Эксплуатация защищенной VPN

Основні принципи побудови мереж шифрованого зв’язку. Ієрархія вузлів мережі шифрованого зв’язку. Проблема зв’язаності.

Захищені телекомунікаційні мережі забезпечують виконання багатьох завдань в державному та комерційному секторах для управління ресурсами, здійснення різного роду технологічних операцій, таких, наприклад, як банківськи операції в електроному вигляді, обміну інформацією з обмеженим доступом тощо.

Захист конфіденційності інформації в цих мережах забезпечується шляхом застосування комплексу нормативно-правових та організаційно-технічних заходів та заходів, у т.ч. тих, що реалізують методи криптографічного перетворення – шифрування.

Наявність значної кількості різних за призначенням та архітектурою побудови не робить менш актуальною проблему побудови новітніх швидкісних багатофункціональних мереж, безпека яких гарантується застосуванням надійних сучасних засобів КЗІ.

Своренню нової мережі передує етап формування вихідних вимог щодо базових принципів її побудови та умов надання послуг конфіденційного зв’язку. Розглянемо підходи щодо визначення вимог більш детально.

По-перше, слід зазначити, що певним чином архітектура мережі, як сукупність принципів її побудови та забезпечення безпеки функціонування визначається так званою первинною транспортною мережою. Саме спосіб передавання сигналів в цій мережі (радіо, супутниковий, фіксований цифровий, фіксова

Етапи побудови та впровадження систем захисту ІР трафика.

Проектирование системы защиты IP-трафика

• Определение профиля безопасности
• Разработка основных организационных и технических мероприятий
• Определение номенклатуры средств КЗИ
• Режимы работы защищенной VPN
• Средства управления защищенной VPN
• Резервирование как инструмент обеспечения доступности

Планирование работы системы защиты IP-трафика

• Содержание документов планирования
• Организация управления
• Резервирование ключевых документов для нештатных ситуаций4.
• Резервирование оборудования VPN.
• Резервирование туннелей.
• Резервирование критических элементов (центральных узлов) VPN

Развертывание (ввод в эксплуатацию) защищенной VPN

• Содержание процесса ввода системы в эксплуатацию
• Общий порядок ввода в эксплуатацию
• Типовые проблемы при запуске защищенной VPN
• Меры по обеспечению безопасности эксплуатации средств защиты

Эксплуатация защищенной VPN

• Генерация новых ключевых документов
• Смена ключевых данных – особенности процедуры
• Реконфигурация (масштабирование) защищенной VPN
• Реконфигурация базовой телекоммуникационной структуры

Проектирование системы защиты IP-трафика обычно начинается с формулировки замысла (концептуальное проектирование) и заканчивается разработкой и утверждением проекта системы защиты IP-трафика.

Замыселдолжен определять объект защиты, его структуру, основные угрозы и принципы построения системы защиты.

В некотором смысле концептуальное проектирование системы защиты можно рассматривать как поиск компромисса между функционалом технических решений и объемом организационных мероприятий при заданных ограничениях на свойства системы защиты (заданных, например, требованиями).

При увеличении функционала технических решений увеличивается стоимость первоначальных вложений в то время как затраты на реализацию организационных мероприятий распределяются практически равномерно на весь период эксплуатации.

С развитием мультимедийных возможностей технической базы IP-сетей все более доступными становятся телекоммуникационные сервисы, ранее предоставлявшиеся специальными (а потому и дорогими) системами и средствами связи. Использование IP-шифраторов для защиты трафика в мультимедийных IP-сетях позволяет защитить все виды трафика и предоставить целую группу защищенных коммуникационных сервисов.

Учитывая вышеизложенное, при разработке замысла рекомендуется рассмотреть целесообразность организации защищенных сегментов системы с учетом предоставления сервисов защищенной IP-телефонии, видеотелефонии, организации видеоконференций, web, ftp, http доступа. В центральных звеньях, при этом, может быть предусмотрено размещение VoIP ATC, видео-серверов, почтовых серверов, серверов видеоконференций, серверов баз данных и т.п. Не все эти сервисы должны вводиться одновременно. Сервисы могут добавляться уже в процессе работы VPN, при ее масштабировании.

Целесообразно также определить принципы взаимодействия защищенных и открытых сегментов IP-сетей.

Вариант графической иллюстрации замысла для очень простой защищенной сети представлен на рисунке 1.

Определение профиля безопасности осуществляется на основе общих критериев безопасности, изложенных в нормативном документе “Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу” НД ТЗІ 2.5-004-99 с учетом требований к сети, основных ее функций, результатов обследования информационных и телекоммуникационных объектов ИТС.

Разработка основных технических решений и организационных мероприятий, обеспечивающих удовлетворение требований заданному профилю.

Обычно рассматривается несколько вариантов построения системы технических средств, которые обеспечивают реализацию заданного профиля. Среди рассматриваемых вариантов может выбираться в каком-то смысле оптимальный вариант, например, по критерию эффективности использования средств для обеспечения требований по заданному профилю и комплексу сервисов защиты.

Рис. 1. Вариант построения защищенной сети

В состав системы защиты входят собственно IP-шифраторы с учетом, что на каждый защищаемый объект (сегмент объекта) выделяется один или более IP-шифраторов в зависимости от требуемого уровня доступности и пропускной способности отдельных элементов структуры сети.

IP-шифраторы могут использоваться как абонентские устройства. Такое их использование является предпочтительным, поскольку обеспечивает возможность адресного определения прав доступа и ответственности за использование ресурсов защищенной сети, более эффективного решения вопросов НСД.

Один или несколько IP-шифраторов, используемых на одном объекте, могут входить в состав комплекса средств защиты информации объекта (КСЗИ). При этом, IP-шифраторы могут стать дополнением (войти в состав) имеющегося КСЗИ. Если соответствующий КСЗИ еще предстоит создать, то его целесообразно строить с учетом обеспечиваемых IP-шифратором функций безопасности. Использование IP-шифраторов, как и других средств криптографии, во многих случаях позволяет уменьшить размерность зон, ослабить требования к КСЗИ и снизить общие затраты на построение КСЗИ объекта.

Определение номенклатуры средств КЗИ. Осуществляется на основе разработанных технических решений, результатов обследования объектов защиты с учетом требуемой пропускной способности информационных направлений и требований по обеспечению требуемого уровня доступности сервисов защищенной VPN. Номенклатура средств из состава “CryptoIP” также зависит от предусматриваемого режима работы ключевой системы защищенной VPN сети.

Разработка технических решений является сугубо творческим процессом, который должен учитывать особенности применения конкретных средств и систем.

Настоящие рекомендации базируются на особенностях построения системы защиты IP-трафика с использованием системы средств КЗИ, которая далее именуется как “CryptoIP-С”.