Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Скорпион" защищает сеть

С. Г. Никифоров

Объемы обрабатываемой информации стремительно нарастают и, чтобы ее защитить, нужна совершенная технология.

Веянием времени стало интенсивное внедрение сетевых технологий в российскую действительность - создаются новые локальные сети, растет число пользователей в уже существующих. В прошлом году отмечено значительное увеличение числа сетей, основанных на Unix. Предлагаемые системными интеграторами решения в первую очередь нацелены на повышение производительности сетей, масштабируемость и удобство сопровождения приложений, а вот вопросы безопасности нередко остаются в стороне. Такое положение объясняется тем, что до сих пор лишь малая доля заказчиков оговаривала необходимость защиты информации в проектируемой сети.

Проблемы безопасности

Потребность в средствах защиты компьютерной информации неуклонно растет. Прежде всего они необходимы органам государственного управления и безопасности, силовым структурам, предприятиям финансово-кредитной сферы, а также крупнейшим предприятиям промышленности. Перечень продолжают прочие организации, заинтересованные в сохранности и конфиденциальности деловой информации. Их число быстро растет по мере того, как становятся известными факты нанесения ущерба злоумышленниками информационным системам. Без сложных сетевых решений не обойтись. Особые трудности как технического, так и организационного характера возникают именно с защитой информации:

* Локальная сеть, как правило, создается в условиях ограниченного финансирования. Поэтому разработчики пытаются экономить на всем, и в первую очередь на средствах защиты информации. В большинстве случаев обеспечивается безопасность только сетевой ОС и СУБД, встроенные механизмы защиты которых обычно соответствуют низшему уровню защиты - классу C2 по американской классификации "Оранжевой книги" (для Unix, Windows NT Server, Oracle, Informix и др.). Слабость аппарата защиты наиболее распространенной ОС Novell NetWare не раз подвергалась критике, особенно по части аутентификации и учета работы пользователей сети.

* Применение средств защиты информации ограничено нормативно. Существуют жесткие запреты на криптографические средства и системы, особенно зарубежной разработки, прежде всего для использования в организациях и предприятиях, выполняющих госзаказ. Повышенные требования предъявляются и к системам банковских учреждений (см. документы Гостехкомиссии России и Федерального агенства правительственной связи и информации - ФАПСИ). В то же время сертифицированных отечественных разработок средств защиты для распределенных сетевых структур немного, и они почти неизвестны.

* Даже для такой изученной ОС, как Novell NetWare версий 3.х и 4.х, не хватает специалистов, владеющих методами защиты информации. Для Unix дефицит специалистов еще острее. А получить консультацию по модулям MLS (Multi Level Security) DEC OSF/1 или SCO Security Service практически негде.

Возможные решения

Существует множество мнений относительно решения проблем защиты информации, но большинство специалистов сходятся на том, что защитить ЛВС можно только комплексным применением аппаратно-программных и организационных мер. Ориентиром могут служить Руководящие документы Гостехкомиссии, согласно которым для обеспечения безопасности высокого уровня необходимы архитектурные решения, затрагивающие как аппаратную, так и программную составляющие вычислительных систем.

Компьютерная периодика не отстает от специалистов в дискуссиях по поводу безопасности данных. Практически в каждом номере компьютерного журнала или газеты найдется статья на эту тему. Вошло в моду описание опасностей передачи данных по Internet и всего, что с этим связано. Хотя все это и интересно, но зачастую оторвано от реальной отечественной практики.

Большинство организаций, имеющих ЛВС, пока не испытывают серьезных проблем с удаленным доступом к ресурсам сети, поскольку его попросту нет. Крупные сети чаще всего используются для пересылки электронной корреспонденции. В подобной ситуации, пожалуй, самая большая опасность - получить вирус вместе с распространяемым по сетям ПО.

Предназначенные для защиты информации зарубежные продукты, о которых много пишут, практически отсутствуют на российском рынке - ведь не всякая отечественная фирма может позволить себе приобрести брандмауэр (firewall) за 10 тыс. дол., а об ограничениях на ввоз криптографических средств иностранного производства сообщалось выше.

