Основы проектирования защищенных телекоммуникационных систем.-4
.pdf71
и обеспечивает защищенную работу удаленных пользователей с любым типом подключения к сети Интернет.
ViPNet OFFICE — это программный комплекс, в состав которого входит три основных компонента:
1.ViPNet Manager (Менеджер) — рабочее место Администратора защищенной сети,
предназначенное для развертывания и управления VPN-сетью. ViPNet Менеджер обладает интерфейсом, удобным и доступным даже для неподготовленных пользователей, что позволяет более простым и понятным образом задавать и изменять структуру защищенной
VPN-сети.
2.ViPNet Coordinator (Координатор) — серверное программное обеспечение,
которое выполняет функции межсетевого экрана, сервера IP-адресов, сервера защищенной почты.
3. ViPNet Client (Клиент) — программное обеспечение, которое устанавливается на рабочее место пользователя и выполняет функцию персонального сетевого экрана. В состав
ViPNet Client входят такие программы как «Деловая почта», «Файловый обмен», «Обмен защищенными сообщениями» (чат), «Контроль приложений», а также поддерживаются механизмы ЭЦП — всё это делает рабочее место пользователя не только защищенным, но и многофункциональным.
При первоначальном развертывании ViPNet OFFICE обладает фиксированной конфигурацией. Существуют 4 фиксированные конфигурации:
ViPNet OFFICE 1–5 (1 — ViPNet Менеджер, 1 — ViPNet Координатор, 5 — ViPNet
Клиент, 5 — туннельных лицензий);
ViPNet OFFICE 2–10 (1 — ViPNet Менеджер, 2 — ViPNet Координатор, 10 — ViPNet
Клиент, 10 — туннельных лицензий);
ViPNet OFFICE 2–0 (1 — ViPNet Менеджер, 2 — ViPNet Координатор, 20 — туннельных лицензий);
ViPNet Office 3–0 (1 — ViPNet Менеджер, 3 — ViPNet Координатор, 30 — туннельных лицензий).
Основные отличия между ViPNet CUSTOM и ViPNet OFFICE:
Основное отличие программного комплекса ViPNet OFFICE от ViPNet CUSTOM
состоит в том, что для развертывания, модификации и управления защищенной VPN-сетью в
ViPNet OFFICE используется ViPNet Manager, а не ViPNet Administrator.
ViPNet Manager обладает интерфейсом, удобным и доступным даже для неподготовленных пользователей, что позволяет более простым и понятным образом задавать и изменять структуру защищенной VPN-сети.
72
При необходимости, ViPNet OFFICE позволяет расширять фиксированную конфигурацию (путем добавления лицензий на программные компоненты ViPNet Coordinator
иViPNet Client), изменять количество туннельных лицензий, в зависимости от необходимого количества данных компонент в защищенной сети.
ViPNet OFFICE позволяет осуществлять межсетевое взаимодействие между двумя
VPN-сетями, построенными как на базе ViPNet OFFICE, так и на базе ViPNet CUSTOM.
Благодаря этому возможно организовать VPN-сети любых произвольных конфигураций.
Основные преимущества:
Простое и понятное программное обеспечение для создания защищенной сети,
для использования которого не требуется специальных познаний в области защиты информации, а также приобретения дополнительного оборудования и изменения структуры уже существующей сети.
Минимальные затраты на создание и обслуживание собственной VPN-сети.
Надежная защита сетевого трафика, не мешающая работе дополнительных приложений и прикладных задач.
Гибкий подход к построению VPN-сетей на базе уникальных технологий ViPNet
позволяет создавать и связывать между собой разные сети ViPNet, обеспечивать более гибкий подход к созданию различных сетевых конфигураций, создавать территориально распределенные подсети, управляемые из центрального офиса.
Мастер развертывания сети позволяет пошагово создать структуру сети без дополнительных настроек на сетевых узлах.
Возможность ограничивать интерфейс пользователя на сетевом узле позволяет централизованно управлять политиками безопасности в защищенной сети.
Автоматизированная обработка и прием запросов на сертификаты ЭЦП.
Совместимость с решениями Linux, включая возможность централизованного обновления ПО на Linux-координаторах и ПАК.
С помощью ViPNet OFFICE Вы сможете:
Обеспечить защищенный обмен данными, в том числе и защищенный документооборот между несколькими офисами или филиалами компании. При этом в каждом из филиалов может быть собственная VPN-сеть либо подсеть, управляемая из центрального офиса.
Организовать удаленный защищенный доступ сотрудников компании или руководства через Интернет к конфиденциальным ресурсам локальной сети компании и одновременно обеспечить защиту их мобильных компьютеров от возможных сетевых атак.
73
Обеспечить разграничение доступа внутри локальной сети, например, обеспечить доступ к серверу с конфиденциальной информацией определенной группе лиц, при этом остальные пользователи той же сети не будут даже подозревать о его существовании.
Обеспечить простое и удобное использование электронно-цифровой подписи как внутри VPN-сети, так и с помощью стандартных почтовых офисных приложений (Microsoft
Outlook, Outlook Express).
