Виртуальные защищенные сети ViPNet (назначение, отличительные особенности, инкапсуляция в ViPNet , поддерживаемые ОС)

Назначение:

Технология ViPNet представляет собой программный комплекс, позволяющий организовать виртуальную сеть, защищенную от несанкционированного доступа по классу 1В для автоматизированных систем и 3 классу для межсетевых экранов.

В качестве криптографического ядра системы может использоваться «Домен-КС2», сертифицированная ФСБ России. Уникальное сочетание симметричных и асимметричных процедур распределения ключей, электронной цифровой подписи (ЭЦП), автоматических процедур ключевого взаимодействия обеспечивает высокий уровень безопасности в системе.

Полностью безопасная работа пользователей и использование информационных и технических ресурсов обеспечивается при установке средств защиты на каждый компьютер, участвующий в виртуальной защищенной сети. Информация, которой обменивается пара компьютеров, становится недоступной для любых других компьютеров. Информация, расположенная на самом компьютере, недоступна с компьютеров, не участвующих в VPN. Доступ с компьютеров, участвующих в VPN, определяется наличием соответствующих связей, настройкой фильтров и полностью контролируется администраторами безопасности.

Компьютеры виртуальной сети могут располагаться внутри локальных сетей любого типа, поддерживающих протокол IP, находиться за другими типами сетевых экранов, иметь реальные или виртуальные адреса, подключаться через общедоступные сети путем выделенных или коммутируемых соединений.

Часто при соединении с другими сетями, использующими внутреннюю адресную структуру, возникает проблема конфликта IP-адресов. Технология ViPNet предоставляет возможность не перестраивать в этом случае имеющуюся адресную структуру. Каждый из ее объектов автоматически формирует для других объектов уникальный виртуальный адрес, который и может быть использован приложением.

Особенности:

Технология ViPNet обеспечивает:

· Быстрое развертывание корпоративных защищенных решений на базе имеющихсялокальных сетей, доступных ресурсов глобальных (включая Интернет) и ведомственных телекоммуникационных сетей, телефонных и выделенных каналов связи, средств стационарной, спутниковой и мобильной радиосвязи и др. При этом в полной мере может использоваться уже имеющееся у корпорации оборудование (компьютеры, серверы, маршрутизаторы, коммутаторы, Межсетевые Экраны (МЭ)
и т.д.).

· Создание внутри распределенной корпоративной сети информационно–независимых виртуальных защищенных контуров, включающих как отдельные компьютеры, так и сегменты сетей, для обеспечения функционирования в единой телекоммуникационной среде различных по конфиденциальности или назначению информационных задач. Такие контуры создаются только исходя из логики требуемых (разрешенных) информационных связей, независимо от приложений,
сетевой операционной системы, без каких-либо настроек сетевого оборудования.
При этом достигается еще одно очень важное свойство – независимость режимов безопасности, установленных в виртуальной корпоративной сети (VPN), от сетевых администраторов, управляющих различными физическими сегментами большой корпоративной сети, и от ошибочных или преднамеренных действий с их стороны, представляющих одну из наиболее вероятных и опасных угроз.

· Защиту, как локальных сетей в целом, их сегментов, так и отдельных компьютеров и другого оборудования от несанкционированного доступа и различных атак, как из внешних, так и из внутренних сетей.

· Поддержку защищенной работы мобильных и удаленных пользователей корпоративной сети. Организацию контролируемого и безопасного для корпоративной сети подключения внешних пользователей для защищенного обмена информацией с ресурсами корпоративной сети.

· Организацию безопасного для локальных сетей подключения отдельных рабочих станций этих сетей к открытым ресурсам сети Интернет и исключение риска атаки из Интернет на всю локальную сеть через подключенные к открытым ресурсам компьютеры сети.

· Защиту (обеспечение конфиденциальности, подлинности и целостности) любого вида трафика, передаваемого между любыми компонентами сети, будь то рабочая станция (мобильная, удаленная, локальная), информационные серверы доступа, сетевые устройства или узлы. При этом становится недоступной для перехвата из сети и любая парольная информация различных приложений, баз
данных, почтовых серверов и др., что существенно повышает безопасность этих прикладных систем.

· Защиту управляющего трафика для систем и средств удаленного управления объектами сети: маршрутизаторами, межсетевыми экранами, серверами и пр., а также защиту самих средств удаленного управления от возможных атак из глобальной или корпоративной сети.

· Контроль доступа к любому узлу и сегменту сети, включая фильтрацию трафика, правила которой могут быть определены для каждого узла отдельно, как с помощью набора стандартных политик, так и с помощью индивидуальной настройки.

· Защиту от НСД к информационным ресурсам корпоративной сети, хранимым на рабочих станциях (мобильных, удаленных и локальных), серверах (WWW, FTP, SMTP, SQL, файл-серверах и т.д.) и других хранилищах группового доступа.

· Организацию безопасной работы участников VPN с совместным информационным групповым и/или корпоративным информационным ресурсом.

· Аутентификацию пользователей и сетевых объектов VPN как на основе использования системы симметричных ключей, так и на основе использования инфраструктуры открытых ключей (PKI) и сертификатов стандарта X.509.

· Оперативное управление распределенной VPN-сетью и политикой информационной безопасности на сети из единого центра.

· Исключение возможности использования недекларированных возможностей операционных систем и приложений для совершения информационных атак, кражи секретных ключей и сетевых паролей.