Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Скидка до 20% на услуги дата-центра. Аренда серверной стойки. Colocation от 1U!

Миграция в облако #SotelCloud. Виртуальный сервер в облаке. Выбрать конфигурацию на сайте!

Виртуальная АТС для вашего бизнеса. Приветственные бонусы для новых клиентов!

Виртуальные VPS серверы в РФ и ЕС

Dedicated серверы в РФ и ЕС

По промокоду CITFORUM скидка 30% на заказ VPS\VDS

VPS/VDS серверы. 30 локаций на выбор

Серверы VPS/VDS с большим диском

Хорошие условия для реселлеров

4VPS.SU - VPS в 17-ти странах

2Gbit/s безлимит

Современное железо!

Общие принципы функционирования комплекса

Допустим, что в общей коммуникационной сети существует фрагмент (подсеть), для которого необходимо осуществить разграничение доступа (фильтрацию) входящих и исходящих запросов на соединения. Для выполнения функции защиты компьютер, оборудованный программно-аппаратным комплексом "ФПСУ X.25", аппаратно подключается в разрыв цепи между этой подсетью и глобальной сетью X.25 (см. Рис. 3-1) парой физических линий (к защищаемой подсети - терминальная сторона, к глобальной сети - сетевая сторона) таким образом, чтобы все входящие и исходящие из подсети межсетевые потоки данных проходили через Сетевой фильтр Х.25 (СФ).

Абоненты защищённой подсети, подключенной к СФ с терминальной стороны, считаются местными абонентами, а остальные - удаленными.


Рис. 1. Функциональная схема использования комплекса

Таким образом, из глобальной сети выделяется группа абонентов (защищаемая подсеть), для которых обмен данными с абонентами глобальной сети может быть специальным образом регламентирован и проконтролирован.

Основная функция межсетевого экрана (МЭ) "ФПСУ Х.25" заключается в том, что он анализирует входящие и исходящие вызовы по совокупности критериев, осуществляет контроль доступа и определяет метод передачи данных. При этом существует различие в анализе вызовов абонентов и обращений удалённых администраторов.

На начальном этапе анализа все пакеты, в частности служебные для диагностики и управления сетевыми устройствами X.25, контролируются на предмет их корректности и соответствия протоколу ITU-T X.25 математическим обеспечением сетевых карт и СЕТЕВОГО ФИЛЬТРА X.25. При обнаружении несоответствия дальнейшее рассмотрение и распространение пакета прекращается. Если несоответствующий пакет поступил по уже установившемуся виртуальному соединению, оно будет разорвано.

Анализ входящих и исходящих вызовов абонентов, производимый МЭ "ФПСУ X.25", заключается в сопоставлении полей в пакете "Запрос Вызова" правилам и данным, установленным при конфигурировании локальным или удалённым администраторами МЭ в таблицах разрешенных соединений. На основании произведенного анализа принимается решение о допустимости дальнейшей передачи пакета "Запрос Вызова" абоненту, о необходимости дальнейшей идентификации и аутентификации запроса с целью подтверждения подлинности удалённого адреса абонента, а также методы передачи данных по установившемуся виртуальному соединению и способы контроля за процессом приёма/передачи данных.

Применяемый в МЭ "ФПСУ X.25" механизм контроля запросов на установление виртуальных соединений посредством анализа пакетов вызова и соответствия содержащихся в них данных таблицам разрешенных соединений позволяет задавать в качестве критериев фильтрации:

  • адреса отправителя и получателя;
  • дату и время вызова;
  • направление вызова;
  • совокупность правил заполнения задаваемых значимых полей, определенных в пакете "Запрос Вызова" (интерфейс доступа).

При обмене данными между двумя защищаемыми МЭ подсетями через глобальную сеть (см. Рис. 3-1), эффективность использования комплекса и его защитные функции существенно возрастают. Только в этом случае можно в полной мере реализовать все защитные функции комплекса СЗИ НСД "ФПСУ X.25" по управлению доступом:

  • идентификацию запросов;
  • аутентификацию запросов с целью подтверждения подлинности адресов абонентов по заранее установленным специальным аутентификационным данным, созданных одним или несколькими (согласованными) центрами выработки аутентификационных данных;
  • специальные методы передачи данных по установившимся виртуальным соединениям, использующие специализированные алгоритмы:
  • сжатие и обратимое преобразование межсетевого трафика с целью сокрытия трафика субъектов/объектов, повышения скорости передачи данных и уменьшения затрат на эксплуатацию сети;
  • использование альтернативных линий передачи данных с целью сокрытия субъектов/объектов с трансляцией сетевых адресов, повышения скорости передачи данных (при одновременном использовании основной и альтернативной межсетевых линий), а также повышении надежности передачи данных при сбоях или авариях в глобальной сети;
  • контроль за процессом приёма/передачи с целью предотвращения возможности искажения передаваемых данных, их подмены или навязывания извне.

Программно-аппаратный комплекс "ФПСУ X.25" защищен от вмешательства в логику его работы, а его информационная и программная части защищены от несанкционированного доступа. Компьютер, оборудованный комплексом "ФПСУ X.25", не может содержать другого программного обеспечения, кроме самого комплекса. Плата "Аккорд", без которой комплекс не будет функционировать, и специальная подсистема комплекса МЭ осуществляют защиту жесткого диска с установленным ПО комплекса от изменения записанной на нем информации и загрузки с устройства А: (с дискеты) какой-либо операционной системы с целью использования данного компьютера не по назначению.

