Назначение и характеристики «ФПСУ-IP»
Назначение и характеристики «ФПСУ-IP» |
|
|
Программные и программно-технические решения семейства «ФПСУ-IP» являются средствами защиты от несанкционированного доступа к информации. Решения семейства «ФПСУ-IP» направлены на выполнение функции межсетевого экранирования и построения виртуальных частных сетей поверх глобальных и локальных вычислительных сетей. В составе решений семейства «ФПСУ-IP» используются средства криптографической защиты информации, что позволяет осуществлять криптографическую защиту передаваемой информации. Центральным элементом семейства средств защиты информации «ФПСУ-IP» является Программно-аппаратный комплекс «ФПСУ-IP» версии 3 (версии ПО 3.20.1, 3.20.8). «ФПСУ-IP» разработан для применения в вычислительных сетях, использующих стек протоколов TCP/IP и среду передачи данных Ethernet (тип кадра Ethernet_II). «ФПСУ-IP» совмещает в себе функции межсетевого экрана, пакетного коммутатора сетевого уровня и организатора виртуальных частных сетей (VPN) поверх локальных и глобальных вычислительных сетей изготавливается в двух вариантах: •специализированное программно-аппаратное устройство; •программное решение для установки в виртуальную среду (виртуальная машина). «ФПСУ-IP» устанавливается аппаратно (в случае специализированного программно-аппаратного устройства) или логически (в случае виртуальной машины) на выходе из защищаемой локальной сети в общие сети и осуществляет скоростную фильтрацию передаваемых пакетов данных, анализируя их по совокупности критериев и принимая решение о возможности их дальнейшей передачи. В качестве критериев фильтрации могут выступать IP-адреса отправителей и получателей пакетов, разрешённые номера IP-протоколов, номера портов TCP/UDP, направление передачи пакета, время работы и разрешённые парные связи между конкретными абонентами. Таким образом, «ФПСУ-IP» позволяет реализовать контроль и управление потоками информации, а также их коммутацию из одной локальной сети в другую, что обеспечивает разграничение доступа и защиту сегментов ЛВС от атак злоумышленников. «ФПСУ-IP» может использоваться для разграничения доступа абонентов одной локальной сети друг к другу и/или для выделения в локальной сети участков с повышенной степенью защиты от НСД. Безопасность передачи информации при взаимодействии абонентов территориально распределённых ЛВС, защищённых «ФПСУ-IP» и использующих «ФПСУ-IP» в качестве пакетных сетевых фильтров, повышается за счёт организации межсетевых туннелей между каждой парой «ФПСУ-IP». При этом в таких туннелях обеспечиваются: •начальные идентификация и аутентификация взаимодействующих «ФПСУ-IP»; •сеансовые идентификация и аутентификация взаимодействующих «ФПСУ-IP»; •идентификация, аутентификация и контроль целостности принимаемых по туннелю данных; •сжатие отфильтрованных пакетов специализированным встроенным компрессором; •шифрование и инкапсуляция IP-в-IP отфильтрованных пакетов, обеспечивающее сокрытие сетевых адресов отправителя и получателя, номеров IP-протоколов и других полей IP-пакетов, а также защиту передаваемых данных от прочтения, искажения и подмены. Таким образом, с использованием защищённых межсетевых туннелей несколько территориально-распределённых ЛВС могут быть объединены в единую виртуальную частную сеть (virtual private network, VPN). При этом обеспечиваются: • безопасное взаимодействие абонентов ЛВС через общедоступные WAN-сети; • проверка подлинности сетевых ресурсов; • проверка подлинности источника и приемника данных принимаемых сообщений; • контроль доступа к ресурсам сети. Аутентификация взаимодействующих «ФПСУ-IP» и преобразование передаваемой в межсетевых туннелях информации производятся с использованием ключей парно-выборочной связи, вырабатываемых для каждого «ФПСУ-IP» при помощи программно-аппаратного комплекса «Центр выработки ключей «ФПСУ-IP». Виртуальные частные сети, построенные на основе комплексов «ФПСУ-IP», защищающих подсети, расширяются за счёт организации аналогичных VPN-туннелей между «ФПСУ-IP» и программными и программно-аппаратными комплексами «ФПСУ-IP/Клиент», используемых для защиты межсетевого взаимодействия отдельных рабочих станций и устройств. «ФПСУ-IP» осуществляет фильтрацию IP-пакетов протоколов маршрутизации (RIP, RIP 2, IGRP, EIGRP, OSPF, OSPF2, LDP). Для повышения надёжности и обеспечения бесперебойной работы защищаемых подсетей в ситуации аппаратных отказов, «ФПСУ-IP» может быть задействован в режиме «горячего» резервирования, позволяющую вместо одного «ФПСУ-IP» использовать пару «ФПСУ-IP», один из которых выполняет все функциональные операции, а второй находится в ожидании, готовый