În sistemele informaționale de astăzi (IS) a devenit recent pe scară largă VPN (Virtual Private Network - VPN).
Tehnologia VPN permite comunicații securizate pentru a forma canale virtuale în rețelele publice (de exemplu, Internet), asigurând confidențialitatea și autenticitatea informațiilor. VPN-rețea este unirea rețelelor locale (LAN) sau computere separate, conectate la o rețea publică, într-o singură rețea virtuală securizată.
Interesul în creștere în această tehnologie se datorează următorilor factori:- costuri reduse de operare prin utilizarea rețelelor publice în loc de linii proprii sau închiriate;
- scalabilitate practic nelimitată;
- ușurința de reconfigurare și creșterea rețelei corporative;
- „Transparent“ pentru utilizatori și aplicații.
Dar utilizarea rețelelor publice pentru rețelele VPN impune cerințe suplimentare pentru a asigura protecția resurselor informaționale ale companiei împotriva accesului neautorizat (accesul neautorizat).
Pentru a proteja informațiile din VPN-ul este un complex hardware-software "Continent-K", dezvoltat NPC "InfoSec". Acest complex protejează informațiile sensibile în VPN-rețelele corporative folosind TCP / IP de familie de protocol. Ca parte a VPN-ul poate servi întreprindere LAN sau fragmentele lor.
Secțiunea 2. Structura complexului
2.1. complexul
Complexul „Continent-K“ include, în calitatea sa de membru următoarele componente:- încuietori criptografice NOC;
- Gateway criptografice;
- încuietori de criptare software de gestionare a rețelei;
- server de acces;
- stația de abonat;
- server de control al accesului de program.
Gateway-ul criptografic (CABG) oferă protecție criptografică a informațiilor în timpul transmiterii sale prin intermediul canalelor deschise rețelei publice și protecției interne segmente de rețea împotriva intruziunilor din exterior.
Stația de abonat (AP) realizează accesul utilizatorilor de la distanță la resursele rețelelor prin canale dedicate și au trecut protejate.
server de acces asigură legătura între o unitate de abonat la distanță și rețeaua protejată, poartă identificarea și autentificarea utilizatorului, determină nivelul de acces.
Serverul de control al accesului de program (PU DM) oferă acces la serverele de configurare, AP utilizatori înregistrați și permisiunile de acces ale utilizatorilor AP la resursele rețelelor protejate, precum și monitorizarea de utilizatori conectați ai AP.
2.2. SISTEMUL DE CHEIE
Sistemul cheie simetrică utilizează hardware și software pachet. O conexiune între criptografic de rețea CS efectuate pe tastele de împerechere. Criptarea fiecare pachet se face pe o cheie individuală, care este generat de cheia de împerechere. Pentru a cripta datele folosind un algoritm GOST 28147-89 XOR în modul de feedback. Date de protecție Simularea se realizează cu ajutorul unui algoritm GOST 28147-89 mesaj modul cod de autentificare.
Tastele sunt generate prin asocierea unui centru de gestionare a rețelei pentru fiecare rețea CBS. Transferul de chei pe un bypass coronarian NOC efectuat peste un canal de comunicație securizată (pentru comunicații cu vena NOC). Ca purtătorul cheie pentru comunicarea cu centrul de control al rețelei de dischetă cheie este utilizată.
Tastele de asociere sunt stocate pe disc într-o formă criptată (pe cheia de stocare). Spațiul de stocare este cheia într-o memorie non-volatilă sigură EZ „Sobol“.
Pentru a asigura legătura dintre consola de administrare și centrul de control al rețelei utilizează o cheie administrativă specială. Cheia este stocată pe administratorul de sistem cheie pe disc.
recodificarea de rutină în CABG efectuate de către centrul de control al rețelei canalului de comunicare într-un mod sigur pe o comunicare cu centrul de control al rețelei.
AIC "Continentul-K" utilizează securitatea criptografică de dezvoltare de protocol NPC "InfoSec". Acesta este conceput pe baza protocolului IPSec cunoscut. Dezvoltatorii au reușit să reducă în mod semnificativ aeriene în trafic de tunel. Acestea au variat între 26 și 36 de octeți per pachet (în funcție de modurile de compresie pachet) față de 86 octeți în IPSec.