Специальная подсистема комплекса создает на компьютере МЭ собственную (изолированную и замкнутую) среду функционирования, предоставляя администраторам при этом возможность управлять работой МЭ - конфигурировать его (устанавливать и редактировать таблицы разрешенных соединений, интерфейсы доступа, настраивать сетевое оборудование, подключать дополнительное оборудование и специальное программное обеспечение и т.п.).

При использовании СЕТЕВЫХ ФИЛЬТРОВ может возникнуть необходимость в дистанционном наблюдении за их работой, получении регистрационной информации от СФ для просмотра и анализа, отслеживании динамики происходящих событий (мониторинге), дистанционном управлении работой СФ (изменении прав доступа, изменении разрешенных сетевых адресов, изменении конфигурации и т.д.), т.е. в удалённом администрировании. В программно-аппаратном комплексе "ФПСУ X.25" реализована возможность дистанционного контроля и управления его работой удалённым администратором, который работает с МЭ по принципу "Клиент-Сервер", то есть только подсистема удалённого администрирования может вызывать МЭ при необходимости получения от него данных или выполнения конкретных конфигурационных действий. Подсистема удалённого администрирования комплекса содержит модуль автоматического мониторинга состояния МЭ и его сетевых портов, предоставляющий удалённому администратору удобный графический интерфейс для контроля МЭ с программируемой сигнализацией на заданные администратором события и их интенсивность.

Комплекс осуществляет и разграничивает доступ к модулям и подсистемам МЭ администраторов (как местного, так и удалённого) по правам.

Локальные администраторы делятся по правам доступа на три класса: "оператор", "инженер" и "администратор", для каждого из которых строго определяется область допустимых конфигурационных действий на МЭ. Например, администратор класса "оператор" имеет право только запустить комплекс, остальные операции по конфигурации СФ, работе с регистрационной информацией и пр. будут ему недоступны. Идентификация и аутентификация локальных администраторов с соответствующими правами осуществляется посредством электронных идентификаторов touch-memory и паролю условно-постоянного действия. В МЭ "ФПСУ X.25" реализован механизм регистрации и учета используемых ТМ-идентификаторов.

Удалённым администраторам права на доступ к подсистемам МЭ устанавливает локальный администратор МЭ (только класса "администратор"). Идентификация и двусторонняя аутентификация удалённого администратора при его запросах к МЭ осуществляется с использованием заранее согласованных аутентификационных данных. Права удалённого администратора контролируются МЭ при каждом запросе к нему.

Идентификация и аутентификация удалённого администратора при работе с подсистемой удалённого администрирования может осуществляться посредством:

  • необходимости предъявления при запуске подсистемы персональных аутентификационных данных подсистемы удалённого администрирования;
  • контроля при запуске подсистемы удалённого администрирования личного пароля администратора условно-постоянного действия, имеющего размерность от 8 до 15 знаков;
  • установления режима ручной и/или автоматической (по истечении определенного времени) блокировки подсистемы на любое действие до введения пароля.

При работе МЭ вся информация о запросах и всех происходящих событиях регистрируется - накапливается в специальном локальном хранилище (емкостью 16 Mb) для последующего анализа и может выводиться на экран монитора (в частности, отображаются результаты фильтрации и попытки нарушения правил фильтрации). Хранилище регистрационной информации защищено от НСД посредством доступа к нему только по предъявлению ТМ-идентификатора соответствующего класса и невозможности изъятия из него каких-либо данных (за исключением автоматического уничтожения начальных записей при переполнении хранилища). Хранилище рассчитано на несколько месяцев интенсивной работы СЕТЕВОГО ФИЛЬТРА (в каждом комплексе накапливается локальная MIB емкостью до 16 Mb), после чего во избежание потерь информации она должна быть снята администратором для последующего хранения и/или анализа.

Накопленная регистрационная информация может быть просмотрена и обработана (например, сохранена в виде dbf-файла) как допущенным специалистом, обслуживающим сам МЭ, так и удалённым администратором, обладающим правом контролировать данный МЭ из любого фрагмента глобальной сети.

[Назад] [Содержание] [Вперед]

Бесплатный конструктор сайтов и Landing Page

Хостинг с DDoS защитой от 2.5$ + Бесплатный SSL и Домен

SSD VPS в Нидерландах под различные задачи от 2.6$

✅ Дешевый VPS-хостинг на AMD EPYC: 1vCore, 3GB DDR4, 15GB NVMe всего за €3,50!

🔥 Anti-DDoS защита 12 Тбит/с!

VPS в 21 локации

От 104 рублей в месяц

Безлимитный трафик. Защита от ДДоС.

🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях

💸 Гифткод CITFORUM (250р на баланс) и попробуйте уже сейчас!

🛒 Скидка 15% на первый платеж (в течение 24ч)

Новости мира IT:

Архив новостей

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 7861149
Пресс-релизы — pr@citforum.ru
Обратная связь
Информация для авторов
Rambler's Top100 TopList liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2019 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...