Функциональные возможности комплексов ФПСУ-IP.

Функциональные возможности комплексов ФПСУ-IP.

Функциональные возможности комплексов ФПСУ-IP

Основными функциональными возможностями комплексов ФПСУ-1Р являются:

• фильтрация IP-пакетов по критериям соответствия основным «Рекомендациям RFC для IP сетей»: допустимость адресов, соотносимость размеров, правильность контрольных сумм и др.;

• фильтрация IP-пакетов в соответствии с задаваемыми администраторами правилами на основе IP-адресов отправителя и получателя, фреймов, инкапсулированных в IP-протокол, времени и даты передачи пакета, разрешенных портов абонентов (для TCP/UDP-пакстов), а также пар адресов абонентов, для которых возможно соединение:

• трансляция сетевых адресов отправителя и получателя в межсетевых туннелях, скрывающая внутренние адреса субъекта и объекта информационного взаимодействия;

• сокрытие прикладных функций защищаемой сети и используемых ими сетевых протоколов;

• идентификация и аутентификация взаимодействующих ФПСУ методами, устойчивыми к активному перехвату информации в сети;

• сжатие межсетевого трафика специализированным компрессором для уменьшения расходов компаний при использовании корпоративных сетей за счет сокращения трафика и повышения скоростей обмена данными;

• организация виртуальных частных сетей (VPN) в корпоративных и общедоступных сетях на базе множества ФПСУ с использованием туннелирования данных;

• сокрытие факта использования защитных свойств комплекса;

• запрещение TCP/UDP-соединений с отдельными абонентами защищаемой области по портам, программное обеспечение которых имеет погрешности в реализации использования этих портов;

• дополнительная обработка специфических IP-опций в целях исключения возможности раскрытия извне топологии защищаемой сети;

• регистрация информации о функционировании комплекса в специальном MIB-подобном хранилище;

• использование собственной защищенной операционной среды функционирования комплекса для исключения несанкционированной модификации ПО и внедрения разрушающих программных воздействий;

• обеспечение защиты от несанкционированного доступа к информации и ресурсам комплекса посредством идентификации администратора, инженера и операторов с регистрацией их действий по некопируемому уникальному электронному идентификатору и содержимому его памяти («touchmemory»).

В марте 1999 г. на многофункциональном стенде Банка России в течение двух недель проводились испытания по тестированию комплексов ФПСУ-1Р с имитацией разнообразных условий их применения. Пользуясь случаем, мы благодарим всех участников и организаторов этих крайне полезных испытаний, причем особые благодарности — специалистам-экспертам Банка России, творчески применившим весь свой богатый опыт испытаний других средств защиты информации, в том числе и аналогичного назначения, а также внесшим весьма полезные предложения по дальнейшему развитию комплексов ФПСУ-1Р.

Основными результатами этих испытаний явились следующее:

1. Комплексы ФПСУ-1Р успешно выдержали все виды испытаний и устойчиво функционировали во всех режимах.

2. При измерениях их пропускной способности в различных режимах получены характеристики, приведенные в таблице 1. Тестирование проводилось на компьютерах HP Vectra (Pentium 200, RAM 32Mb, сетевые адаптеры 3COM ЗС90510/100).

Таблица 1

3. При измерениях влияния комплексов ФПСУ-1Р на производительность распространенных IP-сервисов при использовании различных видов каналов (Frame Relay, X.25 и РРР) со скоростями 256,0; 64,0 и 19,2 Кбит/с было установлено, что за счет эффективного сжатия данных при MTU от 256 до 1500 байт обеспечивается увеличение скорости до двух и более раз при передаче информации текстового вида, причем при передаче заархивированных данных также достигается некоторый прирост скорости (примерно на 10%).

4. При построении VPN (режим туннелирования) накладные расходы на трафик корпоративной сети минимальны и для крайнего случая (если данные пакета несжимаемы) составляют не более 18-20 байт на пакет.

В целом по результатам тестирования комплексы ФПСУ-1Р были признаны способными удовлетворить разнообразные требования, предъявляемые к средствам построения надежно защищенных корпоративных сетей при соответствующей реализации ряда предложений по наращиванию функциональных возможностей (прежде всего по внедрению средств дистанционного управления, аналогичных примененным в комплексах ФПСУ-Х.25, по обеспечению соответствующей обработки и туннелирования управляющей и служебной информации маршрутизаторов). Ниже приведена логическая структура организации VPN с использованием комплексов ФПСУ-1Р.

Схема на рис. 1 достаточно наглядно демонстрирует возможности построения эффективных частных виртуальных сетей, удовлетворяющих требованиям различных российских организаций. Так, с применением соответствующего каскадного подключения комплексов, отраженного на схеме, можно реализовывать «вложенные» VPN, в том числе и для выделения средств сетевого управления, в отдельную защищенную логическую сеть. При этом используемые в комплексах ФПСУ-1Р механизмы фильтрации, строгой аутентификации взаимодействия, формирования различных логических групп доступа позволяют гибко применять ту или иную политику безопасности в сложных корпоративных информационных сетях.

Необходимо подчеркнуть, что мы продолжаем работу по развитию функциональных возможностей комплексов ФПСУ-1Р в рамках предложений, сформированных специалистами-экспертами Банка России. Поэтому если вы заинтересуетесь этими комплексами, в том числе в части их дальнейшего развития, то более подробную информацию вы сможете получить на нашем сайте (HTTP://ORC.RU/-AMICON).