Континент

6
ОПИСАНИЕ СИСТЕМЫ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ
ИНФОРМАЦИИ СКЗИ «Континент»
Система криптографической защиты информации (СКЗИ)
«Континент» предназначена для защиты конфиденциальной информации, не
являющейся государственной тайной, при ее хранении на дисках и передаче
по каналам связи и разработана для решения задач обеспечения безопасности
национальных
информационных
ресурсов.
СКЗИ
«Континент»
сертифицирована в соответствии с утвержденной Госстандартом Системой
сертификации средств криптографической защиты информации РОСС RU
0001.030001 от 15.11.93г. Сертификация в государственной экспертной
организации является обязательным требованием при использовании СКЗИ,
гарантирует стойкость криптографической системы и определяет условия ее
безопасной эксплуатации. Программное обеспечение СКЗИ выполнено в
соответствии с российскими государственными стандартами. Алгоритм
шифрования выполнен в соответствии с требованиями ГОСТ 28147-89.
Система обработки информации. Защита криптографическая. Алгоритм
криптографического преобразования.
Цифровая подпись выполнена в соответствии с требованиями ГОСТ Р
34.10-94. Информационная технология. Криптографическая защита
информации. Процедуры выработки и проверки электронной цифровой
подписи на базе асимметричного криптографического алгоритма.
Функция хеширования выполнена в соответствии с требованиями
ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита
информации. Функция хеширования.
6.1.1 Состав комплекса
Комплекс “Континент-К” включает в свой состав следующие компоненты:
 центр управления сетью криптографических шлюзов;
 криптографический шлюз;
 программа управления сетью криптографических шлюзов;
 систему криптозащиты информации «Континент»(абонентский пункт).
Центр управления сетью (ЦУС) осуществляет управление работой всех
КШ, входящих в состав виртуальной сети. ЦУС осуществляет контроль за
состоянием всех зарегистрированных КШ и абонентов сети, проводит
рассылку ключевой информации, предоставляет администратору функции
удаленного управления КШ и абонентами, обеспечивает получение и
хранение содержимого системных журналов КШ, а также ведение журнала
событий НСД.
Криптографический шлюз (КШ) обеспечивает криптографическую защиту
информации при ее передаче по открытым каналам сетей общего
пользования и защиту внутренних сегментов сети от проникновения извне.
Программа управления обеспечивает отображение состояний КШ,
просмотр содержимого системных журналов КШ, изменение настроек
маршрутизации и правил фильтрации пакетов.
Система криптозащиты информации (Абонентский пункт) программа
устанавливаемая на рабочих местах участников сети, обеспечивающая связь с
криптошлюзом и получение прав доступа к сетевым ресурсам защищенной
сети удаленным абонентам.
6.1.2 Варианты применения комплекса
Комплекс “Континент-К” может использоваться в следующих вариантах:
 защита соединения «точка-точка»;
 защищенная корпоративная VPN-сеть.
+ЦУС
Рисунок 6.1 Защита соединения «точка-точка»
Защита соединения «точка-точка» Рисунок 5.1 предполагает
использование КШ для защиты данных, передаваемых по неконтролируемой
территории между двумя защищенными сегментами территориально
разделенных ЛВС через сеть Internet или по выделенному каналу связи. В
этом случае обеспечивается шифрование и имитозащита данных,
передаваемых между двумя защищенными сегментами разделенной ЛВС.
Управление параметрами КШ осуществляется из той ЛВС, в которой
установлена программа управления и на криптошлюзе которой установлен
центр управления сетью.
Защищенная корпоративная VPN-сеть Рисунок 3.2 предполагает, что
защищаемые сегменты сети предприятия объединены между собой через
каналы передачи данных сети общего пользования (выделенные каналы
различной пропускной способности, в т.ч. сеть Internet). В этом случае
обеспечивается:
 шифрование и имитозащита данных, передаваемых по каналам связи;
 аутентификация удаленных абонентов;
 фильтрация входящих и исходящих IP-пакетов;
 скрытие внутренней структуры каждого защищаемого сегмента сети;
 распределение и управление сменой ключей шифрования.
Рисунок 6.2 Защищенная корпоративная сеть
Для централизованного управления работой КШ (настройка, контроль
состояния, распределение ключей шифрования и т.д.) используются центр
управления сетью и программа управления.
Центр управления сетью устанавливается на одном из криптошлюзов
сети. Программа управления может быть установлена на компьютерах
внутри защищаемых центром управления сегментов сети.
Оповещение администратора о попытках НСД осуществляется на АРМ
управления сетью.
Шифрование передаваемой информации для пользователей VPN
является прозрачным.
6.1.3 Варианты поставки СКЗИ «Континент»
СКЗИ «Континент», в зависимости от желания заказчика, может
поставляться в следующих вариантах:
 в виде программы автономного рабочего места (абонентского пункта);
 в виде отдельного криптошлюза в комплекте с программой ЦУС и
программой рабочего места администратора безопасности;
 в виде полного комплекса включающего в себя криптошлюз и
необходимое количество абонентских пунктов а также программу ЦУС
установленную на шлюзе и рабочее место администратора
безопасности.
6.2 Основные характеристики СКЗИ «Континент»
СКЗИ «Континент» решает следующие задачи:
 шифрование/расшифровывание информации на уровне файлов, блоков
данных;
 генерацию электронной цифровой подписи (ЭЦП);
 проверку ЭЦП;
 обнаружение искажений, вносимых злоумышленниками или вирусами в
защищаемую информацию;
 сжатие трафика для уменьшения объема передаваемой информации;
 доступ в сеть Internet для клиентов корпоративной сети.
Развитая система контроля шифратора и обработка ошибочных
ситуаций обеспечивают надежную работу.
Удобная система меню и контекстные подсказки позволяют
оперативно выбирать файлы, сменить рабочий ключ и, таким образом, свести
к минимуму потери времени при работе.
Дополнительные возможности:
 автоматическое определение номера рабочего ключа и его чтение с
ключевой дискеты в процессе расшифровки файла и формирования ЭЦП;
 шифрование группы файлов на одном ключе с объединением их в один
закрытый файл и выборочное расшифровки из этого файла;
 оперативная
смена ключей при шифровании по справочнику
корреспондентов;
 ведение журнала регистрации входа (выхода) в систему;
 подпись файла 1255 корреспондентами с выборочной или полной
проверкой, причем допускаются к проверке ЭЦП, сформированные на
ключах, выработанных в разные года;
 ведение журнала регистрации протокола проверки ЭЦП;
 ведение журнала регистрации подписанных файлов;
 ведение журнала регистрации шифрования файлов;
 ведение журнала регистрации вывода шифрованных файлов на печать;
 стирание
открытой
информации
осуществляется
записью
последовательности нулей, что исключает ее восстановление без
специального оборудования;
 защита от несанкционированного доступа к ПО обеспечивается на
уровне исполняемых файлов путем запроса пароля при их запуске на
исполнение.
Вероятность
не
обнаружения
искажений,
вносимых
злоумышленниками или вирусами при передаче по каналам связи, составляет
10-9.
При шифровании файла его размер округляется до кратного 8 в
большую сторону, а затем увеличивается на 51+ число получателей  48 байт.
Размер области памяти при шифровании увеличивается на 37 байт + число
получателей  48 байт.
Размер файла/области памяти при первой подписи увеличивается на 98
байт и на 87 байт при каждой последующей подписи.
6.3 Состав комплекса «Континент-К»
6.3.1 Криптографический шлюз
Криптографический шлюз представляет собой специализированное
программно-аппаратное устройство, функционирующее под управлением
сокращенной версии ОС FreeBSD. Он обеспечивает:
-прием и передачу пакетов по протоколам семейства TCP/IP
(статическая маршрутизация);
-шифрование передаваемых и принимаемых IP-пакетов (ГОСТ 2814789, режим гаммирования с обратной связью);
-сжатие защищаемых данных;
-защиту данных от искажения (ГОСТ 28147-89, режим имитовставки);
-фильтрацию IP-пакетов в соответствии с заданными правилами
фильтрации;
-скрытие внутренней структуры защищаемого сегмента сети;
-криптографическую аутентификацию удаленных абонентов;
-периодическое оповещение ЦУС о своей активности;
-регистрацию событий, связанных с работой КШ;
-оповещение администратора (в реальном режиме времени) о
событиях, требующих оперативного вмешательства;
-идентификацию и аутентификацию администратора при запуске КШ
(средствами ЭЗ “Соболь”);
-контроль целостности программного обеспечения КШ до загрузки
операционной системы (средствами ЭЗ “Соболь”).
Рисунок 6.4 Обработка исходящих IP-пакетов
Обработка исходящих IP-пакетов представлена на Рисунке 3.4. Все IPпакеты, поступившие от внутренних абонентов защищаемого сегмента,
вначале подвергаются фильтрации.
Фильтрация
IP-пакетов
осуществляется
в
соответствии
с
установленными администратором правилами на основе IP-адресов
отправителя и получателя, допустимых значений полей заголовка,
используемых портов UDP/TCP и флагов TCP/IP-пакета. Если пакет не
удовлетворят правилам фильтрации, он отвергается. Отправитель пакета
получает ICMP-сообщение о недоступности абонента.
При установке КШ автоматически генерируются правила,
необходимые для обеспечения защищенного взаимодействия с ЦУС,
корректной работы механизма маршрутизации пакетов, обработки
управляющего трафика коммуникационного оборудования и обеспечения
возможности начала работы VPN-функций без дополнительного
конфигурирования.
IP-пакеты, удовлетворяющие правилам фильтрации, обрабатываются
блоком криптографической защиты и передаются на внешний интерфейс
криптошлюза.
криптошлюз-отправитель
обеспечивает
его
сжатие,
зашифровывание и имитозащиту, инкапсуляцию в новый IP-пакет, в котором
в качестве IP-адреса приемника выступает IP-адрес криптошлюза получателя, а в качестве IP-адреса источника выступает IP-адрес
криптошлюза -отправителя.
IP-пакеты, адресованные абонентам, внешним по отношению к VPNсети (Web-сайты, ftp-серверы), передаются в открытом виде. Это позволяет
использовать КШ при доступе к общедоступным ресурсам сетей общего
пользования в качестве межсетевого экрана пакетного уровня.
Обработка входящих пакетов представлена на Рисунке 3.5. Входящие
IP-пакеты от открытых абонентов блоком криптографической защиты не
обрабатываются и поступают непосредственно в фильтр IP-пакетов.
Рисунок 6.5 Обработка входящих IP-пакетов
Для пакетов, полученных от абонентов VPN, блок криптографической
защиты осуществляет проверку целостности пакетов и расшифровывает их,
после чего пакеты поступают в фильтр IP-пакетов. Если целостность пакета
нарушена, то пакет отбрасывается без расшифровки и без оповещения
отправителя пакета с генерацией сообщения о НСД.
IP-пакеты, удовлетворяющие правилам фильтрации, передаются через
внутренний интерфейс внутренним абонентам.
Криптографический шлюз осуществляет регистрацию следующих событий:
 загрузку и инициализацию системы и ее программный останов;
 вход (выход) администратора криптошлюза в систему (из системы);
 запросы на установление виртуальных соединений между
криптошлюзами, между криптошлюзом и Центром управления;
 результат фильтрации входящих/исходящих пакетов;
 попытки НСД;
 любые нештатные ситуации, происходящие при работе криптошлюза;
 информацию о потере и восстановлении связи на физическом уровне
протоколов.
Перечень регистрируемых событий при эксплуатации криптошлюза
определяется администратором. При регистрации события фиксируются:
 дата, время и код регистрируемого события;
 адрес источника и адрес получателя (при фильтрации), включая порты
протоколов TCP, IP
 результат попытки осуществления регистрируемого события успешная или неуспешная (или результат фильтрации);
 идентификатор администратора криптошлюза, предъявленный при
попытке осуществления регистрируемого события (для событий
локального/удаленного управления).
Оповещение о событиях, требующих вмешательства администратора,
осуществляется по протоколу SNMP. Оповещения передаются в открытом
виде на ЦУС, откуда могут быть получены консолью управления.
Криптографический шлюз обеспечивает сжатие передаваемых данных об
однотипных событиях.
