Funcionalidad de los complejos FPSU-IP.

Funcionalidad de los complejos FPSU-IP.

Capacidades funcionales de Complejos FPSU -IP

Las principales capacidades funcionales de los complejos FPSU-1R son:

• filtrado de paquetes IP según los criterios de cumplimiento de los principales &#171 ;Recomendaciones RFC para redes IP» admisibilidad de direcciones, correlación de tamaños, exactitud de las sumas de verificación, etc.;

• filtrado de paquetes IP de acuerdo con reglas establecidas por los administradores en función de las direcciones IP del remitente y del destinatario, tramas encapsuladas en el protocolo IP, fecha y hora de transmisión del paquete, puertos de abonado permitidos (para paquetes TCP/UDP), así como pares de direcciones de suscriptores para quienes es posible la conexión:

• traducción de las direcciones de red del remitente y del destinatario en túneles de red, ocultando las direcciones internas del sujeto y el objeto de la interacción de información;

• ocultar funciones de aplicación de la red protegida y los protocolos de red que utilizan;

• identificación y autenticación de FPSU que interactúan utilizando métodos que sean resistentes a la interceptación activa de información en la red;

• compresión del tráfico de redes con un compresor especializado para reducir los costos de las empresas cuando utilizan redes corporativas al reducir el tráfico y aumentar las tasas de intercambio de datos;

• organización de redes privadas virtuales (VPN) en redes corporativas y públicas basadas en múltiples FPSU utilizando túneles de datos;

• ocultación del hecho de utilizar las propiedades protectoras del complejo;

• prohibición de conexiones TCP/UDP con suscriptores individuales del área protegida en puertos cuyo software tenga errores en la implementación del uso de estos puertos;

• procesamiento adicional de opciones de IP específicas para excluir la posibilidad de revelar la topología de la red protegida desde el exterior;

• registro de información sobre el funcionamiento del complejo en un almacenamiento especial tipo MIB;

• uso del entorno operativo protegido propio del complejo para excluir modificaciones no autorizadas del software y la introducción de influencias destructivas del software;

• garantizar la protección contra el acceso no autorizado a la información y los recursos del complejo mediante la identificación del administrador, ingeniero y operadores con el registro de sus acciones utilizando un identificador electrónico único no copiable y el contenido de su memoria (&# 171;memoria táctil»).

En marzo de 1999, en el stand multifuncional del Banco de Rusia, se llevaron a cabo pruebas durante dos semanas para probar los complejos FPSU-1R, simulando diversas condiciones de su uso. Aprovechamos esta oportunidad para agradecer a todos los participantes y organizadores de estas pruebas de gran utilidad, con especial agradecimiento a — expertos especialistas del Banco de Rusia, que aplicaron creativamente toda su rica experiencia en la prueba de otras herramientas de seguridad de la información, incluidas aquellas con fines similares, y también hicieron propuestas muy útiles para el desarrollo posterior de los complejos FPSU-1R.

Los principales resultados de estas pruebas fueron los siguientes:

1. Los complejos FPSU-1R superaron con éxito todo tipo de pruebas y funcionaron de manera estable en todos los modos.

2. Al medir su rendimiento en varios modos, se obtuvieron las características dadas en la Tabla 1. Las pruebas se realizaron en computadoras HP Vectra (Pentium 200, RAM 32 MB, adaptadores de red 3COM ZS90510/100).

Tabla 1

3. Al medir la influencia de los complejos FPSU-1R en el rendimiento de los servicios IP comunes cuando se utilizan varios tipos de canales (Frame Relay, X.25 y PPP) con velocidades de 256,0; 64,0 y 19,2 Kbit/s, se encontró que debido a la compresión de datos efectiva con MTU de 256 a 1500 bytes, la velocidad aumenta hasta dos o más veces cuando se transmite información de texto, y cuando se transmiten datos archivados, también se logra cierto aumento de velocidad ( en aproximadamente un 10%).

4. Al construir una VPN (modo túnel), la sobrecarga del tráfico de la red corporativa es mínima y, en el caso extremo (si los datos del paquete son incompresibles), no supera los 18-20 bytes por paquete.

En general, según los resultados de las pruebas, se reconoció que los complejos FPSU-1R son capaces de satisfacer varios requisitos para los medios de construcción de redes corporativas protegidas de manera confiable con la implementación adecuada de una serie de propuestas para aumentar la funcionalidad (principalmente la introducción de control remoto). herramientas de control similares a las utilizadas en los complejos FPSU-X 25, para garantizar el procesamiento y tunelización adecuados de la información de control y servicio de los enrutadores). A continuación se muestra la estructura lógica de la organización de una VPN utilizando complejos FPSU-1R.

Esquema en la Fig. 1 demuestra claramente las posibilidades de construir redes virtuales privadas efectivas que cumplan con los requisitos de varias organizaciones rusas. Por lo tanto, utilizando la conexión en cascada adecuada de complejos que se muestra en el diagrama, es posible implementar conexiones «anidadas&#187. VPN, incluso para separar las herramientas de administración de red en una red lógica segura separada. Al mismo tiempo, los mecanismos de filtrado utilizados en los complejos FPSU-1R, la estricta autenticación de interacción y la formación de varios grupos de acceso lógico permiten la aplicación flexible de una u otra política de seguridad en redes de información corporativa complejas.

Es necesario enfatizar que continuamos trabajando en el desarrollo de la funcionalidad de los complejos FPSU-1R en el marco de las propuestas generadas por expertos especialistas del Banco de Rusia. Por lo tanto, si está interesado en estos complejos, incluso en términos de su desarrollo posterior, puede obtener información más detallada en nuestro sitio web (HTTP://ORC.RU/-AMICON).