Безпечний вихід в Інтернет: проблеми та рішення

Наша взаимовыгодная связь https://banwar.org/

Великі проблеми малих фірм

Володимир Ігнатов, Олександр Кальфа

Практично будь-який комп'ютер, будь-яка локальна мережа зберігають достатній обсяг конфіденційної інформації - ділових паперів, відомостей про партнерів і конкурентів, договорів, бухгалтерських звітів. А закономірним етапом розвитку локальної мережі рано чи пізно стає підключення до глобальної мережі Інтернет. Але не все в повній мірі усвідомлюють, що зв'язок з Інтернетом - це не тільки вихід з локальної мережі в глобальну, а й вхід з глобальної в локальну, і після встановлення зв'язку локальна мережа стає вразливою для несанкціонованого доступу. На думку заступника голови Держкомзв'язку А. Волокітіна, "... до найбільш поширених видів загроз безпеки роботи в мережі відносяться псування програмного забезпечення, вилучення конфіденційної інформації, спотворення інформації, інформаційне блокування серверів і ін." (ComputerWeekly, № 22/98, з . 19).

Як правило, керівництво банків, великих корпорацій і фірм прекрасно розуміє, наскільки важливо забезпечити захист своїх мереж, і використовують широкий спектр відповідних програмних, апаратних і програмно-апаратних засобів, пропонованих вітчизняними розробниками, такими, як "ІнфоТеКС", "Оптима", " Информзащита "," Сигнал-Ком "," Конфидент "і ін.

Інша річ відносно невеликі фірми. До сприйняття проблеми захисту своїх мереж вони в більшості своїй не готові. І не тільки в Росії. "Тих, хто не розумів, що Windows 95 являє собою відкриту всьому світу двері (коли вона підключена до зовнішньої мережі і включений режим поділу файлів), виявилося несподівано багато, - пише Білл Макроун, віце-президент фірми Ziff-Davis (PC Week / RE, № 21/98, c. 27). - Дрібні фірми є найбільш ймовірними кандидатами на зіткнення з такого роду проблемами, бо багато з них користуються Windows 95 в простих тимчасових мережах ".

Найбільш поширеним засобом захисту локальної мережі вважається міжмережевий екран (його ще називають брандмауером або firewall), який, як правило, являє собою програмно-апаратний комплекс, який встановлюється між мережами для контролю трафіку. В даний час Гостехкомиссией при Президентові Росії сертифікувала дев'ять міжмережевих екранів (оновлювані списки сертифікованих Гостехкомиссией систем наведені на сервері www.infotecs.ru/gtc). До переваг програмно-апаратних систем можна віднести невеликий час, необхідний на їх запуск, і відносну простоту обслуговування. Але для малого бізнесу вони занадто дорогими: ціна одного брандмауера коливається від декількох тисяч до десятків тисяч доларів.

Вихід тут бачиться у використанні брандмауерів, організованих чисто програмними методами. Споживачеві можна рекомендувати драйвер мережевого захисту IP-LIR розробки "ІнфоТеКСа", програмні пакети Inter-PRO ( "Сигнал-Ком"), SKIP (ELVIS +) і AltaVista Firewall ( "Анкей"). Як стверджують представники "Оптими", їх система Optima-WorkFlow LAN Edition також придатна для фірм середнього розміру. Крім того, в кінці квітня ця компанія отримала сертифікат Гостехкомиссии РФ на партію з 20 екземплярів брандмауера CyberGuard версії 4.0, реалізованого програмними методами.

Продемонструємо можливості програмних засобів захисту локальних мереж на прикладі драйвера IP-LIR, розробленого ВАТ "ІнфоТеКС".

Драйвер мережевого захисту IP-LIR

Загальна характеристика. IP-LIR завантажується в стек ТСР / IP і працює на транспортному рівні, безпосередньо взаємодіючи з мережевим драйвером. Завдяки такій реалізації шифрування і фільтрація вхідного і вихідного IP-трафіку, який формується будь-якими Windows-додатками, здійснюються в режимі реального часу. Використана при розробці драйвера технологія дозволяє здійснювати закриту зв'язок через публічні мережі (наприклад, Інтернет), а також всередині локальних мереж для таких додатків, як WWW, FTP, Telnet, Voice, служба конференцій і т. Д., Створюючи таким чином віртуальну захищену мережу (VPN, virtual private network).

