Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Обеспечение надежной защиты являет собой самую острую проблему при строительстве виртуальных частных сетей (VPN). Цель этой статьи - познакомить читателя с различными вариантами построения VPN, описать проблемы, возникающие при их развертывании, и разъяснить значение технологии IPsec для данного вида корпоративных сетей.

Стремительное развитие Интернета, которое мы наблюдаем в течение последних пяти лет, открывает любому владельцу компьютера доступ к поистине неограниченным объемам информации. В связи с этим возможность индивидуального и коллективного доступа к корпоративной сети практически в любое время быстро превращается в неизменное требование делового мира. Все большее число компаний обращает свой взор на технологии, которые позволяют использовать рабочую силу, разбросанную по разным географическим точкам. Сотрудники, находящиеся в командировках, теперь имеют возможность входить в корпоративную сеть прямо из своих гостиничных номеров, а те, кто работает на дому, могут поддерживать связь с головными офисами своих компаний в реальном масштабе времени.

Стремясь к укреплению сотрудничества с партнерами и поставщиками, компании открывают для них отдельные области своих сетей, благодаря чему сокращается время, затрачиваемое на внедрение новой продукции, и повышается качество обслуживания клиентов.

Изменение областей применения информационных технологий должно сопровождаться изменением основополагающей сетевой инфраструктуры. На смену традиционному способу установления соединений между пользователями Интернета посредством модемов и/или выделенных линий приходят виртуальные частные сети - Virtual Private Networks (VPN), позволяющие пользователям спокойно общаться между собой через Интернет. В течение ближайших лет на базе этой открытой для всех глобальной сети можно будет уверенно поддерживать практически все виды связи, включая телефонию, обмен данными и передачу видеоизображения.

Преимущества технологии VPN настолько убедительны, что уже сегодня многие компании начинают строить свою стратегию с учетом использования Интернета в качестве главного средства передачи информации, даже той, которая является уязвимой или жизненно важной. И поэтому сегодня компания "Нортел Нетуоркс" предлагает решения, позволяющие ее клиентам не только развертывать разные виды виртуальных частных сетей, но и интегрировать их в завтрашние универсальные сети передачи речи и данных. Компания "Нортел Нетуоркс" видит в будущих сетях VPN высокоскоростные, надежные решения, обеспечивающие передачу через Интернет всех видов трафика, включая данные, речь и видеоизображение.

Виды виртуальных частных сетей

Существует множество разновидностей виртуальных частных сетей. Их спектр варьируется от провайдерских сетей, позволяющих управлять обслуживанием клиентов непосредственно на их площадях, до корпоративных сетей VPN, разворачиваемых и управляемых самими компаниями. Тем не менее, принято выделять три основных вида виртуальных частных сетей: VPN с удаленным доступом (Remote Access VPN), внутрикорпоративные VPN (Intranet VPN) и межкорпоративные VPN (Extranet VPN).

VPN с удаленным доступом

Виртуальные частные сети с удаленным доступом (рис.1) завоевали всеобщее признание благодаря тому, что они позволяют значительно сократить ежемесячные расходы на использование коммутируемых и выделенных линий. Принцип их работы прост: пользователи устанавливают соединения с местной точкой доступа к глобальной сети (POP), после чего их вызовы туннелируются через Интернет, что позволяет избежать платы за междугородную и международную связь или выставления счетов владельцам бесплатных междугородных номеров (Toll-free Numbers). Затем все вызовы концентрируются на соответствующих узлах и передаются в корпоративные сети. Такая существенная экономия является мощным стимулом, но использование открытого Интернета в качестве объединяющей магистрали для транспорта чувствительного корпоративного трафика принимает угрожающие размеры, что делает механизмы защиты информации жизненно важными элементами данной технологии.

