Технологии VPN в корпоративных информационных системах

Универсальное программное средство для создания виртуальных
защищенных сетей (VPN) любых конфигураций с обеспечением
гарантированного безопасного режима обмена информацией любого
формата
ViPNet Custom Expedition содержит компоненты для создания
инфраструктуры открытых ключей (PKI) для использования механизмов
аутентификации и ЭЦП в приложениях и сервисах пользователей
Гибкий набор компонент комплекса позволяет подобрать оптимальное
решение по защите как для небольшой компании, так и для крупных
предприятий
1. Построение единой доверенной среды обработки и передачи данных
любого формата, используя публичные каналы связи и любые доступные
протоколы (сети TCP/IP, Internet, Intranet, LAN & WLAN, DSL, WiFi, PSTN,
GPRS и т.д.)
2. Разворачивание структуры открытых ключей (PKI) с целью интеграции
механизмов электронно-цифровой подписи в прикладное программное
обеспечение
• системы документооборота и делопроизводства
• почтовые системы
• банковское программное обеспечение
• электронные торговые площадки и многое другое…
Поддержка функциональных модулей Microsoft Crypto API,
PKCS#11. Штатное использование зарубежных криптографических
алгоритмов AES, DES, 3DES и алгоритма хеширования SHA-1
Новый сервис публикации цифровых сертификатов через
стандартные протоколы обмена LDAP, FTP для поддержки
функционирования PKI
Возможность использовать в бизнес-приложениях сертификаты
(Х.509 v3), изданные сторонними удостоверяющими центрами
Расширена номенклатура поддерживаемых устройств хранения
ключевой информации и сертификатов
Новые компоненты комплекса: централизованное управление
политиками безопасности и мониторинг состояния узлов
виртуальной частной сети
Контентная фильтрация TCP/IP-трафика, обрабатываемого в
виртуальной частной сети
Повышение масштабируемости по нагрузочной способности и
устойчивости к отказам
Адаптация к новым операционным системам семейства MS
Windows Vista
Технология ViPNet Custom Expedition ориентирована на взаимодействие клиент-клиент, в то время как
большинство VPN-решений обеспечивает только соединения уровня сервер-сервер или сервер-клиент. Это дает
возможность реализовать любую необходимую политику безопасности в рамках всей защищенной сети.
Большое внимание уделено решению проблемы функционирования системы через разнообразное сетевое
оборудование (с NAT и NAPT), что максимально облегчает процесс установки и настройки.
В ViPNet Custom Expedition используются отечественные и зарубежные алгоритмы шифрования с длиной ключа 256
бит. Ключевая система основана на комбинации симметричных и асимметричных процедур выработки ключевой
информации.
Каждый модуль содержит встроенный сетевой экран и систему обнаружения вторжений, что позволяет получить
надежную распределенную систему межсетевых и персональных сетевых экранов.
Для разрешения возможных конфликтов IP-адресов в локальных сетях, включаемых в единую защищенную сеть,
ViPNet Custom Expedition предлагает развитую систему виртуальных адресов.
По сравнению с классическими VPN-решениями ViPNet предоставляет целый ряд дополнительных
возможностей по защищенному обмену информацией: встроенные службы обмена сообщениями, файлами,
собственная защищенная почтовая служба с элементами автоматизации обмена письмами и поддержкой ЭЦП.
Дополнительные сетевые возможности ViPNet, такие как контроль сетевой активности приложений, строгий
контроль доступа к Интернет, механизмы аварийной перезагрузки и защиты от вторжений на этапе загрузки
системы, позволяют защититься от большинства сетевых атак и минимизировать затраты на систему
безопасности в целом.
Наличие развитых интерфейсов пользователя делают ежедневную работу с ViPNet приложениями легкой и не
требующей от пользователя специальной подготовки.
Так как ViPNet является программным решением, то его развертывание на требует приобретения
специализированного оборудования и может быть произведено на уже существующем компьютерном парке
заказчика. В большинстве случаев также не требуется переконфигурации сетевого оборудования.
Гибкое ценообразование позволяет сформировать оптимальное ценовое решение для каждого заказчика.
