Компания Инфотекс объявляет о выходе новой версии 2.8 пакета программ ViPNet, предназначенного для построения…

…виртуальных сетей (VPN) и защиты информационных ресурсов. В новой версии пакета компания продолжает развивать свой взгляд на технологию обеспечения безопасности при работе компьютера в современных телекоммуникационных сетях.

Он заключается в том, что если действительно есть необходимость обеспечить реальную безопасность информации и компьютеров при их работе в компьютерных сетях, то решение этой задачи возможно только на пути дальнейшего совершенствования распределенных средств тотального контроля и шифрования трафика, устанавливаемых на каждый компьютер распределенной корпоративной сети. Основными требованиями к таким системам являются: 1. Прозрачность средств защиты для штатной работы операционной системы компьютера и любых приложений, функционирующих в ее составе. Максимальная независимость свойств среды защиты от ошибок и недокументированных возможностей операционной среды и п- риложений 2. Автоматические процедуры настройки системы на сетевую инфраструктуру телекоммуникационной среды. Полная прозрачность для любых типов сетевых устройств, функционирующих в сети. 3. Максимальная реализация стратегий безопасности по умолчанию, не требующих в типовых случаях сложных процедур администрирования и настроек. 4. Комфортность работы пользователей за счет реального обеспечения безопасности их информации и компьютеров без предъявления к пользователям дополнительных требований к их квалификации.

В новой версии пакета программ ViPNet эти и другие свойства получили дальнейшее развитие.

1. Система обнаружения атак (IDS). Достаточно широко известны такие средства защиты, как системы обнаружения вторжений (intrusion detection system IDS). Эти системы служат для обнаружения действий со стороны злоумышленников ("хакера" либо "взломщика"), которые могут привести к проникновению внутрь Вашей сети, либо совершению по отношению к ней каких-либо злоупотреблений. Слово "злоупотребление" может иметь широкое толкование, и может означать различные события, например, кражу конфиденциальных данных, либо нарушение работы самой системы – т. н. "отказ в обслуживании" (denial of service, DoS). Как правило, такие системы устанавливаются, как централизованные средства контроля и весьма дороги, хотя, как и любые централизованные системы, не могут в полной мере предотвратить возможные нападения. В новой версии ViPNet средства обнаружения вторжений – IDS теперь встроены как в модуль ViPNet[Клиента], так и в ПО ViPNet[Координатора], то есть эта система также стала распределенной, что позволяет не только обнаружить атаку, но сначала ее предотвратить. Впрочем, и раньше система, благодаря технологии “Бумеранг”, не давала в большинстве случаев провести атаку на сеть и компьютер (если специально не открывались отдельные протоколы и порты), но теперь атаки точно идентифицируются и блокируются даже при открытии соответствующих портов. Еще одна очень важная особенность стратегии IDS в технологии ViPNet, это то, что система способна обнаруживать и исходящие атаки (как если бы злоумышленник находился за Вашим компьютером). Это полезно в том случае, если Ваша система каким-либо образом была скомпрометирована (например, с помощью программ – троянских коней) и после используется злоумышленником в качестве атаки на какую-либо третью систему. Библиотека атак, анализируемых системой, будет все время расширяться, и зарегистрированные пользователи смогут регулярно ее обновлять.

2. Контроль приложений. Если компьютер работает с открытыми ресурсами Интернет, то всегда существует вероятность заражения компьютера вирусами, особенно опасны, так называемые “Троянские кони”. Для борьбы с вирусами существуют различные антивирусные программы и при работе с открытыми ресурсами такие антивирусные программы наряду с нашими средствами защиты должны, безусловно, устанавливаться на Ваш компьютер. Однако борьба “антивирусов” с вирусами – это вечный процесс и, к сожалению, всегда сначала появляется “вирус”, а затем появляется средство защиты от него. Существует также серия средств защиты от НСД, обеспечивающих контроль целостности программной среды, но эти средства, как правило, могут контролировать появление чужеродных программ только на этапе загрузки компьютера. Теперь в составе ПО ViPNet[Клиента] и ViPNet[Координатора] появился новый Драйвер, обеспечивающий Контроль приложений “на лету”. Программа “Контроль приложений” предназначена для защиты компьютера от несанкционированных попыток программ, попавших на данный компьютер, выполнить определенные действия в сети, например, похитить информацию с компьютера пользователя или с сетевых ресурсов, к которым подключен компьютер пользователя. Она отслеживает все попытки приложений установить соединение, отправить пакет или подключиться к порту в ожидании соединения. Сигнализирует о таких попытках и, если такая программа не зарегистрирована, блокирует ее работу. Кроме того, пользователь или администратор может определить так называемую политику, следуя которой приложения будут автоматически попадать в “черный” (блокироваться), “белый” (разрешаться) список или будет предложено принять решение пользователю.

