Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Новости компании

• Технология создания защищенных подсистем доступа в Интернет с использованием распределенной системы сетевых экранов "ViPNet"
  
  
  • Подключение локальной сети к Интернет для организации работы отдельных станций локальной сети с открытыми ресурсами Интернет
  • Подключение локальной сети к Интернет для организации только защищенного взаимодействия данной локальной сети или отдельных ее компьютеров с другими локальными сетями или отдельными компьютерами
  • Комбинированная схема, сочетающая оба предыдущих случая

В большинстве российских компаний Интернет-сервер является жизненно необходимым серверным решением и служит для организации взаимодействия корпоративной сети с глобальной сетью.

Интернет-сервер выполняет следующие основные функции:

- Web-сервера для поддержки Интернет- и интранет-сайтов компании;
- сервера удаленного доступа для контроля доступа удаленных или мобильных пользователей к Интернет-серверу;
- Web-кэширования для "зеркалирования" Web-страниц Интернет-провайдера (ISP);
- сервера электронной почты для работы с внешней и внутренней почтовой корреспонденцией;
- файл-сервера для управления доступом сотрудников к совместно используемым файлам;
- сервера FTP для создания ftp-архива компании;
- сервера печати для совместного использования сетевой печати;
- сервера DNS для управления локальными записями DNS для имеющихся у компании серверов;
- сервера DHCP для динамичной автоматической настройки IP-адресов.

Следует отметить, однако, что Интернет-сервер восприимчив к попыткам нарушения безопасности сети. Установленный на компьютере с - операционной системой Windows NT, Интернет-сервер является приложением, и вот в этом-то и кроется причина его уязвимости.

Как прикладная задача Интернет-сервер находится выше стека протоколов сервера NT. В Windows NT нет такого уровня контроля доступа, который необходим для защиты Интернет-сервера. Например, эта ОС не проводит мониторинг и регистрацию событий в сети, при ее использовании не блокируется множество входящих и исходящих соединений и не выявляется подозрительная активность в сети.

Недостаток функций контроля доступа и обнаружения вторжений открывают Windows NT и ее приложения для попыток нарушения защиты сети посредством DoS-атак, таких как Ping Flood, SYN Flood, IP Packet Fragmentation, TCP and UDP Port Spoofing, Session Highjacking и Oversized IP Packet Attacks, а также для внедрения "троянских коней" и подбора пароля.

Даже если Интернет-сервер как приложение защищен стандартными средствами, это не предотвратит нарушения безопасности самой операционной системы. Если атакующий, используя DoS-атаку, блокирует сервер, то блокируется и Интернет-сервер - и компания теряет корректный механизм, обеспечивающий взаимодействие с открытой сетью. Вся полезная активная деятельность в Интернете будет прекращена, что приведет компанию к финансовым убыткам.

Для обеспечения безопасности Интернет-сервера, а следовательно, и всей корпоративной сети здесь, по мнению специалистов, необходимо использовать специальные средства защиты.

Чем грозит беспечность.

По данным Института компьютерной безопасности США (CSI, Computer Security Institute; http://www.gocsi.com/) и Группы компьютерного вторжения (Computer Intrusion Squard) Федерального бюро расследований (ФБР - FBI; http://www.fbi.gov/), 90% всех опрошенных в США корпоративных респондентов обнаружили атаки на свои сети, 273 корпорации понесли финансовые убытки на общую сумму более $265 млрд.

В целом статистические данные текущих отчетов по компьютерной безопасности показывают, что за последние три года соотношение между атаками со стороны Интернета (59%) и внутренними атаками (38%) изменилось в пользу внешних атак. Неслучайно поэтому проблема Интернет-преступности впервые за время существования компьютерных технологий удостоилась внимания ООН. На проходившем недавно в Вене Десятом конгрессе ООН компьютерные преступления в Интернете стали темой номер один.

Решения проблемы безопасности Интернет-сервера .

В настоящее время для защиты Интернет-сервера производители средств защиты компьютерной корпоративной сети предла гают различные решения. Рассмотрим несколько типичных вариантов защиты внутренних серверов компании от внешних атак.

