Новый подход в построении виртуальных защищенных сетей
на базе средств серии КРИПТОН

Романец Ю.В., Сырчин В.К., Тимофеев П.А.
Выступление на Х Международной конференции «Комплексная защита информации», Суздаль, 4-7 апреля 2006 года.

Трудно представить себе предприятие без локальной сети или сетей и выхода в Интернет, у которого не было бы каких-либо секретов. Желание обеспечить конфиденциальность циркулирующей в этих сетях информации привело к появлению виртуальных защищенных сетей. Способ организации защищенных виртуальных сетей базируется на использовании программного обеспечения, выполняющего следующие действия:

  • шифрование исходного IP–пакета с помощью отдельно подключаемого программного модуля или аппаратного шифратора (в виде платы или внешнего устройства); шифрование может выполняться по различным алгоритмам шифрования с применением симметричных или асимметричных ключей;

  • создание нового пакета (инкапсуляция) с включением в него зашифрованного пакета в соответствии с известными протоколами IpSec, SKIP или протоколом собственной разработки.

Рис.1

Модуль с шифраторами может устанавливаться на отдельный компьютер, на компьютер, находящийся в сети, на криптомаршрутизатор, на межсетевой экран. Поэтому виртуальная сеть может быть построена на базе:

  • отдельно стоящих защищенных компьютеров;

  • части компьютеров одной локальной сети;

  • компьютеров нескольких локальных сетей, защищенных маршрутизаторами или межсетевыми экранами;

  • комбинации перечисленных выше способов.

На рисунке 1 показана корпоративная сеть, состоящая из двух отдельных локальных вычислительных сетей (ЛВС) и компьютера удаленного пользователя. Две ЛВС выходят в открытую сеть через защищенные криптомаршрутизаторы. На компьютере удаленного пользователя для защиты используется VPN-агент.

 

На рисунке 2 представлен вариант с тремя виртуальными сетями для работы с открытой, конфиденциальной и «секретной» информацией. Сеть бухгалтерии защищена криптомаршрутизатором, средства защиты компьютеров других сетей устанавливаются непосредственно на компьютеры.

Рис.2

Во всех перечисленных выше способах виртуальные сети работают по принципу, когда каждый компьютер находиться только в одной защищенной виртуальной сети. Принципиально возможно использование одного компьютера в нескольких виртуальных сетях. Для перехода из одной сети в другую необходима смена ключей шифрования трафика. Однако отсутствие аппаратных средств для надежной изоляции этих виртуальных сетей друг от друга не позволяло использовать такой подход. Поэтому на базе физических локальных сетей, как правило, строят одну виртуальную защищенную сеть или несколько, при условии, что в них включаются различные компьютеры.

В докладе рассматривается способ, аппаратные и программные средства,  позволяющие использовать один и тот же персональный компьютер в нескольких защищенных виртуальных сетях, в которых циркулирует информация различной степени секретности.

Появляется возможность создания на базе одних и тех же локальных корпоративных сетей и сетей публичного пользования множества виртуальных защищенных сетей. При этом доступ к этим сетям может осуществляться одним или несколькими сотрудниками с разными полномочиями с одного и того же рабочего места.

Основой для реализации такого способа является АПМДЗ «КРИПТОН-ЗАМОК» (см. рис. 3.), обеспечивающий использование одного и того же АРМ в нескольких контурах защиты путем управления (включением и блокировкой) жесткими дисками и платами серии КРИПТОН.

Рис.3

АПМДЗ «КРИПТОН-ЗАМОК» представляет собой уникальное устройство, выполняющее широкий набор функций по защите информации, включая следующие классические функции стандартных АПМДЗ:

  • идентификация и аутентификация пользователей до запуска BIOS;
  • блокировка компьютера при НСД, накопление и ведение электронного журнала событий;
  • контроль целостности внутреннего ПО АПМДЗ, загрузочных секторов и файлов жесткого диска файловых систем FAT12, FAT16, FAT32, NTFS, EXT2FS и EXT3FS;
  • блокировка загрузки ОС с НГМД,  CD ROM, через сетевой адаптер.

