Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Здравствуйте, уважаемые подписчики!
Поздравляю Вас и себя с юбилейным 50-м выпуском рассылки.

Сегодня два подхода к организации глобальных сетей конкурируют между собой. Но наилучшее решение получат сетевые администраторы, которые сумеют объединить оба варианта...
 
В сегодняшнем выпуске рассылки представляем Вам статью Тоби Джессапа: "Слияние старого и нового мира".

Как обычно в рассылке, свежие новости из области защиты информации и IT-технологий, информационные сообщения по новым атакам и способам взлома, статистика по инцидентам, а также новости компании Инфотекс.

Информационные сообщения по новым атакам и способам взлома, статистика по инцидентам

• [Oct31 - Nov14] Security Info digest #41
  
  

Новости компании Инфотекс

• Приглашаем принять участие в семинаре, проводимом компанией Инфотекс в рамках партнерской программы с Информационной системой оптовой торговли ИСОТ: "Создание защищенных телекоммуникаций для корпораций, дистрибьюторских и партнерских сетей".
• Обновлены демо-версии продуктов ViPNet, TermiNET на web-сайте компании Инфотекс.

Введение
В конце прошедшего тысячелетия организация доступа из локальной сети в Internet решалась достаточно просто. Компания заказывала у провайдера услуг Internet необходимые услуги, подключала маршрутизатор и, если нужно, - брандмауэр или proxy-сервер. Путешествия по Сети приобретали все большую популярность, и каждый учился этому, как мог. То было начало эры "новой экономики" - безоблачное время.

Но теперь "новая экономика" уже не так нова, а подключение к Internet не кажется столь простым. Для компаний, развивающих бизнес в Internet, необходима высокая скорость подключения, вопросы безопасности приобретают исключительное значение, и им приходится постоянно иметь дело с новыми видами услуг наподобие виртуальных частных сетей. Операторы связи предлагают все более разнообразные варианты доступа, в том числе Ethernet, беспроводные технологии, DSL - не считая таких традиционных способов подключения к глобальным сетям, как T1/E1, ATM, frame relay и Т3/Е3.

Как повлияет доступность столь мощных каналов связи с Internet на способы подключения к центральному офису или офисам партнеров образца прошлого тысячелетия? Это зависит от конкретных условий. Применение комплексных решений позволяет снизить
затраты на совместное использование как пропускной способности, так и оборудования. Теперь вы можете одновременно работать в Internet и подключаться к частным видам сервисов глобальной сети с помощью единственной линии доступа frame relay или ATM.
Или все же имеет смысл полностью заменить все это новомодной VPN? Технология VPN поверх Internet может предоставить для малого бизнеса такие же услуги, как небольшая глобальная сеть. Крупные предприятия могут создать глобальную сеть VPN поверх частной системы передачи данных с обеспечением заданного качества обслуживания и контролем производительности. Но гораздо чаще компании вынуждены использовать прежние корпоративные глобальные сети с полным комплектом уже установленного оборудования и их проблемами связи с некоторыми удаленными офисами.

Современные сети - детище двух разных эпох. Доступ к сети VPN осуществляется через унаследованные каналы. В каком месте в таком случае подключать брандмауэр? Как управлять защитой данных и трафиком? Принятая схема организации глобальных сетей пока еще вполне приемлема, но для сетевых администраторов, не пожалевших время на поиск комбинированных решений, выбор широк, как никогда ранее. В этой статье рассматриваются способы подключения мультисервисных линий доступа к сети оператора связи и обеспечения заданного уровня качества обслуживания QoS, a также методы организации управления безопасностью сети предприятия в условиях, когда граница между ней и сетями общего доступа стирается.

Старые догмы
Мультисервисную линию доступа можно организовать с помощью технологий виртуальных каналов связи (frame relay, ATM) или новейшей технологии виртуальных частных сетей (поверх любого соединения IP). Виртуальные каналы на базе предварительно сконфигурированного оконечного оборудования - это проверенная технология, пригодная практически для любого случая.

Frame relay наиболее часто используется для предоставления комбинированных услуг. Тем не менее в последнее время популярность ATM растет, чему в немалой степени способствует распространение таких новых методов доступа, как DSL и межсетевой сервис frame relay (Frame Relay Service Internetworking, FRSI, Frame Relay Forum FRF-8. 1).