Простейшим способом защиты серверов является установка firewall между серверами и Интернетом (Рис. 1).

Рис.1. Классическая схема защиты корпоративных серверов

При правильной конфигурации большинство продуктов firewall в состоянии защитить внутренние серверы от внешних злоумышленников, а некоторые из них могут даже выявлять и предотвращать атаки в форме отказа от обслуживания. Однако этот подход имеет несколько недостатков.

Когда корпоративные серверы защищены одним-единственным межсетевым экраном, все правила контроля доступа и все верифицированные данные оказываются сосредоточены в одном месте. То есть firewall становится узким местом и по мере возрастания нагрузки значительно теряет производительность. Конечно, firewall может быть дополнен программным обеспечением, балансирующим нагрузку, и многопроцессорными модулями, но это только усложняет систему и повышает ее стоимость.

Альтернативой является установка продукта firewall перед каждым сервером (рис. 2).

Рис.2. Схема децентрализованной защиты корпоративных серверов

В этом варианте благодаря тому, что firewall становится выделенным ресурсом сервера, решается проблема узкого места и уменьшается влияние отказа отдельного межсетевого экрана на общее состояние сети. Например, при конфигурации сети из десяти серверов отказ одного firewall влияет лишь на одну десятую имеющегося парка всей системы.

С первого взгляда такой подход можно счесть надежным решением, но если заглянуть глубже, то он оказывается как непроизводительным, так и неэффективным. Система из десяти серверов потребовала бы десяти лицензированных конфигураций firewall, работающих на десяти аппаратных платформах с десятью операционными системами, нуждающимися в администрировани и обслуживании. В итоге издержки, сложность администрирования и частота отказов возрастают на порядок. Даже если учесть, что влияние отказа отдельного firewall уменьшается в результате демонтажа лишь одной системы вместо десяти, среднее время наработки на отказ для десяти продуктов firewall оказывается в десять раз хуже, чем для одного. Например, если отказ аппаратного обеспечения происходит в сервере в среднем один раз в двадцать месяцев, то при использовании десяти серверов отказ аппаратного обеспечения будет наблюдаться каждые два месяца.

Наиболее подходящим решением этой проблемы является размещение средств безопасности на одной платформе с сервером, который они будут защищать (рис. 3).

Рис.3. Оптимальная схема защиты корпоративных серверов

Эта задача решается путем использования распределенных или персональных межсетевых экранов.

Преимущества распределенных экранов.

В отличие от традиционных межсетевых экранов, являющихся, как правило, локальными сетевыми "контрольными точками" активного контроля доступа к критическим информационным ресурсам корпорации, распределенные межсетевые экраны представляют собой дополнительное программное обеспечение, которое бережно окутывает и защищает Интернет-сервер.
Сравним традиционный и распределенный межсетевые экраны по нескольким показателям (см. таблицу).

Заключение.

Сегодня Интернет позволяет российским компаниям значительно расширить свою деятельность. Однако при этом необходимо позаботиться о безопасности конфиденциальной корпоративной информации. Распределенные межсетевые экраны обеспечивают дополнительный уровень защиты Интернет-сервера компании.

Полный совместный отчет CSI и FBI "2000. Компьютерные преступления. Обзор безопасности" содержит по-настоящему сенсационные статистические данные:

- 90% опрошенных представителей крупных корпораций и правительственных организаций сообщили о незаконном проникновении в свои компьютерные сети;
- 70% сообщили о хищении информации и финансовом мошенничестве;
- 74% понесли значительные финансовые убытки в результате взлома их сетей;
- 27% обнаружили атаки типа "отказ в обслуживании" (denial of service);
- 79% сообщили о несанкционированном доступе или других нарушениях безопасности;
- 35% были не в состоянии ответить, подвергались ли они компьютерным атакам за отчетный период;
- 85% обнаружили компьютерные вирусы.

Сергей Петренко, руководитель направления безопасности компьютерных систем компании "Конфидент" (опубликовано в журнале "СЕТЕВОЙ monthly" 4/2001)

Корпорация Microsoft объявила в понедельник об обнаружении новой серьезной уязвимости в серверном программном обеспечении Internet Information Service (IIS), которое устанавливается по умолчанию на все веб-серверы, работающие на платформах компании.

