Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Новости компании

• Обновлены демо-версии продуктов ViPNet, TermiNET на web-сайте компании Инфотекс.
  

Однако архитектура протоколов IPsec и нехватка NAT-устройств, способных работать с IPsec, до настоящего времени создавали проблемы при попытках заставить их согласованно работать друг с другом. Самым простым решением было бы поставить широкополосный маршрутизатор, который сочетал бы в себе функции NAT и VPN (Virtual Private Network). Тогда у вас не было бы проблем с IPsec и NAT. Но, поскольку такая роскошь не всегда доступна, вам следует знать о некоторых способах, с помощью которых поставщики решают проблему совместной работы IPsec и NAT.

Разновидности NAT
Существуют две основные разновидности NAT. При динамической трансляции сетевых адресов внешний IP-адрес временно ставится в соответствие внутреннему IP-адресу, т. е. выполняется трансляция только IP-адресов. Динамическая трансляция используется главным образом в коммутируемых соединениях или соединениях по требованию при частом подключении и отключении удаленных пользователей (рис. 1). В момент подключения удаленного пользователя ему присваивается некий IP-адрес; когда он отключается, этот IP-адрес освобождается и может быть затем повторно использован - временно присвоен следующему удаленному пользователю.

Рис 1. Динамическая трансляция сетевых адресов.
Удаленный пользователь связывается по коммутируемому каналу и получает IP-адрес. Затем провайдер Интернет использует трансляцию сетевых адресов (NAT), чтобы присвоить этому пользователю внешний IP-адрес. Для внешнего мира адресом этого удаленного пользователя является 192.168.1.100

Трансляция сетевых адресов на уровне портов (Nework Address Port Translation — NAPT) знакома многим. NAPT используется почти исключительно устройствами доступа, предназначенными для того, чтобы скрывать небольшие и среднего размера сети с помощью единственного открытого IP-адреса. NAPT транслирует IP-адрес и номер порта источника в IP-адрес и номер порта открытого интерфейса (рис. 2).

Рис 2. Трансляция сетевых адресов на уровне портов.
Внутренний IP-алрес транслируется NAPT во внешний IP-адрес. Уникальность номеров портов UDP/TCP позволяет установить однозначное соответствие между внутренним и внешним соединениями.

NAPT бывает особенно полезна при использовании доступа по каналам кабельной сети или линиям DSL, поскольку многие провайдеры берут дополнительную плату за число компьютеров, подключенных к Интернет (хотя число адресов, которое вы получаете, и цена сильно варьируются в зависимости от местоположения поставщика услуг Интернет).

Режимы IPsec
Теперь главное об IPsec. Этот протокол имеет два режима. В транспортном режиме протокол IPsec применяется к содержимому IP-пакетов, при этом их исходные заголовки остаются видимыми. Транспортный режим IPsec может быть использован только в VPN-соединениях типа хост—хост. Туннельный режим инкапсулирует исходные IP-пакеты в IPsec с новыми заголовками IP. Этот режим позволяет эффективно скрывать исходные IP-пакеты. В соединениях IPsec типа хост—шлюз, т. е. в обычном сценарии удаленного доступа, должен использоваться туннельный режим IPsec.

Нам необходимо рассмотреть два протокола IPsec: AH (Authentication Header) и ESP (Encapsulation Security Payload). С помощью протокола AH, редко используемого на практике, можно проверить, что требующиеся для подтверждения подлинности пакета поля, такие, как IP-адреса отправителя и получателя, не были изменены во время передачи. Если пакет не прошел проверку, он отбрасывается. Таким образом, AH обеспечивает целостность данных и аутентификацию их источника. Позднее мы увидим, что работа AH нарушается при использовании любой формы NAT. Протокол ESP шифрует данные IP-пакетов. В туннельном режиме он также обеспечивает целостность данных и аутентификацию источника.

