Файл: Конспект лекций профессиональная образовательная программа.docx

---

Требования к средствам построения защищенных виртуальных сетей (VPN)

Должна осуществлять централизованное управление компонентами VPN.

• 
  должна быть реализована клиент-серверная архитектура, включающая в себя центр управления компонентами VPN;
  
• 
  должно быть реализовано централизованное управление настройками компонент VPN (механизм удаленной настройки);
  
• 
  удаленная настройка должна осуществляться по защищенному каналу с аутентификацией абонентов канала;
  
• 
  должно быть реализовано централизованное распределение криптографических ключей на базе центра сертификации;
  
• 
  должен быть графический интерфейс создания и изменения профилей настройки VPN;
  
• 
  должна быть реализована возможность создания резервной копии конфигурации VPN;
  
• 
  должен быть обеспечен постоянный контроль выполнения функций защиты агентами, установленными на рабочих станциях и серверах VPN.
  

2.3.4. Подсистема администрирования «открытого» контура

Подсистема администрирования «открытого» контура предназначена для настройки прав доступа (далее - ПРД) субъектам «открытого» контура к объектам управления.

В «открытом» контуре должна быть реализована централизованная подсистема администрирования СЗИ «открытого» контура.

Администрирование СЗИ «открытого» контура должно производиться АИБ «открытого» контура с локальной консоли либо удаленно.

В подсистеме администрирования должна быть реализована система агентов для всех АРМ, позволяющая АИБ «открытого» контура в реальном времени получать информацию и осуществлять централизованное управление политикой безопасности системы защиты.

Подсистема администрирования должна обеспечивать:

• 
  установку ПРД и их изменение;
  
• 
  идентификацию и аутентификацию АИБ «открытого» контура при его запросах на доступ;
  
• 
  возможность делегирования прав (т. е. присвоения пользователю ограниченных административных привилегий управления некоторым набором учетных записей);
  
• 
  использование универсальных шаблонов настроек политики безопасности «открытого» контура;
  
• 
  возможность моделирования существующей организационной иерархии и административной структуры «открытого» контура – пользователя «открытого» контура;
  
• 
  возможность блокировки учетной записи пользователя «открытого» контура или её ограничения по времени работы;
  
• 
  возможность доставки информации о нештатных ситуациях и ошибках, возникающих в процессе функционирования механизмов доступа, до АИБ «открытого» контура.
  

---

Контрольные вопросы по теме 2.3.

1. 
   Требования к подсистеме защиты информации от НСД «открытого» контура;
   
2. 
   Требования к подсистеме антивирусной защиты информации «открытого» контура;
   
3. 
   Требования к подсистеме защиты межсетевого взаимодействия «открытого» контура;
   
4. 
   Требования к средствам построения защищенных виртуальных сетей (VPN);
   
5. 
   Требования к подсистеме администрирования «открытого» контура
   

Раздел 3. Организационно-технические меры по реализации основных требований и построению системы информационной безопасности
Тема 3.1. Многоуровневая модель защиты в информационной системе на архитектуре «клиент-сервер»

Одной из базовых задач построения защищенных корпоративных сетей является проблема защиты информации в процессе ее передачи по открытым каналам связи. Использование технологии защищенных виртуальных сетей (Virtual Private Network, VPN) позволяет обеспечить криптозащиту информации при организации защищенных каналов связи или защищенных туннелей между «открытыми» контурами ЛВС взаимодействующих систем. Каждый выделенный виртуальный канал VPN формируется с помощью механизмов тунелирования (инкапсуляции) базового примитива протокола логического уровня корпоративной сети в примитив защищенного протокола в компьютере пользователя или в пограничных серверах удаленного доступа (RAS) провайдера входа в открытую сеть общего пользования. VPN-агенты могут осуществлять функции шифрования/расшифрования, аутентификации, а также контроль целостности сообщения посредством электронной цифровой подписи (ЭЦП) или имитовставки (ИВ).

Как правило, VPN-агенты поддерживают несколько стандартных протоколов для организации защищенных туннелей, которые могут применяться на различных уровнях логической структуры эталонной модели архитектуры ВОС Международной организации МОС. Хотя указанные протоколы могут размещаться на всех уровнях эталонной модели к средствам VPN относят только те, которые полностью прозрачны для сетевых служб и приложений пользователя. Это протоколы защищенных туннелей канального, сетевого и транспортного уровней. Указанные три уровня, которые в терминах модели ВОС образуют логическую структуру транспортной системы области взаимодействия открытых систем, называют также VPN-уровнями. Логическую структуру инфотелекоммуникационной транспортной системы (ИТС) МСС на технологии IP-QoS образуют соответственно уровни TCP/UDP, IP и уровень сетевого интерфейса.

---

Известно, что применение механизмов защиты на фазах установления и/или поддержания сеанса связи вносит дополнительные фазовые (временные), протокольные и потоковые издержки в информационное окружение сети и приводит к ухудшению ее сетевых характеристик [3]. Таким образом, помимо вопросов защиты информационного обмена пользователя интересует также вопрос качества обслуживания и, в частности, вопрос: на сколько медленнее будет работать корпоративная сеть после установки VPN.

