закрытый канал связи что это
Рассказываем про государственные защищенные сервисы и сети
Знаете ли вы, что многим компаниям для публикации банальных новостей на своём сайте надо подключаться к специальной защищённой сети, и только через неё постить котят в соцсетях размещать актуальную информацию. Это касается, в первую очередь, государственных организаций. В качестве примера приведём МЧС или администрацию любого города. Любая новость на их ресурсе публикуется через защищённые каналы связи. Точнее, должна публиковаться, поскольку ещё не все успели к ним подключиться. И всё это курируется ФСО. Выглядит это примерно так:
В России существует несколько тысяч таких защищённых каналов. Описывать каждый мы не будем, просто коротко опишем наиболее интересные государственные сети. Также напомним, что Cloud4Y выполняет подключение клиентов к таким защищённым сетям, в том числе сетям электронного правительства. Также возможно использование криптошлюзов ViPNet, «Континент» и других. Подробнее о решениях компании вы можете узнать у наших менеджеров.
Российский государственный сегмент сети Интернет — RSNet
Функционирует на базе телекоммуникационных сетей и систем российской части интернета, находящихся в ведении Федеральной службы охраны РФ (ФСО России). ФСО России определяет порядок использования и функционирования сети RSNet, а также регистрацию и выдачу участникам сети RSNet доменов третьего уровня домена GOV.RU и RSNET.RU.
Через сеть RSNet пользователи общедоступной сети Интернет получают доступ только к официальным материалам, относящимся к деятельности органов государственной власти РФ. Участником сети RSNet может являться орган государственной власти РФ, подведомственное подразделение или отдельное должностное лицо.
Для подключения участников к сети RSNet используются российские сертифицированные криптошлюзы на базе технологии ViPNet.
Приказ ФСО Российской Федерации от 07.09.2016 № 443 «Об утверждении Положения о российском государственном сегменте информационно-телекоммуникационной сети Интернет»
Закрытый сегмент передачи данных ЗСПД (военный интернет)
Военная коммуникационная система, не соединенная с глобальным интернетом. Все рабочие станции, подключенные к сети, работают исключительно с отечественным ПО, защищены от несанкционированного доступа и имеют соответствующие аттестаты безопасности.
ЗСПД функционирует на инфраструктуре, арендованной у Ростелеком и на распределённой инфраструктуре, принадлежащей Минобороны. К сети подключены территориально распределенные катастрофоустойчивые центры обработки данных ТрКЦОД, представляющие собой сегменты сети с собственной охраной, электроснабжением, системами охлаждения и пожарной безопасности. Вся передаваемая в сети и хранимая на серверах информация шифруется отечественными алгоритмами и оборудованием.
В ЗСПД функционируют различные сервисы, включая электронную почту с возможностью передачи секретной информации вплоть до грифа секретности «Особой важности». Основной информационный ресурс в СЗПД доступен по адресу mil.zs, под которым функционирует множество доменов третьего уровня. Смотреть эти сайты можно через компьютеры (работают на операционной системе МСВС — мобильной системе Вооруженных сил), которые сертифицированы службой защиты государственной тайны, также известной как Восьмое управление Генштаба. Подключение к этим компьютерам сторонних несертифицированных устройств (флеш-накопителей, принтеров, сканеров и т.д.) невозможно, при этом каждая попытка подключить купленную в магазине флешку контролируется специальным программным обеспечением и фиксируется
Для мониторинга и перенаправления потоками данных в режиме реального времени в ЗСПД функционирует единая система управления «Единый контур информационной безопасности»
Защищенная сеть передачи данных ЗСПД
В настоящий момент множество государственных учреждений создают собственные защищенные сети, функционирующие поверх общедоступного интернета. Для защиты и шифрования трафика используются сертифицированные криптошлюзы — обязательное требование для государственных информационных систем (ГИС) и критической информационной инфраструктуры (КИИ). Самые распространенные отечественные технологии в этом секторе — это линейка продуктов ViPNet компании Infotecs, комплексы шифрования «Континент» от компании «Код безопасности», шлюзы КриптоПро, шлюзы безопасности С-Терра и ряд других. Полный перечень сертифицированного криптооборудования можно посмотреть здесь.
Примерами таких СЗПД являются:
Защищенная сеть передачи данных электронного правительства
Оператором ЗСПД является ОАО Ростелеком, на него возложены функции поддержки и развития сети. Криптографическая защита каналов связи осуществляется с использованием криптооборудования ViPNet, Континент или C-Терра. Соответственно и подключение к ЗСПД возможно только с использованием этих криптошлюзов.
