Информация >> Публикации сотрудников компании >>Жигулин Л.Ф. «Защита информации в ТфОП»
«СвязьИнвест», №6, 2002

«СвязьИнвест», №6, 2002

Журнал 'СвязьИнвест', N 6, 2002, стр. 38-39

Традиционно услуги связи операторов сводятся в основном к организации «незащищенных» соединений, подключаемых или проложенных через сети или каналы связи. Однако в последнее время абоненты все большее внимание обращают не только на организацию собственно каналов связи, но и на защиту проходящей (пересылаемой) по ним информации. Безусловно, организацию такой защищенной связи можно оставить и за самими абонентами. Однако, к решению этой проблемы, на наш взгляд, можно привлечь и самих операторов связи. Дело в том, что у операторов часто возникает потребность в защите собственных каналов связи. А если так, то почему бы не предложить услугу по защите информации и своим клиентам?

Л.Ф.Жигулин: ЗАО «Сигнал-КОМ»
Л.Ф.Жигулин,
ЗАО «Сигнал-КОМ»

Прежде всего необходимо получить соответствующую лицензию ФАПСИ и отработать технологии по защите с одним из производителей. Не случайно в последнее время в перечне услуг некоторых операторов появляются предложения по организации защищенных соединений. Примером может служить услуга VPN, которую предоставляют компания «Эквант» и некоторые другие операторы совместно с компаниями производителями.

Рассмотрим решения по созданию защищенной сети передачи данных, построенной на базе обычной телефонной сети общего пользования (ТфОП) и предназначенной для организации защищенного удаленного управления объектами оператора. Таким решением могут воспользоваться как операторы, так и их клиенты. Речь пойдет об организации защищенного удаленного управления электронными АТС (ЭАТС) операторов связи. Важность этой задачи обуславливается возможностью несанкционированного доступа (НСД) к управляющей информации со стороны злоумышленников, что может парализовать работу не только управляемого объекта, но и всей сети связи, привести к значительным убыткам. К работе таких операторов предъявляются очень жесткие требования по качеству предоставляемых услуг, потому большое внимание уделяется вопросам надежности и безопасности.

Как правило подобная задача решается путем построения специальной выделенной сети оператора, физически защищенной от НСД со стороны злоумышленников, либо с применением обычных незащищенных каналов связи, оснащенных специальной оконечной аппаратурой, предназначенной для защиты пересылаемой по ним управляющей информации.

Для большей надежности удаленного управления желательно пользоваться обоими способами. В то же время второй способ может оказаться не менее важным, чем первый, поскольку его решения можно распространить и на абонентов.

Для операторов телефонной связи актуальной становится задача создания защищенных соединений на основе некоторой защищенной коммутируемой Виртуальной Частной Сети (Protected Dial-up Virtual Private Network - PDVPN), предназначенной для организации процесса удаленного управления ЭАТС. Очевидно, что такую сеть целесообразно строить на базе ТфОП, услуги которой недороги, она имеет широкое разветвление и позволяет организовать обмен данными между ее абонентами с использованием модемов. Кроме того, объем управляющей информации, необходимый для конфигурирования и администрирования ЭАТС, невелик, так что пропускной способности каналов, предоставляемых ТфОП, оказывается более чем достаточно.

При организации такой PDVPN должны быть обеспечены следующие требования по защите информации:

  • аутентификация взаимодействующих сторон;
  • конфиденциальность при обмене информацией;
  • контроль доступа к ресурсам;
  • контроль целостности данных при передаче.

Можно рекомендовать несколько способов построения PDVPN. Одним из них может быть разработка или доработка коммуникационного программного обеспечения, устанавливаемого на ЭАТС и на компьютерах у администраторов. Однако, воспользоваться таким способом удается не всегда, поскольку большая часть телефонных сетей операторов телефонной связи строится на основе ЭАТС, операционная система которых «зашита» в ПЗУ и не может быть модифицирована (например, ЭАТС типа «DX-200»). Наряду с этим могут возникнуть стоимостные, технические и организационные проблемы, обусловленные масштабностью телефонных сетей.

Второй способ основан на применении межсетевых экранов (МЭ) с функциями шифратора, устанавливаемых между коммуникационным портом ЭАТС и модемом, с одной стороны, и коммуникационным портом управляющей рабочей станции и модемом - с другой стороны, как показано на рис.1.

Рис.1 Способ применения межсетевых экранов с функциями шифратора
Рис.1 Способ применения межсетевых экранов с функциями шифратора

Этот способ наиболее предпочтительный, поскольку операторы телефонной связи могут рекомендовать его и своим абонентам, кроме того, они не зависимы от определенных используемых ими технологий. В качестве решения для построения PDVPN в нашем случае был выбран МЭ «DG-24AM» разработки фирмы «Сигнал-КОМ». Данный МЭ обеспечивает организацию защищенного взаимодействия объектов через ТфОП с использованием асинхронных протоколов связи путем шифрования информации в соответствии с алгоритмом ГОСТ 28147-89 из сертифицированного СКЗИ «Крипто-КОМ v.3.0». Для организации системы управления МЭ в части распределения криптографических ключей и установления различных режимов их работы используются центральная программа системного администратора (СА) и программы агента СА, устанавливаемые на каждом МЭ у абонентов.

Основное назначение программы СА:

  • регистрация абонентов, включаемых в состав PDVPN;
  • генерация секретных и открытых ключей абонентов;
  • формирование сертификатов открытых ключей абонентов;
  • формирование файла со списком отозванных сертификатов;
  • формирование сертификатов по запросам абонентов.

Назначение программы агента СА:

  • генерация секретных и открытых ключей абонентов на рабочем месте абонента;
  • формирование запросов для получения сертификатов от СА;
  • хранение полученных сертификатов и файлов изменений состояния PDVPN;
  • запись в персональный электронный идентификатор конфигурационно-установочных параметров МЭ, секретных ключей и сертификатов

Защищенное соединение при использовании МЭ устанавливается в три этапа.

На первом этапе устанавливается обычное коммутируемое соединение между модемами, по завершении которого выдается сигнал «обнаружения несущей». Этот сигнал активизирует работу МЭ.

На втором этапе между МЭ происходит обмен информацией для взаимной аутентификации абонентов и формирования «сеансовых ключей» приема/передачи.

На третьем этапе осуществляется передача защищенного соединения коммуникационным средствам абонентов путем ретрансляции перехваченных и задержанных сигналов «обнаружения несущей» от модемов. По завершении этого этапа вся информация в обоих направлениях передается в зашифрованном виде.

В качестве примера на рисунке 2 приведена схема подключения нескольких групп абонентов к различным точкам доступа RAS-сервера через ТфОП при использовании МЭ «DG-24AM».

Рис.2 Организация защищенного удаленного управления на основе ТфОП
Рис.2 Организация защищенного удаленного управления на основе ТфОП

В данном случае защищенным группам 1 и 2 абонентов разрешен доступ к различным коммуникационным портам RAS-сервера. При этом, абоненты каждой группы имеют доступ к единственному порту RAS-сервера. Если канальная емкость RAS-сервера позволяет, то для абонентов мобильной группы, при необходимости, можно выделить дополнительный порт, защита которого организуется аналогично основному. Такая возможность позволяет уменьшить время доступа абонентов упомянутой группы к информационным ресурсам RAS-сервера.

В рассматриваемом примере доступ незащищенной группы абонентов к информационным ресурсам RAS-сервера возможен только через не защищенные порты, либо порты с МЭ установленным в «прозрачном» или «селективном» режиме.

В заключение следует отметить, что создание подобных PDVPN на основе ТфОП может быть использовано для различных приложений, требующих обеспечения конфиденциальности при удаленном взаимодействии. Это могут быть и системы удаленного управления источниками бесперебойного питания для крупных объектов, системы удаленного доступа к ресурсам ЛВС, защита линий при подключении банкоматов и многие другие. Кроме того, МЭ не является оконечным оборудованием, устанавливаемым непосредственно на каналах связи, и, поэтому, на основе заключения Министерства РФ по связи и информатизации, не требует дополнительной сертификации.