Локальная сигнализация о событиях, требующих вмешательства
администратора, осуществляется путем вывода соответствующих сообщений
на монитор криптошлюза.
6.3.2 Центр управления сетью
Центр управления сетью осуществляет управление работой всех
криптошлюзов, входящих в состав системы защиты. ЦУС осуществляет
контроль состояния всех зарегистрированных криптошлюзов, проводит
рассылку ключевой информации, предоставляет администратору функции
удаленного управления криптошлюзами, обеспечивает получение и хранение
содержимого системных журналов криптошлюза, а также ведение журнала
событий НСД.
ЦУС обеспечивает:
 аутентификацию криптошлюза и консолей управления;
 контроль текущего состояния всех криптошлюзов системы;
 хранение информации о состоянии системы защиты (сети
криптошлюзов);
 централизованное управление криптографическими ключами и
настройками каждого криптошлюза сети;
 взаимодействие с программой управления;
 регистрацию событий по управлению и изменению параметров
криптошлюза;
 получение журналов регистрации от всех имеющихся криптошлюзов и
их хранение.
Программное обеспечение ЦУС устанавливается на одном из криптошлюзов
защищаемой сети.
6.3.3 Программа управления
Программа управления предназначена для централизованного управления
всеми криптошлюзами, работающими под управлением одного ЦУС. Эта
программа позволяет:
 отображать информацию о текущем состоянии всех имеющихся
криптошлюзах;
 добавлять в систему новые криптошлюзы, изменять сведения о
существующий криптошлюзах или удалять криптошлюз;
 централизованно управлять настройками криптошлюза;
 управлять правилами маршрутизации криптошлюза;
 управлять ключами шифрования;
 анализировать содержание журналов регистрации криптошлюза.
Программа управления предназначена для работы на компьютерах,
оснащенных процессорами семейства Intel x86 или совместимыми с ними, и
функционирующих под управлением ОС Windows 2000 (и выше) или ОС
Windows 98/ME. На этих компьютерах должны быть установлены компоненты,
обеспечивающие работу с сетевыми протоколами семейства TCP/IP.
6.3.4 Автономное рабочее место
Автономное рабочее место оператора СКЗИ «Континент» (абонентский
пункт), функционирующее под управлением операционной системы MS
Windows98/ME или MS Windows2000/XP на персональных ЭВМ,
совместимых
с IBM
PC
(Pentium II
и
выше),
позволяет
шифровать/расшифровывать файлы, формировать и проверять ЭЦП файлов в
режиме диалога с оператором, вести журналы регистрации, протоколы
работы и справочники ключей.
Ядром автономного рабочего места является программа FCOLSE.EXE.
Правила работы с этой программой приведены в документе «Программа
FCOLSE. Автономное рабочее место. Руководство оператора».
Программа FCOLSE обеспечивает следующие функции:
 зашифровывание/расшифровывание информации на уровне файлов
(копирование или перенос файлов между открытыми и закрытыми
каталогами);
 расшифровывание файла в буфер и его вывод на печать;
 просмотр заголовка и оглавления зашифрованного файла;
 архивирование зашифрованных файлов;
 генерацию ЭЦП (в программе FCOLSE возможны два режима подписи
файлов: с добавлением подписи в конец подписываемого файла и с
занесением подписи в отдельный файл).
 проверку ЭЦП файлов (полную или выборочную);
 просмотр перечня подписей подписанного файла;
 архивирование подписанных файлов.
Для каждого зашифрованного файла создается оглавление. В нем
указываются имена файлов, которые были зашифрованы, их размер, дата и
время создания, а также номер рабочего ключа, если при зашифровывании
использовался ключевой диск. Зашифрованный файл может иметь открытый
заголовок, в котором указывается, от кого и кому шифруется сообщение, и
другая дополнительная информация. Зашифрованный файл можно поместить
в архив, а также вывести на печать с расшифровыванием.
Зашифровывание файла регистрируется в журнале регистрации
шифрования. Расшифровывание регистрируется в журнале регистрации
дешифрования/печати.
Каждый подписанный файл имеет оглавление, в котором для каждой
подписи указывается ее порядковый номер, полный номер ключа, дата и
время создания подписи. Подпись файла регистрируется в журнале
регистрации подписи.
Проверка подписи допускается для файлов с любым расширением. В
ходе проверки ЭЦП создается журнал регистрации проверки подписи,
содержащий имя файла, дату проверки, время проверки, данные о
результатах проверки. После проверки подписи можно создать файл
подтверждения проверки подписи, данные для которого берутся из журнала
регистрации проверки подписи.
6.3.5 Встраиваемый исполняемый EXE-модуль
Встраиваемый исполняемый модуль KEVYN.EXE функционирующий
под управлением операционной системы MS Windows98/ME или MS
Windows2000/XP на персональных ЭВМ, совместимых с IBM PC (Pentium II
и выше), предназначен для встраивания в системы электронной почты,
информационно-справочные системы, банковские приложения и прикладное
программное обеспечение, позволяет шифровать/расшифровывать файлы и
области оперативной памяти, формировать и проверять электронную
цифровую подпись файлов и областей оперативной памяти при вызове из
командной строки.
Программа KEVYN требует загрузки программного датчика случайных
чисел - драйвера CYPRASW.EXE.
Правила работы с программами KEVYN.EXE и CYPRASW.EXE
приведены в документах «Программа KEVYN. Инструкция по встраиванию»
и «Программа CYPRASW. Руководство оператора».
Программа KEVYN обеспечивает функции:
 зашифровывание/расшифровывание информации на уровне файлов;
 подпись файла;
 подпись полей в файле;
 подпись области памяти;
 проверка подписи файла;
 проверка подписи полей в файле;
 проверка подписи области памяти.
А также программа KEVYN предоставляет возможность подписывать и
проверять подписи группы файлов по списку, при проверке подписи —
передавать в файле список номеров ключей, на которых должен быть
подписан файл, или список номеров ключей, на одном из которых должен
быть подписан файл.
6.3.6 Библиотеки объектных модулей, функционирующие в среде
Windows
Библиотеки объектных модулей WBOTH, WCRYPT, WSIGN
предназначены для встраивания в системы электронной почты,
информационно справочные системы, банковские приложения и прикладное
программное обеспечение, функционирующее в среде Windows 98/ME,
Windows 2000/XP, позволяют шифровать/расшифровывать файлы и области
оперативной памяти, формировать и проверять электронную цифровую
подпись файлов и областей оперативной памяти.
Криптографические функции, выполняемые библиотеками:
 WBOTH — библиотека, содержащая функции шифрования, выработки
имитовставки,
выработки
случайного
числа,
формирования
электронной цифровой подписи, проверки подписи и выработки
значения хэш-функции, а также функции работы со справочниками
открытых ключей подписи;
 WCRYPT — библиотека, содержащая функции шифрования,
выработки имитовставки, формирования случайного числа;
 WSIGN — библиотека, содержащая функции формирования
электронной цифровой подписи, проверки подписи и выработки
значения хэш-функции, а также функции работы со справочниками
открытых ключей подписи.
Скорость шифрования информации (Pentium II-350) — 500 Кб/сек (не
включая время контроля и чтения/записи на диск).
Время вычисления хэш-функции (Pentium II-350) — 400 Кб/сек.
Время формирования ЭЦП (Pentium II-350) — 0,04 сек.
Время проверки ЭЦП (Pentium II-350) — 0,2 сек.
Правила работы с библиотеками описаны в документе: «Библиотеки
СКЗИ «Континент». Инструкция по встраиванию».
6.3.7 Библиотеки объектных модулей, функционирующие в среде Unix
Библиотеки объектных модулей libverba.a предназначены для
встраивания в системы электронной почты, информационно справочные
системы, банковские приложения и прикладное программное обеспечение,
функционирующее под управлением под управлением операционных систем
HP-UX 10.20 и Digital UNIX v4.0a., позволяют шифровать/расшифровывать
файлы и области оперативной памяти, формировать и проверять
электронную цифровую подпись файлов и областей оперативной памяти.
Библиотека libverba.a написаны на языке С, скомпилирована и собрана
в бинарный модуль с помощью компилятора ANSI С.
Скорость шифрования информации на HP PA-RISC 9000/827 - 275
Кб/с, на DEC ALPHAStation 255 (233Mhz) - 1.040 Кб/с (не включая время
контрольного прогона, чтения/записи на диск и времени чтения и
модификации ключей).
Время вычисления хэш-функции на HP PA-RISC 9000/827) - 225 Кб/с,
на DEC ALPHAStation 255 (233Mhz) - 700 Кб/с.
Время формирования ЭЦП (HP PA-RISC 9000/827) - 0,017 с, на DEC
ALPHAStation 255 (233Mhz) - 0,01с.
Время проверки ЭЦП (HP PA-RISC 9000/827) - 0,016 с, на DEC
ALPHAStation 255 (233Mhz) - 0,044с.
libverba.a обеспечивают следующие функции:
 зашифровывание/расшифровывание информации на уровне файлов;
 зашифровывание/расшифровывание области памяти;
 подпись файла - ЭЦП добавляется в конец подписываемого файла;
 подпись области памяти - ЭЦП добавляется в конец области памяти;
 проверку ЭЦП файла;
 проверку ЭЦП области памяти;
 удаление подписи;
 подсчет имитовставки от файла;
 подсчет имитовставки от блока памяти;
 подсчет хэш-функции от файла;
 подсчет хэш-функции от блока памяти.
Правила работы с библиотеками описаны в документе: «Библиотека
libverba.a. Инструкция по встраиванию».
6.4 Защита данных с помощью криптографических преобразований
Защита данных с помощью криптографических преобразований
(преобразование данных шифрованием и (или) выработкой имитовставки) —
одно из возможных решений проблемы их безопасности. Криптографическая
защита данных представляет собой шифрование данных с целью скрыть их
смысл. До тех пор, пока пользователь не идентифицирован по ключу, смысл
данных ему не доступен.
Ряд данных критичен к искажениям, которые нельзя обнаружить из
контекста, поэтому используемые способы шифрования чувствительны к
искажению любого символа. Они гарантируют не только высокую
секретность, но и эффективное обнаружение любых искажений или ошибок.
Криптографическая защита, не требуя больших затрат, обеспечивает
надежную защиту данных на ЭВМ. Вместе с тем необходимо понимать, что
умелая поддержка ряда административных мер должна защитить саму
криптографию, ее ключи и людей от возможного обмана или угроз
применения физической силы.
Криптография предполагает наличие трех компонент: данных, ключа
связи и криптографического преобразования.
При зашифровывании исходными данными будет сообщение, а
результирующими — зашифрованное сообщение. При расшифровывании
они меняются местами.
Ключ - конкретное секретное состояние некоторых параметров
алгоритма криптографического преобразования данных. В данном случае
термин «ключ» означает уникальный битовый шаблон. Считается, что
правила криптографического преобразования известны всем, но, не зная
ключа, с помощью которого пользователь закрыл смысл сообщения,
требуется потратить невообразимо много усилий на восстановление текста
сообщения. Длина ключа, согласно ГОСТ 28147-89 [10], равна 256 бит.
Ключевая система организована по принципу полной матрицы. Это
означает, что формируется матрица, которая содержит все секретные ключи
связи, и каждый j-ый абонент получает j-ую строку из этой матрицы, и
использует
i-ый
элемент
этой
строки
при
зашифровывании/расшифровывании в качестве секретного ключа связи с
i-ым абонентом. В СКЗИ «Континент» используется определенный ГОСТ
28147-89 [10] симметричный алгоритм криптографического преобразования
данных в режиме гаммирования, который подразумевает процесс наложения
по определенному закону гаммы шифра на открытые данные (под гаммой
понимается псевдослучайная двоичная последовательность, вырабатываемая
по заданному алгоритму). ГОСТ 28147-89 [10] также определяет процесс
выработки имитовставки, который единообразен для любого из режимов
шифрования данных. Имитовставка — это последовательность данных
фиксированной длины, которая вырабатывается по определенному правилу
из открытых данных и ключа либо перед шифрованием сообщения, либо
параллельно с шифрованием. Имитовставка передается по каналу связи или
в память ЭВМ после зашифрованных данных. Выработка имитовставки
обеспечивает защиту от навязывания ложных данных, вероятность не
обнаружения которого зависит от длины имитовставки и равна 10-9.