В этой ЗСПД участникам доступны множество сервисов и систем, входящих в инфраструктуру электронного правительства:
Единая система межведомственного электронного взаимодействия СМЭВ
Позволяет участникам сети осуществлять государственные и муниципальные услуг и функции в электронном виде. Участниками являются органы исполнительной власти, государственные фонды, многофункциональные центры, кредитные и иные организации. В сети участникам доступны так называемые виды сведений – структурированная информация об услугах и результатах оказания услуг, справочные сведения, реестры, классификаторы, и другие сведения.
Также через СМЭВ передаются документы и сведения о ходе выполнения запросов и результатах предоставления услуг на единый портал государственных услуг ЕПГУ (Госуслуги).
Оператором защищенной сети передачи данных ЗСПД, в которой функционирует СМЭВ, является Ростелеком. Обеспечение функционирования сети и качественное взаимодействие информационных систем, входящих в СМЭВ, возложено на Ситуационный центр.
Единая система идентификации и аутентификации ЕСИА
Федеральная государственная информационная система, предназначена для упрощенной идентификации пользователей-получателей электронных государственных и муниципальных услуг, услуг кредитных и иных организаций. Функционирует в защищенной сети передачи данных, поддерживаемой Ростелеком.
Единая биометрическая система ЕБС
Предназначена для удаленной идентификации граждан по биометрическим образцам для получения электронных услуг. Система работает совместно с системой ЕСИА и использует для идентификации лицо и голос гражданина. Разработкой и поддержкой системы занимается Ростелеком.
Единая государственная информационная система в сфере здравоохранения ЕГИСЗ
Предназначена для объединения медицинских организаций, территориальных органов управления здравоохранения и фондов ОМС и страхования в единую корпоративную сеть. Сеть имеет в своем составе подсистему защищенной сети передачи данных ЗСПД. Оператором системы и ЗСПД также является ПАО Ростелеком. В системе доступно множество сервисов: электронная медицинская карта пациента, электронная регистратура, специализированные регистры пациентов и медработников, телемедицинские консультации и другие.
Также существует множество других защищенных сетей, менее популярных и более специализированных. Если вам интересно, в будущем можем рассказать что-нибудь и про них. Список сайтов, которые используют защищённые сети и про которые знает Гугл, вы можете посмотреть здесь. Спасибо за внимание!
Что ещё интересного есть в блоге Cloud4Y
Подписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью. Пишем не чаще двух раз в неделю и только по делу
Закрытый канал связи что это
На любом из хостов, встречающихся на пути пакетов, можно просмотреть их содержимое и/или изменить что-либо в них. Все это создает серьезные проблемы, тем более существенные, чем выше уровень значимости или конфиденциальности передаваемых данных.
Для решения этоих проблем и применяются защищенные информационные каналы. Их можно представить себе как некий туннель. Информация помещается с одной стороны туннеля и прочесть ее можно только с другой стороны.
На самом деле, передаваемая информация модифицируется таким образом, чтобы их невозможно было изменить (аутентификация) или просмотреть (криптография) на пути их следования. При совместном применении этих двух механизмов обеспечивается как сокрытие информации, так и невозможность ее подмены на всем пути ее следования.
Что такое криптография?
Базовыми понятиями в криптографии являются ключ и математический алгоритм. Используя этот алгоритм и ключ, информация модифицируется. Способ, которым это делается, гарантирует возможность обратного преобразования данных к первоначальной форме только при условии, что известны алгоритм и ключ.
Если один из этих компонентов держится в секрете (как правило, ключ), то просмотреть данные постороннему человеку невозможно.
Созданная таким образом электронная подпись передается вместе с данными в пункт назначения. Если данные в процессе передачи подверглись изменениям, это сразу же обнаружится: в хосте назначения будет вычислена электронная подпись от полученных данных и после сравнения с полученной подписью подмена будет обнаружена.
Операция по вычислению подписи выполняется очень быстро по сравнению с шифрованием. Тем не менее, она не может защитить данные от чтения. Поэтому ее следует применять, если важна надежность доставки, а не конфиденциальность. Для обеспечения обеих характеристик аутентификация используется совместно с криптографией.
Типы аутентификации и алгоритмы шифрования
В настоящее время существуют различные алгоритмы аутентификации и шифрования. В этом разделе будут рассмотрены только те из них, которые поддерживаются межсетевым экраном Aker.
Одним из параметров оценки прочности алгоритма является размер ключа. Чем большее количество бит содержится в ключе, тем больше можно составить всевозможных комбинаций, и тем сильнее, теоретически, данный алгоритм должен противостоять атакам.
