Глава 2. ТЕХНОЛОГИЯ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ViPNet

 

2.1. Состав программного комплекса ViPNet

Для решения задачи – обеспечение защищенного взаимодействия непосредственно между компьютерами в большой распределенной сети в системе должны присутствовать как минимум 3 обязательных элемента.

1. ViPNet [Администратор] создает логическую инфраструктуру виртуальной сети, определяет политики безопасности в ней, осуществляет мониторинг и управление объектами сети. Также формирует симметричную ключевую информацию и первичную парольную информацию, выпускает сертификаты открытых ключей для объектов сети. Состоит ViPNet [Администратор] из двух программных модулей: ЦУС и УКЦ.

Центр управления сетью (ЦУС)

В центре управления сетью производится регистрация объекта сети, присвоение ему уникального идентификатора, определение допустимых связей между взаимодействующими объектами, определение полномочий пользователей, установление взаимодействия с Центрами управления других виртуальных сетей и многие другие действия, связанные с первичной организацией сети и поддержкой ее функционирования.

Удостоверяющий и Ключевой центр сети (УКЦ)

Этот элемент сети создает всю ключевую инфраструктуру виртуальной сети на базе справочников связей, созданных в ЦУСе, а также выполняет функции удостоверяющего центра для абонентов сети, зарегистрированных на объектах сети.

При создании в ЦУСе каждого объекта сети, имеющего уникальный идентификатор, формируется ключевой дистрибутив для него, который однозначно идентифицирует этот объект в сети и делает его уникальным. Всем другим действующим объектам сети, с которыми новому объекту сети установили связи через ЦУС, рассылается соответствующая ключевая информация.

При установлении связей с объектами других виртуальных сетей информация о заданных связях высылается в соответствующий ЦУС и ключевой центр, где независимым образом формируется и рассылается необходимая ключевая информация для своих объектов. Генерация ключевой информации в каждой сети осуществляется на основании межсетевых мастер-ключей, которыми обменялись ключевые центры разных сетей на начальном этапе организации межсетевого взаимодействия.

Одновременно функция удостоверяющих центров обеспечивает создание всей необходимой инфраструктуры для функционирования процедур электронной цифровой подписи, обеспечивающей юридическую значимость документов, создаваемых приложениями, а также необходимой для создания дополнительной PKI - составляющей ключевой структуры сети. Одновременно обеспечивается кроссертификация с удостоверяющими центрами (УКЦ) других виртуальных сетей ViPNet и удостоверяющими центрами других производителей.

2. ViPNet [Координатор]:

- выполняет маршрутизацию почтовых и управляющих защищенных сообщений при взаимодействии объектов сети между собой и ViPNet [Администратором];

- в реальном времени осуществляет регистрацию и предоставление информации о состоянии объектов сети, их местоположении, значении их IP-адресов и др;

- осуществляет туннелирование пакетов от обслуживаемой ViPNet [Координатором] группы незащищенных компьютеров локальной сети для передачи трафика от них к другим объектам VPN в зашифрованном виде по открытым каналам Интернет/Интранет;

- фильтрует трафик от источников, не входящих в состав VPN, в соответствии с заданной политикой безопасности (функция межсетевого экрана);

- обеспечивает возможность работы защищенных по технологии ViPNet компьютеров локальной сети через сетевые экраны и прокси-серверы других производителей.

Данный модуль выполняет все функции ViPNet-клиента, но имеет возможность расширить свое адресное пространство для шифрования трафика открытых компьютеров, установленных за ViPNet-координатором. То есть осуществляет также стандартное туннелирование трафика компьютеров, трафик которых маршрутизируется на координатор. Точно также ViPNet-координатор является межсетевым экраном для компьютеров, расположенных за ним. В состав ViPNet-координатора входит тот же, что и у клиента Драйвер сетевой защиты и «Монитор-координатор». В отличие от клиента Драйвер сетевой защиты дополнительно выполняет функции маршрутизации и, соответственно, обработки IP-пакетов, не предназначенных ViPNet-координатору, а также обеспечивает работу ViPNet-клиентов и туннелируемых компьютеров от имени своего адреса.

Монитор-координатор выполняет много разных функций, но основная их них – функция сервера IP-адресов, позволяющая организовать работу ViPNet-клиентов в любой сложной сети.

3. ViPNet [Клиент] обеспечивает защиту информации при ее передаче в сеть, а также защиту от доступа к ресурсам компьютера и атак на него из локальных и глобальных сетей. При этом ViPNet [Клиент] может быть установлен как на рабочую станцию (мобильную, удаленную, локальную), так и на всевозможные типы серверов (баз данных, файл-серверов, WWW, FTP, SMTP, SQL и пр.) с целью обеспечения безопасных режимов их использования.

Данный модуль состоит из многих составляющих. Основной из них – Драйвер сетевой защиты, осуществляющий шифрование, инкапсуляцию в новый формат (VPN) и фильтрацию (персональный сетевой экран) трафика. Управление этим драйвером осуществляет программа «Монитор – клиент». Одновременно работает ряд других модулей, предотвращающих запуск несанкционированных сетевых приложений (модуль контроля приложений) и проведение специальных сетевых атак (модуль IDS).

Клиенты и координаторы могут работать в сети как автономно, то есть не устанавливаться ни за какие типы МЭ, так и могут устанавливаться за различные типы МЭ и другие устройства, выполняющие функции преобразования адресов (NAT), в том числе, за координаторы. Выбор того или иного режима работы определяется местом и способом подключения узла к сети. При этом между любыми станциями, независимо от их расположения, настроек правил на устройстве NAT (динамических или статических) обеспечивается возможность организации свободного двустороннего доступ узлов друг к другу в соответствии с разрешенными им связями по любым или заданным правилами фильтрации для соответствующих узлов протоколам.

Создание туннельных VPN-соединений (инкапсуляцию трафика в другой формат и его щифрование) и фильтрацию трафика обеспечивает низкоуровневый драйвер сетевой защиты ViPNet, который автоматически поддерживает разнообразные протоколы канального уровня.

Для создания туннельных VPN-соединений между узлами и сетями используется два типа IP-протокола, в который упаковывается любой другой IP-протокол: IP/241 и IP/UDP (с портом 55777 по умолчанию). Собственно, как такового туннельного соединения не создается. Просто каждый IP-пакет в отдельности упаковывается (инкапсулируется) в новый IP-пакет соответствующего протокола.

При взаимодействии Клиентов, доступных друг другу по реальному адресу узла (т.е. когда между ними отсутствуют устройства с NAT), система автоматически использует более экономичный протокол IP/241 (не имеющий дополнительных UDP-заголовков размером 12 байт). (Рис.1)

При взаимодействии узлов, недоступных друг другу по реальному адресу узла (т.е. между ними есть устройства, выполняющие NAT), система автоматически использует протокол UDP, для которого обеспечивается прохождение через любые типы Firewall и другие устройства с NAT.

 

Рис. 1. Виды туннельных соединений