2. Програмно-апаратний комплекс ФПСУ-IP
ФПСУ-IP: Фільтр Пакетів Мережевого Рівня IP протоколу
Засіб криптографічного захисту інформації від
несанкціонованого доступу
VPN-будівник і міжмережевий екран з централізованим
керуванням для розподілених мереж
3. Програма лекції
- Вступ
- Загальні відомості про комплекс «ФПСУ-IP»
- Огляд лабораторної роботи
Комплект навчальних матеріалів:
Практикум по ПАК «ФПСУ-IP»
документація
4. ТОВ «Аміконі». Трохи історії
5. Склад програмно-апаратного комплексу «ФПСУ-IP»
Програмно-апаратний комплекс
міжмережевий екран «ФПСУ-IP»
VPN-будівник і основний компонент
Програмно-апаратний комплекс
«ФПСУ-IP / Клієнт»
VPN-клієнт для мобільних користувачів
Програмно-апаратний комплекс
«Віддалений адміністратор ФПСУ-IP»
засіб централізованого управління групою
міжмережевих екранів «ФПСУIP» і «ФПСУIP / Клієнтів»
6. Склад програмно-апаратного комплексу «ФПСУ-IP»
Управління ключовою інформацією
Спеціальне програмне забезпечення
«Центр вироблення ключів»
створення криптографічних ключів для взаємної
двосторонньої ідентифікації і аутентифікації між
міжмережевими екранами «ФПСУ-IP» і побудови
VPN-з'єднань поверх глобальних мереж
Спеціальне програмне забезпечення
«Центр генерації ключів Клієнтів»
створення криптографічних ключів для
аутентифікації і ідентифікації між
«ФПСУ-IP / Клієнтами» і міжмережевими екранами
«ФПСУ-IP»
побудови захищеного VPN-з'єднання між робочої
станцією і фаєрволом «ФПСУ-IP»
7. Загальна схема застосування
8. Основний компонент: ПАК МЕ ФПСУ-IP
Брандмауер програмно-апаратного комплексу «ФПСУ-IP»
є
програмно-апаратним
засобом
захисту
від
несанкціонованого доступу до інформації.
МЕ дозволяє виділяти у відкритій мережі захищені області з
обмеженим доступом, а також забезпечувати захищену передачу
даних між захищеними областями.
МЕ «ФПСУ-IP» працює по стеку протоколів TCP / IP і використовує
формат фрейму Ethernet II
9. Основні функції ПАК МЕ ФПСУ-IP
VPN-будівник: установка захищених
тунелів з іншими ПАК МЕ «ФПСУ-IP» для
організації безпечної передачі даних через
мережі, яким немає довіри (до 1024 тунелів)
VPN-шлюз: установка захищених тунелів з
клієнтською частиною комплексу - ПАК ФПСУIP / Клієнт (до 128 000 клієнтів)
Брандмауер: фільтрація переданих
даних на мережевому, транспортному (і, вибірково,
на сеансовому і прикладному) рівня (з
реєстрацією результатів фільтрації)
10. Апаратні платформи ПАК МЕ «ФПСУ-IP»
Коротка специфікація ПАК ФПСУ-IP
Виробник
ТОВ Аміконі
сертифікати
Сертифікати ФСТЕК, сертифікати ФСБ Росії
на що застосовується ЗКЗІ "Тунель 2.0"
Відповідність вимогам федерального
закону №152-ФЗ «Про персональних даних»
Може застосовуватися в ІСПДн класу К1
ОС / стек протоколів
На базі LINUX / власний
Кількість інтерфейсів і тип
2; 100/1000 / 10G Ethernet (UTP, Optic), 3-й
інтерфейс для комплексів за схемою "гарячий
резерв "
алгоритм шифрування
ГОСТ 28147-89
VPN-протокол / надмірність
Власний / не більше 26 байт на пакет
Ключова система / розподіл ключів
Симетрична / централізоване
Оброблювані рівні ЕМВОС
Управління та моніторинг
Мережний, транспортний. вибірково -
сеансовий і прикладної
Локальне та віддалене, з механізмами
"Відкату" при збоях. До 2048 комплексів на
один АРМ віддаленого адміністрування.
Підтримка SNMP-протоколу і Syslog
13. Легітимність застосування
ПАК «ФПСУ-IP» є сертифікованим ФСБ
засобом криптографічного захисту інформації
«Тунель 2.0», що дозволяє здійснювати шифрування
переданої інформації відповідно
з ГОСТ 28147-89.