Однако почти не пишут об отечественных разработках в этой области, интересных, в первую очередь, администраторам локальных сетей. А писать есть о чем! За последние пару лет российские производители предложили несколько программных и аппаратно-программных продуктов для защиты отдельных компьютеров от несанкционированного доступа (НСД) и для шифрования информации на различных этапах ее обработки и передачи.

Таковы известные сертифицированные средства защиты информации в локальной сети Dallas Lock, Secret Net и др., предназначенные для работы в Novell NetWare 3.х или 4.х и имеющие примерно равные возможности и принципы построения:

* Пользователи проходят аутентификацию с помощью электронного идентификатора и пароля.

* Аппаратная часть включает считыватель и плату, устанавливаемую в свободное гнездо в системном блоке компьютера. На плате размещены адаптер и микросхемы ROM BIOS, блокирующие загрузку компьютера с дискеты. При необходимости добавляется криптоплата.

Программная часть реализует большинство защитных функций: идентификацию пользователей, разделение доступа к ресурсам компьютера (памяти, портам), ведение и анализ учетных журналов.

"Скорпион" - звено в цепи защиты

В 1995 г. ассоциация "Конфидент" (Санкт-Петербург) выпустила продукт "Скорпион 2.0", предназначенный для защиты от НСД рабочих станций и серверов сети Novell NetWare (существует версия и для Unix). Утилиты для MS DOS и Windows обеспечивают антивирусную защиту, создание защищенных каталогов, "прозрачное" шифрование, помехоустойчивое кодирование. Аутентификация пользователя реализована на аппаратном уровне.

Конструктивно система защиты представляет собой плату расширения типа КТ-331 для установки внутри компьютера. На плате кроме автономного процессора и энергонезависимой памяти размещен адаптер идентификатора Touch Memory (ТМ) фирмы Dallas Semiconductor, внешний считыватель которого подключается через разъем.

Приборы ТМ достаточно распространены, только в нашей стране их несколько сотен тысяч. Внутри прочного стального корпуса, напоминающего батарейку для наручных часов, скрыта микросхема с уникальным 64-разрядным номером. В зависимости от модификации прибора микросхема может содержать однократно программируемое ПЗУ емкостью до 64 Кбит, энергонезависимое ОЗУ такого же объема, закрытые по ключу зоны памяти, таймер, термометр. Начат выпуск варианта прибора, содержащего процессор.

Основным достоинством аппарата ТМ является простое считывающее устройство, которое включает две контактные шины - сигнальную и земляную, его последовательный интерфейс обеспечивает скорость передачи до 16,6 Кбит/с.

Рассмотрим возможности системы защиты "Скорпион" на трех участках общей цепи.

Пользователь - считыватель ТМ - адаптер ТМ - плата "Скорпион"

Собственный процессор на плате позволяет реализовать достаточно сложный алгоритм аутентификации пользователя. Информация о пользователях хранится в энергонезависимой памяти в зашифрованном виде с применением стандартного алгоритма DES. В простейшем случае может использоваться пароль на основе 64-разрядного номера и кода произвольной длины ТМ. (В NetWare обычно применяют пароли длиной 4-5 символов.) Усложненный вариант алгоритма аутентификации использует еще и секретные зоны памяти ТМ, защищенные отдельными ключами. Карточки ТМ с микропроцессором позволят перейти на алгоритмы, применяемые в, так называемых, смарт-картах. Надежность аутентификации можно значительно увеличить с помощью счетчиков обращений и кодов таймера. Наконец, между микропроцессором ТМ и платой "Скорпион" нетрудно организовать обмен данными по алгоритму RSA.

Плата "Скорпион" - рабочая станция

Для связи между платой защиты и рабочей станцией необходим отдельный программный модуль (в комплект поставки включены модули для DOS, Windows, NetWare). Выполняемые функции могут быть различными. В самом простом случае "Скорпион" выдает типовую команду доступа к сети Login (для Unix или Novell NetWare). Имя при этом формируется не только из идентификатора пользователя, но и из уникального номера платы защиты, записанного в ПЗУ. Стандартный набор утилит для Windows обеспечивает создание защищенных каталогов на жестком диске, их "прозрачное" шифрование в режиме реального времени, антивирусную защиту. Загрузка рабочей станции с дискеты блокируется с помощью расширения BIOS, также записанного в ПЗУ платы "Скорпион". Наконец, ПО процессора платы защиты хранится там же. Для доступа к нему нужен особый инструментарий.

