ViPNet Описание
ViPNet- это VPN решение компании ОАО "Инфотекс" постороенное на базе криптографических срдств ViPNet CSP.
Центр КриптоЗащиты является одним из держателей узла защищенных сетей на базе технологии ViPNet, а также владельцем собственной защищенной сертифицированной сети
Наша защищенная сеть связывает тысячи абонентов зашифрованными каналами, используя технологии туннелирования как через Интернет, так и через выделенные сети.
Несмотря на то что мы организуем взаимодействие, мы только управляем конфигурацией сети, ее обновлением и выдачей Вам ключей шифрования. Мы не имеем доступа к передаваемой информации, и только соединяем абонентов,где бы они не находились. Обеспечиваем идентификацию, подтвержденную криптографическими методами, неизменность информации, гарантируем доставку документов.
Для подключения к сети, а также подключения к Вам защищенных абонентов, перечень которых определяете Вы, Вам необходимо обратиться в Центр КриптоЗащиты с Заявлением на подключение.
ViPNet Описание технологии
ViPNet, что это.
ViPNet - это российская, сертифицированная ФСТЭК и ФСБ, технология организации защищенный сетей ОАО "Инфотекс" на базе алгоритмов ГОСТ.
Несмотря на то, что она сертифицирована ФСБ, это еще не значит, что они имеют доступ к Вашим данным при передаче. Они просто подтверждают, что данная технология действительно безопасна на текущий момент и с текущим уровнем развития, как науки, так и техники. Это одна из причин, по которым мы вынуждены менять программное обеспечении достаточно часто, так как выходит новый уровень угрозы, необходимо модифицировать алгоритмы, программное обеспечение, ключи.
Двадцать лет назад сам факт шифрования сообщений означал, что они, вероятно, содержат данные внешней разведки, так как только правительство и другие важные цели имели возможность приобрести или разработать и внедрить шифрование коммуникаций.
Сегодня каждый, кто использует Интернет, может получить доступ к веб-страницам с использованием сильных механизмов шифрования, обеспеченных протоколом HTTPS, а компании любого уровня могут внедрять виртуальные частные сети (VPN), чтобы их сотрудники получали доступ к чувствительной или закрытой корпоративной информации через Интернет из любой точки мира. SID называет такие широко распространенные форматы шифрования, которые представляют большую сложность для SIGINT, «повсеместно используемым шифрованием».
В теории VPN создает безопасный туннель между двумя точками в Сети. Все данные, криптографически защищенные, направляются в этот туннель. Но когда речь идет об уровне безопасности VPN, слово «виртуальный» как нельзя лучше подходит для его описания. Все потому, что АНБ работает над крупномасштабным проектом использования VPN для взлома большого количества соединений, что позволяет Агентству перехватывать информацию, передающуюся в сетях VPN – включая, к примеру, VPN-сеть правительства Греции. Согласно документу, попавшему в руки Spiegel, команда АНБ, ответственная за работу с греческими VPN-коммуникациями, состоит из 12 человек.
VPN-соединения могут быть построены на основе различных протоколов. Наиболее часто используется туннельный протокол точка-точка (Point-to-Point Tunneling Protocol, PPTP) и протоколы безопасности IPsec (Internet Protocol Security). Эти протоколы не представляют особых проблем для шпионов АНБ, если те действительно хотят взломать соединение.
«При правильном использовании сильные криптосистемы – одна из немногих вещей, на которые вы можете положиться», – заявлял Сноуден в июне 2013, после своего перелета в Гонконг.
Неслучайно, что открытое сообщество активно стало использовать алгоритмы ГОСТ в делах свзанных с защитой каналова и данных, после раскрытия действий некоторых агенств.Именно поэтому В РФ используют сертифицированные криптографические средства, котороые не подвержены взлому на сегондяшний день.
Но вернемся к нашим решениям.
Что же входит в защищенную сеть.
Центр управления сетью (находиться в Центре КриптоЗащиты)
Удостоверяющий центр Сети (находиться в Центре КриптоЗащиты)
Координатор (находиться в Центре КриптоЗащиты)
Абонентский узел (находиться у пользователя)
Содержит все узлы ,связи, управляет сетью
Обеспечивает сертификатами абонентов, обеспечивает связность сети, регистрацию ключей пользователей и доведение необходимых ключей до абонентов для их функционирования.
Связывает сеть воедино.
Обеспечивает шифрование,ЭП,сетевую защиту, защищенную деловую почту.
Самые типовые и нужные задачи мы и опишем.
- Задача 1. Единое защищенное пространство.
Необходимо обеспечить защиту рабочей станции в офисе в Волгограде от проникновения из внешних сетей, и гарантированную безопасную связь с рабочей станции в Хабаровске, так как будто они находятся рядом, и их не разделяют множество километров проводов, чужого оборудования и потенциальных злодеев на пути нашего сигнала.
Ставим два ViPNet клиента, настраиваем блокировать все , кроме необходимых портов и связываем ViPNet клиенты между собой, то есть а абонента в Волгограде появится абонент из Хабаровска и наоборот. В этот момент они получают ключи,для первоначальной инициализации персонального ключа шифрования для организации защищенного канала между этими двумя абонентами.
