Технология построения виртуальных защищенных сетей ViPNet Windows&Linux. Практикум
1. ОБЩИЕ СВЕДЕНИЯ О ТЕХНОЛОГИИ ПОСТРОЕНИЯ ВИРТУАЛЬНЫХ СЕТЕЙ ViPNet
1.1. Используемые аббревиатуры
1.2. Термины и понятия ЦУС
1.3. Термины и понятия УКЦ
1.4. Требования к составу программного обеспечения
Часть I. ViPNet Administrator (на платформе Windows )
2. СОЗДАНИЕ ВИРТУАЛЬНОЙ ЗАЩИЩЕННОЙ СЕТИ ViPNet
2.1. Теоретическая проработка схемы защищенной сети
2.1.1. Условия построения защищенной сети
2.1.2. Проработка схемы защищенной сети
2.1.3. Построение сетевой (адресной) структуры ViPNet-сети
2.1.4. Построение прикладной структуры ViPNet-сети
2.2. Инсталляция и настройка управляющего программного обеспечения ViPNet
2.3. Первичная инициализация Удостоверяющего и ключевого центра
2.4. Работа в Удостоверяющем и ключевом центре
2.5. Развертывание защищенного узла Администратора сети ViPNet
3. МОДИФИКАЦИЯ ЗАЩИЩЕННОЙ СЕТИ ViPNet
3.1. Виды модификации и обновления защищенных сетей ViPNet
3.2. Модификация без компрометации
3.2.1. Добавление и удаление Сетевого узла
3.2.2. Создание сетевой группы
3.2.3. Добавление нового ТК с новым пользователем
3.2.4. Удаление ТК без компрометации его пользователя
3.2.5. Добавление нового пользователя
3.2.6. Удаление пользователя без компрометации
3.2.7. Удаление связей коллективов
3.2.8. Добавление новых связей коллективов
3.2.9. Изменение имени СУ, ТК, Пользователя
3.3. Модификация с компрометацией
3.3.1. Явная компрометация. Удаление пользователя с компрометацией
3.3.2. Явная компрометация. Компрометация пользователя без его удаления
3.4. Смена основного мастер-ключа. Плановая смена всех ключей
3.5. Обновление ключевой информации
3.5.1. Обновление адресных справочников на АП и СМ
3.5.2. Обновление КУ и КП
3.6. Смена пароля Администратора УКЦ
3.7. Смена пароля пользователя
3.8. Формирование нового сертификата ЭП
3.9. Формирование нового дистрибутива
4. МЕЖСЕТЕВОЕ ВЗАИМОДЕЙСТВИЕ ЗАЩИЩЕННЫХ СЕТЕЙ ViPNet
4.1. Построение межсетевого взаимодействия с использованием ИСММК
4.2. Модификация межсетевого взаимодействия защищенных сетей ViPNet
4.2.1. Добавление нового СУ в межсетевое взаимодействие
4.2.2. Удаление СУ из межсетевого взаимодействия
4.3. Создание иерархической структуры удостоверяющих центров
Часть II. Coordinator Linux
Проработка схемы защищенной сети
Лабораторная работа 1. Подготовка рабочего места ViPNet Coordinator Linux
Лабораторная работа 2. Администрирование ViPNet Coordinator Linux
Лабораторная работа 3. Настройка параметров работы ViPNet Coordinator Linux с защищенными узлами и открытыми ресурсами сети
Лабораторная работа 4. Система защиты от сбоев
Лабораторная работа 5. Администрирование ViPNet Coordinator Linux посредством SGA-апплета мониторинга и управления
Технология построения виртуальных. защищенных сетей ViPNet
1 Технология построения виртуальных защищенных сетей ViPNet
2 Почему «технология», а не просто «решение»? Толковый словарь Ожегова С.Ю.: «Технология — это совокупность производственных методов и процессов в определенной отрасли производства» «Решение — ответ к поставленной задаче» ViPNet это не ответ на какую-то конкретную задачу в области защиты информации, это именно совокупность методов (программного обеспечения), которая позволяет решить практически любую задачу по защите конфиденциальной информации. Мы предоставляем Вам конструктор защищенных сетей, обучаем работать с ним и решать именно Ваши задачи.
