ПАК «Shield
Multi Service-FW»
Основная проблема доступа к информационным ресурсам сети Интернет состоит в том, что точка подключения к ней становится частью этой сети и, как следствие, становится общедоступной, взаимодействует с ней по общепринятым сетевым протоколам и по этим же протоколам взаимодействует с защищаемой сетью. Никакими методами тестирования невозможно доказать отсутствие ошибок в программном обеспечении (постулат Дейкстры). Имея неограниченное время (точка подключения функционирует постоянно), злоумышленник может осуществить несанкционированный доступ через точку подключения, используя найденные бреши в программном обеспечении или его настройках. Перефразируя Архимеда, можно сказать «дайте мне точку подключения вашей сети к сети Интернет и я взломаю вашу сеть». Таким образом, основной проблемой при доступе к сети Интернет из корпоративной сети является угроза проникновения в корпоративную сеть организации в точке подключения к публичной. Это проникновение может привести не только к утечки информации, но и к нарушению нормального функционирования защищаемой корпоративной сети, и как следствие к потере управления, если это система управления, останову технологического процесса и т.д.
Технология Shield по аналогии с атомной бомбой, состоящей из двух полушарий, предполагает подключать корпоративную сеть к публичной сети посредством программно-аппаратного комплекса, состоящего из двух серверов (рис.1), между которыми отсутствует сетевое соединение и передаются только данные:
)
Рис.1. Бинарная точка подключения к сети Интерет
Передача данных между серверами осуществляется по высокоскоростному интерфейсу IEEE1394 (технология FireWire).
Внутренний сервер взаимодействует только с корпоративной сетью, используя протокол TCP/UDP.
Внешний сервер взаимодействует только с публичной сетью передачи данных, используя протокол TCP/UDP.
Применение технологии Shield лишает злоумышленника «точки опоры Архимеда» и делает невозможным проникновение из вне (сети Интернет) в защищаемую сеть.
Практической реализацией данного подхода является разработанный специалистами ООО «ЛИССИ-Софт» программно-аппаратный комплекс «Shield Multi Service - FW» (ПАК «SMS-FW»).
Программно-аппаратный комплекс «Shield Multi Service - FW» (сертификат ФСТЭК России №662) предназначен для безопасного доступа из корпоративных сетей к информационным ресурсам публичных сетей, включая сеть Интернет, а также для безопасного доступа к публичным информационным ресурсам корпорации (Web-порталам госуслуг и т.п.) со стороны внешних пользователей.
ПАК «Shield Multi Service - FW» в качестве средства защиты от несанкционированного доступа разделяет корпоративную и публичную сети и не приводит к появлению возможностей для доступа по любым сетевым протоколам из публичной сети (включая сеть Интернет) в корпоративную сеть, а также возможности доступа пользователей корпоративной сети в публичную сеть (включая сеть Интернет)
Применение ПАК «Shield Multi Service - FW» позволяет строить комплексы, использующие технологию «клиент-сервер» и обеспечивающие взаимодействие компонент автоматизированных систем, как по стандартным TCP/UDP-протоколам, так и по собственным протоколам.
Примерами поддерживаемых стандартных протоколов являются:
- HTTP (HTTPS) для доступак серверам Web-порталам, создания электронных торговых площадок и т.п.;
- FTP для доступа к FTP-серверам;
- SMTP, POP3 для обмена сообщениями электронной почты;
- SSH, Telnet для удаленного администрирования и т.п;
- использование собственных протоколов для решения различных задач, в частности для передачи данных через публичные сети, в том числе сеть Интернет, между 2-мя защищенными сетями.
Применение ПАК «Shield Multi Service - FW» не снижает уровня защищенности корпоративной сети.
ПАК «Shield Multi Service - FW» позволяет одновременно поддерживать несколько сервисов, например, обслуживать безопасный доступ к Web-ресурсам сети Интернет и поддерживать услуги электронной почты сети Интернет.
Функциональные характеристики
- Сохранение полной независимости корпоративной сети от публичной сети при их взаимодействии через ПАК «Shield Multi Service - FW»: внутренний сервер не содержит никакой информации (включая IP-адреса и другую информацию) о публичной сети (в том числе сети Интернет), а внешний сервер, в свою очередь, не обладает никакой информацией относительно корпоративной сети, включая используемые в ней адреса. Более того, они могут использовать одно и тоже адресное пространство.
- Отсутствие взаимодействия на сетевом уровне между внутренним и внешним серверами ПАК «Shield Multi Service - FW».
- Блокировка доступа пользователей из корпоративной сети в публичные сети (включая сеть Интернет) по протоколам транспортного и сетевого уровней.
- Блокировка доступа в корпоративную сеть пользователей публичных сетей (включая сеть Интернет) по протоколам транспортного и сетевого уровней.
- Обмен сообщениями (данными) по интерфейсу IEEE1394 на канальном уровне по протоколу типа «точка-точка» между внутренним и внешним серверами ПАК «Shield Multi Service - FW» (один из которых взаимодействует с компонентом автоматизированной системы в составе защищенной вычислительной сети, а другой – с компонентом автоматизированной системы публичной сети).
- Любая несанкционированная попытка доступа к драйверу IEEE1394 на любом из серверов блокирует работу ПАК «Shield Multi Service - FW» и таким образом исключает любое проникновение в корпоративную сеть.
- Обеспечение доступа пользователей защищенных вычислительных сетей к различным услугам публичных сетей при отсутствии сетевого взаимодействия между защищенной и публичной сетями.
- Контроль целостности информации, циркулирующей между серверами ПАК «Shield Multi Service - FW».
При необходимости ПАК «Shield Multi Service - FW» может поставляться в комплектации с «горячим» резервом.
Дополнительные материалы:
1. Дайте мне точку опоры или безопасный Интернет — это реальность
Сертификаты
- Сертификат ФСТЭК России № 662.