3. Режим “Бумеранга” для протокола ICMP. Получила свое дальнейшее развитие так называемая стратегия “Бумеранг”, обеспечивающая пропуск инициативных соединений (если соединение было инициировано пользователем компьютера, то ответ на него будет пропущен в компьютер или внутреннюю сеть). Эта стратегия устанавливается на компьютере автоматически и обеспечивает высокий уровень безопасности, без каких либо дополнительных настроек. Теперь эта стратегия в жестком режиме контроля обеспечивается и для протокола ICMP стека протоколов IP. Так, например, с Вашего компьютера можно дать команду PING на любой другой компьютер, тогда как подать такую команду на Ваш компьютер и получить ответ невозможно. В предыдущей версии, если Вы начинали “пинговать” какой-либо компьютер, то с этого компьютера можно было встречно “пинговать” Ваш компьютер.

4. Контроль любых других протоколов, кроме IP. Драйвер ПО ViPNet теперь следит не только за IP-протоколами, но и за любыми другими. Теперь можно независимо от настроек операционной системы заблокировать любые другие сетевые протоколы, например IPX, NETBEUI и другие, через которые возможен доступ на Ваш компьютер.

5. Каскадное включение ViPNet[Координаторов]. Как известно, технология ViPNet позволяет строить виртуальные сети практически любой конфигурации, в состав которых могут включаться, как локальные сети в целом, защищенные ViPNet[Координатором], так и отдельные компьютеры, защищенные ViPNet[Клиентом]. Причем эти компьютеры могут находиться как во внешних сетях, так и внутри локальной сети, и без проблем устанавливать между собой автоматическим образом защищенные соединения. Причем такие соединения могут производиться и через межсетевые экраны других производителей, осуществляющих преобразование IP-адресов. Тем самым обеспечивается защита компьютеров и информации от любого вида атак не только из внешних сетей, но и от внутренних атак. Это свойство существенно отличает технологию ViPNet от других реализаций VPN.- Однако для многих Заказчиков в целом ряде случаев внутри локальной сети требуется обеспечить защиту информации не только отдельных компьютеров. Такая задача ставится и для целых сегментов распределенной локальной сети, например группы серверов баз данных, или отдельного сервера, например, Mainframe, куда пока невозможно установить ПО ViPNet[Клиента], и доступ к которым осуществляется как из локальной сети, так и из внешней сети. Теперь такая возможность каскадирования ViPNet[Координаторов] появилась. ViPNet[Координатор], стоящий внутри локальной сети и осуществляющий туннелирование трафика, стоящих за ним компьютеров, может теперь в свою очередь быть установленным за другой внешний ViPNet[Координатор], защищающий локальную сеть в целом. 6. Усовершенствована система регистрации различных событий в журнале, доступном для просмотра администратору. В систему регистрации добавлен механизм регистрации событий, связанных с попытками подбора (неправильного ввода) пароля администратора (не только пользователя, как в предыдущей версии), добавлением, удалением, изменением и отключением фильтров адресов и протоколов.

7. Блокировка доступа к клавиатуре и мышке компьютера при автологоне. Для обеспечения высокой надежности функционирования серверов при нештатном отключении питания и возможности автоматической перезагрузки компьютера администраторы вынуждены устанавливать систему в режим автологона, то есть загрузки операционной системы с автоматическим вводом паролей и других идентифицирующих данных. Для обеспечения безопасности в этом режиме добавлена возможность “Блокировать компьютер при старте”. Если эта опция включена, то при загрузке компьютера после старта ПО ViPNet будет блокирован доступ к компьютеру с клавиатуры (за исключением окна ввода пароля). При этом все серверные программы, в том числе ПО ViPNet будут функционировать в штатном режиме.