Трафик данных в сетях frame relay и ATM мультиплексируется в сконфигурированные на маршрутизаторе виртуальные каналы связи. В типичных приложениях для глобальных сетей центральное устройство выполняет роль концентратора, где линии связи с удаленными офисами (обычно это линии T1, T3 или обратного мультиплексирования ATM - Inverse Multiplexing over ATM, IMA) объединены в общем устройстве. Маршрутизатор отображает виртуальные каналы передачи данных на виртуальные порты с помощью протоколов более высокого уровня.

Когда линия доступа к глобальной сети ATM или frame relay используется дополнительно для получения услуг Internet, это достигается путем организации еще одного виртуального канала. Он выходит на соответствующего провайдера услуг, а виртуальные каналы подключения к глобальной сети обеспечивают доступ к удаленным офисам.

Многие операторы связи предлагают сервис FRSI, позволяющий комбинировать в сети ATM и frame relay. Так, например, центральный офис может быть подключен к сети по каналу Т3 ATM, а филиалы - по более дешевым каналам frame relay. Коммутаторы оператора используют технологию FRSI для межсоединения виртуальных каналов ATM и frame relay, создавая таким образом сквозные соединения.
В состав корпоративной сети часто входят линии DSL: в частности, они служат для подключения офисов подразделений к гибридной глобальной сети. В центральном офисе обычно используются каналы ATM или frame relay, у которых скорость выше (DSL способна работать только по медной линии и обеспечивает, как правило, скорость, эквивалентную T1/E1 или ниже).

Каналы передачи данных в филиалы по DSL могут заканчиваться в центральном офисе виртуальным соединением frame relay или ATM. Некоторые коммерческие версии оборудования DSL позволяют передавать традиционные виртуальные соединения поверх DSL: в частности, они предусматривают соответствующий аппаратный интерфейс frame relay и ATM в устройствах подключения DSL.

Туннельные крысы
Технологии виртуальных каналов функционируют как базовый сервис на канальном уровне. В многопротокольных системах 90-х гг. такое мультиплексирование на втором уровне имело смысл. Но теперь, в связи с широким распространением протокола IP, более приемлемым выглядит мультиплексирование услуг на третьем уровне. В виртуальных частных сетях поверх IP создаются туннели "точка-точка" через все транзитные сети IP, что очень похоже на виртуальные каналы frame relay или ATM.

Самое большое преимущество VPN заключается в возможности осуществления такой передачи данных по любой доступной линии IP, включая DSL, традиционные системы передачи данных, а также частные или общедоступные сервисы ближайшего будущего. VPN позволяет организовать практически по любому каналу IP доступ в Internet из любой точки мира. Хотя технологии VPN могут поддерживать самые разнообразные протоколы передачи данных, почти все современные решения VPN основаны на протоколе IP. Для других протоколов могут быть организованы туннели внутри IP, как для трафика SNA в системах коммутации канального уровня (Data-Link Switching, DLS). Он передается по соединениям VPN как пакеты IP.

Сегодняшняя технология VPN - результат развития протокола РРР (стандарт RFS 1661), в который добавлены туннельные расширения. Он разработан в начале 90-х для поддержки протоколов локальных сетей второго уровня, при их передаче через соединения "точка-точка" второго уровня (как правило, по коммутируемым линиям). Используемая в то время технология высокоуровневого управления передачей данных (High-Level Data-Link Control, HDLC) была модифицирована для того, чтобы поддерживать IP и некоторые другие протоколы.

В связи с повсеместным распространением Internet поддержка многочисленных платформ для приема коммутируемых вызовов с использованием РРР стала представлять проблему для провайдеров услуг, что потребовало разработки централизованного решения РРР с более высокой масштабируемостью и экономичностью. По инициативе нескольких поставщиков был создан туннельный протокол "точка-точка" (Point-to-Point Tunneling Protocol РРТР), он был поддержан компанией Microsoft и другими разработчиками. А в 1999 г. - IETF опубликовала его продолжение - стандарт туннельного протокола второго уровня (Layer-Two Tunneling Protocol, L2TP, RFC 2661).

Протокол L2TP позволяет передавать кадры протокола РРР второго уровня по маршрутизируемой сети IP в виде пакетов UDP.

