ГОСУДАРСТВЕННАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ
| УТВЕРЖДЕН |
| 36567521.4012-01 31 01-ЛУ |
Программно-аппаратный комплекс "ФПСУ-Х.25"
Описание применения
36567521.4012-01 31 01
1998
Литера 01
Подсистема фильтрации вызовов и правила фильтрации Подсистема разграничения доступа ACCESS-TM SHELL Подсистема конфигурирования СФ Подсистема регистрации (статистики)
Регистрация и учет фильтруемых запросов на установление виртуальных соединений и действий администраторов Контроль процесса фильтрации Дистанционный контроль процесса фильтрации
Идентификация и аутентификация удалённого администратора при дистанционном управлении Модуль регистрации СФ Модуль мониторинга Модуль статистики Модуль дистанционного конфигурирования СФ
.
Перечень терминов Коды причины и диагностики разрыва соединения на SVC, связанные с функционированием СФ
Идентификация и аутентификация удалённого администратора при дистанционном управлении
В подсистеме удаленного администрирования реализовано несколько механизмов защиты от НСД работы самой подсистемы и её программной и информационной частей:
идентификация администратора при запуске подсистемы;
аутентификация администратора при запуске подсистемы;
блокировка действий администратора в процессе работы подсистемы до ввода правильного пароля.
Идентификация администратора при попытках запуска подсистемы удалённого администрирования МЭ осуществляется путем запроса на предъявление персональных аутентификационных данных подсистемы удалённого администрирования, хранимых на дискете. При непредъявлении таких данных или предъявлении некорректных данных доступ неидентифицированному субъекту не предоставляется, регистрируется попытка выполнения несанкционированных действий и программа подсистемы удалённого администрирования МЭ автоматически заканчивает свою работу.
Аутентификация администратора при попытках запуска подсистемы удалённого администрирования МЭ осуществляется посредством запроса на предъявление вводимого с клавиатуры личного пароля администратора (от 5 до 15 символов) и сравнением его с ранее зарегистрированным паролем администратора. В случае ввода пустого или неверного пароля доступ неаутентифицированному администратору не предоставляется, регистрируется попытка выполнения несанкционированных действий и программа подсистемы удалённого администрирования МЭ автоматически заканчивает свою работу.
Кроме вышеописанных механизмов идентификации и аутентификации администратора при попытках запуска подсистемы удалённого администрирования МЭ, существует возможность установления режима блокировки действий администратора в процессе его работы в подсистеме администрирования до выполнения аутентификации. Подсистема удалённого администрирования при включенной блокировке продолжает исполнение автоматических функций по запросу, приему и анализу регистрационных данных со всех зарегистрированных на ней МЭ. Возможны следующие режимы блокировки:
ручной - по специальному приказу администратора;
автоматический - по истечении определенного времени после последнего обращения к подсистеме.
Снятие режима блокировки произойдет только после аутентификация администратора при попытке выполнения любых действий с использованием клавиатуры компьютера или манипулятора "мышь". Аутентификация осуществляется посредством запроса на предъявление вводимого с клавиатуры личного пароля администратора (размером от 5 до 15 символов) и сравнением его с ранее зарегистрированным паролем администратора. В случае ввода пустого или неверного пароля попытка выполнения действий игнорируется, регистрируется попытка выполнения несанкционированных действий и подсистема удалённого управления продолжает исполнение автоматических функций по запросу, приему и анализу регистрационных данных со всех зарегистрированных на ней СФ.
Коды причины и диагностики разрыва соединения на SVC, связанные с функционированием СФ
|
Код причины Clear Request (hex) |
Разъяснение |
|
D1 |
Соединение разорвано удаленным СФ |
|
D3 |
Соединение разорвано местным СФ |
Нижеследующие коды диагностики действительны только вместе с вышеуказанными кодами причины (D1 и D3).
|
Код диагностики Clear Request (hex) |
Разъяснение |
|
B0 |
Сброшено оператором СФ |
|
B1 |
Не подключена, в нерабочем состоянии терминальная или сетевая сторона |
|
B2 |
Сбой аппаратуры - контроллера X.25 или PC |
|
B3 |
Перегрузка сетевого контроллера X.25 (только для карт PCXNET) |
|
B4 |
Истек тайм-аут на согласование протокола обмена между МЭ |
|
B5 |
Невозможно согласовать размер пакета (согласованный по виртуальному каналу максимальный размер пакета слишком мал для обслуживания протокола обмена между двумя МЭ) |
|
B8 |
Удаленный администратор не зарегистрирован или не имеет прав на выполнение запрошенного действия |
|
B9 |
Удаленный администратор уже имеет сессию (одновременная работа двух идентичных администраторов) |
|
BA |
Ошибка протокола обмена между МЭ и удаленным администратором |
|
BB |
Истекло время ожидания аутентификации удаленного администратора |
|
C0 |
Входящий или исходящий вызов запрещен МЭ |
|
C1 |
Несовместимая версия удаленного МЭ |
|
C2 |
Недопустимая длина пакета согласования протокола обмена между двумя МЭ |
|
C3 |
Неизвестный код пакета согласования протокола обмена между двумя МЭ |
|
CB |
Вместо идентифицирующего пакета согласования протокола обмена между двумя МЭ получены данные абонента или удаленный МЭ не идентифицирован |
[] []
Контроль целостности программного обеспечения комплекса
Программно-аппаратный комплекс "ФПСУ X.25" защищен от вмешательства в логику его работы, а его информационная и программная части защищены от несанкционированного доступа. Компьютер, оборудованный комплексом "ФПСУ X.25", не может содержать другого программного обеспечения, кроме ПО самого комплекса. Плата "Аккорд", без которой комплекс не будет функционировать, и специальное программное обеспечение комплекса осуществляют защиту жесткого диска с установленным ПО от изменения записанной на нем информации и загрузки с устройства А: (с системной дискеты) какой-либо операционной системы с целью использования данного компьютера не по назначению.
Подсистема комплекса ACCESS TM-SHELL создает на компьютере собственную функционально замкнутую среду, которая при старте компьютера производит автоматический контроль целостности рабочих модулей ПО с использованием алгоритма нелинейного расчета для вычисления значений хэш-функций и кодов преобразований.
Конфигурационные данные комплекса (включая правила фильтрации) контролируются дополнительно соответствующими модулями при каждой попытке их использования по специальным контрольным суммам.
Локальный администратор МЭ класса "Главный администратор" имеет возможность осуществить дополнительный контроль целостности программных и информационных частей программно-аппаратного комплекса посредством использования специальной программы контроля целостности модулей МЭ с использованием нелинейного алгоритма расчета - вычислением значения их хэш-функций и последующего сравнения результатов с априорно известными (эталонными) данными.
Целостность установочных (инсталляционных) дискет осуществляется путем их формирования на физическом уровне с использованием информации, содержащейся в ТМ-идентификаторе "Установщика" ("Главного администратора"), и применением алгоритма расчета с вычислением значения хэш-функций и кодов преобразований для автоматического контроля целостности считываемой с них информации.
Удалённый администратор также имеет возможность осуществить контроль целостности подсистемы удалённого администрирования комплекса посредством использования той же эталонной программы контроля целостности, которая контролирует целостность локального комплекса.
[] [] []
Логическая структура комплекса и взаимодействие его подсистем
Структурная схема комплекса, отражающая взаимосвязь работы его подсистем и взаимодействие с внешней средой, представлена на Рис. 4-1:
Рис. - 1
В состав комплекса "ФПСУ X.25" входят следующие основные компоненты:
Межсетевой экран:
Подсистема фильтрации сетевых вызовов осуществляет:
фильтрацию запросов на установление виртуальных соединений и служебных пакетов;
идентификацию и аутентификацию запросов;
высокоэффективное сжатие данных;
резервирование сетевого порта при сбоях в глобальной сети x...25.
Подсистема аутентификации удалённого администратора:
осуществляет идентификацию и аутентификацию удалённого администратора при запросах на доступ к МЭ;
предоставляет возможность дистанционного доступа к другим подсистемам МЭ;
контролирует права удалённого администратора при запросах на доступ.
Подсистема разграничения доступа:
осуществляет идентификацию и аутентификацию локальных администраторов;
разграничивает доступ к МЭ по зарегистрированным правам для различных классов администраторов;
обеспечивает целостность программной и информационной частей комплекса, создавая на компьютере собственную изолированную среду и защищая данные на жестком диске;
обеспечивает возможность контроля целостности программных модулей МЭ.
Подсистема конфигурирования СЕТЕВОГО ФИЛЬТРА X.25 позволяет задавать критерии фильтрации в виде таблиц разрешенных соединений и интерфейсов доступа.
Подсистема конфигурирования сетевых портов осуществляет настройку сетевого оборудования комплекса для работы конкретного МЭ;
Подсистема регистрации событий и состояний (статистики):
автоматически выполняет автономный сбор полной статистической информации о функционировании МЭ, в частности: регистрирует на МЭ запросы на установление виртуальных соединений, действия локальных операторов и администраторов, а также удалённых администраторов;
предоставляет возможность просмотр статистических данных и на запись их в файл соответствующего формата (DBF) для последующей обработки другой программой;
Подсистема регистрации удалённых администраторов позволяет регистрировать на МЭ удалённых администраторов для последующей их идентификации и аутентификации с присвоением им конкретных прав на доступ к подсистемам МЭ.
Подсистема удалённого администрирования МЭ
Подсистема удалённого администрирования осуществляет:
фильтрацию входящих вызовов;
идентификацию и аутентификацию МЭ при запросах удалённого администратора;
идентификацию и аутентификацию удалённого администратора при запуске подсистемы;
защиту работы подсистемы путем блокировки любых действий до введения пароля.
Модуль регистрации МЭ осуществляет регистрацию МЭ для его последующей идентификации и аутентификации.
Модуль конфигурации МЭ осуществляет:
дистанционное конфигурирование МЭ;
согласование работы нескольких МЭ, в частности синхронизацию времени на МЭ с текущим временем удалённого администратора.
Модуль статистики осуществляет:
доступ к статистике, накопленной на МЭ, её просмотр и вывод в файлы для последующей обработки;
автоматический сбор статистики с МЭ в собственное специальное хранилище.
Модуль "Мониторинг" осуществляет автоматический анализ регистрационной информации с графическим отображением результатов анализа и сигнализацией программируемых событий.
[] [] []
Механизм работы отдельных подсистем комплекса
Регистрация и учет фильтруемых запросов на установление виртуальных соединений и действий администраторов Контроль процесса фильтрации Дистанционный контроль процесса фильтрации
Модуль дистанционного конфигурирования МЭ
Модуль удалённого конфигурирования реализует следующие возможности подсистемы:
дистанционное конфигурирование МЭ;
согласование работы нескольких МЭ, в частности синхронизацию времени на всех подконтрольных МЭ с текущим временем компьютера удалённого администратора.
Процесс удалённого управления конфигурацией МЭ состоит из нескольких этапов: запроса и получения текущей конфигурации, редактирования конфигурации средствами подсистемы удалённого администрирования и передачи приказа на изменение конфигурации.
[] [] []
Модуль мониторинга
Модуль мониторинга работает параллельно с другими компонентами программы администратора и предназначен для сбора и просмотра состояний одного или группы МЭ практически в реальном масштабе времени, накопления, автоматического анализа и отображения запрограммированных событий.