Для работы VIPNet в данном случае, необходим только выход в Интернет, и наши абоненты автоматически организуют персональный выделенный канал через весь Интернет, так, как будто они работают в соседних кабинетах.
- Задача 2. Защита сервера.
Есть сервер с особо важными данными и мы хотим чтобы туда подключались наши филиалы или отдельные сотрудники, выезжающие в любую точку. Причем нельзя допустить подключения к нашему серверу других лиц, и вообще чтобы он хоть как то появлялся в интернете.
Отключить от интернета не вариант, так как к нему должны подключаться для работы с данными наши надежные сотрудники, причем с разных адресов, так как могут использовать сотовую связь, подключение в локальную сеть с выходом в интернет через какое-либо оборудование, или вообще из дома.
Ставим ViPNet клиент на сервер, настраиваем блокировать все , кроме необходимых портов,связываем абонентов ViPNet у наших клиентов с абонентом ViPNet сервера, и настраиваем ViPNet на сервере принимать подключения только с защищенных клиентов. Где бы вы не были, при подключении в сеть, клиент находит сервер, обменивается параметрами связи и шифрования и устанавливается персональный защищенный канал между сервером и абонентом. Всех сторонних злоумышленников он будет отклонять, и они его вообще не найдут при сканировании, несмотря на, то что он смотрит в интернет.
- Задача 3. Безопасная и гарантированая перередача сообщений.
Необходимо обеспечить защиту рабочей станции в офисе Волгограде от проникновения из внешних сетей,и защищенную Деловую почту и гарантированную безопасную связь с рабочей станции в Хабаровске. То есть нам надо обеспечить, чтобы документы передаваемые в Хабаровск были юридически значимыми и мы знали , что они дошли и гарантировано приняты.
Ставим два ViPNet клиента, настраиваем блокировать все , кроме необходимых портов. Связываем ViPNet клиенты между собой, то есть а абонента в Волгограде появится абонент из Хабаровска и наоборот, а также в дело вступает маршрутизирующий узел Сети - Координатор. Именно через него происходит связывание множества абонентов в единый сеть и он может передать посылку другому узлу, все зависит от связности.
Да, абоненты могут быть настроены непосредственно на передачу между собой. Но есть ряд моментов, Вы отправляете письмо, и необходимо чтобы абоненты у обоих были включены в этот момент, и если один из них выключен, то письмо может никогда не будет отправлено или принято. В случае координатора, ваши зашифрованное письмо уходит на координатор, и ждет там, когда другой абонент подсоединится к координатору и его заберет. Соотвественно? Вы получите все подтверждение о доставке и прочтения у себя.
Координатор не вскрывает ваши сообщения, и не может их расшифровать, так как они щифрованы на ключи получателя, он только доставит его получателю и передаст Вам сообщения об этом.
Что делает Деловая почта.
Для обеспечении юридически значимости документа используется электронная подпись в соответствии с ФЗ63.
Ваш документ помещается в новое письмо, подписывается Вашим сертификатом и шифруется в адрес двух абонентов- вас и и получателя.
После выполнения всех действий, письмо готово к отправке и имеет статус ПШУ(подписано шифровано упаковано).После отправки на сервер или в транспортную системы формируется посылка с уникальным идентификатором в транспортной сети. И статус письма меняется на ПШО (подписано шифровано отправлено).
До того как посылка не дойдет до получателя, статус письма так и будет, в состоянии отправлено. Как только письмо будет загружено в Деловую почту получателя - Вам придет изменения статуса, что данное письмо доставлено - статус ПШД (подписано шифровано доставлено),причем можно получить как техническое сообщение, так и подписанную квитанции о доставке, в зависимости от настроек.
После того как получатель открыл его и прочитал, отправляется квитанция о прочтении - статус меняется на ПШЧ и на этом можно с уверенностью сказать что получатель нашего письма гарантированно получил письмо и документ. Также на данное изменения статуса также можно получить подписанную квитанцию о прочтении.
С использованием функции Деловой почты настроены множество систем, начинаю от приема отчетности, обмена постановлении, доведения распоряжения до множества лиц с контролем получения каждым лицом, а также передачи критической важной информации, потому что только получатель может расшифровать сообщение и храниться оно на рабочей станции в зашифрованном виду в составе Деловой почты и никто, не загрузив ViPNet и введя пароль от Вашего персонального ключа не сможет получить доступ к этим данным.
- Задача 4. Защита станции и локальной сети.
Для данных целей ViPNet использует собственную защиты и технологии, такие как контроль соединения, контроль приложений, которые могут работать с сетью, функции изолирования станции при работе в сети Интернет (Открытый Интернет)
Функции защиты могут быть заданы как централизованно,так и настроены локально.
Для реализации изоляции рабочей станции от локальной сети(Функция Открытый Интернет)необходим отдельный координатор Открытого интернета, и при активации данной конфигурации устанавливается связь только с указанным координатором и запрет всех остальных соединений, что исключает включений данной машины в в сеть злоумышленника и использования ее в качестве промежуточной станции для атаки на соседние машины..