Организация защиты передачи информации между мобильными пользователями и сервером ЛВС

Внутри больших локальных сетей с использованием программных средств виртуальной сети могут быть созданы информационно независимые, взаимно недоступные или частично пересекающиеся замкнутые (независимые) группы компьютеров.

Программные средства виртуальной сети позволяют легко подсоединить к Интернет компьютеры локальной сети, участвующие в VPN, как только для защищенных соединений, при этом полностью исключая доступ из Интернет к этим компьютерам (как защищенным, так и открытым), так и организовать их выход на открытые ресурсы Интернет.

Для защищенного трафика также возможна его фильтрация в соответствии с произведенными настройками.

При невозможности или нежелании установки программных средств на какие-то компьютеры локальной сети, работу по защите трафика таких компьютеров во внешних сетях можно поручить программному обеспечению ViPNet Coordinator, который в этом случае создаст защищенный туннель для этих компьютеров до аналогичного координатора или непосредственно до конечного компьютера.

Основой всех программ для виртуальной сети является специальный ViPNet Драйвер, взаимодействующий непосредственно с драйверами сетевых интерфейсов (реальных или их эмулирующих) операционной системы, что обеспечивает независимость программы от операционной системы и недокументированных возможностей в ней. ViPNet Драйвер перехватывает и контролирует весь IP-трафик, поступающий и исходящий из компьютера.

При взаимодействии в сети с другими компьютерами, также оснащенными ПО ViPNet, программа обеспечивает установление между такими компьютерами защищенных VPN-туннелей. При этом осуществляется шифрование всего IP-трафика между двумя компьютерами, что делает недоступным этот трафик для любых других компьютеров, в том числе имеющих такое же ПО. По умолчанию шифрование происходит по алгоритму, рекомендованному ГОСТ 28147-89, с длиной ключа 256 бит. Имеется возможность выбрать другой алгоритм шифрования - AES.

Для создания защищенных туннельных VPN-соединений между узлами используются IP-протоколы двух типов (IP/241 и IP/UDP), в которые упаковываются любые другие IP-протоколы.

Ключи между каждой парой компьютеров зависят как от информации, формируемой Центром (симметричная схема распределения ключей), так и от информации, формируемой каждым компьютером (асимметричная схема распределения ключей).

Такая ключевая структура позволяет строить корпоративные виртуальные сети на базе ViPNet, с одной стороны надежно управляемые из Центра, а с другой стороны полностью информационно недоступные для Центра в части пользовательской информации.

Управление виртуальной сетью и допустимыми связями, созданием и распределением ключевой информации между узлами осуществляется с помощью программ Центр управления сетью (ЦУС) и Удостоверяющий и Ключевой центр (УКЦ) или ViPNet Manager.

Обмен управляющей информацией с ЦУС (или ViPNet Manager) и объектов сети между собой (справочники, ключи, программное обеспечение и др.), а также обмен почтовой информацией производится через координатор (используется функциональная составляющая - сервер-маршрутизатор) с помощью специального транспортного протокола над TCP/IP.

Оповещение абонентского пункта о состоянии других узлов сети для взаимодействия с ними, по умолчанию осуществляет координатор (точнее его функциональная составляющая - сервер IP-адресов), на котором этот абонентский пункт был зарегистрирован в ЦУС (или ViPNet Manager). Этот координатор всегда владеет полным объемом информации обо всех узлах сети, связанных с данным абонентским пунктом. Однако пользователь (или по команде из ЦУС (или ViPNet Manager)), при необходимости, может выбрать в качестве сервера IP-адресов и любой другой координатор, доступный ему. В этом случае абонентский пункт также сможет получить информацию о большинстве связанных с ним узлов и рассказать им о себе.

3.2 Построение защищенной автоматизированной сети

Рисунок 3.1 Защищенная автоматизированная сеть.

Программное обеспечение ViPNet [Администратор] устанавливается на один из компьютеров (администратор безопасности) распределенной сети (обычно в центральном офисе). ПО позволяет:

· Создать топологию (логическую конфигурацию) VPN-сети и сгенерировать ключевую информацию для объектов VPN-сети, задать названия объектам VPN-сети и разрешить или запретить связи между ними.

