Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Здравствуйте, уважаемые подписчики!

Бизнес не кончается за парадной дверью компании. Сотрудники, которые работают вне офиса, а также региональные офисы и отделения должны получать доступ к данным и приложениям, находящимся в локальной сети штаб-квартиры компании.

Предприятия больше не могут позволить себе игнорировать задачу безопасной передачи данных. Компаниям необходимо, чтобы все, кому нужен доступ к критическим данным, могли получить его -- либо из регионального офиса, либо с места проведения временного проекта. И если раньше часть подобных задач решалась путем построения собственных сетей или аренды выделенных каналов точка-точка, то в середине 2001 года наступил перелом: VPN на основе публичных сетей интернета становится наиболее популярной формой реализации виртуальных частных сетей.

В сегодняшнем выпуске рассылки представляем Вашему вниманию статью Даниила Фертфа: "VPN: Время пришло?"

Как обычно в рассылке, свежие новости из области защиты информации и IT-технологий, информационные сообщения по новым атакам и способам взлома, статистика по инцидентам, а также новости компании Инфотекс.

• Приглашаем посетить наш форум, посвященный защите информации, виртуальным сетям (VPN) и продуктовому ряду ViPNet.
• Обновлена демо-версия интерфейса для встраивания функций ЭЦП на базе криптоядра "Домен-К".

Технологические барьеры
Когда на технологической сцене появились виртуальные частные сети (VPN --Virtual Private Networks), нам прочили пуленепробиваемую безопасность корпоративных сетей при минимальных расходах на выделенные линии. Однако со временем энтузиазм по поводу VPN поутих -- технология шифрования не оправдала ожидания. На волне эйфории многие компании рассчитывали получить большую скорость VPN-канала, производительность в сочетании с максимальной безопасностью. Но технология не смогла обеспечить такие показатели.

Потребовалось примерно два года, чтобы устранить этот технологический барьер с помощью сложнейших разработок в области высокоскоростных крипто-алгоритмов и ASIC-чипов. Сегодня производители VPN-инфраструктур обеспечивают высочайшие требования безопасности (IPSec с использованием режима 3DES-CBC) и предлагают скорость 2 Гбит/с. Такое повышение производительности близко к критическому, поскольку они создают импульс к распространению VPN.

Дебаты операторов
Не одни лишь предприятия заинтересованы в использовании VPN. Телекоммуникационные операторы и ISP также получают конкурентные преимущества, предлагая VPN-функции в комплекте с существующими приложениями и услугами. Эти провайдеры предлагают клиентам интегрированные VPN-решения, которые обходятся им значительно дешевле, чем собственная реализация аналогичной VPN.

Однако здесь есть одна серьезная трудность. Сейчас операторы и ISP фактически разделились на два лагеря: приверженцев подхода VR (virtual router) и сторонников BGP/MPLS (Border Gateway Protocol/Mmultiprotocol Label Switching) с использованием VRF (virtual route forwarding). Самые авторитетные специалисты отрасли зачастую придерживаются противоположных точек зрения. Хотя сама концепция VPN проста, детали ее реализации сложны, и именно здесь возникли жаркие дебаты.

Для понимания сути проблемы необходимо детальнее познакомиться с технической реализацией VPN. Как правило, в VPN-системе используются маршрутизаторы трех типов: маршрутизатор CE (customer edge), который находится у клиента, маршрутизатор PE (provider edge) на границе сети провайдера и маршрутизатор P (provider), который находится в ядре сети провайдера. Одно или несколько CE-устройств, расположенных в системах клиента, подключены через канал передачи данных (PPP, ATM, Ethernet, frame relay) к одному или нескольким PE-маршрутизаторам. Администрированием VPN, как правило, занимается сервис-провайдер, а логические функции находятся на границе сети оператора, а не у клиента.

