Общие принципы функционирования комплекса

Допустим, что в общей коммуникационной сети существует фрагмент (подсеть), для которого необходимо осуществить разграничение доступа (фильтрацию) входящих и исходящих запросов на соединения. Для выполнения функции защиты компьютер, оборудованный программно-аппаратным комплексом "ФПСУ X.25", аппаратно подключается в разрыв цепи между этой подсетью и глобальной сетью X.25 (см. Рис. 3-1) парой физических линий (к защищаемой подсети - терминальная сторона, к глобальной сети - сетевая сторона) таким образом, чтобы все входящие и исходящие из подсети межсетевые потоки данных проходили через Сетевой фильтр Х.25 (СФ).

Абоненты защищённой подсети, подключенной к СФ с терминальной стороны, считаются местными абонентами, а остальные - удаленными.


Рис. 1. Функциональная схема использования комплекса

Таким образом, из глобальной сети выделяется группа абонентов (защищаемая подсеть), для которых обмен данными с абонентами глобальной сети может быть специальным образом регламентирован и проконтролирован.

Основная функция межсетевого экрана (МЭ) "ФПСУ Х.25" заключается в том, что он анализирует входящие и исходящие вызовы по совокупности критериев, осуществляет контроль доступа и определяет метод передачи данных. При этом существует различие в анализе вызовов абонентов и обращений удалённых администраторов.

На начальном этапе анализа все пакеты, в частности служебные для диагностики и управления сетевыми устройствами X.25, контролируются на предмет их корректности и соответствия протоколу ITU-T X.25 математическим обеспечением сетевых карт и СЕТЕВОГО ФИЛЬТРА X.25. При обнаружении несоответствия дальнейшее рассмотрение и распространение пакета прекращается. Если несоответствующий пакет поступил по уже установившемуся виртуальному соединению, оно будет разорвано.

Анализ входящих и исходящих вызовов абонентов, производимый МЭ "ФПСУ X.25", заключается в сопоставлении полей в пакете "Запрос Вызова" правилам и данным, установленным при конфигурировании локальным или удалённым администраторами МЭ в таблицах разрешенных соединений. На основании произведенного анализа принимается решение о допустимости дальнейшей передачи пакета "Запрос Вызова" абоненту, о необходимости дальнейшей идентификации и аутентификации запроса с целью подтверждения подлинности удалённого адреса абонента, а также методы передачи данных по установившемуся виртуальному соединению и способы контроля за процессом приёма/передачи данных.

Применяемый в МЭ "ФПСУ X.25" механизм контроля запросов на установление виртуальных соединений посредством анализа пакетов вызова и соответствия содержащихся в них данных таблицам разрешенных соединений позволяет задавать в качестве критериев фильтрации:

При обмене данными между двумя защищаемыми МЭ подсетями через глобальную сеть (см. Рис. 3-1), эффективность использования комплекса и его защитные функции существенно возрастают. Только в этом случае можно в полной мере реализовать все защитные функции комплекса СЗИ НСД "ФПСУ X.25" по управлению доступом:

Программно-аппаратный комплекс "ФПСУ X.25" защищен от вмешательства в логику его работы, а его информационная и программная части защищены от несанкционированного доступа. Компьютер, оборудованный комплексом "ФПСУ X.25", не может содержать другого программного обеспечения, кроме самого комплекса. Плата "Аккорд", без которой комплекс не будет функционировать, и специальная подсистема комплекса МЭ осуществляют защиту жесткого диска с установленным ПО комплекса от изменения записанной на нем информации и загрузки с устройства А: (с дискеты) какой-либо операционной системы с целью использования данного компьютера не по назначению.

Специальная подсистема комплекса создает на компьютере МЭ собственную (изолированную и замкнутую) среду функционирования, предоставляя администраторам при этом возможность управлять работой МЭ - конфигурировать его (устанавливать и редактировать таблицы разрешенных соединений, интерфейсы доступа, настраивать сетевое оборудование, подключать дополнительное оборудование и специальное программное обеспечение и т.п.).

При использовании СЕТЕВЫХ ФИЛЬТРОВ может возникнуть необходимость в дистанционном наблюдении за их работой, получении регистрационной информации от СФ для просмотра и анализа, отслеживании динамики происходящих событий (мониторинге), дистанционном управлении работой СФ (изменении прав доступа, изменении разрешенных сетевых адресов, изменении конфигурации и т.д.), т.е. в удалённом администрировании. В программно-аппаратном комплексе "ФПСУ X.25" реализована возможность дистанционного контроля и управления его работой удалённым администратором, который работает с МЭ по принципу "Клиент-Сервер", то есть только подсистема удалённого администрирования может вызывать МЭ при необходимости получения от него данных или выполнения конкретных конфигурационных действий. Подсистема удалённого администрирования комплекса содержит модуль автоматического мониторинга состояния МЭ и его сетевых портов, предоставляющий удалённому администратору удобный графический интерфейс для контроля МЭ с программируемой сигнализацией на заданные администратором события и их интенсивность.

Комплекс осуществляет и разграничивает доступ к модулям и подсистемам МЭ администраторов (как местного, так и удалённого) по правам.

Локальные администраторы делятся по правам доступа на три класса: "оператор", "инженер" и "администратор", для каждого из которых строго определяется область допустимых конфигурационных действий на МЭ. Например, администратор класса "оператор" имеет право только запустить комплекс, остальные операции по конфигурации СФ, работе с регистрационной информацией и пр. будут ему недоступны. Идентификация и аутентификация локальных администраторов с соответствующими правами осуществляется посредством электронных идентификаторов touch-memory и паролю условно-постоянного действия. В МЭ "ФПСУ X.25" реализован механизм регистрации и учета используемых ТМ-идентификаторов.

Удалённым администраторам права на доступ к подсистемам МЭ устанавливает локальный администратор МЭ (только класса "администратор"). Идентификация и двусторонняя аутентификация удалённого администратора при его запросах к МЭ осуществляется с использованием заранее согласованных аутентификационных данных. Права удалённого администратора контролируются МЭ при каждом запросе к нему.

Идентификация и аутентификация удалённого администратора при работе с подсистемой удалённого администрирования может осуществляться посредством:

При работе МЭ вся информация о запросах и всех происходящих событиях регистрируется - накапливается в специальном локальном хранилище (емкостью 16 Mb) для последующего анализа и может выводиться на экран монитора (в частности, отображаются результаты фильтрации и попытки нарушения правил фильтрации). Хранилище регистрационной информации защищено от НСД посредством доступа к нему только по предъявлению ТМ-идентификатора соответствующего класса и невозможности изъятия из него каких-либо данных (за исключением автоматического уничтожения начальных записей при переполнении хранилища). Хранилище рассчитано на несколько месяцев интенсивной работы СЕТЕВОГО ФИЛЬТРА (в каждом комплексе накапливается локальная MIB емкостью до 16 Mb), после чего во избежание потерь информации она должна быть снята администратором для последующего хранения и/или анализа.

Накопленная регистрационная информация может быть просмотрена и обработана (например, сохранена в виде dbf-файла) как допущенным специалистом, обслуживающим сам МЭ, так и удалённым администратором, обладающим правом контролировать данный МЭ из любого фрагмента глобальной сети.

[Назад] [Содержание] [Вперед]