Принцип действия |
Программно-аппаратный комплекс «ФПСУ-IP» аппаратно подключается в разрыв цепи между защищаемой областью и остальной частью локальной сети парой физических линий (одна к защищаемой области, другая к остальной сети) таким образом, чтобы все входящие и исходящие из области потоки данных проходили через «ФПСУ-IP». Если область связана с сетью более чем в одной точке (транзитная область), ФПСУ-IP должны быть установлены на каждом выходе из неё. Вследствие поддержки программным обеспечением ФПСУ-IP режима «ARP-proxy» включение его в сеть не требует изменения её топологии или изменения конфигурационной информации уже существующей в сети аппаратуры, и не имеет ограничений на размер защищаемой области. Основные функции ФПСУ-IP: •VPN-построитель: установка защищенных туннелей с другими ФПСУ-IP для организации безопасной передачи данных через сети, которым нет доверия; •межсетевой экран - в соответствии с установленными администратором правилами ФПСУ-IP анализирует входящие и исходящие пакеты данных IP-протокола по совокупности критериев, осуществляет контроль доступа к ресурсам сети и определяет возможность передачи данных. При этом в таких туннелях обеспечиваются: •начальные идентификация и аутентификация взаимодействующих ФПСУ-IP; •сеансовые идентификация и аутентификация взаимодействующих ФПСУ-IP; •идентификация, аутентификация и контроль целостности принимаемых по туннелю данных; •шифрование и инкапсуляция IP-в-IP отфильтрованных пакетов, обеспечивающее сокрытие сетевых адресов отправителя и получателя, номеров IP-протоколов и других полей IP-пакетов, а также защиту передаваемых данных от прочтения, искажения и подмены. На начальном этапе анализа все пакеты, поступающие на каждый из интерфейсов ФПСУ-IP, контролируются на предмет корректности их формата и соответствия стандартам стека IP-протоколов. Если начальная обработка пакета осуществлена успешно, пакет будет передан для анализа в подсистему фильтрации ФПСУ-IP. Фильтрация пакетов IP-протокола, производимая ФПСУ-IP, заключается в сопоставлении полей IP-пакета установленным администратором правилам. На основании произведенного анализа принимается решение о допустимости дальнейшей передачи пакета абоненту-получателю, о необходимости дальнейшей идентификации и аутентификации пакета, а также о методах передачи данных и способах контроля за процессом приёма/передачи данных. Применяемый ФПСУ-IP механизм контроля передачи пакетов на сетевом уровне позволяет задавать в качестве критериев фильтрации: •регистрационные данные комплексов ФПСУ-IP/Клиент; •IP-адреса и MAC-адреса отправителя и получателя; •день недели и время соединения; •используемые протоколы транспортного уровня; •используемые порты TCP и UDP соединений; •разрешённые режимы работы абонентов (см. ниже); •разрешённые парные связи абонентов и ФПСУ-IP/Клиентов. В зависимости от топологии сети и от требований политики безопасности организации возможны несколько вариантов применения ФПСУ-IP (функциональные схемы приведены ниже) и различные режимы его работы. В простейшем случае обмен IP-пакетами абонентов сегмента ЛВС с другими абонентами может осуществляться через один ФПСУ-IP. Для оконечной области достаточно установить один ФПСУ-IP на выходе из неё, для транзитной области необходимо защитить ФПСУ-IP каждый выход. Таким образом, из локальной сети выделяется группа абонентов (защищаемая область), для которых обмен IP-пакетами с остальными абонентами сети может быть специальным образом регламентирован и проконтролирован. Применяя ФПСУ-IP по этой схеме, можно разделить локальную сеть на две части (не меняя при этом IP-адресов и установок сетевого программного обеспечения хостов), одна из которых защищена, а абонентам другой будет разрешён обычный обмен пакетами. По этой же схеме можно установить ФПСУ-IP на выходе из локальной сети в удалённые сети и защитить работу всей локальной сети. Если обмен пакетами абонентов будет производиться через один ФПСУ-IP, может быть реализован только самый слабый уровень защиты, так называемый режим ретрансляции, при котором будут задействованы только механизмы фильтрации пакетов по различным критериям. Более высокий уровень защиты возможен при обмене пакетами через два аналогичных ФПСУ-IP, работающих в паре. В этом режиме включаются механизмы аутентификации абонентов защищённых сегментов ЛВС и трансляции их сетевых адресов, скрывающей внутренние адреса субъектов и объектов передачи, а также используемых ими сетевых протоколов и прикладных функций защищаемой сети. Кроме того, в таком режиме могут быть использованы механизмы сжатия и шифрования. Данная схема применения позволяет задействовать весь предоставляемый комплексом набор средств защиты от НСД. Однако она не может обеспечить полную безопасность обмена пакетами в случае, если для некоторых абонентов защищаемых областей разрешены открытые соединения (через один ФПСУ-IP в режиме ретрансляции без аутентификации) с абонентами или сетевыми службами через глобальную сеть. Если открытые соединения всё же необходимы для доступа к разнообразным утилитам и сервисам Интернет, обеспечить безопасность защищаемой области можно следующими способами: •Вынести за границы защищаемой области специально выделенный хост (хосты), с которого (которых) будет осуществляться обычная работа по Интернет, а остальным абонентам в конфигурации комплекса установить режим работы через удалённый ФПСУ-IP. •На ФПСУ-IP», разрешающем некоторым абонентам открытые соединения, создать логическую группу, к