Главная страница - Исследования в области безопасности

VPN-решения и организация защищенного доступа



7 ноября 2007 года в Петербурге прошел семинар-демонстрация «VPN-решения: организация защищенного корпоративного взаимодействия с резервированием каналов». Мероприятие было организовано совместно компанией «Поликом Про» и ее партнерами - компаниями Cisco, Aladdin и S-Terra CSP. Основными темами обсуждения на мероприятии стали использование российской криптографии в маршрутизациях Cisco, современные решения по сетевой безопасности на базе программных продуктов российской компании S-Terra CSP, интегрированных с аппаратными решениями Cisco, а также возможности системы управления жизненным циклом ключей и смарт-карт Token Management System. Центральным событием семинара стала демонстрация организации защищенного взаимодействия между двумя офисами и мобильными пользователями с резервированием каналов.

Как рассказал директор московского филиала «Поликом Про» Михаил Орешин, идея проведения такого мероприятия возникла еще в апреле текущего года и уже тогда было решено, что проведено оно будет не в одном городе, а в нескольких крупных городах Российской Федерации. Первым городом, где состоялся семинар-демонстрация, стала Москва: здесь мероприятие было проведено еще в октябре года. Кроме того, состоялся семинар и в Новосибирске. Следующими городами проведения после Петербурга станут Екатеринбург и Ростов. Михаил Орешин отметил, что для мероприятия выбран интерактивный формат: после первых семинаров были внесены некоторые изменения, о которых просили слушатели.

Первое выступление семинара было посвящено использованию российской криптографии в маршрутизаторах Cisco. Менеджер по продуктам безопасности Cisco Алексей Афанасьев рассказал, что сейчас основными требованиями к корпоративной сети являются защищенность и доступность, сама же компания Cisco активно продвигает концепцию самозащищающейся сети. В связи с этим ведущей тенденцией становится создание сетей с интегрированными функциями безопасности. Маршрутизаторы Cisco в данном контексте становятся наиболее удобным решением, так как содержат все функции безопасности, необходимые для работы с WAN в одном устройстве.

Внимание к этому вопросу отмечается и со стороны регулятора: как отметил Алексей Афанасьев, существует тенденция ужесточения норм регулирования защиты информации. В частности, на данный момент этот сегмент контролируется следующими нормативными актами: федеральные законы «О персональных данных», «Об информации, ИТ и защите информации» и «О коммерческой тайне», «Перечень сведений конфиденциального характера», а также «Постановление о лицензировании деятельности по технической защите конфиденциальной информации».

Как пояснил Алексей Афанасьев, у компании Cisco было несколько вариантов для решения вопросов с регулятором: получить разрешение на импорт и эксплуатацию шифровальных средств компании Cisco, интегрировать решения Cisco с российскими производителями VPN, однако компания выбрала иное решение – включить российскую криптографию в решения Cisco. Далее Алексей Афанасьев рассказал об архитектуре, конфигурировании и применении модуля NME-VPN в маршрутизаторах вендора. Модуль NME-VPN разработан российской компанией S-Terra CSP. Он устанавливается в слот расширения и доступен для маршрутизаторов Cisco 2811, 2821, 2851, 3825 и 3845 ISR: применяется в решениях, которые охватывают все сегменты предприятия – от центрального офиса до мобильных сотрудников.

Что касается архитектуры модуля, то он получает питание от маршрутизатора, работает независимо от IOS маршрутизатора , используя программное обеспечение российских компаний S-Terra CSP и «Инфотекс», которое установлено на карте Compact Flesh. При этом модуль имеет два сетевых интерфейса (Gigabit Ethernet): внешний и внутренний, при этом оба сетевых интерфейса полностью равноправны. Отметим, что в маршрутизаторах Cisco 2811, 2821, 2851 и 3825 ISR обеспечивается поддержка только одного модуля, а в 3845 ISR – двух. При этом заместитель генерального директора компании S-Terra CSP Василий Широков пояснил, что в 3845 ISR можно использовать и 4 модуля, если они шифруют весь трафик.

