RU2163727C2 - Система защиты виртуального канала корпоративной сети с мандатным принципом управления доступом к ресурсам, построенной на каналах связи и средствах коммутации сети связи общего пользования - Google Patents

Система защиты виртуального канала корпоративной сети с мандатным принципом управления доступом к ресурсам, построенной на каналах связи и средствах коммутации сети связи общего пользования Download PDF

Info

Publication number
RU2163727C2
RU2163727C2 RU98123403A RU98123403A RU2163727C2 RU 2163727 C2 RU2163727 C2 RU 2163727C2 RU 98123403 A RU98123403 A RU 98123403A RU 98123403 A RU98123403 A RU 98123403A RU 2163727 C2 RU2163727 C2 RU 2163727C2
Authority
RU
Russia
Prior art keywords
input
output
unit
client
network
Prior art date
Application number
RU98123403A
Other languages
English (en)
Other versions
RU98123403A (ru
Inventor
А.Ю. Щеглов
А.Б. Чистяков
В.С. Клипач
А.А. Джабаров
В.В. Бутенко
Original Assignee
Щеглов Андрей Юрьевич
Чистяков Антон Борисович
Клипач Виталий Степанович
Джабаров Александр Артурович
Бутенко Валерий Владимирович
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Щеглов Андрей Юрьевич, Чистяков Антон Борисович, Клипач Виталий Степанович, Джабаров Александр Артурович, Бутенко Валерий Владимирович filed Critical Щеглов Андрей Юрьевич
Priority to RU98123403A priority Critical patent/RU2163727C2/ru
Publication of RU98123403A publication Critical patent/RU98123403A/ru
Application granted granted Critical
Publication of RU2163727C2 publication Critical patent/RU2163727C2/ru

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам, реализуемым на компьютерных сетях, и может быть использовано для защиты информационных ресурсов в корпоративных сетях. Технический результат заключается в повышении защищенности ресурсов информационной вычислительной сети, повышении эффективности управления доступом к ресурсам за счет реализации в системе мандатного принципа управления доступом, сокращении оборудования в системе защиты и реализации оперативного управления соединением по параметрам безопасности. Технический результат достигается за счет того, что в систему комплексной защиты ресурсов информационной вычислительной сети, содержащую М межсетевых экранов корпорации, дополнительно введен блок формирования закрытого протокола, блок аутентификации клиента по IP-адресу, блок разрешения доступа по логическому имени сервера, блок выработки мандата на требуемые действия, блок проверки мандата клиента мандатом на требуемые действия и блок оперативного управления, введена клиентская часть системы защиты, введена серверная часть системы защиты. 7 ил.