Ошибке подвержены все серверные версии Windows NT, Windows 2000 и бета-версия Windows XP. Это означает, что опасность грозит примерно 6 млн. интернет-сайтов или 21% от их общего количества. По оценкам ряда специалистов примерно половина из числа этих серверов используют установленные по умолчанию компоненты IIS.

Ответственным за уязвимость оказался код модуля Indexing Service ISAPI Filter, обеспечивающих поддержку индексирования содержимого сайтов. В этом модуле неправильно осуществляется проверка переполнения буфера, что может позволить хакеру проникнуть в сервер и получить полный контроль над ним. Microsoft настоятельно рекомендует всем компаниям, использующим IIS установить выпущенную заплатку.
(источник - http://news.battery.ru, опубликовано 19.06.2001)

За последние дни появились два новых способа распространения вирусов.

Первый - на хакерских сайтах появился генератор вирусов (названный "послание господа 4"), позволяющий создавать вирусы в виде ActiveX компонентов (активные компоненты, служащие в основном средствам мультимедиа и используемые для придания интерактивности сайтам). Внедрение созданного вирусного кода в простой код web-страницы при последующем просмотре страницы пользователем вызовет инфицирование системы последнего.

Единственный способ избежать этого - настроить соответствующим образом броузер (отключить в настройках отображение части или всех ActiveX компонентов) и установить современное антивирусное ПО. Это уже не первый случай появления генераторов вирусов. Они опасны тем, что позволяют лицам, практически не знакомым с программированием, создать свой вирус за пару минут. Наиболее распространенные вирусы типа "червей" были созданы именно с помощью подобных генераторов вирусов. Так что пользователям стоит проявлять повышенную осторожность. Даже при обмене сообщениями и файлами.

Недавно в США был зарегистрирован вирус, распространяющийся через службу мгновенных сообщений (MSN) - это программа под названием "Убей президента Буша". В отличие о почты, сообщения MSN практически не отслеживается некоторыми антивирусными программами, что открывает двери перед вирусами. Впрочем, данный тип вирусов, как и многие другие, рассчитан именно на неосторожных пользователей, которые из любопытства запустят программу.
(источник - http://news.battery.ru, опубликовано 19.06.2001)

Несколько тысяч японских сотовых телефонов с интернет-доступом внезапно сами позвонили в полицию и в пожарную службу. Причиной звонков стал вирус, проникший в компьютерную систему сотового оператора DoCoMo.

Как сообщает Wired, жертвами хакерской шутки стали 13 млн 250 тыс. пользователей интернет-сервиса компании DoCoMo. Этот сервис позволяет владельцам специальных мобильных телефонов в любой момент получить доступ в Интернет.

В заявлении компании говорится, что пострадавшие телефоны оказались под влиянием вируса, который передавался по электронной почте и активизировался в момент открытия письма. Вирусная программа перехватывала контроль над функциями телефона и заставляла аппарат набирать номер 110 (номер единой службы спасения в Японии). Код вставлялся непосредственно в текст письма, а не в аттачмент, поэтому отличить зараженное послание от обычного было весьма сложно. Первые сообщения о вирусе стали приходить в компанию 23 мая.

Прошлым летом такие вирусы уже были отмечены в системе DoCoMo. Одним из вариантов их действия было полное замораживание всех функций телефона после активизации вируса либо набор случайных номеров в большом количестве. Они также набирали и номер 110. Количество зараженных телефонов прошлым летом стало настолько значительным, что полиция Токио обратилась к компании DoCoMo с официальной просьбой повысить безопасность программного обеспечения.

В сентябре 2000 г. компания заявила, что все модели телефонов, подключенные к DoCoMo, используют новые программы, блокирующие получение вирусов. Однако не прошло и года, как эти заявления были опровергнуты. Теперь компания заявляет, что новое, еще более надежное, программное обеспечение будет ставиться на все телефоны, начиная с июля 2001 года.

Возможность написания вирусов для мобильных телефонов компания DoCoMo создала себе сама. В ее компьютерной системе были найдены "дыры", которыми тут же воспользовались вирусописатели. При этом прошлогодний вирус пользовался не той дырой, которую использует свежий вирус.