Необходимое программное обеспечение маршрутизатора – Cisco IOS версии 12.4 (11)Т или более поздней, установленная на маршрутизаторе. Модуль может работать с любым образом IOS начиная с IP base, при этом дополнительную память в маршрутизатор устанавливать не требуется. ПО можно обновлять независимо на модуле и маршрутизаторе, главное, что бы версия поддерживала данный модуль.

Области применения модуля NME-VPN – защита данных, передаваемых между офисами компании по открытым сетям, удаленный доступ мобильных пользователей и надомных работников, а также защита критически важной информации внутри корпоративной сети. Как отметил Алексей Афанасьев, применение VPN в мультисервисной сети обеспечивает ряд дополнительных (в сравнении с дизайном без VPN) механизмов безопасности. Прежде всего, обеспечивается безопасность коммуникаций: трафик данных, телефонных переговоров и конференций не может быть перехвачен, прослушан, записан и повторен. Также заметно усиливается сетевой контроль доступа за счет возможности изоляции защищенных подсетей: в сеть может попасть только пакет, зашифрованный или подписанный с помощью стойкого секретного ключа. Алексей Афанасьев пояснил, что система, сохраняет некоторую уязвимость по отношению к DoS-атакам но пространство атакуемых объектов существенно снижается и подавление сервиса системы становится существенно менее вероятным, чем в незащищенных сетях. Кроме того, средства защиты естественным образом интегрируются в существующие инфраструктуры аутентификации, аудита, управления и мониторинга.

Также Алексей Афанасьев рассказал об использовании VPN-туннелей для создания защищенных корпоративных сетей, о защите беспроводных и мультисервисных сетей и о сценариях применения: межсетевом взаимодействии, создании защищенного удаленного доступа. Среди преимуществ докладчик выделил технические, эксплуатационные, экономические и юридические. В частности, преимуществами являются общий с другими устройствами интерфейс управления, снижение энергопотребления и простота коммутации, повышение мобильности и простота установки.

Таким образом, решения на базе NME-RVPN предлагают конечному пользователю сочетание некриптографических средств защиты информации и сертифицированных продуктов компаний-партнеров Cisco. Решение характеризуется высокой адаптированностью к требованиям российских заказчиков, что наряду с корректным технически балансом надежности и производительности обеспечивает высокую экономическую эффективность для конечного заказчика. При этом продукт развивается: локальные компании-разработчики готовы учесть пожелания заказчиков.

Еще одной темой выступления Алексея Афанасьева стало обеспечение защищенных сетевых взаимодействий с помощью модуля шифрования RVPN, в выступлении более подробно было рассказано о поддерживаемых платформах модуля NME-RVPN и вариантах его установки. Также были рассмотрены основные компоненты управления и мониторинга, принципы работы с CLI- консолью. Также были представлены типовые сценарии использования.

Далее Алексея Афанасьева представил возможности организации отказоустойчивого IPsec VPN канала. Он подробно остановился на технологии GRE туннелей, построении сети на основе 6 туннелей и преимуществах такого варианта, также на обеспечении работоспособности при двойных отказах. В качестве примера реализованного проекта было рассмотрено решение задач в одной и ростовских компаний, которое впоследствии стало тиражируемым.

Еще одна презентация была посвящена ключам eToken (для аутентификации и хранения ключевого материала) и TMS. В ее рамках менеджер по работе с системными интеграторами Aladdin Алексей Комаров представил концепцию продуктовой линейки компании, а также рассказал о последних новинках. В частности, в этом году была выпущена модель eToken NG-Flash, объем памяти которой достиг 4 Гбайт. Еще две модели нынешнего года – это eToken Pass и eToken Java, причем последняя соответствует ГОСТ 34.10-2001. Что касается использования ключей eToken в решениях Sicso, то Алексей Комаров выделил возможности аутентификации клиентов при VPN-доступе и хранение конфигурационных параметров, закрытых ключей и сертификатов сетевого оборудования. В презентации были продемонстрированы как собственно работа ключа eToken, так и построение конфигурации на базе решений с Cisco с использованием ключа eToken.

