Фильтрация

Ряд фильтров в ПО ViPNet [Клиент] [Монитор] определен по умолчанию. Эти фильтры нельзя удалять, но при определенных полномочиях их можно менять: инвертировать, а также добавлять, удалять и модифицировать фильтры протоколов. Различают следующие виды фильтров:

■ Широковещательный фильтр

■ Главный фильтр

■ Индивидуальный фильтр (фильтр для конкретного пользователя)

■ Фильтр протоколов - определяет правило фильтрации пакетов в зависимости от протокола, параметров протокола, адресата пакета и направления прохождения IP-пакета, может быть настроен для широковещательного, главного и индивидуального фильтров. Фильтр протоколов всегда подчинен какому-либо фильтру из указанных выше.

Microsoft SOL фильтр - может быть использован при установке ViPNet [Клиент] на Microsoft SQL сервер с целью ограничения доступа пользователей (с установленным ПО ViPNet) на SQL сервер, либо для предотвращения прихода нежелательных данных. Фильтр работает на уровне протокола TDS (протокол передачи данных для MS SQL). Microsoft SQL фильтр всегда подчинен какому-либо индивидуальному фильтру. Сетевые фильтры отображаются в виде древовидной структуры. Фильтры второго уровня всегда подчинены фильтрам первого уровня.

Если фильтр первого уровня не содержит фильтров второго уровня, то наличие "галочки" напротив данного фильтра говорит о том, что фильтр пропускающий. Если "галочки" нет, то фильтр блокирующий.

Если фильтр первого уровня содержит фильтры второго уровня - фильтры протоколов, то наличие "галочки" напротив фильтра первого уровня говорит о том, что фильтр пропускает все

IP-пакеты, удовлетворяющие фильтру первого уровня, кроме пакетов, явно указанных в фильтрах второго уровня (напротив фильтров протоколов второго уровня "галочки" отсутствуют). Если "галочка" напротив фильтра первого уровня отсутствует, то это означает, что фильтр блокирует все IP-пакеты, удовлетворяющие фильтру первого уровня, кроме пакетов, явно указанных в фильтрах второго уровня (напротив фильтров протоколов второго уровня - присутствуют "галочки").

Любой сетевой фильтр (определенный по умолчанию или собственный) изначально состоит из правила доступа и подчиненного фильтра с именем Все протоколы. Т.е. при создании любого правила доступа автоматически создается подчиненный ему фильтр протоколов Все протоколы. Фильтр протоколов Все протоколы определяет действие правила на все пакеты с указанными в правиле доступа адресами - пропускать все пакеты или блокировать. Пользователь может изменить параметры фильтра Все протоколы. Далее, при необходимости, каждый фильтр можно уточнять, т.е. для каждого правила доступа добавлять дополнительные фильтры протоколов с более детальными настройками.

Для шифрованных пакетов применяются фильтры Защищенной сети в следующем

порядке:

• Сначала применяется главный фильтр (включая его подчиненные фильтры протоколов). В результате применения фильтра пакет может быть заблокирован (событие 10).

• Затем для нешироковещательных пакетов применяется индивидуальный фильтр (включая его подчиненные фильтры протоколов), установленный именно для этого адресата.

Для широковещательных шифрованных пакетов применяется широковещательный фильтр Защищенной сети. В результате применения фильтра пакет может быть заблокирован (событие

3)

• Далее, для нешироковещательных пакетов, по которым не было принято решение, если настроен Microsoft SQL фильтр, он применяется, в результате пакет может быть заблокирован.

• Если пакет не был заблокирован ни в одном из фильтров, то он пропускается. Если пакет относится к Открытой сети, то работа фильтров зависит от установленного

режима работы.

=> Если установлен 1-й режим, то все пакеты блокируются.

Если установлен 4-й режим, то все пакеты пропускаются.