Поступившие зашифрованные данные расшифровываются, и из полученных
блоков данных вырабатывается новая имитовставка, которая затем
сравнивается с имитовставкой, полученной из канала связи или из памяти
ЭВМ. В случае несовпадения имитовставок все расшифрованные данные
считаются ложными.
6.5 Электронная цифровая подпись
Электронная цифровая подпись — средство, позволяющее на основе
криптографических методов надежно установить авторство и подлинность
документа.
Электронная цифровая подпись позволяет заменить при безбумажном
документообороте традиционные печать и подпись. Цифровая подпись не
имеет ничего общего с последовательностью символов, соответствующих
печати или подписи, приписанной к документу. При построении цифровой
подписи вместо обычной связи между печатью или рукописной подписью и
листом бумаги выступает сложная математическая зависимость между
документом, секретным и общедоступным ключами, а также цифровой
подписью. Невозможность подделки электронной цифровой подписи
опирается на очень большой объем необходимых математических
вычислений.
Каждый абонент, обладающий правом подписи, самостоятельно на
автономной ПЭВМ формирует два ключа подписи: секретный и открытый.
Секретный ключ используется для выработки подписи. Только
секретный ключ гарантирует невозможность подделки злоумышленником
документа и цифровой подписи от имени заверяющего. Каждый
пользователь системы цифровой подписи должен обеспечить сохранение в
тайне своего секретного ключа.
Открытый ключ вычисляется, как значение некоторой функции от
секретного, но знание открытого ключа не дает возможности определить
секретный ключ. Открытый ключ может быть опубликован и используется
для проверки подлинности документа и цифровой подписи, а также для
предупреждения мошенничества со стороны заверяющего в виде отказа его
от подписи документа. Открытым ключом можно пользоваться только в том
случае, если известны его подлинность и авторство, которые
подтверждаются сертификатом «центра». Поэтому во избежание попыток
подделки или внесения искажений обмен и хранение открытых ключей
должны осуществляться в защищенном виде. Для этого при обмене
открытыми ключами можно использовать секретный канал связи или в
открытом канале связи средства электронной цифровой подписи, а при
работе с СКЗИ необходимо контролировать целостность справочника
открытых ключей.
Таким образом, каждому пользователю, обладающему правом подписи,
необходимо иметь лишь один секретный ключ и справочник
регистрационных записей открытых ключей абонентов сети. Если
пользователь не обладает правом подписи, но в процессе работы ему
необходимо проверять подписи, проставленные под документами, он должен
иметь лишь справочник открытых ключей. Для формирования справочника
существует несколько возможностей. Например, список открытых ключей
может формироваться в «центре» (под «центром» понимается выделенный
пользователь, обладающий особыми полномочиями), которому доверяют все
пользователи системы. «Центр» получает готовую регистрационную
карточку открытого ключа абонента, формирует справочник открытых
ключей, рассылает готовый справочник абонентам сети и контролирует его
целостность и истинность.
В СКЗИ «Континент» реализована система электронной цифровой
подписи на базе асимметричного криптографического алгоритма согласно
ГОСТ Р 34.10-94 [8, приложение 1]. Электронная цифровая подпись
вырабатывается на основе текста документа, требующего заверения, и
секретного ключа. Согласно стандарту документ «сжимают» с помощью
функции хеширования (ГОСТ Р 34.11-94. Информационная технология.
Криптографическая защита информации. Функция хеширования.
Однонаправленная хэш-функция получает на входе сообщение
переменной длины и преобразует его в хэш-значение фиксированной длины
(256 бит согласно ГОСТ Р 34.11-94). Значение хэш-функции сложным
образом зависит от документа, но не позволяет восстановить сам документ.
Хэш-функция чувствительна к всевозможным изменениям в тексте. Кроме
того, для данной функции нельзя вычислить, какие два исходные сообщения
могут генерировать одно и то же хэш-значение, поскольку хэш-значения
двух 256-битовых документов могут совпасть в одном из 2256 (1077) случаев.
Далее, к полученному хэш-значению применяется некоторое математическое
преобразование и получается собственно подпись документа.
При проверке подписи проверяющий должен располагать открытым
ключом абонента, поставившего подпись. Проверяющий должен быть
полностью уверен в его подлинности, которая подтверждается сертификатом
«центра». Процедура проверки подписи состоит из вычисления хэш-значения
документа и проверки некоторых соотношений, связывающих хэш-значение
документа, подпись под этим документом и открытый ключ подписавшего
абонента. Документ считается подлинным, а подпись правильной, если эти
соотношения выполняются. В противном случае документ считается
измененным, и подпись под ним — недействительной.
Для разрешения споров между отправителем и получателем
информации, связанных с возможностью искажения ключа проверки
подписи (открытого ключа подписи), достоверная копия этого ключа может
выдаваться третьей стороне (арбитру) и применяться им при возникновении
конфликта. Предъявляя контролеру, открытый ключ — значение некоторой
функции, вычисляемое с помощью секретного ключа, пользователь
косвенным образом доказывает, что обладает секретным. Наличие у абонента
секретного ключа не позволяет ему самому сменить свой номер в сети или
выработать подпись под номером другого абонента.
6.6 Контроль сохранности программного обеспечения
Все варианты поставки СКЗИ «Континент» комплектуются
программой VERIF.EXE, позволяющей производить криптографическими
методами контроль сохранности программного обеспечения СКЗИ
«Континент», системного и прикладного программного обеспечения по
списку верификации.
При помощи программы VERIF можно также устанавливать
необходимую конфигурацию СКЗИ «Континент» для программы KEVYN,
формировать и редактировать справочники открытых ключей ЭЦП.
Правила работы с программой VERIF приведены в документе
«Программа VERIF. Руководство оператора».
6.7 Ключевая система
6.7.1 Идентификация абонента в сети
Каждая
подсеть
однозначно
определяется
внутри
всей
информационной сети номером SSSSSS, который может принимать значение
от 000000 до 999999. Этот номер присваивается ключевому диску с исходной
ключевой информацией и называется номером серии.
Абоненты внутри всей сети различаются по номерам вида
XXXXSSSSSSYY, а внутри отдельной подсети — по номерам вида
XXXXYY. Номера внутри отдельной подсети распределяются пользователем
при создании носителей ключевой информации. Составляющая XXXX
обозначает номер ключевого диска для шифрования и может принимать
значение от 0000 до 9999. Ключевой диск для подписи создается с
использованием ключевого диска для шифрования. На каждом ключевом
диске для шифрования можно создавать от 0 до 99 ключевых дисков для
подписи, которые идентифицируются по личному коду YY.
Таким образом, абоненты, обладающие правом шифровать документы,
идентифицируются внутри отдельной подсети по номерам вида XXXX, где
XXXX — номер ключевой дискеты; абоненты, обладающие правом
подписи — по номерам вида XXXXYY, где XXXX — номер ключевой
дискеты, YY — личный код.
6.7.2 Носители ключевой информации. Типы ключевых дисков
В СКЗИ «Континент» используются следующие типы носителей
ключевой информации:
 ключевой диск для шифрования;
 ключевой диск для подписи;
 совмещенный ключевой диск (с ключами шифрования и подписи) и их
рабочие копии.
При создании рабочих копий ключевых дисков необходимо
использовать средства СКЗИ «Континент». Полученный с помощью СКЗИ
«Континент» рабочий диск не является точной копией исходного, но
полностью выполняет его функции. Нельзя создать рабочую копию
исходного диска с ключевой информацией простым копированием файлов с
исходного ключевого диска.
6.7.3 Создание носителей ключевой информации
Исходные ключевые диски для шифрования изготавливаются ФАПСИ
по заявке пользователя и содержат соответствующий данному абоненту
вектор ключей шифрования, номер серии и другую служебную информацию.
Ключевой диск для подписи формируется пользователем на основе
диска для шифрования или его рабочей копии. После завершения выработки
ключей сформируется файл, содержащий ключ подписи, его номер, а также
индивидуальные ключи шифрования секретных ключей подписи и
шифрования для хранения их на ЖМД. Секретные ключи пользователя
должны храниться в тайне.
6.7.4 Временное хранение секретных ключей на жестком диске
ПО СКЗИ «Континент» предусматривает возможность хранения
секретных ключей на жестком диске, что удобно при частом обращении к
ключевой информации.
Секретные и открытые ключи шифрования и подписи хранятся в
защищенном виде. При хранении на ключевом ГМД ключи перекодируются
на так называемом главном ключе, при временном хранении на ЖМД — на
главном ключе и на индивидуальных ключах шифрования секретных
ключей.
6.7.5 Типы ключей
Определены следующие типы открытых ключей:
 действующий;
 скомпрометированный;
 резервный.
6.7.6 Смена ключей
Смена ключей возможна в следующих ситуациях:
 плановая смена ключей;
 компрометация ключа;
 ввод в действие нового ключа;
 удаление ключа.
Плановую смену ключей рекомендуется производить не реже одного
раза в год. При плановой смене ключей, при их компрометации и удалении
абонента из сети конфиденциальной связи, все секретные ключи
(шифрования и подписи) должны быть уничтожены, а выведенные из
действия открытые ключи должны храниться в течение определенного
“центром” времени для разбора конфликтных ситуаций. После уничтожения
ключевой информации (при компрометации ключа) вводятся в действие
резервные ключи. Все изменения должны немедленно отражаться в
справочниках ключей и немедленно рассылаться всем абонентам сети.
6.7.7 Уничтожение ключевой информации
Для уничтожения ключевой информации предусмотрена специальная
процедура форматирования ключевой дискеты, которая прописывает
несекретную информацию для того, чтобы содержащиеся на ней данные
исчезли физически.
6.8 Справочник открытых ключей подписи
Для проверки достоверности подписи необходимо иметь справочник
открытых ключей подписи абонентов.
Предполагается, что справочники ведутся и корректируются по мере
необходимости по команде из «центра» («центром» является выделенный
пользователь, наделенный некоторыми особыми полномочиями).
Справочники открытых ключей могут быть созданы и изменены в
программах FCLOSE, VERIF и HOST
Справочник открытых ключей подписи создается в каталоге с ПО
«Континент-К» для каждой подсети (серии) и хранится в подкаталоге, имя
которого совпадает с номером серии SSSSSS.
Справочники содержат регистрационные записи открытых ключей
подписи абонентов. В регистрационной записи указываются номер ключа,
тип ключа (действующий, скомпрометированный, резервный), сам открытый
ключ, информация об абоненте и значение хэш-функции на эти данные.
Регистрационную запись можно просмотреть, сохранить, распечатать,
удалить из справочника или добавить в справочник. После добавления в
справочник новой регистрационной записи справочник автоматически переподписывается.
С одним и тем же справочником могут работать несколько
пользователей с независимой проверкой целостности справочника. Для
контроля целостности и подлинности справочников используется процедура
выработки
имитовставки.
Имитовставка
создается
на
каждую
регистрационную запись в справочнике. Справочник при этом не меняется, и
для каждого пользователя создается свой файл с имитовставками.
Доказательство принадлежности ЭЦП при разборе конфликтных
ситуаций
6.9.1 Общие положения
Применение электронной цифровой подписи (ЭЦП) может приводить к
конфликтным ситуациям, заключающимся в оспаривании сторонами
(участниками системы электронных расчетов) авторства и/или содержимого
документа, подписанного электронной цифровой подписью.
Разбор подобных конфликтных ситуаций в соответствии с действующим
законодательством и особенностями самой электронной подписи требует
применения специального программного обеспечения для выполнения
необходимых проверок и документирования данных, используемых при
выполнении необходимых проверок.
Разбор конфликтной ситуации заключается в доказательстве авторства
подписи конкретного электронного документа конкретным исполнителем.
Данный разбор основывается на математических свойствах алгоритма
ЭЦП, реализованного в соответствии со стандартами Российской Федерации
ГОСТ Р 34.10-94 и ГОСТ Р 34.11-94 гарантирующими невозможность
подделки значения ЭЦП любым лицом, не обладающим секретным ключом
подписи.
При проверке значения ЭЦП используется открытый ключ ЭЦП,
значение которого вычисляется по значению секретного ключа ЭЦП.
