RU2163745C2 - Protective system for virtual channel of corporate network using authentication router and built around shared communication network channels and switching facilities - Google Patents

Protective system for virtual channel of corporate network using authentication router and built around shared communication network channels and switching facilities Download PDF

Info

Publication number
RU2163745C2
RU2163745C2 RU99108495A RU99108495A RU2163745C2 RU 2163745 C2 RU2163745 C2 RU 2163745C2 RU 99108495 A RU99108495 A RU 99108495A RU 99108495 A RU99108495 A RU 99108495A RU 2163745 C2 RU2163745 C2 RU 2163745C2
Authority
RU
Russia
Prior art keywords
input
output
unit
client
server
Prior art date
Application number
RU99108495A
Other languages
Russian (ru)
Other versions
RU99108495A (en
Inventor
А.Ю. Щеглов
А.Б. Чистяков
В.С. Клипач
В.В. Бутенко
А.А. Джабаров
Original Assignee
Щеглов Андрей Юрьевич
Чистяков Антон Борисович
Клипач Виталий Степанович
Бутенко Валерий Владимирович
Джабаров Александр Артурович
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Щеглов Андрей Юрьевич, Чистяков Антон Борисович, Клипач Виталий Степанович, Бутенко Валерий Владимирович, Джабаров Александр Артурович filed Critical Щеглов Андрей Юрьевич
Priority to RU99108495A priority Critical patent/RU2163745C2/en
Publication of RU99108495A publication Critical patent/RU99108495A/en
Application granted granted Critical
Publication of RU2163745C2 publication Critical patent/RU2163745C2/en

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

FIELD: computer engineering; data computing systems using computer networks. SUBSTANCE: system that has L network- to-network corporate screens is provided, in addition, with protective facilities introduced in client's and server sections designed to protect resources during client/service interaction. Client's section has transceiver unit, encryption/decryption and electronic signature unit, service filtering unit using standard protocol, private protocol shaping unit, and standard network equipment unit of corporation client; server section has transceiver unit, encryption/decryption unit, service shaping unit using standard protocol, private protocol shaping unit, and standard network equipment unit. System provides for on-line control of connections according to safety parameters and fiscal control of data access. EFFECT: improved protection of computer network data resources and their access control. 6 dwg

Description

Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам, реализуемым на компьютерных сетях, и может быть использовано для защиты информационных ресурсов в корпоративных сетях. The invention relates to computing, and in particular to information computing systems implemented on computer networks, and can be used to protect information resources in corporate networks.

Известна система защиты ресурсов виртуального канала корпоративной сети, построенной на каналах и средствах коммутации сети связи общего пользования - межсетевой экран, например, CyberGuard (см. Computerworld, Россия, 27 августа 1996 года), Black Hole (Computerworld, Россия, 27 августа 1996 года). Она содержит выделенный компьютер, работающий под операционной системой Unix (например, UnixWare 2.1., FreeBSD) и функциональным программным обеспечением. Нет возможности контролировать и управлять соединением, используются данные служебных заголовков стандартных протоколов для получения аутентификационных признаков, администрирование достаточно негибко. A known system for protecting the resources of a virtual channel of a corporate network built on channels and means of switching a public communication network is a firewall, for example, CyberGuard (see Computerworld, Russia, August 27, 1996), Black Hole (Computerworld, Russia, August 27, 1996 ) It contains a dedicated computer that runs under the Unix operating system (for example, UnixWare 2.1., FreeBSD) and functional software. There is no way to control and manage the connection, data from the service headers of standard protocols are used to obtain authentication signs, administration is rather inflexible.

Наиболее близкой по технической сущности заявляемой (прототипом) является система защиты виртуального канала корпоративной сети, включающей в себя два или несколько межсетевых экранов. Система представлена на фиг. 1 в схеме защищенного взаимодействия клиент/сервер. Схема включает систему защиты 1, состоящую из М межсетевых экранов 2. Будем называть межсетевой экран, разграничивающий подсеть с клиентами корпоративной сети и глобальную сеть, входным межсетевым экраном, а разграничивающий подсеть с серверами корпоративной сети и глобальную сеть, выходным межсетевым экраном (разумеется, это сеансовые понятия). Вход/выход 3 входного межсетевого экрана 2 соединен с входом/выходом 8 клиентов корпорации 5, включающих в себя блок стандартной обработки запросов (стандартное сетевое ФПО), и является первым входом/выходом системы, вход/выход 3 выходного межсетевого экрана 2 соединен с входом/выходом 9 сервера корпорации 6 (стандартное сетевое ФПО) и является вторым входом/выходом системы. Вход/выход 4 входного межсетевого экрана соединен с каналом связи общей сети передачи данных 7, является третьим входом/выходом системы. Вход/выход 4 выходного межсетевого экрана соединен с каналом связи общей сети передачи данных и является четвертым входом/выходом системы. Closest to the technical nature of the claimed (prototype) is a system for protecting a virtual channel of a corporate network, which includes two or more firewalls. The system is shown in FIG. 1 in a secure client / server interaction scheme. The scheme includes a security system 1, consisting of M firewalls 2. We will call a firewall that delimits the subnet with the corporate network clients and the global network, the input firewall, and distinguishes the subnet with the corporate network servers and the global network, the output firewall (of course, this session concepts). The input / output 3 of the input firewall 2 is connected to the input / output 8 of the corporation 5 clients, including the standard request processing unit (standard network FPO), and is the first input / output of the system, the input / output 3 of the output firewall 2 is connected to the input / output 9 of the server of corporation 6 (standard network FPO) and is the second input / output of the system. The input / output 4 of the input firewall is connected to the communication channel of the common data network 7, is the third input / output of the system. The input / output 4 of the output firewall is connected to the communication channel of the common data network and is the fourth input / output of the system.