Сети VPN, использующие IPsec, обмениваются информацией через логические соединения, называемые SA (Security Association — соглашение по безопасности). SA — это определенная совокупность применяемых на оконечных узлах протоколов, алгоритмов и договоренностей о времени существования ключа. Каждое соединение IPsec сети VPN имеет два SA-соглашения — по одному в каждом направлении. SA-соглашения определяются тремя параметрами. Один из них, SPI (Security Parameter Index), представляет собой уникальный номер, который присваивается получателем каждому SA. Другие два параметра—это адрес назначения и протокол. Уникальность номеров SPI гарантируется тем, что оконечный узел назначения может иметь вручную сформированный SPI, неизвестный отправителю.

И наконец, IKE (Internet Key Exchange) представляет собой отдельное соединение SA, которое применяется для согласования других параметров протокола IPsec. IKE использует порт 500 протокола UDP и поэтому может проходить процедуру трансляции сетевых адресов без какой-либо специальной обработки, как и любой другой протокол TCP/UDP. Соглашение IKE остается в силе в течение всего времени жизни SA-соглашения более низкого уровня.

Аналогично ESP и NAPT не будут работать вместе, потому что в транспортном режиме номера портов защищены протоколом ESP и любое изменение будет отмечено им как неверное.

При использовании протокола ESP в туннельном режиме заголовки TCP/UDP невидимы и не могут применяться для трансляции внешних адресов во внутренние и наоборот. Здесь мы ограничимся рассмотрением случая, когда в сети имеется всего одно устройство NAT. Если число их больше, то все они должны работать с IPsec, чтобы передавать трафик соответствующим образом. Статическая трансляция NAT и ESP будет проходить нормально, поскольку транслируются только IP-адреса независимо от протоколов более высоких уровней.

Устройство 3060 компании Cisco Systems и его клиент VPN поддерживают работу с удаленными пользователями через NAT, инкапсулируя IP-пакеты в пакеты UDP до передачи их в сеть. Поскольку внешний UDP-пакет и связанный с ним IP-заголовок никак не защищены, они свободно проходят через все виды устройств NAT. Устройство-получатель Cisco 3060 должно декапсулировать приходящий пакет и обработать его. Этот механизм действует только при использовании устройств семейства Cisco 3000.

В настоящее время организация IETF рассматривает и другие предложения по стандартизации инкапсуляции IPsec в UDP. Из них заслуживают упоминания IPsec NAT-Traversal (группа Network Working Group) и RSIP (Realm-Specific IP) для сквозных соединений IPsec (группа Network Address Translators Group). В ближайшее время должен выйти продукт NAT Traversal Toolkit фирмы SSH Communications Security.

Этот метод применяется такими поставщиками, как D-Link Systems, Linksys и Macsense Connectivity. Маршрутизатор SME NAPT вы можете купить за 100—200 долл.

Все пакеты IPsec, пришедшие на устройство NAPT, по умолчанию пересылаются на указанный хост. Это возможно благодаря тому, что данный клиент начинает согласование путем передачи данных другому оконечному узлу на порт 500. Этим он сигнализирует устройству NAPT, чтобы оно пересылало все приходящие данные IPsec обратно именно ему. Оба протокола: и ESP и AH — являются протоколами IP, которым присвоены номера 50 и 51 соответственно.

Хотя это не самая универсальная реализация, она работает в случае подключения одиночных рабочих станций. Но что произойдет, если использовать IPsec захотят несколько рабочих станций?

В этом случае вам следует воспользоваться продуктами, подобными Nexland ISB2LAN или маршрутизатору Asante Technologies FriendlyNet 10/100 для кабельных и DSL-линий, которые поддерживают работу нескольких клиентов IPsec, обслуживаемых устройством NAPT. Эти более универсальные системы стоят от 150 до 250 долл. в зависимости от предлагаемых ими возможностей.

При трансляции адреса для передачи пакетов между частной сетью и сетью общего пользования NAPT принимает решение основываясь на уникальность номера порта источника. Поэтому согласование IKE происходит без какой-либо специальной обработки, поскольку IKE работает по протоколу UDP, используя порт 500.

Чтобы передать трафик IPsec между хостами, тоже необходимы какие-то уникальные номера, в качестве которых могут быть использованы номера SPI. Напомним, что каждое SA-соединение IPsec идентифицируется номером SPI, IP-адресом назначения и номером протокола. Когда в ходе установления VPN-соединения происходит согласование IKE, осуществляется обмен номерами SPI. Устройство NAPT “привязывает” эту пару номеров SPI к соответствующей оконечному узлу VPN, находящемуся позади устройства NAT (рис. 3).