Понятие VR (virtual router) обозначает логический маршрутизатор (то есть отдельный элемент протокола маршрутизации и связанных с ним таблиц), который работает внутри физического маршрутизатора. Каждый VR ведет себя как физический маршрутизатор и поддерживает равноправные взаимоотношения со всеми остальными VR и CE-маршрутизаторами, входящими в VPN-домен. Подход VR прямолинеен и прост -- связь каждого с каждым. Хотя в этом подходе могут использоваться различные протоколы, он не привязан к одной базовой технологии. VR использует стандартную маршрутизацию 3-го уровня и взаимодействует в пределах ядра с применением туннельных механизмов (например, IPSec, L2TP, PPP), для того чтобы создавать виртуальные соединения. MPLS также может использоваться для туннелирования. VR может поддерживать любой разрешенный протокол, в том числе BGP, OSPF, IS-IS или RIP.

Архитектура BGP/MPLS сложнее. В подходе BGP/MPLS используются MPLS-пути в рамках IP-сети. Каждый PE-маршрутизатор поддерживает BGP-отношения с любым другим PE-маршрутизатором. Кроме того, каждое PE-устройство подключено к каждому PE-устройству, входящему в VNP-подсеть. Второй уровень VNP-подсетей отвечает за пути, которые поддерживают связь с CE-маршрутизаторами (этот подход известен под кодом IETF RFC2547bis и является дополнением к RFC2547).

При использовании подхода VR уровень безопасности выше, чем у BGP/MPLS. Если требуются сильные функции шифрования и идентификации, то IPSec использует туннели и кодирование, обеспечивая сохранность данных. Однако у подхода VR есть несколько серьезных недостатков. Во-первых, производительность. Шифрование приводит к запаздыванию, поскольку пакеты, получаемые на входном маршрутизаторе, должны шифроваться и преобразовываться в IP-пакеты. А в точке выхода маршрутизатор должен провести обратное преобразование, на это тоже требуется время. Использование дополнительных функций безопасности (например, DES или Triple DES) вызывает еще большее запаздывание. Во-вторых, масштабируемость. Каждый CE-маршрутизатор должен поддерживать взаимоотношения со всеми другими CE и VR, входящими в VPN-домен, а также поддерживать несколько копий протокола маршрутизации, что вызывает большую нагрузку на маршрутизаторы PE и CE, особенно в крупных сетях. Кроме этого, по мере роста числа абонентов приобретают все большее значение проблемы масштабируемости и управляемости.

В решении BGP/MPLS используются существующие в сети оператора BGP-отношения между маршрутизаторами, что позволяет клиентам избегать необходимости поддержки MPLS или каких-либо VPN-функций. При этом задержка минимальна, поскольку в данном решении не предполагается дополнительное шифрование и преобразование. Кроме того, сложные сети могут легко и экономно конфигурироваться операторами, поскольку при добавлении новых услуг маршрутизаторы, находящиеся в ядре сети или на стороне заказчика, конфигурироваться не должны. В результате время реализации значительно снижается. Но у этого подхода есть и недостатки -- часть специалистов считает, что он менее надежен, чем подход VR. Хотя многие придерживаются мнения, что сочетание преимуществ технологий IPSec и MPLS в сети провайдера может обеспечить безопасность VPN. Кроме того, реализация MPLS и BGP в ядре сети оператора может быть очень сложной, особенно для небольших операторов, однако большинство средних/крупных операторов уже используют BGP и рассматривают возможность использования MPLS.

Конечно, в идеальном случае сервис-провайдер хотел бы поддерживать оба подхода, однако это непрактично. Для мелких сетей с умеренным количеством абонентов, не ожидающих значительного роста и нетребовательных к новым услугам, предпочтительней подход VR. Для операторов и ISP с крупными сетями, которые поддерживают тысячи абонентов и ожидают значительного роста, и к тому же нуждаются в гибком решении для поддержки этого роста, правильней подход BGP/MPLS. Однако дебаты внутри рабочей группы IETF Provider Provisioned VPN по поводу того, какая технология лучше, не прекращаются. Поэтому сегодня выбор подхода к реализации VPN зависит от провайдера. И клиентам необходимо с этим считаться.

Перспективы
Какая бы из реализаций VPN-технологий ни победила, прогресс в развитии VPN-технологий сейчас очень кстати, ведь безопасный сетевой доступ становится все более важным для компаний со множеством филиалов и мобильных сотрудников. И ключевую роль здесь играет способность VPN снижать цены на каналы доступа и предотвращать несанкционированный доступ к чувствительной корпоративной информации.

