4.6. Продукты, сертифицированные для использования в России
Пока существует не так уж много продуктов, имеющих сертификат Гостехкомиссии, удостоверяющий пригодность этого продукта для применения в России в целях защиты данных. Ниже приводится описание некоторых из них.
4.6.1. BlackHole компании MilkywayNetworks
BlackHole (продукт компании MilkywayNetworks) - это firewall, работающий на proxy-серверах протоколов прикладного уровня (TELNET, FTP и т.д.). Он служит для разграничения доступа между локальной и глобальной сетью (INTERNET) или между двумя подразделениями локальной сети (ИНТРАНЕТ). BlackHole построен на принципе "Все что не разрешено, запрещено", т.е. любой вид доступа должен быть описан явно.
BlackHole поддерживает TELNET, FTP, Web-сервис, почту SMTP и некоторые другие виды сервисов.
Кроме этого, в состав BlackHole входят proxy-сервер уровня TCP и proxy сервер для UDP протокола. BlackHole осуществляет мониторинг всех 65 535 TCP/UDP портов и сбор статистики по попыткам доступа к этим портам. Правила доступа могут использовать в качестве параметров адрес источника, адрес назначения, вид сервиса (FTP, TELNET, и т.д.), дату и время доступа, идентификатор и пароль пользователя.
BlackHole поддерживает строгую аутентификацию как с использованием обычных паролей, так и различных типов одноразовых паролей S/Key, EnigmaLogicSafeword, SecurityDynamicsSecureID, при этом аутентификация может быть включена для любого вида сервиса.
Система выдачи предупреждений о попытках НСД в реальном времени в BlackHole позволяет администратору системы описывать опасные события и реакцию на них системы (вывод на консоль, звонок на пейджер и т.д.).
BlackHole предоставляет сервис для создания групп пользователей, сервисов, хостов и сетей и позволяет создавать правила для этих групп, что дает возможность легко описывать и администрировать большое количество пользователей.
BlackHole имеет удобную и дружественную графическую оболочку под X-Windows, так что настройкой системы может заниматься неискушенный в UNIX человек. Все административные функции могут быть выполнены из этой оболочки. Ядро ОС модифицировано для защиты графического интерфейса от внешнего доступа.
BlackHole предоставляет следующие возможности по конвертации адреса источника пакета при прохождении через firewall:
•
адрес может быть заменен на адрес firewall;
•
адрес может быть оставлен без изменения;
•
адрес может быть заменен на выбранный администратором.
114
Последняя опция позволяет для пользователей INTERNET представлять внутреннюю сеть как состоящую из набора подсетей.
Для хранения и обработки статистической информации BlackHole использует реляционную базу данных с языком запросов SQL. BlackHole функционирует на PC и SunSparc платформах под управлением модифицированных версий операционных систем BSDI и SunOS.
BlackHole имеет сертификат Национального Агентства Компьютерной Безопасности США (NCSA), гарантирующий его высокую надежность и уровень защиты, но, что еще более важно этот продукт сертифицирован Государственной Технической Комиссией при Президенте России. Ниже приводится выдержка из сертификата N79:
"Выдан 30 января 1997г.
Действителен до 30 января 2000г."
Автоматизированная система разграничения доступа BlackHole версии BSDI-OS, функционирующая под управлением операционной системы BSDIBSD/OSv2.1, является программным средством защиты информации от НСД в сетях передачи данных по протоколу TCP/IP, обеспечивает защиту информационных ресурсов защищаемого участка локальной сети от доступа извне, не снижая уровня защищенности участка локальной сети, соответствует "Техническим условиям на Автоматизированную систему разграничения доступа BlackHole версии BSDI-OS" N 5-97 и требованиям Руководящего документа Гостехкомиссии России "Автомати- зированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" в части администрирования для класса 3Б."
4.6.2. Пандора (Gaumtlet) компании TIS
Система Пандора, имеющая оригинальное название Gauntlet, это firewall (межсетевой экран), разработанный фирмой TIS. Этот продукт предоставляет возможность безопасного доступа и сетевых операций между закрытой, защищенной сетью и публичной сетью типа Internet.
Gauntlet представляет собой наиболее эффективный с точки зрения защиты вариант firewall - фильтр на уровне приложений, при этом обеспечивает максимальную прозрачность при использовании, возможность создания VPN и простое управление всем этим. Этот firewall позволяет пользоваться только теми протоколами, которые описал оператор и только в случае их безопасного использования.