Докладчик также представил систему централизованного управления eToken TMS. Управление средствами аутентификации в организации охватывает такие взаимосвязанные элементы, как пользователи (сотрудники, партнёры, клиенты), политики организации (ИБ, права доступа, регламенты и т.п.), аутентификационные устройства (смарт-карты, USB-ключи, OTP-устройства) и приложения, обеспечивающие безопасность (вход в сеть, шифрование дисков и т.п.).

Среди преимуществ использования eToken TMS Алексей Комаров выделил то, что пользователь при необходимости может обновить eToken в соответствии с новыми правами – при изменении статуса в компании, расширении компетенции и т.д. При потере PIN-кода он «сбрасывается» самостоятельно через web-сайт, что значительно экономит время. При утере ключа его отзыв и выпуск нового осуществляются быстро, что не нарушает безопасности компании. Кроме того, есть возможность использования виртуального eToken, что значимо для работы мобильных сотрудников. Отметим, что список различных приложений безопасности, которые поддерживаются за счет использования специальных коннекторов, достаточно широк: в него входят eToken Windows Logon (GINA), УЦ RSA-Keon, УЦ «КриптоПро», eToken OTP Authentication, включая eToken Pass, eToken Single Sign-On (SSO) 3.0, Microsoft CA (для приложений, использующих PKI-технологии - VPN, SSL, аутентификация в сети), P12 Importing Tool, Cisco ISR, eToken Flash Partition Application и другие.

Таким образом, eToken TMS позволяет уменьшить вероятность ошибок администрирования (потенциально очень дорогих) благодаря упрощению процессов, снизить нагрузку на ИТ-отдел благодаря автоматизации процессов и возможностям самообслуживания, вести учёт выданных eToken, повысить продуктивность работы пользователей и проводить аудит использования eToken пользователями.

Со стороны S-Terra CSP выступил Василий Широков, заместитель генерального директора компании, рассказавший о современных решениях по сетевой безопасности на базе продуктов CSP VPN компании S-Terra CSP и об используемых алгоритмах ГОСТ в VPN-решениях, предназначенных для применения в АС класса 1Г. Он подробно остановился на вопросах совместимости решений компании, на перспективах развития линейки. В частности, он отметил, что в ближайших планах – создание модуля для решения Cisco Telepresent.

В конце мероприятия была проведена наглядная демонстрация возможностей решений и оборудования, о которых шла речь в теоретической части семинара. В ходе демонстрации был представлен один из сценариев построения защищенного соединения между двумя офисами с резервированием каналов. Это решение построено на базе продуктов Cisco, S-Terra CSP и Aladdin. В частности, в составе демонстрационного стенда были использованы такие компоненты, как сетевой модуль NME-RVPN, интегрируемый в маршрутизаторы Cisco ISR 2800 и 3800 и поддерживающий российские криптографические алгоритмы. Дополнительно было показан функционал защищенного клиентского доступа к корпоративным информационным ресурсам, включая функционал, требуемый для мобильного и удаленного офиса.

spbIT.ru




Похожие по содержанию материалы раздела: Через браузер IE можно выполнить произвольный код в Firefox Первый бюджетный IP видео сервер Smartec c 2-мя видео- и аудиоканалами Американские законотворцы защитили блоггеров Алгоритм сжатия MPEG4 eToken получает порядковый номер Спамеры научились обходить тест Тьюринга PandaLabs: троян помогает фишерам красть пароли и реквизиты Новые ip-камеры «день-ночь» Bosch с записью видео непосредственно на RAID-массив Китайские войны начинались из-за похолоданий «Лаборатория Касперского» сообщает об обнаружении новой версии программы-шантажиста Gpcode Платформы пригородных поездов в Московской области планируется оснастить системами видеонаблюдения Windows Media DRM: очередной взлом Symantec записал в adware программу NASA Современные информационные угрозы, I квартал 2007 Смольный отдал «гостиничный ЕГАИС» своим Новый опасный вирус устроил распродажу в Сети Новинка Pelco: вандалозащищенная уличная ip-камера с вариообъективом Мошенники рассылают письма от имени ФБР и Пентагона Европейские провайдеры не обязаны разглашать сведения о пользователях

(c) 2008
Видеонаблюдение,
охранная и
пожарная сигнализация