Компания DoCoMo заявила, что проблема заключается не в мобильных телефонах, поэтому она не намерена заменять или чинить аппараты, а также возвращать деньги за них. Если пользователи принесут проблемные телефоны в сервис-центры компании, DoCoMo бесплатно сделает апгрейд программного обеспечения.

Представители компании также напомнили своим клиентам, что им не следует открывать письма, полученные из непроверенного источника. Кроме того, пользователям рекомендовано выключить телефон, если он начинает внезапно сам по себе звонить куда-то без ведома хозяина, а потом перегрузить его, сняв батарею и поставив ее обратно.
(источник - http://news.battery.ru/, опубликовано 19.06.2001)

За незаконный доступ в Интернет любой гражданин России, согласно существующему уголовному кодексу, в котором предусмотрены наказания за преступления в сфере компьютерных технологий, может быть осужден на срок до 5 лет. Такое уточнение сделал в четверг на брифинге начальник отдела по делам о преступлениях в сфере экономики и компьютерной информации контрольно-методического управления следственного комитета при МВД РФ Геннадий Егоров.

Геннадий Егоров подчеркнул, что многие люди зачастую не понимают, что совершают преступление. К примеру, уголовно наказуемыми считаются любые проникновения в Интернет с использованием чужих паролей и реквизитов. И незнание закона не освобождает от ответственности. С начала этого года МВД РФ уже зарегистрировало 481 преступление в сфере высоких технологий. Думается, эти показатели далеки от количества реально совершаемых преступлений, однако, они превышают прошлогодние показатели за этот период вдвое. Наиболее распространенными преступлениями в этой сфере являются изготовление поддельных платежных документов, манипуляции с электронными базами данных, мошенничество в электронной торговле и незаконное предпринимательство.

Многие организации даже когда попадают в число пострадавших от таких преступлений, предпочитают ограничиваться разрешением конфликта своими силами. Впрочем, "решение проблемы своими силами" иногда для преступника может стать страшнее, чем участие в этом процессе милиции. Известны случаи, когда за это просто ломали ноги. Причина нежелания обращаться в правоохранительные органы, как подчеркивает Gazeta.ru, - в опасении людей, что убытки от расследования могут оказаться выше суммы ущерба. К примеру, для расследования необходимо изъять на экспертизу сервер, что может привести к остановке работы компании на срок до двух месяцев. Помимо этого компании опасаются подрыва своей репутации, а в некоторых случаях и просто боятся, что следствие выявит собственные грешки этой компании.

Зарегистрированные преступления в сфере высоких технологий составляют 0, 6 процентов в общей массе экономических преступлений. Однако, по словам Геннадия Егорова, им уделяется особое внимание со стороны правоохранительных органов. В настоящее время активно ведется работа по подготовке и обучению сотрудников, а также приглашаются специалисты правоохранительных органов зарубежных стран. Понятно, что опыт зарубежных коллег наших борцов против киберпреступности побогаче и у них есть чему поучиться.

Впрочем, Геннадий Егоров рассказал и о местном опыте. Первое киберпреступление, по его словам, было совершено в 1979 году в Вильнюсе. Ущерб государству тогда составил 80 тысяч рублей - на эти деньги можно было приобрести 8 автомобилей "Волга". В 1997 году в сфере высоких технологий было зафиксировано уже 300 преступлений, а в 2000 году - более 1300.
(источник - http://www.netoscope.ru/, опубликовано 18.06.2001)

Новая конспирологическая P2P-система Cryptobox не только шифрует сообщения, но и прячет их в потоках фальшивых данных и потому не боится прослушивания ФБР, утверждают ее создатели.

Cryptobox является системой типа peer-to-peer и напоминает такие сервисы, как Napster или Gnutella. Пользователи загружают программу, связывающую компьютеры, которые входят в сеть Cryptobox, и получают собственные ID, по которым могут вызывать друг друга на диалог. При этом пользователю не нужно мучиться с шифрованием - система сама шифрует сообщения, периодически меняя шифровальные ключи.