Рис.1. Виртуальная частная сеть с удаленным доступом


Внутрикорпоративная сеть VPN

Корпорации, нуждающиеся в организации для своих филиалов и отделений доступа к централизованным хранилищам информации, обычно подключают удаленные узлы посредством выделенных линий или технологии Frame Relay. Но использование выделенных линий означает возрастание текущих расходов по мере увеличения занимаемой полосы пропускания и расстояния между объектами. В результате этого расходы на связь по выделенным линиям превращаются в одну из основных статей расходов на эксплуатацию ГВС. Чтобы сократить их, компания может соединить узлы при помощи виртуальной частной сети (рис.2). Для этого достаточно отказаться от использования дорогостоящих выделенных линий, заменив их более дешевой связью через Интернет. Это существенно сократит расходы на использование полосы пропускания, поскольку в Интернете расстояние никак не влияет на стоимость соединения.

Рис.2. Соединение узлов при помощи технологии Intranet VPN


Межкорпоративная сеть VPN

Extranet - это сетевая технология, которая обеспечивает прямой доступ из сети одной компании к сети другой компании (рис.3) и, таким образом, способствует повышению надежности связи, поддерживаемой в ходе делового сотрудничества. Сети Extranet VPN в целом похожи на внутрикорпоративные виртуальные частные сети с той лишь разницей, что проблема защиты информации является для них более острой. Когда несколько компаний принимают решение работать вместе и открывают друг для друга свои сети, они должны позаботиться о том, чтобы их новые партнеры имели доступ только к определенной информации. При этом конфиденциальная информация должна быть надежно защищена от несанкционированного использования. Именно поэтому в межкорпоративных сетях большое значение должно придаваться контролю доступа посредством брандмауэров (Firewalling). Важна и аутентификация пользователей, призванная гарантировать, что доступ к информации получают только те, кому он действительно разрешен. Вместе с тем, развернутая система защиты от несанкционированного доступа должна привлекать к себе как можно меньше внимания и быть неприхотливой.

Рис. 3. Межкорпоративная сеть Extranet VPN


Проблемы, возникающие в ходе строительства сети VPN

Неважно, решила компания использовать только один из рассмотренных нами видов VPN или все три, ей следует принять конкретные меры, позволяющие защитить важную информацию при ее передаче через Интернет.

Конфиденциальность

Наиболее простым и распространенным способом поддержания конфиденциальности информации является шифрование, делающее ее нечитаемой для незарегистрированных пользователей. Техника шифрования основана на сложных математических алгоритмах, позволяющих закодировать данные таким образом, чтобы вернуть их в первоначальную форму мог только пользователь (пользователи), наделенный соответствующими правами. Несмотря на то, что сами алгоритмы шифрования исключительно сложны, их реализация больших трудностей не вызывает. А вот управление ключами защиты составляет довольно серьезную проблему, особенно в свете увеличения числа пользователей.

Еще одна проблема, возникающая при использовании шифрования, -определенная потеря производительности. Если на канале Т1 поддерживается программно реализованное шифрование, пропускная способность этого канала будет ниже, чем пропускная способность аналогичного канала Т1, не поддерживающего шифрования. Аппаратно реализованное шифрование предполагает применение специализированных интегральных схем прикладной ориентации (ASIC), освобождающих защитное устройство от дополнительной нагрузки, связанной с исполнением алгоритмов шифрования, и обеспечивающих кодирование трафика без потери скорости передачи. Преимущество аппаратно реализованных средств шифрования перед программно реализованными средствами как раз и заключается в том, что они обеспечивают необходимые показатели производительности.