Туннель направляет вызовы пользователей через концентратор доступа L2TP (L2TP Access Concentrator LAC) на центральный сетевой сервер L2TP (L2TP Network Server LNS) - маршрутизатору или серверу, которые являются конечной точкой для всех сеансов РРР. Протокол L2TP может использоваться совместно с протоколом с IPSec (описан в многочисленных RFC) для обеспечения безопасного шифрования туннелированных данных.

С помощью акронима VPN разработчики описывают различные непохожие друг на друга программы и приложения. По сути имеется всего два типа продуктов VPN: клиентские системы для подключения рабочих станций (клиентов Internet) к центральному серверу посредством туннелированного протокола РРР и системы для подключения удаленных офисов через частные туннели РРР или путем шифрования пакетных данных с помощью IPSec. Клиентские продукты VPN предназначены для поддержки удаленных пользователей, в то время как продукты VPN для удаленного офиса применяются для построения глобальных сетей на базе этой технологии.

В маршрутизируемой сети IP протокол L2TP выступает как продолжение протокола РРР второго уровня, а другие расширения позволяют туннелировать когда-то очень популярные соединения РРР через ATM, Ethernet и другие сети. РРР поверх ATM (PPPoA, стандарт RFC 2364) часто встречается на линиях DSL. Использование туннелей РРР в устройствах доступа DSL обеспечивает мультисервисные услуги для удаленных сотрудников, а операторам связи открывает возможность со временем полностью перейти на IP в магистральной части сети.

РРР через Ethernet (PPPoE, стандарт RFC 2516) служит для продолжения туннелей РРР в локальную сеть. С помощью РРРоЕ разрабатываются клиентские продукты VPN, которые могут поддерживать любое соединение (стандартные продукты на базе L2TP требуют от клиента соединения по последовательной линии).

В поисках качества
Сети с обеспечением заданного уровня качества обслуживания QoS особенно важны там, где нужно создать комбинацию услуг доступа к глобальным сетям и услугам Internet. Управление качеством обслуживания достигается за счет формирования очередей - с их помощью сетевое оборудование может идентифицировать и задерживать при необходимости передаваемые пакеты, кадры или ячейки в периоды полной загрузки линии связи. Такие очереди должны быть организованы как в сети, так и в оконечных устройствах.

Современные сети виртуальных каналов открывают широкие возможности для обеспечения качества обслуживания и уровня сервиса. В сети frame relay сквозное качество обслуживания реализуется с помощью гарантированной скорости передачи (Committed Information Rate, CIR) и уведомлений о перегрузках. ATM предлагает наиболее совершенные средства QoS путем выделения или разделения емкости каждого из виртуальных каналов. И только ATM может реально эмулировать арендованную линию доступа на скоростях, не превышающих 2 Мбит/с (Circuit Emulation Service, CES).

Для каждого виртуального канала оператор должен сконфигурировать параметры качества обслуживания в соответствии с тем, какой уровень сервиса от него требуется. Виртуальный канал для передачи трафика Internet может использовать очереди, отличные от очередей виртуальных каналов, для связи удаленных офисов. У технологии FRSI, позволяющей объединять frame relay и ATM, свои трудности при организации управления качеством передачи. Дело в том, что ни один из протоколов не осуществляет сквозное управление QoS на канальном уровне. Оконечные устройства FRSI придется конфигурировать вручную, чтобы управление очередями в виртуальных каналах frame relay и максимальная скорость передачи ячеек ATM соответствовали скоростям передачи на противоположном конце линии связи.

Поддерживаемые уровни качества обслуживания в значительной степени зависят от поставщиков каналов связи и применяемых технологий. Управление ими - неизбежная необходимость при дефиците пропускной способности. Лучшее решение проблемы QoS -увеличение доступной пропускной способности.

Возможные резервы
Системы VPN поверх IP обеспечивают практически такой же уровень управления качеством обслуживания, как и ATM, но с некоторыми ограничениями. Прежде всего, сети IP передают пакеты переменного размера, в то время как сети ATM - ячейки одной величины. Такая однородность и малый объем передаваемых ячеек играют ключевую роль в способности ATM предоставлять гарантированное качество обслуживания для критически важных приложений. Сети IP способны поддерживать аналогичное качество обслуживания только при условии фрагментации пакетов и увеличения быстродействия сети.