Система защиты 1 состоит из М межсетевых экранов 2. Межсетевой экран 2 (см. фиг. 2) состоит из блока приемо/передатчика 10, блока фильтрации пакетов 11, блока шифрования/расшифрования и электронной подписи 12, блока аутентификации клиента по идентификатору, паролю и службе 13, блока регистрации 14, блока удаленного администрирования 15. Причем первый вход/выход системы защиты является входом/выходом 4 входного межсетевого экрана, второй вход/выход системы защиты является входом/выходом 4 выходного межсетевого экрана, третий вход/выход системы защиты является входом/выходом 3 входного межсетевого экрана, четвертый вход/выход системы защиты является входом/выходом 3 выходного межсетевого экрана; вход/выход 4 межсетевого экрана является первым входом/выходом блока приемо/передатчика 10, вход/выход межсетевого экрана 3 является третьим входом/выходом блока приемо/передатчика 10, второй вход/выход блока приемо/передатчика 10 соединен с первым входом/выходом блока фильтрации пакетов 11, второй вход/выход которого соединен с первым входом/выходом блока шифрования/расшифрования и электронной подписи 12, второй вход/выход которого соединен с первым входом/выходом блока аутентификации клиента по идентификатору, паролю и службе 13, второй вход/выход которого соединен с первым входом/выходом блока регистрации 14, второй вход/выход которого соединен с входом/выходом блока удаленного администрирования 15; первым входом/выходом межсетевого экрана является первый вход/выход блока приемо/передатчика 10, второй вход/выход межсетевого экрана является третьим входом/выходом блока приемо/передатчика 10. Security system 1 consists of M firewalls 2. Firewall 2 (see Fig. 2) consists of a receiver / transmitter unit 10, a packet filtering unit 11, an encryption / decryption unit and an electronic signature 12, a client authentication unit by identifier, password, and service 13, registration unit 14, remote administration unit 15. Moreover, the first input / output of the security system is input / output 4 of the input firewall, the second input / output of the security system is input / output 4 of the output firewall, the third input / output of the security system is the input / output 3 of the input firewall fourth input / output protection is the input / output 3 output firewall; input / output 4 of the firewall is the first input / output of the receiver / transmitter unit 10, input / output of the firewall 3 is the third input / output of the receiver / transmitter unit 10, the second input / output of the receiver / transmitter unit 10 is connected to the first input / output of the unit packet filtering 11, the second input / output of which is connected to the first input / output of the encryption / decryption unit and electronic signature 12, the second input / output of which is connected to the first input / output of the client authentication unit by identifier, password and service 13, the second input / Output of which is connected to the first input / output register unit 14, second input / output of which is connected to the input / output of the remote administration unit 15; the first input / output of the firewall is the first input / output of the receiver / transmitter unit 10, the second input / output of the firewall is the third input / output of the receiver / transmitter unit 10.

Защищенное взаимодействие между клиентами и серверами корпорации осуществляется следующим образом. Рассмотрим взаимодействие в среде TCP/IP (может быть реализован и другой стек протоколов). Клиент 5 согласовывает свои права доступа с межсетевым экраном 2. С этой целью клиент 5 посылает стандартный TCP/IP пакет, в котором содержатся в заголовке IP-адрес клиента, IP-адрес сервера назначения и порт службы, в поле данных идентификатор клиента, пароль, в формате той службы, на порт которой посылается пакет, причем поле данных может быть зашифровано секретным ключом межсетевого экрана, после этого, пройдя через блок приемо/передатчика 10, блок фильтрации пакетов 11, где происходит фильтрация пакетов по IP-адресу из служебного заголовка, блок шифрования/расшифрования и электронной подписи 12, где происходит расшифровка поля данных, если это необходимо, блок аутентификации клиента по идентификатору клиента, паролю и службе 13, где, зная службу из служебного заголовка пакета, происходит извлечение идентификатора клиента и пароля и поля данных стандартного пакета. Secure communication between clients and servers of the corporation is as follows. Consider the interaction in a TCP / IP environment (another protocol stack may also be implemented). Client 5 negotiates its access rights with firewall 2. For this purpose, client 5 sends a standard TCP / IP packet, which contains the IP address of the client, the IP address of the destination server and the service port in the data field, client ID, password, in the format of the service to the port of which the packet is sent, the data field can be encrypted with the secret key of the firewall, after which, after passing through the receiver / transmitter unit 10, the packet filtering unit 11, where the packets are filtered by IP address from the service header, block w encryption / decryption and electronic signature 12, where the data field is decrypted, if necessary, the client authentication unit by client ID, password and service 13, where, knowing the service from the service header of the package, the client ID and password and data field of the standard package are retrieved .