Description

Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам, реализуемых на компьютерных сетях, и может быть использовано для защиты информационных ресурсов в корпоративных сетях.
Известна система защиты ресурсов виртуального канала корпоративной сети, построенной на каналах и средствах коммутации сети связи общего пользования - межсетевой экран, например CyberGuard (см. Computerworld Россия 27 августа, 1996 года), Black Hole (Computerworld Россия 27 августа, 1996 года). Она содержит выделенный компьютер, работающий под операционной системой Unix (например, UnixWare 2.1. , FreeBSD) и функциональным программным обеспечением. Нет возможности контролировать и управлять соединением, используются данные служебных заголовков стандартных протоколов для получения аутентификационных признаков, требуется установка данных экранов к каждой территориально локализованной группе компьютеров, нуждающихся в защите, управление доступом к защищаемым ресурсам негибко.
Наиболее близкой по технической сущности к заявляемой (прототипом) является система защиты виртуального канала корпоративной сети, включающей в себя два или более межсетевых экранов. Система представлена на фиг. 1 в схеме защищенного взаимодействия клиент/сервер. Схема включает систему защиты 1, состоящую из M межсетевых экранов корпорации 2; будем называть межсетевой экран корпорации, разграничивающий подсеть с клиентами корпоративной сети и глобальную сеть - входным межсетевым экраном, а разграничивающий подсеть с серверами корпоративной сети и глобальную сеть - выходным межсетевым экраном (разумеется, это сеансовые понятия). Вход/выход 3 входного межсетевого экрана 2 соединен с входом/выходом 8 клиента корпорации 5, включающих в себя блок стандартного сетевого функционального программного обеспечения (ФПО) клиента корпорации, и является первым входом/выходом системы, вход/выход 3 выходного межсетевого экрана 2 соединен входом/выходом 9 сервера корпорации 6 и является вторым входом/выходом системы. Вход/выход 4 входного межcетевого экрана соединен с каналом связи сети передачи данных 7, является третьим входом/выходом системы. Вход/выход 4 выходного межсетевого экрана соединен с каналом связи сети передачи данных и является четвертым входом/выходом системы.
Система защиты состоит из M межсетевых экранов 2. Межсетевой экран 2 (см. фиг. 2) состоит из блока приемо/передатчика 10, блока фильтрации пакетов 11, блока шифрования/расшифрования и электронной подписи 12, блока аутентификации клиента по идентификатору, паролю и службе 13, причем первый вход/выход системы защиты является входом/выходом 4 входного межсетевого экрана, второй вход/выход системы защиты является входом/выходом 4 выходного межсетевого экрана, третий вход/выход системы защиты является входом/выходом 3 входного межсетевого экрана, четвертый вход/выход системы защиты является входом/выходом 3 выходного межсетевого экрана; вход/выход 4 межсетевого экрана является первым входом/выходом блока приемо/передатчика 10, вход/выход межсетевого экрана 3 является третьим входом/выходом блока приемо/передатчика 10, второй вход/выход блока приемо/передатчика 10 соединен с первым входом/выходом блока фильтрации пакетов 11, второй вход/выход которого соединен с первым входом/выходом блока шифрования/расшифрования и электронной подписи 12, второй вход/выход которого соединен с входом/выходом блока аутентификации клиента по идентификатору, паролю и службе 13; первым входом/выходом межсетевого экрана является первый вход/выход блока приемо/передатчика 10, второй вход/выход межсетевого экрана является третьим входом/выходом блока приемо/передатчика 10.
Защищенное взаимодействие между клиентами и серверами корпорации осуществляется следующим образом. Рассмотрим взаимодействие в среде TCP/IP (может быть реализован и другой стек протоколов). Клиент 5 согласовывает свои права доступа с межсетевым экраном 2. С этой целью клиент 1 посылает стандартный TCP/IP пакет, в котором содержатся в заголовке IP - адрес клиента, IP - адрес сервера назначения и порт службы, в поле данных идентификатор клиента, пароль, в формате той службы на порт которой посылается пакет, причем поле данных может быть зашифровано секретным ключом межсетевого экрана, после этого, пройдя через блок приемо/передатчика 10, блок фильтрации пакетов 11, где происходит фильтрация пакетов по IP-адресу из служебного заголовка, блок шифрования/расшифрования и электронной подписи 12, где происходит расшифровка поля данных, если это необходимо, блок аутентификации клиента по идентификатору клиента, паролю и службе 13, где зная службу из служебного заголовка пакета, происходит извлечение идентификатора клиента и пароля и поля данных стандартного пакета. Далее происходит проверка по базе данных безопасности, на существование клиента с данным идентификатором, на соответствие пароля идентификатору и определение соответствующего секретного ключа клиента и алгоритма защиты (шифрование/расшифрование, электронная подпись) и в случае удачного завершения проверок происходит пропуск пакета к серверу и установление соединения с клиентом, с поддержкой шифрования или электронной подписи с ключом, определенным для данного клиента, в случае неудачного результата проверок происходит разрыв соединения с предварительной отправкой сообщения клиенту о неудачно пройденной проверке. То же самое происходит и на межсетевом экране корпорации, отделяющем сервер корпорации от глобальной сети. После этого происходит защищенное взаимодействие по уже установленному соединению с поддержкой определенных (до установления соединения) для данного клиента алгоритмов.
