Корпоративные сети

любой вид доступа должен быть описан явно.

BlackHole поддерживает TELNET, FTP, Web-сервис, почту SMTP и некоторые

другие виды сервисов.

Кроме этого, в состав BlackHole входят proxy-сервер уровня TCP и proxy

сервер для UDP протокола. BlackHole осуществляет мониторинг всех 65 535

TCP/UDP портов и сбор статистики по попыткам доступа к этим портам. Правила

доступа могут использовать в качестве параметров адрес источника, адрес

назначения, вид сервиса (FTP, TELNET, и т.д.), дату и время доступа,

идентификатор и пароль пользователя.

BlackHole поддерживает строгую аутентификацию как с использованием обычных

паролей, так и различных типов одноразовых паролей S/Key,

EnigmaLogicSafeword, SecurityDynamicsSecureID, при этом аутентификация

может быть включена для любого вида сервиса.

Система выдачи предупреждений о попытках НСД в реальном времени в BlackHole

позволяет администратору системы описывать опасные события и реакцию на них

системы (вывод на консоль, звонок на пейджер и т.д.).

BlackHole предоставляет сервис для создания групп пользователей, сервисов,

хостов и сетей и позволяет создавать правила для этих групп, что дает

возможность легко описывать и администрировать большое количество

пользователей.

BlackHole имеет удобную и дружественную графическую оболочку под X-Windows,

так что настройкой системы может заниматься неискушенный в UNIX человек.

Все административные функции могут быть выполнены из этой оболочки. Ядро ОС

модифицировано для защиты графического интерфейса от внешнего доступа.

BlackHole предоставляет следующие возможности по конвертации адреса

источника пакета при прохождении через firewall:

. адрес может быть заменен на адрес firewall;

. адрес может быть оставлен без изменения;

. адрес может быть заменен на выбранный администратором.

Последняя опция позволяет для пользователей INTERNET представлять

внутреннюю сеть как состоящую из набора подсетей.

Для хранения и обработки статистической информации BlackHole использует

реляционную базу данных с языком запросов SQL. BlackHole функционирует на

PC и SunSparc платформах под управлением модифицированных версий

операционных систем BSDI и SunOS.

BlackHole имеет сертификат Национального Агентства Компьютерной

Безопасности США (NCSA), гарантирующий его высокую надежность и уровень

защиты, но, что еще более важно этот продукт сертифицирован Государственной

Технической Комиссией при Президенте России. Ниже приводится выдержка из

сертификата N79:

"Выдан 30 января 1997г.

Действителен до 30 января 2000г."

Автоматизированная система разграничения доступа BlackHole версии BSDI-OS,

функционирующая под управлением операционной системы BSDIBSD/OSv2.1,

является программным средством защиты информации от НСД в сетях передачи

данных по протоколу TCP/IP, обеспечивает защиту информационных ресурсов

защищаемого участка локальной сети от доступа извне, не снижая уровня

защищенности участка локальной сети, соответствует "Техническим условиям на

Автоматизированную систему разграничения доступа BlackHole версии BSDI-OS"

N 5-97 и требованиям Руководящего документа Гостехкомиссии России "Автомати-

зированные системы. Защита от несанкционированного доступа к информации.

Классификация автоматизированных систем и требования по защите информации"

в части администрирования для класса 3Б."

4.6.2. Пандора (Gaumtlet) компании TIS

Система Пандора, имеющая оригинальное название Gauntlet, это firewall

(межсетевой экран), разработанный фирмой TIS. Этот продукт предоставляет

возможность безопасного доступа и сетевых операций между закрытой,

защищенной сетью и публичной сетью типа Internet.

Gauntlet представляет собой наиболее эффективный с точки зрения защиты

вариант firewall - фильтр на уровне приложений, при этом обеспечивает

максимальную прозрачность при использовании, возможность создания VPN и

простое управление всем этим. Этот firewall позволяет пользоваться только

теми протоколами, которые описал оператор и только в случае их безопасного

использования.

Безопасность обеспечивается при работе через firewall в обоих направлениях

в соответствии с политикой безопасности, определенной для данной

организации. Продукт доступен в предустановленном виде на Pentium машинах,

а также как отдельный пакет для BSD/OS, SunOS4*, HP-UX, IRIX и других UNIX-

систем. Открытый продукт фирмы - FWTK - на сегодняшний день является

стандартом де-факто для построения firewall на уровне приложений.