Система криптографической защиты «Континент» позволяет выполнять
проверку значения ЭЦП независимо от времени выполнения подписания
документа.
Разбор конфликтной ситуации выполняется комиссией, состоящей из
представителей сторон, службы безопасности и экспертов. Состав комиссии,
порядок ее формирования, регламент работы, рассмотрение результатов
определяется в приложении к договору, заключаемом между участниками
системы электронных расчетов.
Оспаривание результатов работы комиссии и возмещение пострадавшей
стороне принесенного ущерба выполняется в установленном действующим
законодательством Российской Федерации порядке.
6.9.2 Порядок разбора конфликтных ситуаций
Разбор конфликтной ситуации выполняется по инициативе любого
участника системы электронных расчетов и состоит из:
1) предъявления претензии одной стороны другой;
2) формирование комиссии;
3) разбор конфликтной ситуации;
4) взыскание с виновной стороны принесенного ущерба.
Для разбора конфликтной ситуации используется программа FCOLSE,
входящей в состав программного обеспечения АРМ АБ СКЗИ «Континент».
Описание программы FCOLSE приведено в документе «Система
криптографической защиты информации «Континент». Программа FCOLSE.
Руководство оператора».
Для проведения разбора конфликтной ситуации необходимы:
6.9
1) Личная ключевая дискета пользователя (любая рабочая ключевая
дискета);
2) Файл справочника открытых ключей ЭЦП с открытым ключом
абонента, авторство подписи которого оспаривается (если открытый
ключ абонента отсутствует, то его необходимо ввести в справочник
вручную с помощью программы FCOLSE с регистрационной карточки
представляемой абонентом в комиссию);
3) Файл имитовставок на справочник открытых ключей ЭЦП,
соответствующий используемой личной ключевой дискете (если этот
файл отсутствует, то его необходимо выработать с помощью
программы FCOLSE);
Для разбора конфликтной ситуации с помощью программы “FCOLSE”
необходимо выполнить следующие действия:
1) Сформировать и вывести на печать регистрационную карточку
абонента, используя его открытый ключ из справочника ЭЦП
(Содержащееся в полученном регистрационной карточке значение
открытого ключа абонента должно совпадать со значением из
регистрационной карточки представляемого абонентом в комиссию. В
противном случае необходимо вручную ввести открытый ключ
абонента в справочник ЭЦП, используя регистрационную карточку
абонента);
2) Произвести операцию выборочной проверки подписи файла, авторство
подписи
которого
оспаривается
с
формированием
файла
подтверждения;
3) Распечатать протокол проверки подписи.
Регистрационная
карточка
и
протокол
проверки
подписи,
сформированные программой FCOLSE, являются основными документами
работы комиссии и должны быть подписаны всеми членами комиссии.
Авторство подписи под документом считается установленным, если в
протоколе проверки подписи абонента сформирована запись «Подпись
верна».
Форма «Регистрационной карточки» приведена в приложении 3.
Форма «Протокола проверки ЭЦП» и форма «Листа регистрации
изменений» приведены в приложении.
6.10 Испытание СКЗИ «Континент-К»
6.10.1 Технические условия проведения испытаний:
1. Структурная схема испытательного стенда приведена на Рисунке 6.10.1
2. В Таблице.3 приведено описание технических средств и программного
обеспечения, входящего в состав испытательного стенда.
3. До начала испытаний на стенде необходимо выполнить следующие
мероприятия:
1) установить заново программное обеспечение, используемое для
проведения испытаний, и убедиться в отсутствии вирусов и
работоспособности ПО и ПК;
2) установить на рабочие станции стенда пакеты прикладных программ
(ППП), состав которых отражает таблица 6.10.2.
6.10.2 Условия применения для оценки функций безопасности:
1. Испытательный стенд состоит из 4 сегментов. Назначение каждого
сегмента приведено в таблице 6.10.1.
Таблица 6.10.1 - Назначение сегментов
Название
Назначение сегмента
сегмента
Сегмент 1
Платежная подсеть VSN
Сегмент 2
Информационная подсеть VSN
Сегмент 3
Платежная подсеть LOG
Сегмент 4
Информационная подсеть LOG
IP-адрес
192.168.4.0/255
192.168.5.0/255
199.168.4.0/255
199.168.5.0/255
2.
КШ “Континент-ЦУС” (п. 3 таблицы 6.10.3) разделяет сегменты 1 и 2 и
обеспечивает защиту от внешних угроз со стороны глобальной сети при
имитации атак на подсети VSN с использованием коммутируемого канала
PPP или при вторжении со стороны Ethernet. КШ “Континент-КШ”
обеспечивает защиту подсети LOG.
Таблица 6.10.2 – Состав прикладных программ на рабочих станциях
Наименование ППП
Назначение
Названия
компьютеров
NetPerf
ПО
измерения VSN2 – клиентская
производительности
работы часть,
LOG1–
протоколов стека TCP/IP
серверная часть
Internet Security Scanner ПО
эмуляции
атак КВ1
(компьютер
злоумышленника
на
сетевые вторжения)
ресурсы системы
Observer 5.2
Сетевой анализатор и генератор VSN1, VSN3, LOG1,
трафика
КВ1
Sockdemo
ПО генерации TCP и UDP трафика VSN1, VSN2, LOG1
6.10.3 Проверка начальной настройки КШ
Проверка начальной настройки заключается в установке аппаратных и
программных средств КШ “Континент-К” на компьютеры и их настройка в
соответствии с требованиями из таблицы 6.10.3. Процедура установки
аппаратных и программных средств КШ “Континент-К” не регламентируется
ЭД и ТУ, в связи с тем, что КШ поставляется как аппаратно-программный
комплекс в промышленном исполнении. Для проверки начальной настройки
КШ необходимо выполнить следующие действия:
1) установить ЭЗ “Соболь” и ПО Континент-ЦУС;
2) установить ПО Континент-ПУ на компьютер VSN1;
3) с помощью ПО Континент-ПУ добавить к сети КШ “Континент” КШ
и настроить параметры работы Континент-ЦУС, Континент-КШ при
помощи таблицы 6.10.4.
4) сохранить на гибких дисках конфигурации для Континент-КШ;
5) установить ЭЗ “Соболь” и ПО Континент-КШ.
Таблица 6.10.4 - Параметры работы криптошлюзов
Название
Маршрут Связанные
Дополнительные правила
криптошлю
по
криптошлю
фильтрации
за
умолчани
зы
ю
Континент20.0.0.11
Континент- Отбросить ip от 192.168.4.0/255 к
ЦУС
КШ 1 ,
199.168.5.0/255
Отбросить ip от 192.168.5.0/255 к
199.168.4.0/255
Континент30.0.0.11
Континент- Отбросить ip от 199.168.5.0/255 к
КШ 1
ЦУС
192.168.4.0/255
Отбросить ip от 199.168.4.0/255 к
192.168.5.0/255
Установка конкретных значений параметров защитных механизмов
осуществ-ляется непосредственно перед соответствующей проверкой.
Критерии оценки:
Проверка начальной настройки КШ считается
успешной, если после установки КШ “Континент” и ЭЗ “Соболь”
функционируют в штатном режиме.
Результаты: После установки КШ “Континент” и ЭЗ “Соболь” функционируют в штатном режиме. Процедура установки комплекса занимает не более
5-и минут.
Замечания:
1) В процессе настройки правил фильтрации не поддерживается
разрешение имен с помощью DNS
2) Не поддерживается фильтрация по дате/времени
Вывод: КШ "Континент-К" полностью удовлетворяет критериям оценки
по данному пункту.
6.10.4 Проверка механизма разграничения доступа
В дальнейшем термин “попытка доступа” означает:
1) для тестов фильтрации по адресам IP –пакетов - попытку “ping”
защищенного компьютера;
2) для тестов фильтрации по портам – попытку соединения по TCP или UDP
с данным портом с помощью ПО“sockdemo”;
3) для теста на фильтрацию по служебным полям используется заранее
подготовленный генератором трафика пакет, содержащий данное
служебное поле.
Некоторые проверки механизма разграничения доступа производятся как в
“жестком” (ЖР), так и “мягком” (МР) режимах функционирования КШ.
Если это не указано дополнительно, проверки проводятся в жестком режиме
функционирования КШ.
6.10.5 Проверка механизма фильтрации пакетов по IP-адресам
отправителя и получателя
Перечень тестов, которым должны быть подвержены КШ, приведены в
таблице 6.10.5.
Таблица 6.10.5 - Перечень тестов
Действие
Результат
1. VSN1 -> LOG1
Доступ разрешен
2. VSN3 -> LOG2
Доступ разрешен
3. VSN1-> LOG2
Доступ запрещен (ЖР)/Доступ разрешен (МР)
Критерии оценки: Испытания данного механизма считаются
успешными, если зафиксированные результаты проверок соответствуют
результатам, приведенным в Таблице 6.10.5
Результаты: Результат ping по п.1: «Replay from 199.168.4.50; bytes=32;
time=610; TTL=128» - доступ разрешен, результат ping по п.2: «Replay from
199.168.5.50; bytes=32; time=630; TTL=128» - доступ разрешен, результат
ping по п.3 при КШ в МР: «Replay from 199.168.5.50; bytes=32; time=620;
TTL=128» - доступ разрешен, результат ping по п.3 при КШ в ЖР: «Request
timeout» - доступ запрещен. В журнал регистрации Континент-ЦУС при
проверке по п.3. помещается запись см таблицу 6.10.6
Таблица 6.10.6 – Запись в журнале регистрации Континент-ЦУС
Время
Число
Название
Параметры1
Параметры2
возникнове событий
ния
Пакетный 25-04-2000 4
Срабатывание 192.168.4.50 – 199.168.5.100 –
фильтр
17:20:35
правила №
192.168.4.50
199.168.5.100
20100
Вывод: КШ "Континент-К" полностью удовлетворяет критериям оценки по данному
пункту.
6.10.6 Проверка механизма фильтрации пакетов по протоколам
Для проверки этого механизма производятся подготовительные действия,
приведенные в таблице 6.10.7.
Таблица 6.10.7 – Подготовительные действия
Название КШ
Название действия
Описание
КонтинентДобавить правило
Отбросить udp
ЦУС
фильтрации
КонтинентДобавить правило
Отбросить tcp
КШ
фильтрации
Перечень тестов, которым должны быть подвержены КШ, приведены в
таблице 6.10.8.
Таблица 6.10.8 - Перечень тестов
Действие
1. UDP VSN1 -> LOG1
Результат
Доступ запрещен (ЖР)/Доступ разрешен
(МР)
2. ICMP VSN2 -> LOG1
Доступ запрещен
3. TCP VSN2 -> LOG2
Доступ запрещен (ЖР)/Доступ разрешен
(МР)
Критерии оценки: Испытания данного механизма считаются успешными,
если зафиксированные результаты проверок соответствуют результатам,
приведенным в таблице 6.10.8.
Результаты: Результат по п.1: в МР КШ UDP-пакеты проходят между VSN1
и LOG1, в ЖР КШ UDP-пакеты не проходят между VSN1 и LOG1.
В журнал регистрации Континент-ЦУС при проверке помещается запись см
таблицу 6.10.9.
Таблица 6.10.9 – Запись в журнале регистрации Континент-ЦУС
Время
Число Название
Параметры1
Параметры2
возникновен событи
ия
й
Пакетны 25-04-2000
2
Срабатыван 192.168.4.50 199.168.4.50 й Фильтр 13:22:35
ие правила 192.168.4.50
199.168.4.50
№ 20102
Результат ping п.2: «Replay from 199.168.4.50; bytes=32; time=630; TTL=128» доступ разрешен, результат по п.3: в МР КШ TCP-пакеты (ftp) проходят
между VSN1 и LOG1 - сессия ftp есть, в ЖР КШ TCP-пакеты (ftp) не
проходят между VSN1 и LOG1 - сесии ftp нет. В журнал регистрации
Континент-ЦУС при проверке помещается запись см таблицу 6.10.10.