Даже если скорости сети IP достаточно для предотвращения задержки при передаче пакетов, все равно понадобится тот или иной метод контроля за состоянием очередей на линии связи. Протокол резервирования ресурсов (Resource Reservation Protocol, RSVP, стандарт RFS 2205) позволяет заранее зарезервировать необходимые ресурсы под очереди пакетов на всех маршрутизаторах на всем протяжении линии связи между двумя точками. RSVP требует точной идентификации передаваемого трафика маршрутизаторами (например, IP-адресов или номеров портов). В связи с тем, что этот метод ориентирован на соединения, передача данных с гарантированным качеством обслуживания начнется только после того, как придет подтверждение о доступности всех необходимых для очередей ресурсов. Протокол обеспечивает надежный контроль качества обслуживания для таких ориентированных на соединение и требующих предопределенных и зарезервированных ресурсов приложений, как передача голоса поверх IP.

Отметим, что многим типам трафика требуется более обобщенная форма качества обслуживания без установления соединения. Появление стандарта IP на дифференцированные услуги (Differentiated Services, DiffServ, RFS 2474) позволяет переопределить поле
"Тип сервиса IP" в заголовке пакета IP, превращая его в поле DiffServ. Это дает возможность увеличить число уровней дискретизации контроля качества обслуживания более восьми значений, используемых в поле Type of Service протокола IPv4 (или поля Traffic Class в протоколе IPv6). Поскольку теперь уровень сервиса задается в каждом пакете, то оконечные устройства могут автономно устанавливать его в соответствии с потребностями конкретных прикладных систем. Кроме того, маршрутизаторы могут изменять соответствующие параметры на границе глобальной сети.

Для обеспечения службы качества обслуживания необходимо также продумать управление очередями в оконечных устройствах. В дополнение к описанным выше методам QoS конечные системы добавляют к этим решениям свою специфическую изюминку. Организация очереди для исходящих пакетов по типу Weighted Fair Queuing (WFQ) и Weighted Random Early Detection (WRED) расширяет возможности типичных для большинства устройств очередей FIFO.

Очереди WFQ используют статистические методы для разбиения больших пакетов и предоставления справедливого доступа к линии для небольших пакетов малого размера, например во время запросов к базе данных или к главному компьютеру. WFQ хорошо работает на медленных линиях и сейчас активизируется в некоторых продуктах как настройка "по умолчанию". WFQ не рекомендуется применять на высокоскоростных интерфейсах с высоким быстродействием, например T1/E1, потому что задержка на размещение пакетов компенсируется высокой скоростью линии.

Для предотвращения перегрузки WRED изменяет размер окна передачи TCP для замедления активных диалогов при уменьшении размера буфера очереди, а также сокращает размеры окон TCP за счет выборочного удаления поставленных в очередь пакетов, в результате чего конечные системы вынуждены сокращать скорость передачи.

WRED применяется в некритических приложениях на базе TCP в сетях с большими задержками сигнала, например при доступе в Web.

(Окончание статьи, в котором рассмотрены конкретные примеры проектов объединения доступа в Internet и к глобальной сети и разрешение проблем, связанных с защитой, маршрутизацией и поддержкой виртуальных каналов VPN читайте в следующем выпуске...)

Тоби Джессап - старший технический специалист Qwest Communications International. С ним можно связаться по адресу: jjessup@qwest. com. (опубликовано в журнале сетевых решений "LAN" #9/2001)

Британский журнал Computing в четверг предупредил финансовые институты, имеющие беспроводные локальные сети, о высоком риске подвергнуться хакерским атакам типа "drive-by".

Журнал ссылается на результаты проверки, проведенной специалистами фирмы Orthus, которые измерили на улицах в районе лондонского Сити и его окрестностей уровень радиоизлучения беспроводных локальных сетей за пределы зданий 124 учреждений. Выяснилось, что передачу данных в этих сетях можно уверенно перехватывать на расстоянии до 200 метров от офисов.

Сделать это можно, например, из автомобиля с помощью ноутбука с беспроводной сетевой картой за 129 фунтов (184 доллара) и бесплатным программным обеспечением, имеющимся в свободном доступе в Интернете. 67 процентов компаний не используют шифрование в корпоративных сетях, что дает возможность хакерам легко использовать перехваченные на улице пароли и другую информацию в своих зловредных целях. В самом сердце Лондона - Сити - таковых компаний оказалось 48, среди них весьма солидные финансовые учреждения.
(источник - http://www.netoscope.ru/, опубликовано 19.11.2001)

Исследовательская компания из Массачусетса Arbor Networks выявила в Интернете "черные дыры" - зоны, временно недоступные из других частей глобальной Сети. В результате 3-летних исследований глобального трафика компания выявила, что размеры этих дыр в среднем составляют 5 процентов от всех сайтов.