Рынок мгновенно откликнулся на эту ситуацию. По данным Infonetics Research, в первой половине 2001 года рынок VPN-продуктов более чем вдвое увеличил объем своих доходов по сравнению со второй половиной 2000 года -- с $313 млн. до $706 млн. Согласно некоторым исследованиям, рост VPN даже больше, чем просто взрывной: более 50% компаний планируют реализовать VPN к концу 2002 года.

VPN-системы сегодня наконец стали оправдывать связанные с ними надежды, и предприятия, телекоммуникационные компании и сервисные провайдеры активно начинают использовать их преимущества.

Success story
Главная ценность Kaiser Permanente, крупнейшей в США компании, предоставляющей услуги по здравоохранению 8,2 млн. пациентам -- электронные медицинские записи, которые охраняются надежно, словно золотые слитки. Бизнес Kaiser зависит от того, может ли компания передавать -- и передавать надежно -- эти данные из своей штаб-квартиры десяткам и сотням тысяч своих сотрудников и партнеров, которые находятся в 450 точках в девяти штатах.

Проблема крайне серьезна. Каждый месяц 5 тыс. удаленных пользователей подключаются к корпоративной сети компании и через несколько лет их число значительно возрастет, поскольку все большему числу из 100 тыс. сотрудников Kaiser требуется доступ к критическим данным из удаленных точек. Обеспечение безопасности данных, доступ к которым осуществляется с таким размахом, в любом случае будет делом весьма непростым. Еще более усугубляет положение то, что, согласно федеральному акту Health Insurance Portability and Accountabillity Act от 1996 года, Kaiser обязана выполнить дополнительные требования по обеспечению конфиденциальности медицинских записей пациента. Хочешь -- не хочешь, но компания обязана закрыть доступ посторонних лиц к личным данным пациента и при этом позволить врачам свободно работать с данными из удаленных офисов.

До недавних пор Kaiser передавала информацию по выделенным линиям и dial-up. Однако этот подход становился все дороже. Кроме того, передача больших файлов с помощью услуг dial-up проходила мучительно медленно. Средняя стоимость такой системы в год на одного пользователя составляла $480, что было очень дорого.

Запуск VPN-проекта
В ноябре 2000 года Kaiser запустила проект новой сети на основе технологий виртуальной частной сети (VPN) и защищенной инфраструктурой открытых ключей (PKI). В рамках проекта 300 сотрудникам Kaiser предоставляются данные о пациентах, а также финансовые данные от поставщиков и производителей лекарств.

Поскольку технология VPN кодирует данные при перемещении по интернету, защищая их от любопытных глаз, Kaiser смогла отказаться от аренды выделенных линий и dial-up. Вместо этого сотрудники и партнеры стали использовать интернет и широкополосную связь. А ПО PKI, установленное на обоих концах соединения, заботится о том, чтобы доступ к VPN-системе могли получать только авторизованные пользователи.

Первые результаты применения новой технологии "были просто отличными, -- с восторгом говорит Джим Бест, CIO компании Kaiser. Я могу работать из дома с DSL-скоростью, что позволяет мне полнее использовать телекоммуникационные возможности". Сейчас Kaiser приступила ко второй фазе VPN-проекта. В сентябре 2001 года компания распространила технологию на 3200 сотрудников.

Возврат инвестиций
На решение этой задачи Kaiser уже потратила более $5 млн. и продолжает вкладывать средства в создание надежной сети. Однако точно посчитать, сколько денег удастся сэкономить при использовании VPN-технологии, пока нельзя, считает Бест. По мнению Боба Лонадьера, директора по стратегиям безопасности компании Hurwitz Group, переход на VPN с аренды выделенных линий и dial-up может снизить стоимость безопасной передачи данных до 70%. Такой впечатляющей отдачей от инвестиций "нельзя пренебрегать ни в хорошие, ни в плохие времена. Преимущества слишком велики, чтобы их игнорировать".