В межсетевом экране Aker используется версия SHA-1, незначительно скорректированная по сравнению с SHA. Тем не менее, в данном руководстве и в административном интерфейсе она всегда будет называться SHA.
Алгоритм Triple DES заключается в троекратном применении алгоритма DES с использованием трех различных ключей для одних и тех же данных. Это эквивалентно использованию алгоритма с ключом в 112 бит, что приводит к резкому повышению уровня безопасности по сравнению с DES. Его главным недостатком остается то, что он в два раза медленнее, чем DES (в реализации, используемой межсетевым экраном Aker).
Алгоритмы обмена ключами
Одной из серьезных проблем при образовании защищенного канала является определение ключей аутентификации и шифрования и выполнение периодических замен этих ключей.
Чтобы снизить риск взлома ключей злоумышленником и уменьшить нанесенный ущерб в случае взлома одного из них, важно проводить периодические замены ключей; предположим, что спустя шесть месяцев после установки ключей злоумышленнику удалось взломать ключи алгоритма шифрования (выбранная ситуация гипотетическая и ничего общего не имеет с реальной ). Если компания продолжает пользоваться теми же ключами,скажем, в течение года, то злоумышленник может расшифровать весь трафик компании за последние 6 месяцев. С другой стороны, если ключи менять ежедневно, тот же нарушитель, расшифровав после шестимесячной работы по взлому трафик первого дня, будет вынужден еще поработать шесть месяцев над расшифровкой трафика второго дня и т.д.
Межсетевой экран Aker предоставляет два способа обмена ключами: ручной обмен и с помощью SKIP:
В этом случае все настройки ключевой информации производятся вручную. При этом если производится замена ключей, обе стороны, между которыми образован защищенный канал, должны быть одновременно переконфигурированы
В основном SKIP работает с тремя различными уровнями ключей:
Опишем сценарий в общих чертах: для установления связи генерируется случайный ключ и он используется для зашифрования и аутентификации посылаемых данных. Затем этот ключ шифруется на мастер ключе и отсылается вместе с зашифрованными данными. Когда принимающая сторона получает пакет, она расшифровывает ключ с помощью мастер ключа и использует его для расшифровки остального пакета.
Поскольку алгоритмы, используемые для аутентификации, шифрования пакета и ключа определяются отправителем и передаются как часть протокола, получателю нет нужды настраивать эти параметры в приемнике.
Основным преимуществом SKIP является возможность использовнияя одного и того же секрета годами, не боясь его взлома нарушителем (поскольку замена ключа производится с интервалом от нескольких секунд до максимального значения в один час, в зависимости от трафика между взаимодействующими сетями).
Настоятельно рекомендуется пользоваться этой опцией при конфигурировании защищенных каналов.
Определение защищенных каналов
Для определения защищенного канала сначала надо выбрать две группы хостов, которые будут обмениваться информацией защищенным образом. Эти группы хостов будут обмениваться подписанными и при необходимости зашифрованными пакетами. На каждом конце канала нужно установить межсетевые экраны, которые будут осуществлять аутентификацию/верификацию и шифрование/дешифрование передаваемых данных.
Для определения групп хостов используется концепция объектов, рассмотренная в главе 5 Регистрация объектов. При определении канала можно пользоваться обектами типа «хост», «сеть» или «набор».
Кроме объектов, необходимо определить алгоритм аутентификации, и в случае необходимости, криптографический алгоритм. Ключи аутентификации и шифрования завершают перечень параметров, необходимых для описания канала.
Планирование защищенных каналов должно проводиться очень тщательно. Использование криптографии отнимает много вычислительных ресурсов. Поэтому шифрование пакетов, если это не диктуется интересами безопасности, представляется напрасной тратой ресурсов. Более того, разные алгоритмы шифрования требуют различного объема обработки, и обеспечивают различные уровни безопасности. Каждый алгоритм следует выбирать в зависимости от необходимого уровня безопасности (выше было дано описание всех алгоритмов, поддерживаемых межсетевым экраном Aker).
Примеры использования защищенных каналов
Главный пример настройки защищенного канала.
При использовании шифрования обязательно должна использоваться аутентификация. Это вызвано тем, что без применения аутентификации к зашифрованым сообщениям могут быть проведены атаки с модификацией текста.