Однако эта система защиты не обеспечивает полностью защищенного взаимодействия клиент/сервер. Это вызвано тем, что по существу при проверке используются служебные заголовки стандартных протоколов, которые могут быть подделаны (атака Митника), что облегчает несанкционированный доступ на межсетевой экран корпорации под видом стандартного клиента.
Так как за каждым участником обмена закреплен свой IP-адрес, который используется и при маршрутизации, и при аутентификации, невозможно сокрытие топологии корпоративной сети и IP-адресов информационных серверов, что в принципе упрощает атаку на корпоративную сеть.
Поскольку после установления соединения клиент/сервер их взаимодействие осуществляется без участия системы защиты, отсутствует возможность отключения клиента даже в случае обнаружения его несанкционированных действий, например, средствами проверки целостности данных на сервере, не говоря уже о возможности контролирования взаимодействия клиент/сервер на всех стадиях.
Поскольку реализуется статичный способ управления доступом (посредством записывания в базу данных доступных для клиента файлов и каталогов) доступ достаточно статичен, не позволяет быстро изменять настройки системы защиты, что сказывается на защищенности (реакция на атаку из-за ошибочной настройки медленная).
Кроме того, такая структура система защиты существенно увеличивает расход оборудования, так как при функционировании системы требуется по крайней мере два межсетевых экрана - с клиентом и сервером назначения.
Задача изобретения состоит в повышении защищенности информационных ресурсов информационной вычислительной сети, в повышении эффективности управления доступом к защищаемым ресурсам за счет реализации в системе мандатного принципа управления доступом, в сокращении оборудования в системе защиты и реализации оперативного управления соединением по параметрам безопасности.
Достигается это тем, что в систему комплексной защиты ресурсов информационной вычислительной сети, содержащую M межсетевых экранов, каждый из которых состоит из блока приемо/передатчика, блока фильтрации пакетов, блока шифрования/расшифрования и электронной подписи и блока аутентификации клиента по идентификатору, паролю и службе, причем первый вход/выход межсетевого экрана корпорации является первым входом/выходом блока приемо/передатчика, второй вход/выход блока приемо/передатчика соединен с первым входом/выходом блока фильтрации пакетов, второй вход/выход которого соединен с первым входом/выходом блока шифрования/расшифрования и электронной подписи; первый вход/выход входного межсетевого экрана корпорации является первым входом/выходом системы защиты, дополнительно в каждый межсетевой экран корпорации введены блок формирования закрытого протокола, блок аутентификации клиента по IP-адресу, блок разрешения доступа по логическому имени сервера, блок выработки мандата на требуемые действия, блок проверки мандата клиента мандатом на требуемые действия и блок оперативного управления, причем второй вход/выход блока шифрования/расшифрования и электронной подписи соединен с первым входом/выходом блока формирования закрытого протокола, второй вход/выход которого соединен с первым входом/выходом блока аутентификации клиента по идентификатору, паролю и службе, второй вход/выход которого соединен с входом/выходом блока аутентификации клиента по IP-адресу, второй вход/выход которого соединен с входом/выходом блока разрешения доступа по логическому имени сервера, второй вход/выход которого соединен с входом/выходом блока выработки мандата на требуемые действия, второй вход/выход которого соединен с входом/выходом блока проверки мандата клиента мандатом на требуемые действия, вход которого соединен с выходом блока оперативного управления, вход которого является вторым входом/выходом межсетевого экрана корпорации, в систему введена клиентская часть системы защиты, состоящая из блока приемо/передатчика, блока шифрования/расшифрования и электронной подписи, блока формирования закрытого протокола, блока стандартного сетевого функционального программного обеспечения (ФПО) клиента корпорации, причем первый вход/выход блока приемо/передатчика является входом/выходом клиентской части системы защиты, второй вход/выход блока приемо/передатчика соединен с первым входом/выходом блока шифрования/расширования и электронной подписи, второй вход/выход которого соединен с первым входом/выходом закрытого протокола, второй вход/выход которого соединен с первым входом/выходом блока стандартного сетевого ФПО клиента корпорации, вход-выход клиентской части системы защиты соединен с каналами и средствами коммутации сети связи общего пользования, кроме того, в систему введена серверная часть системы защиты, состоящая из блока приемо/передатчика, блока шифрования/расшифрования и электронной подписи, блока формирования закрытого протокола, блока стандартного сетевого ФПО сервера корпораци, причем первый вход/выход блока приемо/передатчика является первым входом/выходом клиентской части системы защиты, второй вход/выход блока приемо/передатчика соединен с первым входом/выходом блока шифрования/расшифрования и электронной подписи, второй вход/выход которого соединен с первым входом/выходом блока формирования закрытого протокола, второй вход/выход которого соединен с первым входом/выходом блока стандартного сетевого ФПО сервера корпорации, вход/выход серверной части системы защиты соединен с каналами и средствами коммутации сети связи общего пользования.