Кроме того, между компьютерами, входящими в сеть Cryptobox, периодически происходит обмен потоками фальшивых данных. Поэтому перехватчику не так-то просто определить, какое из сообщений нужно расшифровывать. Таким образом, Cryptobox позволяет даже скрыть, от кого кому послано настоящее сообщение.

Как передает NewsFactor, группа разработчиков уже протестировала Cryptobox в сочетании с системой немедленного обмена сообщениями (типа ICQ). В эксперименте учествовало 40 реальных пользователей и 200 вымышленных, роль которых играли программы-боты. Официальный выпуск Cryptobox намечен на конец года.

Правда, создатель новой конспирологической сети Никола Бобик, профессор университета Оттавы, не собирается заявлять, что его Cryptobox гарантирует "стопроцентную защиту". По словам Бобика, все, кто выступает с такими лозунгами - шарлатаны. "Мы лишь придумали новую систему барьеров, которые нужно будет преодолеть атакующему, - говорит он. - Конечно, существует возможность взломать и Cryptobox, но для этого придется использовать экстраодринарные ресурсы".

В частности, Бобик полагает, что новой коспирологической сети не составит труда скрыть данные от системы электронного слежения ФБР, известной как Carnivore.

По словам профессора, он начал разрабатывать новую систему защиты из-за повышения уровня цензуры в Интернете. Разработчики "посвятили" Cryptobox всем угнетенным и несвободным людями мира.

Создатели системы не скрывают, что она использует уже известные технологии анонимизации, вроде тех, что используются в анонимизаторах Zero Knowledge и в сети анонимного обмена файлами Freenet. В случае Freenet система не только шифрует, но и "перемешивает" опубликованные в ней файлы таким образом, что никому не известно, кто опубликовал файл и на какой именно машине он лежит в данный момент. Однако есть и отличия: Cryptobox не использует идею общего дискового пространства и не хранит каких-либо чужих файлов на компьютерах пользователей. В этой системе главное - потоки данных, и здесь она больше похожа на Spam Mimic, которая прячет сообщения в потоках спама. Для фанатов стеганографии напоминаем, что p2p-системы вообще очень удобны для того, чтобы передавать скрытые сообщения. К примеру, через музыкальные обменники типа Napster можно вести обмен сообщениями под видом MP3-файлов или WAV-файлов. Аналогично можно прятать сообщения в картинки или даже в текстовые файлы под видом пробелов.
(источник - http://www.netoscope.ru, опубликовано 18.06.2001)

Национальное Агентство безопасности США (NSA) - спецслужба, о самом существовании которой стало известно сравнительно недавно. По всей видимости, организация это серьёзная, и заниматься всякой ерундой не станет. Так что заинтересованным лицам было бы очень полезно прислушаться к обнародованным её сотрудниками советам по поводу доведения систем безопасности ОС Windows 2000 до ума.

Вот названия только пяти из нескольких десятков документов, составленных в NSA и призванных помочь администраторам Windows 2000 в локализации самых распространённых и неприятных по последствиям уязвимостей:

- Руководство по сетевой архитектуре Microsoft Windows 2000 (161KB);

- Руководство по политике групповой безопасности Microsoft Windows 2000: Инструментарий конфигурирования настроек безопасности (936KB);

- Руководство по обеспечению безопасности файловых и дисковых ресурсов Microsoft Windows 2000 (234KB);

- Руководство по обеспечению безопасности DNS Microsoft Windows 2000 (738KB);

- Руководство по обеспечению безопасности клиентов NT/9x в сетях Microsoft Windows 2000 (143KB).

Так что если необходимость в подобной документации у вас есть, смело отправляйтесь на страничку www.nsa.gov/winsecurity/win2k/download.htm и загружайте эти файлы в формате PDF. Изучение их наверняка заслуживает внимания - источник более чем солидный.
(источник - http://www.submarine.ru, опубликовано 18.06.2001)

Со вторника хакерская группа под названием PoizonB0x взломала уже более 12 сайтов со словом "security" (безопасность) в адресе домена. Среди жертв оказалась e-Security, предоставляющая услуги по предупреждению о взломе в реальном времени, а так же ПО, помогающее избежать взломов. Однако, сапожник оказался, на самом деле, без сапог.