Однако расходы на VPN являются лишь одной из составляющих бюджета по безопасной передаче данных. Kaiser потратила $3,5 млн. на создание PKI -- технологии, которая требует предоставления набора ключей и сертификатов для пользователей, создания серверов сертификатов и значительного перекодирования приложений. Джеральдина Мартин, директор Kaiser по IT-безопасности, говорит, что Kaiser планирует вернуть свои инвестиции примерно за три года. Это не быстро, однако другие методы обеспечения безопасности удаленной работы требуют еще большего срока.

Уже сейчас компания ежедневно экономит значительные суммы на поддержку системы. В прошлом, по словам Мартин, система идентификации каждого приложения оценивалась отдельно на соответствие требованиям федерального законодательства. Сейчас целая группа приложений переводится в единую PKI-систему идентификации. "Со временем это поможет сэкономить средства для любой компании, которая использует большое число приложений", - считает она.

Критерии выбора VPN

1. Безопасность и снижение расходов.
Уровень безопасности - это самый важный критерий. VPN-решение привлекательно, только если оно предлагает безопасность при значительном снижении расходов по сравнению с арендой выделенных каналов или построения собственных. Однако помните, что задача обеспечения безопасности -- комплексная. Только в сочетании с firewall-защитой и интегрированными дополнительными приложениями безопасности, такими, как мониторинг вторжений, поддержка цифровых сертификатов, DOS, Radius-функции и идентификация клиентов, VPN-решение позволит создать мощную коммуникационную платформу, позволяющую передавать по интернету бизнес-информацию компании.

2. Гибкость и надежность.
Оборудование для VPN-инфраструктуры должно поддерживать разнообразные архитектуры и протоколы. VPN-системы должны иметь много сетевых интерфейсов, поддерживать совместимость с существующим оборудованием, устраняя потребность в установке дополнительных сетевых устройств. VPN-решение также должно включать в себя надежные функции зашиты от сбоев практически для всех аппаратных и программных компонентов, как и в любой другой сетевой инфраструктуре. Конфигурации портов должны включать в себя поддержку на случай сбоев, чтобы при отказе порта задачу можно было автоматически перевести на другой порт, что позволит поддерживать работоспособность сети.

3. Легкость управления.
Управление - это важнейший критерий выбора VPN. Продвинутые функции сетевого управления уменьшают необходимость использования дополнительного оборудования, а также предлагают детальные функции отчетности и оповещения о выявленных инцидентах. Полноценное VPN-решение управления должно предоставлять сетевым администарторам простые инструменты интегрированного доступа удаленного и локального управления. Единая точка контроля необходима для мониторинга посредством поддержки широко распространенных инструментов управления корпоративного класса. Развитие VPN-продуктов привело к тому, что теперь они могут интегрировать множество VPN-требований в одной системе, включая firewall, балансировку нагрузок, проверку контента, проверку URL, отслеживание вторжений и инициализации отказа в обслуживании, антивирусную защиту, маршрутизацию и управление. Централизация ключевых функций является важнейшим звеном для управления критическими VPN-приложениями, поддерживающими цифровые ресурсы организации.

4. Скорость и масштабируемость.
Важна и скорость соединения. Для крупных предприятий существуют VPN-решения, которые работают на скоростях до 2 Гбит/с и предлагают от 100 до 40 тыс. VPN-туннелей. Критическим моментом для обеспечения скорости является способность технологии масштабироваться.

Даниил Фертф. (опубликовано в журнале "Сетевой" №5.2002).

Многими экспертами WS-Security рассматривается как один из ключевых стандартов безопасности веб-сервисов. Среди компаний, которые уже заявили о поддержке WS-Security: Baltimore Technologies, BEA Systems, Cisco Systems, Documentum, Entrust, Intel, Iona, Netegrity, Novell, Oblix, OpenNetwork, RSA Security, SAP, Sun Microsystems и Systinet. В середине апреля IBM выпустила дополнения к своему инструментарию Web Services Toolkit for dynamic e-business, где были реализованы некоторые элементы WS-Security.
(источник - http://www.compulenta.ru/, опубликовано 28.06.2002)