Система Gauntlet получила сертификат Национального Агентства Компьютерной

Безопасности США и была проверена Агентством Национальной безопасности США

(NCSA). Продукт имеет сертификат Гостехкомиссии при президенте РФ номер 73,

выдан 16 января 1997 года, действителен 3 года. На основании

сертификационных испытаний системе присвоен класс 3Б.

4.6.3. Застава (Sunscreen) компании "Элвис -Плюс"

24 сентября 1997 года компания "Элвис-Плюс" анонсировала завершение бета-

тестирования и начало промышленных поставок первого отечественного

программного firewall'а "Застава". Одновременно объявлено о начале

проведения сертификационных испытаний продукта Гостехкомиссией при

Президенте РФ. К концу года будет предложена версия "Заставы" для платформы

WindowsNT.

"Застава" относится к категории фильтрующих firewall'ов и функционирует на

платформах Solaris/SPARC и Solaris/Intel и предназначен для использования в

качестве первого эшелона защиты ресурсов корпоративных сетей от вторжения

из Internet.

В настоящее время лабораторией средств сетевой безопасности "Элвис-Плюс"

ведется интенсивная подготовка к производству аппаратно-программного

варианта "Заставы" на базе системной платы SPARCengineUltraAXMotherboard

производства компании SunMicroelectronics, по отношению к которой "Элвис-

Плюс" выступает в качестве OEM-производителя. Гораздо более

производительная по сравнению с программным аналогом новая версия "Заставы"

будет включать модуль создания корпоративных VPN на базе протокола SKIP, а

также поддерживать защищенное конфигурирование и управление с удаленного

рабочего места администратора безопасности, реализованного по технологии

Java.

По мнению сотрудников компании "Элвис-Плюс", семейство "Застава" может с

успехом использоваться при создании комплексных систем защиты

распределенных сетей федеральных агентств и ведомств при условии интеграции

в продукты компании криптографических модулей легальных российских

производителей.

Разработчики межсетевого экрана "Застава" ставили перед собой задачу не

просто создать первый российский firewall, но, прежде всего, учесть

быстрорастущие требования и современные приоритеты рынка защиты информации

в IP сетях. Главными задачами при разработке межсетевого экрана были

обеспечение "жесткой" и быстрой фильтрации, а также реализация эффективного

proxy-модуля для обработки трафика электронной почты, представляющей в

современных условиях серьезную потенциальную угрозу безопасности сети - по

сравнению с прочими "внешними" сервисами.

На сервере компании "Элвис-Плюс" по адресу http://www.elvis.ru можно найти

демонстрационные копии firewall'а "Застава".

4.6.4. Продукты компании АНКАД

Фирма "АНКАД" предлагает семейство программно-аппаратных средств

криптографической защиты информации КРИПТОН, использующее ключ длиной 256

бит и алгоритмы шифрования и электронной подписи, которые соответствуют

российским стандартами. В частности, шифр оплаты серии КРИПТОН для IBM-

совместимых компьютеров широко применяются для защиты данных при передаче

по открытым каналам связи.

Московская фирма "АНКАД" недавно получила от Федерального агентства

правительственной связи и информации (ФАПСИ) лицензию на деятельность в

сфере защиты информации. Лицензия предоставляет право заниматься

разработкой, производством и реализацией средств криптографической защиты

информации в коммерческом и государственном секторах экономики, включая

работы в интересах зарубежных заказчиков. Эта деятельность осуществляется в

рамках научно-технического сотрудничества и по согласованию с ФАПСИ.

6. Борьба сетевых операционных систем за корпоративный рынок

6.1. Что такое сетевая операционная система

Прежде, чем приступить к обсуждению вопросов о положении на рынке сетевых

операционных систем и о проблеме их выбора, надо договориться о том, что

собственно понимается под термином "сетевая операционная система". Одни

считают, что это операционная система со встроенными сетевыми функциями,

позволяющим пользователям совместно использовать ресурсы сети. Другие

полагают, что сетевая операционная система - это просто набор сетевых

служб, способных согласованно работать в общей операционной среде. При этом

не имеет особого значения, входит ли эта служба в состав дистрибутива

операционной системы или приобретена отдельно, поставляется ли она в виде

дополнительного динамически загружаемого модуля ОС или в виде обычного

приложения, разработана ли данная служба компанией-производителем ОС или

какой-либо третьей фирмой. В многозначности термина "сетевая ОС" нет ничего

страшного, важно только каждый раз, употребляя его отдавать себе отчет, что

под этим понимается.