Модуль мониторинга предоставляет администратору следующие возможности:
визуализация в графическом режиме топологии сети, включая общие сети X.25, подконтрольные МЭ с собственными номерами, защищаемые ими подсети и линии связи, для удобства и наглядности контроля и управления;
графическое отображение на указанной топологии определенной части информации, на которую требуется быстрая реакция администратора, полученной подсистемой удалённого администрирования в результате автоматического анализа поступающей в автоматическом режиме регистрационной информации с подконтрольных МЭ;
быстрый выбор требуемого для контроля или управления МЭ посредством указания его курсором "мыши" на графическом отображении сети;
немедленное получение полной предоставляемой подсистемой информации о состоянии выбранного МЭ, состоянии подключенных к нему линий связи и о произошедших на текущий момент времени событиях на нем посредством вызова соответствующих информационных окон нажатием клавиши "мыши";
программирование ряда событий (выбор их из предлагаемого списка), на которые требуется немедленная реакция администратора для графической и звуковой сигнализации (сигнал тревоги типа "сирена"), включая изменение правил фильтрации.
Информация, отображаемая графически на экране монитора (на топологии сети) одновременно для всех зарегистрированных удаленным администратором МЭ, включает в себя:
информацию о состоянии МЭ: был ли он опрошен, работает ли он в текущий момент времени и передаются ли через него данные абонентов;
информацию о состоянии линий связи, подключенных к МЭ: в рабочем ли состоянии линия и передаются ли по ней в данный момент данные абонентов;
графическое отображение (и звуковую сигнализацию) запрограммированных администратором оперативных сообщений о некоторых событиях, произошедших на МЭ.
При вызове соответствующих информационных окон администратор способен отследить:
по состоянию МЭ: сколько раз изменялась конфигурация МЭ, сколько раз МЭ перезапускался, сколько раз с ним невозможно было связаться (например, при неполадках в сети или работе локального комплекса);
по каждой линии связи, подключенной к МЭ: время отсутствия связи с каждым портом, количество отсутствий физического соединения на каждом порту, количество разрешенных соединений, количество запрещённых соединений, объём переданной и принятой информации, время последнего сброса физического соединения, несоответствие нарисованной линии фактической по конфигурации;
информацию о произошедших событиях в подсистеме удалённого администрирования с указанием даты и времени и кода операции.
Удалённый администратор может запрограммировать оперативную графическую и звуковую реакцию подсистемы на следующие события (соответствующие временные и количественные параметры также задаются администратором):
отсутствие соединений на каждом порту в течение заданного времени,
превышение допустимого количества сбросов физического соединения,
превышение допустимого количества разрешённых попыток физического соединения,
превышение допустимого количества неразрешённых попыток физического соединения,
превышение допустимого количества запусков МЭ,
превышение допустимого количества изменений конфигурации,
превышение допустимого количества отсутствий связи.
Программируется также временной период опроса состояния (с какой частотой будут опрашиваться МЭ).
Подробное руководство по использованию мониторинга и описание графического интерфейса его работы содержится в Руководстве удалённого администратора СЕТЕВОГО ФИЛЬТРА X.25.
Модуль регистрации СФ
Для обеспечения возможности удалённого управления работой СФ необходимо зарегистрировать подсистему удалённого администрирования на СФ, дать администратору соответствующие полномочия (права), выдать аутентификационные данные СФ для регистрации удалённым администратором и зарегистрировать СФ на компьютере удалённого администратора.
Каждая подсистема удалённого администрирования должна иметь уникальный номер, определяемый удаленным администратором при первом запуске и контролируемый СФ в процессе регистрации.
Модуль регистрации СФ подсистемы удалённого администрирования позволяет зарегистрировать удалённые СФ по их уникальному серийному номеру, вырабатываемому в процессе генерации инсталляционных дискет с программно-аппаратным комплексом "ФПСУ Х.25", а также просматривать и редактировать список зарегистрированных СФ.
Регистрация производится путём обмена проверочными частями аутентификационных данных, вырабатываемыми самостоятельно каждой из регистрируемой сторон и записываемыми на дискеты.
Права на доступ к подсистемам МЭ для удалённых администраторов устанавливает локальный администратор МЭ (только классов "администратор" и "главный администратор") при взаимной регистрации МЭ и удалённого администратора. Удалённому администратору могут быть предоставлены следующие права:
получение данных о работе локальных администраторов МЭ;
получение данных о работе удалённых администраторов МЭ;
получение конфигурации МЭ (правил фильтрации);
изменение конфигурации МЭ (правил фильтрации) - предоставляется данным МЭ только одному администратору из списка зарегистрированных;
синхронизация текущего времени/даты на компьютере МЭ с временем/датой компьютера удалённого администратора - предоставляется данным МЭ только одному администратору из списка зарегистрированных.
При запросах удаленного администратора на контроль и управление МЭ производятся обязательные взаимные процедуры идентификации и аутентификации.
На этапе идентификации будет проверено, что удалённый администратор, осуществляющий попытку установления соединения передачей пакета "Запрос вызова", является зарегистрированным по его уникальному номеру и не производит работу с данным МЭ в текущее время, а удаленный МЭ, ответивший на этот запрос, имеет тот же серийный номер МЭ, к которому обращался удалённый администратор.
Таким образом реализуется схема взаимной идентификации.
На этапе аутентификации будет проверено, что удалённый администратор, от которого пришел вызов, обладает теми же знаниями, которыми должен обладать администратор с выявленным в процессе идентификации номером, а также что МЭ, к которому обращался удалённый администратор, обладает теми же знаниями, которыми должен обладать МЭ с данным серийным номером. Таким образом реализуется схема взаимной аутентификации.
Взаимная аутентификация будет производиться как при запросе на установление связи (проключение виртуального канала), так и на каждый блок передаваемой информации.
Механизм идентификации заключается в том, что при передаче пакета "Запрос вызова" подсистема удалённого администрирования дополняет его полями, содержащими собственный уникальный номер и уникальный серийный номер МЭ, к которому он обращается. При получении этого запроса МЭ производит поиск в регистрационной таблице удалённых администраторов по указанному уникальному номеру. В случае отрицательного результата идентификация удалённого администратора на МЭ считается невыполненной, будет выдан приказ на разъединение проключаемого виртуального соединения с регистрацией данного события в подсистеме статистики и процесс идентификации будет закончен с отрицательным результатом.
В случае положительного результата поиска МЭ вышлет пакет "Подтверждение вызова", снабдив его собственным серийным номером и уникальным номером удалённого администратора, идентификация которого осуществлена. Подсистема удаленного администрирования, приняв пакет, проверяет совпадение посланных и полученных данных. При несовпадении идентификация удалённого МЭ администратором считается невыполненной, будет выдан приказ на разъединение установившегося виртуального соединения с регистрацией данного события в подсистеме статистики и процесс идентификации будет закончен с отрицательным результатом.
После успешной идентификации удалённый МЭ и удалённый администратор начинают процедуру взаимной аутентификации при вызове посредством передачи друг другу некоторых случайно сгенерированных вопросов и ответов на эти вопросы с использованием, выработанным при генерации персональных аутентификационных данных.
Каждая из сторон проверит ответ на свой вопрос с использованием зарегистрированных проверочных аутентификационных данных. При отрицательном результате аутентификация любой из сторон противоположной стороной считается невыполненной, будет выдан приказ на разъединение установившегося виртуального соединения с регистрацией данного события в подсистеме статистики и процесс взаимной аутентификации будет закончен с отрицательным результатом.
В дальнейшем при передаче конкретных запросов на выполнение действий по дистанционному контролю или управлению МЭ по установившемуся виртуальному соединению будет также производиться взаимная аутентификация МЭ и удалённого администратора с контролем прав, установленных для данного удалённого администратора (подлинность уникального номера которого была выяснена в процессе идентификации и аутентификации при попытке установления виртуального соединения) при регистрации на МЭ локальным администратором соответствующего класса и реализуемых данным удалённым администратором в текущем запросе. При отрицательном результате аутентификации или превышении прав на доступ в текущем запросе будет выдан приказ на разъединение установившегося виртуального соединения с регистрацией данного события в подсистеме статистики и процесс удалённого управления или контроля будет закончен с отрицательным результатом.
Алгоритм выработки ответа на аутентификацию и проверки его построен по рекомендациям протокола ITU-T X.509.
Реализованная таким образом в программно-аппаратном комплексе "ФПСУ X.25" схема аутентификации удалённого администратора при запросах на доступ к МЭ с целью контроля или управления обеспечивает устойчивость передачи данных к пассивному и активному перехвату информации в сетях Х.25.
Модуль статистики
Модуль статистики подсистемы удалённого администрирования предоставляет администратору возможность запросить и получить данные статистики с локального комплекса.
Подсистема удаленного администрирования взаимодействует с подсистемой регистрации событий и состояний, входящей в локальный комплекс "ФПСУ X.25", в двух режимах: режиме непрерывного автоматического получения данных с заданной периодичностью и в режиме немедленного получения требуемых сведений от нужного МЭ - режиме ручного управления.
Удаленный администратор МЭ имеет возможность просмотреть текущее состояние работы подсистемы по опросу статистики в автоматическом режиме и прервать или возобновить автоматическое получение данных статистики для конкретного МЭ, зарегистрированного подсистемой.
Подсистема удаленного администрирования выполняет автоматический сбор статистики с СФ, для которых разрешен опрос. Администратор может установить нужные ему типы и подтипы регистрационных данных и временной интервал, по которым будет производиться автоматический запрос на поиск и получение их из MIB-базы удаленного МЭ. Если отмечены типы данных, на получение которых администратор не имеет прав, они ему переданы не будут.
Удаленный администратор МЭ может:
просмотреть данные статистики; данные для просмотра могут быть выбраны по требуемым МЭ, за указанный период времени, а также по заданным видам данных статистики;
удалить данные статистики по этим же условиям из хранилища;
выдать просматриваемые данные в файл DBF формата;
загрузить данные статистики с одной или нескольких дискет, на которые они были записаны локальным администратором МЭ.
При неполадках в работе сети (например, временном отсутствии связи) и невозможности опроса МЭ требуемая информация о его работе может быть записана локальным администратором МЭ на дискеты, которые будут переданы удаленному администратору. Удаленный администратор может внести полученные данные в хранилище и работать с ними описанным выше способом.
Назначение комплекса
Распространение новых информационных технологий сопровождается возникновением таких нежелательных явлений, как промышленный шпионаж, компьютерная преступность и попытки несанкционированного доступа к конфиденциальной информации.
В такой ситуации решающее значение приобретает проблема защиты информации от НСД в системах и средствах информатизации коллективного пользования на базе вычислительных сетей - соединённых каналами связи систем обработки данных, ориентированных на конкретного пользователя.
Любое современное предприятие независимо от вида деятельности и форм собственности не может успешно развиваться и вести хозяйственную деятельность без создания надёжной системы защиты от НСД, включающей не только организационно - нормативные меры, но и технические средства, прежде всего программно-аппаратные, для организации контроля безопасности информации при её обработке, хранении и передаче в автоматизированных системах.