Таблица 6.10.10 – Запись в журнале регистрации Континент-ЦУС
Время
Число Название
Параметры1
Параметры2
возникновен событи
ия
й
Пакетны 25-04-2000
2
Срабатыван 192.168.4.50 - 199.168.4.50 й Фильтр 11:31:45
ие правила 192.168.4.50
199.168.4.50
№ 20105
Замечания: Континент-К не позволяет задать правила фильтрации по
значениям поля IP protocol, иным чем ICMP, UDP, TCP
Предложения: Целесообразно ввести возможность задания правил
фильтрации с помощью логических операций над заголовком IP
(накладывание маски)
Вывод: КШ "Континент-К" полностью удовлетворяет критериям оценки по
данному пункту.
6.10.7 Проверка механизма фильтрации пакетов по портам протоколов
TCP/UDP
Для проверки этого механизма производятся подготовительные действия,
приведенные в таблице 6.10.11.
Таблица 6.10.11 – Подготовительные действия
Название КШ
Название действия
Описание
КонтинентДобавить правило
Отбросить udp на порт 53,
ЦУС
фильтрации
отбросить tcp на порт 21
Перечень тестов, которым должны быть подвержены КШ, приведены в
Таблице 6.10.12.
Таблица 6.10.12 - Перечень тестов
Действие
Результат
1. UDP VSN1 : 2223 -> LOG1 :
Доступ разрешен
2222
2. TCP VSN1 : 1024 -> LOG1 :
Доступ разрешен
1025
3. UDP VSN1: 2223 -> LOG1 : 53
Доступ запрещен (ЖР)/Доступ разрешен
(МР)
4. TCP VSN1: 1111 -> LOG1 : 21
Доступ запрещен (ЖР)/Доступ разрешен
(МР)
Критерии оценки: Испытания данного механизма считаются
успешными, если зафиксированные результаты проверок соответствуют
результатам, приведенным в таблице 6.10.13.
Результаты: результат по п.1: UDP-пакеты проходят между VSN1 и
LOG1, результат по п.2: TCP-пакеты проходят между VSN1 и LOG1,
результат по п.3: в МР КШ UDP-пакеты проходят между VSN1 и LOG1, а
также в ЖР КШ UDP-пакеты не проходят между VSN1 и LOG1.В журнал
регистрации Континент-ЦУС при проверке помещается запись см таблицу
6.10.13.
Таблица 6.10.13 – Запись в журнале регистрации Континент-ЦУС
Время
Число Название
Параметры1
Параметры2
возникновен событи
ия
й
Пакетны 25-04-2000
2
Срабатыван 192.168.4.50 - 199.168.4.50 й Фильтр 11:26:35
ие правила 192.168.4.50
199.168.4.50
№ 10503
Результат по п.4: в МР КШ TCP-пакеты проходят между VSN1 и LOG1сессия ftp есть, а в ЖР КШ TCP-пакеты не проходят между VSN1 и LOG1сессии ftp нет. В журнал регистрации Континент-ЦУС при проверке
помещается запись см таблицу 6.10.14.
Таблица 6.10.14 – Запись в журнале регистрации Континент-ЦУС
Время
Число Название
Параметры1
Параметры2
возникновен событи
ия
й
Пакетны 25-04-2000
2
Срабатыван 192.168.4.50 - 199.168.4.50 й Фильтр 15:12:35
ие правила 192.168.4.50
199.168.4.50
№ 10504
Вывод: КШ "Континент-К" полностью удовлетворяет критериям
оценки по данному пункту.
6.10.8 Проверка механизма фильтрации пакетов по флагам протокола
TCP
Для проверки этого механизма производятся подготовительные действия,
приведенные в таблице 6.10.15.
Таблица 6.10.15 – Подготовительные действия
Название КШ
Название действия
Описание
КонтинентДобавить правило
Отбросить tcp с флагом “SYN”
ЦУС
фильтрации
Перечень тестов, которым должны быть подвержены КШ, приведены в
таблице 6.10.16.
Таблица 6.10.16 - Перечень тестов
Действие
Результат
1.
Открыть
FTP-сессию Доступ запрещен
между VSN1 и LOG1
Критерии оценки: Испытания данного механизма считаются
успешными, если зафиксированные результаты проверок соответствуют
результатам, приведенным в таблице 6.10.16.
Результаты: результат по п.1: FTP-сессия между VSN1 и LOG1 не
устанавливается, сетевой анализатор на LOG1 показывает отсутствие SYNпакета от VSN1. В журнал регистрации Континент-ЦУС при проверке
помещается запись см таблицу 6.10.17
Таблица 6.10.17 – Запись в журнале регистрации Континент-ЦУС
Время
Число Название
Параметры1
Параметры2
возникновен событи
ия
й
Пакетны 25-04-2000
1
Срабатыван 192.168.4.50 - 199.168.4.50 й Фильтр 11:15:35
ие правила 192.168.4.50
199.168.4.50
№ 10509
Вывод: КШ "Континент-К"
оценки по данному пункту.
полностью удовлетворяет критериям
6.10.9 Проверка механизма фильтрации по любым значимым полям
сетевых пакетов
Для проверки этого механизма производятся подготовительные
действия, приведенные в таблице 6.10.18.
Таблица 6.10.18 – Подготовительные действия
Название КШ
Название действия
Описание
КонтинентДобавить правило
Отбросить icmp тип 3 (destination
ЦУС
фильтрации
unreachable)
Перечень тестов, которым должны быть подвержены КШ, приведены в
таблице 6.10.19.
Таблица 6.10.19 - Перечень тестов
Действие
Результат
1. ICMP-“echo request” VSN1 ->
Доступ разрешен
LOG2
2. ICMP-“host unreachable” VSN1 ->
Доступ запрещен
LOG2
Критерии оценки: Испытания данного механизма считаются
успешными, если зафиксированные результаты проверок соответствуют
результатам, приведенным в таблице 6.10.19.
Результаты: результат по п.1: ICMP-пакеты "echo request" проходят от
VSN1 к LOG2, результат по п.2: ICMP-пакеты "host unreachable" не проходят
от VSN1 к LOG2. В журнал регистрации Континент-ЦУС при проверке
помещается запись см таблицу 6.10.20.
Таблица 6.10.20 – Запись в журнале регистрации Континент-ЦУС
Время
Число Название
Параметры1
Параметры2
возникновен событи
ия
й
Пакетны 25-04-2000
1
Срабатыван 192.168.4.50 - 199.168.5.50 й Фильтр 11:12:35
ие правила 192.168.4.50
199.168.5.50
№ 10510
Замечания: КШ "Континент-К" не позволяет задавать правила
фильтрации по полям протокола IP ToS, Options.
Вывод: КШ "Континент-К" полностью удовлетворяет критериям
оценки по данному пункту.
6.10.10 Проверка механизма фильтрации по направлению следования
пакетов, сетевым интерфейсам
Для проверки этого механизма производятся подготовительные
действия, приведенные в таблице 6.10.21.
Таблица 6.10.21 – Подготовительные действия
Название
Название действия
Описание
КШ
Континент- Добавить правило
Отбросить пакеты, выходящие через
ЦУС
фильтрации
интерфейс 192.168.5.1
Перечень тестов, которым должны быть подвержены КШ, приведены в
таблице 6.10.22.
Таблица 6.10.22 - Перечень тестов
Действие
Результат
1. LOG2 -> VSN3
Доступ разрешен
2. LOG1 -> VSN2
Доступ запрещен
Критерии оценки: испытания данного механизма считаются
успешными, если зафиксированные результаты проверок соответствуют
результатам, приведенным в таблице 6.10.22.
Результаты: результат ping п.1: «Replay from 192.168.5.50; bytes=32;
time=630; TTL=128» - доступ разрешен, результат ping по п.2: «Request
timeout» - доступ запрещен. В журнал регистрации Континент-ЦУС при
проверке помещается запись см таблицу 5.10.23
Таблица 6.10.23 – Запись в журнале регистрации Континент-ЦУС
Числ
Время
о
Название
Параметры1
Параметры2
возникновения собы
тий
Пакет 25-04-2000
1
Срабатыван 199.168.4.50 - 192.168.4.100 ный
11:18:35
ие правила
199.168.4.50
192.168.4.100
Фильт
№ 10310
р
Вывод: КШ "Континент-К" полностью удовлетворяет критериям
оценки по данному пункту.
6.10.11 Проверка механизма фильтрации по совокупности параметров
доступа
Для проверки этого механизма производятся подготовительные
действия, приведенные в Таблице 16.
Таблица 6.10.24 – Подготовительные действия
Название
Название действия
Описание
КШ
Континент- Добавить правило
Отбросить icmp тип 3 (destination
ЦУС
фильтрации
unreachable)
Название
Название действия
Описание
КШ
Континент- Добавить правило
Отбросить tcp на порт 21
ЦУС
фильтрации
Континент- Добавить правило
Отбросить tcp с флагом “ACK”
ЦУС
фильтрации
Перечень тестов, которым должны быть подвержены КШ, приведены в
таблице 6.10.25
Таблица 6.10.25 - Перечень тестов
Действие
Результат
1. ICMP-“echo request” VSN1 ->
Доступ разрешен
LOG2
2. ICMP-“host unreachable” VSN1 ->
Доступ запрещен
LOG2
3. TCP VSN1 : 1111 -> LOG1 : 21
Доступ запрещен (ЖР)/Доступ разрешен
(МР)
4. Открыть FTP-сессию между VSN1
Доступ запрещен
и LOG1
Критерии оценки: испытания данного механизма считаются
успешными, если зафиксированные результаты проверок соответствуют
результатам, приведенным в таблице 6.10.25.
Результаты: результат по п.1: ICMP-пакеты "echo request" проходят от
VSN1 к LOG2, результат по п.2: ICMP-пакеты "host unreachable" не проходят
от VSN1 к LOG2. В журнал регистрации Континент-ЦУС при проверке
помещается запись см таблицу 6.10.26.
Таблица 6.10.26 – Запись в журнале регистрации Континент-ЦУС
Время
Число Название
Параметры1
Параметры2
возникновен событи
ия
й
Пакетны 25-04-2000
1
Срабатыван 192.168.4.50 - 199.168.5.50 й Фильтр 11:12:35
ие правила 192.168.4.50
199.168.5.50
№ 10510
Результат по п.3: в МР КШ TCP-пакеты проходят между VSN1 и LOG1сессия ftp есть, в ЖР КШ TCP-пакеты не проходят между VSN1 и LOG1сессии ftp нет. В журнал регистрации Континент-ЦУС при проверке
помещается запись см таблицу 6.10.27.
Таблица 6.10.27 – Запись в журнале регистрации Континент-ЦУС
Время
Число Название
Параметры1
Параметры2
возникновен событи
ия
й
Пакетны 25-04-2000
2
Срабатыван 192.168.4.50 - 199.168.4.50 й Фильтр 15:12:35
ие правила 192.168.4.50
199.168.4.50
№ 10504
Результат по п.4: FTP-сессия между VSN1 и LOG1 не устанавливается,
сетевой анализатор на VSN1 показывает отсутствие ACK-пакета от LOG1. В
журнал регистрации Континент-ЦУС при проверке помещается запись см
таблицу 6.10.28.
Таблица 6.10.28 – Запись в журнале регистрации Континент-ЦУС
Время
Число Название
Параметры1
Параметры2
возникновен событи
ия
й
Пакетны 25-04-2000
1
Срабатыван 192.168.4.50 - 199.168.4.50 й Фильтр 11:15:35
ие правила 192.168.4.50
199.168.4.50
№ 10509
Вывод: КШ "Континент-К" полностью удовлетворяет критериям оценки
по данному пункту.
6.10.12 Проверка механизма сокрытия защитных функций комплекса
Для проверки этого механизма производятся подготовительные действия,
приведенные в таблице 6.10.29.
Таблица 6.10.29 – Подготовительные действия
Название
Название действия
Описание
КШ
Континент- Добавить
правило Запретить с кодом 2 исходящие пакеты
ЦУС
фильтрации
tcp от 199.168.4.50:2222 с флагом “SYN”
Континент- Добавить
правило Запретить с кодом 4 фрагментированные
ЦУС
фильтрации
пакеты от 199.168.4.50
Континент- Добавить правило
Запретить с кодом 3 пакеты udp на
ЦУС
фильтрации
199.168.4.50 : 4444
Перечень тестов, которым должны быть подвержены КШ, приведены в
таблице 6.10.30.
