Применение ПАК ViPNet Coordinator HW

1. Применение ПАК ViPNet Coordinator HW. Применение ПАК ViPNet Coordinator HW в общей инфраструктуре решений ViPNet обеспечивает эффективную реализацию множества сценариев защиты информации, включая: • межсетевые взаимодействия; • защищенный доступ удаленных и мобильных пользователей; О защиту беспроводных сетей; • защиту мультисервисных сетей (включая IP-телефонию и видеоконференцсвязь); • защиту платежных систем и систем управления технологическими процессами в производстве и на транспорте; • разграничение доступа к информации в локальных сетях; • а также любые комбинации перечисленных выше сценариев. Сертификация по требованиям ФСБ РФ: «Программно-аппаратный комплекс ViPNet Coordinator HW» (в модификациях HW100/ HW1000/HW2000/HW-VPNM) получил сертификат соответствия ФСБ России № СФ/124-1970 от 12.09.2012 г. по требованиям к СКЗИ класса КСЗ. «Программно-аппаратный комплекс ViPNet Coordinator HW» (модификации ViPNet Coordinator HW100 (типы А, В, C), ViPNet Coordinator HW1000, ViPNet Coordinator HW2000, ViPNet Coordinator HW-VPNM) получил сертификат соответствия ФСБ России № СФ/515-1530 от 04.10.2010 г. по требованиям к устройствам типа межсетевые экраны по 4-му классу защищенности и может использоваться для защиты информации от несанкционированного доступа в информационно-телекоммуникационных системах органов государственной власти Российской Федерации. Программно-аппаратный комплекс ViPNet Coordinator HW (модификации HW100/1000/VPNM) получил сертификат соответствия ФСТЭК России № 2353 от 26.05.2011 г. по требованиям к устройствам типа межсетевые экраны по 3-му классу и 3-му уровню контроля отсутствия недекларированных возможностей. По совокупности требований ПАК ViPNet Coordinator HW можно использовать при создании автоматизированных систем до уровня Шив защите информационных систем обработки персональных данных до 1-го класса включительно. Все продукты серии ViPNet Coordinator HW регулярно проходят сертификацию в системах ФСБ и ФСТЭК. Актуальную информацию о сертификатах можно получить на сайте компании www.infotecs.ru. 1.1. Функциональные возможности. В ЦУСе ПАКи Coordinator HW регистрируются в отдельной прикладной задаче («HW100», «HW1000» -и др.), которая может включать в себя функциональные возможности, рассмотренные в этой главе. Сервер-маршрутизатор. В соответствии с логикой построения виртуальных защищенных сетей ViPNet абонентские пункты (АП) регистрируются на координаторе. Все координаторы в обязательном порядке являются серверами-маршрутизаторами (СМ). Нельзя иметь в сети координатор, не зарегистрированный как СМ. В свою очередь, АП можно зарегистрировать только за координатором. Через этот координатор будет проходить почтовая информация каждого АП при взаимодействии с другими СУ, а также управляющая информация ЦУСа. Таким образом, координаторы работают как специализированные почтовые серверы. Между координаторами в ЦУСе задаются следующие виды логической топологии сети ViPNet: • полносвязная топология - управляющая и почтовая информация будет передаваться от координатора к координатору по кратчайшему маршруту; • специально назначенный маршрут - управляющая и почтовая информация будет передаваться от координатора к координатору по заранее определенному маршруту, необязательно кратчайшему. Задание в ЦУСе связей между АП определяет, с какими другими АП будет обмениваться информацией данный сетевой узел. При организации взаимодействия между двумя различными виртуальными сетями ViPNet в ЦУСах каждой из сетей выбирается по одному координатору, через которые будет осуществляться межсетевой обмен. Такие координаторы называются шлюзовыми. В координаторе функцию сервера-маршрутизатора реализует транспортный модуль MFTP, который работает в режиме сервера. В этом случае передача конвертов осуществляется в соответствии с таблицами маршрутизации. Если конверт многоадресный, то он разделяется на части, соответствующие адресам назначения. При поступлении конверта на координатор транспортный модуль (в зависимости от маршрутных таблиц, заданных в ЦУС) либо начинает устанавливать соединение своего координатора с другим координатором или своим АП (по умолчанию эта настройка действует при отправке конверта на другой координатор), либо ожидает, когда с ним установит соединение другая сторона (по умолчанию эта настройка работает при наличии конвертов для АП). В программе может быть задан период