Безопасность обеспечивается при работе через firewall в обоих направлениях в соответствии с политикой безопасности, определенной для данной организации. Продукт доступен в предустановленном виде на Pentium машинах, а также как отдельный пакет для BSD/OS, SunOS4*, HP-UX, IRIX и других UNIX-систем. Открытый продукт фирмы - FWTK - на сегодняшний день является стандартом де-факто для построения firewall на уровне приложений.
Система Gauntlet получила сертификат Национального Агентства Компьютерной Безопасности США и была проверена Агентством Национальной безопасности США (NCSA). Продукт имеет сертификат Гостехкомиссии при президенте РФ номер 73, выдан 115
16 января 1997 года, действителен 3 года. На основании сертификационных испытаний системе присвоен класс 3Б.
4.6.3. Застава (Sunscreen) компании "Элвис -Плюс"
24 сентября 1997 года компания "Элвис-Плюс" анонсировала завершение бета-тестирования и начало промышленных поставок первого отечественного программного firewall'а "Застава". Одновременно объявлено о начале проведения сертификационных испытаний продукта Гостехкомиссией при Президенте РФ. К концу года будет предложена версия "Заставы" для платформы WindowsNT.
"Застава" относится к категории фильтрующих firewall'ов и функционирует на платформах Solaris/SPARC и Solaris/Intel и предназначен для использования в качестве первого эшелона защиты ресурсов корпоративных сетей от вторжения из Internet.
В настоящее время лабораторией средств сетевой безопасности "Элвис-Плюс" ведется интенсивная подготовка к производству аппаратно-программного варианта "Заставы" на базе системной платы SPARCengineUltraAXMotherboard производства компании SunMicroelectronics, по отношению к которой "Элвис-Плюс" выступает в качестве OEM-производителя. Гораздо более производительная по сравнению с программным аналогом новая версия "Заставы" будет включать модуль создания корпоративных VPN на базе протокола SKIP, а также поддерживать защищенное конфигурирование и управление с удаленного рабочего места администратора безопасности, реализованного по технологии Java.
По мнению сотрудников компании "Элвис-Плюс", семейство "Застава" может с успехом использоваться при создании комплексных систем защиты распределенных сетей федеральных агентств и ведомств при условии интеграции в продукты компании криптографических модулей легальных российских производителей.
Разработчики межсетевого экрана "Застава" ставили перед собой задачу не просто создать первый российский firewall, но, прежде всего, учесть быстрорастущие требования и современные приоритеты рынка защиты информации в IP сетях. Главными задачами при разработке межсетевого экрана были обеспечение "жесткой" и быстрой фильтрации, а также реализация эффективного proxy-модуля для обработки трафика электронной почты, представляющей в современных условиях серьезную потенциальную угрозу безопасности сети - по сравнению с прочими "внешними" сервисами.
На сервере компании "Элвис-Плюс" по адресу http://www.elvis.ru можно найти демонстрационные копии firewall'а "Застава".
4.6.4. Продукты компании АНКАД
Фирма "АНКАД" предлагает семейство программно-аппаратных средств криптографической защиты информации КРИПТОН, использующее ключ длиной 256 бит и алгоритмы шифрования и электронной подписи, которые соответствуют российским стандартами. В частности, шифр оплаты серии КРИПТОН для IBM-совместимых компьютеров широко применяются для защиты данных при передаче по открытым каналам связи.
Московская фирма "АНКАД" недавно получила от Федерального агентства правительственной связи и информации (ФАПСИ) лицензию на деятельность в сфере 116
защиты информации. Лицензия предоставляет право заниматься разработкой, производством и реализацией средств криптографической защиты информации в коммерческом и государственном секторах экономики, включая работы в интересах зарубежных заказчиков. Эта деятельность осуществляется в рамках научно-технического сотрудничества и по согласованию с ФАПСИ.
5. Повышение роли удаленного доступа и глобальных связей в корпоративных сетях
В развитии средств удаленного доступа к ресурсам корпоративной сети можно выделить несколько основных тенденций:
•
Стандартизация. На смену фирменным решениям, отличающимся использованием собственных протоколов передачи данных по телефонным сетям, своих методов аутентификации удаленных пользователей и оригинальными способами предоставления ресурсов центральной сети пришли системы, в которых работает все больше стандартных компонент: протокол передачи данных PPP, джентельментский набор средств аутентификации - с помощью протокола CHAP и систем RADIUS, Kerberos, NovellNDS или MicrosoftDirectoryServices, предоставление информационных ресурсов удаленным пользователям с помощью службы Web или с помощью тех же сервисов, которые работают и в локальной сети. Это процесс облегчает взаимодействие серверов удаленного доступа с клиентами и сетевыми операционными системами, работающими в локальной сети. Хотя до полной стандартизации еще далеко (она, как всегда, является скорее целью, а не состоянием), за последние несколько лет ситуация изменилась коренным образом. Три года назад сервер NetWareConnect 1.0 использовал свою версию протокола PPP, сервер RAS компании Microsoft передавал данные по фирменному протоколу AsynBEUI, а клиентские программы компании Shiva могли связаться только со своим сервером.