Таблица 6.10.30 - Перечень тестов
Действие
Результат
1.TCP-SYN VSN1 : 2222-> LOG1 : Доступ запрещен + icmp “protocol
2222
unreachable”
2.UDP-фрагм.
VSN1 : 1025-> Доступ запрещен + icmp “need
LOG1 : 1025
fragmentation”
3.UDP VSN1 : 4444-> LOG1 :4444 Доступ запрещен + icmp “port
unreachable”(ЖР)
Критерии оценки: испытания данного механизма считаются
успешными, если зафиксированные результаты проверок соответствуют
результатам, приведенным в таблице 6.10.30.
Результаты: результат по п.1: icmp “protocol unreachable”, результат по
п.2: icmp “need fragmentation”, результат по п.3: icmp “port unreachable”, при
испытаниях по пп.1,2,3 в журнал регистрации Континент-ЦУС при проверке
помещается запись:
Таблица 6.10.31 – Запись в журнале регистрации Континент-ЦУС
Время
Число Название
Параметры1
Параметры2
возникновен событи
ия
й
Пакетны 25-04-2000
1
Срабатыван 192.168.4.50 - 199.168.4.50 й Фильтр 14:15:35
ие правила 192.168.4.50
199.168.4.50
№ 10709
Вывод: КШ "Континент-К" полностью удовлетворяет критериям
оценки по данному пункту.
6.10.13 Проверка полноты регистрации событий НСД
При нарушении правил фильтрации производится фиксация следующих
параметров:
1) адреса взаимодействующих абонентов;
2) результат фильтрации;
3) информация, отображаемая консолью управления в момент нарушения
правил фильтрации;
Проверка реализации механизма регистрации производится сопоставлением
зафиксированных результатов всех выполненных при проверках действий с
содержимым журнала НСД КШ.
Критерии оценки: Проверки по данному пункту методики считаются
успешными, если на основании проведенных испытаний определено, что
средства КШ гарантированно и с требуемой степенью детальности
обеспечивают регистрацию всех произведенных НСД.
Результаты: Средствами КШ обеспечивается регистрация НСД, в
журнал регистрации вносится дата и время НСД, адреса
взаимодействующих объектов, номер правила, результат фильтрации.
Замечания:
1) Информация об НСД не содержит подробных сведений об НСД уровня
TCP/ICMP/UDP, в частности, номеров портов. В сообщении об НСД
содержится только ссылка на номер правила фильтрации, которое было
нарушено. Это затрудняет анализ НСД, поскольку правила фильтрации
описаны в другом разделе программы управления.
2) КШ не поддерживает синхронизацию времени по эталону. Время НСД,
отмечаемое в журнале регистрации, выставляется по времени прихода
события НСД в ЦУС и может не соответствовать реальному.
3) При отсутствия связи КШ и ЦУС сообщения о событиях НСД на КШ
теряются, т.е. не поддерживается локальная буферизация данных
аудита на КШ
4) В журнале регистрации не поддерживается разрешение имен с
помощью DNS.
5) В представленной версии нет возможности экспорта журнала
регистрации в SQL-базы данных (только в текст)
Вывод: КШ "Континент-К" полностью удовлетворяет критериям
оценки по данному пункту.
6.10.14 Проверка устойчивости механизма регистрации к внешним
воздействиям
Для проверки устойчивости механизма регистрации производятся
следующие действия
1) С LOG1 производится попытка доступа к запрещенному сетевому
ресурсу VSN1 путем посылки большого количества (50.000) пакетов
ping с одним и тем же адресом.
2) После завершения атаки производится просмотр содержимого журнала
НСД для соответствующего КШ.
Критерии оценки: проверка считается успешной, если количество
событий НСД, зарегистрированное в системном журнале, одно, а в поле
“Счетчик событий” указано общее количество зафиксированных событий
НСД, равное 50.000.
Результаты: с помощью генератора трафика было сгенерировано 50000
пакетов ping с LOG1 на VSN1, при этом на КШ Континент-ЦУС запрещается
взаимодействие VSN1 и LOG1. В журнал регистрации Континент-ЦУС при
проверке помещается запись см таблицу 6.10.32.
Таблица 6.10.32 – Запись в журнале регистрации Континент-ЦУС
Время
Число Название
Параметры1
Параметры2
возникновен событи
ия
й
Пакетны 25-04-2000
50000
Срабатыван 192.168.4.50 199.168.4.50 й Фильтр 11:15:35
ие правила 192.168.4.50
199.168.4.50
№ 10709
Вывод: КШ "Континент-К" полностью удовлетворяет критериям
оценки по данному пункту.
6.10.15 Проверка функций шифрования данных
Для проверки этого механизма производятся следующие действия:
1) На компьютер КВ1 подключается анализатор трафика . Перехваченные
пакеты данных перенаправляются в файл на жестком диске.
2) Осуществляется несколько легальных попыток доступа (сеансы
передачи данных (несжатых тестовых файлов -заполнение "aaaa….",
размер IP-пакета 1442 байта) между компьютерами VSN1 и LOG1 при
выключенном шифровании трaфика на КШ
3) Осуществляется несколько легальных попыток информационного
взаимодействия (сеансы передачи данных (несжатых тестовых файловзаполнение "aaaa….", IP-пакета 1442 байта) между компьютерами VSN1
и LOG1 при включенном шифровании
4) Производится сравнительный анализ записей анализатора протоколов,
полученных при передаче данных в режимах шифрования данных и в
открытом виде (п. 2 и 3 соответственно).
Критерии оценки: испытания реализации механизмов шифрования данных
считаются успешными, если результатами проверок подтверждено, что:
1) записи анализатора, сделанная в режиме ретрансляции, полностью
соответствует генерируемому трафику;
2) запись анализатора сделанная в режиме шифрования, не поддается
визуальному анализу. Кроме того, для начальной оценки качества
защиты информации, дамп защищенного трафика (размером около 50
MB) подвергается процедуре сжатия любым архиватором.
Результаты:
1) При испытаниях по п.2 перехваченный трафик идентичен
генерируемому;
2) При испытаниях по п.3 визуально восстановить исходный трафик не
представляется возможным;
3) Перехваченный сетевым анализатором дамп зашифрованного трафика
объемом 50 МБ сжался архиватором WinZip на 3%, что можно считать
удовлетворительным, учитывая размер IP-пакета и служебные данные
Observer.
Замечания: зашифрованные IP-пакеты имеют значение поля Protocol=250,
используемое задачами MSBROWSER
Вывод: КШ "Континент-К" полностью удовлетворяет критериям оценки
по данному пункту.
6.10.16 Проверка возможности организации открытых соединений в
режиме VPN
Перед началом проверки производятся следующие подготовительные
действия:
1) На Континент-ЦУС разрешается взаимодействие по открытому каналу
между сегментами (VSN2 и LOG2).
2) К компьютеру вторжения и подключаются анализатор сетевых
протоколов.
Проверка состоит в передаче тестовых данных (ping с заполнением
"aaaaa…..") между сегментами сети и проведении последующего анализа
содержимого переданных данных.
Критерии оценки: Проверка считается успешной, если в созданном
анализатором трафика дампе сетевого трафика между VSN2 и LOG2, трафик
поддается анализу на содержимое, а между VSN1 и LOG1 - нет.
Результаты:
1) Перехваченный трафик между VSN2 и LOG2 идентичен
генерируемому;
2) По перехваченный трафику между VSN2 и LOG2 визуально
восстановить исходный трафик не представляется возможным.
Вывод: КШ "Континент-К" полностью удовлетворяет критериям оценки
по данному пункту.
6.10.17 Проверка механизма смены ключевой информации
Перед началом проверки производятся следующие подготовительные
действия:
1) Проверяется наличие соединения между VSN1 и LOG1
2) Для КШ “Континент-КШ” производится смена комплекта ключевой
информации;
3) Проверяется наличие в очереди задания на смену ключей для
криптошлюзов, связанных с КШ “Континент-КШ”;
4) После того, как задания на смену ключей будут обработаны ЦУС,
проверить наличие соединения между VSN1 и LOG1
Критерии оценки: Проверка считается успешной, если:
1) После смены комплекта ключевых документов для КШ “КонтинентКШ” в очереди заданий КШ, связанных с ним, появились задания на
смену ключей;
2) После выполнения этих заданий связь между VSN1 и LOG1 была
установлена успешно.
При проведении этой проверки производится оценка времени, необходимого
для перехода КШ на другой комплект ключевых документов.
Результаты: в очереди задании КШ появляется задание на смену ключей,
время отсутствия связи между VSN1 и LOG1 после команды смены ключей 3 сек. Результаты ping:
«Replay from 192.168.4.50; bytes=32; time=630; TTL=128»
«Replay from 192.168.4.50; bytes=32; time=630; TTL=128»
«Request timeout»
«Request timeout»
«Request timeout»
«Replay from 192.168.4.50; bytes=32; time=630; TTL=128»
«Replay from 192.168.4.50; bytes=32; time=630; TTL=128»
Вывод: КШ "Континент-К" полностью удовлетворяет критериям оценки
по данному пункту.
6.10.18 Проверка механизма сжатия данных, передаваемых по каналу
связи
Перед началом проверки производятся следующие подготовительные
действия:
1) Настраиваются КШ Континент-ЦУС, Континент-КШ таким образом,
чтобы разрешалось взаимодействие по защищенному каналу между
VSN1 и LOG1
2) К компьютеру вторжения подключается анализатор сетевого трафика и
обеспечивается запись перехваченных пакетов на жесткий диск.
3) Осуществляется легальная попытка передачи исполняемых файлов
(*.EXE, *.DLL) по защищенному каналу между VSN1 и LOG1.
4) Устанавливаются
параметр максимального сжатия пакетов для
криптошлюзов Континент-ЦУС, Континент-КШ.
5) Осуществляется повторная передача файлов по защищенному каналу
между VSN1 и LOG1.
6) Сравниваются записи анализатора сетевого трафика, созданные при
выполнении пунктов 3 и 5.
Критерии оценки: проверка считается успешной тогда, когда по
результатам анализа перехваченного трафика становится очевидным, что при
включенном механизме сжатия передается значительно меньший объем
данных, чем без него.
Результаты: с помощью FTP передавался EXE-файл размером 207Кбайт,
MTU=1500. При включенном режиме сжатия размер дампа составил
149Кбайт (сжатие на 28%). С помощью архиватора Winzip EXE-файл сжался
до 91Кбайт (сжатие на 56%). Результат можно считать приемлемым,
учитывая, что каждый IP-пакет сжимался КШ независимо от остальных.
Вывод: КШ "Континент-К" полностью удовлетворяет критериям оценки
по данному пункту.
6.10.19 Проверка возможности защищенного управления
маршрутизатором
Перед проведением этой проверки производятся следующие
подготовительные действия
1) Маршрутизатор Cisco (МршLOG) добавляется в качестве защищаемого
хоста на КШ “Континент- ЦУС”
2) На маршрутизаторе МршLOG устанавливается статический маршрут на
VSN1 через "Континент-КШ"
3) На компьютере вторжения (КВ) активизируется анализатор трафика
Производится попытка управления маршрутизатором Cisco по защищенному
каналу связи.
Критерии оценки: проверка считается успешной если:
1) Просмотр
перехваченных
пакетов
не
позволяет
увидеть
последовательности команд, передаваемых с АРМ управления (VSN1)
на маршрутизатор МршLOG.
2) Управление маршрутизатором было произведено успешно.
Результаты: с компьютера VSN1 был произведен вход с помощью Telnet и
просмотр конфигурации Cisco МршLOG, при этом восстановление с
помощью анализатора трафика на КВ управляющей информации Cisco
оказалось невозможно.
Вывод: КШ "Континент-К" полностью удовлетворяет критериям оценки
по данному пункту.
6.10.20 Проверка влияния КШ “Континент-К” на производительность
распространенных IP-сервисов при VPN
Перед началом проверки производятся следующие подготовительные
действия:
1) Все КШ выводятся из состава стенда путем его перекоммутации.
2) Проводятся измерения эффективных скоростей передачи данных в
режимах «без КШ».
