Отчет о научно-исследовательской работе Студента Акимова Михаила Владимировича (Фамилия, имя, отчество) Руководитель Журавлев Сергей Иванович



жүктеу/скачать 1 Mb.
бет10/16
Дата06.07.2022
өлшемі1 Mb.
#459619
түріОтчет
1   ...   6   7   8   9   10   11   12   13   ...   16
НИР(I-ая часть магистерской диссертации, М.В.Акимов)

2.1 Отечественные VPN-продукты
2.1.1. Анализ ПО «Комплекс-К», «Тропа-Джет»
Аппаратно-программный комплекс «Континент-К» (рис. 1) пред­назнчен
для построения виртуальных частных сетей общего пользования, которые используют протоколы сетевой модели передачи данных TCP/IP и обеспечивающие следующие принципы:

  • защиту информационных систем от атак со стороны сетей общего

пользования;

  • эффективную защиту конфиденциальной информации, передаваемой по сетям общего пользования;

  • полную «прозрачность» для конечных пользователей;

  • безопасный доступ к ресурсам сетей общего пользования.


Рис. 1. Основные функциональные блоки комплекса «Континент-К».
Для составных частей VPN могут использоваться:

  • локальные вычислительные сети организации (ЛВС);

  • сегменты использования ЛВС;

  • отдельные компьютеры (для руководителей и сотрудников).

Аппаратно-программный комплекс «Континент-К» включает следу­ющие компоненты:

  1. Центр управления сетью (ЦУС).

Центр управления сетью (ЦУС) - управление сетью криптошлюзов в режиме реального времени при помощи специального ПО.
Функции центра управления сетью:

  • мониторинг сети криптошлюзов. ЦУС получает информацию от

криптошлюзов о попытках несанкционированного доступа и системных событиях (установка связи, изменение конфигурации и т.д.);

  • создание резервной копии конфигурации для реализации холод­ного домена ЦУС;

  • удаленные настройки криптошлюзов по защищенному каналу, по созданию и изменению в графическом режиме правил фильтрации в пакетном фильтре;

  • рассылка ключевой информации с ЦУС на удаленные крип­тошлюзы;

  • возможность удаленной перезагрузки подключенного крип­тошлюзов администратором;

  • хранение системных журналов и журналов несанкционирован­ного доступа (НСД). Они могут быть импортированы программой управления на АРМ администратора в виде базы данных MS Access.

  1. Криптошлюз.

Криптошлюз — специальное устройство, совмещающее в себе шифратор трафика, статический маршрутизатор и межсетевой экран. КШ функционирует под управлением защищенной версии ОС FreeBSD и программного обеспечения разработки ЗАО НИП «ИНФОРМЗАЩИТА». Криптошлюз обеспечивает преобразование проходящего трафика в соответствии с ГОСТ 28147- 89 (с длиной ключа шифрования 256 бит). Реализована возможность сжатия шифруемого пакета.
Каждый IP-пакет шифруется на индивидуальном ключе, что обеспечивает высокий уровень защищенности трафика.
Криптошлюз обладает функциями межсетевого экрана. Гибкая система пакетной фильтрации позволяет разграничивать доступ по различ­ным параметрам:

  • интерфейсам;

  • IP-адресам;

  • портам TCP/UDP;

  • времени работы правила фильтрации;

  • флагам заголовка пакета.

Криптошлюз является многоинтерфейсным устройством, позво­ляющим на уровне сетевых карт разделять до 15 внутренних подсетей. Для защиты от несанкционированного доступа к системным данным криптош­люза используется электронный замок «Соболь».

  1. Программа управления сетью.

Для доступа к ЦУС используется специальная программа управ­ления (ПУ), которая устанавливается на один из компьютеров в защищаемой сети. Администратор получает доступ к ЦУС только при вводе ключевой информации, которая создается при инициализации ЦУС и является уни­кальной. Программа управления устанавливает связь с центром управления системой по защищенному каналу, что повышает общий уровень безопас­ности системы.
Программа управления позволяет работать с ЦУС в режиме реаль­ного времени. Администратор отслеживает общее состояние сети, зафикси­рованные попытки НСД, системные события, осуществляет настройку и кон­фигурирование сети.
По желанию администратора осуществляет импорт базы данных с ЦУС на любой выбранный компьютер в виде MS Access.
Программа управления предъявляет невысокие системные требова­ния к компьютеру, на котором установлена, и предоставляет пользователю удобный графический интерфейс.

  1. Абонентский пункт.

Для доступа в сеть, защищаемую АПК «Континент-К», внешних пользователей используется специальное клиентское ПО — абонентский пункт (АП). Оно устанавливается на компьютер пользователя, в качестве которого может выступать ноутбук, удаленный сервер, обычный компьютер. Абонентский пункт подключается к серверу доступа и позволяет осуществить:

  • поддержку динамического распределения IP-адресов — возможность удаленного доступа мобильных пользователей;

  • удаленный доступ к ресурсам защищаемой сети по шифрован­ному каналу;

  • доступ как по выделенным, так и по коммутируемым каналам связи;

  • связь с сетью, защищаемой АПК «Континент-К», через сервер доступа практически без снижения производительности соединения;

  • идентификацию и аутентификацию пользователя; работу под управлением ОС Windows 9S/NT/2000 с невысокими системными требова­ниями.

АП может функционировать в одном из трех режимов: режим ожидания команды пользователи, инициализация соединения с севером доступа и криптошлюзом «Континент-К» активный режим функциониро­вания.