Программно-аппаратный комплексы "ФПСУ-Х.25" (или Сетевой фильтр X.25) позволяют создавать в общей транспортной сети (ОТС) виртуальные частные сети (VPN) с повышенной степенью защиты от НСД (в том числе на принципах туннелирования), осуществляя контроль и управление входящими и исходящими межсетевыми потоками информации, обеспечивая при этом в 2-4 раза повышенную (по отношению к ОТС) пропускную способность таких VPN при безопасном взаимодействии подсетей. При прохождении потоков данных по сети комплекс контролирует их посредством фильтрации, т.е. анализа их по совокупности критериев и принятия решения о возможности их дальнейшей передачи, т.е. защищает их от НСД к информации и ресурсам.
Программно-аппаратный комплекс "ФПСУ X.25" разработан для использования в сетях, использующих протокол ITU/T X.25. Сетевой протокол выполняет управление коммуникационными ресурсами, маршрутизацию пакетов, их компоновку для передачи в сети. Управление доступом на сетевом уровне позволяет отклонять нежелательные вызовы и дает возможность различным подсетям управлять использованием ресурсов сетевого уровня.
В комплексе реализовано также выполнение требований по защите в части проверки подлинности сетевых ресурсов, источника и приемника данных, принимаемых сообщений, проведения контроля доступа к ресурсам сети.
Программное обеспечение комплекса позволяет обслуживать коммутируемые виртуальные каналы (SVC - switched virtual channel).
Комплекс СЗИ НСД "ФПСУ-Х.25" представляет собой сложную многокомпонентную систему с широкими возможностями. Этот комплекс устанавливается на специально выделенный компьютер (в том числе промышленного исполнения) с целью фильтрации вызовов и защиты местных подсетей, автоматического сбора и хранения статистической информации о работе абонентов и самого комплекса и позволяет осуществлять дистанционный контроль и управление своей работой с автоматизированного рабочего места (АРМ) удаленного Администратора, организованного на другом компьютере, подключенном к первичной транспортной сети и/или местной подсети.
Комплекс не имеет собственного сетевого адреса и к нему не может быть осуществлено обращение по сети. Компьютер с установленной подсистемой удаленного администрирования комплекса имеет сетевой адрес, но соединение по сети с ним могут осуществлять только взаимно зарегистрированные межсетевые экраны (СЕТЕВЫЕ ФИЛЬТРЫ Х.25 или коротко СФ).
Основные характеристики системы защиты, реализованной в комплексе:
фильтрация запросов на установление виртуальных соединений и сетевых пакетов на основе адресов отправителя и получателя, направлений вызова, правил оформления пакета "вызов" (интерфейсов доступа), времени и даты вызова в соответствии с заданными в таблицах разрешенных соединений правилами фильтрации;
возможность идентификации и аутентификации абонентов методами, устойчивыми к активному перехвату информации в сети;
автоматическое резервирование основной линии связи сети Х.25 (при сбоях сети или с целью защиты от НСД) посредством использования альтернативной линии связи через асинхронную сеть ANET или линии прямого доступа по телефонным коммутируемым каналам;
возможность сжатия межсетевого трафика специализированным высокоэффективным компрессором с целью его сокрытия, повышения эффективной скорости передачи данных и уменьшения расходов на эксплуатацию VPN;
возможность организации передачи по виртуальному каналу данных идентифицированных и аутентифицированных абонентов с преобразованием посредством наложения случайной логической маски, выработанной в процессе аутентификации (туннелирование);
создание и поддержка распределенной базы регистрационных данных с осуществлением процедур автоматического поиска по заданным условиям для анализа, при условии положительной идентификации и строгой двухсторонней аутентификации участников схемы "клиент-сервер", в том числе с использованием персональных электронных ТМ-идентификаторов;
учет и регистрация запросов на установление виртуальных соединений, а также действий локальных и удаленных администраторов в базе данных, организованной без возможности удаления регистрационных данных с целью предотвращения их несанкционированного изъятия;
функционирование комплекса с использованием замкнутой функциональной среды, что обеспечивает надежную защиту рабочих программ и регистрационной информации, проведение автоматического контроля целостности исполняемых модулей для исключения возможностей несанкционированной модификации и внедрения разрушающих программных воздействий; кроме того, использование специальной эталонной программы для выдачи значений хэш-функций всех исполнимых модулей подсистем эксплуатируемого комплекса с целью сравнения их с априорно известными (опубликованными при инсталляции) значениями.
обеспечение защиты от несанкционированного доступа к комплексу при работе локального администратора посредством идентификации по некопируемому уникальному идентификатору и содержимому памяти электронного идентификатора (таблетки) "touch-memory", а также аутентификации по паролю;
разделение прав на доступ как для различных классов как локальных, так и удалённых администраторов;
защита от несанкционированного доступа при работе удалённого администратора методами, устойчивыми к активному перехвату информации в сети посредством строгой двусторонней аутентификации (по Рекомендации X.509) на основе взаимно зарегистрированных аутентификационных данных, а также защита от НСД самой подсистемы удалённого администрирования посредством аутентификации администратора по паролю и возможности блокирования работы до введения пароля;
локальная и дистанционная с программируемой реакцией сигнализация нарушений правил фильтрации и изменения правил фильтрации администраторами;
регистрация, учет и возможность проверки корректности электронных ТМ-идентификаторов локальных администраторов различных классов, посредством которых возможен доступ к комплексу;
регистрация, учет и контроль удаленных администраторов, имеющих доступ к комплексу, с назначаемыми правами на доступ;
удобный графический интерфейс для визуального контроля состояния и дистанционного управления всеми зарегистрированными удалёнными МЭ с программируемой реакцией на возникающие события в VPN;
автоматический мониторинг состояния удаленных МЭ с автоматическим анализом регистрационной информации и программируемой реакцией результатов анализа.
Программно-аппаратный комплекс "ФПСУ-Х.25" удовлетворяет следующим требованиям РД "CВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации", Гостехкомиссия России, 1997г., предъявляемым к классам защищенности от НСД "3" и выше:
| Показатель защищенности |
Комплекс "ФПСУ-Х.25" |
| Управление доступом | Фильтрация служебных пакетов |
| Фильтрация запросов по адресам отправителя и получателя | |
| Фильтрация запросов по совокупности значений любых полей и интерфейсов | |
| Фильтрация запросов с учетом времени и даты | |
| Фильтрация запросов по направлению вызова | |
| Использование специализированных алгоритмов сжатия межсетевого трафика с целью сокрытия трафика субъектов/объектов, повышения скорости передачи данных, уменьшения затрат на эксплуатацию сети | |
| Использование альтернативных линий передачи данных с целью сокрытия субъектов/объектов с трансляцией сетевых адресов | |
| Идентификация и аутентификация | Идентификация и аутентификация методами, устойчивыми к пассивному и активному перехвату сети |
| Передача данных по виртуальному каналу идентифицированных и аутентифицированных абонентов с преобразованием посредством наложения случайной логической маски, выработанной в процессе аутентификации | |
| Регистрация | Регистрация и учет фильтруемых пакетов со следующими параметрами: адресами отправителя и получателя, временем и результатом фильтрации |
| Локальная сигнализация попыток нарушения правил фильтрации | |
| Регистрация и учет запросов на установление виртуальных соединений | |
| Дистанционная сигнализация попыток нарушения правил фильтрации | |
| Программируемая дистанционная реакция на события в МЭ | |
| Удаленный доступ и контроль к регистрационной информации | |
| Возможность автоматического анализа регистрационной информации с целью предоставления требуемых данных по заданным условиям | |
| Администрирование (идентификация и аутентификация) | Идентификация администратора МЭ при локальных запросах на доступ по зарегистрированному электронному ТМ-идентификатору |
| Аутентификация администратора МЭ при локальных запросах на доступ по паролю условно-постоянного действия | |
| Разграничение прав доступа для различных классов локальных администраторов | |
| Регистрация, учет и регламентный контроль корректности зарегистрированных ТМ-идентификаторов | |
| Препятствование доступа неидентифицированного субъекта, подлинность идентификации которого при аутентификации не подтвердилась | |
| Идентификация и аутентификация удалённого администратора методами, устойчивыми к активному перехвату информации в сети | |
| Идентификация и аутентификация удалённого администратора при запросах на доступ к подсистеме удалённого администрирования | |
| Администрирование (регистрация) | Регистрация входа локального и удалённого администраторов в МЭ |
| Регистрация запуска процессов и программ МЭ | |
| Регистрация действий администратора по изменению правил фильтрации | |
| Дистанционная сигнализация об изменениях правил фильтрации удаленными администраторами и фактов перезапуска МЭ локальными администраторами с программируемой реакцией | |
| Администрирование (удобство, гибкость и простота использования) | Возможность дистанционного управления компонентами МЭ, в том числе конфигурирования МЭ, проверки взаимной согласованности всех МЭ и анализа регистрационной информации |
| Автоматический анализ регистрационной информации с графическим отображением результатов анализа и программируемой сигнализацией на события | |
| Графический интерфейс для удалённого централизованного контроля и управления МЭ | |
| Автоматический мониторинг состояния удалённых МЭ | |
| Обеспечение целостности (программной и информационной частей) | Наличие средств контроля за целостностью программных и информационных частей |
| Автоматический контроль целостности среды функционирования МЭ и информации на жестком диске МЭ | |
| Автоматический контроль целостности информации на установочных дискетах в процессе инсталляции | |
| Восстановление | Автоматическое восстановление свойств МЭ после сбоя или отказов сетевого оборудования |
| Автоматическое восстановление свойств МЭ в случае неполадок в глобальной сети и/или выхода из строя сетевого оборудования | |
| Восстановление при сбоях считывания информации с установочных дискет при инсталляции МЭ | |
| Восстановление после аварии жесткого диска компьютера МЭ |
[] []
Общие принципы функционирования комплекса
Допустим, что в общей коммуникационной сети существует фрагмент (подсеть), для которого необходимо осуществить разграничение доступа (фильтрацию) входящих и исходящих запросов на соединения. Для выполнения функции защиты компьютер, оборудованный программно-аппаратным комплексом "ФПСУ X.25", аппаратно подключается в разрыв цепи между этой подсетью и глобальной сетью X.25 (см. Рис. 3-1) парой физических линий (к защищаемой подсети - терминальная сторона, к глобальной сети - сетевая сторона) таким образом, чтобы все входящие и исходящие из подсети межсетевые потоки данных проходили через Сетевой фильтр Х.25 (СФ).
Абоненты защищённой подсети, подключенной к СФ с терминальной стороны, считаются местными абонентами, а остальные - удаленными.
Рис. 1. Функциональная схема использования комплекса
Таким образом, из глобальной сети выделяется группа абонентов (защищаемая подсеть), для которых обмен данными с абонентами глобальной сети может быть специальным образом регламентирован и проконтролирован.
Основная функция межсетевого экрана (МЭ) "ФПСУ Х.25" заключается в том, что он анализирует входящие и исходящие вызовы по совокупности критериев, осуществляет контроль доступа и определяет метод передачи данных. При этом существует различие в анализе вызовов абонентов и обращений удалённых администраторов.
На начальном этапе анализа все пакеты, в частности служебные для диагностики и управления сетевыми устройствами X.25, контролируются на предмет их корректности и соответствия протоколу ITU-T X.25 математическим обеспечением сетевых карт и СЕТЕВОГО ФИЛЬТРА X.25. При обнаружении несоответствия дальнейшее рассмотрение и распространение пакета прекращается. Если несоответствующий пакет поступил по уже установившемуся виртуальному соединению, оно будет разорвано.