опроса иных объектов независимо от наличия для них конвертов. При разрывах соединений передача информации всегда продолжается с точки разрыва, что особенно важно на коммутируемых каналах, для экономии средств и обеспечения максимально возможной скорости передачи пакетов. Сервер IP-адресов. Координаторы с функцией «Сервер IP-адресов» хранят информацию об IP-адресах клиентов. При загрузке любой компьютер с установленным на нем ПО ViPNet Client (АП) сообщает свой IP-адрес своему серверу IP-адресов и получает от него список IP-адресов всех включенных в данный момент сетевых узлов ViPNet, с которыми связан данный АП. По умолчанию на АП выбирается работа с сервером IР-адресов, на котором данный АП зарегистрирован в ЦУСе. Периодически (примерно раз в 5 минут), а также при изменении своего IP-адреса АП сообщает на свой координатор информацию о себе. При отключении компьютера от сети также посылается информация об этом на координатор. Аналогично сами координаторы тоже обмениваются между собой информацией о собственном включении и отключении. После того как АП узнают о состоянии друг друга и текущих IP-адресах, весь информационный обмен между ними начинает идти напрямую (если между ними нет межсетевых экранов). Сервер IP-адресов работает следующим образом: • при появлении новой информации о каком-либо подчиненном АП координатор с функцией сервера IP-адресов рассылает ее всем другим координаторам своей сети и подключенным к нему в данный момент абонентским пунктам; • при появлении новой информации с других серверов об их АП высылает эту информацию своим включенным АП; • при отсутствии информации о каком-либо своем АП более 6 минут считает этот АП отключившимся и рассылает эту информацию; • если данный координатор взаимодействует с другой сетью, то высылает на ее шлюзовой координатор информацию об изменении состояния всех объектов своей сети, связанных с объектами другой сети ViPNet. Получив аналогичную информацию из другой сети, координатор рассылает ее на все координаторы своей сети, а также на «собственные» АП, включенные на тот момент и связанные с объектами другой сети. В ЦУС могут быть заданы связи АП и с другими координаторами, в числе которых могут быть координаторы с функцией «Сервер IP-адресов». Это означает, что данный АП при необходимости может выбрать в качестве сервера IP-адресов любой другой координатор, с которым ему разрешено связываться. ПАК будет выполнять функции сервера IP-адресов, если он зарегистрирован в ЦУСе (прикладная задача «HW100, HW1000 и др.»). Межсетевой экран. Межсетевой экран - это комплекс аппаратных или программных средств, который разграничивает доступ между сетями с различными требованиями по обеспечению безопасности. Координатор с функцией межсетевого экрана устанавливается в месте соединения двух и более сетей и фильтрует весь входящий и исходящий трафик, пропуская только разрешенные пакеты. В самом распространенном случае межсетевой экран устанавливается на границе между локальной (корпоративной) сетью и Интернетом. Межсетевой экран осуществляет перехват и фильтрацию IP- пакетов, проходящих через каждый сетевой интерфейс ПАКа. Это позволяет защищать корпоративную сеть от несанкционированного доступа из Интернета или из другой локальной сети, а также контролировать и регулировать доступ пользователей внутренней сети к ресурсам общедоступной сети. В то же время межсетевые экраны могут устанавливаться и внутри корпоративных сетей для ограничения доступа пользователей к особо важным локальным сетевым ресурсам. Координатор с функцией межсетевого экрана, установленный на границе сетей, выполняет задачу трансляции адресов (NAT) как для VPN-соединений, так и для открытого трафика между узлами ViPNet в сторону каждой из сетей. ViPNet Coordinator производит проксирование всего VPN трафика, для проходящего через него трафика в сторону других VPN-узлов ПАК ViPNet Coordinator HW производит замену адреса отправителя на адрес того из своих сетевых интерфейсов, с которого будет уходить пакет. Антиспуфинг. Спуфинг (Spoofing) - это подделка исходящего IP-адреса. Спуфинг может быть использован злоумышленником для обхода настроек межсетевых экранов, а также для организации DoS-атак по отношению к третьим лицам. Примечание. Подробно механизм спуфинг-атак и способы их предотвращения описаны в RFC-2827 и RFC-3013. Общий смысл антиспуфинга заключается в запрете приема пакетов с адресов, на которые запрос не отправлялся. Для