Далее происходит проверка по базе данных безопасности на существование клиента с данным идентификатором, на соответствие пароля идентификатору и определение соответствующего секретного ключа клиента и алгоритма защиты (шифрование/расшифрование, электронная подпись), и в случае удачного завершения проверок происходит пропуск пакета к серверу и установление соединения с клиентом, с поддержкой шифрования или электронной подписи с ключом, определенным для данного клиента, в случае неудачного результата проверок происходит разрыв соединения с предварительной отправкой сообщения клиенту о неудачно пройденной проверке и регистрацией в блоке регистрации. То же самое происходит и на межсетевом экране, отделяющем сервер корпорации от глобальной сети. После этого происходит защищенное взаимодействие по уже установленному соединению с поддержкой определенных (до установления соединения) для данного клиента алгоритмов. Удаленное администрирование реализуется после установления защищенного взаимодействия как использование блока удаленного администрирования зарегистрированным в системе защиты пользователем. Next, the security database is checked for the existence of the client with this identifier, for the password to match the identifier and the corresponding secret key of the client and the security algorithm are determined (encryption / decryption, electronic signature), and if the checks are successful, the packet is passed to the server and the connection is established with the client, with support for encryption or electronic signature with the key defined for this client, in the case of an unsuccessful test result, the connection breaks eniya pre sending messages to the client on the passed failed verification and registration in the registration unit. The same thing happens on the firewall that separates the corporation server from the global network. After that, there is a secure interaction over an already established connection with support for certain (before the connection is established) algorithms for this client. Remote administration is implemented after the establishment of secure interaction as the use of the remote administration unit by a user registered in the security system.

Однако эта система защиты не обеспечивает полностью защищенное взаимодействие клиент/сервер. Это вызвано тем, что по существу при проверке используются служебные заголовки стандартных протоколов, которые могут быть подделаны (например, атака Митника), что облегчает несанкционированный доступ через межсетевой экран под видом стандартного клиента. However, this security system does not provide fully secure client / server interaction. This is due to the fact that during the check, service headers of standard protocols are used, which can be faked (for example, Mitnik’s attack), which facilitates unauthorized access through a firewall under the guise of a standard client.

Также эта система подвержена стандартной атаке "Подмена маршрутизатора, используя управляющие протоколы" (например, Windows 95 - 1 раз в минуту производит автоматический поиск маршрутизатора. Windows NT - 1 раз в 10 минут по стандартному незащищенному протоколу). Also, this system is subject to the standard attack “Router replacement using control protocols” (for example, Windows 95 - automatically searches for a router once a minute. Windows NT - once every 10 minutes using a standard unprotected protocol).

Так как за каждым участником обмена закреплен свой IP-адрес, которой используется и при маршрутизации и при аутентификации, невозможно сокрытие топологии корпоративной сети и IP-адресов информационных серверов, что в принципе упрощает атаку на корпоративную сеть. Since each exchange participant has its own IP address, which is used both for routing and authentication, it is impossible to hide the topology of the corporate network and the IP addresses of information servers, which in principle simplifies the attack on the corporate network.

Поскольку после установления соединения клиент/сервер их взаимодействие осуществляется без участия системы защиты, отсутствует возможность отключения клиента даже в случае обнаружения его несанкционированных действий; например, средствами проверки целостности данных на сервере, не говоря уже о возможности контролирования взаимодействия клиент/сервер на всех стадиях. Since, after the client / server connection is established, their interaction is carried out without the participation of the protection system, there is no possibility of disconnecting the client even if its unauthorized actions are detected; for example, by means of checking the integrity of data on a server, not to mention the possibility of controlling client / server interaction at all stages.

Поскольку реализуется статичный способ управления доступом (посредством записывания в базу данных доступных для клиента файлов и каталогов), доступ достаточно статичен, не позволяет быстро изменять настройки системы защиты, что сказывается на защищенности (реакция на атаку из-за ошибочной настройки медленная). Since a static way of access control is implemented (by writing files and directories available to the client to the database), access is quite static, it does not allow you to quickly change the settings of the security system, which affects security (reaction to the attack due to erroneous settings is slow).

Поскольку в рассмотренной системе нет средств анализа зарегистрированных попыток неудачного доступа (обычно журналы регистрации проверяются людьми), реакция на попытки взлома может быть неадекватной и непредсказуемой (человеческий фактор). Since the system under consideration does not have a means of analyzing registered attempts of unsuccessful access (usually the logs are checked by people), the reaction to hacking attempts can be inadequate and unpredictable (human factor).

Поскольку фиксируются только неудачные попытки, невозможно отследить сколько потеряно информации при использовании злоумышленниками идентификационных параметров действительного клиента. Since only failed attempts are recorded, it is impossible to track how much information is lost when attackers use the credentials of a valid client.

Поскольку производится только фильтрация IP-адресов - происходит дополнительная проверка на аутентификационные признаки, например, в случае включения в корпоративную сеть SQL-сервера с собственной системой защиты. Since only IP-address filtering is performed, an additional check is made for authentication signs, for example, if a SQL server with its own security system is included in the corporate network.

Задача изобретения состоит в повышении защищенности информационных ресурсов информационной вычислительной сети, повышении эффективности управления доступом к защищаемым ресурсам, реализации оперативного управления соединением по параметрам безопасности, фискальном контроле доступа к информации. The objective of the invention is to increase the security of information resources of an information computer network, increase the efficiency of access control to protected resources, implement operational control of the connection according to security parameters, fiscal control of access to information.