· Модифицировать (добавить или удалить объекты) VPN-сети с последующей рассылкой обновленной справочной и ключевой информации тем объектам VPN-сети, которых коснулось конкретное изменение.

· Централизованно обновить установленное ПО (ViPNet [Клиент] и ViPNet [Координатор]) в случае выхода новой версии.

ПО ViPNet [Координатор] устанавливается на шлюзы локальных сетей (PROXY-серверы). IP-адреса таких компьютеров должны быть статическими. Программное обеспечение выполняет следующие функции:

· туннелирует открытый информационный обмен между компьютерами удаленных ЛВС в защищенное соединение от ViPNet [Координатора] данной ЛВС до ViPNet [Координатора] удаленной ЛВС;

· туннелирует открытый информационный обмен между компьютерами своей ЛВС в защищенное соединение от ViPNet [Координатора] данной ЛВС до защищенного мобильного пользователя с ПО ViPNet [Клиент];

· разграничивает доступ удаленных туннелируемых компьютеров и защищенных мобильных пользователей к ресурсам «своей» ЛВС (компьютеры удаленной ЛВС и защищенные мобильные пользователи смогут получить доступ не к каждому компьютеру данной ЛВС);

· разграничивает доступ «своих» туннелируемых компьютеров к ресурсам удаленной ЛВС и защищенных мобильных пользователей (не каждый компьютер данной ЛВС сможет получить доступ к компьютерам удаленной ЛВС и защищенным мобильным пользователям);

· является сервером IP-адресов, то есть является справочным бюро, которое сообщает защищенным мобильным пользователям о текущем состоянии других объектов VPN (включены или выключены) и их IP-адресах;

· является сервером для рассылки обновлений (ПО, справочная и ключевая информация);

· является сервером-маршрутизатором для рассылки почтовых сообщений (если используется программа «Деловая Почта») и файлов, посылаемых по «файловому обмену» между объектами VPN;

· является Межсетевым Экраном, который запрещает

несанкционированный доступ в ЛВС из Интернета.

Эти функции должны быть реализованы программным обеспечением шлюза (PROXY-сервера).

3.3 Настройка ViPNet Администратора

Для создания Защищенного Рабочего Места ViPNet Administrator следует:

· установить ПО ViPNet Administrator,

· в ПО ViPNet Administrator сформировать структуру сети и создать ключевой

· дистрибутив для АП Администратора,

· установить ПО ViPNet Client на АП Администратора.

Если организуется иерархическая система Центров управления сетью разных сетей, то начинаем установку ViPNet Administrator необходимо с сети, которая планируется быть головной.

Для того, чтобы подготовить рабочее место администратора для управления сетью, необходимо:

· Сформировать в программе ЦУС структуру Вашей сети, в том числе сформировать абонентский пункт администратора (зарегистрировать его в прикладных задачах ЦУС и УКЦ). Сформировать все справочники.

· Сформировать в программе УКЦ ключевой дистрибутив для АП администратора.

· Переместить созданный дистрибутив из соответствующего меню в УКЦ в папку для последующей установки ПО ViPNet Client (подпапку \SS папки установки ПО ViPNet Administrator);

· Установить ПО ViPNet Client на АП администратора и произвести установку набора ключей АП администратора. Если программа установки ПО ViPNet Client обнаружит, что на компьютере установлено ПО ViPNet Administrator, то по умолчанию она предложит установить ПО ViPNet Client в подпапку .\SS папки установки ПО ViPNet Administrator.

Если на рабочем месте администратора не требуется защита IP-трафика, то вместо ViPNet Client может быть установлено ViPNet CryptoService. Для обеспечения правильной работы ViPNet CryptoService в мастере установки ViPNet CryptoService укажите следующий путь установки программы: подпапка SS папки установки ПО ViPNet Administrator.

С этого момента рабочее место администратора будет полностью готово для управления сетью.

3.4 Вывод

В данной главе мы построили структуру защищенной автоматизированной системы, а также провели настройку защищенного рабочего места ViPNet Администратора. Так же мы рассмотрели общие принципы взаимодействия узлов в ViPNet.