этого могут применяться как специальные программные средства, так и точное конфигурирование сети (четкое указание диапазонов IP-адресов и исключение возможности отправки пакетов в Интернет от пользователей с несуществующими IP-адресами). Для борьбы со спуфинг-атаками следует: • скорректировать параметры пользователей таким образом, чтобы исключить отправку пакетов в Интернет от пользователей с несуществующими IP-адресами. Для этого не нужно указывать в параметрах пользователя значение «апу» (любой) для IP-адреса источника; • четко указывать диапазоны IP-адресов, соответствующие реальной конфигурации вашей сети. Аптиспуфинг работает только для открытого трафика. Открытые пакеты сначала проходят через механизм антиспуфинга, а затем уже попадают на обработку правилами фильтрации пакетов и правилами режимов. Механизм антиспуфинга, реализованный в ПАК ViPNet, позволяет задать для каждого сетевого интерфейса диапазоны IP-адресов, пакеты от которых допустимы на данном интерфейсе. При этом пакеты, которые не попадают в допустимый диапазон, будут блокироваться. Для обеспечения лучшей безопасности сети рекомендуется, чтобы на ViPNet-координаторе были активированы средства антиспуфинга. По умолчанию антиспуфинг отключен. Сервер NAT - принципы трансляции адресов. Понятие NAT ViPNet Coordinator поддерживает технологию трансляции сетевых адресов (NAT - Network Address Translation). NAT - технология, позволяющая преобразовывать IP-адреса, использующиеся в одной сети, в адреса, использующиеся в другой. При этом одна сеть будет называться внутренней сетью, другая - внешней. Преобразование адресов посредством NAT может производиться маршрутизатором или межсетевым экраном с поддержкой NAT. Существуют три базовые концепции механизма трансляции адресов: • статический NAT (SNAT - Static Network Address Translation) - статическое преобразование сетевых адресов, суть механизма которого состоит в замене адреса источника (source address) при прохождении пакета в одну сторону и обратной замене адреса назначения (destination address) в ответном пакете. В частном случае это представляет собой отображение незарегистрированного IP-адреса на зарегистрированный IP- адрес на основании один к одному. Особенно полезно, когда устройство должно быть доступным снаружи сети (например, публичные ресурсы сети, как то веб-сервер и т. п.); • динамический NAT - отображает незарегистрированный IP- адрес на зарегистрированный адрес от группы зарегистрированных IP-адресов. Динамический NAT также устанавливает непосредственное соответствие между незарегистрированным и зарегистрированным адресами, но соответствие может меняться в зависимости от зарегистрированного адреса, доступного в пуле адресов, во время коммуникации; • перегруженный NAT (NAT Overload, NAPT, PAT, он же Masquerading - маскарадинг) - широко распространенная форма динамического NAT, который транслирует несколько незарегистрированных адресов в единственный зарегистрированный IP-адрес, используя различные порты. Известен также как PAT (Port Address Translation), что более соответствует процессам, происходящим в сети с РАТ, - каждый компьютер в частной сети транслируется в тот же самый адрес, но с различным номером порта. Основными преимуществами механизма трансляции адресов являются: • экономия IP-адресов (актуально при использовании протокола IP v4); • возможность предотвратить обращение снаружи ко внутренним узлам, оставляя возможность обращения изнутри наружу; • возможность скрыть внутреннюю структуру локальной сети, а также определенные внутренние сервисы внутренних уз- лов/серверов (порты). Не имея информации о закрытом адресном пространстве локальной сети, становится практически невозможным напрямую атаковать тот или иной узел локальной сети. В то же время не все протоколы могут беспрепятственно проходить через устройство с NAT без специальных методов. Одним из решений этой проблемы является NAT Traversal - набор средств, позволяющий сетевым приложениям определять трансляцию адресов и автоматически настраиваться для успешного взаимодействия с удаленными сетевыми приложениями через NAT. Реализация NAT в ПО ViPNet Coordinator. В ПО ViPNet Coordinator преобразование сетевых адресов (NAT) выполняется для любых IP-протоколов. Однако для всех протоколов, кроме TCP, UDP и ICMP, выполняется частичная трансляция (см. ниже). ПО ViPNet Coordinator может производить трансляцию двух типов - статическое