Станет ли технология с кодовым названием Palladium оплотом безопасности или же источником головной боли для Microsoft, во многом зависит от решений, которые компании еще предстоит принять. Если все будет сделано правильно, сплав защищенных ПО и аппаратуры может оказаться надежным хранилищем персональных данных, проникнуть в которое будет нелегко. В противном случае система позволит Голливуду, фирмам звукозаписи и другим компаниям следить за зрителями и слушателями их медиафайлов. Microsoft посвятила в свои планы CDT и другие правозащитные группы, и организация Дэвидсона решила, что, так как до этапа реального проектирования компании еще далеко, судить, как повлияет данная технология на права потребителей, пока рано. По словам менеджера проекта Microsoft Марио Жуареса (Mario Juarez), в виде готового продукта Palladium появится не раньше второго полугодия 2004 года. "О сроках начала поставок говорить пока рано", — заявил Жуарес. Проект, первое сообщение о котором появилось на этой неделе в журнале Newsweek, должен соединить новейшие достижения в области процессоров и системных плат Intel и Advanced Micro Devices с будущей версией Windows, в систему защиты которой должны быть внесены коренные изменения с добавлением новой технологии управления правами доступа. Сочетание аппаратных элементов с программными способно повысить безопасность большинства, если не всех операций с ПК.

Проект предусматривает создание внутри ПК специальной зоны, в которой ПО сможет работать безопасно. Это защищенное пространство не допустит несанкционированного изменения данных, что значительно усложнит работу таких программ, как вирусы и "троянцы". Кроме того, введение в систему технологии управления цифровыми правами, которая значится в списке пожеланий голливудских медиагигантов, сделает копирование цифровых медиафайлов практически невозможным. "Microsoft давно хотела реализовать управление цифровыми правами. По мере расширения доступности видеоконтента этот вопрос звучит все острее, — говорит аналитик IDC Роджер Кей (Roger Kay). — Но для этого потребуется выйти за пределы простого шифрования".

Сегодня защита ПК во многих случаях сводится к шифрованию данных, хранящихся на жестком диске, или к их передаче по интернету с использованием виртуальной частной сети. Однако в большинстве случаев средства защиты ограничиваются паролем, который можно подобрать, а иногда еще и хранящимся на жестком диске цифровым ключом, который можно скопировать. Новая аппаратура, необходимая для работы Palladium, хранит ключи в электронном сейфе, не доступном никому, даже пользователю. Данные и программы, для доступа к которым сегодня достаточно одного пароля, в системе Palladium будут защищены паролем пользователя и ключом ПК. Файл, переписанный на другой компьютер, становится недоступным, так как у этого компьютера другой ключ. Медиагиганты, мечтающие продавать свой контент по интернету, уверены, что в ближайшие пять лет благодаря распространению широкополосного доступа и более быстродействующих ПК индустрия достигнет того уровня, когда система защиты, подобная Palladium, станет необходима. Однако ее значение не ограничивается контролем за медиафайлами. Возможность надежно хранить данные и уверенно выполнять программы нужна, например, для веб-сервисов самой Microsoft .Net. "Эту систему можно считать аппаратным якорем, гарантирующим полную безопасность", — говорит Жуарес. Ввиду такой важности проекта компания серьезно настроена в отношении работы с правозащитниками. "Пусть они испытают нас, — говорит Жуарес. — Их голос и их соображения важны для этого проекта". Новая технология, какой она видится сегодня, позволит расширить возможности Windows, но не повлияет на совместимость операционной системы с приложениями. "Все, к чему люди привыкли в Windows, сохранится, — говорит Жуарес. — Чтобы эти новые возможности заработали, пользователь должен будет сознательно включить их".

Жуарес поспешил дистанцировать проект от продвигаемой Голливудом технологии управления цифровыми правами, которую основная масса пользователей не поддерживает и за которой тщательно наблюдают правозащитники. Управление цифровыми правами позволяет владельцу авторских прав полностью контролировать характер использования авторских произведений. Технология защиты контента может ограничивать права потребителей на "добросовестное использование". Однако Жуарес признает, что программная часть Palladium базируется главным образом на методах, запатентованных Microsoft в декабре прошлого года под названием "Операционная система управления цифровыми правами". В патенте описываются способы использования фундаментальных технологий, которые сами по себе не служат для защиты цифрового контента, но в сочетании с решением управления цифровыми правами, входящим в Palladium, способны обеспечить его неприкосновенность.