На фиг. 4 представлена схема защиты виртуального канала корпоративной сети с мандатным принципом управления доступом к ресурсам, построенной на каналах и средствах коммутации сети связи общего пользования. Она содержит M межсетевых экранов, и L клиентских частей системы защиты, и N серверных частей защиты. Межсетевой экран корпорации состоит из блока приемо/передатчика, блока фильтрации пакетов, блока шифрования/расшифрования и электронной подписи, блока формирования закрытого протокола, блока аутентификации клиента по идентификатору, паролю и службе, блока аутентификации клиента по IP-адресу, блока разрешения доступа по логическому имени сервера, блока оперативного управления, первый вход/выход блока приемо/передатчика является входом/выходом межсетевого экрана, второй вход/выход блока приемо/передатчика соединен с первым входом/выходом блока фильтрации пакетов, второй вход/выход которого соединен с первым входом/выходом блока шифрования/расшифрования и электронной подписи, второй вход/выход которого соединен с первым входом/выходом блока формирования закрытого протокола, второй вход/выход которого соединен с первым входом/выходом блока аутентификации клиента по идентификатору, паролю и службе, второй вход/выход которого соединен с первым входом/выходом блока аутентификации клиента по IP-адресу, второй вход/выход соединен с входом/выходом блока разрешения доступа по логическому имени сервера, вход которого соединен с выходом блока оперативного управления, вход которого является входом системы защиты, вход/выход межсетевого экрана корпорации является первым входом/выходом системы. Клиентская часть системы защиты состоит из блока приемо/передатчика, блока шифрования/расшифрования и электронной подписи, блока формирования закрытого протокола, блока стандартного сетевого ФПО клиента корпорации, причем вход/выход блока стандартного сетевого ФПО клиента корпорации соединен с первым входом/выходом блока формирования закрытого протокола, второй вход/выход которого соединен с первым входом/выходом блока шифрования/расшифрования и электронной подписи, второй вход/выход которого соединен с первым входом/выходом блока приемо/передатчика, второй вход/выход которого является входом/выходом клиентской части системы защиты; серверная часть системы защиты состоит из блока приемо/передатчика, блока шифрования/расшифрования и электронной подписи, блока формирования закрытого протокола, блока стандартного сетевого ФПО сервера корпорации, причем вход/выход блока стандартного сетевого ФПО сервера корпорации соединен с первым входом/выходом блока формирования закрытого протокола, второй вход/выход которого соединен с первым входом/выходом блока шифрования/расшифрования и электронной подписи, второй вход/выход которого соединен с первым входом/выходом блока приемо/передатчика, второй вход/выход которого является входом/выходом клиентской части системы защиты; первым входом/выходом системы является первый вход/выход межсетевого экрана корпорации, вторым входом/выходом системы является вход/выход клиентской части системы защиты, третьим входом/выходом системы является вход/выход серверной части системы защиты.
Защищенная сеть содержит систему защиты информации в корпоративной сети 1. Система защиты состоит из M межсетевых экранов корпорации 2 и L клиентских частей системы защиты 14 и N серверных частей защиты 15. Межсетевой экран корпорации 2 состоит из блока приемо/передатчика 10, блока фильтрации пакетов 11, блока шифрования/расшифрования и электронной подписи 12, блока формирования закрытого протокола 17, блока аутентификации клиента по идентификатору, паролю и службе 13, блока аутентификации клиента по IP-адресу 18, блока разрешения доступа по логическому имени сервера 19, блока выработка мандата на требуемые действия 21, блока проверки мандата клиента мандатом на требуемые действия 22, блока оперативного управления 20, первый вход/выход блока премо/передатчика 10 является входом/выходом межсетевого экрана корпорации 2, второй вход/выход блока приемо/передатчика 10 соединен с первым входом/выходом блока фильтрации пакетов 11, второй вход/выход которого соединен с первым входом/выходом блока шифрования/расшифрования и электронной подписи 12, второй вход/выход которого соединен с первым входом/выходом блока формирования закрытого протокола 17, второй вход/выход которого соединен с первым входом/выходом блока аутентификации клиента по идентификатору, паролю и службе 13, второй вход/выход которого соединен с первым входом/выходом блока аутентификации клиента по IP-адресу 18, второй вход/выход соединен с входом/выходом блока разрешения доступа по логическому имени сервера 19, второй вход/выход соединен с входом/выходом блока выработки мандата на требуемые действия 21, второй вход/выход соединен с входом/выходом блока проверки мандата клиента мандатом на требуемые действия 22, вход которого соединен с выходом блока оперативного управления 20, вход которого является входом системы защиты 1, вход/выход