Анализ входящих и исходящих вызовов абонентов, производимый МЭ "ФПСУ X.25", заключается в сопоставлении полей в пакете "Запрос Вызова" правилам и данным, установленным при конфигурировании локальным или удалённым администраторами МЭ в таблицах разрешенных соединений.
контроль за процессом приёма/передачи с целью предотвращения возможности искажения передаваемых данных, их подмены или навязывания извне.
Программно-аппаратный комплекс "ФПСУ X.25" защищен от вмешательства в логику его работы, а его информационная и программная части защищены от несанкционированного доступа. Компьютер, оборудованный комплексом "ФПСУ X.25", не может содержать другого программного обеспечения, кроме самого комплекса. Плата "Аккорд", без которой комплекс не будет функционировать, и специальная подсистема комплекса МЭ осуществляют защиту жесткого диска с установленным ПО комплекса от изменения записанной на нем информации и загрузки с устройства А: (с дискеты) какой-либо операционной системы с целью использования данного компьютера не по назначению.
Специальная подсистема комплекса создает на компьютере МЭ собственную (изолированную и замкнутую) среду функционирования, предоставляя администраторам при этом возможность управлять работой МЭ - конфигурировать его (устанавливать и редактировать таблицы разрешенных соединений, интерфейсы доступа, настраивать сетевое оборудование, подключать дополнительное оборудование и специальное программное обеспечение и т.п.).
При использовании СЕТЕВЫХ ФИЛЬТРОВ может возникнуть необходимость в дистанционном наблюдении за их работой, получении регистрационной информации от СФ для просмотра и анализа, отслеживании динамики происходящих событий (мониторинге), дистанционном управлении работой СФ (изменении прав доступа, изменении разрешенных сетевых адресов, изменении конфигурации и т.д.), т.е. в удалённом администрировании. В программно-аппаратном комплексе "ФПСУ X.25" реализована возможность дистанционного контроля и управления его работой удалённым администратором, который работает с МЭ по принципу "Клиент-Сервер", то есть только подсистема удалённого администрирования может вызывать МЭ при необходимости получения от него данных или выполнения конкретных конфигурационных действий.
Подсистема удалённого администрирования комплекса содержит модуль автоматического мониторинга состояния МЭ и его сетевых портов, предоставляющий удалённому администратору удобный графический интерфейс для контроля МЭ с программируемой сигнализацией на заданные администратором события и их интенсивность.
Комплекс осуществляет и разграничивает доступ к модулям и подсистемам МЭ администраторов (как местного, так и удалённого) по правам.
Локальные администраторы делятся по правам доступа на три класса: "оператор", "инженер" и "администратор", для каждого из которых строго определяется область допустимых конфигурационных действий на МЭ. Например, администратор класса "оператор" имеет право только запустить комплекс, остальные операции по конфигурации СФ, работе с регистрационной информацией и пр. будут ему недоступны. Идентификация и аутентификация локальных администраторов с соответствующими правами осуществляется посредством электронных идентификаторов touch-memory и паролю условно-постоянного действия. В МЭ "ФПСУ X.25" реализован механизм регистрации и учета используемых ТМ-идентификаторов.
Удалённым администраторам права на доступ к подсистемам МЭ устанавливает локальный администратор МЭ (только класса "администратор"). Идентификация и двусторонняя аутентификация удалённого администратора при его запросах к МЭ осуществляется с использованием заранее согласованных аутентификационных данных. Права удалённого администратора контролируются МЭ при каждом запросе к нему.
Идентификация и аутентификация удалённого администратора при работе с подсистемой удалённого администрирования может осуществляться посредством:
необходимости предъявления при запуске подсистемы персональных аутентификационных данных подсистемы удалённого администрирования;
контроля при запуске подсистемы удалённого администрирования личного пароля администратора условно-постоянного действия, имеющего размерность от 8 до 15 знаков;
установления режима ручной и/или автоматической ( по истечении определенного времени) блокировки подсистемы на любое действие до введения пароля.
При работе МЭ вся информация о запросах и всех происходящих событиях регистрируется - накапливается в специальном локальном хранилище (емкостью 16 Mb) для последующего анализа и может выводиться на экран монитора (в частности, отображаются результаты фильтрации и попытки нарушения правил фильтрации). Хранилище регистрационной информации защищено от НСД посредством доступа к нему только по предъявлению ТМ-идентификатора соответствующего класса и невозможности изъятия из него каких-либо данных (за исключением автоматического уничтожения начальных записей при переполнении хранилища). Хранилище рассчитано на несколько месяцев интенсивной работы СЕТЕВОГО ФИЛЬТРА (в каждом комплексе накапливается локальная MIB емкостью до 16 Mb), после чего во избежание потерь информации она должна быть снята администратором для последующего хранения и/или анализа.
Накопленная регистрационная информация может быть просмотрена и обработана (например, сохранена в виде dbf-файла) как допущенным специалистом, обслуживающим сам МЭ, так и удалённым администратором, обладающим правом контролировать данный МЭ из любого фрагмента глобальной сети.
[] [] []
Перечень терминов
администратор - лицо, ответственное за сопровождение работы комплекса;
аутентификация - установление подлинности;
глобальная сеть - общая открытая сеть X.25;
дистанционное (удалённое) управление - выполнение функций по сопровождению работы сетевого фильтра администратором с узла сети, на котором не функционирует МЭ с использованием сетевых протоколов;
защищённая (местная)подсеть - выделенная группа абонентов с повышенной степенью защиты от НСД, подключённая к глобальной сети через ФПСУ;
идентификация - отождествление, установление совпадения;
интерфейс доступа - совокупность правил доступа, заданная для фильтрации запроса входящего вызова к абоненту местной подсети от удаленного абонента;
конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и для охраны которой ввиду её ценности или запрета на разглашение принимаются надлежащие меры;
локальное (местное) управление - выполнение функций по сопровождению работы комплекса МЭ непосредственно в месте его расположения с использованием соответствующего интерфейса;
МЭ - межсетевой экран;
несанкционированный доступ (НСД) к информации - доступ, который нарушает правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами;
сетевая сторона - сторона МЭ, подключённая к глобальной сети;
сетевые адреса - адресные данные, идентифицирующие субъекты и объекты и используемые протоколом сетевого уровня модели международной организации по стандартизации взаимодействия открытых систем (ISO OSI),в соответствии с положениями Рекомендации Х.121 ITU-T.
сети - соединённые каналами связи системы обработки данных, ориентированные на конкретного пользователя;
таблетка touch-memory (электронный идентификатор ТМ)- малогабаритное электронное устройство, способное хранить некоторый объем информации, для считывания которой необходимо прикоснуться к контактной площадке соответствующего съемника;
терминальная сторона - сторона МЭ, подключённая к защищаемой подсети (абоненту);
удалённый администратор - лицо, ответственное за дистанционное управление работой МЭ;
фильтрация - анализ информации по совокупности критериев и принятие решения о запрешении/разрешении её дальнейшего распространения.
Подсистема фильтрации вызовов и правила фильтрации
Подсистема фильтрации сетевых вызовов программно-аппаратного комплекса "ФПСУ Х.25" предназначена для:
фильтрации запросов на установление виртуальных соединений;
идентификации и аутентификации удалённого МЭ с целью защиты межсетевых потоков информации абонентов от НСД (от навязывания, искажения и подмены);
взаимной аутентификации МЭ и удалённых администраторов, имеющих доступ к локальному комплексу.
Кроме того, подсистема фильтрации сетевых вызовов реализует дополнительные возможности программно-аппаратного комплекса "ФПСУ X.25": возможность резервирования линии связи сети X.25, возможность интеллектуального сжатия данных, возможность преобразования данных при передаче и контроля за принимаемой информацией.
Подсистема фильтрации сетевых вызовов имеет также встроенный модуль, обеспечивающий возможность дистанционного управления работой МЭ, регистрирующий удаленных администраторов и осуществляющий аутентификацию при взаимодействии МЭ с удалённым администратором. Подробная информация о работе удалённого администратора и механизме двусторонней аутентификации будет изложена в соответствующем разделе.
Механизм управления доступом, осуществляемый МЭ "ФПСУ X.25", базируется на анализе входящих и исходящих вызовов, который заключается в сопоставлении полей в пакете "Запрос Вызова" правилам и данным, установленным при конфигурировании локальным или удалённым администраторами МЭ в таблицах разрешенных соединений.
Основным элементом каждой записи таблиц разрешенных соединений является сетевой адрес абонента или маска адреса.
Сетевой адрес - последовательность цифр длиной не более 15 символов, закрепленная за данным абонентом в сети и однозначно его идентифицирующая. Маска адреса - описатель группы сетевых адресов с общей начальной частью.
Таблицы разрешенных соединений состоят из таблицы внешних соединений и таблицы местных соединений.
Таблица внешних соединений построена по принципу "белого списка" - доступ от неописанных адресов и к неописанным адресам запрещен.
Таблица местных соединений построена по следующему принципу: доступ к неописанным местным адресатам со стороны глобальной сети и к адресатам глобальной сети от неописанных местных особым образом не регламентирован и производится в соответствии с правилами, указанными в таблице внешних соединений для данного адреса абонента глобальной сети.
В таблице внешних соединений содержатся описатели абонентов (групп абонентов) со стороны глобальной сети, включающие:
сетевой адрес или маску адреса удалённого абонента;
разрешенные направления доступа;
режим работы;
группа, серия и номер аутентификационных данных, используемых в режимах с аутентификацией;
номера интерфейсов (правил) доступа, по которым (или по одному из которых) удалённый абонент должен запрашивать абонентов местной подсети;
параметры подсистемы резервирования через сеть ANET для связи терминальных абонентов с указанными сетевыми адресами (группами адресов).
В таблице местных соединений содержатся описатели абонентов (групп абонентов) со стороны местной (защищаемой) подсети, включающие:
сетевой адрес или маску адреса местного абонента;
номер линии, по которой доступен местный абонент (абоненты) при вызове по системе резервирования;
разрешенные направления доступа;
особый режим работы или указание использования режима работы, определенного в таблице внешних соединений для удалённого абонента, пытающегося установить виртуальное соединение с данным местным абонентом;
номера зарегистрированных интерфейсов (правил) доступа к данному местному адресу (группе адресов) со стороны удалённых абонентов.
Для усиления механизма защиты о НСД при фильтрации запросов на установление виртуальных соединений для передачи данных по сети к описателям абонентов в описанных выше таблицах соединений при необходимости могут быть подключены интерфейсы доступа.
Под интерфейсом доступа понимается некоторая совокупность правил заполнения полей в пакете "Вызов" и допустимых временных интервалов обращений по дням недели (дате/времени).
Правилами регламентируется наличие или отсутствие протокольных полей услуг и содержимое поля "Данные вызова".
Интерфейс доступа может использоваться при разграничении прав на доступ удалённых абонентов (со стороны глобальной сети) к местным абонентам. Интерфейсы доступа могут подключаться как к элементам таблицы внешних, так и местных соединений или к обоим одновременно.