Типовая схема защищенной сети на базе решения ViPNet OFFICE:
Комментарии к схеме:
ПО ViPNet Manager устанавливается в Центральном офисе компании.
ПО ViPNet Coordinator устанавливается в Центральном офисе и Филиалах компании, на входе в локальную сеть, на серверы-маршрутизаторы, и выполняет роль межсетевого экрана и криптошлюза для организации защищенных туннелей между удаленными локальными сетями.
ПО ViPNet Client может быть установлено как внутри локальных сетей (на рабочих станциях сотрудников), так и на мобильные компьютеры для организации защищенного удаленного доступа к ресурсам локальных сетей. ViPNet Client в этом случае выполняет роль персонального сетевого экрана и шифратора IP-трафика.
Одновременно с работой в защищенной сети ViPNet Coordinator и ViPNet Client
могут выполнять фильтрацию обычного, незашифрованного IP-трафика, что позволяет
обеспечить необходимую работу серверов и рабочих станций с открытыми ресурсами
74
Интернета (веб-страницами) или локальных сетей (сетевыми принтерами, незащищенными
рабочие станции и серверами).
Испытание системы защищенного межсетевого взаимодействия
В качестве объекта испытания будет выступать виртуальная сеть, состоящая из четырех виртуальных машин (далее ВМ), развернутая в среде VMwareWorkstation. На трех ВМ выполняется установка ПО ViPNetOFFICE, обеспечивая, таким образом, защищенное межсетевое взаимодействие в данном сегменте сети. Четвертая ВМ служит интересам предполагаемого злоумышленника и предназначена для захвата циркулирующего в сети трафика с помощью программы-сниффера Wireshark .
Данный макет моделирует межсетевое взаимодействие между компьютерами головного отделения и филиала учреждения посредствам открытых ССОП. Так как ССОП находятся вне контролируемой зоны, возможен перехват ПДн злоумышленником и нарушение их конфиденциальности, целостности и доступности.
ВМ1 |
ВМ2 |
ВМ3 |
ViPNetCoordinator |
VIPNet Manager |
VIPNet Client |
Ethernet
ВМ4 Злоумышленник
Рис. 2.47. Схема макета VIPNet
План испытания
Испытание состоит из нескольких этапов, характерной особенностью которых является исследование открытого и защищенного сетевого взаимодействия:
1)разворачивание виртуальной сети;
2)исследование открытого сетевого взаимодействия:
перехват и анализ текстового файла;
перехват и анализ ping-пакетов;
3)установка ПО ViPNetOFFICE;
4)исследование защищенного сетевого взаимодействия:
|
перехват и анализ текстового файла; |
|
перехват и анализ ping-пакетов. |
75
Ход испытания
Разворачивание виртуальной сети
После выполнения установки VMwareWorkstationв ней создаются четыре ВМ со следующими основными параметрами:
объем ОЗУ 512 Мбайт;
объем жесткого диска 10 Гбайт;
ОСWindowsXP.
Рис. 2.48. ОбщийвидVMwareWorkstation
Виртуальные машины объединяются в виртуальную сеть c адресацией, представленной в таблице 2.4.
|
|
Таблица 2.4. |
Сетевая адресация виртуальных машин |
||
|
|
|
|
|
|
|
ВМ 1 |
ВМ 2 |
|
ВМ 3 |
ВМ 4 |
|
|
|
|
|
|
IPадрес |
192.186.1.1 |
192.186.1.2 |
|
192.186.1.3 |
192.186.1.4 |
|
|
|
|
|
|
Маска |
255.255.255. |
255.255.255. |
|
255.255.255. |
255.255.255.0 |
подсети |
0 |
0 |
|
0 |
|
|
|
||||
|
|
|
|
|
|
На ВМ 4 устанавливается программа-сниффер Wireshark, с помощью которой захватывается и анализируется сетевой трафик. Процесс установки отображен на следующих рисунках.
76
Рис. 2.49. Мастер установки Wireshark
Рис. 2.50. Выбор директории установки
Рис. 2.51. Завершение установки
77
Исследование открытого сетевого взаимодействия
Для исследования открытого сетевого взаимодействия на ВМ 2 создается текстовый файл Test.txt, который передается на ВМ 3 по протоколу SMB (ServerMessageBlock).
Рис. 2.52. Текстовый файл Test.txt
При передаче происходит захват пакетов на ВМ 4, что отображается в окне сниффера
Wireshark. Протокол SMB принадлежит стеку TCP, поэтому при анализе отображается содержимое TCP-пакетов.
78
Рис. 2.53. Процесс отображения TCP-пакетов
На следующем рисунке видно, что среди содержимого пакетов отображается переданный текст файла Test.txt.
Рис. 2.54. Содержимое TCP-пакетов
Так же в программе Wireshark существует возможность работать с SMBтрафиком, то есть непосредственно перехватить передаваемый файл Test.txt. Этот процесс отображается на следующих рисунках.
79
Рис. 2.55. Выбор SMB объекта для экспорта
Рис. 2.56. Отображение захваченного SMB объекта
80
Рис. 2.57. Сохранение перехваченного объекта
Рис. 2.58. Содержимое перехваченного объекта