Рис 3. Трансляция IPsec

В ходе IKE-согласования клиент IPsec выбирает идентификатор SPI и уведомляет об этом шлюз IPsec
NAPT-устройство, способное работать с IPsec, устанавливает соответствие между внутренними IP-адресами клиентов IPsec и внешними IP-адресами NAPT. Любой IP-пакет, соответствующий IP-адресу шлюза IPsec и SPI-идентификатору клиента IPsec транслируется и проходит вовнутрь
Шлюз IPsec "думает", что установил соединение по адресу 192.168.1.100, в то время как на самом деле он общается с хостом 1.1.1.1. Шлюз отправляет пакеты с SPI-идентификатором клиента IPsec по известному адресу NAPT-устройства
Отправка пакетов с клиента на шлюз не требует никакой специальной обработки. NAPT-устройство должно знать, куда отправлять входящие пакеты, и поскольку оно не может видеть или модифицировать номер порта UDP/TCP, то будет использовать SPI-идентификаторы клиента для адресации входящих пакетов

Единственным идентификатором SPI, который должен быть привязан к внутреннему IP-адресу, является идентификатор SPI входящего соединения, выбранный клиентом IPsec, так как устройство NAPT должно знать, куда посылать входящий трафик. Исходящий же трафик передается без проблем, потому что IP-адрес клиента IPsec изменяется устройством NAPT.

Здесь есть, однако, некоторые нюансы. Во-первых, такой сценарий будет работать, только если соединение IPsec сети VPN инициируется клиентом IPsec, расположенным за устройством NAPT. Если соединение попытается инициировать шлюз IPsec, то согласование будет блокировано устройством NAPT, поскольку оно не будет знать, куда посылать пакеты UDP (оно не будет располагать схемой отображения адресов). По той же самой причине вы не сможете поместить Web-сервер позади устройства NAPT без использования переадресации портов, когда все входящие пакеты с каким-то конкретным портом назначения по умолчанию отправляются на некий внутренний IP-адрес. Переадресация на уровне портов должна быть сконфигурирована заранее.

Во-вторых, чтобы все это работало, необходимо настроить ваш шлюз IPsec, чтобы он провел IKE-согласование, как минимум, со шлюзом NAPT или с любым IP-адресом. Для определения, какому SA-соединению принадлежит каждый пакет IPsec, ESP использует SPI, IP-адрес назначения и номер протокола. Поскольку шлюз IPsec идентифицирует клиента IPsec только по адресу NAPT, именно этот адрес и будет использоваться.

И наконец, аутентификация на основе IKE до сих пор осуществляется главным образом с помощью заранее распределенных секретных ключей или паролей, связанных с IP-адресами. Поэтому для проведения согласования вы должны указать шлюзу IPsec IP-адрес NAPT. Поскольку удаленные пользователи часто подключаются, имея динамический IP-адрес, выделяемый им их провайдером, то почти все шлюзы IPsec способны связывать ключ с диапазоном IP-адресов.

Если известно, например, что устройство NAPT при трансляции IPsec использует IP-адреса из подсети 192.168.1.0, то можно настроить шлюз IPsec таким образом, чтобы целой подсети соответствовал один ключ. Затем необходимо настроить каждый клиент IPsec, находящийся позади устройства NAPT, для использования того же самого ключа. В результате это практически ничем не будет отличаться от обычного удаленного доступа через IPsec.

Майк Фратт, (опубликовано в журнале "Сети и системы связи" 3/2001).

Генеральный прокурор США Джон Ашкрофт объявил о создании 10 новых спецподразделений в своем ведомстве. Цель их создания - борьба с преступлениям в области кибер-технологий.

Подразделения по борьбе с хакерами и похитителями интеллектуальной собственности будут базироваться в различных городах США, от Лос-Анджелеса до Нью-Йорка, и будут в своей деятельности опираться на оперативников Федерального бюро расследований.

Положение, при котором хакеры практически блокировали деятельность интернет-сайта Белого Дома, более недопустимо, подчеркнул Дж. Ашкрофт.