Контроль доступа удалённого абонента со стороны глобальной сети к конкретному местному абоненту может осуществляться в два этапа:
контроль разрешения на вход данному удалённому абоненту в местную подсеть по одному или нескольким интерфейсам доступа, указанным в соответствующем элементе таблицы внешних соединений для сетевого адреса (маски адресов) удалённого абонента;
контроль разрешения на обращение к конкретному абоненту местной подсети по одному или нескольким интерфейсам доступа, указанным в соответствующем элементе таблицы местных соединений для данного адреса (маски адресов) местного абонента.
В интерфейсе доступа можно задавать разрешенные для вызова абонентов временные интервалы, определяемые днем (днями) недели и временами начала и конца работы. Для каждого интерфейса доступа могут быть заданы интервалы работы, вне которых доступ запрещен. Если для какого-либо интервала не задан временной диапазон, доступ по данному временному интервалу будет запрещен.
Описатель "Направление доступа" - указание разрешенного инициатора установления виртуального соединение. Возможны следующие указания:
от местного (со стороны своей защищаемой подсети) абонента к удалённому;
от удалённого к местному;
разрешены оба направления.
Режим работы определяет способ обработки запроса: необходимость дальнейшей идентификации и аутентификации запроса с целью подтверждения подлинности удалённого адреса абонента, а также методы передачи данных по установившемуся виртуальному соединению и способы контроля за процессом приёма/передачи данных.
В комплексе реализованы следующие режимы работы:
ретрансляция - режим, при котором не производятся идентификации и аутентификации запроса и контроль за процессом приёма/передачи данных (данные передаются в неизменном виде);
сжатие - режим, при котором производится идентификация удалённого МЭ с последующим сжатием межсетевого трафика и контроль за порядком следования данных и за целостностью их по контрольным суммам;
сжатие с аутентификацией - режим, при котором производится идентификация и аутентификация удалённого МЭ с последующим сжатием и маскирующим преобразованием межсетевого трафика и контроль за порядком следования данных и за целостностью их по контрольным суммам;
сжатие по маске - режим, при котором производится идентификация удалённого МЭ с последующим сжатием и преобразованием внешней подсистемой межсетевого трафика и контроль за порядком следования данных, целостностью их по контрольным суммам и добавляемым полям обработки внешней подсистемы;
сжатие по маске с аутентификацией - режим, при котором производится идентификация и аутентификация удалённого МЭ с последующим сжатием, преобразованием внешней подсистемой и маскирующим преобразованием межсетевого трафика и контроль за порядком следования данных, целостностью их по контрольным суммам и добавляемым полям обработки внешней подсистемы;
Режимы сжатия по маске и сжатие по маске с аутентификацией доступны для использования при подключении специальных подсистем через соответствующий открытый интерфейс МЭ.
Режимы работы СЕТЕВЫХ ФИЛЬТРОВ, работающих в паре, должны быть согласованы. Таблица 5-1 отображает совместимость режимов работы двух СФ.
Таблица -1
Совместимые режимы работы |
Ретрансляция |
Сжатие |
Сжатие с аутентификацией |
сжатие по маске |
сжатие по маске с аутентификацией |
Ретрансляция |
+ |
- |
- |
- |
- |
Сжатие |
- |
+ |
+ |
- |
- |
Сжатие с аутентификацией |
- |
+ |
+ |
- |
- |
сжатие по маске |
- |
- |
- |
+ |
+ |
сжатие по маске с аутентификацией |
- |
- |
- |
+ |
+ |
Приоритет использования может быть следующим:
в качестве основной используется линия глобальной сети X.25, в случае неполадок происходит автоматическое переключение на использование резервной линии;
сначала осуществляется попытка соединиться по резервной линии, при неудаче используется основная;
выбирается та линия, где задействовано меньше виртуальных каналов;
используется только резервная линия.
Механизм работы подсистемы фильтрации сетевых вызовов.
При поступлении на МЭ запроса на установление виртуальных соединений фильтрация осуществляется комплексом "ФПСУ X.25" в следующем порядке:
Осуществляется анализ значений всех полей пакета "Запрос вызова" с целью проверки соответствия протоколу X.25. Если результат анализа отрицательный - в ответ выдается приказ на разъединение проключаемого виртуального канала с регистрацией данного события в подсистеме статистики и фильтрация будет закончена с отрицательным результатом.
Осуществляется идентификация пакета "Запрос вызова". В случае, если вызов поступил от подсистемы удалённого администрирования, зарегистрированной на данном МЭ, выдается подтверждение вызова и производятся действия по идентификации и аутентификации удаленного администратора.
Производится вычленение из пакета "Запрос вызова" адресов отправителя и получателя.
Выполняется операция поиска соответствующего терминального адреса в таблице местных соединений.
Если адрес в таблице местных соединений не содержится, сразу будет осуществлен переход к анализу, описанному в п.11).
Производится сопоставление направления вызова с разрешенными направлениями вызова, указанными в элементе таблицы местных соединений для данного найденного адреса или маски адресов. Если результат сопоставления отрицательный - в ответ выдается приказ на разъединение проключаемого виртуального канала с регистрацией данного события в подсистеме статистики и фильтрация будет закончена с отрицательным результатом.
Если вызов производится со стороны местных абонентов, будет осуществлен переход к анализу, описанному в п.11).
В случае, если к найденному местному адресу в таблице местных соединений не подключен какой-либо из описанных интерфейсов доступа, будет осуществлен переход к анализу, описанному в п.11).
Из подключенных к данному элементу таблицы местных соединений выбираются интерфейсы доступа, которым соответствует данный запрос вызова. Если запрос не удовлетворяет ни одному интерфейсу, в ответ выдается приказ на разъединение проключаемого виртуального канала с регистрацией данного события в подсистеме статистики и фильтрация будет абсолютной (с отрицательным результатом соединения).
По выбранным интерфейсам доступа производится проверка разрешения вызова в текущий момент с учетом дня недели и времени, указанных в интерфейсах. Если результат проверки отрицательный - в ответ выдается приказ на разъединение проключаемого виртуального канала с регистрацией данного события в подсистеме статистики, т.е. фильтрация будет закончена с отрицательным результатом.
Выполняется операция поиска соответствующего удалённого адреса в таблице внешних соединений.
Если адрес в таблице внешних соединений не содержится, в ответ выдается приказ на разъединение проключаемого виртуального канала с регистрацией данного события в подсистеме статистики и фильтрация будет закончена с отрицательным результатом.
Производится сопоставление направления вызова с разрешенными направлениями вызова, указанными в элементе таблицы внешних соединений для данного найденного адреса или маски адресов. Если результат сопоставления отрицательный - в ответ выдается приказ на разъединение проключаемого виртуального канала с регистрацией данного события в подсистеме статистики и фильтрация будет закончена с отрицательным результатом.
В случае, если к найденному удалённому адресу в таблице внешних соединений не подключен какой-либо из описанных интерфейсов доступа, будет осуществлен переход к действиям, описанному в п.17).
Из подключенных к данному элементу таблицы внешних соединений выбираются интерфейсы доступа, которым соответствует данный запрос вызова.
Если запрос не удовлетворяет ни одному интерфейсу, в ответ выдается приказ на разъединение проключаемого виртуального канала с регистрацией данного события в подсистеме статистики и фильтрация будет закончена с отрицательным результатом.
По выбранным интерфейсам доступа производится проверка разрешения вызова в текущий момент с учетом дня недели и времени, указанных в интерфейсах. Если результат проверки отрицательный - в ответ выдается приказ на разъединение проключаемого виртуального канала с регистрацией данного события в подсистеме статистики и фильтрация будет закончена с отрицательным результатом.
На этом фильтрация запроса на установления заканчивается, соединение разрешается и результат фильтрации фиксируется в подсистеме статистики. Если в таблицах соединений заказано резервирование линии связи, будет произведен выбор сетевой линии, по которой (или по которым) будут передаваться данные. В случае использования в качестве сетевой линии линии подсистемы резервирования через сеть ANET будет произведена трансляция адресов в ANET-адреса, указанные в элементе таблицы внешних соединений.
Дальнейший контроль за установившимся виртуальным соединением будет производиться в зависимости от указанного в таблицах соединений режима работы. Могут быть реализованы идентификация и аутентификация запроса, а также различные методы передачи данных по установившемуся виртуальному соединению и способы контроля за процессом приёма/передачи данных.
Если полученный режим работы отличается от режима "Ретрансляция", данные при межсетевом обмене будут сжиматься. Для реализации механизма сжатия используется высокоэффективный быстродействующий двухпроходный компрессор (по модифицированным схемам LZW и Huffman) с анализом предистории. После сжатия данные будут снабжены необходимыми контрольными суммами и каждый выходящий пакет будет иметь собственный циклический номер, что позволяет контролировать последовательность приема пакетов и их целостность (т.е. количество входящих пакетов с терминальной стороны в принципе больше выходящих в сетевую сторону), поэтому целесообразно на терминальной стороне комплекса устанавливать существенно большую скорость передачи чем на сетевой стороне комплекса.
Если были выбраны режимы "Сжатие по маске", данные будут при приеме и передаче дополнительно пропускаться через специальную подсистему, работающую через открытый интерфейс МЭ.
После этого, если были установлены режимы работы с аутентификацией, на выходящие после сжатия (и преобразования) данные будет наложена логическая маска, выработанная случайным образом в результате процесса аутентификации удалённого (взаимодействующего в данном соединении) МЭ.
Механизм идентификации и аутентификации запросов.
Идентификация и аутентификация запросов абонентов может осуществляться МЭ при условии, что определенный на этапе фильтрации режим работы по установившемуся виртуальному соединению отличен от режима "Ретрансляция".
До окончания процессов идентификации и аутентификации обмен данными между абонентами будет запрещен и попытка передачи данных будет расценена как попытка НСД, в ответ на них будет выдан приказ на разъединение установившегося виртуального соединения с регистрацией данного события в подсистеме статистики и процессы идентификации и аутентификации будут закончены с отрицательным результатом.
На этапе идентификации будет проверено, что удалённый абонент, участвующий в данном соединении, является абонентом подсети, защищаемой удалённым МЭ.
На этапе аутентификации будет проверено, что удалённый МЭ, через который работает удалённый абонент, обладает такими же заранее определенными знаниями об удалённом МЭ, что и данный МЭ, через который работает местный абонент, то есть является тем самым МЭ через который должна осуществляться работа с указанным удалённым адресом.
Механизм идентификации заключается в том, что после получения подтверждения запроса на вызов каждый из двух МЭ, участвующих в соединении, уведомляет противоположную сторону о том, что он является МЭ и производит работу в определенном режиме. Оповещение заключается в передаче каждой стороной пакета специализированного формата, снабженного полями, которые позволяют его однозначно идентифицировать и контролировать.
По приему этих пакетов каждая из сторон проверяет их на соответствие их требуемому формату и контролирует их целостность, а также сверяет режим работы удалённого МЭ со своим режимом работы, определенным на этапе фильтрации пакета "Запрос вызова". В случае отрицательного результата проверки идентификация удалённого МЭ считается невыполненной и будет выдан приказ на разъединение установившегося виртуального соединения с регистрацией данного события в подсистеме статистики и процесс идентификации будет закончен с отрицательным результатом.
