Файл: Проектирование защищенной системы видеоконференцсвязи.pdf

На компьютере должны быть установлены компоненты ОС, обеспечивающие работу с протоколами TCP/IP.

1. Подключение ЦУС и СД.

Получение у провайдера два IP-адреса: один для ЦУС и один для маршрутизатора по умолчанию.

Выполнение инициализации ЦУС и СД.

Подключение ЦУС к сетевым коммуникациям.

Список интерфейсов данного криптографического шлюза показан на рисунке 6.

Рисунок 6. Список интерфейсов данного криптографического шлюза

Так мы получаем функционирующий ЦУС и СД. Идентификатор и пароль администратора комплекса на USB Flash-накопителе. Идентификатор и пароль администратора сервера доступа на USB Flash-накопителе.

1. Установка подсистемы управления.

Выполнение установки и запуска подсистемы управления на АРМ администратора комплекса.

Установка агента на сервер БД.

Конфигурирование базы данных журналов, через Конфигуратор БД журналов ЦУС и СД. Указывается пользователь для просмотра журналов.

Запуск программы создания ключевого носителя и создание единого ключевого носителя с заданными параметрами.

Окно конфигуратора показано на рисунке7.

Рисунок 7. Окно конфигуратора

Запуск программы управления агентом и настройка параметров агента.

В результате у нас будет установлена и запущена программа управления ЦУС (ПУ ЦУС). Автоматически созданные объекты, отображаемые в ПУ ЦУС: криптографический шлюз "КШ с ЦУС"; сетевой объект "Любой"; сервисы "Любой TCP", "Любой UDP", "Любой ICMP" и другие стандартные сервисы; временной интервал "Постоянно"; класс трафика "Нормальный". Установленная и запущенная программа управления СД (ПУ СД). Функционирующий агент. Установленная и настроенная программа просмотра журналов (ППЖ).

3. Издание сертификатов

Издание средствами ПУ СД корневого сертификата. При издании сертификата мы используем криптопровайдер "Код Безопасности CSP".

Издание средствами ПУ СД сертификата сервера доступа.

Окно перечня зарегистрированных лицензий показан на рисунке 8.

Рисунок 8. Окно перечня зарегистрированных лицензий

В итоге мы получаем USB Flash-накопитель с ключами центра сертификации. Ключи и сертификат сервера доступа в базе данных СД.

4. Определение пула адресов для АП

Определяем пул адресов для АП.

5. Настройка правил фильтрации СД.

Создадим правила фильтрации для доступа пользователя к корпоративным ресурсам. Окно создания правил фильтрации показан на рисунке 9.

Рисунок 9. Создание правил фильтраций

6. Регистрация удаленного пользователя.

Регистрируем пользователя в ПУ СД. Используя вариант регистрации

пользователя с изданием сертификата. Способом ввода регистрационной информации — вручную. При издании сертификата используем криптопровайдер "Код Безопасности CSP".

Предоставляем пользователю права доступа. Для этого мы сформировали индивидуальный список правил фильтрации.

В результате у нас есть объект "Пользователь" с предоставленными правами, отображаемый в ПУ СД и USB Flash-накопитель с ключами пользователя и сертификатами пользователя и ЦС. Контейнер с ключами пользователя защищенный паролем.

7. Установка и настройка АП.

Выполним установку АП на удаленную рабочую станцию.

Регистрируем сертификаты на АП. Для этого используем USB Flash-накопитель с ключами пользователя и сертификатами пользователя и ЦС созданные ранее.

Проверяем параметры сетевого подключения.

В итоге это нам дает функционирующий и настроенный АП.

8. Установка соединения АП с сервером доступа.

Устанавливаем соединение с сервером доступа. Перед подключением к серверу доступа подсоединяем к считывателю USB Flash-накопитель с ключами пользователя и сертификатами пользователя и ЦС созданные ранее.

Это нам дает соединение АП с сервером доступа.

Пройдя организацию удаленного доступа, мы получаем доступ с абонентского пункта к ресурсам сети, защищаемым ЦУС.

2.3 Контрольный пример реализации.

Видеоконференцсвязь АО «Изумруд» построена на базе программно-аппаратного комплекса (далее – ПАК) VIDEOMOST Web. Физически архитектура КС ВКС представляет собой территориально разнесенные, изолированные друг от друга площадки. Связь между площадками осуществляется через сети общего пользования без использования каналообразующего оборудования. ВКС осуществляется путем подключения пользователей из филиалов к серверу ВКС VIDEOMOST Web расположенному в центре.