Secțiunea 3: Principalele caracteristici și capabilități
3.1. criptografic GATEWAY
gateway-ul criptografic este un dispozitiv software și hardware specializat, care funcționează sub controlul sistemului de operare FreeBSD într-o versiune prescurtată, oferind un nivel ridicat de securitate.
La instalarea CS sunt necesare pentru a asigura o interacțiune sigură cu NCC, funcționarea corectă a mecanismului de pachete de rutare pentru echipamente de comunicații de control al traficului de procesare și pentru a permite începerea lucrărilor VPN-funcții, fără configurare suplimentară reguli generate automat.
Intrare IP-pachete de unitatea de abonat protecția publică criptografică nu este procesat și alimentat direct la filtrul de IP-pachete.
Pentru pachetele primite de la abonații VPN, unitatea de protecție criptografică efectuează controale de integritate și le, după care pachetele ajung în filtrul de IP-pachete decodează. Dacă compromisă integritatea ambalajului, acesta este aruncat fără decriptare și fără notificare expeditor, cu generarea de rapoarte de acces neautorizat.
IP-pachete care îndeplinesc regulile de filtrare sunt transmise prin extensiile de interfață interne.
Evenimente de semnalizare locale care necesită intervenția umană, efectuată printr-un mesaj este afișat pe kriptoshlyuza monitorului.
3.2. MANAGEMENT CENTER NETWORK
Rețeaua de Control Center gestionează funcționarea tuturor CABG incluse în sistemul de protecție. NOC monitorizează starea CABG toate înregistrate deține buletin informativ informații cheie, oferă administratorului cu funcția de control de la distanță CABG asigură primirea și stocarea conținutului jurnalele sistemului KS, precum și păstrarea accesului neautorizat jurnal de evenimente. NOC prevede:- console de autentificare și de gestionare; CABG
- controlul stării actuale a tuturor sistemului de bypass coronarian;
- stocarea informațiilor privind starea sistemului de protecție (rețea CS);
- gestionarea centralizată a cheilor criptografice și setări ale fiecărei rețele CS;
- interacțiunea cu programul de control;
- de management al jurnalelor de evenimente și o modificare a parametrilor CN;
- obținerea de bușteni din toate CN și depozitare disponibile.
3.4. PROGRAMUL DE MANAGEMENT
complexe hardware-software "Continentul-K" Caracteristici:- o protecție eficientă și fiabilă a datelor în rețele eterogene;
- nici o interferență cu tehnologia de prelucrare a informațiilor existente, transparența totală a aplicațiilor și utilizatorilor;
- setările de sistem de control centralizat și monitorizează starea de funcționare;
- care combină într-un singur dispozitiv, iar funcțiile router-ului firewall criptografică;
- posibilitatea de a diferenția accesul prin segmente interne multiple protejate;
- interfață prietenoasă grafică de management;
- Ușor de configurat și întreținut.
3.4. server de acces
Access Server - software care vă permite să stabilească o conexiune sigură la abonații la distanță. Access Server (LED-uri), montat pe unul dintre kriptoshlyuzov "Continent-K." După o solicitare de conectare SD realizează identificarea și autentificarea utilizatorului la distanță, și determină nivelul de acces stabilit de către administrator „Continentul-K.“ de către abonat pentru conectarea la rețea a resurselor pe baza informațiilor. LED-uri permite până la 500 de sesiuni simultane cu utilizatorii la distanță.
Sistemul utilizează autentificarea utilizatorului prin utilizarea certificatelor de chei publice. In viitor dezvoltarea de software care implementează tehnologia PKI atunci când se utilizează centre de certificare terță parte.
server de acces este preinstalat pe CNC și CABG care vă permite să organizați o conexiune de circuit flexibil de unități de abonat la un segment de rețea protejată.
managementul configurației DM, dezvoltarea de reguli și informații cheie abonaților prin intermediul programului de control.
3.4. Stația de abonat.
Secțiunea 4. Aplicații