В случае указания на какой-либо из сторон режимов работы с аутентификацией в идентифицирующем пакете, принятом на противоположной стороне, будет содержаться вопрос, на который она должна выработать ответ, используя заранее установленные локальным администратором данные. МЭ, принявший такой запрос, обязан выслать соответствующий ответ аутентификации удалённому МЭ, который будет соответствующим образом проверен и в случае отрицательного результата проверки аутентификация удалённого МЭ считается невыполненной, а подлинность удалённого адреса абонента - неподтвержденной; будет выдан приказ на разъединение установившегося виртуального соединения с регистрацией данного события в подсистеме статистики и процесс аутентификации будет закончен с отрицательным результатом.
Таким образом, в зависимости от указанных режимов работы, МЭ могут использовать как одностороннюю, так и двустороннюю схемы аутентификации.
Для поддержки данного метода на каждом МЭ, участвующем в процессе аутентификации, локальными администраторами должны быть установлены аутентификационные данные, которые вырабатываются специальным центром генерации аутентификационных данных и являются длинными случайными числами, а в таблице внешних соединений для удалённых адресов на каждом из МЭ, участвующем в соединении, должны быть указаны соответствующие номера аутентификационных данных. Вопрос, задаваемый каждым МЭ в процессе аутентификации удалённого МЭ, является также длинным случайным числом, вырабатываемым в процессе идентификации удалённого МЭ.
Сторона, принявшая запрос аутентификации, вырабатывает и отсылает ответ, являющийся хэш- функцией композиции аутентификационных данных, указанных при конфигурировании локальным администратором для данного удалённого адреса, и принятых данных аутентифицирующего вопроса. Сторона, заказавшая аутентификацию, сравнивает принятый ответ со значением хэш-функции композиции аутентификационных данных, указанных при конфигурировании локальным администратором для данного удалённого адреса, и ранее высланных данных аутентифицирующего вопроса.
Аутентификация удалённого МЭ считается выполненной и подлинность удалённого адреса абонента считается подтвержденной, если каждой из сторон, заказавшей аутентификацию, получены правильные ответы на соответствующие аутентификационные вопросы.
Реализованная таким образом в программно-аппаратном комплексе "ФПСУ X.25" схема аутентификации запросов абонентов на установление виртуальных соединений обеспечивает устойчивость аутентификации к пассивному и активному перехвату информации в глобальной сети Х.25, поскольку:
аутентификационные вопросы, вырабатываемые случайным образом для каждого нового виртуального соединения, представляют из себя числа большой размерности, что защищает данные абонентов, передаваемые через глобальную сеть, от попыток их анализа и несанкционированной повторной передачи из глобальной сети;
аутентификационные ответы вырабатываются с использованием информации, априорно известной только двум МЭ, участвующим в соединении, и она не может быть получена на основании анализа ранее переданных вопросов и ответов за время существования априорной информации, что предотвращает несанкционированные попытки "навязывания" данных абонентам из глобальной сети.
Подсистема конфигурирования СФ
Подсистема конфигурирования программно-аппаратного комплекса "ФПСУ Х.25" предназначена для установки и редактирования соответствующих параметров МЭ для обеспечения его работоспособности и реализации его защитных функций. Порядок конфигурирования требуемых параметров подробно описан в Руководстве по конфигурированию МЭ.
Работоспособность МЭ обеспечивается заданием основных параметров его аппаратной конфигурации - номеров портов сетевого адаптера - для активизации линии связи. Кроме основных, подсистема позволяет установить описатели используемых в системе портов Х.25 и времена реакции системы на определённые события. В частности, комплекс позволяет детектировать аппаратные сбои сетевого оборудования и осуществлять аварийный перезапуск своего программного обеспечения через указанное время, в течение которого администратору выдаётся звуковой сигнал тревоги.
Комплекс "ФПСУ Х.25" осуществляет свою основную функцию - фильтрацию межсетевых потоков информации с целью защиты их от НСД - на основании задаваемых администратором критериев (правил) фильтрации и специальных режимов работы МЭ, описанных в разделе 5.1 "Подсистема фильтрации вызовов и правила фильтрации". Подсистема конфигурирования содержит диалоговые средства, позволяющие устанавливать и редактировать параметры комплекса "ФПСУ X.25", обеспечивающие выполнение его защитных функций.
Правила фильтрации, а также специальные режимы работы, задаются при конфигурировании МЭ в таблицах разрешенных (местных и внешних) соединений и подключаемых к ним интерфейсах доступа.
Конфигурационные работы по установке или изменению правил фильтрации и режимов работы на локальном комплексе может производить только пользователь классов "администратор" или "главный администратор", получающий доступ к подсистеме конфигурирования комплекса только при подтверждении своих полномочий, для чего он должен иметь соответствующий электронный идентификатор touch-memory. Конфигурирование сетевых портов может осуществлять пользователь класса "инженер" также при подтверждении своих полномочий (прижатии электронного идентификатора к контактному устройству по запросу подсистемы).
При дистанционном управлении конфигурацию может изменять удалённый администратор, обладающий соответствующими правами и зарегистрированный МЭ.
Подсистема разграничения доступа ACCESS-TM SHELL
Подсистема разграничения доступа предназначена для предотвращения несанкционированного доступа к компьютеру, на который установлен программно-аппаратный комплекс "ФПСУ X.25", и базируется на использовании платы "Аккорд" и электронных идентификаторов touch-memory. Плата "Аккорд", устанавливаемая в компьютер, производится фирмой "ОКБ САПР" и её наличие обязательно для установки и функционирования комплекса.
Функционирование СЕТЕВОГО ФИЛЬТРА X.25 под управлением ACCESS-TM SHELL даёт возможность избежать случайного или умышленного неквалифицированного вмешательства в работу комплекса, изменения таблиц разрешенных соединений, конфигурации, установки/изъятия данных для аутентификации или дистанционного управления и т.п.
Подсистема ACCESS-TM SHELL является неотъемлемой частью программно-аппаратного комплекса "ФПСУ X.25". После установки подсистема разграничения доступа создаёт на компьютере замкнутую функциональную среду, в которой работает ФПСУ. Вмешательство в логику работы самого комплекса невозможно и любая попытка использовать ФПСУ не по назначению будет блокирована. В то же время собственная среда комплекса содержит широкий ряд возможностей по управлению МЭ и его функциями, подключению дополнительного оборудования и дополнительного программного обеспечения разработчика, просмотру и анализу регистрационной информации и т.д.
Структурная схема подсистемы ACCESS-TM SHELL:
Как видно из схемы, подсистема состоит из следующих основных модулей:
модуля контроля полномочий на старте ПЭВМ;
модуля защиты данных на жестком диске от НСД;
модуля разграничения полномочий пользователей;
модуля регистрации локальных администраторов.
Подсистема ACCESS-TM SHELL функционирует в три этапа.
Этап 1. При включении компьютера после выполнения диагностических тестов BIOS компьютера плата "АККОРД" осуществляет запуск модуля контроля полномочий на старте, который проводит идентификацию пользователя (по предъявленной им таблетке touch-memory) для выдачи разрешения на запуск.
В случае отсутствия платы "АККОРД" на компьютере или её неисправности загрузка подсистемы производиться не будет.
Этап 2. В случае успешной идентификации пользователя загружается модуль защиты от НСД данных на жестком диске, который будет защищать информацию на жестком диске от просмотра и модификации и пресекать попытку запуска компьютера с системной дискеты. В случае неполадок в компьютере жёсткий диск с установленным на нем комплексом может быть переставлен на другую машину, оснащенную платой "Аккорд" при условии, что диск будет единственным.
Этап 3. В случае успешного осуществления этапов 1 и 2 выполнение стартового BIOS будет продолжено. После загрузки всей подсистемы модуль разграничения полномочий пользователей будет производить контроль за правом доступа пользователей на управление работой комплекса. Контроль доступа осуществляется путем выдачи приглашения на прижатие электронной ТМ-таблетки к съемнику информации, подсоединенному к плате "АККОРД", идентификации таблетки, сопоставления соответствующих данных с данными о зарегистрированных комплексом идентификаторах и принятии решения о допуске. Администратор, не предъявивший или предъявивший некорректный, незарегистрированный или несоответствующий заказанной операции идентификатор, к подсистемам комплекса допущен не будет.
ACCESS-TM SHELL осуществляет контроль и разграничение доступа местных администраторов в соответствии с их логическим разделением на 4 различных класса. Таблица 5-2 отображает реализованные в комплексе "ФПСУ-Х.25" классы администраторов и доступные для них действия.
Таблица -2
Класс администратора |
Разрешенные действия |
Оператор |
запуск компьютера МЭ |
Инженер |
запуск компьютера МЭ конфигурирование сетевых адаптеров подключение дополнительного оборудования просмотр регистрационной информации |
Администратор |
запуск компьютера МЭ конфигурирование сетевых адаптеров подключение дополнительного оборудования просмотр регистрационной информации установка и редактирование конфигурации МЭ регистрация ТМ-идентификаторов регистрация удалённых администраторов и установка их прав установка пароля условно-постоянного действия на администрирование |
Главный администратор |
запуск компьютера МЭ конфигурирование сетевых адаптеров подключение дополнительного оборудования просмотр регистрационной информации установка и редактирование конфигурации МЭ регистрация ТМ-идентификаторов регистрация удалённых администраторов и установка их прав установка пароля условно-постоянного действия на администрирование установка изменений и дополнений к программным модулям комплекса специальный контроль целостности исполнимых модулей МЭ с использованием нелинейного алгоритма расчета - вычислением их хеш-функций |
Программно-аппаратный комплекс "ФПСУ X.25" содержит модуль регистрации и учета электронных идентификаторов ТМ, идентифицирующих обслуживающий персонал МЭ. Вся информация о зарегистрированных данным МЭ ТМ-идентификаторах содержится в специальной таблице, доступ к которой имеет только пользователь класса "Администратор" при подтверждении таких полномочий. Одна таблетка (инсталляционная) поставляется вместе с программным обеспечением комплекса и регистрируется с правами основной таблетки главного администратора при установке. Другие таблетки средствами программно-аппаратного комплекса "ФПСУ X.25" могут быть зарегистрированы по любому необходимому классу, кроме основной таблетки администратора (которой и является инсталляционная ТМ-таблетка). Если таблетка уже зарегистрирована МЭ, она может быть проверена комплексом на корректность хранимой в ней информации, очищена или перерегистрирована по другому классу (кроме инсталляционной ТМ-таблетки).
Подсистема регистрации (статистики)
Регистрация и учет фильтруемых запросов на установление виртуальных соединений и действий администраторов
В программно-аппаратном комплексе "ФПСУ X.25" реализован механизм автоматического автономного сбора полной статистической информации о функционировании МЭ: фильтруемых запросах и действиях локальных и удалённых администраторов.
Комплекс содержит специальную подсистему регистрации (статистики), которая не только накапливает и хранит информацию, но и предоставляет локальному администратору удобные средства для просмотра и анализа накопленных данных, а также осуществляет автоматический их анализ с целью передачи заказанных данных и сигнализации некоторых событий удаленному администратору.
Подсистема статистики позволяет осуществлять регистрацию и учет фильтруемых запросов на установление виртуальных соединений. В процессе фильтрации регистрируются:
адреса отправителя и получателя;
время вызова;
результат фильтрации;
попытки нарушения правил фильтрации (при этом осуществляется локальная сигнализация посредством вывода соответствующей информации на экран монитора);
в случае разрешенного соединения - время существования виртуального соединения и объем переданных по нему данных;
в случае отказа - причина, диагностика разрыва и инициатор разрыва виртуального соединения;
режим работы.