Достигается это тем, что в систему защиты виртуального канала корпоративной сети, содержащую L межсетевых экранов корпорации, каждый из которых состоит из блока приемо/передатчика, блока фильтрации пакетов, блока шифрования/расшифрования и электронной подписи, блока аутентификации клиента по идентификатору, паролю и службе, блока регистрации, блока удаленного администрирования, причем первый вход/выход межсетевого экрана является первым входом/выходом блока приемо/передатчика, второй вход/выход блока приемо/передатчика соединен с первым входом/выходом блока фильтрации пакетов, второй вход/выход которого соединен с первым входом/выходом блока шифрования/расшифрования и электронной подписи; первый вход/выход входного межсетевого экрана является первым входом/выходом системы защиты, дополнительно введены блок фильтрации служб по стандартному протоколу, блок формирования закрытого протокола, блок аутентификации клиента по IP-адресу, блок разрешения доступа по логическому имени сервера, блок выработки мандата на требуемые действия, блок проверки мандата клиента мандатом на требуемые действия, блок выработки маршрута, блок анализа журналов регистрации и блок оперативного управления. This is achieved by the fact that in the protection system of the virtual channel of the corporate network containing L corporate firewalls, each of which consists of a receiver / transmitter unit, a packet filtering unit, an encryption / decryption and electronic signature unit, a client authentication unit by identifier, password and service , a registration unit, a remote administration unit, the first input / output of the firewall is the first input / output of the receiver / transmitter unit, the second input / output of the receiver / transmitter unit is connected to th input / output of the packet filter, the second input / output of which is connected to the first input / output block encryption / decryption, and electronic signature; the first input / output of the input firewall is the first input / output of the protection system, an additional block of filtering services according to the standard protocol, a block for generating a closed protocol, a block for authenticating the client by IP address, a block for authorizing access by the logical name of the server, and a unit for generating the required actions, the unit for checking the client’s mandate with the mandate for the required actions, the route development unit, the analysis logs analysis unit, and the operational management unit.

Причем второй вход/выход блока шифрования/расшифрования и электронной подписи соединен с первым входом/выходом блока фильтрации служб по стандартному протоколу, второй вход/выход блока фильтрации служб по стандартному протоколу соединен с первым входом/выходом блока формирования закрытого протокола, второй вход/выход которого соединен с первым входом/выходом блока аутентификации клиента по идентификатору, паролю и службе, второй вход/выход которого соединен с входом/выходом блока аутентификации клиента по IP-адресу, второй вход/выход которого соединен с входом/выходом блока разрешения доступа по логическому имени сервера, второй вход/выход которого соединен с входом/выходом блока выработки мандата на требуемые действия, второй вход/выход которого соединен с первым входом/выходом блока проверки мандата клиента мандатом на требуемые действия, второй вход/выход которого соединен с входом/выходом блока выработки маршрута, второй вход/выход которого соединен с первым входом/выходом блока регистрации, второй вход/выход которого соединен с первым входом/выходом блока анализа журналов регистрации, второй вход/выход которого соединен с входом/выходом блока удаленного администрирования, вход которого соединен с выходом блока оперативного управления, вход которого является вторым входом/выходом межсетевого экрана корпорации. Moreover, the second input / output of the encryption / decryption unit and the electronic signature is connected to the first input / output of the service filtering unit using the standard protocol, the second input / output of the service filtering unit using the standard protocol is connected to the first input / output of the closed protocol generation unit, the second input / output which is connected to the first input / output of the client authentication unit by identifier, password and service, the second input / output of which is connected to the input / output of the client authentication unit by IP address, the second input / output which is connected to the input / output of the access permission block by the logical name of the server, the second input / output of which is connected to the input / output of the mandate generation unit for the required actions, the second input / output of which is connected to the first input / output of the client mandate checker the second input / output of which is connected to the input / output of the route generation unit, the second input / output of which is connected to the first input / output of the registration unit, the second input / output of which is connected to the first input / output of the block Liza of registration logs, the second input / output of which is connected to the input / output of the remote administration unit, the input of which is connected to the output of the operational control unit, the input of which is the second input / output of the corporate firewall.

Кроме того, введена клиентская часть системы защиты, состоящая из блока приемо/передатчика, блока шифрования/расшифрования и электронной подписи, блока фильтрации служб по стандартному протоколу, блока формирования закрытого протокола, блока стандартного сетевого ФПО клиента корпорации, причем первый вход/выход блока приемо/передатчика является входом/выходом клиентской части системы защиты, второй вход/выход блока приемо/передатчика соединен с первым входом/выходом блока шифрования/расширования и электронной подписи, второй вход/выход которого соединен с первым входом/выходом блока формирования закрытого протокола, второй вход/выход которого соединен с первым входом/выходом блока фильтрации служб по стандартному протоколу, второй вход/выход которого соединен с первым входом/выходом блока стандартного сетевого оборудования клиента корпорации, вход/выход клиентской части системы защиты соединен с каналами и средствами коммутации сети связи общего пользования. In addition, the client part of the security system was introduced, consisting of a transceiver / transmitter unit, an encryption / decryption unit and an electronic signature, a service filtering unit using a standard protocol, a closed protocol generation unit, a standard network FPO client unit, and the first input / output of the receiving unit / transmitter is the input / output of the client part of the security system, the second input / output of the receiver / transmitter unit is connected to the first input / output of the encryption / decryption unit and electronic signature, the second input / you the path of which is connected to the first input / output of the closed protocol generation unit, the second input / output of which is connected to the first input / output of the service filtering unit according to the standard protocol, the second input / output of which is connected to the first input / output of the standard network equipment unit of the corporation client, input / output of the client part of the protection system is connected to channels and switching means of the public communication network.