3) Все КШ вновь включаются в состав стенда.
Проверка состоит в измерении эффективных скоростей передачи данных при
подключенных к сети КШ (длительность теста устанавливается равной 1-ой
минуте с помощью опции –l 60 ПО netperf). При проведении проверок по
каналам связи производится передача исполняемых (*.EXE, *.DLL) файлов.
При тестах на ЛВС КШ соединяются напрямую кросс-кабелем.
Данные, полученные в ходе испытаний, заносятся в таблицы 5.10.33 и
6.10.34. Результаты вычисляются, как среднее арифметическое значение из
пяти произведенных подряд измерений.
Таблица 6.10.33 – Итоги измерений значений MTU
Значение MTU(байт)
1400
512
Скорость
Скорость
(Кбайт/с)
(Кбайт/с)
----- ----- ----- 1111.47
938.80
ЛВС
Рет
1066.00
727.73
ран.
256
Скорость
(Кбайт/с)
747.07
462.00
128
Скорость
(Кбайт/с)
328.55
273.6
1
10 Мбит
----Рет
ран.
ЛВС
100 Мбит
----Рет
ран.
PPP
19.2 Кбит
1
Ши
895.07
2
фр.
Ши Сжа 218.67
фр. тие3
----- ----- 6752.26
5046.67
729.73
563.87
283.20
191.87
111.20
50.10
4579.07
3388.27
3555.33
2303.10
1753.73
715.73
Ши
1135.60
фр.
Ши Сжа 363.47
фр. тие
----- ----- 3.38
3.38
888.53
631.87
310.80
204.67
116.00
51.6
3.32
3.32
3.05
3.05
2.27
1.87
Ши
фр.
Ши
фр.
1.72
1.70
1.37
1.01
Сжа 3.13
тие
3.00
2.09
1.26
Ретрансляция трафика при помощи КШ “Континент-К”
Шифрование трафика при помощи КШ “Континент-К”
3
Сжатие трафика при помощи КШ “Континент-К”
2
Таблица 6.10.34 – Итоги измерения значений команды PING
Размер пакета PING(байт)
1024
512
256
Время (мс) Время (мс) Время (мс)
ЛВС
----Рет
ран.
10 Мбит
ЛВС
----Рет
ран.
100 Мбит
PPP
----Рет
ран.
----- <10
<10
<10
<10
<10
<10
128
Время
(мс)
<10
<10
Ши
<10
фр.
Ши Сжа <10
фр. тие
----- ----- <10
<10
<10
<10
<10
<10
<10
<10
<10
<10
<10
<10
<10
<10
Ши
<10
фр.
Ши Сжа <10
фр. тие
----- ----- 771
812
<10
<10
<10
<10
<10
<10
531
501
345
330
240
235
Ши
фр.
Ши
фр.
891
591
391
271
260
260
-----
1372
Сжа 280
тие
Вывод:
1) Континент-К обеспечивает сжатие трафика при MTU 1500 байт,
обеспечивая для каналов 64K увеличение скорости передачи
зашифрованной информации в 1.4 раза для бинарных данных, для
канала 19.2К этот показатель равен 1.8.
2) При уменьшении MTU до 128 байт сжатие становится менее
эффективным, давая выигрыш в передаче зашифрованной информации
в 1.17 раза для канала 64К и в 1.24 раза для канала 19.2К
3) Для ЛВС 100 Мбит применение Континент-К в режиме ретрансляции
уменьшают скорость обмена в 1.33 раза для MTU 1500 и в 2.4 раза для
MTU 128. Для ЛВС 10Мбит эти показатели составляют 1.04 и 1.2. Это
делает возможным использование Континент-К для построения
межсетевого экрана между сегментами ЛВС.
4) При включенном сжатии и шифровании по сравнению с режимом
ретрансляции скорость уменьшается для ЛВС 100Мбит в 13 раз для
MTU 1500 байт и 13.7 раз для 128 байт. Для сети 10Мбит эти
показатели равны соответственно 3.35 и 5.46. Это приводит к
неэффективности использования режима сжатия трафика при
разделении сегментов ЛВС при использовании процессоров,
примененных при испытаниях.
5) При включенном шифровании по сравнению с режимом ретрансляции
скорость уменьшается для ЛВС 100Мбит в 4.44 раза для MTU 1500 байт
и 2.3 раза для 128 байт. Для сети 10Мбит эти показатели равны
соответственно 1.19 и 1 Это приводит к неэффективности
использования режима шифрования трафика при разделении сегментов
ЛВС 100Мбит, но делает эффективным разделение сегментов ЛВС
10Мбит при использовании процессоров, примененных при
испытаниях.
6.10.21 Измерение пропускной способности КШ “Континент-К” при
пиковых нагрузках
Измеряется пропускная способность КШ при увеличении проходящего через
него сетевого трафика. Предварительно криптошлюзы Континент-ЦУС и
Континент-КШ соединяются напрямую на 100 Мбит/сек и сетевые адаптеры
всех компьютеров, составляющих средства стенда, настраиваются на
скорость 100Мбит/сек. Тест проводится следующим образом:
1) ПО Observer на компьютере VSN1 настраивается на генерацию UDP
пакетов длиной 1442 байта (длина Frame Ethernet). Начальная скорость
генерации пакетов 300 пак/сек (примерно 3.3 Мбит/сек). Адрес
получателя- LOG1, порт отправителя и получателя- 2222.
2) Запускается процесс генерации трафика. Во время этого процесса с
помощью окна консоли КШ наблюдается количество необработанных и
отброшенных пакетов IP. Тест производится поочередно для режимов
ретрансляции, шифрования и совместного режима
(сжатие+шифрование) на КШ. Режимы сжатия устанавливаются
последовательно в 9 (максимальное сжатие) и 2 (минимальное сжатие)
3) ПО Observer настраивается на увеличение размеров генерируемого
трафика на 50 пак/сек. Тест повторяется, начиная с п.2. Тест считается
законченным и пропускная способность измеренной, если в течении 5
минут на экране статистики ФПСУ увеличилось количество
отброшенных IP-пакетов. Пропускной способностью считается
величина нагрузки, достигнутая к этому времени.
По результатам тестирования заполняется таблица 6.10.35.
Таблица 6.10.35 – Результаты тестирования
Режим
Ретрансляция
Шифрование
Шифрование+
функционирования
сжатие(max/min)
КШ “Континент-К”
Пропускная
88
10.45
5.17/6.16
способность КШ
(Mбит/сек)
Выводы: режим шифрования КШ позволяет обеспечить защиту
каналов связи до 10Мбит/сек при использовании оборудования стенда
6.10.22 Проверка возможностей КШ “Континент-К” по защите от
различных видов атак
Перед началом проверки производятся следующие подготовительные
действия:
1) Для имитации внешнего вторжения на компьютере КВ1 (компьютер
вторжения) производится настройка ПО IS :
a) сканирование криптошлюзов для выявления потенциальных рисков и
уязвимостей;
b) выполняются следующие атаки: Land Check, Ping Bomb, RPC pcnfsd
Check, Teardrop, UDP Bomb, ICMP Redirects to IP Address, SynStorm,
DataFlood. Диапазон сканируемых портов устанавливается от 1 до
2048.
Атакуемые хосты: Континент-КШ.
2) Для имитации внутреннего вторжения на компьютере LOG1
производится настройка ПО IS :
a) сканирование криптошлюза для выявления потенциальных рисков и
уязвимостей;
b) выполняются следующие атаки: Land Check, Ping Bomb, RPC pcnfsd
Check, Teardrop, UDP Bomb, ICMP Redirects to IP Address, SynStorm,
DataFlood. Диапазон сканируемых портов устанавливается от 1 до
2048.
Атакуемый хост: Континент-КШ
Криптошлюзы работают в обычном режиме, обеспечивающем создание
виртуальных каналов между сегментами VSN1 и LOG1, VSN2 и LOG2
Проверка состоит в запуске ПО IS с компьютера вторжения и компьютера
LOG2 и проведении последующего анализа содержимого системных
журналов IS.
Критерии оценки: проверка считается успешными если:
1) КШ не были выведены из работоспособного состояния.
2) В log-файлах IS отмечается отсутствие рисков средней и высокой
степени
3) В log-файлах IS отмечается отсутствие успешно завершенных атак
Результаты:
1) КШ не были выведены из рабочего состояния
2) В log-файлах IS отмечается отсутствие рисков средней и высокой
степени
3) В log-файлах IS отмечается отсутствие успешно завершенных атак
Вывод: КШ "Континент-К" полностью удовлетворяет критериям оценки
по данному пункту, реализация IP-стека самого КШ корректна, т.к.
неправильного вида IP-пакеты не нарушили работоспособность комплекса.
6.10.23 Проверка возможностей КШ по защите сетевых ресурсов VPN от
различных видов атак
Перед началом проверки производятся следующие подготовительные
действия:
1) Для имитации внешнего вторжения на компьютере КВ1 (компьютер
вторжения) производится настройка ПО IS для выполнения следующих
атак: Land Check, Microsoft Dot-Dot Check, Ping Bomb, RPC pcnfsd
Check, Teardrop, UDP Bomb, Windows DNS-DoS, Windows Out of Band,
ICMP Redirects to IP Address, SynStorm, DataFlood. Диапазон
сканируемых портов устанавливается от 1 до 2048. Атакуемые хосты:
VSN1, VSN3
2) Производится запрет доступа в защищаемые сегменты по всем
протоколам и портам от 1 до 2048.
Проверка состоит в запуске ПО IS с компьютера вторжения и проведении
последующего анализа содержимого системных журналов IS.
Критерии оценки: проверка считается успешной если:
1) ПО рабочих станций в защищаемых сегментах сохранило свою
работоспособность.
2) в log-файлах IS отмечается невозможность эмуляции вышеприведенных
атак.
Результаты:
1) ПО рабочих станций в защищаемых сегментах сохранило свою
работоспособность.
2) в log-файлах IS отмечается невозможность эмуляции вышеприведенных
атак.
Вывод: КШ "Континент-К" полностью удовлетворяет критериям оценки
по данному пункту
6.10.24 Проверка устойчивости работы КШ
Проверяется устойчивость связи через КШ “Континент-К” при
длительной (~14 часов) работе. Данный тест выполняется следующим
образом: запускается процесс генерации трафика со скоростью, ~50% от
максимальной производительности. Во время этого процесса с помощью
мониторинга КШ Континент-КШ1 фиксируется наличие необработанных IP-
пакетов.
Проверяется устойчивость связи через при длительной – (14 часов) работе
КШ в сети 100 Мбит/с в режиме “шифрование+сжатие” при нагрузке 2.4
Мбит/с (~50% от пиковой), формируемой с помощью Observer 5.2.
Критерии оценки: данная проверка считается успешной, за время теста не
зафиксировано необработанных IP-пакетов и не произошло сбоев в работе
КШ Континент-ЦУC и КШ Континент-К
Результаты: после проведения данного теста КШ находились в рабочем
состоянии. За время теста через КШ было передано 10424677 IP-пакетов.
Объем трафика составил около14 Гбайт.
Вывод: КШ "Континент-К" полностью удовлетворяет критериям оценки
по данному пункту.
6.10.25
Проверка механизмов идентификации и аутентификации
запросов
Для проверки этого механизма производятся следующие действия:
1) К компьютеру КВ (компьютеру вторжения) подключается анализатор
протоколов.
2) Осуществляется несколько легальных попыток передачи несжатых
текстовых файлов между компьютерами VSN1 и LOG1. Перехваченные
пакеты данных копируются программой анализа сетевого трафика в
файл на жестком диске.
3) Выполняются попытки несанкционированного доступа к компьютеру
VSN1:
a) Осуществляется попытка передачи несжатых текстовых файлов от
компьютера КВ к компьютеру VSN1;
b) Осуществляется попытка повторной передачи перехваченных
легальных пакетов
Критерии оценки: испытания механизмов идентификации и
аутентификации считаются успешными, если результатами проверок
подтверждено, что:
1) Cредства комплекса позволяют осуществить идентификацию и
аутентификацию вызова;
2) Cредства комплекса осуществляют контроль на разрешение соединения
по результатам идентификации и аутентификации, т.е. гарантированно
обеспечивают возможность установления соединения и доступа к
ресурсам сети только в случае подтверждения подлинности абонента.