преобразование сетевых адресов (SNAT) и одну из форм динамической трансляции - так называемый «перегруженный» NAT (NAT Overload), она же PAT (Port Address Translation) или маскарадинг (Masquerading). Статическая и динамическая трансляции адресов производятся только при настройках соответствующих правил трансляции на ViPNet-координаторе. Для обеспечения возможности работы FTP-клиентов в активном режиме ViPNet Coordinator производит также трансляцию сетевых адресов на прикладном уровне для протокола FTP в автоматическом режиме, без каких-либо дополнительных настроек правил трансляции. Механизм статической трансляции сетевых адресов с участием ПО ViPNet Coordinator выглядит следующим образом. При поступлении на внешний сетевой интерфейс координатора из Интернета (или другой сети, поддерживающей IP-протокол) IP-пакета, для которого необходимо осуществить преобразование, ПАК ViPNet перехватывает этот пакет и заменяет в нем публичный адрес и, при необходимости, порт получателя пакета на частный адрес и/или порт узла локальной сети, которому адресован пакет. Затем пакет передается через внутренний сетевой интерфейс узлу локальной сети, которому адресован пакет. Согласно правилам NAT, публичным адресом получателя пакета является адрес внешнего сетевого интерфейса координатора, обеспечивающего доступ в глобальную сеть. При прохождении ответных пакетов ViPNet Coordinator производит обратную замену указанных параметров. Механизм динамической трансляции сетевых адресов с участием ПО ViPNet Coordinator выглядит следующим образом: В момент отправки IP-пакета из локальной сети в сеть Интернет (или другую глобальную сеть) координатор перехватывает этот пакет и преобразует в нем адрес и порт отправителя пакета для протоколов TCP и UDP. Для пакетов ICMP-протокола преобразуется адрес отправителя, остальные параметры запоминаются. Частный адрес отправителя пакета подменяется публичным адресом внешнего сетевого интерфейса координатора. Значения номеров портов отправителя пакета (для TCP и UDP) при их преобразовании и сохраненные параметры (для ICMP) имеют уникальные значения в рамках всех исходящих IP-соединений для внешнего сетевого интерфейса координатора. Эти уникальные значения координатор сохраняет в памяти (во временной таблице трансляции) для последующего корректного преобразования ответных пакетов из глобальной сети. В момент передачи ответного IP-пакета координатор принимает этот пакет на свой внешний сетевой интерфейс и преобразует в нем адрес получателя пакета (фактический свой публичный IP-адрес) на частный адрес узла локальной сети, которому адресован ответный пакет. Обратное преобразование портов происходит на основании сохраненной координатором информации об уникальных номерах портов, присвоенных в исходящих пакетах (для TCP и UDP) и сохраненных в памяти параметров в исходящих пакетах (для ICMP). Номера портов (для TCP и UDP) преобразуются в свои истинные значения. После процедуры преобразования ответные пакеты передаются через внутренний сетевой интерфейс получателю - узлу локальной сети. Принципы туннелирования. Для передачи открытого трафика локальной сети узлам ViPNet или незащищенным компьютерам, находящимся за координаторами, координатор может выполнять туннелирование (шифрование и упаковку в UDP-пакет). В ЦУСе для такого координатора должно быть задано максимальное количество адресов, которое может туннелироваться данным Координатором. Туннелироваться может трафик устройств, находящихся как, условно говоря, снаружи, так и внутри границы между разными сетями. При этом происходит трансляция адресов (NAT) - передача закрытого трафика производится от имени адреса интерфейса координатора, с которого уходит этот трафик. В случае если узел ViPNet находится в одной подсети (в одном широковещательном домене) с другим узлом, туннелируемым координатором, то взаимодействие этих двух узлов друг с другом происходит напрямую, без шифрования трафика. Возможна ситуация, когда частные IP-адреса удаленных локальных сетей, взаимодействующих друг с другом посредством туннелей, пересекаются. Например, адреса удаленных друг от друга локальных сетей с номерами 192.168.1.0/24 и 192.168.1.0/25 пересекаются. В этом случае взаимодействие может осуществляться по виртуальным адресам, которые будет назначать координатор. В расшифрованных пакетах для/от туннелируемых компьютеров адрес отправителя всегда заменяется на тот адрес (реальный или виртуальный), под