Файл: Проектирование защищенной системы видеоконференцсвязи.pdf
Добавлен: 18.06.2023
Просмотров: 560
Скачиваний: 17
Сертификат: ФСТЭК России №1263/1 от 5 июля 2007 г. соответствует требованиям технических условий ТУ АМСЯ-АМТСП-ТУМСЭ5510 и руководящего документа "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1997) - по 4 классу защищенности.
АКПШ Континент- средство межсетевого экранирования и построения отказоустойчивых виртуальных частных сетей (VPN) на основе глобальных сетей общего пользования, использующих протоколы семейства TCP/IP.
Преимущества
- Высокая надежность и отказоустойчивость
- Простота внедрения и обслуживания
- Удобство управления и поддержки
- Высокая пропускная способность
- Высокая масштабируемость
- Поддержка всех современных протоколов и технологий
Технические характеристики:
- объединение через Интернет территориально распределенных локальных сетей предприятия в единую сеть VPN;
- возможность удаленного защищенного доступа к информационным ресурсами предприятия для мобильных пользователей, посредством VPN соединения;
- разделение прав доступа между информационными подсистемами организации на сетевом уровне;
- сегментирование ЛВС организации;
- организация защищенного взаимодействия со сторонними организациями;
- безопасное удаленное управление маршрутизаторами.
Сертификат: ФСТЭК России №2648 от 31 мая 2012 г. на соответствие требованиям РД по 3-му уровню контроля на отсутствие НДВ и 3-му классу защищенности для межсетевых экранов.
2. Практическая часть
Для решения поставленной задачи был выбран Аппаратно-программный комплекс шифрования «Континент», В ходе проведения работ, для повышения производительности, будет заменено серверное и телекоммуникационное оборудование на более современное и универсальное, а также заменить программное обеспечение на всем оборудовании входящим в состав сети видеоконференцсвязи на актуальные версии. Для обеспечения программной безопасности.
Собственный сервер для ВКС- позволит принимать видеопотоки, поступающие от конечных устройств (терминалов), и производит все необходимые операции для формирования изображений, которые будут рассылаться на другие терминалы. Установка собственного сервера позволит исключить третьих лиц при проведении видеоконференцсвязи. Что значительно повысит безопасность.
2.1 Разработка общей структуры.
Физически сеть представляет собой территориально разнесенные изолированные друг от друга площадки. Связь между площадками осуществляется через сети общего пользования без использования каналообразующего оборудования. Видеоконференцсвязь осуществляется путем подключения пользователей из филиалов к серверу видеоконференцсвязи, расположенному в центре.
Криптографическая сеть видеоконференцсвязи должна обеспечивать выполнение требований законодательства Российской Федерации в части защиты конфиденциальной информации.
Ввод комплекса в эксплуатацию осуществляется в следующем порядке:
- Инициализация и подключение ЦУС.
- Инициализация и настройка параметров ПАК «Соболь» на АРМ администратора комплекса.
- Установка подсистемы управления.
- Постановка на контроль программных модулей, подлежащих контролю целостности.
- Конфигурирование базы данных журналов.
- Запуск подсистемы управления.
- Настройка агента.
- Регистрация сетевых устройств, входящий в комплекс.
- Запись конфигураций и ключей сетевых устройств на отчуждаемые носители.
- Инициализация и подключение зарегистрированных сетевых устройств.
- Ввод в эксплуатацию инициализированных сетевых устройств.
- Настройка комплекса.
Если на пути зашифрованного трафика находится межсетевые экраны или другое оборудование, осуществляющее фильтрацию IP-пакетов, необходимо создать для них правила, решающие прохождение служебных пакетов комплекса.
Программная часть аппаратно-программного комплекса шифрования «Континент» является одной из немногих российских сертифицированных программ с высокой производительностью (в режиме VPN — 800 Мбит/сек). Входит в число наиболее популярных VPN-продуктов в России.