межсетевого экрана корпорации 2 является первым входом/выходом системы 1. Клиентская часть системы защиты 14 (см. фиг. 5) состоит из блока премо/передатчика 10, блока шифрования/расшифрования и электронной подписи 12, блока формирования закрытого протокола 17, блока стандартного сетевого ФПО клиента корпорации 5, причем вход/выход блока стандартного сетевого ФПО клиента 5 корпорации соединен с первым входом/выходом блока формирования закрытого протокола 17, второй вход/выход которого соединен с первым входом/выходом блока шифрования/расшифрования и электронной подписи 12, второй вход/выход которого соединен с первым входом/выходом блока премо/передатчика 10, второй вход/выход которого является входом/выходом клиентской части системы защиты 14; серверная часть системы защиты 15 (см. фиг. 6) состоит из блока премо/передатчика 10, блока шифрования/расшифрования и электронной подписи 12, блока формирования закрытого протокола 17, блока стандартного сетевого ФПО сервера корпорации 6, причем вход/выход блока стандартного сетевого ФПО сервера корпорации 6 соединен с первым входом/выходом блока формирования закрытого протокола 17, второй вход/выходом которого соединен с первым входом/выходом блока шифрования/расшифрования и электронной подписи 12, второй вход/выход которого соединен с первым входом/выходом блока приемо/передатчика 10, второй вход/выход которого является входом/выходом клиентской части системы защиты 14; первым входом/выходом системы 1 является первый вход/выход межсетевого экрана корпорации 2, вторым входом/выходом системы 1 является вход/выход клиентской части системы защиты 14, третьим входом/выходом системы 1 является вход/выход серверной части системы защиты 15.
Клиентская часть системы защиты, входящая в систему, может быть выполнена либо как ФПО на выделенном компьютере (см. Computerworld Россия 27 августа, 1996 года), либо на выделенном процессоре или микроЭВМ, либо как часть комплекса ФПО на выделенном компьютере.
Серверная часть системы защиты может быть выполнена либо как ФПО на выделенном компьютере (см. Computerworld Россия 27 августа, 1996 года), либо на выделенном процессоре или микроЭВМ, либо как часть комплекса ФПО на выделенном компьютере.
Добавленные в межсетевой экран корпорации блоки могут быть выполнены либо как ФПО на выделенном компьютере (см. Computerworld Россия 27 августа, 1996 года), либо на выделенном процессоре или микроЭВМ, либо на выделенном процессоре или микроЭВМ, либо как часть комплекса ФПО на выделенном компьютере.
Система 1 в составе защищенной сети работает следующим образом.
Защищенное взаимодействие между клиентами и серверами корпорации осуществляется следующим образом. Рассмотрим взаимодействие в среде TCP/IP (может быть реализован и другой стек протоколов). Клиент 5 согласовывает свои права доступа с межсетевым экраном 2. С этой целью на клиентской части 1 формируется стандартный TCP/IP пакет, в котором содержатся в заголовке IP-адрес клиента, IP-адрес сервера корпорации (который не обязательно должен существовать) и порт службы, в поле данных данные в формате той службы на порт которой посылается пакет, далее пакет попадает в блок формирования закрытого протокола 17, где задерживается до получения ответа от межсетевого экрана корпорации 2, в этом же блоке формируется пакет закрытого протокола, в котором содержится в заголовке служебный заголовок TCP-IP, но с IP-адресом межсетевого экрана корпорации 2 и портом установления соединения системы защиты 1, а в поле данных находятся поля идентификатора клиента, пароля, IP-адреса компьютера клиента, IP-адреса сервера назначения в зашифрованном виде. Далее этот пакет попадает на межсетевой экран корпорации 2, где проходят проверки. Сначала проходит блок приемо/передатчика 10, далее блок фильтрации пакетов 11, где фильтруются служебные заголовки стандартных протоколов, далее в блок шифрования/расшифрования и электронной подписи 12, где происходит расшифровка пакета, далее в блок формирования закрытого протокола 17, где происходит разбор поля данных пришедшего пакета, далее в блок аутентификации клиента по идендификатору и паролю 13 (сравниваются присланные сведения и находящиеся в базе данных), далее в блок аутентификации клиента по IP-адресу 18 (сравниваются присланные сведения и находящиеся в базе данных), далее в блок разрешения доступа по логическому имени сервера 19 (сравниваются присланные сведения и находящиеся в базе данных), далее в блок выработки мандата на требуемые действия 21, далее в блок проверки мандата клиента мандатом на требуемые действия 22 - здесь в качестве действий понимаются различные возможные варианты мандатного управления: доступ к файлу, доступ к действию над файлом - чтение, запись, чтение/модификация, доступ к сетевой службе - конкретному виду открытого протокола, множество которых реализуется в блоках стандартного сетевого ФПО клиента и сервера корпорации (FTP, Telnet и др.), к программному порту, где может быть подключен какой-либо драйвер обработки, и т.д. далее, если все проверки пройдены, то направляется пакет, разрешающий соединение между клиентом и межсетевым экраном корпорации, далее пакет, разрешающий соединение, состоящий из разрешающего флага и сеансового ключа, приходит к клиенту, проходя блоки приемо/передатчика и блока шифрования/расшифрования и электронной подписи, попадает в блок формирования закрытого протокола, далее пропускается пакет, устанавливающий соединение по стандартному соединению, но в каждом пакете заменяются IP-адреса сервера назначения на IP-адрес межсетевого экрана корпорации. Причем, проходя через блок шифрования/расшифрования и электронной подписи, пакет обрабатывается алгоритмом шифрования, определенным для данного клиента, а в межсетевом экране расшифровывается и в блоке формирования закрытого протокола меняется IP-адрес приемника на IP-адрес сервера назначения, определяемый по логическому идентификатору сервера, передаваемого в первом (инициализирующем) пакете.