В АПМДЗ «КРИПТОН-ЗАМОК» реализован значительный набор дополнительных функций, которые существенно улучшают возможности по нейтрализации угроз НСД и позволяют по новому взглянуть на построение защищенных виртуальных сетей:

  • обеспечение широкого выбора типов ключевых носителей (смарт-карты с открытой и защищенной памятью, микропроцессорные смарт-карты, Тouch Мemory);

  • возможность интеграции в другие системы безопасности (сигнализация, пожарная охрана и пр.);

  • возможность создания бездисковых рабочих мест на основе встроенного флеш-диска 16 Мбайт;

  • возможность создания нескольких контуров безопасности;

  • аппаратное разграничение доступа к жестким дискам, сетевым интерфейсам производства фирмы АНКАД;

  • идентификация сменных жестких магнитных дисков;

  • удаленное администрирование со специально выделенной рабочей станции администратора;

  • обеспечение гарантированного перехвата управления АПМДЗ (если АПМДЗ не получил управление в течение установленного интервала времени он перезагружает компьютер).

Блокировка жесткого диска производится посредством подключения управляемого от АПМДЗ интерфейса к шлейфу, идущему к жесткому. Предусмотрены также интерфейсы между сетевым адаптером и АПМДЗ. Блокировка шифрующих плат производится автоматически в случае отсутствия ключа шифрования, который также вводится через АПМДЗ. Ниже на рисунках 4 и 5 представлены две сетевые платы разработки фирмы АНКАД.

Рис.4

Рис.5

 

 

 

 

 

 

 

Дополнительно к блокировке жесткого диска можно использовать шифрование информации на проходе. Для этого используются проходные шифраторы жесткого диска, изображенные на рисунках 6 и 7.

Рис.6

Рис.7

 

 

 

 

 

 

 

При установке АПМДЗ «КРИПТОН-ЗАМОК» совместно с другими устройствами серии КРИПТОН АРМ может быть подключен к нескольким физическим и виртуальным локальным сетям, в которых циркулирует информация различной категории от открытой до государственной тайны. Рассмотрим конфигурации АРМ, подключенных к двум физическим сетям.

Рис.8

 

По одной из сетей циркулирует секретная информация, по другой – открытая и конфиденциальная (см. рис 8). Секретная и конфиденциальная информация циркулирует в сети в зашифрованном виде. Для каждой виртуальной сети АПМДЗ блокирует те или иные устройства. АРМ и жесткие диски, изображенные на рисунке, помечены буквами, обозначающими в какой из виртуальных сетей они могут работать (О – открытая сеть, К – сеть для конфиденциальной информации, С – сеть для секретной информации).

На АРМ устанавливается до трех жестких дисков, по количеству виртуальных сетей, в которых он будет работать. Жесткий диск для секретной информации прозрачно шифруется. На каждый из дисков записан свой экземпляр операционной системы. При включении компьютера и предъявлении ключа АПМДЗ открывает для работы соответствующий диск, с которого грузится операционная система, и сетевой интерфейс.

 

Рассмотрим конфигурации АРМ, подсоединенных к двум виртуальным сетям (см. рис. 9, 10 и 11).

 

 

Рис.9

 

Рис.10

 

Рис.11

При загрузке с секретным ключом блокируется выход в сеть для конфиденциальной и открытой информации, диски с открытой и конфиденциальной информацией также блокируются (см. рис 12). Открывается доступ к проходному шифратору секретного диска и шифрующему сетевому интерфейсу.

Рис.12

Для работы в виртуальной сети для открытой информации блокируются шифрующий сетевой интерфейс, проходной шифратор секретного диска, диски для секретной и конфиденциальной информации, открывается доступ к физической сети конфиденциальной и открытой информации (см. рис.13). 

Рис.13

Аналогично осуществляется работа в виртуальной сети для конфиденциальной информации, только блокируется диск с открытой информацией и загружается программный модуль шифрования трафика (см. рис.14).