Общепринятое мнение состоит в том, что Интернет полностью доступен для пользователей, то есть по своей топологии является полностью связанным графом. Исследования таблиц маршрутизаций провайдеров по всему миру показали, что это не так.

Специалистами Arbor было выявлено повышение общего уровня нестабильности, сбоев и нарушений конфигураций корневых маршрутизаторов Интернета. Эти факторы, а также конфликты провайдеров и хакерская деятельность приводят к тому, что в каждый момент времени оказываются недоступными в среднем 5 процентов Интернета, то есть или порядка 100 миллионов подключенных к Сети компьютеров (хостов). Уязвимость защиты и протокола системы маршрутизации Интернета нарастает по мере усложнения ее топологии. При этом инфраструктура данной системы становится все более неуправляемой.

Согласно результатам исследований, в "черные дыры" Сети чаще всего проваливаются широкополосные пользователи и военные сайты США. Пентагон часто подвержен этой напасти из-за того, что его военная интрасеть "Milnet" занимает адресные зоны времен "каменного века" Интернета.

Почему пользователи кабельного доступа и ISDN оказываются в числе "недоступных 5 процентов", исследователям установить не удалось. Однако руководитель исследований Крэйг Лэйбовиц отмечает, что полученные результаты следует считать предварительными, а изыскания продолжаются.

Несмотря на внушительные количество выпадающих из Сети компьютеров, для основной массы пользователей все эти "черные дыры" остаются практически незаметными. По данным Arbor, подавляющее большинство людей используют лишь малую часть Интернета, обращаясь в среднем не боле чем к 5-10 сайтам.

Однако механизмы, порождающие "черные дыры", могут использоваться в неблаговидных целях. Если маршрутизатор заявляет о своих правах на некоторое адресное пространство, остальная Сеть верит ему на слово и направляет туда трафик. "Захватив один маршрутизатор, вы можете создать любой блок адресов и вставить его глобальную Сеть" - отмечает Лэйбовиц.

Эти адреса могут быть использованы для рассылки спама, хакерских атак и прочих диверсий кратковременного характера. После вредоносных деяний данные адресные зоны исчезают, и вычислить злоумышленника не представляется возможным, поскольку маршрутизаторы обычно не регистрируют активность подобного рода. Мониторинг лог-файлов почтовых серверов подтвердил существование таких зон-фантомов.
(источник - http://www.netoscope.ru/, опубликовано 16.11.2001)

Собрание ICANN: Сеть будет в безопасности тогда, когда ее не будет контролировать государство

Как и ожидалось, главной темой, обсуждаемой на ежегодном собрании Интернет-корпорации по присвоению имен и номеров (Internet Corporation for Assigned Names and Numbers - ICANN), стала проблема защиты Сети от внешних воздействий. Наибольший резонанс в средствах массовой информации вызвало выступление представителя Центра обеспечения безопасности ключевых объектов инфраструктуры (Critical Infrastructure Assurance Office - CIAO) Департамента по делам Торговли США Джона Тритака (John Tritak).

Пожалуй, впервые из уст официального чиновника прозвучал призыв к государству отойти от попыток контроля за интернетом. Г-н Тритак высоко оценил работу ICANN по организации защиты системы доменных имен (Domain Name System - DNS) от несанкционированного вмешательства, однако сосредоточил свое внимание на других аспектах проблемы.

"Пять лет назад было принято считать, что подрыв деятельности целых компонентов инфраструктуры не под силу террористам, - заявил чиновник. - Однако события 11 сентября, а позднее случаи заражения сибирской язвой, доказали, что это не так. Сегодня атакованы не Соединенные Штаты, сегодня атакован образ жизни граждан нашей страны. Главная угроза Сети сегодня исходит именно от частных лиц, считающих своим врагом государство. Государство должно прекратить все попытки регламентирования развития интернета и передать вопросы поддержки Сети тем людям, которые ее создавали и развивают сегодня".