Залежно від місця установки IP-LIR здатний виконувати різні функції (див. Малюнок). Навіть двоє людей, що мають вихід в Інтернет і інсталювати на своїх комп'ютерах IP-LIR, можуть встановити між собою захищену (в тому числі голосову) зв'язок через глобальну мережу. В процесі їх спілкування дані, що зберігаються на жорстких дисках комп'ютерів і передаються по відкритій мережі, виявляться закритими для несанкціонованого доступу.

Схема установки драйвера IP-LIR в локальній мережі

Драйвер, встановлений на корпоративному Web-сервері і комп'ютерах, між якими відбувається обмін інформацією, забезпечує для різних прикладних систем (платіжних, інформаційних та ін.) Надійний захист від зовнішнього втручання і розмежування з доступу для внутрішніх користувачів.

Від аналогічних систем він відрізняється тим, що не прив'язаний до конкретного IP-адресою. Завдяки цьому користувач може вільно подорожувати з переносним комп'ютером по всьому світу і з будь-якої точки земної кулі і через будь-якого провайдера підключатися до Інтернету для обміну конфіденційною інформацією або ведення захищених переговорів.

IP-LIR доцільно встановлювати на кожен комп'ютер локальної IP-мережі, включаючи сервери, що надають загальні ресурси, або на особливо відповідальні станції. Таким чином розмежовується доступ до комп'ютерів локальної мережі, а найголовніше, до мережевого трафіку. В результаті, наприклад, менеджер відділу продажів не зможе контролювати інформацію бухгалтерії, а бухгалтериіспользовать драйвери IP-LIR без функцій жорсткої централізації управління. При цьому можна обійтися без ЦУС і "Ключового центру", налаштовуючи драйвер на кожному комп'ютері.

Драйвер мережевого захисту, встановлений тільки на серверах, що виконують функції маршрутизаторів (шлюзів) у зовнішню мережу, захищає як трафік між маршрутизаторами, так і локальну мережу від нападів з мережі зовнішнього. При такій установці IP-LIR виконує роль брандмауера. Проте мережа, на жаль, залишається беззахисною від загроз зсередини.

Разом з тим практика показує, що в більшості випадків несанкціонований доступ здійснюється саме з ЛВС або власними співробітниками компанії, зацікавленими в спотворенні інформації, якими сторонніми особами, допущеними до комп'ютерів або комунікацій (наприклад, для їх обслуговування). Фахівцям відомо кілька простих, але ефективних програм, що дозволяють легко, практично не що виявляється способом дезорганізувати роботу мережі, перехопити секретні файли з розмежованих з доступу каталогів, модифікувати інформацію, отримати права адміністратора і зробити ще багато іншого, не дивлячись на використання сучасних засобів захисту. Однак ця тема виходить за рамки статті.

Принцип функціонування. IP-LIR функціонує в операційних середовищах Windows 95 і Windows NT, готується версія і для різних систем UNIX. Встановлений на робочих станціях, серверах локальної мережі і серверах баз даних, він при пересиланні IP-пакета додає в його тіло мережевий ідентифікатор абонента-відправника, дату і час відправлення (для захисту від нав'язування раніше переданих пакетів), підміняє порти джерела і призначення (а при необхідності і IP-адреса джерела), формує імітозащітную сигнатуру заголовка і тіла пакета (що дозволить згодом перевірити цілісність повідомлення), шифрує пакет і передає його стандартному мережевому драйверу.

При отриманні IP-пакета IP-LIR розшифровує його, перевіряє цілісність, відновлює і реєструє новий IP-адреса відправника (якщо такий є), блокує пакети з порушеною цілісністю, а також захищені пакети, призначені для закритих служб, і веде журнал трафіку IP- пакетів. Крім того, в залежності від настройки він або повністю блокує вхідні та вихідні незареєстровані незахищені пакети, або дозволяє зареєструвати і відповідно дозволити проходження IP-пакетів, які не викликають підозр.

Якщо ж драйвер встановлюється на серверах, що виконують роль стандартних маршрутизаторів до зовнішніх мереж або служб віддаленого доступу, то при відповідній настройці IP-пакет може бути зашифрований цілком і инкапсулирован в новий з підміною IP-адреси джерела єдиним адресою. В результаті вдається повністю приховати структуру локальної мережі з боку мережі зовнішньої.