Целостность

Целостность свидетельствует о том, что полученные данные - это те же данные, которые были отправлены. Как и конфиденциальность, целостность достигается использованием математических алгоритмов, только на этот раз алгоритмов хеширования. На основе количества и порядка следования битов в пакете рассчитывается его хеш-функция, результатом которой является электронная подпись или хеш с фиксированной длиной. Сам пакет может иметь любую длину, но в хешированном виде он представляет собой цепочку с фиксированной длинной, составляющей, как правило, 128 битов. Принимающее устройство, которым может быть элемент виртуальной частной сети, маршрутизатор или сервер, подвергает пакет хешированию по аналогичной схеме, а затем сопоставляет полученный хеш с электронной подписью, вложенной в пакет. В случае, когда хотя бы один бит информации подвергся изменению, результаты хеширования не совпадут, и принимающее устройство будет знать, что целостность пакета была нарушена при передаче. Алгоритмы хеширования также требуют значительных обрабатывающих ресурсов процессора, что снова говорит в пользу применения в аппаратных средствах интегральных схем прикладной ориентации.

Аутентификация и воспрепятствование отказу от авторства

Аутентификация (Authentication) и воспрепятствование отказу от авторства (Non-Repudiation) - это две стороны одной медали. Общаясь с кем бы то ни было, важно заручиться бесспорным подтверждением того, что человек на другом конце сети действительно является тем, за кого он себя выдает. Это и называется аутентификацией. С другой стороны бывают случаи, когда человек отказывается признать, что это он прислал вам сообщение. В подобных ситуациях применяется такое средство, как воспрепятствование отказу от авторства. Оно заключается в получении пользователем неоспоримых доказательств того, что сообщение получено от того или иного лица.

Протокол IPsec

Протокол IPsec создает основы безопасности для Интернет-протокола (IP), незащищенность которого долгое время являлась притчей во языцех. Протокол IPsec обеспечивает защиту на сетевом уровне и требует поддержки стандарта IPsec только от общающихся между собой устройств по обе стороны соединения. Все остальные устройства, расположенные между ними, просто обеспечивают трафик IP-пакетов.

Способ взаимодействия лиц, использующих технологию IPsec, принято определять термином "защищенная ассоциация" - Security Association (SA). Защищенная ассоциация функционирует на основе соглашения, заключенного сторонами, которые пользуются средствами IPsec для защиты передаваемой друг другу информации. Эти соглашения регулируют несколько параметров, таких как:

• участники связи: IP-адреса отправителя и получателя;
• криптографический алгоритм;
• порядок обмена ключами;
• пазмеры ключей;
• срок службы ключей;
• алгоритм аутентификации.
  
  Защищенные ассоциации позволяют общающимся между собой пользователям сети правильно определять порядок применения имеющихся в их распоряжении средств IPsec. Одним из ключей к пониманию технологии IPsec является осознание того факта, что она охватывает несколько совершенно разных областей, в число которых входят аутентификация, шифрование и управление ключами защиты. Рассмотрим их подробнее.
  
  Аутентификационный заголовок и инкапсулирующий защитный протокол
  
  В протоколе IPsec существует два вида заголовков: аутентификационный заголовок (Authentication Header (AH)) и инкапсулирующий защитный протокол (Encapsulation Security Protocol (ESP)). Выбор заголовка зависит главным образом от того, что вы хотите защитить, и как вы намерены это сделать.
  
  Аутентификационный заголовок
  
  Аутентификационный заголовок предназначен для определения формата пакетов IPsec, которым требуется только аутентификация, обеспечение целостности данных и защита от воспроизведения. AH не шифрует содержащуюся в пакете информацию. На рис. 4 представлен показатель параметров безопасности (Security Parameters Index (SPI)), представляющий собой 32-битовое число, которое указывает на используемые протоколы защиты. В это поле включены алгоритмы и ключи. Порядковый номер свидетельствует о количестве отправленных пакетов и обеспечивает защиту от воспроизведения данных.
  
  Рис. 4. Аутентификационный заголовок
  
  
  Инкапсулирующий защитный протокол
  
  Инкапсулирующий защитный протокол или протокол ESP обеспечивает шифрование IP-информации на уровне пакетов при помощи симметричного шифра. Протокол ESP может использовать любое число алгоритмов шифрования, наиболее распространенным из которых является стандарт шифрования данных - Data Encryption Standard (DES). По мере изменения Интернета меняется и протокол ESP, благодаря чему он способен поддерживать появляющиеся в Интернете новые стандарты. Кроме того, протокол ESP обеспечивает аутентификацию данных с помощью различных алгоритмов опознавания.
  