•
Повышение скорости доступа. Основные усилия операторов телекоммуникационных сервисов сегодня направлены на преодоление для массовых пользователей барьера в 33.6 Кб/c, накладываемого аналоговыми модемами. Наиболее доступное на сегодня решение - использование сетей ISDN, но с ним конкурируют также новые методы передачи данных по кабельным системам последней мили - технологии х2, Flex56, xDSL.
•
Использование Internet для удешевления междугородного и международного доступа. Схема "местная телефонная сеть - Internet - корпоративная сеть" может резко удешевить доступ по сравнению с использованием схемы "междугородная/ международная телефонная сеть - корпоративная сеть".
•
Интегрированная обработка вызовов от аналоговых и цифровых абонентов в серверах удаленного доступа.
5.1. Многообразие видов и схем удаленного доступа
5.1.1. Обзор сервисов удаленного доступа
Удаленный доступ - очень широкое понятие, которое включает в себя различные типы и варианты взаимодействия компьютеров, сетей и приложений. Если рассматривать все многочисленные схемы взаимодействия, которые обычно относят к удаленному доступу, то всем им присуще использование глобальных каналов или глобальных сетей при взаимодействии. Кроме того, для удаленного доступа, как правило, характерна 117
несимметричность взаимодействия, когда с одной стороны имеется центральная крупная сеть или центральный компьютер, а с другой - отдельный удаленный терминал, компьютер или небольшая сеть, которые хотят получить доступ к информационным ресурсам центральной сети. Количество удаленных от центральной сети узлов и сетей, которым необходим этот доступ, постоянно растет, поэтому современные средства удаленного доступа рассчитаны на поддержку большого количества удаленных клиентов.
Типы взаимодействующих систем
Первые три вида удаленного доступа часто объединяют понятием индивидуального доступа, а схемы доступа сеть-сеть иногда делят на два класса - ROBO и SOHO. Класс ROBO (RegionalOffice/BranchOffice) соответствует случаю подключения к центральной сети сетей средних размеров - сетей региональных подразделений предприятия, а классу SOHO (SmallOffice/HomeOffice) соответствует случай удаленного доступа сетей небольших офисов и домашних сетей.
Типы предоставляемого сервиса
Схемы удаленного доступа могут отличаться также и типом сервиса, который предоставляется удаленному клиенту. Наиболее часто используется удаленный доступ к файлам, базам данных, принтерам, обмен с центральной сетью сообщениями электронной почты или факсами.
Терминальный доступ
Особое место среди всех видов удаленного доступа к компьютеру занимает способ, при котором пользователь получает возможность удаленно работать с компьютером таким же способом, как если бы он управлял им с помощью локально подключенного терминала. В этом режиме он может запускать на выполнение программы на удаленном компьютере и видеть результаты их выполнения. При этом принято подразделять такой способ доступа на терминальный доступ и удаленное управление. Хотя это близкие режимы работы, но в описании продуктов удаленного доступа их не принято объединять в один класс. Обычно под терминальным доступом понимают символьный режим работы пользователя с удаленными многопользовательскими ОС - Unix, VAXVMS, ОС мейнфреймов IBM. В класс удаленного управления включают программы эмуляции графического экрана ОС персональных компьютеров - в первую очередь разных версий Windows.
Если у удаленного пользователя в распоряжении имеется только неинтеллектуальный алфавитно-цифровой терминал (вариант 1 на рисунке 5.1), или же он запускает на своем персональном компьютере программу эмуляции такого терминала (например, Term90 из утилит NortomCommander, или же программу Terminal из утилит Windows 3.1), то это и есть терминальный доступ. Весь протокол взаимодействия верхнего уровня отрабатывает сам пользователь - он набирает на клавиатуре команды управления удаленной ОС и отвечает на ее запросы. Телефонная сеть или сеть Х.25 передает потоки символов между терминалом и компьютером. Для владельца алфавитно-цифрового терминала, например VT-100, этот вид удаленного доступа является единственно возможным.
Однако самый простой вариант терминального доступа требует, чтобы компьютер центрального подразделения предприятия был непосредственно подключен к территориальной сети, с помощью которой осуществляется доступ, то есть к телефонной 119
сети или сети Х.25. Сейчас такое подключение используется все реже, так как в подавляющем числе случаев компьютеры объединяются в локальную сеть, работающую по протоколам Ethernet, TokenRing или FDDI на канальном уровне и IP, IPX, NetBIOS на верхних транспортных уровнях.