В тоже время он отметил, что новые подразделения будут тщательно разбираться в том, является ли тот или иной нарушитель просто интернет-хулиганом или же намеревается с помощью электронных технологий совершить серьезное преступление - хищение денег или интеллектуальной собственности.
(источник - http://news.battery.ru/, опубликовано 23.07.2001)

"Лаборатория Касперского" сообщает об обнаружении нового поколения червей, способного функционировать по Интернет без использования файлов. Этот тип вредоносных программ осуществляет все операции (включая распространение и проведение DDoS атак) исключительно в системной памяти компьютера, что значительно затрудняет процесс их обнаружения и нейтрализации.

Первый представитель данного семейства сетевых червей, "Bady" (также известный под именем "Code Red"), по данным ZDNet, уже заразил около 12 000 серверов по всему миру и провел крупномасштабную DDoS атаку на Web сервер Белого дома (www.whitehouse.gov), вызвав нарушение его нормальной работы.

"Bady" заражает только компьютеры под управлением Windows 2000 (без установленных сервисных пакетов), с установленным Microsoft Internet Information Server (IIS) и включенной службой индексирования (Indexing Service). Вместе с тем, именно это программное обеспечение чаще всего используется на коммерческих Web, FTP и почтовых серверах, что и определило широкое распространение червя. Масштабы эпидемии могли бы быть еще более внушительными, если бы червь поражал и другие версии Windows, например Windows NT и Windows XP. Однако автор червя умышленно "нацелил" его только на системы Windows 2000.

Для проникновения на удаленные компьютеры червь использует обнаруженную в июне 2001 г. брешь в системе безопасности IIS, которая позволяет злоумышленникам запускать на удаленных серверах посторонний программный код. Для этого "Bady" посылает на случайно выбранный удаленный сервер специальный запрос дающий компьютеру команду запустить основную программу червя, которая в свою очередь попытается таким же образом проникнуть на другие серверы. Одновременно в памяти компьютера может существовать сразу сотни активных процессов червя, что существенно замедляет работу сервера.

18 июня 2001 г. Microsoft выпустила "заплатку", устраняющую данную брешь, однако подавляющее большинство пользователей еще не успело обновить свое программное обеспечение. "Bady" еще раз подтверждает огромную важность своевременного обновления используемого ПО.

Важной особенностью "Bady" является то, что в процессе работы он не использует никаких временных или постоянных файлов. "Данный червь действительно уникален: он существует либо в системной памяти зараженных компьютеров, либо в виде TCP/IP-пакета при пересылке на удаленные машины, - сказал Евгений Касперский, руководитель антивирусных исследований компании, - Подобная "бестелесность" представляет серьезную проблему для защиты серверов, поскольку требует установки специальных антивирусных модулей на межсетевые экраны".

Помимо значительного замедления работы зараженных компьютеров, "Bady" имеет другие побочные действия. Во-первых, червь перехватывает обращения посетителей к Web сайту, который управляется зараженным IIS-сервером.

После показа фальсифицированной стартовой страницы взломанного Web сайта в течение 10 часов, червь автоматически возвращает все на свои места и посетители видят оригинальную версию сайта. Важно отметить, что данный эффект проявляется только на системах, где по умолчанию используется язык "US English".

Во-вторых: между 20 и 28 числами каждого месяца включительно червь осуществляет DDoS (Distributed Denial of Service) атаку на сайт Белого дома США (www.whitehouse.gov).
> Для нейтрализации, а также в качестве профилактической меры для предотвращения проникновения червя на сервер, мы рекомендуем пользователям немедленно установить "заплатку" для исправления "бреши" в системе безопасности IIS.
(источник - http://www.oxpaha.ru/, опубликовано 23.07.2001)

На проходящей с 18 по 20 июля в Сиднее конференции Internet World Australia американская компания Codex Data Systems представила свое новое детище - программу PC Phonehome. С помощью этой программы украденные ПК или ноутбуки смогут сообщать о своем местонахождении, как только будут подключены к интернету.

По утверждению разработчиков, программа остается неуязвимой после всех уловок переформатирования.