  1. Программа управления сервером доступа

Для управления сервером доступа используется специальная программа управления (ПУ СД), которая, как правило, устанавливается на один из компьютеров в защищаемой сети. Администратор получает доступ к СД только при вводе ключевой информации, которая создается при инициа­лизации СД и является уникальной. Программа управления устанавливает связь с сервером доступа по защищенному каналу, что повышает общий уро­вень безопасности системы. Администратор отслеживает поддерживаемые сервером доступа соединения, добавляет и удаляет пользователей, выдает им сертификаты.

  1. Сервер доступа.

Для подключения удаленных абонентов к сети, защищаемой АПК «Континент-К». используется специальное программное обеспечение — сервер доступа (СД). Сервер доступа устанавливается на криптошлюз «Континент-К». защищающий сегмент сети, к которому требуется организовать удаленный доступ. После запроса на соединение сервер доступа проводит идентификацию и аутентификацию удаленного пользователя, определяет его уровень доступа, устанавливаемый администратором «Континент-К». На основании этой информации осуществляется подключение абонента к ресурсам сети. СД позволяет осуществить практически неограниченное количество одновременных сеансов связи с удаленными пользователями. Управление сервером доступа осуществляется при помощи программы управления сервером доступа.
Комплекс «Тропа-Джет» компании «Инфосистемы-Джет» позволяет строить виртуальные защищённые сети и реализировать безопасный информационный обмен между локальными сетями удалённых офисов и между локальной сетью компании и мобильными клиентами.
Комплекс «Тропа-Джет» позволяет создавать виртуальную защи­щенную с помощью фильтрации, кодирования и маршрутизации информа­ционных между географически удаленными локальными сетями. Для обеспе­чения надежного и непрерывного функционирования «Тропа-Джет» решает задачи генерации, регистрации, хранения, распределения и сопровождения ключей кодирования, а также может осуществлять мониторинги управление межсетевыми потоками.
Компоненты комплекса «Тропа-Джет» перечислены ниже на рисун­ке 2.

Рис. 2. Состав программного комплекса ViPNet.

  1. Центр генерации и сертификации ключей служит для генерации пар

«Секретный ключ — открытый ключ», а также является репозитарием всех известных системе ключей. Он устанавливается на компьютер, не имеющий сетевых соединений. Центр генерации и сертификации ключей предназначен для изготовления секретных и открытых ключей, подготовки ключевых дне. кет, хранения эталонных копий ключей, а также подписи сертификатов ключом администратора.

  1. Центр распределения ключей

В задачи Центра распределения ключей входит раздача ключей и управление контуром безопасности, а также выполнение следующих функ­ций:

  • получение со сменного носителя открытых ключей шлюзов;

  • выдача любому шлюзу сертификатов открытых ключей любых других шлюзов и информации о соответствующих сегментах сети;

  • рассылка шлюзам сообщений об изменениях структуры закры­той сети;

  • хранение информации о структуре сети.

Центр реализован в виде программного комплекса, выполняющего функции хранения и выдачи открытых ключей кодирования по сетевому запросу 1 от шлюзов кодирования. Центр распределения ключей может быть у станов - 1 лен либо на отдельном (выделенном) компьютере, либо совместно с одним из шлюзов кодирования.

  1. Шлюз кодирования (кодирующий модуль)

Шлюз является основным модулем комплекса, обеспечивающим маршрутизацию, фильтрацию и кодирование пакетов. Каждый шлюз пред­назначен для защиты определенной группы локальных сетей. На компью­тере-шлюзе устанавливается ядерный модуль с функциями кодирования и декодирования и запускается программа аутентификации. Шлюз выполняет следующие функции:

  • фильтрация трафика (деление на кодируемый и некодируемый

потоки);

  • кодирование трафика (кодируемый поток);

  • аутентификация с другими шлюзами;

  • выработка и выполнение процедуры смены сеансовых ключей;

  • регистрация событий в центре мониторинга;

  • обеспечение собственной защиты.

  1. Точка регистрации мобильных клиентов и мобильный клиент

Доступ к защищаемым корпоративным данным для мобильных абонентов, не подключенных к защищаемым локальным сетям, обеспечивается с помощью таких средств комплекса «Тропа-Джет», как точка регистрации мобильных клиентов и программное обеспечение мобильного клиента.

Рис. 3. Внешний вид коммутатора Contivity 600.
Сравнительные характеристики семейства продуктов Contivity представлены в таблице 2.
Таблица 2. Основные характеристики коммутаторов серии Contivity




Contivity 600

Contivity 1700

Contivity 2700

Contivity
5000

Протоколы
туннелирования

Point-to-Point Tunneling Protocol (РРТР), включая компрессию и
кодирование, L2F, L2TP

Протоколы маршрутизации

RIP v 1, RIP v 2,0SPF, VRRP

Аутентификация

LDAP; RADIUS; интегрированные аппаратные ключи: Security Dynamics и Axent; электронные сертификаты Entrust и VeriSign







Качество VPN- туннелей

50

500

2000

5000

Область
применения

Корпоративная сеть

Корпоративная
сеть

Операторы
связи

Операторы
связи

Коммутаторы серии Contivity поддерживают следующие алгоритмы для обеспечения гарантированного качества обслуживания:

  • минимальные настройки параметров полос пропускания для опре­деленной группы пользователей;

  • четыре уровня приоритетности соединений;

  • дифференцированные услуги;

  • маркировка поля DSCP;

  • протокол RSVP.



жүктеу/скачать 1 Mb.

Достарыңызбен бөлісу:
1   ...   6   7   8   9   10   11   12   13   ...   16



©dereksiz.org 2024
әкімшілігінің қараңыз
    Басты бет