3 VPN-продукты ViPNet: позиционирование VPN-продукты ViPNet Малый и средний бизнес, негосударственные ИС Корпоративные системы, государственные ИС
4 Продукты ViPNet Продукты торговой марки ViPNet Коробочные продукты (ViPNet Box): Продукты для пользователей Продукты для малого бизнеса Сертифицированное коробочное ПО Продукты для корпоративных пользователей, государственных учреждений (ViPNet Custom): VPN и межсетевые экраны Безопасный обмен файлами, почтой и сообщениями Удостоверяющий центр и ЭЦП Учебные программы и методические материалы: Администрирование и использование ViPNet Custom Учебные пособия (лекции и практикум) Сертификация специалистов Отраслевые программы обучения
5 VPN-продукты ViPNet: компоненты ViPNet OFFICE/TUNNEL ViPNet Manager ViPNet Coordinator ViPNet Client ViPNet CUSTOM ViPNet Administrator ViPNet Coordinator ViPNet Client
6 Карта компонент ViPNet CUSTOM ViPNet Administrator Центр управления ViPNet NCC Центр управления сетью ViPNet КС Ключевой центр ViPNet CA Удостоверяющий центр ViPNet Registration Point Пункт регистрации ViPNet Publication Service Сервис публикации сертификатов ЭЦП ПО для администрирования защищенной сети ViPNet Coordinator Сервер защищенной сети (Криптошлюз и VPN-сервер) ViPNet Coordinator (Windows) Сервер под ОС Windows ViPNet Coordinator (Linux) Сервер под ОС Linux ViPNet Coordinator Failover (Linux) Отказоустойчивый сервер под ОС Linux NME-RVPN ViPNet Сервер в виде модуля расширения для Cisco ISR 28xx- 38xx ViPNet Coordinator HW100 ПАК Серверное ПО ViPNet Client Клиент защищенной сети ViPNet Monitor Персональный сетевой экран и VPN-клиент ViPNet Business Mail Почтовый клиент защищенной сети ViPNet Application Control Контроль сетевой активности приложений Криптопровайдер (CSP) ViPNet CryptoService Криптопровайдер (CSP) Клиентское ПО
7 ПО ViPNet NCC (Центр Управления Сетью) Определение узлов защищенной сети, пользователей и допустимых связей между ними путем создание необходимых баз данных для работы Ключевого Центра; Определение политики безопасности на каждом узле; Поддержание сервиса автоматической рассылки до узлов сети разнообразной справочно-ключевой информации (справочников связей узлов, новых ключей шифрования, информации о связях с другими ViPNet-сетями и др.); Проведение автоматического централизованного обновления ПО ViPNet на узлах защищенной сети; Поддержание удаленного доступа к журналам событий на узлах защищенной сети.
8 ПО ViPNet КС (Ключевой Центр) Выработка и хранение первичной ключевой информации (мастерключи шифрования и межсетевые мастер-ключи); Выработка ключей шифрования для узлов защищенной сети и ключей шифрования между пользователями защищенной сети (двухуровневая схема); Выполнение процедур смены мастер-ключей и компрометации ключей шифрования; Выработка персональных ключей защиты пользователей и криптографически надежных парольных фраз (паролей); Запись персональных ключей пользователей на аппаратные носители ключей (token s, smartcard, touch memory).
9 ПО ViPNet Coordinator (сервер VPN-сети) VPN-сервер с набором служебных функций (VPN-NAT, VPN-шлюз и т.п.) Криптошлюз (шифрование IP-трафика вида LAN-LAN, LAN-клиент) Межсетевой экран Версии под ОС Windows и Linux ViPNet Coordinator ViPNet Failover NME-RVPN ViPNet
10 ПО ViPNet Client (клиент VPN-сети) VPN-клиент для работы в виртуальной частной сети ViPNet (шифрование IPтрафика любых приложений, поддержание актуальных адресных таблиц и параметров доступа к узлам VPN, работа в схемах клиент-клиент и клиентсервер, поддержка виртуальных IP-адресов); Персональный сетевой экран (раздельная фильтрация открытого и шифруемого IP-трафиков в соответствии с режимом безопасности и настройками фильтров) Мониторинг сетевой активности приложений пользователя и компонент ОС Поддержка электронных ключей и устройств хранения персональных данных пользователей (например, ПСКЗИ Шипка) Специальные версии для ОС Windows Mobile/Embedded, Linux и разных архитектур процессоров: x86, MIPS, ARM9
11 Как строится и работает VPN в технологии ViPNet ViPNet [Администратор] Обновление Защищенное взаимодействие ViPNet [Координатор] ViPNet [Клиент] 1. Формирование логических связей и ключей шифрования и их распределение по серверам и рабочим местам, включаемым в VPN. 2. Работа в рамках созданной VPN: связи Клиент-Клиент, Клиент- Координатор, Координатор- Координатор ViPNet [Клиент] ViPNet [Клиент] 3. Модификация структуры VPN (добавление новых пользователей, изменение логических связей и т.д.). Обновление ПО ViPNet.