После того, как злоумышленник перезагрузит украденный компьютер, "PC Phonehome" активируется и звонит в расположенный в Австралии центр Web Internet Network Security (WINS), после чего полиция начинает прослеживание звонка (или сразу определяет адрес по номеру телефона) и определяет местонахождение компьютера.
(источник - http://news.battery.ru/, опубликовано 23.07.2001)

Новый интернет-червь "Китай" заразил 22 тысячи серверов, на которых стояла программа Microsoft Internet Information Server (IIS). Впервые он был обнаружен в пятницу, 13 июля. Специалисты по компьютерной безопасности предлагают простейший способ борьбы с ним - просто перезагрузить сервер.

Как сообщает NewsBytes, официальное название вируса - Code Red Worm. После заражения IIS червь вывешивает на сайты, которые расположены на сервере, сообщение, написанное красными буквами: ""Welcome to http://www.worm.com! Hacked By Chinese!" ("Добро пожаловать на http://www.worm.com! Похакано китайцами!"). Затем червь размножается и рассылает свои копии на другие машины с IIS.

Code Red Worm или "Китай" был создан автором для заражения серверов, работающих под англоязычной версией операционных систем Windows NT и Windows 2000. Об этом сообщили после исследования червя аналитики из компании eEye Digital Security. По мнению специалистов, если бы не эта особенность, жертв и разрушений было бы гораздо больше. Червь перестает размножаться в тот момент, когда натыкается на компьютер, где стоит национальная версия оперционных систем. Кроме того, в этом случае он не уродует сайты, расположенные на компьютере.

Code Red Worm использует известную с прошлого месяца "дыру" в IIS: переполнение буфера .ida. Компания Microsoft уже выпустила соответствующий патч. Серверы, уже пораженные вирусом, могут некоторое время работать нормально, а их системные администраторы - не замечать непорядка, так как сначала червь размножается, а потом уже вывешивает свое сообщение на сайт.

Кроме того, эксперты выяснили, что этот вирус находится в оперативной памяти, поэтому работает только до тех пор, пока компьютер не перегрузили. Червь не оставляет зараженных файлов на вичестере и не определяется антивирусными программами. Вместо того, чтобы создавать новый файл index.html для замены главной страницы сайта, червь перехватывает запросы от пользователей и генерирует текст дефейса из памяти компьютера.

Эксперты также обнаружили, что на некоторых серверах червь убивает себя сам, так как требует слишком много ресурсов, что приводит к падению сервера и необходимости его перезагрузить.

Первоначально специалисты решили, что Code Red Worm служит ширмой для других программ, открывающих в системе лазейки для хакеров или запрашивающих удаленный компьютер о передаче каких-либо данных. Однако при тщательном анализе в eEye Digital Security было обнаружено, что червь существует сам по себе.

По иронии судьбы или создателей червя, одним из пострадавших сайтов стал Worm.com. Его владельцы отрицают свою причастность к Code Red Worm.
(источник - http://news.battery.ru/, опубликовано 20.07.2001)

Производитель антивирусных программ корпорация Sophos обпубликовала рейтинг 10 самых распространенных вирусов последних 6 месяцев.

Данные рейтинга, составленного на основе статистики обращения пользователей зараженных компьютеров, повергли экспертов по сетевой безопасности в состояние настоящего шока. Даже беглого взгляда на этот список достаточно для того, чтобы понять, что в течение нескольких месяцев в рейтинге практически ничего не менялось. По числу заражений по-прежнему уверенно лидирует опаснейший вирус Magistr, который был внесен во все известные антивирусные пакеты несколько месяцев назад. Его «популярность» до сих пор может быть объяснена только вопиющим пренебрежением пользователей элементарными правилами сетевой безопасности. То же касается еще более старых вирусов, таких как Anna Kournikova или Kakworm, также уверенно присутствующих в рейтинге. Программа-патч, предохраняющая ПК от заражения Kakworm была выпущена Microsoft еще в 1999г.

