Скачать 107.55 Kb.
|
Построение системы защиты распределенных вычислительных сетей от внутренних и внешних посягательств на информацию и ресурсы различного назначения; организация санкционированного доступа к ресурсам в распределенной сети и безопасного доступа из корпоративной сети к открытым внешним ресурсам. Игнатов Владимир Владимирович, Вице-президент ОАО Инфотекс, г. Москва, тел. (095) 737-61-92, 737-61-94, E-mail: ign@infotecs.ru Аннотация. Доклад посвящен технологиям построению виртуальных защищенных сетей, включающих в свой состав отдельные компьютеры (рабочие станции и сервера), находящиеся в локальной сети или удаленно подключаемые, фрагменты локальных сетей, локальные сети в целом. Путем построения распределенной системы персональных и межсетевых экранов, обеспечивающих также шифрование трафика в сети, автоматически для любых информационных систем и приложений обеспечивается конфиденциальность и достоверность информации, защита от сетевых атак, как из глобальных, так и из локальных сетей. Технология основана на использовании программных модулей, применяется на существующих сетях и не требует специального оборудования. Одновременно обеспечивается поддержка инфрастуктуры для использования электронной цифровой подписи в соответствии с законом об ЭЦП, организация виртуальных каналов для безопасного подключения отдельных станций локальной сети к открытым ресурсам Интернет, защита конфиденциальных данных на дисках при таких подключениях. Оглавление. 1.Опасности при работе в сети 1 2.Контроль трафика компьютеров 2 3.Примеры построения виртуальных защищенных сетей 3 3.1.Виртуальные сети внутри локальной сети 3 3.2.Соединение локальной сети с другой локальной сетью и удаленными пользователями 4 3.3.Защита сегментов локальной сети 5 3.4.Произвольная распределенная сеть 5 3.5.Технология «Открытый Интернет» 6 4.Интегрированная виртуальная защищенная среда 6 Под подключением к сети мы будем понимать любое подключение компьютера к внешней среде для общения с другими ресурсами, когда уже нельзя быть полностью уверенным, что к этому компьютеру и информации в нем имеют доступ только пользователь компьютера или только санкционированные пользователи из сети.
Естественно при всех таких подключениях применяются либо штатные средства разграничения доступа операционной системы, либо специализированные средства защиты от НСД, либо криптографические системы на уровне конкретных приложений, либо и то и другое вместе. Однако все эти меры, к сожалению, не могут гарантировать желаемой безопасности при проведении сетевых атак, и объясняется это следующими основными причинами:
Выход здесь только один. Необходимо обеспечить на сетевом уровне тотальный контроль всего входящего и исходящего трафика компьютера, проходящего через все его сетевые интерфейсы. Под контролем мы понимаем:
При использовании средства защиты, обеспечивающего такой контроль:
Многие решения VPN, имеющиеся на рынке сегодня, в основном ориентированы на защиту межсетевого трафика и возможность подключения к туннельным серверам удаленных пользователей с использованием некоторого клиента VPN. Такие решения по причинам, указанным выше не безопасны с точки зрения возможности организации несанкционированных доступов из подсоединяемых внешних локальных сетей или через удаленного клиента из внешних глобальных сетей (если нет персонального сетевого экрана). Кроме того, эти решения не рассчитаны на работу в локальных сетях, защиту их фрагментов или отдельных компьютеров, автоматизированное взаимодействие клиентов между собой. Поэтому такие решения мы сейчас рассматривать не будем, а остановимся на решениях обеспечивающих безопасность в предположении, что атаки могут осуществляться не только из внешних сетей, но и из локальных сетей. По существу, мы говорим о построении виртуальных защищенных сетей (VPN) в более широком понимании, когда в их состав включаются и отдельные компьютеры (рабочие станции и сервера), находящиеся в локальной сети или удаленно подключаемые, фрагменты локальных сетей и локальные сети в целом. Причем главное преимущество такой наложенной виртуальной сети, что ее развертывание практически не зависит