12 Функциональные различия ViPNet CUSTOM/TUNNEL/OFFICE Свойства ViPNet CUSTOM ViPNet OFFICE ViPNet TUNNEL Программное обеспечение для создания и модификации VPN ViPNet Администратор ViPNet Manager ViPNet Manager Возможность удаленного обновления справочно-ключевой информации и программного обеспечения Возможность работы с ЭЦП Наличие «мастеров» для создания и модификации структуры защищенной сети Возможность устанавливать защищенные соединения с другими VPN ViPNet Частично Частично Возможность организации защищенного удаленного доступа Поддержка механизмов компрометации и плановой смены ключей шифрования Поддержка дополнительных компонент ViPNet (например, ViPNet Cryptoservice) Возможность приобретения дополнительных лицензий на ViPNet Координаторы и Клиенты Есть, в любом необходимом количестве Есть, только строго определенными партиями. Есть, только строго определенными партиями.
13 Ведомственные системы на базе технологии ViPNet МЭРТ МФ РФ СКЦ МинАтом МИД РФ МинЮст РФ МО РФ СБ России ПФР Координаторов, более Клиентов ФОМС Координаторов, более 5000 Клиентов РЖД Координаторов, более 5000 Клиентов ФСС Координаторов, более 5000 Клиентов
14 ViPNet сертифицированный программный комплекс для построения системы сетевой защиты корпоративных сетей на ОС Windows, Linux. Реализует: Что такое ViPNet CUSTOM? Формирование структуры защищенных сетей и централизованное управление конфигурацией, имеет неограниченную масштабируемость; Шифрование информации на сетевом и прикладном уровнях (любой IP-трафик: видео-, аудиоконференции, работа с любыми базами данных, электронная почта); Разграничение доступа к информационным ресурсам (межсетевые и персональные сетевые экраны, виртуальные подсети, доверенный доступ к базам данных); Безопасный доступ к каналам общего пользования, включая Интернет.
15 Возможности ViPNet СUSTOM Сетевая защита Межсетевые и персональные экраны Шифрование IPтрафика Сегментация ЛВС и разграничение доступа к ресурсам IDS, контроль сетевой активности приложений Защита от НСД Парольная защита доступа к компьютеру Поддержка внешних носителей парольной и ключевой информации Блокировка IP-трафика и консоли Аудит действий пользователя Отказоустойчивость Восстановление работоспособности Система «WatchDog» Отказоустойчивый VPNсервер — криптошлюз Автоматический переход на доступные каналы связи Основной принцип создание доверенной среды передачи данных!
16 УЦ ViPNet Возможности ViPNet СUSTOM Криптопровайдер для ОС Windows ЭЦП в Outlook Защищѐнная почтовая система с полным квитированием писем Подпись и проверка подписи отдельных файлов Шифрование отдельных файлов и создание зашифрованных виртуальных логических дисков Резервное копирование и архивирование почты Система гарантированной доставки файлов и писем Автоматическая обработка входящей и исходящей почты, файлов (автопроцессинг) Защищѐнный обмен мгновенными сообщениями (чат, конференция) Основной принцип защита документов на абонентском уровне!
17 УЦ ViPNet Уникальные свойства ViPNet CUSTOM Многофункциональное клиентское ПО ViPNet Client с поддержкой режима связи точка-точка Версия ПО ViPNet Client для Windows Mobile Централизованное управление ключевой симметричной структурой, раздельная ключевая схема для организации VPN и PKI Программная реализация большинства компонент Комплексная сертификация ПО ViPNet в ФСБ и ФСТЭК России Опыт применения в больших сетях: решение задач оптимизации служебного трафика, поддержка выбора альтернативных каналов связи и др.
18 Дальнейшее развитие ViPNet СUSTOM ПО ViPNet Policy Manager. Система централизованного назначения политик безопасности. ПО ViPNet State Watcher. Система централизованного мониторинга состояния узлов VPN с оповещением о критических событиях. Высокопроизводительный кластер для защиты 1 Гбит сетей Поддержка 64-битных операционных систем Сертификация ПАК ViPNet по классам КС3 и КВ2 В системе управления качеством ИнфоТеКС зарегистрировано несколько сотен позиций, по которым идет развитие, модернизация, доработка продуктовой линейки ViPNet
19 ПАК NME-RVPN ViPNet сертифицированное ПО ViPNet в оборудовании Cisco Systems В 2006 году Cisco Systems представлен модуль NME-RVPN (Russia VPN Network Module) для маршрутизаторов серии Cisco 2800 и 3800 Integrated Services Routers. На аппаратном уровне модуль представляет собой решение, интегрированное с маршрутизаторами Cisco и специально разработанное для обеспечения российского рынка VPN с передовыми технологиями Cisco. В качестве программного обеспечения, реализующего функции криптографического шлюза и межсетевого экрана используется Linuxверсия программного обеспечения ViPNet Coordinator. В настоящее время проводятся работы по сертификации этого решения в ФСБ России по требованиям к СКЗИ и межсетевым экранам.