=> Если установлен 2-й или 3-й режим, то для широковещательных пакетов

применяется широковещательный фильтр Открытой сети, в результате применения которого пакет может быть либо заблокирован (событие 20), либо пропущен. Для нешироковещательных пакетов фильтры Открытой сети применяются в порядке, противоположном их порядку расположения в окне Открытая сеть.

Самым первым работает индивидуальный фильтр для конкретного IP-адреса (если таковой для данного адреса настроен), от которого из сети поступил пакет, или по которому пакет ушел в сеть. В результате применения этого фильтра пакет может быть либо заблокирован (событие 20), либо пропущен.

Если пакет прошел вышеуказанный фильтр и по нему не было принято решения, то затем работает главный фильтр для всех незарегистрированных в окне Открытая сеть IP-адресов (фильтр Все незарегистрированные IP-адреса). В результате применения этого фильтра пакет может быть пропущен. Затем, если установлен 2-й режим, то все остальные пакеты, по которым не было принято решение, блокируются (событие 21). Если установлен 3-й режим, то работает механизм бумеранга:

Все исходящие пакеты, по которым не было принято решение предыдущими фильтрами, пропускаются, при этом регистрируются протокол, адреса, время отправки пакета, а для "жёсткого бумеранга" - ещё и параметры протоколов:

для UDP и TCP - номера портов отправителя и получателя, для ICMP - тип сообщения.

=> Входящие пакеты, если пакет не был блокирован или пропущен предыдущими фильтрами, пропускаются только в случае, если выполняются следующие условия:

- Если бумеранг установлен в "мягкий" режим: входящие пакеты

пропускаются в случае, если ранее на адрес источника прошел исходящий пакет этого же протокола.

- Если бумеранг установлен в "жесткий" режим: входящие пакеты протоколов TCP и UDP пропускаются в случае, если ранее на адрес и конкретный порт источника от конкретного порта получателя прошел исходящий пакет этого же типа. Входящие пакеты протокола ICMP пропускаются, если они являются ответами на ранее отосланные ICMP- запросы на этот адрес. Пары поддерживаемых ICMP-запросов и ответов следующие: echo - echo reply, timestamp - timestamp reply, information request — information reply.

Во всех остальных случаях пакет блокируется.

20. ViPNet-клиент: контроль приложений; система обнаружения атак (IDS); возможности администратора сетевого узла; защита трафика при помощи асимметричных ключей; настройки работы через сетевой экран

Система обнаружения атак (intrusion detection system, IDS) служит для обнаружения и предотвращения действий злоумышленников («хакеров»), целью которых может быть получение несанкционированного доступа к компьютеру либо вывод его из строя. Система обнаружения атак работает на сетевом уровне, благодаря чему имеет ряд достоинств:

· Возможность обнаруживать и блокировать сетевые пакеты до обработки их стеком TCP/IP.

· Возможность блокировать на ранней стадии атаки, направленные на перегрузку ОС, приводящие к отказу в обслуживании.

Кроме того, система IDS способна обнаруживать исходящие атаки (как будто злоумышленник находится за вашим компьютером). Это полезно в том случае, если ваша ОС каким-либо образом используется злоумышленником в качестве атаки на какую-либо третью ОС (например, с помощью «троянских» программ).

ViPNet [Клиент] - модуль, реализующий на рабочем месте следующие функции:

1. Персональный сетевой экран - позволяет защитить компьютер от попыток несанк­ционированного доступа, как из глобальной, так и из локальной сети.

Персональный сетевой экран позволяет системному администратору или пользователю (при наличии присвоенных ему полномочий):

- управлять доступом к данным компьютера из локальной или глобальной сети;

- определять адреса злоумышленников, пытающихся получить доступ к информации на Вашем компьютере;

- обеспечивать режим установления соединений с другими открытыми узлами локальной или глобальной сети только по инициативе пользователя, при этом компьютер пользователя остается «невидимым» для открытых узлов локальной и глобальной сетей (технология Stealth), что исключает возможность запуска по инициативе извне всевозможных программ «шпионов»;

- формировать «черные» и «белые» списки узлов открытой сети, соединение с которыми соответственно «запрещено» или «разрешено»;

- осуществлять фильтрацию трафика по типам сервисов и протоколов для данного адреса открытой сети или диапазона адресов, что позволяет, в случае необходимости, ограничить ис­пользование «опасных» сервисов на «сомнительных» узлах открытой сети;

- осуществлять фильтрацию трафика по типам сервисов и протоколов для связанных с данным узлом других защищенных узлов.