В общем-то, идея расширения сферы полномочий ICANN, являющейся надгосударственной структурой, не нова и, если бы ее озвучил кто-либо из руководства этой организации, это не наделало бы особого шума. Однако в случае с Джоном Тритаком все получилось иначе. Вопрос о том, является ли мнение официального лица CIAO лишь его частной позицией или же администрация США действительно готова пересмотреть свое отношение к Сети ради обеспечения ее же безопасности, пока остается открытым.
(источник - http://www.cnews.ru/, опубликовано 15.11.2001)

На использование одной из самых спорных технологий Сети - идентификационных файлов cookies - впервые наложены серьезные ограничения.

В ходе дебатов, о которых уже сообщал CNews.ru, Европейский парламент принял поправку к новому законодательству о безопасности электронных коммуникаций, запрещающую отправку сервером файла cookie без предварительного подтверждения согласия со стороны клиента.

"Использование подобных технологий должно быть запрещено, если не получено ясное, свободное и разумное согласие пользователя", - сказано в тексте, принятом парламентом. Таким образом, cookies, созданные для упрощения навигации, однако, традиционно использовавшиеся для сбора маркетинговой информации о потребительских предпочтениях, а также зачастую содержащие пароли без ведома пользователя, впервые были законодательно признаны вторжением в личную жизнь.

Часть представителей промышленных кругов уже выразили свой протест против принятия этой поправки, подчеркнув, что это может привести к повышению затрат для интернет-операторов, а также замедлить скорость доступа к интернет-страницам, поскольку теперь, прежде чем направить cookie, необходимо будет запрашивать разрешение пользователя.

Пока неизвестно, как отреагируют на новые правила и сами пользователи. Вполне возможно, что они сочтут утомительным нажатие кнопки ОК при загрузке практически каждой следующей страницы Сети.
(источник - http://www.cnews.ru/, опубликовано 15.11.2001)

[Oct31 - Nov14] Security Info digest #41(по материалам Аналитического центра компьютерной безопасности (АЦ) www.sert.ru)

В ОС IRIX версий от 6.5 до 6.5.13f включительно обнаружены баги в lpd lpsched и lpstat.
В lpd злоумышленник удаленно или локально может вызвать "падение" демона и, переполнив буфер, получить полномочия пользователя root.
Следует отметить, что не смотря на то, что lpd является частью IRIX print.sw.bsdlpr поумолчанию он не установлен. В случае, если он
установлен, обычно запускается под полномочиями пользователя root.
В lpsched обнаружено несколько уязвимостей, которые позволяют удаленному злоумышленнику получить полномочия пользователя 'lp' или 'root'. Отметим, что lpsched установлен поумолчанию на выше упомянутых версиях IRIX.
В lpstat обнаружено переполнение буфера. Переполнив буфер lpstat, локальный пользователь может получить права пользователя root. Отметим, что lpstat поумолчанию установлен на всех упомянутых версиях IRIX.
Подробнее:
http://www.securityfocus.com/archive/1/223956

В rpc.ttdbserverd поставляемом вместе с CDE ToolTalk database server на OS Solaris версий 5.8, 5.8_x86, 5.7, 5.7_x86, 5.6, 5.6_x86, 5.5.1, 5.5.1_x86,5.5 и 5.5_x86 обнаружена уязвимость, позволяющая удаленному злоумышленнику получить доступ пользователя root.
Подробнее:
http://www.securityfocus.com/archive/1/239959

В протоколе SSH версии 1.5 реализации CISCO обнаружено несколько уязвимостей, позволяющие злоумышленнику добавлять различные команды в уже инициализированные соединения, а так же собирать информацию для восстановления ключа или возможности угадать ключ сессии.
Подробнее:
http://www.cisco.com/warp/public/707/SSH-multiple-pub.html

В CDE (Common Desktop Environment) обнаружена уязвимость в демоне dtspcd, позволяющая удаленному злоумышленнику получить доступ пользователя root.
Подробнее:
http://www.securityfocus.com/archive/1/234802

Приглашаем принять участие в семинаре, проводимом компанией Инфотекс в рамках партнерской программы с Информационной системой оптовой торговли ИСОТ: "Создание защищенных телекоммуникаций для корпораций, дистрибьюторских и партнерских сетей ".