Вырожденным случаем использования системы является вариант ее применения в ЛВС, проиллюстрированный на фиг. 7. Это система защищенного взаимодействия клиент/сервер с мандатным принципом управления доступом, требующая использования только одного заявляемого межсетевого экрана корпорации. В этом случае вместо WAN (на фиг. 3 обозначена 7) используется связной ресурс LAN, например общая шина (на фиг. 7 связной ресурс LAN обозначен позицией 7). Алгоритм защищенного взаимодействия в данных приложениях остается прежний.
Так как используется мандатный принцип, появляется альтернативный способ управления доступом, что позволяет путем гибких настроек с помощью статического метода управления (выделения области памяти методом разграничения прав) и динамического (мандатного) реализовать более эффективную по управлению виртуальную файловую систему. Например, выделение статически общей области памяти для чтения и внутри нее, распределение по мандатам при наличии у каждого клиента своей статически прописанной области памяти.
Так как используется мандатный принцип, повышается защищенность объектов из-за того, что в явном виде прописываются права конфиденциальности (мандат) каждому субъекту, участвующему в доступе к ресурсам.
Мандатный доступ может быть реализован как собственно к файлу, так и к сетевой службе - команде Internet или к одному из открытых протоколов, реализуемых в блоках стандартного сетевого программного обеспечения клиента и сервера корпорации (например, мандатный доступ к SQL-Net протоколу, протоколам FTP, TELNET и др.), либо иным сетевым или информационным ресурсам, например программным портам. Настройки принципов мандатного управления осуществляются в соответствующей базе данных безопасности.
Так как используется закрытый протокол на этапе установления соединения, система более защищена, чем системы, использующие стандартные протоколы на этом этапе. Кроме того, предлагаемая система обладает достоинствами открытых систем, так как закрытый протокол используется только на этапе установления соединения, далее используются открытые протоколы и алгоритмы защиты (шифрования и электронной подписи).
Так как все пакеты проходят экран корпорации (система не отключается в фазе передачи данных), появляется возможность управлять потоком на уровне виртуального канала (отключать при перегрузках или при получении оперативной информации о свершении атаки на информационные ресурсы от других средств защиты) на любом этапе этого взаимодействия посредством входа системы защиты через блок оперативного управления.
Так как используется система логических имен для серверов, а также динамическая трансляция адресов при проходе сквозь межсетевые экраны - достигается сокрытие сетевых адресов (например, IP-адресов) как клиентских частей системы защиты, так и серверов корпоративной сети.
Так как все выходы в глобальную сеть из корпоративной сети при использовании данной системы защиты логически закрыты межсетевыми экранами (клиент не может обратится к серверу напрямую, так как IP-адрес сервера неизвестен), рабочие станции и сервера корпорации находятся в подсетях корпоративной сети где бы территориально они не находились.
Организовано управление на уровне виртуального канала. Если клиент обладает разрешением на администрирование межсетевого экрана, то, пройдя стандартную процедуру проверки, может удаленно администрировать межсетевой экран корпорации. Например, при сигнале об атаке с клиенсткого места или сервера (например, нарушение целостности на данных компьютерах) или перегрузках сети администратор безопасности может отключить соответствующих клиентов (подозрительных в первом случае и наименее приоритетных в другом) с межсетевого экрана данной корпорации.
При аутентификации расширяются параметры аутентификации - аутентификация проводится по идентификатору, паролю, службе, сетевому адресу, разрешению доступа к требуемому серверу, к требуемой сетевой службе и т.д.
К достоинствам предлагаемой системы комплексной защиты можно отнести следующее:
1. Мандатный принцип управления доступом для повышения эффективности управления доступом к ресурсам (как к информационным - серверы, каталоги, файлы и т.д. и к действиям с ресурсами - запись, чтение, чтение/модификация, так и к сетевым - протоколы, команды, сетевые службы, порты и т.д.).
2. Сокращение объема оборудования.
3. Закрытый протокол для логического выделения сети корпорации через средства передачи связи общего пользования.
4. Сокрытие сетевых адресов как клиента, так и сервера.
5. Деление корпоративной сети с закрытым протоколом на подсети.
6. Расширение функций аутентификации (по клиенту, по функциям, не по стандартному протоколу).
7. Управление на уровне виртуального канала (при перегрузках, при сигналах об атаке) через вход системы.