Защищенный канал 1 :
Направление канала: отправка
Источник: NETWORK1
Назначение: NETWORK2
Алгоритм шифрования: DES
Алгоритм аутентификации: MD5
Ключ аутентификации: X1
Ключ шифрования: X2
Защищенный канал 2 :
Направление канала: прием
Источник: NETWORK2
Назначение: NETWORK1
Алгоритм шифрования: DES
Алгоритм аутентификации: MD5
Ключ аутентификации: X3
Ключ шифрования: X4
Конфигурация межсетевого экрана Aker сети 2
Защищенный канал 1 :
Направление канала: прием
Источник: NETWORK1
Назначение: NETWORK2
Алгоритм шифрования: DES
Алгоритм аутентификации: MD5
Ключ аутентификации: X3
Ключ шифрования: X4
Защищенный канал 2 :
Направление канала: отправка
Источник: NETWORK2
Назначение: NETWORK1
Алгоритм шифрования: DES
Алгоритм аутентификации: MD5
Ключ аутентификации: X1
Ключ шифрования: X2
Обратите внимание на то, что правило 1 для межсетевого экрана Aker 1 в точности совпадает с правилом 1 для межсетевого экрана Aker 2, за исключением пункта, связанного с направлением. То же касается и правила 2.
Пример конфигурации защищенного канала для подсети
В этом примере определим защищенный канал только для группы хостов в каждой из двух сетей. Кроме того, установим различные алгоритмы для каналов между этими группами.
Использование различных алгоритмов для двух направлений защищенного канала может оказаться полезным в том случае, когда ценность информации в одном направлении больше, чем в другом. В этом случае более защищенный алгоритм применяется в наиболее критическом направлении.
Предположим еще, что сети 1 и 2 содержат два адреса класса В: А1.В1.0.0 и А2.В2.0.0, соответственно.
Защищенный канал 1 :
Направление канала: отправка
Источник: SUBNET1
Назначение: SUBNET2
Алгоритм шифрования: DES
Алгоритм аутентификации: MD5
Ключ аутентификации: X1
Ключ шифрования: X2
Защищенный канал 2 :
Направление канала: прием
Источник: SUBNET2
Назначение: SUBNET1
Алгоритм шифрования: 3DES
Алгоритм аутентификации: SHA
Ключ аутентификации: X3
Ключ шифрования: X4
Конфигурация межсетевого экрана Aker сети 2
Защищенный канал 1 :
Направление канала: отправка
Источник: SUBNET2
Назначение: SUBNET1
Алгоритм шифрования: 3DES
Алгоритм аутентификации: SHA
Ключ аутентификации: X3
Ключ шифрования: X4
Защищенный канал 2 :
Направление канала: прием
Источник: SUBNET1
Назначение: SUBNET2
Алгоритм шифрования: DES
Алгоритм аутентификации: MD5
Ключ аутентификации: X1
Ключ шифрования: X2
Заметьте, что в этом случае совпадение правил возникает в двух межсетевых экранах в другом порядке: правило 1 в межсетевом экране 1 совпадает с правилом 2 в межсетевом экране 2 (с измененными направлениями), а правило 2 в экране1 совпадает с правилом 1 в экране 2 (опять с измененными направлениями). Конечно, порядок описания правил для данных примеров не имеет значения (однако, это не всегда так):
8-2 Использование графического интерфейса пользователя
Чтобы получить доступ к окну настройки защищенных каналов, необходимо выполнить следующие действия:
Окно настройки защищенных каналов
Окно содержит параметры конфигурации всех защищенных каналов межсетевого экрана Aker. Каждый канал будет показан на дисплее на отдельной строке, состоящей из нескольких клеток. При выделении одного из каналов строка будет окрашена в другой цвет.
Указание: Если эта опция не установлена и каналы имеют больше двух объектов в источнике или назначении, в каждом поле, содержащем больше двух объектов, будет показана направленная вниз стрелка.
Для выполнения любого действия с параметрами канала, необходимо нажать на нем правой клавишей мыши. Появится следующее меню (Это меню появляется всегда при нажатии на правую клавишу мыши, даже если канал не выделен. В этом случае будут доступны только опции Добавить и Вставить).
Рекомендация: Все опции, кроме опции «отменить выделение», доступны через инструментальное меню, расположенное в верхней части окна. В этом случае сначала надо выделить канал, нажав на нем левой клавишей мыши, а затем выбрать необходимую опцию.
При добавлении или редактировании каналов появится окно свойств, описание которого приведено ниже:
Использование ручного механизма обмена ключами
Объекты источника : Определяет объекты, адреса которых будут сравниваться с адресом источника IP пакетов, которые должны попадать в канал.
Объекты назначения : Определяет объекты, адреса которых будут сравниваться с адресом назначения IP пакетов, которые должны попадать в канал.
Комментарий: Поле комментариев.