  Вид пакетов ESP изображен на рис. 5. Видно, что:
  
• заголовок ESP расположен между заголовком IP и остальным содержимым пакета.
• поля показателя SPI и порядкового номера выполняют ту же функцию, что и в заголовке AH.
• поле TCP, данные и трейлер ESP зашифрованы.
• ESP обеспечивает аутентификацию данных в том же порядке, что и AH.
  
  Рис. 5. Пакет ESP
  
  
  Режим туннелирования и режим транспорта
  
  Режим туннелирования
  
  Режим туннелирования (Tunnel Mode) существует как для AH, так и для ESP. В режиме туннелирования весь IP-пакет помещается в поле данных пакета IPsec. Затем для пакета указывается новый IP-адрес отправителя и получателя, и добавляются защитные заголовки и аутентификационные трейлеры.
  
  Рис. 6 иллюстрирует основные особенности туннелирования пакетов ESP и AH:
  
  
• В новом заголовке адреса отправителя и получателя отличаются от тех, что указаны в исходном пакете. Это является преимуществом, так как позволяет скрыть истинные адреса от любого, кто может перехватить пакет. Существует вероятность того, что человек, незаконно перехвативший пакет, обратит внимание на необычную интенсивность обмена между двумя концами туннеля. Но он ни при каких условиях не сможет установить, какие именно станции по обе стороны туннеля общаются между собой.
• Заголовок ESP. Он не шифруется, чтобы принимающая станция могла понять, что полученный пакет является пакетом IPsec ESP.
• Исходный IP-заголовок, данные TCP, передаваемая информация и трейлер ESP шифруются. Эти элементы составляют содержимое поля данных внешнего пакета.
  
  Рис. 6. Пакет ESP и AH в режиме туннелирования
  
  
  Режим транспорта
  
  Режим транспорта предназначен для обеспечения связи между двумя хост-системами, он не предполагает инкапсуляции IP-пакета в другой пакет. В данном режиме используется оригинальный IP-заголовок (см. рис. 7). В случае перехвата пакета хакер сможет прочитать настоящий адрес отправителя и получателя.
  
  Рис. 7. Пакет ESP и AH в режиме транспорта
  
  
  Шифрование
  
  Шифрование - это кодирование данных в соответствии с определенным математическим алгоритмом. Проще всего представить себе алгоритм шифрования как кодовую комбинацию, выполняющую функцию ключа. Чем больше в такой комбинации цифр, тем с большим числом препятствий придется иметь дело потенциальному взломщику. Следовательно, чем длиннее ключ, тем более надежную защиту обеспечивает данный алгоритм. Существует несколько видов алгоритмов шифрования - это симметричные (личные ключи), асимметричные (открытые ключи) и хеш-алгоритмы.
  
  Симметричные алгоритмы
  
  Симметричные алгоритмы предполагают шифрование и расшифровывание данных при помощи одного и того же ключа. Пользователь шифрует данные, используя определенный ключ, и посылает их по Интернету, после чего другой пользователь, являющийся получателем, расшифровывает их при помощи того же ключа. Симметричные ключи предназначены для шифрования больших объемов данных. Кроме того, ключи, основанные на симметричных алгоритмах, как правило, имеют меньшую длину. Примерами симметричных алгоритмов могут служить DES и 3 DES.
  
  Асимметричные алгоритмы
  
  Асимметричные алгоритмы часто определяют как шифрование открытым ключом, которое предполагает использование двух разных ключей. Необычным в этих математических алгоритмах является то, что отправитель шифрует данные одним ключом, а получатель может расшифровать их другим ключом. При асимметричном шифровании разные пользователи могут располагать разными ключами, создавая, таким образом, широкие предпосылки для обеспечения безопасности транзакции. При этом обычно один ключ держится в секрете, а другой является открытым.
  