Джим Энжинер (Jim Engineer), представитель компании, заявил, что их web-сат размещен отдельного провайдера, который сам предоставляет услуги по защите данных.

"Вообще-то, мы ожидали от них более активных действий в области защиты данных. На данный момент мы пытаемся восстановить все это у себя "дома", поэтому, возможно, это было к лушчему", сообщил он. Кроме того, он добавил, что сайт является чисто информационным, и поэтому никакого вреда их клиентам взлом не нанесет.

Вот еще пострадавшие от руки PoizonB0x: www.enterprisesecurity.com, www.nz-security.co.nz и www.security.co.il.

В каждом случае хакеры заменяли первую страницу сайта своей версией, обычно содержащей короткое текстовое сообщение. К примеру, посетители сайта www.bicsecurity.com могли наблюдать такое приветствие: "PoizonB0x owns any security". В интервью по электронной почте одному из западных журналов член группировки сообщил, что ничего личного против компаний по защите информации в сети они не имеют.

"Мы просто хотели показать, что если вы - компания по защите данных, то вы должны, по крайней мере, защитить свой собственный сервер, и это все. Позор всем сайтам по безопасности Windows, потому что весьма легко защитить сервер под управлением Windows, а они не делают даже этого", завил он.

Из 728 жертв группировки только 50 работали под управлением какой-либо иной операционной системы. Все остальные использовали различные версии Windows.
(источник - http://www.submarine.ru/, опубликовано 15.06.2001)

Технология создания защищенных подсистем доступа в Интернет с использованием распределенной системы сетевых экранов "ViPNet".

Технология создания защищенных подсистем доступа в Интернет с использованием распределенной системы сетевых экранов "ViPNet".
Настоящий документ определяет возможную схему подключения локальных сетей к сети Интернет без физического выделения компьютеров, которым разрешена работа в сети Интернет, из локальной сети.

Технология подключения базируется на пакете программ "Корпоративная наложенная сеть ИНФОТЕКС" (торговая марка ViPNet), имеющем сертификат ГОСТЕХКОМИССИИ России о его соответствии 3 классу для межсетевых экранов и классу 1В для автоматизированных систем.
Криптографическое ядро этого пакета программ ("Домен - К") имеет сертификат ФАПСИ по классам КС1 и КС2.
Технология определяет три типовых случая подключения локальной сети к Интернет:

1. Подключение локальной сети к Интернет для организации работы отдельных станций локальной сети с открытыми ресурсами Интернет.

С этой целью:
1. На входе локальной сети для подключения к Интернет устанавливается компьютер с ПО "ViPNet - координатор" и двумя и более сетевыми интерфейсами, выполняющий функции Сервера открытого Интернета - специализированного межсетевого экрана.

2. На компьютерах, которым разрешается доступ к открытым ресурсам Интернет, устанавливается ПО "ViPNet - клиент", выполняющее функции специализированного персонального сетевого экрана.

При этом реализуется следующая технология:
- В процессе работы компьютера локальной сети с Интернет ПО ViPNet создает между этим компьютером и "ViPNet - координатором" на входе сети, защищенный "туннель", в который помещается весь открытый трафик Интернета. То есть весь открытый потенциально опасный трафик Интернета передается внутри локальной сети в зашифрованном виде и расшифровывается только на внешнем интерфейсе "ViPNet - координатора", подключенного к Интернет.
Таким образом, гарантируется, что любые атаки непосредственно на локальную сеть через межсетевой экран становятся принципиально невозможными, так как любой трафик может попасть в локальную сеть только в зашифрованном "ViPNet - координатором" виде.

- "ViPNet-клиент" контролирует весь трафик компьютера и независимо от желания пользователя обеспечивает полную блокировку любого трафика с локальной сетью, если компьютер работает через "туннель" с открытыми источниками Интернет. И, наоборот, полностью блокируется любой трафик через "туннель" с Интернет, если идет работа в локальной сети.
Таким образом, полностью исключается возможность одновременной работы компьютера в локальной сети и Интернет.
Это гарантирует невозможность в реальном масштабе времени проведения атак на локальную сеть из Интернет через данный компьютер или использование данного компьютера для несанкционированного подключения других пользователей к Интернет.