SPI: (Security Parameter Index) Это уникальное число, используемое приемником, которое идентифицирует потоки. Оно должно превышать 255 и обязательно различаться для каждого канала, направленного к тому же приемнику.
Ключ аутентификации: Это ключ, используемый при аутентификации. Он должен быть записан в шестнадцатиричном формате. Максимальный размер ключа зависит от используемого алгоритма: 32 знака для MD5 и 40 знаков для SHA. Рекомендуется исппользвать максимально допустимымое количество знаков.
Аутентификация: Это поле определяет, какой алгоритм аутентификации будет применяться. Возможны два алгоритма: MD5 или SHA.
Аутентификация с шифрованием, использующим DES
Это окно полностью совпадает с окном для предыдущего элемента меню за исключением двух полей:
Длина вектора инициализации: Это размер в битах вектора инициализации, который применяется в алгоритме DES. Этот вектор генерируется системой автоматически для каждого посылаемого пакета. Рекомендуется использование варианта с 64 битами.
Ключ: Это ключ, который будет применяться для шифрования пакетов. Он обязательно должен быть шестнадцатиричным числом с 16 знаками.
Аутентификация с шифрованием, использующим Triple DES (3DES)
В этом окне добавляются 4 новых поля по сравнению с окном только аутентификация :
Длина вектора инициализации: то размер в битах вектора инициализации, который применяется в алгоритме 3DES. Этот вектор генерируется системой автоматически для каждого посылаемого пакета. Рекомендуется использование варианта с 64 битами.
Ключ 1: Это ключ, применяемый при первом преобразовании в алгоритме 3DES. Он обязательно должен быть шестнадцатиричным числом с 16 знаками.
Ключ 2: Это ключ, применяемый при втором преобразовании в алгоритме 3DES. Он обязательно должен быть шестнадцатиричным числом с 16 знаками.
Ключ 3: Это ключ, применяемый при третьем преобразовании в алгоритме 3DES. Он обязательно должен быть шестнадцатиричным числом с 16 знаками.
Использование SKIP для обмена ключей
В протоколе SKIP вся информация, связанная с алгоритмами аутентификации и шифрования, конфигурируется только в хосте, посылающем пакеты. В хосте, который принимает пакеты, необходимо лишь описать объекты источника и назначения и общий секрет.
В обоих случаях появится следующее окно (при настройках на хосте приемнике ненужные поля будут недоступны):
Объекты источника: Определяет объекты, адреса которых будут сравниваться с адресом источника IP пакетов, которые должны попадать в канал.
Объекты назначения: Определяет объекты, адреса которых будут сравниваться с адресом назначения источника IP пакетов, которые должны попадать в канал.
Комментарии: Поле комментариев.
Направление канала: Определяет направление канала. Эта опция может принимать два значения: послать или принять. За деталями обращайтесь к разделу этой главы Введение.
Шифрование ключа: Это алгоритм, применяемый для шифрования посылаемого в пакете ключа сеанса. Рекомендуется пользоваться 3DES.
Общий секрет: Это секрет, который будет использоваться для генерации мастер ключей (за деталями обращайтесь к разделу этой главы Введение).Секрет должен быть одинаков для обоих межсетевых экранов по обе стороны канала. Он обязательно должен быть шестнадцатиричным числом с 64 знаками.
Кроме этих полей, существуют две кнопки, облегчающие настройку секрета в обоих межсетевых экранах, отвечающего за шифрование и дешифрование в защищенном потоке:
Загрузить секрет: Эта кнопка позволяет прочесть значение из ASCII файла в поле общего секрета. Этот файл должен состоять только из одной строки длиной 64 символа.
Сохранить секрет: Эта кнопка позволяет записать содержимое поля общего секрета в ASCII файл. Переписанный файл будет иметь только одну строку длиной 64 символа.
При нажатии какой-либо из этих кнопок появляется окно, позволяющее выбрать имя файла, в котором следует сохранить или считать секрет.
8-3 Использование интерфейса командной строки
Использование интерфейса командной строки для настройки правил криптографии/аутентификации затрудняется большим числом параметров, которые используются в интерфейсе командной строки.
Этот интерфейс обладает теми же возможностями, что и графический интерфейс, за исключением того, что он не позволяет описывать комментарии или указывать больше одного объекта для источника или назначения.
Путь к программе : /etc/firewall/fwcripto
Пример 1 : (Просмотр таблицы защищенных каналов)
Пример 2 : (Удаление третьего элемента)
Пример 3 : (Добавление элемента с ручным обменом ключей и шифрованием DES в конец таблицы)
Пример 4 : (Добавление элемента с обменом ключей через SKIP в начало таблицы)