Многие производители операционных систем предусмотрели в своих стеках протоколов средства терминального доступа пользователей к компьютерам по сети. Эти средства позволяют пользователю, работающему за компьютером, подключенным к сети, превратить экран своего монитора в эмулятор терминала другого компьютера, также подключенного к сети. Наиболее популярным средством такого типа является протокол telnet стека TCP/IP, получившего свое рождение с рамках операционной системы Unix и с тех пор неразрывно с ней связанного.
В других популярных многопользовательских операционных системах, поддерживающих работу в локальной сети, также имеются протоколы эмуляции терминала по сети, подобные telnet. В локальных сетях SNA это протокол TN3270, в сетях DECnet - протокол LAT.
При удаленном доступе пользователей к компьютерам, работающим в сети под управлением многопользовательских операционных систем, поддерживающих протоколы telnet, LAT или TN3270, можно освободить этих пользователей от необходимости реализовывать на своих компьютерах клиентские части этих протоколов.
Устройство, называемое терминальным сервером, позволяет удаленным пользователям, работающим или непосредственно с алфавитно-цифровыми терминалами, или же эмулирующими их программно на своих персональных компьютерах, получать доступ к любому компьютеру сети, выполняющему серверную часть протокола эмуляции терминала по локальной сети.
На рисунке 5.2 показан пример применения терминального сервера для доступа к компьютерам сети, являющимися серверами telnet. На терминальном сервере работает клиентская часть протокола telnet. Для каждого пользователя, позвонившего на терминальный сервер, запускается своя реализация клиента telnet. Этот клиент принимает через модемное соединение коды нажатия клавиш от терминала или эмулятора терминала пользователя, а затем передает их в соответствии с протоколом telnet по локальной сети в нужный telnet-сервер. Аналогичным образом терминальный сервер передает затем символы, которые нужно отобразить на экране, через модемное соединение удаленному терминалу.
Как видно из описания, терминальный сервер выполняет роль многопользовательского шлюза, который принимает данные по протоколу модемной сессии, а передает их по протоколам локальной сети.
120
Рис. 5.2. Организация терминального доступа с помощью терминального сервера
Аналогичным образом терминальный сервер работает и по другим протоколам эмуляции терминала, подобным LAT или TN3270.
Удаленный узел
В отличие от систем терминального доступа, превращающих компьютер пользователя в эмулятор экрана центрального компьютера, средства поддержки режима удаленного узла (remotenode) делают вызывающую машину (ПК, Macintosh или рабочую станцию Unix) полноправным членом локальной сети. Это достигается за счет того, что на удаленном компьютере работает тот же стек протоколов, что и в компьютерах центральной локальной сети, за исключением протоколов канального и физического уровня. На этом уровне вместо традиционных протоколов Ethernet или TokenRing работают модемные протоколы (физический уровень) и канальные протоколы соединений "точка-точка", такие как SLIP, HDLC или PPP. Эти протоколы используются для передачи по телефонным сетям пакетов сетевого и других протоколов верхних уровней. Таким образом осуществляется полноценная связь удаленного узла с остальными узлами сети (рисунок 5.3).
Сервис удаленного узла обеспечивает этому узлу транспортное соединение с локальной сетью, поэтому на удаленном узле могут использоваться все те сервисы, которые доступны локальным клиентам сети, например, файл-сервис NetWare, сервис telnet или X-Window ОС Unix, администрирование WindowsNT.
121
Рис. 5.3. Режим удаленного узла для маршрутизируемого протокола
Основное отличие удаленного узла от локальных - низкая скорость сетевого обмена - от 9.6 до 28.8 Кб/с по сравнению с 10 Мб/с или 100Мб/с в локальной сети. Такое существенное снижение скорости обмена делает проблематичным работу многих приложений, которые были написаны в расчете на работу по локальной сети. Из-за этого, желательно на удаленном узле использовать приложения, написанные в архитектуре клиент-сервер, которые экономно расходуют полосу пропускания. Неплохо работают на удаленных низкоскоростных связях клиенты SQL-серверов баз данных, которые получают от сервера по сети только найденные записи из базы, а вот клиенты СУБД архитектуры файл-сервер, например, dBase или Clarion, вряд ли смогут нормально работать при схеме удаленного узла, так как они переписывают на клиентский компьютер файлы базы данных, а затем их локально обрабатывают.
Хорошо работают в схеме удаленного узла Internet-браузеры, так как прикладной протокол HTTP, по которому просматривают страницы на Web-серверах, написан специально в расчете на работу по низкоскоростным каналам связи.
|