Результаты: при попытке НСД по п.1 в журнал Континент-К заносится
запись см таблицу 6.10.36.
Таблица 6.10.36 – Запись в журнале регистрации Континент-ЦУС
Время
Число Название
Параметры1 Параметры2
возникновен событи
ия
й
Пакетн 25-04-2000
1329
Срабатыван
ый
17:20:35
ие правила
Фильтр
№ 65535
При попытке НСД по п.2 в журнал Континент-К заносится запись см таблицу
6.10.37.
Таблица 6.10.37 – Запись в журнале регистрации Континент-ЦУС
Время
Число
Название
Параметры Параметры
возникновения событи
1
2
й
Шифратор
25-04-2000
7838
Неправильна 18:52:34
я
имитовставк
а
Вывод: КШ "Континент-К" полностью удовлетворяет критериям оценки
по данному пункту.
6.10.26 Проверка механизмов идентификации и аутентификации
администратора КШ при запуске КШ
Перед началом проверки на КШ “Континент-КШ” средствами ЭЗ “Соболь”
регистрируется локальный администратор, а сам ЭЗ “Соболь” переводится в
режим автозагрузки. Перечень тестов, которым должны быть подвержены
КШ, приведены в таблице 6.10.38.
Таблица 6.10.38 - Перечень тестов
Действие
Результат
Загрузка КШ без предъявления электронного
Загрузка произведена
идентификатора
(по
истечении
времени
успешно
ожидания)
Загрузка КШ с предъявлением электронного
Загрузка произведена
идентификатора локального администратора и
успешно
правильным указанием пароля
Загрузка КШ с предъявлением электронного
Доступ запрещен
идентификатора локального администратора и
неправильным указанием пароля
Загрузка
КШ
с
предъявлением
Доступ запрещен
незарегистрированного
электронного
идентификатора
Критерии оценки: Испытания данного механизма считаются успешными,
если зафиксированные результатами проверок соответствуют результатам,
приведенным в таблице 6.10.38.
Результаты: Результаты проверок соответствуют таблице 6.10.38.
Замечания:
1) Неустойчивый контакт ТМ со считывателем порождает значительное
число записей о НСД в журнале ЭЗ «Соболь», таким образом можно
очищать журнал от ранее выполненных попыток НСД.
2) Реализация режима автовхода в КШ требует дополнительной
проработки в силу следующих причин: при нарушении целостности
файлов КШ автовход в систему все равно невозможен, борьба со
сбоями электропитания должна быть выполнена путем установки ИБП,
неконтролируемая перезагрузка КШ без участия администратора
нецелесообразна.
Вывод: КШ "Континент-К" полностью удовлетворяет критериям оценки
по данному пункту.
6.10.27 Проверка механизма идентификации и аутентификации
администратора КШ при выполнении конфигурационных работ КШ
Перед началом проверки на КШ “Континент-КШ” средствами ЭЗ
“Соболь” регистрируется пользователь. Перечень тестов, которым должны
быть подвержены КШ, приведены в таблице 6.10.39.
Таблица 6.10.39 - Перечень тестов
Действие
Результат
Загрузка КШ без предъявления электронного
Загрузка произведена
идентификатора и попытка загрузить новую
успешно, в изменении
конфигурацию КШ с дискеты
конфигурации отказано
Загрузка КШ с предъявлением электронного
Загрузка произведена
идентификатора локального администратора и
успешно, произведено
правильным указанием пароля
изменение конфигурации
Загрузка КШ с предъявлением электронного
Загрузка произведена
идентификатора пользователя и правильным
успешно, в изменении
указанием пароля
конфигурации отказано
Критерии оценки: Испытания данного механизма считаются успешными,
если зафиксированные результатами проверок соответствуют результатам,
приведенным в таблице 6.10.39.
Результаты: Результаты проверок соответствуют таблице 6.10.39.
Вывод: КШ "Континент-К" полностью удовлетворяет критериям оценки по
данному пункту.
6.10.28 Проверка механизма учета и регистрации действий
администратора
При выполнении проверок должна производится фиксация следующих
параметров:
1) даты, времени и вида события, осуществляемого администратором;
2) результата попытки осуществления события - успешная или
неуспешная;
Проверка реализации данного механизма регистрации производится
сопоставлением зафиксированных результатов всех выполненных при
проверках действий администраторов КШ с данными, накопленными в ЦУС
и на КШ.
Критерии оценки: Проверки по данному пункту методики считаются
успешными, если на основании проведенных испытаний доказано, что
средства комплекса гарантированно и с достаточной степенью детальности
обеспечивают регистрацию всех действий, произведенных
администраторами КШ, включая запуск КШ и изменение конфигурации КШ.
Результаты: Результаты проверок содержат дату, время, вид события, а
также с помошью выделения цветом обозначают результат проверки
Вывод: КШ "Континент-К" полностью удовлетворяет критериям оценки
по данному пункту.
6.10.29 Проверка механизма контроля целостности при загрузке КШ
Проверка данного механизма контроля производится следующим образом:
1) Изменяются некоторые файлы, поставленные на контроль целостности;
2) Загружается компьютер Континент-КШ и производится попытка входа
в систему зарегистрированного пользователя;
3) Загружается компьютер Континент-КШ и производится попытка входа
в систему локального администратора;
4) При выключенном компьютере Континент-КШ из него изымается
плата электронного замка «Соболь»;
5) Производится попытка запуска ПО КШ “Континент-К” с жесткого
диска, на который он был установлен.
Критерии оценки: Проверки по данному пункту методики считаются
успеш-ными, если на основании проведенных испытаний доказано, что:
1) Комплекс содержит средства, позволяющие настраивать подсистему
контроля целостности среды функционирования
и исполняемых
модулей КШ;
2) Комплекс обеспечивает надежный контроль целостности среды
функционирования КШ и исполняемых модулей;
3) Загрузочная часть программного обеспечения КШ запускается только
при наличии в компьютере платы электронного замка “Соболь”;
Результаты: С помощью ЭЗ “Соболь” возможна конфигурация и контроль
целостности КШ, критерии оценки выполнены.
Вывод: КШ "Континент-К" полностью удовлетворяет критериям оценки
по данному пункту.
6.10.30 Проверка периодического контроля целостности
Проверка данного механизма контроля производится следующим образом:
1) Производится загрузка компьютера Континент-КШ и проверяется
отсутствие НСД от данного КШ по контролю целостности
контролируемых файлов;
2) Устанавливается время периодического контроля целостности на
Континент-КШ равное 2 минутам;
3) Изменяются некоторые текстовые файлы, поставленные ранее на
контроль целостности;
4) Не менее чем через 2 минуты на экране ПУ Континент должно
появиться событие НСД об изменении содержимого контролируемого
файла с указанием имени этого файла. Это событие должно быть
зарегистрировано в журнале НСД;
5) Признак НСД сбрасывается на компьютере при помощи ПУ Континент;
6) Восстанавливается содержимое ранее измененных файлов;
7) По истечении 4-х минут на экране ПУ КШ сообщение о нарушении
целостности файлов не появляется.
Критерии оценки: Проверки по данному пункту методики считаются
успешными, если на основании проведенных испытаний доказано, что ПУ
Континент и ПО КШ Континент работает так, как это было описано выше.
Результаты: Критерии оценки выполнены
Вывод: КШ "Континент-К" полностью удовлетворяет критериям оценки
по данному пункту.
6.10.31 Проверка функций восстановления работоспособности КШ
после аварийных и сбойных ситуаций
6.10.31.1 Оценка времени восстановления связи при повреждении
конфигурационных файлов. Оценивается время восстановления связи при
повреждении конфигурационных файлов. Для этого изменяются
конфигурационные файлы на компьютере Континент-КШ (путем
подключения жесткого диска к другому компьютеру). Проводится процедура
обновление конфигурации на криптошлюзе. Осуществляется взаимодействие
VSN1 с компьютером LOG1.
Результаты: Время восстановления конфигурации КШ по команде ПУ
составляет около 3 сек
6.10.31.2 Оценка времени восстановления соединения при кратковременных
разрывах связи. Оценивается время восстановления соединений после
искусственного разрыва канала связи на время до 1 мин.
Результаты: После разрыва связи между КШ информация об этом
поступает в ПУ не позднее 2-х минут, восстановление связи занимает не
более 20 сек.
Замечания: В журналах регистрации КШ не сохраняется статистика
обрывов и восстановлений связи.
6.10.31.3 Оценка времени восстановления связи после сбоев и отказов
оборудования, на котором установлен КШ “Континент-К”. Оценивается
максимальное время восстановления соединений после сбоев и отказов
оборудования. Для восстановления работоспособности комплекса при
помощи программы управления Континент-ПУ осуществляется удаленная
перезагрузка криптошлюза.
Результаты: Время перезагрузки КШ по команде ПУ составляет 1.5 мин.
6.10.32 Проверка функций восстановления после выхода из строя
жесткого диска КШ.
Проверка данного механизма реализации функций восстановления
производится следующим образом:
1) Фиксируется конфигурация Континент-КШ 1 ;
2) Конфигурация КШ сохраняется на гибком диске;
3) Условно считая, что на КШ после аварии установлен новый жесткий
диск, заново производится установка ПО КШ;
4) Запускается ПО КШ “Континент”. Конфигурация при этом загружается
с дискеты.
Критерии оценки: Проверки по данному пункту методики считаются
успешными, если на основании проведенных испытаний доказано, что:
1) Средства комплекса позволяют осуществить запись и хранение текущей
конфигурации КШ;
2) Средства комплекса осуществляют восстановление своих основных
функций после аварии жесткого диска без проведения заново
конфигурационных работ.
Результаты: Критерии оценки выполнены
Вывод: КШ "Континент-К" полностью удовлетворяет критериям оценки
по данному пункту.
6.10.33 Проверка удобства управления сетью КШ
1) Средствами ПО Континент-ПУ производится добавление/удаление
защищенного канала между подсетями, осуществляется изменения
параметров подсистемы управления доступом, выполнение различных
видов конфигурационных работ, смена комплектов ключевых
документов и др.
2) Средствами ПО Континент-ПУ производится анализ накопленных
подсистемой мониторинга данных.
Критерии оценки: Данная проверка считается успешной, если средства
комплекса предоставляют простой и удобный интерфейс пользователя,
позволяющий проводить все виды работ по обслуживанию,
переконфигурации, мониторингу различных подсистем.
Результаты Интерфейс управления позволяет конфигурировать
компоненты КШ и проводить их мониторинг. При этом администратор КШ
должен быть компетентен в следующих областях:
1) Сетевые IP-технологии, методы защиты IP-сетей;
2) Методы организации и построения VPN;
3) Межсетевые экраны, принципы действия, виды, условия применения.
Замечания:
1) В ПУ нет Help по настройке КШ;
2) Журнал ЭЗ не экспортируется в систему удаленного управления,
система удаленного управления не поддерживает управление замком.
Предложения:
1) Целесообразно добавить возможность импорта правил фильтрации из
других форматов (ipfw);
2) Целесообразно предусмотреть возможность создания логических групп
правил фильтрации;
3) Целесообразно добавить возможность настройки частоты генерации
информации мониторинга КШ в ЦУС (сейчас по умолчанию - 1 мин);
4) Целесообразно рассмотреть вопрос горячего резервирования ЦУС.
6.10.34 Итоги
КШ "Континент-К" в целом соответствует требованием ТУ и обладает
следующими основными возможностями:
1) Шифрование и имитозащита данных, передаваемых по открытым
каналам связи между защищенными сегментами сети;
2) Компрессия передаваемых данных;
3) Защиту внутренних сегментов сети от несанкционированного доступа
извне;
4) Скрытие внутренней структуры защищаемых сегментов сети;
5) Безопасный доступ пользователей VPN к ресурсам сетей общего
пользования;
6) Централизованное управление защитой сети с использованием
протокола SNMPv3.
Прогон КШ под нагрузкой, близкой к максимальной, в течении 14-ти часов
показал высокую устойчивость работы комплекса.
КШ "Континент-К" показал устойчивость к атакам на свои ресурсы,
проведенным с помощью ISS Internet Scanner.