Рис.14

 

В настоящее время для реализации такого способа могут использоваться только средства серии КРИПТОН российской фирмы АНКАД:

  • аппаратно программный модуль доверенной загрузки (АПМДЗ);

  • программный шифратор прозрачного шифрования диска CryptonDisk;

  • проходные аппаратные шифраторы интерфейсов IDE, SATA, USB;

  • сетевые интерфейсы AncNet и КРИПТОН AncNet;

  • программное средство шифрования трафика IP-Mobile SE.

Рис.15

Рассмотрим  три виртуальных ЛВС с открытой, конфиденциальной и «секретной» информацией: сеть администрации компании, сеть разработчиков, сеть бухгалтерии (см. рис. 15).

  • Сеть администрации компании. Персональный компьютер ПК1 принадлежит руководителю предприятия. На нем он работает в открытой сети Интернет, в защищенной виртуальной сети бухгалтерии в виртуальной защищенной сети разработчиков.

  • Сеть разработчиков, в которой функционирует защищенная виртуальная сеть и открытая виртуальная сеть. Разработчики общаются друг с другом через виртуальную защищенную сеть, выходят в Интернет через открытую сеть. Разработчики имеют выход в Интернет со своих ПК, конфигурация которых аналогична ПК2.

  • Сеть бухгалтерии. Выход в Интернет из этой сети запрещен.

Рассмотренные примеры показывают широкие возможности практической реализации предложенного способа для построения защищенных виртуальных сетей, где с одного и того же компьютера можно выходить в различные виртуальные сети. Например, руководитель компании, имея один компьютер ПК1 у себя на столе, может с него работать в Интернете и заходить в две защищенные виртуальные сети: сеть бухгалтерии и сеть разработчиков. При этом разработчики не смогут входить в сеть бухгалтерии, но могут выходить в Интернет. В защищенной виртуальной сети разработчиков используются ключи шифрования трафика, отличные от сети бухгалтерии. В данном случае для работы в конфиденциальной сети разработчиков  и «секретной» сети бухгалтерии (ПК2 и ПК3) используются одинаковые по составу средств конфигурации (см. рис. 11).

Для защиты информации от атак через Интернет может применяться следующая конфигурация компьютера (см. рис. 16).

Рис.16

При выходе в Интернет диск с конфиденциальной информацией блокируется (рис 17). При этом работает операционная система с открытого диска, в которой установлена антивирусная система. 

Рис.17

При работе с конфиденциальной информацией блокируется выход в сеть, и загружается операционная система с диска с конфиденциальной информацией, в которой также есть антивирусная программа (см. рис. 18). Эта программа не могла быть подвергнута атаке при работе в открытой сети.

Рис.18

Блокируется также запись на открытый диск, разрешается только операция чтения с него. Это можно сделать, например, установив СРД «КРИПТОН-Щит» на операционную систему с конфиденциальной информацией.

Документы, переписываемые с открытого диска на конфиденциальный, проверяются на наличие вирусов. При их обнаружении выполняется либо полное восстановление открытого диска с копии (15-20 мин), либо лечение с помощью антивирусной программы.

Можно также предусмотреть контур с полной изоляцией открытого диска (см. рис. 19). Данную конфигурацию можно применять для безопасного выполнения электронной цифровой подписи (ЭЦП). Для выполнения подписи финансовых документов второй контур может быть усилен шифратором диска (см. рис. 20).

Рис.19

 

Рис.20

При выполнении подписи закрывается выход в сеть и блокируется диск с открытой информацией (см. рис. 21). 

Рис.21

Фирма АНКАД получила решение о выдаче ей патента на представленный в докладе способ создания виртуальных защищенных сетей.

Об авторах:

- Романец Юрий Васильевич, генеральный директор Фирмы "АНКАД"
- Тимофеев Петр Александрович, зам.генерального директора Фирмы “АНКАД” по науке и технологиям
- Сырчин Владимир Кимович, системный инженер Фирмы “АНКАД”.