN выдаются пользователю администратором на внешнем носителе (Flash-устройство, электронный ключ, смарт-карта).

До момента идентификации субъекта/объекта клиентской частью VPN на сервере, на компьютере не хранится какой-либо информации о ключах шифрования виртуальных каналов. Ключи шифрования виртуальных каналов генерируются сервером при идентификации субъектов/объектов VPN автоматически, т.е. даже администратор безопасности не обладает ключевой информацией. Осуществляется это следующим образом. При идентификации субъекта/объекта VPN на сервере, для идентифицируемого субъекта/объекта сервером автоматически генерируются ключи шифрования (каждая пара взаимодействующих субъектов/объектов VPN имеет свой ключ шифрования) с другими субъектами/объектами VPN. Данная информация (ключи шифрования данного компьютера с другими активными компьютерами в составе VPN) сервером в зашифрованном виде передается на идентифицированный компьютер (идентифицированному пользователю), где хранится в оперативной памяти – эта информация не доступна пользователю. Одновременно на все остальные активные (идентифицированные ранее) компьютеры из состава VPN сервером выдаются сгенерированные ключи шифрования для взаимодействия с вновь идентифицированным субъектом/объектом. Таким образом, в каждый момент времени в оперативной памяти идентифицированного компьютера в составе VPN хранится таблица с ключами шифрования трафика с другими активными (идентифицированными) компьютерами в составе VPN (для каждой пары этот ключ свой). Данная таблица пополняется после идентификации каждого последующего субъекта/объекта. Смена ключа шифрования осуществляется сервером автоматически при каждой последующей идентификации субъекта/объекта.

Таким образом, вся процедура генерации ключевых пар полностью автоматизирована, не требует участия администратора безопасности, ключи шифрования виртуальных каналов VPN не доступны не только пользователям корпоративной сети, но и администратору.

Разграничение же доступа между субъектами/объектами в составе VPN (о чем упоминалось ранее) реализуется тем, что при идентификации субъекта/объекта ему передаются ключи шифрования виртуальных каналов только с теми активными субъектами/объектами, с которыми администратором разрешено взаимодействие данному субъекту/объекту. Клиентская же часть VPN, установленная на компьютере в составе VPN, позволит осуществлять с него взаимодействие только с теми активными субъектами/объектами, для взаимодействия с которыми получены соответствующие ключи шифрования с сервера VPN.

Теперь рассмотрим вопросы администрирования и построения интерфейсов.

Рассмотрим, в чем состоят задачи администрирования VPN, ведь, как отмечали ранее, множество функций администратора VPN нам удалось автоматизировать.

В своем составе ПО Корпоративная VPN Панцирь для ОС Windows 2000/XP/2003 содержит: клиентские части, устанавливаемые на компьютеры, включаемые в состав VPN, серверные части (основная и резервная), устанавливаемые на выделенные компьютеры, АРМ администратора безопасности, может устанавливаться как на отдельном компьютере, так и на сервере VPN.

Теперь об администрировании.

На сервере необходимо создать базу субъектов/объектов VPN. Это реализуется из интерфейса серверной части, приведенного на рис. Для каждого созданного субъекта необходимо указать доверенный он (тогда ему разрешается взаимодействие с внешней сетью), либо нет, также для задания системного субъекта существует сущность резервный сервер. Для созданных субъектов сервером VPN автоматически генерируются его идентификатор и ключ шифрования взаимодействия с сервером VPN, которые необходимо сохранить на внешнем носителе (либо на Flash-устройстве, если субъектом выступает компьютер, либо на одном из выбранных носителей – электронный ключ или карта (может быть также и Flash-устройство), если субъектом выступает пользователь. Данное устройство будет использоваться пользователь для его идентификации, с целью получения доступа к виртуальным каналам VPN. Данное устройство впоследствии администратору необходимо будет передать соответствующему сотруднику предприятия (пользователю). Кроме того, необходимо настроить системные параметры сервера, см. рис.1, задать алгоритм шифрования виртуальных каналов в VPN, см. рис.2, задать способ хранения и ввода идентифицирующих субъект данных, см. рис.



Рис. Настройка сервера VPN



Рис. Задание алгоритма шифрования в VPN на сервере



Рис. Задание способа хранения и ввода идентифицирующих субъекта данных

После того, как субъекты/объекты доступа созданы, может быть задана разграничительная политика доступа в составе VPN, что реализуется на сервере из интерфейса, приведенного на рис.



Рис. Задание разграничительной политики в составе VPN

Для этого в левой части интерфейса следует выбрать субъект, для которого необходимо разграничить доступ (это может быть пользователь, либо компьютер). Субъектом может выступать и концентрирующий элемент (папка в интерфейсе). В правой части, где также отображаются субъекты/объекты VPN, следует выбрать объекты (это также могут быть пользователи, либо компьютеры, в качестве объектов также могут выступать папки), к которым следует разрешить, либо запретить (в зависимости от реализуемой разграничительной политики) доступ для выбранного субъекта. Все весьма просто и наглядно.

Настройка корпоративной VPN завершена. Если субъектами доступа являются пользователи (не компьютеры), то после установки клиентской части на компьютер пользователя, администратор должен передать пользователю ключ (карту) с идентификационными данными и ключом шифрования взаимодействия с сервером VPN (эти данные администратор всегда сможет изменить на сервере, соответственно выдав новый ключ (требуется изменить содержимое ключа) пользователю).

В процессе функционирования от пользователя (если он, а не компьютер, является субъектом VPN) требуется лишь подключать ключ (карту) к компьютеру для идентификации, с целью получения доступа к сети, от администратора же вообще не требуется никаких дополнительный действий (все ключи шифрования между каждой парой субъектов на сервере генерируются автоматически, при каждом подключении компьютера VPN к серверу VPN). Администратору остается только осуществлять функции контроля работы пользователей в VPN с использованием соответствующих средств аудита. Кроме того, он может осуществлять необходимые текущие действия по управлению VPN, например, временно заблокировать идентификатор (субъект/объект) – вывести его из состава корпоративной VPN, изменить текущие права доступа какого-либо субъекта и т.д.




Читайте далее:
Стандарт сжатия видеоизображения h.264. новые возможности в области охранного видеонаблюдения
Выставка ifsec 2008 ,41 - 50,
О безопасности в великобритании и не только... досмотр
Противодействуем внутренним it-угрозам
О безопасности в великобритании и не только... противопожарный антиавось
Предотвращение грабежа
Верный, доступный, надежный
Некоторые мысли после выставки mips 2008
Мы увидим симбиоз айтишников и безопасников
Rfid перспективы и реальность
Выбор оптоволоконных передатчиков видеосигнала
Рост выпуска rfid изделий
Видеосерверы от atv inc. - мифы и реальность
Новые особенности контрольных панелей
Тест-драйв express-видео - 2. новые скорости!