Claims (1)

  1. Система защиты виртуального канала корпоративной сети с мандатным принципом управления доступом к ресурсам, построенной на каналах и средствах коммутации сети связи общего пользования, содержащая М межсетевых экранов корпорации, каждый из которых состоит из блока приемопередатчика, блока фильтрации пакетов, блока шифрования/расшифрования и электронной подписи и блока аутентификации клиента по идентификатору, паролю и службе, причем первый вход/выход межсетевого экрана корпорации является первым входом/выходом блока приемопередатчика, второй вход/выход блока приемопередатчика соединен с первым входом/выходом блока фильтрации пакетов, второй вход/выход которого соединен с первым входом/выходом блока шифрования/расшифрования и электронной подписи, первый вход/выход входного межсетевого экрана корпорации является первым входом/выходом системы защиты, отличающаяся тем, что в каждый межсетевой экран корпорации введены блок формирования закрытого протокола, блок аутентификации клиента по IP-адресу, блок разрешения доступа по логическому имени сервера, блок выработки мандата на требуемые действия, блок проверки мандата клиента мандатом на требуемые действия и блок оперативного управления, причем второй вход/выход блока шифрования/расшифрования и электронной подписи соединен с первым входом/выходом блока формирования закрытого протокола, второй вход/выход которого соединен с первым входом/выходом блока аутентификации клиента по идентификатору, паролю и службе, второй вход/выход которого соединен с входом/выходом блока аутентификации клиента по IP-адресу, второй вход/выход которого соединен с входом/выходом блока разрешения доступа по логическому имени сервера, второй вход/выход которого соединен с входом/выходом блока выработки мандата на требуемые действия, второй вход/выход которого соединен с входом/выходом блока проверки мандата клиента мандатом на требуемые действия, вход которого соединен с выходом блока оперативного управления, вход которого является вторым входом/выходом межсетевого экрана корпорации, в систему введена клиентская часть системы защиты, состоящая из блока приемопередатчика, блока шифрования/расшифрования и электронной подписи, блока формирования закрытого протокола, блока стандартного сетевого функционального программного обеспечения (ФПО) клиента корпорации, причем первый вход/выход блока приемопередатчика является входом/выходом клиентской части системы защиты, второй вход/выход блока приемопередатчика соединен с первым входом/выходом блока шифрования/расшифрования и электронной подписи, второй вход/выход которого соединен с первым входом/выходом блока формирования закрытого протокола, второй вход/выход которого соединен с первым входом/выходом блока стандартного сетевого ФПО клиента корпорации, вход/выход клиентской части системы защиты соединен с каналами и средствами коммутации сети связи общего пользования, кроме того, в систему введена серверная часть системы защиты, состоящая из блока приемопередатчика, блока шифрования/расшифрования и электронной подписи, блока формирования закрытого протокола, блока стандартного сетевого ФПО сервера корпорации, причем первый вход/выход блока приемопередатчика является первым входом/выходом клиентской части системы защиты, второй вход/выход блока приемопередатчика соединен с первым входом/выходом блока шифрования/расшифрования и электронной подписи, второй вход/выход которого соединен с первым входом/выходом блока формирования закрытого протокола, второй вход/выход которого соединен с первым входом/выходом блока стандартного сетевого ФПО сервера корпорации, вход/выход серверной части системы защиты соединен с каналами и средствами коммутации сети связи общего пользования.
RU98123403A 1998-12-30 1998-12-30 Система защиты виртуального канала корпоративной сети с мандатным принципом управления доступом к ресурсам, построенной на каналах связи и средствах коммутации сети связи общего пользования RU2163727C2 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU98123403A RU2163727C2 (ru) 1998-12-30 1998-12-30 Система защиты виртуального канала корпоративной сети с мандатным принципом управления доступом к ресурсам, построенной на каналах связи и средствах коммутации сети связи общего пользования