Наиболее известным протоколом VPN, работающим над транспортным уровнем, стал протокол Secure Socket Layer (SSL) и его новая открытая реализация Transport Layer Security (TLS). Протоколом SSL/TLS могут воспользоваться любые приложения и любые протоколы прикладного уровня. Однако в приложениях должны быть встроены явные вызовы функций этого протокола. На сетевом и канальном уровнях зависимость приложений от протоколов VPN исчезает совсем. Однако здесь появляется проблема их зависимости от конкретной сетевой технологии. Например, проложить защищенный канал через гетерогенную среду с помощью единого протокола канального уровня невозможно. Работающее на сетевом уровне семейство протоколов безопасности Internet (далее – семейство протоколов IPSec) является компромиссным вариантом. С одной стороны, семейство протоколов IPSec прозрачно для приложений, а с другой, оно может работать практически во всех пакетных IP-сетях.

Следует отметить, что имеются протоколы для реализации защищенного взаимодействия и на прикладном уровне модели OSI. Эти протоколы, как правило, являются дополнениями к различным протоколам прикладного уровня. Например, протокол Secure HTTP (SHTTP) является дополнением по функциям защиты к протоколу передачи гипертекста HTTP, а протокол Secure MIME (S/MIME) - дополнением по защитным функциям к протоколу электронной почты MIME. Прикладные протоколы защиты информационного взаимодействия не относят к протоколам построения защищенных виртуальных сетей, так как они полностью зависят от используемых сервисов и приложений. Протоколы формирования защищенных виртуальных каналов прозрачны для прикладных протоколов защиты. Соответственно применение приложений, реализующих, например, SHTTP или S/MIME, наряду с криптографической защитой на более низком уровне, нисколько не уменьшает, а только увеличивает уровень безопасности.

Для независимости от прикладных протоколов и приложений защищенные виртуальные сети формируются на одном из более низких уровней модели

---

OSI - канальном, сетевом или сеансовом. Канальному (второму) уровню соответствуют такие протоколы реализации VPN, как PPTP, L2F и L2TP, сетевому (третьему) уровню - IPSec, SKIP, а сеансовому (пятому) уровню – SSL/TLS и SOCKS. Чем ниже уровень эталонной модели, на котором реализуется защита, тем она прозрачнее для приложений и незаметнее для пользователей. Однако при снижении этого уровня уменьшается набор реализуемых услуг безопасности и становится сложнее организация управления. Чем выше защитный уровень в соответствии с моделью OSI, тем шире набор услуг безопасности, надежнее контроль доступа и проще конфигурирование системы защиты. Однако в этом случае усиливается зависимость от используемых протоколов обмена и приложений.

В виртуальной сети криптозащита может одновременно выполняться на нескольких уровнях эталонной модели. При этом увеличивается криптостойкость, но по причине снижения общей скорости криптографических преобразований уменьшается пропускная способность виртуальной сети. Поэтому на практике защищенные виртуальные сети формируются на одном уровне модели OSI (канальном, сетевом, транспортном или сеансовом).

Существуют два способа построения защищенных туннелей данных: на уровне локальных сетей и на уровне конечных систем.

Туннели уровня локальных сетей, как правило, прозрачны для рабочих станций. В этом случае рабочие станции отправляют все сообщения "открытым текстом". Шифратор осуществляет выборку пакетов и их кодирование, а дешифратор на противоположном конце канала декодирует сообщения и передает их на сетевой сервер.

Шифрование на уровне конечной системы осуществляется на рабочей станции или сервере. В незашифрованном виде пакеты по сети вообще не передаются. Существуют два вида такой связи: "клиент-клиент" (шифратор и дешифратор устанавливаются на конечных системах, и незашифрованные пакеты отсутствуют вовсе) и "клиент-сеть" (клиент взаимодействует с шифровальной системой сетевого уровня).

Протоколы построения защищенных виртуальных сетей (Virtual Private Network - VNP) могут быть реализованы сетевыми средствами различных категорий:

• 
  серверами удаленного доступа, позволяющими создавать защищенные туннели на канальном уровне эталонной модели сетевого взаимодействия (модели OSI);
  
• 
  маршрутизаторами, которые могут поддерживать протоколы создания защищенных виртуальных сетей на канальном и сетевом уровне модели OSI;
  
• 
  межсетевыми экранами, возможно включающими в свой состав серверы удаленного доступа и позволяющими создавать защищенные виртуальные сети как на канальном и сетевом, так и на сеансовом уровне модели OSI;
  
• 
  специализированным программным обеспечением, позволяющим создавать защищенные виртуальные сети в основном на сетевом и сеансовом уровне модели OSI;
  
• 
  специализированными программно-аппаратными средствами, ориентированными на формирование защищенных туннелей на канальном и сетевом уровне модели OSI.
  

---