принять управление на себя в случае неполадок на основном «ФПСУ-IP». «ФПСУ-IP» поддерживает возможность отправки сообщений о происходящих на нем событиях (логов) по протоколу SysLog. Для это разработана специальная подсистема, которая отслеживает происходящие на «ФПСУ-IP» события и отправляет их на внешний сервер, работающий как хранилище Syslog-сообщений. «ФПСУ-IP» может принимать участие в построении VLAN (IEEE 802.1Q) локальной сети, выполняя функции маршрутизатора VLAN. На портах «ФПСУ-IP» поддерживается до 4093 тегов VLAN. Для этого на «ФПСУ-IP» должна быть установлена специальная подсистема поддержки VLAN. Администрирование и непосредственный контроль процесса фильтрации на «ФПСУ-IP» производятся как локально, так и дистанционно, с любой рабочей станции IP-сети, оборудованной программно-аппаратным комплексом «Удаленный администратор ФПСУ-IP». Один УА ФПСУ-IP позволяет обслуживать до 32000 территориально-удалённых «ФПСУ-IP», обеспечивая при этом выполнение практически полного набора функций по настройке, контролю и управлению работой комплексов «ФПСУ-IP». Соединения удалённых администраторов с «ФПСУ-IP» осуществляются через специализированные туннели, в которых производятся аутентификация администратора и криптографическая защита передаваемых данных от НСД. Программно-аппаратный комплекс «ФПСУ-IP» не сложен в эксплуатации. Установка комплекса зачастую не требует изменения топологии сети, реконфигурирования сетевого оборудования и изменения IP-адресов абонентов. Вырабатываемый комплексом служебный трафик незначителен и не приводит к существенному увеличению расходов на эксплуатацию сети передачи данных, кроме того, использование подсистемы сжатия передаваемых данных позволяет в отдельных случаях уменьшить существующие расходы организации. Программное обеспечение комплекса поддерживает такие протоколы, как ARP (с расширением ARP-proxy), IP и ICMP, удовлетворяя при этом требованиям стандартов RFC 768, 791, 792, 793, 826, 894, 919, 922, 950, 1122, 1256, 1305, 1393, 1475, 1519, 1700, 1812, 3069 и др. с некоторыми ограничениями, накладываемыми требованиями защиты от НСД. «ФПСУ-IP» позволяет создавать различные уровни защиты для отдельных участков сети. Полный интегрированный набор средств защиты от НСД межсетевого сообщения с применением «ФПСУ-IP», обеспечивающий максимальный уровень защиты, включает следующие механизмы: •фильтрацию сетевых пакетов в соответствии с типами отправителя и получателя (абонент, маршрутизатор, удалённый «ФПСУ-IP», «ФПСУ-IP/Клиент», удалённый администратор) по задаваемым администратором правилам, IP-адресам отправителя и получателя, типам фреймов, инкапсулированных в IP протоколов, времени, направлению и дате передачи пакета, разрешённым портам абонентов (для TCP/UDP-пакетов); •принцип передачи через «ФПСУ-IP» пакетов осуществляется по принципу «запрещено всё, что не разрешено», что защищает от нападений, основанных на новых, незнакомых или неясных IP-сервисах, а также ошибок конфигурации; •сокрытие сетевых адресов отправителя и получателя, прикладных функций защищаемой сети и используемых ими сетевых протоколов; •возможность идентификации и аутентификации «ФПСУ-IP/Клиентов», удалённых «ФПСУ-IP» и удалённых администраторов методами, устойчивыми к активному перехвату информации в сети; •возможность идентификации, аутентификации и контроля целостности данных, принятых от «ФПСУ-IP/Клиентов», удалённых «ФПСУ-IP» и удалённых администраторов методами, устойчивыми к активному перехвату информации в сети; •возможность сжатия межсетевого трафика специализированным высокоэффективным компрессором с целью повышения скорости передачи данных и уменьшения расходов на эксплуатацию сети; •возможность организации туннелированной передачи данных с пакетным шифрованием; •возможность сокрытия топологии сети и факта функционирования «ФПСУ-IP» как средства защиты с фильтрующими возможностями; •возможность запрещения TCP/UDP-соединений с отдельными абонентами защищаемой области по портам и направлению соединения; •специфическую обработку IP-опций, способствующих раскрытию топологии сети; •возможность защиты каналов управления и мониторинга пограничными маршрутизаторами из защищённых областей; •создание и поддержку баз регистрационных данных с осуществлением процедур автоматического поиска по заданным условиям для анализа, защищаемых по доступу к ним на персональных электронных ТМ-идентификаторах; •учет и регистрацию действий администраторов и различных параметров работы абонентов, включая попытки нарушения правил фильтрации, в базе данных, организованной без возможности удаления регистрационных данных с целью предотвращения их несанкционированного