Жуарес утверждает, что название патента вводит в заблуждение. "Пожалуй, это самое неудачное наименование за всю историю патентов, — говорит он. — Управление цифровыми правами — это лишь часть возможностей, обеспечиваемых этим ПО". Изменения в Windows будут сопровождаться собственными инициативами Microsoft в области разработки аппаратуры защищенных компьютеров. Софтверный гигант участвует и в альянсе Trusted Computing Platform Alliance (TCPA), но над аппаратной поддержкой для проекта Palladium работает не в рамках этой организации, а непосредственно с такими компаниями, как Intel и AMD. Тем не менее, по словам директора по защищенным решениям отделения IBM РС Кляйна Андерсона (Clain Anderson), в основе проекта Palladium лежит разрабатываемая TCPA конструкция защищенного компьютера. В прошлом году TCPA приняла технологию IBM в качестве своего стандарта защищенной аппаратуры. IBM уже почти три года выпускает ПК со встроенной защитной микросхемой. Постепенно Big Blue добавляет новые возможности и в программное обеспечение защиты своих компьютеров.

На долю Intel и AMD вместе приходится около 99% рынка микропроцессоров для ПК и некоторых игровых консолей, таких как Xbox. В год выпускается 140-150 млн ПК. Львиная доля рынка чипсетов для ПК также принадлежит Intel. Недавно президент Intel Пол Отеллини (Paul Otellini) в своем выступлении пообещал, что его компания займется вопросом защищенности ПК. Однако в понедельник представитель компании заявил, что комментировать подобные планы пока слишком рано.

Представители AMD высказываются смелее. "Мы пойдем дальше микропроцессора", — сказал вице-президент компании Патрик Мурхед (Patrick Moorhead). AMD планирует внести в свои процессоры изменения, требуемые для поддержки Palladium, и намерена сотрудничать в этой области с производителями чипсетов и BIOS. Правда, конкретных сроков появления подобных технологий AMD не называет.
(источник - http://www.zdnet.ru/, опубликовано 27.06.2002)

По мнению Дэйла Ватсона\Dale Watson, помощника директора ФБР по контртерроризму и контррразведке, угроза кибертерроризма оказалась много больше, чем ожидалось, а функции кибертерроризма невероятно расширились из-за тотального распространения Интернет. По словам Ватсона, угрозой становятся не просто взломы закрытых информационных систем государственных органов для получения доступа к базам данных или секретной информации - спецслужбы достаточно успешно противостоят подобным попыткам. Наибольшую опасность представляют взломы открытых сайтов и компьютерных сетей. Атакуя их кибертеррористы достигают ряда целей. Во-первых, они получают доступ к секретной информации - к примеру на многих сайтах местных органов власти выложена информация, которая может представлять повышенный интерес для террористических групп, например, схемы подземных коммуникаций. Во-вторых, преступники получают возможность получить доступ к личным данным многих пользователей Сети - начиная от их адреса и номера телефона, до подробной информации о личности человека, включая его хобби и распорядок жизни.

В-третьих, похищение информации о кредитных карточках позволяет преступникам и террористам похищать деньги - ряд исламистских террористических организаций (в том числе "Аль-Каеда") используют этот метод для пополнения своих касс.По данным Уильяма Черча Williams Church, основателя Международной Ассоциации Профессионалов Контртерроризма и Безопасности\International Association of Counterterrorism Security Professionals, террористическая организация "Ирландская Республиканская Армия"(ИРА)\Irish Republican Army создала специальные группы из числа сочувствующих хакеров, которые выполняли две основные задачи: похищали деньги для ИРА и собирали информацию для будущих терактов. Террористы, готовившие теракты 11 сентября, могли свободно собрать всю необходимую информацию в Интернет. По статистике ФБР, наиболее популярными мишенями кибертеррористов являются военные организации, электростанции, банки, транспортные центры и телекоммуникационные сети как таковые.

Компьютерные атаки против государственных учреждений США уже сложно подсчитать. По данным ЦРУ\CIA, за последние три года интернет-представительства центральных органов власти США были атакованы 750 тыс. раз. По другим источникам, число таких атак может достигать 1 млн. Только на сети Космического Командования США\US Space Command в 2001 году было предпринято более 30 тыс. атак. За период с 1998 по 2001год их число возросло в пять раз. Подавляющее большинство злоумышленников остаются на свободе, неизвестно, какие организации или государства стоят за подобными вторжениями.