- контролировать активность сетевых приложений на данном компьютере, где установлен ViPNet [Клиент], что позволяет вовремя обнаружить и заблокировать активность несанкциони­рованно установленных и запущенных программ «шпионов», которые могут передавать зло­умышленникам сведения об информации, обрабатываемой на данном компьютере (пароли дос­тупа, данные о кредитных картах, идентификаторы для доступа в корпоративные базы данных и ДР)

2. Установление защищенных соединений между компьютерами, оснащенными ViPNet [Клиент], для любых стандартных сетевых приложений.

Для любых сетевых приложений обеспечиваются следующие основные функции:

- шифрование IP-пакетов с добавлением в них информации для обеспечения целостности, контроля времени, идентификации (авторизации) и скрытия первоначальной структуры пакета;

- блокировка шифрованных пакетов при нарушении их целостности, превышении допус­тимой разницы между временем отправки и текущим временем (защита от переповторов) или при невозможности аутентифицировать пакет;

- предоставление СОМ интерфейса для вызова криптографических функций и их исполь­зования Web приложениями.

Возможность установления защищенных соединений между компьютерами, оснащенны­ми ViPNet [Клиент] позволяет:

- организовать схему защищенного использования всевозможных Web-приложений, в том числе Web-trading, Web-ordering, Web-хостинга, Web-вещания и т.д., с доступом к Web- платформе, на которой установлен ViPNet [Клиент], только определенному списку участников VPN. Данная схема обеспечивает пользователям и корпорации гибкое и безопасное использова­ние всевозможных Web-приложений как наиболее простого и доступного средства коллектив­ной работы корпорации и ее партнеров;

- защитить и дополнительно авторизовать все соединения между локальными, мобиль­ными и удаленными пользователями, оснащенными ViPNet [Клиентом], и корпоративными серверами приложений, баз данных, SQL-серверами, также оснащенными ViPNet [Клиентом]. Это открывает широкие возможности по безопасному внедрению всевозможных ERP-систем, финансово-учетных систем, работающих в реальном времени, систем типа «Клиент-Банк», «Интернет-Банкинг», CRM (Customer Relationship Management) систем и прочих систем, где с одной стороны накапливается конфиденциальная информация, требующая соблюдения правил информационной безопасности и управления доступом, а с другой стороны необходима коллек­тивная работа с приложениями на сети разных категорий пользователей;

- использовать недорогие и общедоступные сетевые ресурсы открытой сети для передачи конфиденциальной информации.

3. Услуги защищенных служб реального времени для организации обмена сообщения­ми, проведения конференций, защищенных аудио- и видео-переговоров позволяют:

- обмениваться сообщениями или организовывать циркулярный обмен сообщениями, в процессе которого организатор такого обмена видит все сообщения, в то же время участники обмена сообщений друг друга не видят. При этом ведутся и могут быть сохранены протоколы всех сообщений;

- проводить защищенные конференции;

- оперативно видеть подтверждения доставки и прочтения сообщений;

- проводить защищенные аудио- (Voice over IP) и видео-переговоры (конференции)

При этом, технология ViPNet поддерживает любые стандартные программные и аппарат­ные средства для проведения аудио- и видео-конференций, основанные на IP-технологиях.

4. Сервис защищенных почтовых услуг - защищенный почтовый клиент с возможно­стями аутентификации отправителя и получателя, а также обеспечивающий контроль за прохо­ждением и использованием документов.