Кроме того, введена серверная часть системы защиты, состоящая из блока приемо/передатчика, блока шифрования/расшифрования и электронной подписи, блока фильтрации служб по стандартному протоколу, блока формирования закрытого протокола, блока стандартного сетевого ФПО сервера корпорации, причем первый вход/выход блока приемо/передатчика является первым входом/выходом серверной части системы защиты, второй вход/выход блока приемо/передатчика соединен с первым входом/выходом блока шифрования/расширования и электронной подписи, второй вход/выход которого соединен с первым входом/выходом блока фильтрации служб по стандартному протоколу, второй вход/выход которого соединен с первым входом/выходом блока формирования закрытого протокола, второй вход/выход которого соединен с первым входом/выходом блока стандартного сетевого ФПО сервера корпорации, вход/выход серверной части системы защиты соединен с каналами и средствами коммутации сети связи общего пользования. In addition, the server part of the security system was introduced, consisting of a receiver / transmitter unit, an encryption / decryption unit and an electronic signature, a service filtering unit according to the standard protocol, a closed protocol generation unit, a standard network FPO server block of the corporation, the first input / output of the receiving unit / transmitter is the first input / output of the server part of the security system, the second input / output of the receiver / transmitter unit is connected to the first input / output of the encryption / decryption unit and electronic signature, the second input one input / output is connected to the first input / output of the service filtering unit according to the standard protocol, the second input / output of which is connected to the first input / output of the closed protocol generation unit, the second input / output of which is connected to the first input / output of the standard network FPO server block of the corporation , the input / output of the server part of the protection system is connected to the channels and switching means of the public communication network.

На фиг.4 представлена схема защиты виртуального канала корпоративной сети с аутентифицирующим маршрутизатором, построенной на каналах и средствах коммутации сети связи общего пользования. Она содержит М межсетевых экранов, L клиентских частей системы защиты и N серверных частей защиты. Межсетевой экран состоит из блока приемо/передатчика, блока фильтрации пакетов, блока шифрования/расшифрования и электронной подписи, блока аутентификации клиента по идентификатору, паролю и службе, блока регистрации, блока удаленного администрирования, блока фильтрации служб по стандартному протоколу, блока формирования закрытого протокола, блока аутентификации клиента по IP-адресу, блока разрешения доступа по логическому имени сервера, блока выработки мандата на требуемые действия, блока проверки мандата клиента мандатом на треюуемые действия, блока анализа журналов регистрации, блока выработки маршрута и блока оперативного управления. Figure 4 presents the protection circuit of a virtual channel of a corporate network with an authentication router, built on the channels and means of switching a public communication network. It contains M firewalls, L client parts of the security system and N server parts of the protection. The firewall consists of a receiver / transmitter unit, a packet filtering unit, an encryption / decryption unit and an electronic signature, a client authentication unit by identifier, password and service, a registration unit, a remote administration unit, a service filtering unit by a standard protocol, a closed protocol generation unit, client authentication block by IP address, block of access authorization by the logical name of the server, block of mandate generation for required actions, block of client mandate check by mandate for tray actions, block analysis logs, block development route and block operational management.

Первый вход/выход блока приемо/передатчика является входом/выходом межсетевого экрана, второй вход/выход блока приемо/передатчика соединен с первым входом/выходом блока фильтрации пакетов, второй вход/выход которого соединен с первым входом/выходом блока шифрования/расшифрования и электронной подписи, второй вход/выход которого соединен с первым входом/выходом блока фильтрации служб по стандартному протоколу, второй вход/выход которого соединен с первым входом/выходом блока формирования закрытого протокола, второй вход/выход которого соединен с первым входом/выходом блока аутентификации клиента по идентификатору, паролю и службе, второй вход/выход которого соединен с первым входом/выходом блока аутентификации клиента по IP-адресу, второй вход/выход соединен с входом/выходом блока разрешения доступа по логическому имени сервера, второй вход/выход которого соединен с входом/выходом блока выработки мандата на требуемые действия, второй вход/выход которого соединен с первым входом/выходом блока проверки мандата клиента мандатом на требуемые действия, второй вход/выход которого соединен с входом/выходом блока выработки маршрута, второй вход/выход которого соединен с первым входом/выходом блока регистрации, второй вход/выход которого соединен с первым входом/выходом блока анализа журналов регистрации, второй вход/выход которого соединен с входом/выходом блока удаленного администрирования, вход которого соединен с выходом блока оперативного управления, вход которого является входом системы защиты, вход/выход межсетевого экрана является первым входом/выходом системы. The first input / output of the receiver / transmitter unit is the input / output of the firewall, the second input / output of the receiver / transmitter unit is connected to the first input / output of the packet filtering unit, the second input / output of which is connected to the first input / output of the encryption / decryption unit and electronic a signature, the second input / output of which is connected to the first input / output of the service filtering unit according to the standard protocol, the second input / output of which is connected to the first input / output of the block for forming a closed protocol, the second input / output of which о is connected to the first input / output of the client authentication unit by identifier, password and service, the second input / output of which is connected to the first input / output of the client authentication unit by IP address, the second input / output is connected to the input / output of the access permission unit by logical the name of the server, the second input / output of which is connected to the input / output of the mandate generation unit for the required actions, the second input / output of which is connected to the first input / output of the client mandate validation unit, the mandate for the required actions, the second input / output which is connected to the input / output of the route generation unit, the second input / output of which is connected to the first input / output of the registration unit, the second input / output of which is connected to the first input / output of the analysis logs analysis unit, the second input / output of which is connected to the input / output remote administration unit, the input of which is connected to the output of the operational control unit, the input of which is the input of the security system, the input / output of the firewall is the first input / output of the system.