КС ВКС Заказчика функционирует следующим образом: локальные узлы доступа установлены на площадках Заказчика и функционируют под управлением ЦУС. Администратор производит выпуск пар открытых и закрытых ключей на ЦУС и осуществляет централизованное распределение открытых и закрытых ключей на криптографические шлюзы (далее – КШ) и мобильные узлы доступа. Локальные узлы доступа и мобильные узлы доступа, получив пару открытых и закрытых ключей, устанавливают защищенное соединение с центральным узлом доступа к ВКС, установленными на центральной площадке. После установки соединения поднимается криптографический тоннель с использованием проприетарного защищенного протокола. Весь сетевой траффик, поступающий до сервера ВКС, на своем пути проходит процедуры шифрования и расшифрования при пересечении при прохождении через узлы доступа.

Техническое решение, методика реализации

Проверка прохождения моделируемого рабочего трафика через VPN-канал между АПКШ «Континент» центрального узла доступа и локального узла доступа.

Проверка автоматической загрузки КШ АПКШ «Континент».

Проверка механизма аутентификации локального администратора АПКШ «Континент».

Проверка работоспособности схемы «горячего» резервирования АПКШ «Континент» кластера КШ с СД Головного предприятия.

Проверка возможности оповещения администратора о событиях безопасности в режиме реального времени, регистрируемых АПКШ «Континент».

Проверка работоспособности защищенного удаленного доступа «Континент-АП».

Аппаратное тестирование сетевого устройства

Аппаратное тестирование может выполняться в процессе установки ПО сетевого устройства, в ходе инициализации, а также при настройке параметров средствами локального управления сетевым устройством.

Для аппаратного тестирования применяется набор тестов, с помощью которых проверяются:

• жесткий диск;

• процессор;

• оперативная память;

• память ПАК "Соболь";

• датчик случайных чисел ПАК "Соболь";

• сетевые интерфейсы.

Для запуска теста:

1. Введите в главном локальном меню номер команды "Тестирование" и нажмите клавишу <Enter>.

На экране появится меню выбора теста (Рисунок10).

Рисунок 10. Меню выбора теста

• Команда "Перезагрузка" используется для выхода из режима тестирования и продолжения процедуры установки ПО. В режиме инициализации сетевого устройства команда имеет вид: "Выход".

• Команда "Switch to english" используется для отображения данного меню на английском языке. При отображении меню на английском языке команда имеет вид: "Переключиться на русский". В режиме инициализации сетевого устройства команда не используется.

2. Введите номер команды требуемого теста и нажмите клавишу <Enter>.

В зависимости от выбранного теста на экране появятся инструкции по выполнению дополнительных действий для проведения теста.

Таблица 5.

3. Дождитесь сообщения о завершении теста и нажмите клавишу <Enter>. Будет выполнен возврат в меню выбора теста.

4. Для выхода из режима тестирования введите номер команды "Перезагрузка" и нажмите клавишу <Enter>.

Заключение

Российский программный продукт VideoMost для видеоконференцсвязи отечественного разработчика Spirit вошел в тройку лидеров поставщиков ВКС-решений для России по итогам исследования, проведенного независимым аналитическим центром TAdviser.

Соответствующие программные и аппаратные системы, предлагаемые сегодня на российском рынке десятком различных поставщиков, оценивались экспертами комплексно, с учетом функциональных возможностей продуктов и их совокупной стоимости владения. В результате VideoMost оказался в первой тройке вместе с Polycom и Cisco.

Среди достоинств своего продукта отмечено высокое качество передачи голоса и видео во время конференции, легкость интеграции в уже существующую в организации систему ВКС, поддержку огромного перечня ВКС-оборудования благодаря встроенным современным мировым стандартам связи и открытым протоколам, способность интегрироваться с отечественными СЭД и средствами шифрования, соответствующими ГОСТ, возможность масштабирования, простоту в управлении и администрировании, а также недорогую стоимость.

Последующая интеграция системы ВКС в криптографическую сеть под управлением аппаратно-программного комплекса шифрования «Континент» позволила объединить через интернет территориально распределенные локальные сети филиалов в единую сеть VPN. Такое решение было обусловлено рядом преимуществ АПКШ «Континент». В их числе - высокая производительность платформ, возможность поддержки защиты самых современных коммуникационных приложений в сочетании с простотой внедрения и эксплуатации. Важным фактором выбора стало наличие у АПКШ «Континент» всех необходимых сертификатов ФСБ и ФСТЭК России. В настоящее время продукты семейства «Континент» обеспечивают решение самых сложных задач защиты корпоративных сетей крупнейших территориально распределенных государственных и коммерческих структур России.

Реализованные в АПКШ «Континент» обнаружение и блокировка трафика сетевых приложений значительно повышают эффективность фильтрации тех из них, что не зависят от конкретного сетевого порта. Кроме того, созданные администратором правила фильтрации трафика на основе команд протоколов HTTP(S) и FTP обеспечивают эффективность контроля доступа пользователей в интернет, а интегрированный детектор атак при обнаружении угрозы даст межсетевому экрану на криптошлюзе команду на создание временного правила для фильтрации трафика источника атаки, позволяющее эффективно отражать нежелательный трафик, направленный на сеть предприятия.