изъятия; •обеспечение защиты от несанкционированного доступа при работе администратора «ФПСУ-IP» посредством идентификации по защищенному от дублирования уникальному идентификатору и содержимому памяти электронного ТМ-идентификатора, а также аутентификации по паролю; •разделение прав на доступ к работе «ФПСУ-IP» для различных классов администраторов (как локальных, так и удалённых); •регистрацию, учет и возможность проверки корректности электронных ТМ-идентификаторов администраторов различных классов, посредством которых возможен доступ к комплексу; •регистрацию и учёт прикреплённых к «ФПСУ-IP» пользователей «ФПСУ-IP/Клиент»; •функционирование комплекса с использованием собственной защищенной операционной среды, что обеспечивает защиту регистрационной информации и автоматический контроль целостности исполняемых модулей, исключающий их несанкционированную модификацию и внедрение разрушающих программных воздействий; кроме того, возможна выдача контрольных значений всех исполнимых модулей подсистем инсталлированного комплекса с целью сравнения их с контрольными данными; •защиту от несанкционированного доступа при работе удалённого администратора методами, устойчивыми к активному перехвату информации в сети посредством двусторонней аутентификации на основе взаимно зарегистрированных открытых ключах, а также защиту от НСД самой подсистемы удалённого администрирования посредством аутентификации администратора по паролю и возможности блокирования работы до введения пароля; •локальную и дистанционную, с программируемой реакцией, сигнализацию нарушений правил фильтрации и изменения правил фильтрации администраторами; •регистрацию, учет и контроль удаленных администраторов, имеющих доступ к «ФПСУ-IP», с назначаемыми правами на доступ; •графический интерфейс для визуального контроля состояния и дистанционного управления всеми зарегистрированными удалёнными «ФПСУ-IP» с программируемой реакцией на возникающие на них события; •автоматический мониторинг состояния удаленных «ФПСУ-IP» с автоматическим анализом регистрационной информации и программируемой реакцией результатов анализа. Применение всех указанных механизмов защиты позволяет предотвратить множество распространённых в сети Интернет пассивных и активных атак злоумышленников, наиболее опасными из которых являются: •непосредственное считывание трафика сети или «прослушивание», что легко реализуется практически на любом пакетном коммутаторе с использованием его собственных средств трассировки и анализа проходящего через него трафика или с использованием специальной аппаратуры, подключаемой к линии; •выяснение топологии сети и наличия в ней средств защиты посредством использования стандартных команд типа traceroute или других средств (широко распространённых в Интернет) с целью определения местоположения важных хостов, на которые в последующем могут производиться другие атаки; •блокирование работы особо важных узлов сети путём выдачи на них большого количества ненужных пакетов, приводящее к переполнению входной очереди интерфейса и попаданию большинства систем в состояние перегрузки, при котором приём и дальнейшая передача пакетов не могут осуществляться в течение длительного времени. При этом злоумышленник постоянно поддерживает атакуемый узел в нерабочем состоянии; •SYN-атаки на TCP, блокирующие TCP-модули, реализующиеся через подачу большого количества SYN-пакетов на входной интерфейс хоста. При этом системы, имеющие виртуальные менеджеры памяти, отображаемые на диск, входят в состояние «резонанса» - запрос на выделение памяти под соединение TCP приводит к бесконечному перераспределению памяти, занимающее все ресурсы ЦПУ; •перехват TCP-соединений с другими абонентами с целью получения доступа, минуя средства защиты, используемый вместе с атаками, позволяющими блокировать работу одного из абонентов; •атаки, основанные на ошибках реализации конкретных протоколов IP-стека. Программное обеспечение «ФПСУ-IP» разработано ООО «АМИКОН», лицензия Федеральной службы безопасности Российской Федерации № 122531 П от 08 июня 2012 г. на осуществление разработки, производства, распространения шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнения работ, оказания услуг в области шифрования информации, технического обслуживания шифровальных (криптографических), информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя); лицензии Федеральной службы по техническому и экспортному контролю №0307 от 21 ноября 2006 г., №0536 от 21 ноября 2006 г: на деятельность по разработке и(или) производству средств защиты конфиденциальной информации; на деятельность по технической защите конфиденциальной информации). |