20 ПАК «ViPNet Coordinator HW100» Программно-аппаратный комплекс «ViPNet Coordinator HW100» это компактный криптошлюз и межсетевой экран для решения задач защиты IPтрафика удаленных, подвижных и необслуживаемых сетевых узлов. ПАК «ViPNet Coordinator HW100»
21 Место в продуктовой линейке и конкуренты Компонент комплекса средств защиты информации ViPNet CUSTOM 3.x ViPNet Coordinator Программное обеспечение Программноаппаратные комплексы ViPNet Coordinator (Windows) ViPNet Coordinator (Linux) ViPNet Coordinator Failover (Linux) NME-RVPN ViPNet ViPNet Coordinator HW100 ViPNet Coordinator HW100 призван конкурировать на рынке СЗИ с CSP VPN Gate 100/100B/1000 (S-Terra CSP). ПАК «ViPNet Coordinator HW100»
22 Сценарии использования: защита канала связи LAN-LAN IP Интернет IP/UDP IP ViPNet-клиент ViPNetкоординатор ViPNetкоординатор ViPNet-клиент LAN 1 LAN 2 IP — открытый трафик IP/241, IP/UDP — закрытый трафик
23 Сценарии использования: защищенный удаленный доступ ViPNet-клиент IP/UDP ViPNet-клиент Домашняя сеть IP/UDP IP/UDP Интернет IP/UDP IP IP ViPNet-клиент ViPNetкоординатор ViPNetкоординатор ViPNet-клиент LAN 1 LAN 2 IP — открытый трафик IP/241, IP/UDP — закрытый трафик
24 Сценарии использования: разграничение доступа Сегмент 1 ViPNet Администратор ViPNetкоординатор Сегмент 2 IP ViPNet-клиент ViPNet-клиент ViPNet-клиент LAN ViPNet-клиент IP — открытый трафик IP/241, IP/UDP — закрытый трафик
25 Сценарии использования: межсетевое взаимодействие IP Интернет IP/UDP IP ViPNet-клиент ViPNetкоординатор ViPNetкоординатор ViPNet-клиент ViPNet Администратор VPN #1 VPN #2 ViPNet Администратор IP — открытый трафик IP/241, IP/UDP — закрытый трафик
26 Сценарии использования ПАК Защищенные каналы связи Информационный киоск с установленным ViPNet Coordinator HW100 Мобильный пользователь с ПО ViPNet Client Рабочие станции Сервер БД/Портал Локальная сеть удаленного офиса ViPNet Coordinator HW100 Internet ViPNet Coordinator на обычной серверной платформе Локальная сеть центрального офиса ПАК «ViPNet Coordinator HW100»
27 Сценарии использования: комбинированный вариант Домашние сети Удаленные пользователи Client Client Интернет-киоски Client Client GPRS WiFi Internet Сеть центрального офиса Coordinator Coordinator Coordinator Coordinator Administrator Client Информационные ресурсы Защита каналов связи между локальными сетями Организация защищенного удаленного доступа Поддержка современных технологий связи Разграничение доступа в локальных сетях Защита IP-телефонии и аудио- и видеоконфренцсвязи Мобильные пользователи CryptoService Сеть филиала Информационные ресурсы
28 О сертификации С 2008 года сертификация продуктов ViPNet проводится одновременно в трех системах сертификации: ФСБ России ФСТЭК России Газпромсерт Сертификацию проходят все продукты компании Инфотекс: продукты для корпоративного рынка СЗИ и коробочные продукты.
29 ФСТЭК Сертификаты на ПО ViPNet CUSTOM 1549 от на программный комплекс ViPNet CUSTOM 3.0 ФСБ СФ/ от на СКЗИ «Домен- КС2» по классам КС1, КС2 СФ/ от на ПО ViPNet Клиент 3.0 как СКЗИ по классу КС2 и МЭ по 4 классу СФ/ от на ПО ViPNet Координатор 3.0 как СКЗИ по классу КС2 и МЭ по 4 классу СФ/ от на СКЗИ «Домен- КМ» по классу КС3
30 Спасибо за внимание! ООО «ЮВИС-Сервис» Шилов Анатолий Тел.(342)