КК реализует следующие функции:
- защищенная коммутация удаленных сегментов сети;
- криптографическое преобразование передаваемых и принимаемых данных Ethernet-кадров;
- имитозащита Ethernet-кадров, циркулирующих в VPN;
- оповещение ЦУС КШ о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени;
- регистрация событий, связанных с работой КК;
- контроль целостности программного обеспечения КК;
- работа в режиме кластера высокой доступности.
Комплекс удовлетворяет требованиям ФСТЭК к межсетевым экранам 2 класса.
В состав Комплекса входит система обнаружения вторжений (атак), соответствующая требованиям ФСТЭК к СОВ 3 класса и требованиям ФСБ к СОА класса «В».
Есть возможность обмена информацией по защищенному каналу между подсетями, защищенными разными КШ и использующих одинаковое адресное пространство.
Поддержка win8 x86/x64
Поддержка стандарта хеширования ГОСТ Р 34.11-2012
Возможность подключения абонентских пунктов к серверу доступа:
- подключение по сетевому имени;
- использование протокола HTTPS;
- авторизация на прокси-сервере (HTTP).
ПУ СД может назначить пользователям абонентских пунктов статические IP-адреса.
Защита КШ от DoS-атак типа SYN-флуд.
Идентификация и аутентификация пользователей, работающих на компьютерах в защищаемой сети КШ.
2.2 Внедрение программного и аппаратного обеспечения
2.2.1. Внедрение аппаратного обеспечения.
Основным назначением криптографическая сеть видеоконференцсвязи является обеспечение удаленного эффективного взаимодействия между территориально распределенными подразделениями предприятия по защищенной сети передачи данных с использованием специализированного оборудования криптозащиты, а также подключение мобильных клиентов к системе ВКС через защищенную сеть.
Применяемые средства криптографической защиты информации (СКЗИ), реализуемые в рамках КС ВКС, обладают свойствами модульности, масштабируемости и совместимости с аппаратными и программными средствами, уже эксплуатируемыми на площадке.
В состав криптографической системы видеоконференцсвязи входят следующие компоненты:
- центр управления сетью (ЦУС);
- центральный узел доступа к ВКС;
- средство регистрации и учета;
- локальный узел доступа к ВКС;
- мобильный узел доступа к ВКС.
ЦУС предназначен для управления узлами доступа, организации защищенного взаимодействия между узлами доступа, управления конфигурациями и ключами узлов доступа.
Центральный узел доступа к ВКС предназначен для построения защищенных каналов связи с локальными и мобильными узлами доступа, а также для управления конфигурациями и ключами мобильных узлов доступа к КС ВКС.
Средство регистрации и учета предназначен для централизованного сбора и анализа событий, поступающих с ЦУС, резервирования конфигурации и оповещения уполномоченных лиц о событиях информационной безопасности.
Локальный узел доступа предназначен для построения защищенного канала связи удаленной площадки с центральным узлом доступа.
Мобильный узел доступа предназначен для организации защищенного канала связи мобильной бригады.
СКЗИ, используемые в подсистемах КС ВКС, обеспечивают возможность централизованного управления. Управления СКЗИ осуществляется с использованием автоматизированного рабочего места администратора безопасности.
Взаимодействие между программно-аппаратными с использованием стека протоколов TCP/IP.
На головном предприятии в выделенной серверной комнате и в кабинете администратора сети устанавливаем закупаемый комплект продукции, входящий в аппаратно-программный комплекс «Континент».
Схема взаимодействия компонентов сети обозначена на рисунке 4.
Рисунок 4. Аппаратная архитектура
Технические характеристики устанавливаемого оборудования для криптографической сети видеоконференцсвязи на головном предприятии и в его филиалах, находящихся в различных регионах России приведены в таблице 2, таблице 3 и таблице 4.
Технические характеристики.