VPN-сервер с интегрированным межсетевым экраном, защищенным почтовым и
туннельным серверами
программный комплекс для создания и конфигурирования VPN-сети
программный комплекс центра регистрации пользователей УЦ, генерация
криптографических ключей, создание запросов на сертификат или на изменение его статуса
программный комплекс для установки на рабочее место конечного пользователя
Многофункциональное программное обеспечение, которое в зависимости
от настроек может выполнять функции:
VPN-сервера с
набором
служебных
функций
Туннелирующего
сервера (защита
связи типа LANLAN)
Межсетевого
экрана
Сервера для
безопасной
работы с Internet
Почтового сервера
для работы
встроенной в
ViPNet[Клиент]
защищенной
почтовой службы
Конфигурация и управление виртуальной
сетью
Определение типовых политик и правил
доступа для всех узлов сети
Обеспечение ключевой информацией всех
участников VPN-сети
Выполнение функций удостоверяющего центра
(УЦ)
Определяет узлы защищенной сети, пользователей и допустимые связи между
ними, создает необходимые справочники и базу данных для работы Ключевого
Удостоверяющего Центра
Определяет политику безопасности на каждом узле и формирует список
прикладных задач
Поддерживает сервис автоматической доставки (с квитированием) до узлов
сети разнообразной справочно-ключевой информации:
справочники связей узлов
корневые и отозванные сертификаты
новых ключи шифрования
информация о связях с другими ViPNet-сетями
Позволяет проводить автоматическое обновление ПО ViPNet на удаленных
компьютерах
Поддерживает удаленный доступ к журналам событий на узлах защищенной
сети
Генерация и замена
криптографических ключей, паролей
узлов/пользователей защищенной
сети.
Ключевая информация пользователя
может быть сохранена на внешнем
носителе
Поддерживает все необходимые
механизмы по работе с ЭЦП и
сертификатами в формате X.509v3 для
аутентификации различных сетевых
объектов, включая внешних
пользователей, и кроссертификацию с
другими УЦ.
Программный комплекс для создания Центра регистрации внешних
пользователей
Генерация персональных ключей подписи пользователя
Регистрация персональных данных пользователя для сертификата
Формирование и отправка заверенного запроса на сертификат в УКЦ
Прием сертификатов из УКЦ
Сохранение на внешнем носителе ключей подписи и полученных сертификатов
Управление статусом сертификата - формирование запросов
на отзыв
на приостановление
на возобновление действия
Фильтрация IP-трафика по заданным
параметрам.
Защита любого IP-трафика
шифрование
Безопасная работа VPN-пользователя с
открытыми ресурсами.
аутентификация
проверка целостности
Обнаружение сетевых вторжений встроенная IDS.
Контроль сетевой активности приложений.
Обмен сообщениями (чат)
Конференция
Деловая почта
Файловый обмен
Web-link
Панель наиболее важных
пользовательских приложений
Дерево настроек
программы
Лист ViPNet пользователей и
состояние их
соединений
Встроенный сетевой экран предлагает 5 уровней защиты.
Первый – блокирует весь
открытый
(незашифрованный) трафик
(работа только внутри VPN).
Второй – разрешает работу с
зарегистрированными
открытыми ресурсами.
Третий – режим
инициативных соединений,
оптимален для работы с
Интернет.
Четвертый – ничего не
блокируется, но все
регистрируется.
Пятый – отключение драйвера
защиты ViPNet.
Типовые настройки позволяют легко установить ViPNet [Клиент] Expedition для работы в
существующей сети.
Это особенно удобно для
мобильного (удаленного)
пользователя, который
должен соединиться с
собственной VPN-сетью из
внешней сети, например,
из Интернета.
Web-ссылка
Деловая почта
Файловый обмен
Конференция
Чат
Отправить сообщение
Здесь можно добавить
пользователей к чату или
организовать конференцию.
Список участников чата
Статус сообщения:
О=Отправлено,
Д=Доставлено, Ч=прочитано
Все сообщения текущей сессии
Область ввода сообщений
Эти атрибуты сообщают,
поступило ли новое сообщение и
прочитано ли оно.
Адресная книга
Ящики входящей и
исходящей почты
Все сообщения
зашифрованы.
Содержание
выводится после
декодирования
Каждое сообщение перечисляется,
чтобы облегчить поиск
Файловый обмен и Деловую почту можно вызвать из контекстного меню для
любого файла и документа, что максимально облегчает их посылку в рамках
VPN-сети.
В окне файлового обмена ViPNet-пользователь может
определить получателей, организовать полученные файлы
и проверить статус посланных файлов
Технология ViPNet Custom Expedition
позволяет легко организовывать
авторизованный доступ к
корпоративным ресурсам.