Механизм автоматического сбора полной статистической информации о работе МЭ "ФПСУ X.25" позволяет также осуществлять регистрацию и учет действий как локальных администраторов МЭ, так и его удалённых администраторов.
В процессе регистрации действий администраторов фиксируются:
дата, время и код регистрируемого события;
результат попытки осуществления регистрируемого события (успешная / неуспешная);
идентификатор администратора, предъявляемый при попытке осуществления регистрируемого события (для локальных администраторов - зарегистрированный ТМ-идентификатор, для удалённых - уникальный регистрационный номер).
При работе операторов, инженеров и администраторов, обслуживающих МЭ, регистрируются следующие события:
запуск компьютера, на котором установлен МЭ;
запуск МЭ;
запуск отдельных подсистем МЭ;
завершение работы МЭ;
изменение конфигурации МЭ;
изменение конфигурации X25 портов;
изменение конфигурация ANET порта;
изменение таблиц соединений, т.е. изменение правил фильтрации;
удаление, регистрация и перерегистрация персональных электронных идентификаторов;
генерация новых аутентификационных данных;
запись персональных аутентификационных данных на дискету;
регистрация удалённого администратора, изменение его прав и их корректировка (в том числе, удаление);
изменение используемого оборудования (типов сетевых адаптеров);
изменение описания линии;
изменение описания доступа местным абонентам;
изменение описания доступа сетевым абонентам;
установка изменений/дополнений;
изменение описания интерфейса доступа.
При работе удалённых администраторов на МЭ регистрируются следующие события:
опросы статистики,
ошибочные действия удалённых администраторов,
соединения с удалёнными администраторами без исполнения запросов,
изменение описания линии,
изменение описания доступа местным абонентам,
изменение описания доступа сетевым абонентам,
передача администратору конфигурации,
передача администратору описания конфигурации,
активизация новой конфигурации,
изменение описания интерфейса доступа,
изменение времени/даты.
Все данные об указанных событиях записываются в специальное хранилище (MIB-базу объемом 16 Мб) на жесткий диск компьютера МЭ.
Все записи базы данных снабжены контрольными суммами, что обеспечивает возможности проверки целостности.
Хранилище регистрационной информации построено по принципу кольцевого буфера: при его переполнении начальные записи стираются, а текущая запись добавляется в конец списка. Объем хранилища рассчитан на несколько месяцев (при самой интенсивной работе сетевых абонентов), в течение которых регистрационная информация должна быть снята локальным администратором или периодически отправляться удалённому администратору по его запросу для последующего хранения или анализа, иначе она может быть потеряна.
При опросах через сеть удаленному администратору отправляются только "новые" записи (которые ранее не передавались).
Возможность ручного удаления регистрационных записей из MIB-базы МЭ отсутствует. Это позволяет исключить попытки сокрытия каких-либо фактов о событиях на МЭ локальными или удалённым администраторами.
Регистрационная информация может быть просмотрена как допущенным специалистом, обслуживающим сам МЭ, так и удалённым администратором, обладающим правом контролировать данный МЭ из любого фрагмента глобальной сети.
Программно-аппаратный комплекс "ФПСУ-Х.25" предоставляет возможность локальному администратору или инженеру:
просмотреть данные статистики за указанный период времени по заданным типам статистики,
сохранить записи в виде файла DBF-формата,
перенести (записать) данные статистики на дискеты для последующего прочтения удаленным администратором.
Накапливаемая статистика автоматически передается аутентифицированному удалённому администратору (при наличии связи в соответствии с заданным временным интервалом опросов), имеющему доступ к данному МЭ, причем администратор кроме того устанавливает и нужные ему типы и подтипы статистики. Передаваемая с МЭ информация накапливается в специальном хранилище удалённого администратора, объем которого ограничен лишь имеющимся свободным пространством на жестком диске компьютера. Удалённый администратор имеет возможность:
получать в ручном или автоматическом режимах данные, накопленные МЭ;
просмотреть данные статистики; данные для просмотра могут быть выбраны по заданным им МЭ, за указанный период времени, а также по определенным типам (видам) данных статистики;
удалить данные статистики по заданным условиям из хранилища;
записать просматриваемые данные из хранилища на дискету в файл соответствующего формата (DBF) для хранения, анализа или последующей обработки (например, для вывода на печать) другой программой (например, Microsoft Excel) на другом компьютере;
загрузить данные статистики с одной или нескольких дискет, на которые они были записаны локальным администратором МЭ.
Одной из отличительных особенностей работы подсистемы регистрации является то, что информация в базе данных сортируется по типам и соответствующим им подтипам, а также с указанием времени записи, что позволяет:
заказывать для просмотра или записи на дискеты только необходимую администратору информацию;
осуществлять быструю выборку и выдачу заказанной информации, не задерживая работу других подсистем комплекса (в первую очередь подсистемы фильтрации);
передавать удалённому администратору только ту информацию, которая ему необходима.
Контроль процесса фильтрации
Помимо регистрации и учета, программно-аппаратный комплекс "ФПСУ X..25" предоставляет локальным администраторам МЭ возможность непосредственного контроля процесса фильтрации.
При работе МЭ на экран монитора компьютера, оборудованного МЭ, выводится следующая текущая информация по каждому входящему и исходящему вызову:
логический номер терминального порта на сетевых платах по конфигурации;
логический номер сетевого порта;
номер текущей линии;
номер виртуального канала или сообщение о том, что он неизвестен (канал разъединён или не установлен);
количество байт, принятых с терминала;
количество байт, отправленных на него.
с какой стороны произведены сброс или вызов;
задействована ли система резервирования;
указание на работу в текущий момент времени с данной стороны удалённого администратора;
сообщения о процессах соединения или разрыва;
причина и диагностика разрыва соединения;
дата, время сброса канала и текущий режим работы;
текущее состояние используемых сетевых портов линий: терминального, резервирования и сетевого;
X.25-адреса со стороны терминала и сети;
количество переданных и принятых байтов;
количество имеющихся и используемых в данный момент виртуальных каналов;
согласованный размер пакета по соединению;
время работы главной подсистемы с момента запуска.
Дистанционный контроль процесса фильтрации
Программно-аппаратный комплекс "ФПСУ Х.25" содержит возможности для дистанционной сигнализации попыток нарушения правил фильтрации нескольким зарегистрированным на данном МЭ подсистемам удалённого администрирования комплекса.
Для этого в подсистеме удалённого администрирования имеется специальный модуль "Мониторинг", который позволяет с указанной периодичностью (задается администратором подсистемы для каждого из зарегистрированных у него удалённых МЭ) производить специальный опрос статуса аутентифицируемых администратором МЭ. Оператор подсистемы удалённого администрирования имеет возможность, используя интуитивно понятный графический интерфейс, контролировать состояние МЭ и указывать различные типы реакции на произошедшие на МЭ события (полученные в результате опроса статуса и автоматического анализа информации опрашиваемого МЭ) как визуальным отображением (в виде отображаемых значков-указателей), так и звуковой сигнализацией для следующих видов событий, относящихся к действиям абонентов:
попытках несанкционированных действий (нарушении правил фильтрации, отрицательных результатов процессов идентификации и аутентификации запросов);
превышении количества разрешенных попыток соединений абонентов друг с другом;
интенсивности (частоты) тех или иных заданных событий.
Имеется также возможность дистанционного оповещения об изменениях правил фильтрации удаленными администраторами нескольких зарегистрированных на данном МЭ подсистем удалённого администрирования комплекса.
[] [] []
Подсистема удаленного администрирования
Программно-аппаратный комплекс "ФПСУ Х.25" содержит специальные программные средства, позволяющие осуществлять централизованное дистанционное управление и мониторинг состояний МЭ (в режиме времени близком к реальному) с использованием графического интерфейса работой группы СФ (до 128) с одного компьютера из любого фрагмента сети Х.25. Для обеспечения указанной возможности комплекс включает в себя подсистему удалённого администрирования, состоящую из программного обеспечения для АРМ управляющего администратора и ряда подсистем в комплексе "ФПСУ Х.25", поддерживающих работу удаленной части системы администрирования.
Главный принцип удаленного администрирования - взаимная аутентификация при обмене информацией между СЕТЕВЫМ ФИЛЬТРОМ и удалённым администратором (далее УА). Для обеспечения взаимной аутентификации МЭ и удалённый администратор должны быть взаимно зарегистрированы, т.е. каждый администратор должен зарегистрировать подконтрольные МЭ и сам должен быть зарегистрированным этими МЭ, получив при регистрации от их локальных администраторов определенные конкретные полномочия на контроль и управление МЭ.
Обмен информацией между УА и МЭ ведётся в режиме "клиент-сервер", т.е. запрос данных осуществляет администратор, а МЭ ему высылает ответ, и никогда наоборот.
Удаленный администратор МЭ имеет собственный сетевой адрес для осуществления запросов к МЭ, передачи приказов и получения необходимой информации, но иные обращения по сети (исходящие или входящие) к нему запрещены.
В подсистеме удаленного администрирования реализованы следующие механизмы защиты от НСД:
блокировка входящих вызовов;
идентификация и аутентификация МЭ при запросах удаленного администратора;
идентификация и аутентификация удалённого администратора при запуске подсистемы;
защита работы подсистемы путем блокировки любых действий до введения пароля.
Программное обеспечение удалённого администратора может быть установлено на любом компьютере сети с обычной операционной системой, отвечающем условиям применения (см.
Раздел 2 "Условия применения комплекса"), и включает в себя ряд модулей со следующими функциями:
Модули |
Назначение |
Модуль регистрации |
Регистрация СЕТЕВЫХ ФИЛЬТРОВ с целью их последующей идентификации и аутентификации при запросах удаленного администратора |
Модуль статистики |
Дистанционный контроль за работой МЭ |
Модуль мониторинга |
|
Модуль конфигурации |
Дистанционное управление МЭ |
подсистема регистрации удалённых администраторов, имеющих доступ к данному МЭ (не более четырёх на один МЭ), для их последующих идентификации и аутентификации при запросах; подсистема содержит средства, позволяющие локальному администратору МЭ просмотреть список зарегистрированных УА с установленными для них правами на доступ;
модуль аутентификации удалённых администраторов в подсистеме фильтрации, который после проверки подлинности администратора и его прав на запрошенную операцию осуществляет доступ его к соответствующим подсистемам комплекса.
Подсистема удаленного администрирования даёт администратору (при наличии зарегистрированных полномочий) следующие возможности:
просмотреть список зарегистрированных МЭ, зарегистрировать новые МЭ или удалить их из списка;
внести изменения в ранее полученные инициализационные данные МЭ или изменить собственные параметры с последующей перерегистрацией;
ограничить или запретить доступ к работе с подсистемой другим лицам путем установления режима запуска подсистемы по аутентификационным данным, установления режима запуска подсистемы по паролю или блокировки работы подсистемы до введения пароля;
запросить, получить, просмотреть и проанализировать правила фильтрации, установленные на подконтрольных МЭ;
согласованно изменить и установить правила фильтрации для группы подконтрольных МЭ, режимы их работы и использовать резервную линию ANET для резервирования основной линии связи при сбоях в глобальной сети x.25;
синхронизировать время на подконтрольных МЭ с текущим временем своего компьютера;
запросить, получить, просмотреть, проанализировать и обработать указанную по виду и времени регистрационную информацию о событиях на подконтрольных МЭ как в автоматическом режиме с заданным периодом времени, так и в режиме непосредственного обращения;
программировать автоматический анализ получаемой информации с оперативно отображаемой графической и звуковой сигнализацией событий по попыткам нарушения правил фильтрации, изменению правил фильтрации и по состоянию сетевых портов при их возникновении на МЭ;
осуществлять автоматический мониторинг состояния удалённых МЭ практически в реальном масштабе времени;
использовать графический интерфейс для удалённого централизованного контроля состояния и управления МЭ с отображением топологии сети и состояния подконтрольных МЭ.