8. Автоматическая настройка ПО пользователя на работу через внешние межсетевые экраны. При разработке ПО ViPNet огромное значение уделяется автоматизации настроек ПО без участия пользователя. В большинстве случаев так и происходит. Однако в сложных конфигурациях, когда компьютер должен работать через какие – либо внешние межсетевые экраны или устанавливаться за ViPNet[Координатор] в предыдущей версии все же требовалось выполнить настройки, достаточно затруднительные для не продвинутого пользователя. В новой версии и эти проблемы решены, и теперь в ЦУСе при генерации дистрибутива или при удаленном управлении можно задать конфигурацию, которая автоматически выполнит ранее затруднительные для пользователя настройки.

9. Взаимодействие с платой ViPNet/Turbo 100. Автоматическая перезагрузка компьютера при его зависании. Как известно, комплекс ViPNet содержит такую аппаратную составляющую, как PCI плата ViPNet/Turbo 100. Ее мы рекомендуем устанавливать на ViPNet[Координаторах], где требуется повышение производительности шифрования трафика до 100 Мбит/сек, а также на серверах различного типа с ПО ViPNet[Клиента] (сервера баз данных, почтовые и WEB-сервера и др.), где требуется разгрузить процессор для основных операций и не понизить производительность обработки трафика. В предыдущей версии для соединения с компьютером, оснащенным платой, требовалась установка специальной версии ПО ViPNet. То есть имела места несовместимость программной и аппаратной реализации. Теперь этой проблемы не существует, и программы автоматически определяют нужный протокол вне зависимости от наличия или присутствия платы. Кроме того, в плату и ПО встроена функция WatchDog, обеспечивающая жесткую перезагрузку компьютера (RESET) в случае его зависания, что значительно повышает отказоустойчивость системы.

10. Блокировка секретного диска при работе в Интернет. Те, кто интересуется технологией ViPNet, по-видимому, уже знают о новом продукте ОАО Инфотекс - программе SAFE DISK, позволяющей создать на компьютере секретные логические диски, на которые вся информация в прозрачном для операционной системы режиме записывается в зашифрованном виде. Естественно, это программа интегрируется в общую технологию ViPNet и в версии 2.8 сделан первый шаг к такой интеграции. Как известно, технология ViPNet предоставляет возможность безопасного для локальной сети подключения отдельных ее рабочих станций к открытым ресурсам Интернет непосредственно из локальной сети через “ViPNet[Координатор] открытого Интернета” без вынесения этих компьютеров в демилитаризованную зону. Теперь при выходе такого компьютера на открытые ресурсы Интернет и установленной программе SAFE DISK производится автоматическая блокировка любых обращений к секретным дискам, что значительно повышает безопасность хранящихся на компьютере данных.

11. Заключение ФАПСИ на персональный сетевой экран. В состав пакета программ ViPNet, как неотъемлемая часть технологии, входит персональный сетевой экран, защищающий компьютер от атак. Многим известно, что существует и автономная версия этого продукта ViPNet[Персональный сетевой экран]. Версия 2.8 этого продукта прошла сертификационные испытания в Федеральном агентстве правительственной связи и информации (ФАПСИ). Теперь, впервые на Российском рынке появился персональный сетевой экран, получивший положительное заключение ФАПСИ и рекомендованный этой организацией для использования в органах государственной власти для защиты компьютеров с операционными системами WINDOWS 95/98/ME/NT/2000/XP при их подключении к внешним глобальным сетям. ViPNet[Персональный сетевой экран] рекомендован ФАПСИ для использования, в том числе, для обеспечения безопасного использования технологии PKI на базе криптопровайдера КриптоПро. В связи с этим произведена унификация ПО ViPNet и ПО КриптоПро в части носителей для хранения идентификационной информации.

