Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Решения компании Checkpoint

Читайте также:
  1. IV стадия - стадия разрешения или фаза об­ ратного развития. 1 страница
  2. IV стадия - стадия разрешения или фаза об­ ратного развития. 10 страница
  3. IV стадия - стадия разрешения или фаза об­ ратного развития. 2 страница
  4. IV стадия - стадия разрешения или фаза об­ ратного развития. 3 страница
  5. IV стадия - стадия разрешения или фаза об­ ратного развития. 4 страница
  6. IV стадия - стадия разрешения или фаза об­ ратного развития. 5 страница
  7. IV стадия - стадия разрешения или фаза об­ ратного развития. 6 страница

Checkpoint поддерживает два типа VPN:

Поддерживаются следующие схемы;

. FWZ

. IKE При этом поддерживаются алгоритмы шифрования:

. FWZ-1

. DES

• Triple DES

. CAST

. AES -256

VPN на основе криптошлюза "Континент-К"

Использование сетей общего пользования для организации корпоративных VPN предъявляет дополнительные требования к обеспечению надежной защиты информационных ресурсов предприятия от несанкционированного доступа (НСД). реализация которых в российских условиях имеет ряд особенностей.

Во-первых, подобная защита достигается в VPN -продуктах за счет шифрования передаваемой информации. В России существует законодательные ограничения на применение как зарубежных криптографических алгоритмов и продуктов, так и отечественных не сертифицированных средств шифрования. Поэтому выбираемый продукт должен реализовывать «разрешенный» алгоритм и иметь сертификат соответствующего органа. Невыполнение этого условия может сделать невозможным его применение.

Во-вторых, особенностью построения VPN в российских условиях является работа на низкоскоростных каналах связи (в большинстве случаев со скоростью 64-256 Кбит/с). Любые способы криптографической защиты передаваемой информации увеличивают количество реально передаваемых данных. Поэтому выбираемый продукт должен обеспечивать минимальное увеличение объема передаваемой информации, чтобы не уменьшать пропускную способность канала связи.

Для иллюстрации данного тезиса рассмотрим типовое решение для VPN, построенное на открытом стандарте IPSec, который реализован во всех зарубежных и в ряде отечественных VPN -продуктах. Обычно пропускная способность такого устройства составляет 10-40 Мбит/с. Логично было бы предположить, что на канале 256 Кбит/с замедления просто не будет, так как скорость устройства на два порядка выше. Но особенностью реализации IPSec является добавление 70-120 байт (в зависимости от длины ключа) к каждому передаваемому пакету. При длине передаваемого пакета 1500 байт замедление уже составляет 5-8%. Но многие прикладные системы передают информацию значительно более короткими «порциями». Например, в платежных системах банков стандартный размер пакета не превышает 100 байт. В этом случае замедление составит 70-120%. То есть высокоскоростное устройство более чем в два раза снижает пропускную способность низкоскоростного канала. Кроме увеличения размера передаваемых пакетов IPSec в начале процесса установления каждого TCP соединения предусматривает дополнительный обмен между взаимодействующими сторонами, что еще больше снижает реальную пропускную способность канала.

Выходом из данной ситуации является применение продуктов, изначально спроектированных с учетом этих особенностей.

НИП "Информзащита" на основании утвержденного ФАПСИ тактико-технического задания разработало программно-аппаратный шифратор IP - протокола (криптошлюз) "Континент-К". Отличительные особенности этого криптошлюза состоят в том, что он реализует защиту данных по алгоритму ГОСТ 28147-89, увеличивает размер передаваемых пакетов всего на 24-36 байтов, не требует дополнительного взаимодействия сторон при установлении каждого логического соединения и позволяет сжимать передаваемые данные. Для приведенного выше примера замедление при передаче данных с использованием комплексов "Континент-К". составило бы 1,6% и 24% для пакетов с длиной 1500 и 100 байт соответственно без сжатия информации. При передаче частично сжимаемых данных (до 50%) пропускная способность канала не только не уменьшается, а увеличивается (в среднем) на 38% и 12% соответственно. Формат пакета представлен на рис. 4.25.7.

Рис. 4.25.7. Формат пакета криптошлюза «Континент-К»

Программно-аппаратный комплекс "Континент-К" обеспечивает:

Комплекс "Континент-К" включает в свой состав следующие компоненты:

• консоль управления сетью криптографических шлюзов
Варианты применения

Комплекс "Континент" может использоваться в следующих вариантах:

 

Выводы

• защищенный доступ абонентских пунктов, в том числе и мобильных, к ресурсам сети.


Дата добавления: 2015-08-13; просмотров: 234 | Нарушение авторских прав


Читайте в этой же книге: Разновидности сетевых экранов | Проблемы, не решаемые файрволом | Как брандмауэр помогает защитить ваш ПК | Тема 25: Межсетевые экраны | Технологии Proxy и Stateful inspection | Архитектура FireWall-1 | Поддержка почтового протокола SMTP | Трансляция сетевых адресов | Дополнительная идентификация и аутентификация |
<== предыдущая страница | следующая страница ==>
Противодействие некоторым сетевым атакам| Топографические элементы местности.

mybiblioteka.su - 2015-2024 год. (0.006 сек.)