  Так, например, в распоряжение пользователя может быть предоставлена пара ключей, один из которых предназначен для шифрования данных, а другой - для их расшифровывания. Если такой пользователь объявляет открытым ключом ключ, предназначенный для шифрования, те, кому он его откроет, будут знать, что их сообщения может читать только владелец секретного ключа. И наоборот, если он сделает открытым ключом и разошлет другим пользователям ключ, предназначенный для расшифровывания, каждый раз, получая сообщение, они будут знать, что прислал его владелец секретного ключа. В результате владелец секретного ключа уже не сможет отказаться от авторства присылаемых сообщений.
  
  Асимметричные алгоритмы основаны на использовании более длинных ключей и требуют больших обрабатывающих ресурсов процессора. Зачастую они используются для шифрования симметричных ключей или других уязвимых данных, но при этом они никогда не применяются для шифрования больших объемов информации. Наиболее распространенным асимметричным алгоритмом является алгоритм RSA.
  
  Хеш-алгоритмы
  
  Третью группу алгоритмов шифрования составляют хеш-алгоритмы, позволяющие преобразовывать пакеты данных разной длины в хешированные пакеты с равным фиксированным числом битов. Такие хеши выполняют функцию контроля циклическим избыточным кодом (Cyclical Redundancy Check (CRC)), используемого для проверки целостности данных. При создании пакета IPsec, рассчитывается хеш-функция его содержимого, а результат этого расчета вкладывается в пакет. При получении пакета, производится аналогичный расчет с использованием того же алгоритма, и его результат сравнивается с результатом, который был получен вместе с пакетом. Если пакет был перехвачен и вскрыт, и хотя бы один бит информации был подвергнут изменению, результаты расчета хеш-функции не совпадут, а станция-получатель будет знать, что во время передачи целостность информации была нарушена. Хеш-алгоритмы обычно называют алгоритмами целостности. Наиболее распространенными из них являются такие алгоритмы, как MD5 и SHA1.
  
  Обмен ключами
  
  Технология IPsec предполагает чрезвычайно осторожное обращение с ключами. В IPsec применяется два способа передачи ключей: вручную и посредством обмена по Интернету (Internet Key Exchange (IKE)). В первом случае ключи вручную загружаются в соответствующие устройства IPsec непосредственно на объектах. Поскольку шифрованию эти ключи не поддаются, они либо передаются системному администратору лично, либо посылаются по почте.
  
  Однако управление всеми защищенными ассоциациями в составе огромной сети очень скоро может превратиться в непосильную для администратора задачу. Ввод ключей вручную оправдан в небольшой сети, но как только ее масштабы возрастают, возникает потребность в механизме создания защищенных ассоциаций по требованию (SA on Demand). Зная о неизбежности такой ситуации, разработчики технологии IPsec создали протоколы IKE, которые раньше были известны как спецификации ISAKMP/Oakley.
  
  Технология IPsec предполагает наличие защищенных ассоциаций, но для обсуждения и координации структуры этих ассоциаций предусматривает применение протоколов IKE. В широкомасштабной, динамичной межкорпоративной сети могут возникать ситуации, при которых никогда ранее не общавшимся между собой сторонам срочно необходимо связаться, и они не могут ждать, пока администратор настроит все параметры. IKE - это протокол на базе UDP, предусматривающий использование порта 500 для обсуждения параметров создаваемых защищенных ассоциаций и обмена аутентифицируемыми ключами, которыми будут пользоваться участники этих ассоциаций. Протокол IKE позволяет проложить между двумя участниками обмена (IKE SA) аутентифицируемый, защищенный туннель, по которому будут согласовываться параметры создаваемой защищенной ассоциации для IPsec.
  