Каждая сетевая служба предоставляет пользователям сети некоторый вид

сервиса, как правило, связанный с доступом к ресурсам сети. Например,

файловый сервис - обеспечивает доступ пользователей сети к разделяемым

файлам сети, факс- и принт-сервис - доступ к принтеру и факсу

соответственно, сервис удаленного доступа - позволяет пользователям,

связанным с основной сетью коммутируемыми каналами, получать доступ ко всем

ресурсам сети, сервис электронной почты - предоставляет пользователям сети

возможность обмениваться сообщениями.

Среди сетевых служб можно выделить такие, которые в основном ориентированы

не на простого пользователя, а на администратора. Такие службы необходимы

для организации правильной работы сети в целом, например, служба

администрирования учетных записей о пользователях DomainUserManager в

WindowsNT, которая позволяет администратору вести общую базу данных о

пользователях сети. Более прогрессивным является подход с созданием

централизованной справочной службы, или по-другому службы каталогов,

которая предназначена для ведения базы данных не только обо всех

пользователях сети, но и обо всех ее программных и аппаратных компонентах.

В качестве примеров службы каталогов часто приводятся NDS компании Novell и

StreetTalk компании Banyan. Другими примерами сетевых служб,

предоставляющих сервис администратору, являются служба мониторинга сети,

позволяющая захватывать и анализировать сетевой трафик, служба

безопасности, в функции которой может входить в частности выполнение

процедуры логического входа с проверкой пароля, служба резервного

копирования и архивирования.

Если сетевые службы встроены в операционную систему, то есть

рассматриваются как неотъемлемые ее части, то такая операционная система

называется сетевой. Например, сетевая ОС WindowsNT, Unix, NetWare, OS/2

Warp. Все внутренние механизмы такой операционной системы оптимизированы

для выполнения сетевых функций.

Другой вариант реализации сетевых служб - объединение их в виде некоторого

набора (оболочки), при этом все службы такого набора должны быть между

собой согласованы, то есть в своей работе они могут обращаться друг к

другу, могут иметь в своем составе общие компоненты, например, общую

подсистему аутентификации пользователей или единый пользовательский

интерфейс. Для работы оболочки необходимо наличие некоторой локальной

операционной системы, которая бы выполняла обычные функции, необходимые для

управления аппаратурой компьютера, и в среде которой выполнялись бы сетевые

службы, составляющие эту оболочку. Примером сетевой оболочки служат,

например, LANServer, LANManager.

Естественно, что оболочка должна строится с учетом специфики той

операционной системы, над которой она будет работать. Так LANServer,

например, существует в различных вариантах: для работы над операционными

системами VMS, VM, OS/400, AIX, OS/2.

Сетевые оболочки часто подразделяются на клиентские и серверные. Поскольку

при реализации любого сетевого сервиса естественно возникает источник

запросов (клиент) и исполнитель запросов (сервер), то и любая сетевая

служба содержит в своем составе две несимметричные части - клиентскую и

серверную. Оболочка, которая преимущественно содержит клиентские части

сетевых служб называется клиентской. Например, типичным набором

программного обеспечения рабочей станции в сети NetWare является MSDOS с

установленной над ней клиентской оболочкой NetWare, состоящей из клиентских

частей файлового сервиса и сервиса печати, а также компоненты,

поддерживающие пользовательский интерфейс.

Серверная сетевая оболочка, примерами которой могут служить тот же

LANServer и LANManager, а также NetWareforUnix,

FileandPrintServiceforNetWare, ориентирована на выполнение серверных

функций. Серверная оболочка, как минимум содержит серверные компоненты двух

основных сетевых сервисов - файлового сервиса и печати, именно такой набор

серверов реализован в упомянутых выше NetWareforUnix и

FileandPrintServiceforNetWare. Некоторые же оболочки содержат настолько

широкий набор сетевых служб, что их называют сетевыми операционными

системами. Так, ни один обзор сетевых операционных систем не будет

достаточно полным, если в нем отсутствует информация о LANServer,

LANManager, ENS, являющихся сетевыми оболочками.