Таблица 2
|
МОДЕЛЬ |
IPC-10 |
IPC-100 |
IPC-1000 |
||
|---|---|---|---|---|---|
|
Форм-фактор |
Mini-ITX |
1U |
2U |
||
|
ПРОИЗВОДИТЕЛЬНОСТЬ |
|||||
|
Пропускная способность VPN, мбит/с |
до 10 |
до 300 |
до 950 |
||
|
Пропускная способность L2VPN (для крипто-коммутатора), мбит/с |
до 10 |
до 300 |
до 950 |
||
|
Пропускная способностьМЭ, мбит/с |
до 100 |
до 400 |
до 1000 |
||
|
Максимальное количество конкурирующих keep-state сессий |
5 000 |
250 000 |
1 000 000 |
||
|
Пропускная способность детектора атак на 1 интерфейс, мбит/с |
до 10 |
до 260 |
до 600 |
||
|
Производительность Сервера Доступа (количество одновременных подключений Континент АП) |
не поддерживается |
до 500 |
до 1000 |
||
|
Производительность ЦУС (количество КШ под управлением ЦУС) |
не поддерживается |
до 500 |
до 3000 |
||
|
КОНФИГУРАЦИЯ СЕТЕВЫХ ИНТЕРФЕЙСОВ |
|||||
|
Общее количество сетевых интерфейсов |
3x Ethernet |
8x Gigabit Ethernet |
10x Gigabit Ethernet |
||
|
Интерфейсы RJ-45 (медь UTP) |
3x Ethernet 10/100 |
6x Ethernet 10/100/1000 |
10x Ethernet 10/100/1000 |
||
|
Интерфейсы оптические |
нет |
2x 1000BASE-X SFP |
нет |
||
|
Подключение внешнего 3G USB модема |
да |
нет |
нет |
||
|
Порт RS232 для подключения Dial-UP модема |
да |
да |
нет |
||
|
ОТКАЗОУСТОЙЧИВОСТЬ И НАДЕЖНОСТЬ |
|||||
|
Режим кластера высокой доступности (горячее резервирование) |
Нет |
Да |
|||
|
Блок питания |
Внешний адаптер 19V 40W |
1 х 270W |
2 х 680W с горячей заменой |
||
Технические характеристики DGS-1210-28X/ME
Таблица 3
|
Характеристика |
Параметры |
|
Тип устройства |
коммутатор (switch) |
|
Количество портов коммутатора |
24 x FastEthernet 10/100 Мбит/сек |
|
Дополнительные порты |
24 порта 10/100/1000Base-T 4 порта 10GBase-X SFP+ Автоопределение MDI/MDIX для всех портов на основе витой пары |
|
Внутренняя пропускная способность |
128 Гбит/с |
|
Управляемый |
Да |
Технические характеристики MikroTik RB2011iLS-IN
Таблица 4
|
Характеристика |
Параметры |
|
Тип устройства |
Wi-Fi роутер |
|
Стандарт беспроводной связи |
Auto MDI/MDIX, Power Over Ethernet |
|
Коммутатор |
5 x Ethernet 10/100 Мбит/сек, 5 x Ethernet 10/100/1000 Мбит/сек, 1 x SFP |
|
Маршрутизатор |
FireWall, NAT, DHCP, DNS, IGMPv2, Статическая маршрутизация |
|
Объем оперативной памяти |
64 Мб |
|
Дополнительная информация |
Процессор Atheros 74K 600 МГц, 600MHz; 5 портов 10/100/1000 Ethernet |
2.2.2. Внедрение программного обеспечения.
Программа предназначена для объединения через Интернет локальных сетей предприятия в единую сеть VPN. Поддерживает подключение удаленных и мобильных пользователей к VPN по защищенному каналу, разделение доступа между информационными подсистемами организации, безопасное удаленное управление маршрутизаторами. Может использоваться для организации защищенного взаимодействия со сторонними организациями.
Схема программной архитектуры представлена на рисунке 5.
Рисунок 5. Программная архитектура
В подсистему управления комплексом входят следующие компоненты:
- программа управления ЦУС;
- агент ЦУС и СД;
- программа создания ключевого носителя для агента ЦУС и СД;
- программа управления СД;
- конфигуратор БД журналов ЦУС и СД;
- программа просмотра журналов ЦУС и СД;
- программа просмотра отчетов ЦУС;
- агент решений базы решающих правил СОВ;
- агент Роскомнадзора;
- программа копирования ключей.
Регистрационные журналы комплекса хранятся в базе на сервере СУБД.