Поставка комплекса
В зависимости от целей использования и в соответствии с конкретным заказом потребителя программно-аппаратный комплекс "ФПСУ X.25" может быть поставлен с подсистемой удаленного администрирования и Центром аутентификационных данных или без таковых.
Полный комплект поставки представляет собой:
специально отформатированные установочные дискеты 3,5" с локальной частью комплекса;
инсталляционную таблетку touch-memory (ТМ-идентификатор), идентифицирующую установочный комплект;
дискету с эталонной программой проверки целостности и файлом с записями контрольных сумм (хэш-функций) исполнимых модулей поставляемых программ комплекса.
дискету с подсистемой удаленного администрирования;
дискету с программным обеспечением "Центра генерации аутентификационных данных";
комплект эксплуатационной документации.
В состав программного комплекса подсистемы удалённого администрирования входят файлы:
|
командный файл для запуска |
|
|
GUARDADM.EXE |
программа администратора |
|
GUARDADM.HLP |
файл подсказки |
|
README.TXT |
замечания и дополнительные сведения по данной версии |
|
RESIDENT\ADRVSTAY.CFG |
файл конфигурации драйвера платы АМИТ |
|
RESIDENT\ADRVKILL.EXE |
программа для выгрузки из памяти драйвера платы АМИТ |
|
RESIDENT\ADRVSTAY.EXE |
основной файл драйвера платы АМИТ |
|
RESIDENT\ADRVSTAY.OVL |
дополнительный файл драйвера платы АМИТ |
|
RESIDENT\AMIT.100\AMITCONF.CFG |
файл конфигурации платы АМИТ версии 1.0 |
|
RESIDENT\AMIT.100\AMITCONF.EXE |
программа конфигурации платы АМИТ версии 1.0 |
|
RESIDENT\AMIT.100\AMITTEST.EXE |
тест для платы АМИТ версии 1.0 |
|
RESIDENT\AMIT.100\AMIT_UG.TXT |
описание платы АМИТ версии 1.0 |
|
RESIDENT\AMIT.100\README.TXT |
замечания по плате АМИТ версии 1.0 |
|
RESIDENT\AMIT.200\AMITUTIL.CFG |
файл конфигурации платы АМИТ версии 2.0 |
|
RESIDENT\AMIT.200\AMITUTIL.EXE |
программа конфигурации платы АМИТ версии 2.0 |
|
RESIDENT\AMIT.200\AMIT_UG.TXT |
описание платы АМИТ версии 2.0 |
|
RESIDENT\AMIT.200\README.TXT |
замечания по плате АМИТ версии 2.0 |
|
FILEHASH.EXE |
файл с программой проверки целостности модулей подсистемы удаленного администрирования |
|
FX25ADM.HSH |
файл с эталонными (контрольными) данными поставки, с которыми производится сравнение при проверке целостности ПО |
По желанию Заказчика ему может поставляться отечественная сетевая плата DPMC (NPA) производства фирмы "Группа Сетевые Системы" (NSG) при участии "АМИКОН".
[] [] []
Условия применения комплекса
Для надёжного функционирования программно-аппаратного комплекса "ФПСУ-Х.25" необходимо, чтобы конфигурация оборудования для него отвечала следующим требованиям:
|
компьютер |
класса PC/AT |
|
процессор |
типа 80386 или выше |
|
память (RAM) |
не менее 4 Мб |
|
твердый диск |
IDE, размером не менее 40 Мб |
|
дисковод гибких дисков |
3.5" 1.44 Мб (установленный как устройство A:) |
|
дисплей |
адаптер EGA/VGA/SVGA, цветной или монохромным монитор |
|
устройство ввода-вывода |
клавиатура |
|
плата touch-memory |
"АККОРД" (фирмы ОКБ "САПР") версии 1 или 4 с BIOS версий 1.08-1.10, 1.12 |
|
Сетевой адаптер X.25 |
DPMC (NPA-2) фирм NSG/AMICON DPNA, MPNA, EC, EC S50, EC S51, EC S52 фирмы EICON PCXNET фирмы O.S.T |
ВНИМАНИЕ! Компьютер, оборудованный СЕТЕВЫМ ФИЛЬТРОМ, не может параллельно использоваться по другому назначению и не будет содержать другого программного обеспечения (а также другой информации).
Кроме того, для обслуживания комплекса потребуется несколько электронных ТМ-идентификаторов (таблеток touch-memory), помимо инсталляционного ТМ-идентификатора, поставляемого вместе с ПО комплекса.
Для функционирования подсистемы удаленного администрирования требуются следующие параметры оборудования и программного обеспечения компьютера:
|
операционная система |
MS-DOS версий 5.0 или 6.22 |
|
процессор |
i486 66 МГц и выше |
|
память центрального процессора |
не менее 4Мбайт |
|
внешняя память |
не менее 100 Мбайт с учётом накапливаемых данных статистики |
|
видеоподсистема |
графический режим 800ґ 600 в 256 цветах SVGA- адаптеры: AHEAD A,B, ATI, Chips&Technology, Everex, Genoa, NCR 77C22E, Oak Technology, Paradise, Cirrus Logic 54xx, Trident, T8900, TSENG 3000/4000, Video 7, а также совместимые с VESA версии не ниже 1.1. По умолчанию подсистема использует VESA. Если задать параметр AUTO в командной строке, подсистема попытается детектировать вышеперечисленные адаптеры объем видеопамяти должен быть не менее 512 Кбайт |
|
устройства ввода/ вывода |
"мышь", клавиатура |
|
Сетевой адаптер |
АМИКОН трансивер ("AMIT-256") DPMC фирм NSG/AMICON DPNA, MPNA, EC, EC S50, EC S51, EC S52 фирмы EICON
|
Необходимые организационные меры при эксплуатации комплекса.
На основании анализа факторов, способных повлиять на эффективность защитных функций комплекса и его подсистем удалённого администрирования, может быть сформулирован следующий перечень основных требований и условий, относящихся к порядку применения комплекса и необходимым дополнительным организационно-техническим мероприятиям при его использовании в рамках комплексной системы защиты информации:
контроль за подключением МЭ к глобальной сети и защищаемой подсети с целью предотвращения несанкционированного обмена данными в обход МЭ;
обеспечение физической охраны компьютера с установленным МЭ с целью препятствования доступа внутрь компьютера;
обеспечение физической охраны инсталляционных дискет и инсталляционного ТМ-идентификатора, в случае подозрения на НСД комплексы СЗИ НСД "ФПСУ Х.25" должны быть переустановлены;
предотвращение доступа посторонних лиц к зарегистрированным на МЭ ТМ-идентификаторам, в случае подозрения на НСД все зарегистрированные ТМ-идентификаторы должны быть перерегистрированы или заменены;
предотвращение доступа посторонних лиц к дискам с аутентификационными данными МЭ, в случае подозрения на НСД все аутентификационные данные должны быть сгенерированы заново и переустановлены на всех МЭ.
[] [] []
Установка и настройка комплекса
Установка программно-аппаратного комплекса "ФПСУ X.25" осуществляется специалистом, ознакомленным с правилами инсталляции и имеющим инсталляционную таблетку (ТМ-идентификатор), в соответствии с требованиями эксплуатационной документации (см. Руководство по установке).
Жесткий диск компьютера, на который будет установлен комплекс, не должен содержать нужной информации, поскольку подсистема ACCESS-TM SHELL при установке произведет очистку винчестера. На компьютере должна быть установлена работоспособная плата "Аккорд"...
Установка включает:
Установку комплекса на локальную машину с дистрибутивных дискет (см. Руководство по установке).
Конфигурирование СЕТЕВОГО ФИЛЬТРА (см. Руководство по конфигурированию).
Копирование подсистемы удаленного администрирования в любой каталог на жесткий диск компьютера, с которого администрирование будет осуществляться (см. Руководство администратора) и настройка параметров платы и драйвера АМИТ-256 (см. файлы AMIT_UG.TXT и ADRVSTAY.CFG).
[] [] []
Восстановление функций комплекса после сбоев оборудования
Программно-аппаратный комплекс "ФПСУ X.25" содержит ряд функций восстановления:
автоматическое восстановление свойств МЭ после сбоя или отказов сетевого оборудования;
автоматическое восстановление свойств МЭ в случае неполадок в глобальной сети и/или выхода из строя сетевого оборудования;
восстановление работы комплекса МЭ после выхода из строя аппаратного оборудования компьютера с использованием конфигурационной информации, заранее сохранённой администратором на специальной дискете;
восстановление работы подсистемы удалённого управления после выхода из строя аппаратного оборудования компьютера по персональным аутентификационным данным, хранимым на дискете.
В процессе функционирования МЭ осуществляется автоматический контроль работоспособности установленного и заказанного к использованию сетевого оборудования по специальным признакам аппаратного уровня, сигнализирующим о зацикливании, "зависании" программного обеспечения или его неработоспособности. При выявлении описанных признаков будет произведена соответствующая запись в подсистему регистрации, а рабочие программы сетевых карт и подсистемы фильтрации МЭ будут полностью перезагружены с жесткого диска компьютера МЭ. Если и после этого работоспособность комплекса восстановить не удалось, это также будет зарегистрировано и комплекс перейдет в режим звукового оповещения администратора для принятия немедленных мер по замене неисправного оборудования. Данную операцию, если она повлечет за собой переконфигурацию сетевого матобеспечения, может выполнить локальный администратор комплекса класса не ниже "Инженер".
В случае выхода из строя самого жесткого диска комплекс необходимо будет переустановить на другой жесткий диск с использованием конфигурационной информации, заранее сохранённой администратором на специальной дискете. При этом работоспособность комплекса будет восстановлена, однако в этом случае потребуется его перерегистрация у удалённых администраторов.
В комплексе реализованы также механизмы, позволяющие ему полностью выполнять свои функции при авариях в транзитной глобальной сети, связанных с неработоспособностью магистральных линий связи, отказами коммутирующего оборудования или неправильной его конфигурацией. Механизм заключается в автоматическом переходе на альтернативную (резервную) линию связи как через асинхронную сеть ANET, так и через линию "прямого" соединения по коммутируемым или выделенным каналам телефонных сетей. Отметим, что такая возможность должна быть заранее предусмотрена удалёнными или локальными администраторами МЭ и указана для каждого удаленного адреса в таблице внешних соединений.
В случае возникновения аварий оборудования компьютера удаленного администратора вплоть до выхода жесткого диска из строя, работоспособность подсистемы удалённого администрирования может быть восстановлена на другом жестком диске по персональным аутентификационным данным подсистемы, хранимых на дискете. В этом случае перерегистрация его на удалённых МЭ не потребуется.
[] [] []