Весь рейтинг выглядит следующим образом:

1. W32/Magistr-A 12.7% (Magistr)
2. VBS/VBSWG-X 11.9% (Homepage)
3. W32/Apology-B 10.1% (Apology)
4. W32/Hybris B 9.3% (Hybris variant)
5. VBS/SST-A 7.0% (Anna Kournikova)
6. VBS/Kakworm 6.7% (Kakworm)
7. W32/Navidad-B 6.1% (Navidad variant)
8. W32/Badtrans 3.8% (Badtrans)
9. W32/Flcss 2.2% (Funlove)
10. VBS/Lovelet-AS 1.8% (Lovebug)

(источник - http://news.battery.ru/, опубликовано 20.07.2001)

Два вируса, замаскированных под бюллетени безопасности от Microsoft предлагают установить пользователям "исправления", которые на самом деле являются "троянскими конями".

Первый вирус, обнаруженный еще 10 июля и получивший название W32.Pet_Tick.G, приходит в виде почтового сообщения с заголовком "This is a fix against I-Worm.Magistr" (это исправление для вируса I-Worm.Magistr). К сообщению прикреплен файл MSVA.EXE.

Второй вирус, W32.Leave.B.Worm, предупреждает о другой компьютерной заразе и рекомендует запустить прикрепленный файл, так же присутствующий в этом случае.

В обоих случаях эти файлы - программы, написанные хакерами, и действующие вовсе не так, как хотелось бы.

Эксперты по безопасности заявляют, что из-за подобных возможностей самораспространения по электронной почте и заражения пользовательских ПК, вирусы очень легко идентифицируются и удаляются с помощью антивирусного ПО.

Тем не менее, согласно информации, предоставленной Trend Micro, первый вирус распространяется довольно быстро - вчера цифра зараженных компьютеров составила 1, 500 систем за 24 часа.

"В случае большого вируса - при любой возможности обмануть человека и заставить его запустить хакерский код - вирусописатели используют все такие возможности", говорит директор отдела разработки антивирусного ПО Trend Micro. "Мы видим в последнее время множество вирусов, маскирующихся под сообщения от провайдера".

Так что, будьте осторожны.
(источник - http://www.submarine.ru/, опубликовано 19.07.2001)

ФБР предупреждает об огромной опасности, исходящей от мафиозных группировок бывшего СССР, сообщает Interactive Week. Российские хакеры взламывают коммерческие сайты, крадут номера кредитных карт, запускают атаки на отказ от обслуживания и разрушительные компьютерные вирусы. При этом Русская Мафия (sic! с заглавной буквы) становится все более и более искушенной в компьютерных преступлениях.

Только по опубликованным ФБР данным организованным преступным группам из Восточной Европы удалось украсть свыше миллиона номеров кредиток и взломать сайты более 40 компаний в 20 штатах. При этом Русская Мафия называется чуть ли не главной угрозой развитию электронной коммерции в США.

Со ссылкой на неких экспертов по безопасности и "специалистов по Русской Мафии" автор статьи Лаура Лорек (Laura Lorek) сообщает, что Мафия действует более чем в 50 странах и имеет своих представителей во всех крупных городах США. Хакерские группировки же, по словам Лорек, часто возглавляют бывшие офицеры КГБ, которые нанимают молодых и безработных программистов для своей грязной работы. Для взломов часто используются интернет-кафе, отследить пользователей которых весьма трудно.

Далее в статье приводятся примеры взломов американских сайтов "нашими" хакерами, известные, в том числе, и по материалам КомпьюЛенты. В качестве возможного сценария продолжения истории можно предложить следующий: все американские, японские и прочие хакеры быстро перевоспитаются, а страшными русскими хакерами-мафиози-кагэбэшниками будут пугать маленьких детей.
(источник - http://news.battery.ru/, опубликовано 17.07.2001)

Microsoft предупреждает своих пользователей об ошибке в одном из компонентов ActiveX программы Outlook, входящей в пакет Office. Используя эту ошибку, хакер может заполучить полный доступ к вашему компьютеру.

Уязвимость присутствует в Outlook 98, Outlook 200 и Outlook 2002 (XP), причем все они входят в состав различных версий Microsoft Office. Самая главная опасность заключается в ActiveX-компоненте под названием 'Microsoft Outlook View Control', который разработан с целью позволить людям просматривать почту или информацию из ежедневника с помощью браузера.