Клиентская часть системы защиты состоит из блока приемо/передатчика, блока шифрования/расшифрования и электронной подписи, блока фильтрации служб по стандартному протоколу, блока формирования закрытого протокола, блока стандартного сетевого ФПО клиента корпорации, причем вход/выход блока стандартного сетевого ФПО клиента корпорации соединен с первым входом/выходом блока фильтрации служб по стандартному протоколу, второй вход/выход которого соединен с первым входом/выходом блока формирования закрытого протокола, второй вход/выход которого соединен с первым входом/выходом блока шифрования/расшифрования и электронной подписи, второй вход/выход которого соединен с первым входом/выходом блока приемо/передатчика, второй вход/выход которого является входом/выходом клиентской части системы защиты. The client part of the security system consists of a receiver / transmitter unit, an encryption / decryption and electronic signature unit, a service filtering unit according to a standard protocol, a closed protocol generation unit, a standard network FPO block of a corporation client, the input / output of a standard network FPO block of a corporation client being connected to the first input / output of the service filtering unit according to the standard protocol, the second input / output of which is connected to the first input / output of the closed protocol forming unit, the second input / output to which is connected to the first input / output of the encryption / decryption unit and electronic signature, the second input / output of which is connected to the first input / output of the receiver / transmitter unit, the second input / output of which is the input / output of the client part of the security system.

Серверная часть системы защиты состоит из блока приемо/передатчика, блока шифрования/расшифрования и электронной подписи, блока фильтрации служб по стандартному протоколу, блока формирования закрытого протокола, блока стандартного сетевого ФПО сервера корпорации, причем вход/выход блока стандартного сетевого ФПО сервера корпорации соединен с первым входом/выходом блока фильтрации служб по стандартному протоколу, второй вход/выход которого соединен с первым входом/выходом блока формирования закрытого протокола, второй вход/выход которого соединен с первым входом/выходом блока шифрования/расшифрования и электронной подписи, второй вход/выход которого соединен с первым входом/выходом блока приемо/передатчика, второй вход/выход которого является входом/выходом клиентской части системы защиты; первым входом/выходом системы является первый вход/выход межсетевого экрана, вторым входом/выходом системы является вход/выход клиентской части системы защиты, третьим входом/выходом системы является вход/выход серверной части системы защиты. The server part of the security system consists of a receiver / transmitter unit, an encryption / decryption and electronic signature unit, a service filtering unit according to the standard protocol, a closed protocol generation unit, a standard network FPO server block of the corporation, and the input / output of the standard network FPO server block of the corporation is connected to the first input / output of the service filtering unit according to the standard protocol, the second input / output of which is connected to the first input / output of the closed protocol forming unit, the second input / output is a cat it is connected to the first input / output of the encryption / decryption unit and electronic signature, the second input / output of which is connected to the first input / output of the receiver / transmitter unit, the second input / output of which is the input / output of the client part of the security system; the first input / output of the system is the first input / output of the firewall, the second input / output of the system is the input / output of the client part of the security system, the third input / output of the system is the input / output of the server part of the security system.

Защищенная сеть содержит систему защиты информации в корпоративной сети 1. Система защиты состоит из М межсетевых экранов 2, L клиентских частей системы защиты 16 и N серверных частей защиты 17 (фиг.3). Межсетевой экран 2 состоит из блока приемо/передатчика 10, блока фильтрации пакетов 11, блока шифрования/расшифрования и электронной подписи 12, блока фильтрации служб по стандартному протоколу 19, блока формирования закрытого протокола 20, блока аутентификации клиента по идентификатору, паролю и службе 13, блока аутентификации клиента по IP-адресу 21, блока разрешения доступа по логическому имени сервера 22, блока выработки мандата на требуемые действия 23, блока проверки мандата клиента мандатом на требуемые действия 24, блока выработки маршрута 25, блока регистрации 14, блока анализа журналов регистрации 26, блока удаленного управления 15, блока оперативного управления 27. The secure network contains an information security system in the corporate network 1. The security system consists of M firewalls 2, L client parts of the security system 16 and N server parts of the security 17 (Fig. 3). The firewall 2 consists of a receiver / transmitter unit 10, a packet filtering unit 11, an encryption / decryption unit and an electronic signature 12, a service filtering unit according to the standard protocol 19, a closed protocol generation unit 20, a client authentication unit by identifier, password and service 13, client authentication unit by IP address 21, access authorization unit by the logical name of server 22, mandate generation unit for required actions 23, client mandate verification unit by required actions 24 mandate, route generation unit 2 5, a registration unit 14, an analysis log analysis unit 26, a remote control unit 15, an operational control unit 27.