Кроме всего прочего, кибертеррористы обеспечивают свои организации оперативной и надежной связью. Многочисленные чаты и форумы, существующие в Интернете, идеально приспособлены для передачи зашифрованных посланий и приказов. Современные технологии позволяют легко распространять в Сети карты и фотографии. Метод стеганографии (скрытой передачи изображений) доступен - как минимум 140 различных инструментов для стеганографии можно свободно получить в Интернет. Интернет стал идеальным местом и для начинающих террористов. В нем существует масса сайтов, на которых выложена детальная информация о том, как возможно изготовить оружие и взрывчатку из подручных материалов, как как их использовать и т.д. В Сети существуют сайты, через которые открыто ведется рекрутирование новых членов террористических организаций. Попытки спецслужб отследить организаторов подобных операций, как правило, безуспешны.

В 2003 году США планируют выделить специально созданной структуре ФБР по борьбе с кибертерроризмом - Национальному Центру по Защите Инфраструктуры\ National Infrastructure Protection Center- $125 млн., что на $50 млн. больше, чем в 2002 году. Однако и этого может оказаться недостаточным. По мнению Дороти Деннинг\Dorothy E. Denning, научного сотрудника Джорджтаунского Университета, в ближайшие годы, если не десятилетия, кибертеррористы будут побеждать в битвах с правоохранительными органами. Прежде всего потому, что компьютерные взломы и атаки стали не уникальными случаями, а массовым явлением.
(источник - WPF, опубликовано 25.06.2002)

Выводы, которые делают аналитики Egg, достаточно просты. Во-первых, пользователям при выборе пароля почаще следует напрягать свое воображение: не использовать свои персональные данные и вставлять в пароль цифры и специальные символы (для этого можно также воспользоваться специальными программами-генераторами паролей). Во-вторых, пароли следует регулярно менять и скрывать от посторонних глаз.
(источник - www.compulenta.ru, опубликовано 24.06.2002)

Специалисты компании Инфотекс ответят на все ваши вопросы, связанные с продуктами ViPNet, помогут в случае проблем при инсталляции и эксплуатации наших продуктов, а также проконсультируют по общим вопросам информационной безопасности...

Технология ViPNet, основанная на использовании средств криптографической защиты информации (СКЗИ) "Домен-К", предоставляет два варианта интерфейса API для встраивания функций электронной цифровой подписи (ЭЦП) во внешние приложения:

• Для "тонких" приложений, использующих Web-технологии
• Для "толстых" приложений

Для встраивания функций ЭЦП в "тонкие" приложения, использующие Web-технологии, можно использовать COM-объект, предоставляющий три функции:

• подписать некоторую строку
• проверить подпись подписанной строки
• получить информацию о пользователе, подписавшем строку

Подпись файлов данным COM-объектом пока не поддерживается, так как для Web-технологий это, как правило, не нужно. Это накладывает определенные ограничения на использование этого объекта в "толстых" приложениях, которые могут оперировать не только со строками (экранными формами), но и с большими документами (файлами).

Для "толстых" приложений предпочтительно использовать более гибкий вариант API, позволяющий подписывать не только области памяти, но и файлы.
Формат сертификата открытых ключей подписи соответствует версии 3 международного стандарта X.509 и требованиям федерального Закона об ЭЦП.

СКЗИ "Домен-К" предназначены для встраивания в прикладное программное обеспечение, функционирующее под управлением операционных систем Windows 95/98/ME/NT4/2000/XP.

Для встраивания функций ЭЦП во внешние приложения необходимо, прежде всего, установить определенное программное обеспечение (ПО) для Центра регистрации, Центра сертификации (Удостоверяющего центра), а также клиентское ПО.

1. Минимальный вариант поставки ПО:

• Пакет программ ViPNet [Администратор], состоящий из программы "Центр управления сетью" (ЦУС) и "Ключевой центр" (КЦ). В терминах PKI функции центра регистрации выполняет ЦУС, а функции центра сертификации (удостоверяющего центра) выполняет КЦ.
• Комплект динамических библиотек, устанавливаемых на клиентских местах, и обеспечивающих необходимую функциональность работы с ЭЦП (подпись, проверка подписи).