12. Совершенствование ПО “Деловая почта”. Наряду с технологиями прозрачной для операционных систем и приложений защиты трафика, система ViPNet содержит целый ряд собственных прикладных систем и, в частности, систему “Деловая почта”, сертифицированную Гостехкомиссией России в составе системы ViPNet по классу 1В для автоматизированных систем. Тех, кого беспокоит безопасность почтовых систем и организации делопроизводства, используют этот продукт для информационного взаимодействия. Централизованная система управления адресными справочниками и допустимыми связями, наличие неограниченных возможностей по разграничению доступа к документам, подсистемы автопроцессинга, архивов, поиска и нумерации документов, надежные системы доставки и квитирования документов, удобный для освоения OUTLOOK – подобный интерфейс пользователя, все это делает привлекательным этот продукт для использования для корпоративного взаимодействия. В версии 2.8 этот продукт также получил дальнейшее развитие:  Встроена поддержка рассылки копий и скрытых копий писем- .  Теперь пользователь может запросить квитанции у получателя письма в виде отдельных писем, подписанных ЭЦП получателя, на основании которых получатель юридически не сможет отказаться от получения и прочтения, отправленных ему писем и вложений к ним. Система автоматически отправляет такие квитанции независимо от желания получателя.  Встроена поддержка шаблонов, писем которые могут использоваться пользователем для быстрой подготовки документов.  Добавлены дополнительные возможности к автопроцессингу.-  Теперь можно выполнить отправку файла в виде письма Деловой почты непосредственно из Windows Explorer.

13. Полное соответствие сертификатов ЭЦП стандарту X.509 (V.3). Программный интерфейс к криптографическим функциям. Пакет программ ViPNet реализует все технологические решения, обеспечивающие функционирование технологии PKI, достоверность и юридическую значимость документов и совершаемых действий. В версии 2.8 формат сертификатов ЭЦП приведен в полное соответствие со стандартом X.509 (V.3) и вступившим в силу Законом об электронной цифровой подписи. Выпущены функции ЭЦП для непосредственного встраивания этих функций в другие прикладные системы (банковские, Web-порталы и др.), что позволяет безопасные технологии ViPNet более тесным образом сопрячь с любыми банковскими технологиями, технологиями делопроизводства и другими технологиями, где наряду с юридической значимостью документов, требуется обеспечить и безопасность информационного обмена.

В этой части версия 2.8 является по существу прообразом версии 2.9 ПО ViPNet, намеченной к выпуску осенью 2002 года. В этой версии будет обеспечена одновременная поддержка работы с сертификатами и удостоверяющими центрами, использующими сертифицированное криптографическое ядро “Домен-К” системы ViPNet, а также работу с сертификатами, созданными с использованием криптопровайдера КриптоПро и других криптопровайдеров, поддерживающих Microsoft Crypto API. Будет также обеспечена возможность взаимодействия с удостоверяющими центрами других производителей.

О компании Ин- фотекс: Компания Инфотекс (Информационные Технологии и Коммуникационные Системы) основана в 1989г. и в настоящее время является ведущей на рынке информационной безопасности, специализируясь на производстве программного обеспечения в области систем защиты ин- формации. В разработанный ОАО "Инфотекс" широкий спектр программных продуктов входят как решения для индивидуального пользователя, так и сложнейшие конструкторские решения для крупных корпораций и государственных структур. Деятельность компании на рынке информационных технологий регламентируется лицензиями ФАПСИ, ФСБ и Гостехкомиссии. Вся линия продуктов ViPNet имеет сертификаты соответствия (Сертификаты Гостехкомиссии при Президенте РФ №№ 545, 546 от 17.12.01, Сертификаты ФАПСИ №№ СФ/114-0470, СФ/124-0471 от 01.06.2001 на средство криптографической защиты информации (СКЗИ) "Домен-К", являющегося криптографическим ядром пакета программ ViPNet).

Телефоны компании: (095) 737-6192, 913-2135, 737-7278 (факс) Адрес: 125315, Москва, Ленинградский пр-т., д.80, а/я 35 E-mail: soft@infotecs.ru WWW: http://www.infotecs.ru

Опубликовано: 5 августа 2002 г.

Ключевые слова: нет

Извините, комментариев пока нет