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU98123403A RU2163727C2 (ru) 1998-12-30 1998-12-30 Система защиты виртуального канала корпоративной сети с мандатным принципом управления доступом к ресурсам, построенной на каналах связи и средствах коммутации сети связи общего пользования

Publications (2)

Publication Number Publication Date
RU98123403A RU98123403A (ru) 2000-10-20
RU2163727C2 true RU2163727C2 (ru) 2001-02-27

Family

ID=20213849

Family Applications (1)

Application Number Title Priority Date Filing Date
RU98123403A RU2163727C2 (ru) 1998-12-30 1998-12-30 Система защиты виртуального канала корпоративной сети с мандатным принципом управления доступом к ресурсам, построенной на каналах связи и средствах коммутации сети связи общего пользования

Country Status (1)

Country Link
RU (1) RU2163727C2 (ru)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007117181A2 (fr) * 2006-04-11 2007-10-18 Joint Stock Company Ivk Procédé permettant de protéger des ressources d'information dans un réseau informatique hétérogène
RU2517244C2 (ru) * 2010-05-28 2014-05-27 Файберхоум Теликемьюникейшн Текнолоджис Ко., Лтд Способ управления потоком сетевых служб ptn

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
COMPUTERWORD РОССИЯ, 27.08.96. *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007117181A2 (fr) * 2006-04-11 2007-10-18 Joint Stock Company Ivk Procédé permettant de protéger des ressources d'information dans un réseau informatique hétérogène
WO2007117181A3 (fr) * 2006-04-11 2008-03-20 Joint Stock Company Ivk Procédé permettant de protéger des ressources d'information dans un réseau informatique hétérogène
RU2517244C2 (ru) * 2010-05-28 2014-05-27 Файберхоум Теликемьюникейшн Текнолоджис Ко., Лтд Способ управления потоком сетевых служб ptn

Similar Documents

Publication Publication Date Title
US7051365B1 (en) Method and apparatus for a distributed firewall
US7536715B2 (en) Distributed firewall system and method
Ioannidis et al. Implementing a distributed firewall
Oppliger Internet security: firewalls and beyond
Bellovin Distributed firewalls
US20020162026A1 (en) Apparatus and method for providing secure network communication
US6961783B1 (en) DNS server access control system and method
US7069437B2 (en) Multi-level security network system
KR100225574B1 (ko) 상호 연결된 컴퓨터 네트워크를 위한 보안 시스템
US20030167410A1 (en) System for providing firewall to a communication device and method and device of same
KR100789123B1 (ko) 컴퓨터 네트워크 자원들의 비허가된 액세스 방지
KR100839941B1 (ko) IPSec 설정정보와 세션정보를 이용한 비정상IPSec 트래픽 제어 시스템 및 그 제어 방법
WO2008108821A2 (en) Virtual security interface
GB2317792A (en) Virtual Private Network for encrypted firewall
CN108712364B (zh) 一种sdn网络的安全防御系统及方法
CA2506418C (en) Systems and apparatuses using identification data in network communication
Rashid et al. Proposed methods of IP spoofing detection & prevention
RU2163744C2 (ru) Система защиты виртуального канала корпоративной сети с фиксальным контролем доступа к информации, построенной на каналах и средствах коммутации сети связи общего пользования
US8590031B2 (en) Methods, systems, and computer program products for access control services using a transparent firewall in conjunction with an authentication server
RU2163745C2 (ru) Система защиты виртуального канала корпоративной сети с аутентифицирующим маршрутизатором, построенной на каналах и средствах коммутации сети связи общего пользования
RU2163727C2 (ru) Система защиты виртуального канала корпоративной сети с мандатным принципом управления доступом к ресурсам, построенной на каналах связи и средствах коммутации сети связи общего пользования
Hubbard et al. Firewalling the net
WO2001091418A2 (en) Distributed firewall system and method
RU2143728C1 (ru) Система защиты виртуального канала корпоративной сети, построенной на каналах связи и средствах коммутации сети связи общего пользования
EP2090073B1 (en) Secure network architecture