  Протокол IKE может функционировать в трех режимах:
  
• Основной режим (Main Mode) применяется, когда две стороны впервые установили связь, чтобы обсудить параметры защищенной ассоциации, которая обеспечить конфиденциальность из последующего обмена.
• "Напористый" режим (Aggressive Mode) представляет собой сокращенную версию основного режима. Он имеет то же назначение, что и основной режим, и может быть использован вместо последнего.
• Скоростной режим (Quick Mode) применяется, когда защищенная ассоциация уже создана в результате использования основного или напористого режима, но имеется необходимость в обсуждении функций защиты или обмене новыми ключами. Поскольку защищенный канал был создан еще до применения скоростного режима, скоростной режим обеспечивает надежную защиту без дополнительных издержек, присущих основному или напористому режиму.
  
  Протокол IKE предусматривает несколько способов аутентификации. Когда совместно используются одни и те же ключи, все хост-системы (или защитные шлюзы) владеют одними и теми же секретами. IKE аутентифицирует разных участников обмена по хешу ключа. Затем другая сторона расшифровывает этот хеш и сравнивает ключи.
  
  В шифровании открытым ключом каждая сторона генерирует случайное число и шифрует его открытым ключом другой стороны. Аутентификация происходит, когда другая сторона может рассчитать хеш-функцию этого случайного числа и послать результат первой стороне. Существует также технологии цифровой подписи, с помощью которой каждое устройство "подписывает" посылаемые другой стороне наборы данных. Этот метод подобен шифрованию открытым ключом, но в дополнение обеспечивает воспрепятствования отказу от авторства. И цифровая подпись, и шифрование открытым ключом предусматривают использования цифровых сертификатов, подтверждающих результаты сравнения открытых и секретных ключей. Протокол IKE позволяет получать доступ к сертификату в одностороннем порядке или в форме обмена при выполнении сторонами процедуры IKE.
  
  Брандмауэры
  
  Брандмауэр (Firewall) - это один из важнейших компонентов любой частной виртуальной сети. Несмотря на то, что система IPsec поддерживает множество интегрированных возможностей аутентификации, брандмауэр остается главным средством защиты корпоративной сети от несанкционированного доступа.
  
  Место расположения брандмауэра в любой виртуальной частной сети должно выбираться очень тщательно. Существуют разные мнения относительно того, где должен быть установлен брандмауэр - перед защитным шлюзом или за ним. Если лица, имеющие доступ к сети, пользуются полным доверием, как это обычно бывает во внутрикорпоративных сетях с несколькими узлами, брандмауэр может быть установлен с внутренней стороны защитного шлюза. В этом случае пакеты с данными расшифровываются, а затем проходят через брандмауэр, прежде чем попасть в конечную точку назначения.
  
  В случае с межкорпоративной виртуальной сетью, когда существует вполне обоснованное опасение попыток несанкционированного доступа, брандмауэр лучше установить с внешней стороны защитного шлюза. При этом он должен обеспечивать доступ к расположенному за ним защитному шлюзу тем пользователям, которые имеют на это право. Этот принцип частенько сравнивают с "проделыванием лаза в ограждении". Всегда сохраняется риск того, что найдется "специалист", который сможет обнаружить этот лаз. Но, тем не менее, преимущества данного подхода превышают потенциальный риск, и, к тому же, некоторые разновидности нарушений, такие как попытка преодолеть отказ в обслуживании, успешно пресекаются еще до того, как защитный шлюз "прогнется" под тяжестью многих тысяч поддельных пакетов 3DES, подлежащих расшифровке.
  
  Выявление фактов несанкционированного доступа
  
  Все более важную роль в решениях VPN играет программное обеспечение, позволяющее выявлять факты взлома сети. Опрашивая различные хост-системы и базы данных, это программное обеспечение ищет признаки того, что в сети находятся или находились лица, не имеющие на это права. В то время как VPN-туннелирование и брандмауэры защищают сеть от большинства известных рисков, программное обеспечение, предназначенное для выявления фактов вторжения, обеспечивает защиту от рисков неожиданных.
  