В результате грамотного использования уязвимости компонент позволяет атакующему удалить всю почту, изменить информацию в ежедневнике, либо запустить произвольную программу на машине жертвы с помощью web-страницы или почтового сообщения, написанного на HTML. Более подробная информация - в бюллетене безопасности от самой Microsoft.

Для тех, кто не в курсе - ActiveX представляет собой набор технологий, которые предоставляют инструменты для связи обычных приложений с интернетом.

По словам представителей Microsoft, со времени обнаружения ошибки (ее обнаружил Георгий Гунински (George Guninsky), см. www.guninsky.com) заявлений о каких либо случаях с ее использованием не поступало. Тем не менее компания разрабатывает исправление, а пока это происходит, советует всем отключить использование ActiveX-компонентов в настройке безопасности интернет-зоны браузера Internet Explorer.
(источник - http://www.submarine.ru/, опубликовано 16.07.2001)

Обновлены демо-версии продуктов ViPNet, TermiNET.
В новых версиях исправлены предыдущие ошибки, добавлены новые функции и улучшен интерфейс. Загрузить обновленные демоверсии можно со страницы http://www.infotecs.ru/demo.htm

Пакет программ ViPNet Office позволяет:
- защитить информацию, хранимую на компьютере, а также сам компьютер от возможного несанкционированного доступа из Интернет или локальной сети;
- организовать защищенный обмен в режиме «on-line» конфиденциальной информацией (текстовой, голосовой) по телефонным каналам или через Интернет между компьютерами, установленных в произвольных точках земного шара;
- обмениваться почтовыми сообщениями и прикрепленными к ним файлами в защищенном режиме;
- организовывать защищенные конференции (видеоконференции) и сбор конфиденциальной информации, используя каналы Интернет;
- работать в защищенном режиме по открытому каналу, используя любые Интернет-приложения;
- обеспечить защищенную работу с серверами FTP, WWW и т.д.;
- обеспечить односторонний доступ только по инициативе пользователя к открытым информационным ресурсам в сети Интернет и локальной сети, блокируя любые другие соединения во время сеанса;
- определить сетевые адреса злоумышленников, пытающихся получить доступ к информации на компьютере или проникнуть в локальную сеть;
- разграничить доступ пользователей из "черного" и "белого" списков к базам данных и определенным www-серверам;
- разграничить доступ к конфиденциальной информации внутри локальной сети.

Продукт ViPNet ТUNNEL предназначен для объединения локальных сетей или офисов в защищенную виртуальную сеть. Этот продукт используется, если необходимо защитить трафик между офисами и нет необходимости разграничения доступа внутри каждой из локальных сетей, входящих в VPN.

Пакет программ ViPNet Tunnel (Small, Large) позволяет:
- обеспечивать работу объектов виртуальной сети от имени одного адреса внутри локальной сети;
- обеспечивать туннелирование пакетов с незащищенных компьютеров;
- обеспечивать фильтрацию открытых пакетов в соответствии с заданной политикой защиты

Программа ViPNet [TermiNET] - это персональный сетевой экран (firewall), предназначенный для защиты компьютера от атак из Интернет.

Основные возможности программы ViPNet [TermiNET]:
- Защита информационных ресурсов от атак из Интернет.
- Использование технологии защищенного web-серфинга "Stealth" ("Невидимка").
здесь можно посмотреть результаты независимого теста Gibson Research Corporation (www.grc.com)
- Черный список/Белый список - эта функция обеспечивает возможность запрещать доступ к нежелательным сайтам или разрешать его только к известным желаемым сайтам (функция "Родительский контроль").
- Гибкое управление доступом позволяет с помощью IP адреса, URL, порта и / или протокола определять правила для входящего и исходящего трафика.
- Автоматическое ведение журнала IP-адресов, с которых производилась атака на ресурсы пользовательского компьютера.
- Возможность работы в любой сетевой инфраструктуре.
- Отсутствие влияния на работу любых стандартных приложений (MS Exchange, Net Meeting и т.д.).
- Разграничение доступа и персональные настройки для каждого пользователя.
- Многоязыковая поддержка.
- Простота использования интерфейса "Windows Explorer" делает настройки ViPNet [TermiNET] доступными даже для пользователя, незнакомого с техникой.

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.