Первый вход/выход блока премо/передатчика 10 является входом/выходом межсетевого экрана 2, второй вход/выход блока приемо/передатчика 10 соединен с первым входом/выходом блока фильтрации пакетов 11, второй вход/выход которого соединен с первым входом/выходом блока шифрования/расшифрования и электронной подписи 12, второй вход/выход которого соединен с первым входом/выходом блока фильтрации служб по стандартному протколу 19, второй вход/выход которого соединен с первым входом/выходом блока формирования закрытого протокола 20, второй вход/выход которого соединен с первым входом/выходом блока аутентификации клиента по идентификатору, паролю и службе 13, второй вход/выход которого соединен с первым входом/выходом блока аутентификации клиента по IP-адресу 21, второй вход/выход соединен с входом/выходом блока разрешения доступа по логическому имени сервера 22, второй вход/выход соединен с входом/выходом блока выработки мандата на требуемые действия 23, второй вход/выход соединен с первым входом/выходом блока проверки мандата клиента мандатом на требуемые действия 24, второй вход/выход которого соединен с первым входом/выходом блока выработки маршрута 25, второй вход/выход которого соединен с первым входом/выходом блока регистрации 14, второй вход/выход которого соединен с первым входом/выходом блока анализа журналов регистрации 26, второй вход/выход которого соединен с первым входом/выходом блока удаленного администрирования 15, вход которого соединен с выходом блока оперативного управления 27, вход которого является входом системы защиты 1, вход/выход межсетевого экрана 2 является первым входом/выходом системы 1. The first input / output of the pre / transmitter unit 10 is the input / output of the firewall 2, the second input / output of the receiver / transmitter unit 10 is connected to the first input / output of the packet filtering unit 11, the second input / output of which is connected to the first input / output of the encryption unit / decryption and electronic signature 12, the second input / output of which is connected to the first input / output of the service filtering unit according to the standard protocol 19, the second input / output of which is connected to the first input / output of the closed protocol generation unit 20, the second input / output which is connected to the first input / output of the client authentication unit by identifier, password and service 13, the second input / output of which is connected to the first input / output of the client authentication unit by IP address 21, the second input / output is connected to the input / output of the access permission unit by the logical name of the server 22, the second input / output is connected to the input / output of the mandate generation unit for the required actions 23, the second input / output is connected to the first input / output of the client mandate checker for the required actions 24, the second input / output to is connected to the first input / output of the route generation unit 25, the second input / output of which is connected to the first input / output of the registration unit 14, the second input / output of which is connected to the first input / output of the analysis logs unit 26, the second input / output of which is connected with the first input / output of the remote administration unit 15, the input of which is connected to the output of the operational control unit 27, the input of which is the input of the security system 1, the input / output of the firewall 2 is the first input / output of the system 1.

Клиентская часть системы защиты 16 (фиг. 5) состоит из блока приемо/передатчика 10, блока шифрования/расшифрования и электронной подписи 12, блока фильтрации служб по стандартному протоколу 19, блока формирования закрытого протокола 20, блока стандартного сетевого ФПО клиента 5 корпорации, причем вход/выход блока стандартного сетевого ФПО клиента 5 корпорации соединен с первым входом/выходом блока фильтрации служб по стандартному протоколу 19, второй вход/выход которого соединен с первым входом/выходом блока формирования закрытого протокола 20, второй вход/выход которого соединен с первым входом/выходом блока шифрования/расшифрования и электронной подписи 12, второй вход/выход которого соединен с первым входом/выходом блока приемо/передатчика 10, второй вход/выход которого является входом/выходом клиенткой части системы защиты 16. The client part of the security system 16 (Fig. 5) consists of a receiver / transmitter unit 10, an encryption / decryption unit and an electronic signature 12, a service filtering unit according to a standard protocol 19, a closed protocol generation unit 20, a standard network FPO unit of a client 5 of a corporation, the input / output of the standard network FPO block of the client 5 of the corporation is connected to the first input / output of the service filtering unit according to the standard protocol 19, the second input / output of which is connected to the first input / output of the closed protocol generation unit 20, the second input / output of which is connected to the first input / output of the encryption / decryption unit and the electronic signature 12, the second input / output of which is connected to the first input / output of the receiver / transmitter unit 10, the second input / output of which is the input / output of the client part of the security system 16.

Серверная часть системы защиты 17 (фиг. 6) состоит из блока приемо/передатчика 10, блока шифрования/расшифрования и электронной подписи 12, блока фильтрации служб по стандартному протоколу 19, блока формирования закрытого протокола 20, блока стандартного сетевого ФПО сервера корпорации 6, причем вход/выход блока стандартного сетевого ФПО сервера корпорации 6 соединен с первым входом/выходом блока фильтрации служб по стандартному протоколу 19, второй вход/выход которого соединен с первым входом/выходом блока формирования закрытого протокола 20, второй вход/выход которого соединен с первым входом/выходом блока шифрования/расшифрования и электронной подписи 12, второй вход/выход которого соединен с первым входом/выходом блока приемо/передатчика 10, второй вход/выход которого является входом/выходом клиентской части системы защиты 16; первым входом/выходом системы 1 является первый вход/выход межсетевого экрана 2, вторым входом/выходом системы 1 является вход/выход клиентской части системы защиты 16, третьим входом/выходом системы 1 является вход/выход серверной части системы защиты 17. The server part of the security system 17 (Fig. 6) consists of a receiver / transmitter unit 10, an encryption / decryption unit and an electronic signature 12, a service filtering unit according to a standard protocol 19, a closed protocol generation unit 20, a standard network FPO server unit 6, and the input / output of the standard network FPO server block of the corporation 6 server is connected to the first input / output of the service filtering unit according to the standard protocol 19, the second input / output of which is connected to the first input / output of the closed protocol generation unit 20, the second input / output of which is connected to the first input / output of the encryption / decryption unit and the electronic signature 12, the second input / output of which is connected to the first input / output of the receiver / transmitter unit 10, the second input / output of which is the input / output of the client part of the security system 16; the first input / output of system 1 is the first input / output of the firewall 2, the second input / output of system 1 is the input / output of the client part of the security system 16, the third input / output of system 1 is the input / output of the server part of the security system 17.

Клиентская часть системы защиты, входящая в систему, может быть выполнена либо как ФПО на выделенном компьютере (см. Computerworld, Россия, 27 августа 1996 года), либо на выделенном процессоре или микроЭВМ, либо как часть комплекса ФПО на выделенном компьютере. The client part of the protection system included in the system can be performed either as a software on a dedicated computer (see Computerworld, Russia, August 27, 1996), or on a dedicated processor or microcomputer, or as part of a software on a dedicated computer.