  РЕПИН Максим Михайлович - менеджер по проектированию сетевых решений Nortel Networks

Пока сисадмины спали.

По данным группы Attrition.org, занимающейся исследованиями в области компьютерной безопасности, на прошлой неделе хакеры взломали в общей сложности 26 правительственных сайтов в США, Великобритании и Австралии. Представитель Attrition.org Б. К. ДеЛонг (B.K. DeLong) заявил, что по сравнению с прошлыми, также многочисленными атаками хакеров, в 
настоящее время взлом правительственных сайтов приобрел еще больший размах. Он также сказал о том, что взлом сайта в некоторых случаях происходит в момент, когда системный администратор спит. Автором этих атак является группа хакеров, называющая себя Pentaguard. Хакеры оставляли на взломанных ими сайтах сообщение об их недовольстве отсутствием там музыкальных файлов и порнографии. Группа взломала еще, по крайней мере, 48 других сайтов, среди них сайты различных служб и ведомств США, а также Китая, Румынии, Кувейта, Грузии и Вьетнама.
(источник - http://www.cnews.ru, опубликовано 23.01.2001)

Компания "Инфотекс" начинает продвижение на российском рынке информационной безопасности нового продукта "TermiNET".

Новый продукт, представляющий собой персональный фаирволл, был разработан в сотрудничестве с компанией "DANU Industrias" и успел обрести популярность среди индивидуальных пользователей ПК и компаний малого и среднего бизнеса во всем мире, о чем свидетельствуют высшие рейтинги таких файловых архивов, как TUCOWS, ROCKET DOWNLOAD.COM, ZDNet и многих других.

Программа ViPNet [TermiNET] - это персональный сетевой экран, предназначенный для защиты компьютера от атак из Интернет. ViPNet [TermiNET] может устанавливаться изначально в один из следующих режимов:

 1. "Закрытый режим" по умолчанию блокирует весь трафик к компьютеру и от него. Администратор может выборочно разрешить, например, доступ только по FTP или доступ по FTP, Telnet и Web. Для осуществления родительского контроля доступ может быть ограничен только к определенному множеству страниц. Эти страницы можно вывести на экран по специальным правилам или из "Белого списка" URL.

 2. "Открытый режим" не налагает никаких начальных условий блокировки трафика. Администратор может выборочно закрыть определенный доступ приложением, портом и протоколом - например: блокировать все Telnet и FTP, блокировать всe входящие соединения через порт 25, блокировать доступ к определенному набору web-страниц. Также эти страницы могут быть выведены на экран по специальным правилам или из "Черного списка" или желаемых сайтов. 

 3. "Бумеранг" Этот режим разрешает весь выходящий трафик, но блокирует все входящие соединения, кроме тех, которые инициированы Вашим компьютером. В этом режиме машина может использоваться для Web-browsing, FTP и т.д. как обычно, но защищена от атак из Internet.

Программа ViPNet [TermiNET] - идеальное решение проблемы защиты в Internet пользователей, занимающихся малым и средним бизнесом и домашних пользователей, которые не имеют достаточных средств для установки больших программ защиты.

Основные возможности программы ViPNet [TermiNET] включают в себя: 

 - Стандартные и дополнительные правила: включить\выключить те или иные правила.

 - Черный список/Белый список - эта особенность обеспечивает возможность запрещать доступ к нежелательным сайтам или разрешать его только к известным желаемым сайтам. 

 - Гибкое управление доступом позволяет с помощью IP адреса, URL, порта и / или протокола определять правила.

 - Правила могут работать только в указанные пользователем дни. 

 - Простота использования интерфейса "Windows Explorer" делает настройки ViPNet [TermiNET] доступными даже для пользователя, незнакомого с техникой.

Загрузить полнофункциональную демоверсию продукта можно по адресу: http://www.infotecs.ru/Demo/Terminet.zip

Полнофункциональные демо-версии продуктов ViPNet Desk, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.