Специальные технологии позволяют участнику виртуальной сети одновременно с защищенными соединениями иметь односторонний доступ к открытым информационным ресурсам локальной или глобальной сети, а также обеспечивать любые другие типы фильтрации открытого трафика в соответствии с заданной политикой безопасности.

Таким образов, в данной главе мы сформировали защищенный туннель между нашими сетями, через открытый Интернет.

Заключение

В данной курсовой работе нам была выдана незащищенная автоматизированная система и требования, по которым должна строится защита:

· Требуется защита информационного обмена при прохождении через открытый Интернет.

· Требуется, чтобы защищенный туннель был прозрачен для пользователей, которые работают с ресурсами удаленных ЛВС.

· Требуется, чтобы пользователи локальной сети не имели доступа к ресурсам открытого Интернета, за исключением ресурсов других локальных сетей, определенных администратором, с которыми организуется защищенное взаимодействие и, возможно, ресурсов мобильных пользователей.

· Требуется исключить необходимость установки ПО ViPNet [Координатор] на шлюзы ЛВС.

Для обеспечения защиты данной автоматизированной системы, достаточно установить программное обеспечение ViPNet [Координатор]

В результате видим, что он:

· туннелирует открытый информационный обмен между компьютерами удаленных ЛВС в защищенное соединение от ViPNet [Координатора] данной ЛВС до ViPNet [Координатора] удаленной ЛВС;

· туннелирует открытый информационный обмен между компьютерами своей ЛВС в защищенное соединение от ViPNet [Координатора] данной ЛВС до защищенного мобильного пользователя с ПО ViPNet [Клиент];

· разграничивает доступ удаленных туннелируемых компьютеров и защищенных мобильных пользователей к ресурсам «своей» ЛВС (компьютеры удаленной ЛВС и защищенные мобильные пользователи смогут получить доступ не к каждому компьютеру данной ЛВС);

· разграничивает доступ «своих» туннелируемых компьютеров к ресурсам удаленной ЛВС и защищенных мобильных пользователей (не каждый компьютер данной ЛВС сможет получить доступ к компьютерам удаленной ЛВС и защищенным мобильным пользователям);

· является сервером IP-адресов, то есть является справочным бюро, которое сообщает защищенным мобильным пользователям о текущем состоянии других объектов VPN (включены или выключены) и их IP-адресах;

· является сервером для рассылки обновлений (ПО, справочная и ключевая информация);

· является сервером-маршрутизатором для рассылки почтовых сообщений (если используется программа «Деловая Почта») и файлов, посылаемых по «файловому обмену» между объектами VPN;

· является Межсетевым Экраном, который запрещает несанкционированный доступ в ЛВС из Интернета.

Так же, мы рассмотрели основные угрозы на данную не защищенную автоматизированную систему и программное обеспечение ViPNet, что позволило нам построить защиту этой автоматизированной системы.

Проделав этот анализ можно сказать, что предъявленные требования по защите автоматизированной системы были выполнены, и организована защита канала между несколькими локальными сетями через Internet, а так же организованы туннели на однокарточных Координаторах.

Список литературы

1. Биячуев, Т.А. Безопасность корпоративных систем : учеб. пособие / Т. А. Биячуев. - СПб. : СПб ГУ ИТМО, 2004. - 161 с.

2. Браун, С. Виртуальные частные сети : учеб. пособие / С. Браун. - М: Лори, 2005. - 481 с.

3. Романец, Ю.В. Защита информации в компьютерных системах и сетях: Учебное пособие / Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин. - М.: Ифра-М, 2001. - 304 с.

4. Дворский, М.Н. Техническая безопасность объектов предпринимательства: Учебное пособие / М.Н. Дворский, С.Н. Палатченко. - М.: А-депт, 2006. - 304 с.

5. Хелеби, С. Принципы маршрутизации в Internet, 2-е изд. . / С. Хелеби, Д. Мак-Ферсон-- М. : Издательский дом «Вильяме», 2001. -- 448 с.

6. ViPNet Администратор: Руководство администратора

7. ViPNet Координатор: Руководство администратора

8. http://www.infotecs.ru

9. http://ab-solut.net/ru/

Размещено на Allbest.ru