Деловая почта - модуль, входящий в состав ViPNet [Клиент], позволяет:

- передавать электронные сообщения по открытым каналам связи с защитой на всем маршруте следования от отправителя до получателя, при этом в качестве открытого канала мо­гут быть использованы стандартные сервера SMTP/POP3;

- одновременно с самим сообщением защитить прикрепленные к нему файлы;

- организовать по установленным правилам защищенный автопроцессинг стандартных документов, «рождаемых» другими приложениями и системами управления бизнесом (бухгал­терскими, банковскими, управленческими и пр.);

- осуществлять поиск документа в почтовой базе документов по множеству параметров (отправитель, получатель, тема, дата, период, контекст и т.п.)

- подтверждать личность отправителя, используя ЭЦП, встроенную в общую систему безопасности;

- передать сообщение только тем получателям, для которых оно предназначалось, а также при необходимости автоматически отправить копии сообщений на заданные в ЦУС узлы;

- подтвердить получение и использование сообщений, а также дату, время получения и личности получателей;

- вести учетную нумерацию сообщений.

Кроме вышеперечисленных функций ViPNet [Клиент] предоставляет СОМ интерфейс для вызова криптофункций и их совместного использования с Web приложениями.

Более подробно о ViPNet [Клиенте] и его модулях можно узнать из учебно-методического пособия "Технология построения виртуальных защищенных сетей ViPNet: практикум".

Шифрование в сети ViPNet

В решениях VPN традиционно используется один из двух методов шифрования. Асимметричные алгоритмы популярны в первую очередь благодаря удобству при распределении ключей, но надежность асимметричных ключей в отличие от симметричных до сих пор никем строго не доказана. Недостатком последних является необходимость в первоначальной безопасной передаче ключей корреспондентскому компьютеру.

Разработчики ViPNet попытались взять лучшее, что есть у обеих технологий, и максимально уменьшить имеющиеся недостатки, и в ViPNet используется ключевая структура, в которой объединены оба принципа распределения ключей. Базовой составляющей является подсистема централизованного управления симметричной ключевой структурой, обеспечивающая высокий уровень безопасности функционирования сети. Система открытого распределения ключей – дополнительная и функционирует под защитой симметричной ключевой структуры, в связи с чем присущие ей проблемы безопасности становятся неактуальными.

Криптографическое ядро системы ViPNet по умолчанию использует алгоритм с длиной ключа 256 бит. Но есть и другие алгоритмы, которые могут быть свободно выбраны самим пользователем. Длина открытого ключа для асимметричной ключевой системы равна 1024 бит (ГОСТ Р 34.10-2001). Технологии ViPNet в составе продукта ViPNet Custom прошли сертификацию в ФСБ и ФСТЭК и используются крупными заказчиками, среди которых Российские железные дороги, Пенсионный фонд РФ и другие.

Первичные ключевые наборы для каждого сетевого узла генерируются при установке ViPNet Менеджера. При установке ПО на клиентские компьютеры или на Координаторы необходимио скопировать соответствующий файл с ключевым набором на сменный носитель, ввести пароль и указать на местонахождение этого файла. Пароли пользователя формируются автоматически на основе оригинального механизма парольных фраз, облегчающих запоминание паролей.

При наличии схемы будущей сети установка и настройка ViPNet OFFICE (TUNNEL) очень проста. Первым устанавливается Менеджер, а затем Клиенты и Координаторы. При установке Менеджера создается структура будущей сети, которую затем можно будет скорректировать. Система будет работать сразу после установки в настройках по умолчанию.

При создании сложной разветвленной виртуальной сети VPN, в которой защищенность циркулирующей информации стоит на первом месте, стоит присмотреться к программным продуктам ViPNet. В них сочетаются все необходимые функции по защите информации и управлению доступом к различным сетевым ресурсам. Набор защищенных бизнес-приложений делает их использование для конечного пользователя еще более удобным и понятным.