Роль ЦУС в управлінні мережею полягає в реєстрації робочих станцій і конкретних користувачів на вузлах мережі, встановлення допустимих зв'язків, завданні повноважень з доступу різним службам і додатків, формуванні та автоматичному оновленні на вузлах мережі адресних довідників і довідників повноважень доступу, ключової інформації і програмного забезпечення.

Варто окремо зупинитися на ключовий структурі захищеної мережі, створюваної за допомогою драйверів IP-LIR. Як відомо, передані повідомлення можна шифрувати за допомогою симетричних і асиметричних ключів, кожен з яких має свої переваги і недоліки.

У мережах, побудованих на основі IP-LIR, використана комбінована ключова структура: ключ шифрування визначається як симетричними ключами, що розподіляються центром, так і асиметричними, які виробляються абонентами. В результаті вдалося до певної міри поєднати переваги обох систем, нейтралізувавши їх недоліки. Якість ключів завжди залишається високим, оскільки воно залежить від "Ключового центру", що гарантує їх випадковість і рівноймовірно. У той же час досягається дуже суворе розмежування доступу користувачів до різної інформації та ресурсів мережі. Асиметричні ключі формуються і розподіляються по мережі автоматично, без участі користувачів.

Алгоритми шифрування інформації та електронний підпис відповідають ГОСТ 28147 - 89, ГОСТ Р34.10 - 94 і ГОСТ Р34.11 - 94.

Для установки IP-LIR необхідний IBM-сумісний комп'ютер з операційною системою Windows 95 / NT і не менше 7,5 Мбайт вільного місця на диску. Драйвер надзвичайно простий в інсталяції і роботі. Його докладний опис і демоверсію можна знайти на сервері www.infotecs.ru.

А куди податися ну дуже маленькій фірмі і комп'ютерникові-одиночці?

Дуже маленькій фірмі і власнику персонального комп'ютера, підключеного до Інтернету, можна порекомендувати версію драйвера IP-LIR без засобів централізованого управління. Уже зараз ця версія коштує відносно недорого, і робота по її спрощення та здешевлення триває.

У мережі з декількох комп'ютерів IP-LIR встановлюється тільки на комп'ютер, що має вихід в Інтернет. У цьому випадку, як і при установці у індивідуального власника, драйвер виконує роль екрану, що захищає ПК від небажаного потоку інформації. Він допоможе не тільки запобігти несанкціонованому доступу ззовні, а й спроби співробітників фірми (або членів сім'ї) отримати інформацію з небажаних IP-адрес. Можна, наприклад, заборонити працівникам компанії відвідувати ігрові сайти в робочий час або дітям закрити доступ до порносайтів назавжди, а до всіх інших вузлів - на час, коли вони повинні вчити уроки. В крайньому випадку, якщо допитливий син або співробітник знайде невідомий вам сайт, його захоплення неважко буде відстежити.

Драйвери мережевого захисту можуть виявитися корисними невеликим фірмам, якщо вони мають мережу філій (магазинів, складів) або компаньйонів (постачальників, дилерів) в різних містах і навіть країнах, з якими необхідно мати постійну і захищений зв'язок. Розміщуючи IP-LIR на виході з локальних мереж (або на окремих комп'ютерах) філій та компаньйонів, можна встановити між ними захищений зв'язок (в тому числі голосову) за відкритими телефонних каналах і глобальних мереж, зокрема через Інтернет. Це може виявитися значно дешевше, ніж при використанні звичайної відкритої міжміського зв'язку.

Слід, однак, підкреслити, що засобам захисту інформації малих фірм поки приділяється недостатньо уваги, а вимоги до них остаточно не сформульовані. Ми були б вдячні всім читачам, які мали терпіння дочитати цей матеріал до кінця і переглянути демоверсію IP-LIR на сервері www.infotecs.ru, за відгуки (в тому числі невтішні) і побажання щодо адаптації драйвера до їхніх потреб.

З авторами можна зв'язатися по Е-mail: [email protected].

Версія для друку

Тільки зареєстровані користувачі можуть залишати коментарі.