Разработка защищенной структуры сегмента сети предприятия на базе технологии VipNet
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
онвертов, проводится взаимная аутентификация узлов и осуществляется прием/передача конвертов друг для друга. При связи по каналу SMTP/POP3 транспортный модуль переадресует конверты для отправки модулю MailTrans, который передает их через сервер SMTP, а также забирает с сервера POP3 конверты, предназначенные для этого узла.
Транспортные конверты для передачи формируются прикладными задачами сети, например "Деловой почтой". Эта система предназначена для организации защищенной передачи электронных документов по открытым каналам связи по всему маршруту следования документа, от отправителя к получателю в сети ViPNet. Помимо обычных функций по работе с электронной почтой "Деловая почта" обеспечивает шифрование и простановку ЭЦП на отправляемые сообщения, ведение регистрационных данных на них, а также предоставляет гибкие возможности по работе с документами: сортировку документов, архивацию, поиск, автоматическую обработку файлов и входящих писем в соответствии с различными правилами, задаваемыми пользователем (автопроцессинг).
3.2 Схема применения компонент VipNet
Рисунок 7 - Компоненты VipNet
Было выделено три уровня компонент - административное, серверное и клиентское ПО. Уровни показаны на рисунке 7.
Базовыми компонентами ViPNet CUSTOM является ПО ViPNet Administrator , ViPNet Coordinator (в разных вариантах исполнения) и ViPNet Client . Эти компоненты являются основой для развертывания виртуальной частной сети и инфраструктуры открытых ключей. iелью расширения возможностей базовых компонент могут использоваться дополнительные компоненты ViPNet CUSTOM: ViPNet Registration Point, ViPNet Publication Service и ViPNet CryptoService .
Криптографические функции во всех компонентах комплекса ViPNet CUSTOM реализуются с помощью средства криптографической защиты информации (СКЗИ) Домен-К. СКЗИ Домен-К, которые представляют из себя набор программных библиотек, драйверов и средств управления ключами пользователя. В зависимости от выбранного уровня безопасности СКЗИ Домен-К может комплектоваться сертифицированными средствами защиты от несанкционированного доступа - электронными замками.
3.3 Подсистема защиты VoIP
Предложено при дальнейшем использовании голосовой телефонии через Интернет использовать конфигурацию, показанную на рисунке 5.
Использование VLAN.
При построении системы IP-телефонии принято выделять отдельную сеть VLAN, к которой подключаются все IP-телефоны. Данный способ обладает рядом недостатков:
Если злоумышленник получит доступ к VLAN системы IP-телефонии, то ему будет доступны для прослушивания все телефонные переговоры.
Данное решение никак не может обеспечить безопасность системы IP-телефонии, построенной между двумя и более территориально распределенными офисами.
Шифрование и криптографическая аутентификация VoIP.
Данный способ обеспечения безопасности на сегодняшний день является наиболее надежным. Защита современных систем IP-телефонии может быть реализована с помощью различных протоколов таких как SRTP, ZRTP и IPSec. Однако, каждый из этих протоколов обладает рядом существенных недостатков:, ZRTP используют слабую криптографию - ключи шифрования недостаточной длины или некриптостойкие алгоритмы шифрования. - требует проведения предварительного обмена ключами, часто блокируется различными интернет-провайдерами, в ряде случаев в силу ограничения технологии не позволяет установить защищенное соединение.
Помимо частных недостатков, все упомянутые способы криптографической защиты IP-телефонии обладают общим недостатком - отсутствие сертификатов ФСБ РФ и ФСТЭК РФ. Из этого следует, что существующие способы защиты IP-телефонии нельзя использовать в государственных учреждениях.
Основой защиты VoIP является VPN-решение ViPNet CUSTOM, которое обладает следующим функционалом:
-Шифрование и фильтрация сигнального и голосового трафика всех участников сети IP-телефонии.
-Обеспечивает беспрепятственное прохождение VoIP-трафика через устройства NAT.
-Поддержка виртуальных адресов, в том числе в протоколах SIP, H.323 и Cisco SCCP (Skinny Client Control Protocol), является решением проблемы пересечения пространства IP-адресов удаленных офисов.
Приемущества при использовании такой структуры:
-Позволяет организовать защиту гетерогенных систем IP-телефонии.
-Позволяет организовать защищенное взаимодействие между двумя и более локальными сетями с пересекающейся IP-адресацией без изменения топологии этих сетей.
-Обеспечивает защиту мобильных пользователей IP-телефонии.
-Обеспечивает прохождении VPN-трафика в случае использования NAT или противодействия со стороны провайдера.
-Наличие сертификатов ФСБ и ФСТЭК.
3.4 Защита беспроводных сетей сегментов газораспределительных станций Изобильненского ЛПУМГ
В общем виде примененная система защиты выглядит следующим образом.
Рисунок 6 - Защита газораспределительных станций беспроводных сетей сегментов
К преимуществам такой конфигурации относятся следующие:
-контроль доступа в ЛВС предприятия;
-централизованное управление сетью VPN;
-обеспечение конфиденциальности и целостности информации, передаваемой по беспроводным каналам связи;
-реализация защиты от сетевых атак на каждом рабочем месте;
-возможность подключения по защищенному беспроводному соединению к мультимедиа системам предприятия - ip-телефонии, видеоконференцсвязи;
-автоматическая актуализация инфо