которой будут приписаны абоненты с указанными явно адресами, а на компьютерах этих абонентов принять меры по предотвращению запуска программ или фрагментов кода, принятых из сети. •Отделить особо важные хосты в защищаемой оконечной области ещё одним «ФПСУ‑IP», работающим в «каскадном» режиме с первым, причём на втором «ФПСУ-IP» должны быть запрещены все открытые соединения. Таким образом, локальная сеть будет разделена на две части, имеющие различный уровень защиты (см. рисунок ниже). Каскадная установка нескольких «ФПСУ-IP» и запрет открытых соединений на последнем комплексе создают максимальный уровень защиты для оконечной области (область А, рисунок ниже), предоставляя доступ к ней только аутентифицированным абонентам. При этом подсистема фильтрации создаёт достаточно высокий уровень защиты от НСД и для абонентов транзитной защищаемой области В, позволяя им осуществлять соединения с абонентами других сетей (не защищённых) через глобальную сеть. Обратите внимание, что для абонентов оконечной области фильтрация пакетов по всем заданным критериям будет производиться только ближайшим комплексом, а транзитный «ФПСУ-IP» будет фильтровать пакеты только по IP‑адресам. ФПСУ-IP может применяться не только для организации безопасного взаимодействия IP-подсетей, но и для защиты межсетевого обмена отдельных рабочих станций и устройств, на которых установлен программный или программно-аппаратный комплекс ФПСУ-IP/Клиент. При этом ФПСУ-IP может использоваться как для безопасного доступа пользователей ФПСУ-IP/Клиентов из открытых сетей в защищаемую им подсеть, так и для организации VPN-соединений ФПСУ-IP/Клиентов друг с другом. Каждый из ФПСУ-IP/Клиентов работает с ФПСУ-IP в режиме «клиент/сервер», посылая запрос на доступ, который производится ФПСУ-IP только после идентификации и аутентификации. Для передачи данных между ФПСУ-IP/Клиентом и ФПСУ-IP организуется защищённый межсетевой VPN-туннель, в котором производится шифрование информации и (опционально) сжатие. На схеме (см. рисунок ниже), ФПСУ-IP обеспечивает пользователям ФПСУ-IP/Клиентов А и В безопасный доступ к абонентам защищаемой им подсети. Взаимодействуя через ФПСУ-IP друг с другом, ФПСУ-IP/Клиенты А и В образуют VPN-подсеть в открытых сетях, а ФПСУ-IP/Клиенты С и D ‑ VPN‑подсеть внутри защищённого фрагмента. Каждый из ФПСУ-IP/Клиентов А и В может также образовывать VPN-соединения через ФПСУ-IP с ФПСУ-IP/Клиентами С и D. В процессах идентификации, аутентификации и фильтрации запросов ФПСУ-IP/Клиентов участвуют не их IP-адреса, а ключевые данные пользователя ФПСУ-IP/Клиента, которые выдаются пользователям с помощью программы ЦГКК. Поэтому доступ ФПСУ-IP/Клиентов к защищаемым ФПСУ-IP рабочим станциям может быть реализован с произвольной рабочей станции, оборудованной ФПСУ-IP/Клиентом (более подробную информацию см. в руководстве пользователя ФПСУ‑IP/Клиента). ФПСУ-IP имеет средства защиты от вмешательства в логику его работы, а также защиты его информационной и программной частей от несанкционированного доступа. Программно-аппаратный комплекс ФПСУ-IP не может содержать постороннего программного обеспечения. Специальная подсистема ФПСУ-IP реализует в программно-аппаратном комплексе собственную (изолированную и функционально замкнутую) программную среду, предоставляя администраторам возможность управлять его работой - конфигурировать его (устанавливать и редактировать правила фильтрации, настраивать на ФПСУ-IP параметры сетевого оборудования, подключать желаемое оборудование и специальное программное обеспечение и т.д.), а также просматривать и записывать на съемные носители регистрационную информацию. ФПСУ-IP осуществляет и разграничивает доступ к своим модулям и подсистемам администраторов по правам (см. пункт «Разграничение доступа и пользователи»). При работе «ФПСУ-IP» информация о его работе и происходящих событиях регистрируется - накапливается в специальном хранилище для последующего просмотра и обработки администраторами, а также отображается на экране монитора (в частности, результат фильтрации и попытки нарушения правил фильтрации). Хранилище регистрационной информации защищается от НСД посредством доступа к нему по предъявлению ТМ-идентификатора соответствующего класса и невозможности изъятия данных (за исключением автоматического вытеснения начальных записей при переполнении). Во избежание потерь регистрационной информации её можно снимать на внешние носители или выгружать в АРМ УА ФПСУ-IP для последующего хранения или анализа. ФПСУ-IP укомплектован подсистемой автозапуска, предназначенной для автоматического возобновления работы подсистемы фильтрации после сбоев электропитания в отсутствие оператора. Подсистема автозапуска настраивается и разрешается к применению пользователем ФПСУ-IP с полномочиями «Администратор» или «Главный администратор». В ФПСУ-IP реализована возможность дистанционного контроля и управления работой группы ФПСУ-IP удалённым администратором, который работает с ними по принципу «Клиент‑Сервер». Дистанционное управление работой ФПСУ-IP производится через специализированные защищённые межсетевые туннели и осуществляется посредством: •настройки на «ФПСУ-IP» подсистемы удаленного управления и контроля; •использования программного комплекса «Удалённый администратор ФПСУ-IP». Доступ к ФПСУ-IP могут получить до тридцати двух (32) различных удалённых администраторов, зарегистрированных на этом ФПСУ-IP локальным администратором с фиксированным набором прав на контроль и управление данным ФПСУ-IP. |