Если на Web-сервере
установлен ViPNet
[Клиент] или ViPNet
[Координатор], то только
ViPNet-пользователь
через пункт
контекстного меню
«Web-ссылка» сможет
попасть на этот сервер,
например, на
корпоративный Webсайт.
Одной из отличительных особенностей технологии ViPNet является полный контроль
над сетевым трафиком во время загрузки операционной системы.
Преимущества такого подхода очевидны:
во время и после загрузки становятся невозможны любые сетевые атаки, так
как ViPNet выполняет функции интегрированного персонального сетевого
экрана с элементами IDS
авторизация при входе в операционную систему происходит после активизации
драйвера ViPNet, что обеспечивает надежную защиту прикладных и системных
сервисов пользователя
FTP
SSL
SMTP
TCP
UDP
Internet Protocol (IP)
ViPNet Driver
Network adapter driver
IP
Telephony
Поддерживаемые операционные системы
WinME/2K/XP, MS Win 2003 Server, Linux, FreeBSD, Solaris
(Sparc)
Локализация
English, Russian, German, Spanish
Типы возможных VPN-соединений
Защищенное соединение сервер-сервер
Защищенное соединение сервер-клиент
Защищенное соединение клиент-клиент
Защищенное соединение сеть-сеть (туннелирование трафика)
Защищенное соединение сеть-клиент
Защищенное удаленное соединение
Максимальное кол-во туннелей
Не ограничено
Ограничения на прикладное ПО пользователя, работающее
через VPN-соединение
Нет
Возможность работы через разнообразное сетевое
оборудование (firewall, NAT, NAPT)
Да, включая возможность работы c DHCP и динамическим NAPT
Полная функциональность при работе в сетях с пересекающейся
IP-адресацией
Да, посредством использования виртуальных IP-адресов
Централизованное управление VPN-сетью
Да
Используемые алгоритмы шифрования
ГОСТ (256 бит), DES, 3DES, AES
Ключевая система
Комбинация централизованно рассылаемых симметричных и
асимметричных ключей, формирование сеансовых
симметричных ключей шифрования
Аутентификация
Персональные симметричные ключи (пароль для доступа) и
сертификаты ЭЦП
Межсетевой экран
VPN [Клиент]+IDS и VPN [Координатор]
Удостоверяющий Центр
Да, в составе ViPNet [Администратор] и ViPNet [Центр
регистрации]
Стандартные политики безопасности
VPN клиенты и серверы имеют по 5 стандартных политик
(режимов) безопасности.
Интеграция с бизнес приложениями сторонних производителей
Вызов внешнего web-адреса, MS NetMeeting, Voxphone и т.д.
для объектов защищенной сети.
Дополнительная сетевая фильтрация
Фильтр для SQL запросов, блокирование не IP протоколов (IPX,
NetBEUI)
Поддерживаемые сетевые протоколы
Ethernet, PPP, PPPoE, PSTN, xDSL, ISDN, GPRS, Wi-Fi
Технология кластеризации
Да, ViPNet Координатор Linux/Solaris поддерживает горячее
резервирование
Удаленное обновление ПО
ViPNet Администратор может удаленно обновлять ПО и
служебную информация на любом VPN объекте (клиент, сервер)
Максимальное кол-во сетевых адаптеров в VPN сервере
32
Требования к оборудованию VPN сервера/клиента для
одновременной работы 100 VPN-соединений
P3/600/128Mb/1Gb
Производительность шифрования и загрузка процессора
P3/600 Win2000/XP – 25-30 Мбит/с (на канале 100 Мбит/с) –
загрузка 100%
P4/2.4 ГГц Win2000/XP – 50-60 Мбит/с (на канале 1 Гбит/с) –
загрузка 100%
Увеличение размера IP-пакета при шифровании
40-80 байт
Накладные расходы на трафик
LAN 5-10%, DialUp 12-15%
Время установки защищенного соединения между двумя VPN
объектами
Никакого дополнительного времени не требуется, т.к.
аутентификация происходит для каждого IP-пакета
индивидуально с использованием симметричных сеансовых
ключей шифрования независимо от типа протокола (TCP, UDP,
ICMP и т.д.)
Контроль трафика при загрузке
Да
Возможность создания разных конфигураций настроек на VPN
клиенте/сервере
Да, текущие настройки VPN клиента/сервера могут быть
сохранены в конфигурации с уникальными именами и
дальнейшей возможностью оперативного переключения
между ними