С одним типом ресурсов могут быть связаны разные сервисы, отличающиеся

протоколом взаимодействия клиентских и серверных частей. Так, например,

встроенный файловый сервис в WindowsNT реализует протокол SMB, используемый

во всех ОС компании Microsoft, а дополнительный файловый сервис, входящий в

состав оболочки FileandPrintServiceforNetWare для этой же WindowsNT,

работает по протоколу NCP, "родному" для сетей NetWare. Кроме того, в

стандартную поставку WindowsNT входит сервер FTP, реализующий файловый

сервис Unix-систем. Ничто не мешает приобрести и установить для работы в

среде WindowsNT и другие файловые сервисы, такие, например, как NFS, кстати

имеющий несколько реализаций, выполненных разными фирмами. Наличие

нескольких видов файлового сервиса, позволяет работать в сети приложениям,

разработанным для разных операционных систем.

Сетевые оболочки создаются как для локальных операционных систем, так и для

сетевых операционных систем. Действительно, почему бы не дополнить набор

сетевых служб, встроенных в сетевую ОС, другими службами, составляющими

некоторую сетевую оболочку. Например, сетевая оболочка ENS

(EnterpriseNetworkServices) - содержащая базовый набор сетевых служб

BanyanVines, может работать над сетевыми ОС Unix и NetWare (конечно, для

каждой из этих операционных систем имеется соответствующий вариант ENS).

Существует и третий способ реализации сетевой службы - в виде отдельного

продукта. Например, сервер удаленного управления WinFrame - продукт

компании Citrix, предназначен для работы в среде WindowsNT, он дополняет

возможности встроенного в WindowsNT сервера удаленного доступа

RemoteAccessServer. Аналогичную службу удаленного доступа для NetWare также

можно приобрести отдельно, купив программу NetWareConnect.

С течением времени сетевая служба может получить разные формы реализации.

Так, например, компания Novell планирует поставлять справочную службу NDS,

первоначально встроенную в сетевую ОС NetWare, для других ОС, для чего эта

служба будет переписана в виде отдельных продуктов, каждый из которых будет

учитывать специфику соответствующей ОС. Уже имеются версии NDS для работы в

средах SCOUnix и HP-UX, а к концу года ожидаются версии для Solaris 2.5 и

WindowsNT. А справочная служба StreetTalk уже давно существует и в виде

встроенного модуля сетевой ОС BayanVines, и в составе оболочки ENS, и в

виде отдельного продукта для различных операционных систем.

Таким образом, выбор сетевой операционной системы сводится к анализу

возможностей всей совокупности сетевых служб (не только встроенных в ОС),

способных работать в этой операционной среде. Насколько функционально полон

этот набор, насколько он удовлетворяет требованиям пользователей и

администраторов сети по производительности, по удобству использования, по

безопасности - от всего этого и зависит выбор сетевой операционной системы.

6.2. Критерии выбора корпоративной ОС

Сетевые ОС могут быть разделены на две группы: масштаба отдела и масштаба

предприятия (корпоративные ОС). От операционной системы отдела требуется,

чтобы она обеспечивала некоторый набор сетевых сервисов, включая разделение

файлов, приложений и принтеров. Она также должна обеспечивать свойства

отказоустойчивости, такие как зеркальное отображение серверов и зеркальное

отображение дисков. Обычно сетевые ОС отделов более просты в установке и

управлении по сравнению с сетевыми ОС предприятия, но у них меньше

функциональных свойств, они меньше защищают данные и имеют более слабые

возможности по взаимодействию с другими типами сетей, а также худшую

производительность. К числу наиболее популярных ОС для сетей отделов и

рабочих групп могут быть отнесены ОС NetWare 3.x, PersonalWare,

ArtisoftLANtastic.

В качестве корпоративных операционных систем чаще всего называют такие

сетевые ОС, как BanyanVines, NovellNetWare 4.x, IBMLANServer,

MicrosoftLANManager и WindowsNTServer, SunNFS, SolarisUnix и многие другие

ОС семейства Unix.

Среди основных требований, которым должна отвечать корпоративная ОС можно

указать следующие:

. функциональная полнота - разнообразие поддерживаемых сервисов;

. производительность - запросы к серверам должны обрабатываться с

преемлемым уровнем задержек;

. масштабируемость - характеристики производительности сетевой ОС должны

сохраняться неизменными в широком диапазоне изменения параметров

системы, то есть сеть должна хорошо работать, и тогда, когда число

пользователей и рабочих станций измеряется тысячами, число серверов -

сотнями, объемы обрабатываемой информации - терабайтами;

. возможность работы на мощной аппаратной платформе: поддержка

многопроцессорности, больших объемов оперативной и внешней памяти, а

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29