Кроме того, "Скорпион" способен выполнять роль своеобразного электронного ключа. В нем имеются необходимые для этого уникальный номер, ОЗУ достаточного объема и микропроцессор для поддержания переменного протокола обмена.

Защищенная рабочая станция - другая рабочая станция или консоль администратора безопасности (по протоколам TCP/IP, IPX и др.)

Между рабочими станциями безопасность обеспечивается криптографически закрытой передачей информации по сети. Процессоры плат защиты абонентов повышают достоверность взаимной аутентификации рабочих станций за счет скрытых от пользователей сетевых идентификаторов и гибких алгоритмов обмена с применением сеансовых ключей. Путем перепрограммирования ПЗУ платы "Скорпион" можно адаптировать систему к любой ОС и СУБД и к любому сетевому протоколу (протоколы IPX и TCP/IP поддерживаются изначально). Кроме того, плата защиты обеспечивает взаимодействие со специальным ПО безопасности Dallas Lock 3.1 for NetWare, также производимого ассоциацией "Конфидент" и, тем самым, дает возможность администратору безопасности следить за рабочими станциями, оснащенными комплексом "Скорпион". При необходимости он может заблокировать работу любой станции.

***

Подведем некоторые итоги. Реализация основных функций защиты в продукте "Скорпион" на аппаратном уровне дала ощутимые преимущества перед аналогичными системами, построенными на других принципах:

* Повышенная степень защищенности протоколов обмена и аутентификации. Операционная среда процессора платы недоступна из ОС защищаемого компьютера. Протоколы обменов и пароли могут быть переменными, например сеансовыми.

* Улучшенная адаптируемость к любой внешней среде. За счет перепрограммирования ПЗУ платы возможна адаптация к различным аппаратным платформам (с одинаковыми гнездами расширения) или ПО.

* Стандартная процедура входа в сеть LOGIN.

* Экономичная модернизация, связанная с переходом на другую аппаратную или программную платформу.

"Скорпион" является одним из самых дешевых продуктов в своем классе. В основной комплектации он продается за 120 дол., в упрощенной (Login TM) - за 75 дол. Стоимость аналогичных программных и аппаратно-программных средств защиты информации составляет 180 - 1000 дол. (в расчете на одну рабочую станцию).


распечатать статью

Купить Визиум visium Визиум капсулы для зрения купить aptekaber.ru.




  
4 '1996
СОДЕРЖАНИЕ

колонка редактора

• Всемирная либеральная революция в электросвязи

услуги сетей связи

• Система сигнализации № 7

• CTI: TAPI или TSAPI?

• Стандарт DECT: новые возможности для операторов сетей связи

• Широковещательные системы передачи данных домашним ПК

• Эволюция GSM

интернет и интрасети

• Мир TCP/IP. Традиционные приложения (часть 1)

• Какой вариант HTML "реальнее"?

• Южная Московская Опорная Сеть

• ПК для всего мира

• Как украсить страницу Web

• Планирование узла Web

корпоративные сети

• Тестирование модемов V.34

• Многопротокольная маршрутизация в сетях АТМ

• Маршрутизация в сетях АТМ. Кто победит?

• Удаленный доступ по TCP/IP

• Средства удаленного доступа

локальные сети

• Сетевые принтеры

• Стековые концентраторы

• Законы энтропии и сеть

• Системная политика - ключ к эффективному управлению

• Применение профилей пользователей в Windows 95

защита данных

• Размышления об электронных платежах

• Чувство безопасности

• "Скорпион" защищает сеть

новые продукты

• Недорогой маршрутизатор Vgate фирмы RND, Lotus Notes версии 4.0, Компьютеры UltraSPARC, Коммутаторы IGX фирмы StrataCom, Bay Networks всерьез берется за АТМ, Вперед по дороге АТМ



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх