RU2163729C2 - Система защиты информации в корпоративной сети, построеннной на каналах и средствах коммутации сети связи общего пользования - Google Patents

Система защиты информации в корпоративной сети, построеннной на каналах и средствах коммутации сети связи общего пользования Download PDF

Info

Publication number
RU2163729C2
RU2163729C2 RU98116803A RU98116803A RU2163729C2 RU 2163729 C2 RU2163729 C2 RU 2163729C2 RU 98116803 A RU98116803 A RU 98116803A RU 98116803 A RU98116803 A RU 98116803A RU 2163729 C2 RU2163729 C2 RU 2163729C2
Authority
RU
Russia
Prior art keywords
input
output
client
firewall
unit
Prior art date
Application number
RU98116803A
Other languages
English (en)
Other versions
RU98116803A (ru
Inventor
А.Ю. Щеглов
А.Б. Чистяков
В.С. Клипач
А.А. Джабаров
В.В. Бутенко
Original Assignee
Щеглов Андрей Юрьевич
Чистяков Антон Борисович
Клипач Виталий Степанович
Джабаров Александр Артурович
Бутенко Валерий Владимирович
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Щеглов Андрей Юрьевич, Чистяков Антон Борисович, Клипач Виталий Степанович, Джабаров Александр Артурович, Бутенко Валерий Владимирович filed Critical Щеглов Андрей Юрьевич
Priority to RU98116803A priority Critical patent/RU2163729C2/ru
Publication of RU98116803A publication Critical patent/RU98116803A/ru
Application granted granted Critical
Publication of RU2163729C2 publication Critical patent/RU2163729C2/ru

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам, реализуемым на компьютерных сетях, и может быть использовано для защиты информационных ресурсов в корпоративных сетях. Технический результат состоит в повышении защищенности информационных ресурсов информационной вычислительной сети, уменьшении времени обработки приоритетных заявок, оперативном управлении ресурсами. Достигается это тем, что в систему защиты информации в корпоративной сети, построенной на каналах и средствах коммутации сети связи общего пользования, дополнительно добавлены клиентские части системы защиты. 6 ил.

Description

Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам, реализуемым на компьютерных сетях, и может быть использовано для защиты информационных ресурсов в корпоративных сетях.
Известна система защиты информационных ресурсов вычислительной сети - межсетевой экран, например, СyberGuard (см. Computerworld, Россия, 27 августа, 1996 года). Она содержит выделенный компьютер, работающий под операционнoй системой Unix (например, UnixWare 2.1.) и функциональным программным обеспечением. Решает задачу фильтрации пакетов, однако не позволяет осуществлять полную защиту ресурсов сети, так как использует стандартные протоколы для аутентификации и разграничения доступа, нет возможности быстрого пропуска приоритетного пакета и оперативного управления.
Наиболее близкой по технической сущности к заявляемой (прототипом) является система защиты информационных ресурсов, включающая в себя межсетевой экран Black Hole (Computerworld Россия 27 августа, 1996 года). Она представлена на фиг. 1 в схеме защищенного взаимодействия клиент/сервер. Схема включает систему защиты 2, состоящую из межсетевого экрана 3; М стандартных клиентов (далее блок стандартного клиента) 1, N серверов 8 (как правило, М больше N). Причем вход/выход 4 блока стандартного клиента 1 является первым входом/выходом 5 межсетевого экрана 3, а вход/выход 6 межсетевого экрана 3 является вторым входом/выходом 7 сервера 8. Межсетевой экран 3 состоит из двух блоков приемo/передатчика 11 и блока проверки прав клиента 9 (см. фиг. 2), причем первый вход/выход межсетевого экрана является входом/выходом 5 блока приемо/передатчика 11, второй входом/выходом которого является вход/выход 12 блока проверки прав клиента 9, вход/выход 14 которого является первым входом/выходом блока приемо/передатчика 11, второй вход/выход 6 которого является вторым входом/выходом межсетевого экрана 3.
Защищенное взаимодействие клиент/сервер осуществляется следующим образом. Блок стандартного клиента 1 (см. фиг. 1), затребовав информацию у сервера 8, согласовывает свои права доступа с межсетевым экраном 3. С этой целью блок стандартного клиента соединяется с межсетевым экраном 3, который, зная формат стандартных команд, идентифицирует требуемый сервис, пароль, IP-адрес. Далее межсетевой экран 3 проверяет в блоке проверки прав клиента 9 (см. фиг. 2) права клиента и возвращает пакет с запретом либо пропускает пакет и соединяется по разрушенному IP-адресу с требуемым сервером 8 и передает серверу проверенный пакет клиента.
Однако система 2 не обеспечивает полной безопасности взаимодействия клиент/сервер. Это вызвано тем, что по существу протокол обмена между межсетевым экраном, стандартный, то есть с легкостью может быть атакован подменой служебных заголовков. Поскольку вся служебная информация поступает из заголовков, снижается уровень защиты информационных ресурсов. Из-за реализуемых в сети стандартных протоколов, обеспечивающих открытость системы, возможен несанкционированный доступ к информационному серверу практически с любой рабочей станции, так как протоколы TCP/IP известны, и клиент подключается через каналы WAN через маршрутизаторы, которые могут быть должным образом настроены.
Поскольку после установления соединения клиент/сервер их взаимодействие осуществляется автоматически, используя сведения на момент установления соединения, то есть фактически без прямого участия системы защиты 2 отсутствует возможность отключения блока стандартного клиента 1 даже в случае обнаружения его несанкционированных действий; например, средствами проверки целостности данных на сервере 8, кроме того, невозможно осуществлять контролирование взаимодействия клиент/сервер на всех стадиях.
Кроме того, такая структура системы защиты 2 нерационально используeт производительность системы, так как при функционировании системы обслуживание заявок реализуется согласно очередности поступления, не учитывая приоритет заявки, соответственно увеличивается время прохождения приоритетных заявок.
Задача изобретения состоит в повышении защищенности информационных ресурсов информационной вычислительной сети, уменьшении времени обработки приоритетных заявок, оперативном управлении ресурсами.
Достигается это тем, что в систему защиты информации 2 в корпоративной сети, построенной на каналах в средствах коммутации сети связи общего пользования, содержащую межсетевой экран 3, причем вход/выход 5 межсетевого экрана 3 является первым входом/выходом системы, второй вход/выход 6 межсетевого экрана 3 является вторым входом/выходом системы, дополнительно введен вход 16 межсетевого экрана 3, который является первым входом системы защиты 2, межсетевого экрана 3 (см. фиг. 4), а структура межсетевого экрана 3 изменена, введены клиентские части системы защиты 20, состоящие из блока стандартного клиента 1 и блока обработки закрытого протокола 13, первый вход/выход которого соединен с блоком стандартного клиента 1, а второй вход/выход соединен с входом/выходом 4, являющимся третьим входом/выходом системы, в межсетевой экран 3, состоящий их двух приемо/передатчиков 11 и блока проверки прав клиента 9 (см. фиг. 2), дополнительно (см. фиг. 4) введен блок обработки закрытого протокола 13 и блок оперативного управления 15, причем первый вход/выход 5 системы 2 соединен с входом/выходом блока 11, второй 17 вход/выход блока 11 соединен с первым входом/выходом блока обработки закрытого протокола 13, второй вход/выход которого соединен с входом/выходом 18 блока проверки прав клиента 9, второй вход/выход которого является первым входом/выходом 19 блока приемо/передатчика 11, а первый вход блока проверки прав клиента 9 является входом блока оперативного управления 15, вход которого является первым входом системы защиты 2; второй вход/выход 6 блока приемо/передатчика 11 является вторым входом/выходом системы защиты 2, клиентская часть системы защиты 20 состоит из блока обработки закрытого протокола 13, первый вход/выход которого соединен с блоком стандартного клиента 1, а второй вход/выход 4 блока обработки закрытого протокола 13 является третьим входом/выходом системы защиты.
На фиг. 3 представлена схема системы 2 защиты информации в корпоративной сети, построенной на каналах и средствах коммутации сети связи общего пользования. Она содержит межсетевой экран 3 и М клиентских частей системы защиты 20, причем вход/выход 5 межсетевого экрана 3 является первым входом/выходом системы 2, второй вход/выход 6 межсетевого экрана 3 является вторым входом/выходом системы 2, а первый вход 16 межсетевого экрана 3 является первым входом системы 2 защиты. В межсетевой экран 3, состоящий из двух приемо/передатчиков 11 и блока проверки прав клиента 9 (см. фиг. 2), дополнительно (см. фиг. 4) введен блок обработки закрытого протокола 13 и блок оперативного управления 15, причем первый вход/выход 5 системы 2 соединен с входом/выходом блока приемо/передатчика 11, второй 17 вход/выход блока приемо/передатчика 11 соединен с первым входом/выходом блока обработки закрытого протокола 13, второй вход/выход которого соединен с входом/выходом 18 блока проверки прав клиента 9, второй вход/выход которого является первым входом/выходом 19 блока приемо/передатчика 11, а первый вход блока проверки прав клиента 9 является входом блока оперативного управления 15, вход которого является первым входом системы защиты 2; второй вход/выход 6 блока приемо/передатчика 11 является вторым входом/выходом системы защиты 2. Клиентская часть системы защиты 20 состоит из блока обработки закрытого протокола 13, первый вход/выход которого соединен с блоком стандартного клиента 1, а второй вход/выход 4 блока обработки закрытого протокола 13, является третьим входом/выходом системы 2 защиты.
Защищенная сеть содержит систему 2 защиты информации в корпоративной сети, построенной на каналах и средствах коммутации сети связи общего пользования, причем межсетевой экран 3 состоит из двух блоков приемо/передатчиков 11 и блока проверки прав клиента 9, блока обработки закрытого протокола 13, блока оперативного управления 15, М блоков стандартных клиентов 1, N серверов 8, а клиентские части 20 системы 2 защиты содержат блок стандартного клиента корпорации 1 и блок обработки закрытого протокола 13.
Каждая из М клиентских частей 20 соединена входом/выходом 4 с первым входом/выходом системы 2, а второй вход/выход системы соединен с серверами 8, вход 16 предназначен для ввода управляющих сигналов для разрыва соединения или изменения в текущей настройке от терминала администратора безопасности или от какого-либо устройства (например, временного устройства).
Межсетевой экран 3 может быть выполнен либо как функциональное программное обеспечение (ФПО) на выделенном компьютере (см. Computerworld, Россия, 27 августа, 1996 года), либо на выделенном процессоре или микроЭВМ, либо как часть комплекса ФПО на выделенном компьютере.
Блок обработки закрытого протокола 13 может быть выполнен либо как ФПО на выделенном компьютере, либо на выделенном процессоре или микроЭВМ, либо как часть комплекса ФПО на выделенном компьютере.
Блок оперативного управления 15 может быть выполнен либо как ФПО на выделенном компьютере, либо на выделенном процессоре или микроЭВМ, либо как часть комплекса ФПО на выделенном компьютере.
Система 2 в составе защищенной сети работает следующим образом.
Над протоколом транспортного уровня (семиуровневая иерархия протоколов OSI и место в ней закрытого протокола показано на фиг. 5), например, TCP, клиентом формируется команда (пакет) установления соединения с системой защиты 2. При этом структура пакета закрытого протокола может быть следующей (см. фиг. 6): идентификатор клиента 22, пaроль 23, IP-адрес 24, приоритет заявки 25, данные 26 (возможны другие поля для согласования при установлении соединения с системой 2). Пакет от клиентской части 20 поступает на вход/выход 5, далее через блок приемо/передатчика 11 поступает на обработчик закрытого протокола 13 и на блок проверки прав клиента 9, далее обслуживается согласно приоритету заявки, проходя блок обработки закрытого протокола 13 и приемо/передатчик 11. Блок 15 предназначен для принудительного окончания обслуживания, смены приоритета заявки.
Так как все пакеты проходят блок проверки прав клиента 9, то в блоке 9 системы 2 (система не отключается в фазе передачи данных) появляется возможность прервать информационное взаимодействие клиент/сервер с управляющего входа 16 на любом этапе этого взаимодействия.
К достоинствам предлагаемой системы комплексной защиты можно отнести следующее.
1. Закрытый протокол для соединения клиентов корпорацией и системой защиты.
2. Оперативное управление ресурсами системы защиты (обрыв соединения, смена приоритета).
3. Физическое разделение подсетей.
4. Трансляция адресов.
5. Согласование функций обслуживания и безопасности.
6. Эффективность использования ресурсов, уменьшение времени обслуживания (приоритетных) заявок.

Claims (1)

  1. Система защиты информации в корпоративной сети, построенной на каналах и средствах коммутации сети связи общего пользования, содержащая межсетевой экран, причем первый вход/выход межсетевого экрана является первым входом/выходом системы, второй вход/выход межсетевого экрана является вторым входом/выходом системы, отличающаяся тем, что в межсетевой экран, содержащий два блока приемо/передатчика и блок проверки прав клиента, введены блок обработки закрытого протокола и блок оперативного управления, причем первый вход/выход межсетевого экрана соединен с первым входом/выходом приемо/передатчика, второй вход/выход которого соединен с первым входом/выходом блока обработки закрытого протокола, второй вход/выход которого соединен с первым входом/выходом блока проверки прав клиента, второй вход/выход которого соединен с первым входом/выходом блока приемо/передатчика, второй вход/выход которого является вторым входом/выходом межсетевого экрана, вход блока проверки прав клиента соединен с выходом блока оперативного управления, вход которого является третьим входом межсетевого экрана, кроме того, в систему добавлены клиентские части системы защиты, состоящие из блока стандартного клиента и блока обработки закрытого протокола, первый вход/выход которого соединен с входом/выходом блока стандартного клиента, а второй соединен с первым входом/выходом межсетевого экрана.
RU98116803A 1998-09-11 1998-09-11 Система защиты информации в корпоративной сети, построеннной на каналах и средствах коммутации сети связи общего пользования RU2163729C2 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU98116803A RU2163729C2 (ru) 1998-09-11 1998-09-11 Система защиты информации в корпоративной сети, построеннной на каналах и средствах коммутации сети связи общего пользования

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU98116803A RU2163729C2 (ru) 1998-09-11 1998-09-11 Система защиты информации в корпоративной сети, построеннной на каналах и средствах коммутации сети связи общего пользования

Publications (2)

Publication Number Publication Date
RU98116803A RU98116803A (ru) 2000-06-27
RU2163729C2 true RU2163729C2 (ru) 2001-02-27

Family

ID=20210278

Family Applications (1)

Application Number Title Priority Date Filing Date
RU98116803A RU2163729C2 (ru) 1998-09-11 1998-09-11 Система защиты информации в корпоративной сети, построеннной на каналах и средствах коммутации сети связи общего пользования

Country Status (1)

Country Link
RU (1) RU2163729C2 (ru)

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
БРАНДМАУЭРЫ INTERNET /Обзор CW: Средства обеспечения безопасности в INTERNET, COMPUTERWORLD. - М.: Открытые системы, 27.08.1996, с. 21 - 24. *

Similar Documents

Publication Publication Date Title
RU2269873C2 (ru) Беспроводное устройство инициализации
RU2152691C1 (ru) Система защиты для связанных компьютерных сетей
US7051365B1 (en) Method and apparatus for a distributed firewall
US6772334B1 (en) System and method for preventing a spoofed denial of service attack in a networked computing environment
US7552323B2 (en) System, apparatuses, methods, and computer-readable media using identification data in packet communications
De Vivo et al. Internet security attacks at the basic levels
US7624434B2 (en) System for providing firewall capabilities to a communication device
US20020162026A1 (en) Apparatus and method for providing secure network communication
US20020069356A1 (en) Integrated security gateway apparatus
JP2004507978A (ja) ネットワークノードに対するサービス拒絶アタックに対抗するシステム及び方法
EP1574009B1 (en) Systems and apparatuses using identification data in network communication
CN114143068A (zh) 电力物联网网关设备容器安全防护***及其方法
RU2163729C2 (ru) Система защиты информации в корпоративной сети, построеннной на каналах и средствах коммутации сети связи общего пользования
Ackermann et al. Vulnerabilities and Security Limitations of current IP Telephony Systems
CN111526124B (zh) 一种基于内外网的隔离通信***及方法
RU2163745C2 (ru) Система защиты виртуального канала корпоративной сети с аутентифицирующим маршрутизатором, построенной на каналах и средствах коммутации сети связи общего пользования
RU2163744C2 (ru) Система защиты виртуального канала корпоративной сети с фиксальным контролем доступа к информации, построенной на каналах и средствах коммутации сети связи общего пользования
US7860977B2 (en) Data communication system and method
RU2163727C2 (ru) Система защиты виртуального канала корпоративной сети с мандатным принципом управления доступом к ресурсам, построенной на каналах связи и средствах коммутации сети связи общего пользования
RU2143728C1 (ru) Система защиты виртуального канала корпоративной сети, построенной на каналах связи и средствах коммутации сети связи общего пользования
KR102114484B1 (ko) 소프트웨어 정의 네트워크에서 네트워크 접근을 제어하는 방법, 장치 및 컴퓨터 프로그램
WO2023070572A1 (en) Communication device and method therein for facilitating ipsec communications
KR20100133859A (ko) 분산 방화 장치 및 방법
Droste Weighted communication in a security compound
CN116366270A (zh) 通信中的防泛洪攻击方法及相关设备