Вопросы семинара:

Сетевые решения ViPNet - инструмент для повышения эффективности бизнеса.
- Информация о компании Инфотекс
- Лицензии и сертификаты, выданные компании
- Клиенты, партнеры и проекты компании
- Технология VPN компании Инфотекс

Продуктовый ряд ViPNet
- Выгоды от использования технологии ViPNet
- Стратегия продвижения решений ViPNet
- Технология ViPNet.
- Драйвер ViPNet - основа защищенной сети
- Основные модули комплекса
- Основные функции
- Основные режимы работы
- Интерфейсы и сервисы программы
- "Деловая почта" - защищенный документооборот

ГУП "Москачество" - пример внедрения технологии ViPNet.
- О компании ГУП "Москачество"
- Проблемы безопасности информационных ресурсов.
- Характеристики внедренного ViPNet-решения
- Бизнес- выгоды от внедрения ViPNet- решения

Семинар состоится 19 декабря.
О месте проведения семинара будет объявлено позднее.

Чтобы принять участие в семинаре необходимо зарегистрироваться. Форма для регистрации находится здесь.
Вопросы по семинару просьба отправлять Головкиной Ирине.

Обновлены демо-версии продуктов ViPNet, TermiNET.
В новых версиях исправлены предыдущие ошибки, добавлены новые функции и улучшен интерфейс. Загрузить обновленные демоверсии можно со страницы http://www.infotecs.ru/demo.htm

Пакет программ ViPNet Office позволяет:
- защитить информацию, хранимую на компьютере, а также сам компьютер от возможного несанкционированного доступа из Интернет или локальной сети;
- организовать защищенный обмен в режиме «on-line» конфиденциальной информацией (текстовой, голосовой) по телефонным каналам или через Интернет между компьютерами, установленных в произвольных точках земного шара;
- обмениваться почтовыми сообщениями и прикрепленными к ним файлами в защищенном режиме;
- организовывать защищенные конференции (видеоконференции) и сбор конфиденциальной информации, используя каналы Интернет;
- работать в защищенном режиме по открытому каналу, используя любые Интернет-приложения;
- обеспечить защищенную работу с серверами FTP, WWW и т.д.;
- обеспечить односторонний доступ только по инициативе пользователя к открытым информационным ресурсам в сети Интернет и локальной сети, блокируя любые другие соединения во время сеанса;
- определить сетевые адреса злоумышленников, пытающихся получить доступ к информации на компьютере или проникнуть в локальную сеть;
- разграничить доступ пользователей из "черного" и "белого" списков к базам данных и определенным www-серверам;
- разграничить доступ к конфиденциальной информации внутри локальной сети.

Продукт ViPNet ТUNNEL предназначен для объединения локальных сетей или офисов в защищенную виртуальную сеть. Этот продукт используется, если необходимо защитить трафик между офисами и нет необходимости разграничения доступа внутри каждой из локальных сетей, входящих в VPN.

Пакет программ ViPNet Tunnel (Small, Large) позволяет:
- обеспечивать работу объектов виртуальной сети от имени одного адреса внутри локальной сети;
- обеспечивать туннелирование пакетов с незащищенных компьютеров;
- обеспечивать фильтрацию открытых пакетов в соответствии с заданной политикой защиты

Программа ViPNet [TermiNET] - это персональный сетевой экран (firewall), предназначенный для защиты компьютера от атак из Интернет.

Основные возможности программы ViPNet [TermiNET]:
- Защита информационных ресурсов от атак из Интернет.
- Использование технологии защищенного web-серфинга "Stealth" ("Невидимка").
здесь можно посмотреть результаты независимого теста Gibson Research Corporation (www.grc.com)
- Черный список/Белый список - эта функция обеспечивает возможность запрещать доступ к нежелательным сайтам или разрешать его только к известным желаемым сайтам (функция "Родительский контроль").
- Гибкое управление доступом позволяет с помощью IP адреса, URL, порта и / или протокола определять правила для входящего и исходящего трафика.
- Автоматическое ведение журнала IP-адресов, с которых производилась атака на ресурсы пользовательского компьютера.
- Возможность работы в любой сетевой инфраструктуре.
- Отсутствие влияния на работу любых стандартных приложений (MS Exchange, Net Meeting и т.д.).
- Разграничение доступа и персональные настройки для каждого пользователя.
- Многоязыковая поддержка.
- Простота использования интерфейса "Windows Explorer" делает настройки ViPNet [TermiNET] доступными даже для пользователя, незнакомого с техникой.

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.