ЗКЗІ «Тунель 2.0» (розроблено ТОВ Фірма
«ІнфоКріпт») має сертифікат ФСБ відповідності
рівнями КС1 і КС2
14. Легітимність застосування
ПАК «ФПСУ-IP» може застосовуватися для захисту
інформації:
яка не становить державну таємницю
в автоматизованих системах до класу
захищеності 1Г включно (Гостехкомиссией)
в інформаційних система персональних даних
(ІСПДн) до 1 класу включно (відповідно до
вимогами федерального закону №152-ФЗ «Про
персональних даних »)
15. Легітимність застосування
ПАК МЕ ФПСУ-IP має сертифікат Мінінформзв'язку
Росії на відповідність "Правил застосування
обладнання комутації та маршрутизації пакетів
інформації "за умов застосування на мережі зв'язку
загального користування в якості обладнання
комутації та маршрутизації пакетів інформації
мереж передачі даних
16. Завдання практикуму ФПСУ-IP
1. Налаштування роботи брандмауера ПАК ФПСУ-IP
2. Налаштування роботи VPN-будівника ПАК ФПСУ-IP
17. Загальна структурна схема стенду
18. Завдання практикуму
Огляд першого завдання. Основне завдання - навчитися
конфігурувати маршрутизацію і міжмережевий екран
«ФПСУ-IP»
19. Завдання практикуму
Огляд другого завдання. Основне завдання - навчитися
працювати з ключовою інформацією і налаштовувати VPNсоедіненія між «ФПСУ-IP»
20. Основні принципи роботи з ФПСУ-IP
інтерфейс
аутентифікація
конфігурація
тестування конфігурації
Пошук помилок
21. Операційна система ПАК МЕ «ФПСУ-IP»
Функціонування брандмауера відбувається під управлінням
власної (заснованої на Linux), ізольованою і функціонально
замкнутої операційною системою
Графічне середовище при локальному управлінні - псевдографіка
22. Ідентифікація, аутентифікація і аудит дії локального адміністратора
23. Конфігурація ФПСУ-IP
Принцип білого аркуша - все що явно не дозволено, то
заборонено
24. Порти ФПСУ
Тут задаються основні правил фільтрації абонентського
трафіку і спосіб передачі даних через МЕ "ФПСУ-IP".
Для кожного робочого порту МЕ необхідно створити
список абонентів, яким дозволяється підключатися до МЕ з боку
цього порту,
вказати суміжні МЕ "ФПСУ-IP"
вказати маршрутизатори, через які абоненти будуть доступні
встановити правила їх роботи.
25. Взаємні ідентифікація і аутентифікація МЕ «ФПСУ-IP»
Шифрування даних проводиться на сеансових ключах
аутентифікація МЕ - на довготривалих ключах парновиборочной зв'язку.
Схема двосторонньої аутентифікації МЕ "ФПСУ-IP", що працюють
в парі і створюють VPN-тунель для передачі IP-пакетів,
забезпечує стійкість переданих даних до пасивного
і активному перехоплення інформації.
26. Опис сусідніх ФПСУ-IP
В поле ФПСУ необхідно описати все вилучені МЕ
"ФПСУ-IP", які будуть брати участь в створенні VPNтуннелей передачі даних між захищеними ними
абонентами (мережами) і абонентами конфигурируемого МЕ
"ФПСУ-IP".
Створити описатель віддаленого МЕ "ФПСУ-IP" можливо
тільки в тому випадку, якщо відповідні ключі,
отримані від "Центру вироблення ключів", встановлені
на жорсткий диск і вказані до використання
27. Опис сусідніх ФПСУ-IP
28. Режими стиснення і шифрування
Відповідальність за узгодження конфігурацій двох МЕ
"ФПСУ-IP", через які здійснюється з'єднання
абонентів, і за відповідність встановлених на них
режимів несе адміністратор.
Відстеження помилок 1: LAN-адаптери
Відстеження помилок 2: ARP
Відстеження помилок 3: VPN-тунелі
Відстеження помилок 4: передачі
даних абонентів
Дякую за увагу!
Питання?
Волченков Павло
ТОВ «Аміконі»
контакти:
www.amicon.ru
mail to: [email protected]