В этом варианте предполагается, что ответственность за жизненный цикл ключей (контроль срока действия и доставка) полностью возлагается на приложение, в которое встраивается ЭЦП. В ЦУСе производится регистрация пользователей. КЦ формирует корневые сертификаты, секретные ключи подписи и сертификаты открытых ключей подписи и сохраняет их в виде файлов. Доставка этих файлов на клиентские места должна осуществляться каким-то защищенным способом (лично в руки, фельдъегерской связью, транспортом приложения и т.д.).

2. Оптимальный вариант поставки:

• Пакет программ ViPNet [Администратор],
• Пакет программ ViPNet [Координатор], выполняющий функции сервера для обеспечения доставки необходимой ключевой информации. Таких серверов может быть один или несколько в зависимости от конфигурации сети.
• Пакет программ ViPNet [Клиент-Lite], не только обеспечивающий необходимую функциональность работы с ЭЦП, но и обеспечивающий автоматизированное защищенное обновление всех ключей.

3. Максимальный вариант поставки:

• Пакет программ ViPNet [Администратор],
• Пакет программ ViPNet [Координатор], выполняющий функции сервера для обеспечения доставки необходимой ключевой информации. Таких серверов может быть один или несколько в зависимости от конфигурации сети.
• Пакет программ ViPNet [Клиент], обеспечивающий необходимую функциональность работы с ЭЦП и автоматизированное защищенное обновление всех ключей. Кроме того, ViPNet [Клиент] обеспечивает функции персонального сетевого экрана, что позволяет обеспечить защиту ключей и функций ЭЦП от атак из сети на компьютер.

При автоматизированном обновлении ключей с помощью технологии ViPNet реализуется следующий жизненный цикл ключей подписи:

1. В ЦУСе регистрируют абонента
2. В КЦ для него формируют секретный ключ подписи и сертификат открытого ключа подписи
3. Первоначально эти ключи передаются абоненту лично в руки в обмен на регистрационную карточку с распечаткой сертификата, заверенную рукописной подписью абонента.
4. За некоторое время до истечения срока действия сертификата (по предупреждению программы) или в любой момент по своему желанию абонент на своем рабочем месте формирует новый секретный и открытый ключи подписи. Запрос на сертификацию открытого ключа подписи автоматически через ViPNet [Координатор] отправляется в ЦУС, который передает его в КЦ.
5. КЦ сертифицирует открытый ключ подписи и через ЦУС сертификат отправляется на ViPNet [Координатор], откуда при подключении абонента к сети сертификат попадет на его компьютер.
6. Отзыв сертификатов (например, в случае компрометации ключей) осуществляется в ЦУСе по требованию абонента. КЦ формирует списки отозванных сертификатов и рассылает их через ЦУС на рабочие места.
7. Новая подпись абонента вступает в действие после получения им сертификата.
8. Абонент может иметь несколько действующих подписей, срок действия которых не истек, и они не выведены из действия по другим причинам.
9. Сертификат ни в какие справочники не включается (за исключением общего справочника сертификатов в КЦ) и по сети не распространяется, так как по технологии СКЗИ "Домен-К" сертификат всегда включается в состав подписи подписанной информации. Такая технология значительно упрощает службу поддержки актуальных подписей.
10. Сертификаты открытых ключей пользователя не удаляются из базы КЦ и хранятся в течение установленного срока хранения для проведения (в случае необходимости) разбора конфликтных ситуаций, связанных с применением ЭЦП.

здесь можно загрузить контрольный пример интерфейса для встраивания функций ЭЦП Домен-К во внешние приложения.

Познакомиться с нашими решениями и получить более подробную информацию можно на web-сервере - http://www.infotecs.ru или по телефону (095) 737-6192 

Также получить ответы на интересующие Вас вопросы, Вы можете на нашем форуме, находящемся по адресу: http://www.infotecs.ru/phpBB2/index.php

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel, ViPNet Office Firewall находятся по адресу: http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.