от используемого телекоммуникационного оборудования, сетевого окружения. Использование распределенной системы персональных и межсетевых экранов, обеспечивающих шифрование трафика, автоматически для любых информационных систем и приложений обеспечивает конфиденциальность и достоверность информации, защиту от сетевых атак, как из глобальных, так и из локальных сетей. Причем, без каких либо специальных проектных работ можно оперативно для любой возникающей проблемы безопасности решить вопрос защиты любого фрагмента сети или отдельного компьютера, не задумываясь при этом об используемых прикладных системах. Рассмотрим возможные решения построения корпоративной сети с использованием технологии ViPNet, реализующей такие подходы к обеспечению сетевой безопасности. Внутри локальной сети путем установки ПО ViPNet[клиент] на различные рабочие станции и сервера могут быть созданы взаимно – недоступные виртуальные защищенные контура для обеспечения функционирования в единой телекоммуникационной среде различных по конфиденциальности или назначению информационных задач. Любой трафик между двумя компьютерами недоступен никому третьему из любой точки сети. Несанкционированный доступ из сети на защищенные компьютеры невозможен. ПО ViPNet[координатор] обеспечивает организацию работы виртуальной сети. Внутри распределенной сети путем установки ПО ViPNet[клиент] на различные рабочие станции и сервера могут быть созданы взаимно – недоступные виртуальные защищенные контура для обеспечения функционирования в единой телекоммуникационной среде различных по конфиденциальности или назначению информационных задач. ViPNet[координаторы], установленные на входах в локальную сеть, обеспечивают как туннелирование (шифрование) трафика заданных адресов открытых компьютеров внутри локальной сети, так и организацию установки защищенного соединения непосредственно между компьютерами с ПО ViPNet[клиент]. Естественно во втором случае можно добиться полной защиты от возможных атак из подсоединяемой локальной сети. Установка ПО ViPNet[клиент] на мобильный компьютер обеспечивает возможность его работы в корпоративной сети, при этом эффективные атаки на этот компьютер из внешней сети или через этот компьютер на локальные сети невозможны. П ри необходимости защиты обращения к доверенным сегментам локальной сети такой сегмент (например, группа серверов) может быть спрятан также за ViPNet[координатор]. Тогда обращение к этому сегменту снаружи будет происходить через два координатора, а при необходимости еще и через некоторый внешний Firewall, то есть обеспечивается возможность каскадирования координаторов. Такие обращения будут защищены от атак как снаружи данной локальной сети, так и из самой локальной сети. В распределенной сети любой конфигурации с любыми каналами связи и сетями может быть легко организована виртуальная защищенная сеть для безопасного и достоверного информационного взаимодействия. Путем установки на выходе из локальной сети специального ViPNet[координатора] (Координатор «D») внутри распределенной сети может быть организован виртуальный контур частично или полностью изолированный от остальной сети, компьютеры которого могут получать доступ к открытым ресурсам Интернет. При этом весь потенциально опасный открытый трафик из Интернет зашифровывается на Координаторе «D» и может быть расшифрован только на компьютерах локальной сети, включенных в этот виртуальный контур. Любые стратегии атак извне не могут нанести вреда остальным ресурсам локальной сети. ПО . ViPNet[клиент] при работе станции в Интернет полностью блокирует любой иной трафик данной станции в локальной сети. Как видно из приведенных примеров, установкой распределенной системы программных сетевых экранов и средств VPN на различные компьютеры можно добиться наиболее оптимальной и эффективной степени защиты ресурсов и информации в корпоративной сети от любых посягательств, исходя из важности информационного объекта и требуемой надежности защиты. С использованием предлагаемой технологии легко также обеспечивается защита таких служб, как Voice IP, видео конференции, систем удаленного управления различными маршрутизаторами, цифровыми телефонными станциями, других систем удаленного управления и доступа. Доверительность отношений, безопасность коммуникаций и технических средств, безопасность и достоверность информационных ресурсов в корпоративной сети, взаимодействующей также и с внешними техническими средствами и информационными ресурсами, можно обеспечить только путем создания в телекоммуникационной инфраструктуре корпоративной сети интегрированной виртуальной защищенной среды, что и реализует технология ViPNet. Такая защищенная среда включает:
Технология ViPNet – это набор программных модулей, установкой которых на различные компьютеры корпоративной сети, не важно где находящихся – снаружи, изнутри, на границе локальной сети, обеспечивается достижение указанных выше свойств. При этом в полной мере может использоваться уже имеющееся у корпорации оборудование (компьютеры, сервера, маршрутизаторы, коммутаторы, Firewall и т.д.). Программный комплекс ViPNet и отдельные его компоненты сертифицированы в Гостехкомиссии по классам 1В для автоматизированных систем, 3 классу для межсетевых экранов, 3 классу контроля НДВ и в ФАПСИ (криптоядро «Домен-К») по классам КС1 и КС2. |
Конспект к уроку информатики и икт в 10 классе (базовый уровень)... Учебная: сформировать знания о назначение, принципах построения и функционирования локальных компьютерных сетей | Тема: irc Нижнего Новгорода: у каждой локальной сети – свой irc сервер, недалёк тот день, когда в нашем городе все эти сервера будут соединены... | ||
Конспект урока 8 класс: Локальные компьютерные сети Учебная: сформировать знания о назначение, принципах построения и функционирования локальных компьютерных сетей | Сахаров Дмитрий Антонович уроки малых сетей Становится уместным говорить о способности отдельного нейрона включаться в состав разных сетей, о репертуаре функций отдельной сети,... | ||
Компьютерные сети Наглядность: презентация “Компьютерные сети”, плакаты (топология локальных сетей) | Программа курса для направления 230200. 68 «Информационные системы. Программа Базы знаний» Кроме того, изучаются также технологии виртуальных сетей, беспроводные сети, базовые средства обеспечение безопасности корпоративных... | ||
Программа по формированию навыков безопасного поведения на дорогах... Цель: рассмотреть принцип передачи информации, познакомить учащихся с топологией локальных сетей, научить учащихся предоставлять... | Компьютерные сети: локальные сети. Аппаратное и программное обеспечение... Денисова Ольга Викторовна, Пехова Наталья Дмитриевна, Львова Наталья Владимировна, Герасимова Наталья Михайловна | ||
План урока Урок №2 Тема урока: Понятия локальной сети, сервера, рабочей станции. Двух и трехзвенные архитектуры. Отличия, преимущества, недостатки | Конспект урока информатики и икт 10 класс Тема: «Локальные компьютерные... Пояснительная записка. Этот урок является первым из раздела коммуникационные технологии и имеет важное значение. Урок формирует представление... | ||
Локальные и глобальные сети разновидности компьютерных сетей Технологиями Internet занимаются тысячи крупных компаний, размеры инвестиций в сеть поражают | 6. Архитектура и технологии построения сетей tcp/IP Стек tcp/ip использует в качестве транспортной среды между узлами коммутации (шлюзами/маршрутизаторами) другие сети или выделенные... | ||
Учебная программа по дисциплине администрирование локальных сетей... В процессе обучения студент знакомится с теоретическими основами, информационными технологиями и инструментами построения, администрирования... | Реферат ”Локальные компьютерные сети” Алтухов е в проверил: Стариков... Компьютерная сеть – это совокупность компьютеров и различных устройств, обеспечивающих информационный обмен между компьютерами в... | ||
Техническое задание на выполнение работ по модернизации сети передачи... Настоящий документ содержит требования по качеству и количеству работ выполняемых в рамках модернизации сети передачи данных и локальной... | Точилкиной Маргариты «Беспроводные сети: мифы и реальность» В реферате описаны виды беспроводных сетей, области их применения, различие информационной и полезной скоростей, вопросы безопасности... |