которым отправитель видится на сетевом узле, расшифровавшем этот пакет. Списки IP-адресов, трафик с которых необходимо туннелировать, задаются в виде диапазонов и отдельных значений в ЦУС, или непосредственно на объектах виртуальной сети - на АП и координаторах. Пакеты, не подлежащие защите, фильтруются в соответствии с заданными настройками. Для туннелируемых пакетов также могут быть настроены необходимые фильтры. Использование ViPNet-координатора для туннелирования целесообразно в случае существования в локальной сети незащищенных узлов, осуществляющих обмен трафиком с другими узлами - как защищенными, так и незащищенными. Открытыми узлами называются узлы, с которыми обмен информацией происходит в незашифрованном виде. Сервер Открытого Интернета. Если в организации, согласно внутренней политике безопасности, большинству АП локальной сети запрещен выход в Интернет, однако отдельным пользователям (из так называемой «группы риска»), в силу специфики их работы, такой доступ необходим, то использование на координаторе функции «Сервер Открытого Интернета» поможет решить эту проблему удобным и надежным с точки зрения безопасности способом. Технология «Сервер Открытого Интернета» позволит организовать работу таким пользователям в одном из двух вариантов: • работа в Интернете с одновременной блокировкой любого трафика в локальную сеть; • работа в локальной сети с блокировкой любого трафика, имеющего отношение к Интернету. Для выбора одного из вышеперечисленных вариантов нужно будет просто переключить соответствующую опцию в программе ViPNet Client Монитор. При этом отпадает необходимость физического отключения компьютеров пользователей Интернета от локальной сети. При любом варианте работы компьютеров так называемой «группы риска» (в Интернете или в локальной сети) остальные компьютеры, работающие исключительно с локальной сетью А, будут полностью защищены от каких-либо атак из Интернета. Координатор «Открытого Интернета» (с двумя сетевыми интерфейсами) с возможностями межсетевого экрана и прокси-сервера размещается на границе между локальной сетью и Интернетом. Настраивается он таким образом, чтобы при старте для внутреннего сетевого интерфейса устанавливался режим 1 (в этом режиме блокируется любой открытый трафик, как снаружи, так и изнутри локальной сети), а для внешнего сетевого интерфейса режим 3 (в этом режиме разрешаются только односторонние открытые соединения наружу и для заданных служб конкретных публичных серверов локальной сети - соединения внутрь). В этом случае: • любой открытый трафик, поступивший снаружи сети, при его передаче внутрь сети шифруется и инкапсулируется в единый UDP-формат IP-пакета. Данный трафик может быть восстановлен в исходном виде только ViPNet-клиентом, которому он предназначен; • поступивший изнутри сети инкапсулированный ViPNet- клиентами трафик веб-приложений преобразуется в исходный вид и отправляется в Интернет. Если в сети установлен еще один координатор для обеспечения защищенного взаимодействия между ViPNet-сетями, то на этом компьютере следует произвести настройки режимов, чтобы при старте он устанавливался для внешнего сетевого интерфейса в режим 1 (в этом режиме блокируется любой открытый трафик из Интернета), а для внутреннего сетевого интерфейса - в режим 2 (в этом режиме блокируется любой открытый трафик изнутри, за исключением трафика компьютеров локальной сети, для которых разрешено туннелирование в защищенное соединение наружу сети). При этом внутрь сети и выпускается наружу только инкапсулированный известный координатору UDP-трафик. Открытый трафик компьютеров локальной сети, для которых разрешено туннелирование, при его передаче наружу сети шифруется и инкапсулируется в единый UDP-формат IP-пакета. Этот IP-пакет может быть восстановлен в исходном виде только на сетевом узле ViPNet, которому трафик предназначен. Каждый компьютер «группы риска» должен быть связан в ЦУСе с координатором Открытого Интернета. Для АП, работающих только с ресурсами локальной сети, такая связь не создается. Благодаря этому координатор организовывает защищенные туннели между собой и компьютерами «группы риска» на время его работы с ресурсами Открытого Интернета без возможности доступа к этим связям со стороны всех остальных пользователей защищенной локальной сети. Координатор будет выполнять функцию «Сервера Открытого Интернета», если он зарегистрирован в соответствующей прикладной задаче в ЦУСе.