- Любые нештатные программы ("Трояны"), которые могут быть получены из Интернет на данный компьютер, в момент времени, когда они намереваются прослушать трафик в локальной сети или передать его в Интернет, обнаруживаются "ViPNet-клиентом" и их трафик немедленно блокируются.
Это позволяет гарантировать, что любые атаки, направленные на получение информации из локальной сети через данный компьютер, в режиме разделения времени невозможны.

- "ViPNet - координатор" на входе сети пропускает наружу только зашифрованный трафик тех компьютеров локальной сети, на которые установили ПО "ViPNet-клиента" с соответствующей ключевой информацией.
Это исключает любую возможность несанкционированного выхода в Интернет с любых других компьютеров.

- "ViPNet - координатор" на входе сети, весь внешний открытый трафик из Интернета направляет только в "защищенные туннели", при этом фильтруя его в соответствии с требованиями к МЭ 3 класса и обеспечивая режим только односторонних соединений наружу.
Это обеспечивает высокий уровень защиты самих компьютеров, работающих в Интернет от различных атак.

- На компьютерах локальной сети, подключаемых к Интернет, устанавливаются сертифицированные регулярно обновляемые антивирусные средства.
Это позволяет предотвратить попадание на компьютер разрушающих программ и их тиражирование.

- Путем установки аналогичных средств ViPNet на компьютеры, работающие с информацией более высокой степени конфиденциальности, создается возможность создания замкнутых или частично пересекающихся групп пользователей и серверов, трафик которых помещается в "туннели" и становится друг другу взаимно не доступным, в том числе для трафика с компьютеров, подключенных к Интернету.

- Указанная технология позволяет обеспечить полную независимость от сетевых администраторов, от их ошибочных или умышленных действий.

2. Подключение локальной сети к Интернет для организации только защищенного взаимодействия данной локальной сети или отдельных ее компьютеров с другими локальными сетями или отдельными компьютерами.

С этой целью:
1. На входе локальной сети для подключения к Интернет устанавливается компьютер с ПО "ViPNet - координатор" и двумя и более сетевыми интерфейсами, выполняющий функции Прокси сервера защищенных соединений - специализированного межсетевого экрана.

2. На компьютеры, которым разрешается обработка и обмен конфиденциальной информацией, устанавливается ПО "ViPNet - клиент", выполняющее функции специализированного сетевого экрана.

При этом реализуется следующая технология:
- "ViPNet - координатор" на входе сети в отличие от предыдущего случая пропускает в Интернет и из Интернет любой трафик только в зашифрованном виде.
Таким образом, гарантируется невозможность попадания в локальную сеть и из нее наружу любого открытого трафика.

- "ViPNet - клиенты" или "ViPNet - координаторы" осуществляют создание зашифрованных туннелей при взаимодействии с разрешенными им защищенными объектами и блокируют любой другой трафик в соответствии с заданной политикой безопасности.
Таким образом, исключается доступ к зашифрованному трафику в этих "туннелях" для наблюдения и модификации в Интернет, а к защищенному трафику, созданному "ViPNet - клиентами", невозможен доступ и из локальной сети.

- В локальной и глобальной сети могут создаваться замкнутые или частично пересекающиеся группы пользователей и серверов, трафик которых друг другу взаимно не доступен.

- Указанная технология позволяет обеспечить полную независимость от сетевых администраторов, от их ошибочных или умышленных действий.

3. Комбинированная схема, сочетающая оба предыдущих случая.

С этой целью:
1. На входе локальной сети для подключения к Интернет устанавливаются два компьютера с ПО "ViPNet - координатор", один из которых выполняет функции Сервера открытого Интернета, а другой - Сервера защищенных соединений.

2. На компьютеры, которым разрешается выход в Интернет или обработка и обмен конфиденциальной информацией, устанавливается ПО "ViPNet - клиент", обеспечивающее вхождение компьютера в ту или иную группу компьютеров в зависимости от обрабатываемой ими информации.

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.