Серверная часть системы защиты может быть выполнена либо как ФПО на выделенном компьютере (см. Computerworld, Россия, 27 августа 1996 года), либо на выделенном процессоре или микроЭВМ, либо как часть комплекса ФПО на выделенном компьютере. The server part of the protection system can be performed either as a software on a dedicated computer (see Computerworld, Russia, August 27, 1996), or on a dedicated processor or microcomputer, or as part of a software on a dedicated computer.

Дополнительно введенные в межсетевой экран блоки могут быть выполнены либо как ФПО на выделенном компьютере (см. Computerworld, Россия, 27 августа 1996 года), либо на выделенном процессоре или микроЭВМ, либо как часть комплекса ФПО на выделенном компьютере. The blocks additionally entered into the firewall can be executed either as a software on a dedicated computer (see Computerworld, Russia, August 27, 1996), or on a dedicated processor or microcomputer, or as part of a complex of software on a dedicated computer.

Система 1 в составе защищенной сети работает следующим образом. System 1 as part of a secure network operates as follows.

Защищенное взаимодействие между клиентами и серверами корпорации осуществляется следующим образом. Рассмотрим взаимодействие в среде TCP/IP (может быть реализован и другой стек протоколов). Клиент 5 согласовывает свои права доступа с межсетевым экраном 2. С этой целью на клиентской части 5 формируется стандартный TCP/IP пакет, в котором содержатся в заголовке IP-адрес клиента, IP-адрес сервера корпорации (который не обязательно должен существовать) и порт службы, в поле данных данные в формате той службы, на порт которой посылается пакет, далее пакет попадает в блок фильтрации служб по стандартному протоколу 19. Если службы не имеют надежной защиты, далее пакет попадает в блок формирования закрытого протокола 20 и задерживается до получения ответа от межсетевого экрана 2 (в противном случае пропускается), в блоке 20 формируется пакет закрытого протокола, в котором содержится в заголовке служебный заголовок TCP/IP, но с IP-адресом межсетевого экрана 2 и портом установления соединения системы защиты 1, а в поле данных находятся поля идентификатора клиента, пароля, IP-адреса компьютера клиента, IP-адрес сервера назначения в зашифрованном виде. Secure communication between clients and servers of the corporation is as follows. Consider the interaction in a TCP / IP environment (another protocol stack may also be implemented). Client 5 negotiates its access rights with firewall 2. For this purpose, a standard TCP / IP packet is formed on client part 5, which contains the IP address of the client, the IP address of the corporation server (which does not have to exist) and the service port , in the data field, data in the format of the service to which the packet is sent, then the packet enters the service filtering unit according to the standard protocol 19. If the services do not have reliable protection, then the packet enters the closed protocol generation unit 20 and is delayed to the floor After receiving the response from Firewall 2 (otherwise, it is skipped), a closed protocol packet is generated in block 20, which contains the TCP / IP service header, but with the IP address of Firewall 2 and the connection port for establishing the security system 1, and data field are the fields of the client identifier, password, IP address of the client computer, IP address of the destination server in encrypted form.

Далее этот пакет попадает на межсетевой экран 2, где проходит проверки. Сначала проходит блок приемо/передатчика 10, далее блок фильтрации пакетов 11, где фильтруются служебные заголовки стандартных протоколов, далее блок шифрования/расшифрования и электронной подписи 12, где происходит расшифровка пакета, далее блок фильтрации служб по стандартному протоколу 19, где проверяется, нуждается ли данный пакет в аутентификации. Если нет, то он пропускается через блоки 12, 11, 10 к серверу, иначе пакет далее попадает в блок формирования закрытого протокола 20, где происходит разбор поля данных пришедшего пакета, далее в блок аутентификации клиента по идентификатору и паролю 13 (сравниваются присланные сведения и находящиеся в базе данных), далее в блок аутентификации клиента по IP-адресу 21 (сравниваются присланные сведения и находящиеся в базе данных), далее в блок разрешения доступа по логическому имени сервера 22 (сравниваются присланные сведения и находящиеся в базе данных), далее в блок выработки мандата на требуемые действия 23, далее в блок проверки мандата клиента мандатом на требуемые действия 24. Further this packet gets to the firewall 2 where checks pass. First, the receiver / transmitter block 10 passes, then the packet filtering block 11, where the service headers of standard protocols are filtered, then the encryption / decryption and electronic signature block 12, where the packet is decrypted, then the services filtering block according to the standard protocol 19, where it is checked whether this package is in authentication. If not, it is passed through blocks 12, 11, 10 to the server, otherwise the packet then goes to the closed protocol generation block 20, where the data field of the received packet is parsed, then to the client authentication block by identifier and password 13 (the sent information is compared and located in the database), then to the client authentication unit at IP address 21 (the sent information and those in the database are compared), then to the access permission block by the logical name of the server 22 (the sent information and those in the database are compared) n), then to the block for developing the mandate for the required actions 23, then to the block for checking the client’s mandate with the mandate for the required actions 24.

Далее, если все проверки пройдены и логический сервер относится к домену, обслуживаемому этим межсетевым экраном, то направляется пакет, разрешающий соединение между клиентом и межсетевым экраном (в противном случае пакет, инициирующий соединение, направляется дальше по IP-адресу следующего ближайшего к требуемому серверу межсетевому экрану согласно маршруту, выработанному в блоке выработки маршрута 25), далее пакет, разрешающий соединение, состоящий из разрешающего флага и сеансового ключа. Пройдены проверки или не пройдены (отличие от прототипа, обслуживаемая блоком анализа журналов регистрации) попытка доступа фиксируется в журнале регистрации блоком регистрации 14 и далее обрабатывается соответственно настройкам блока анализа журнала регистрации 26. Пакет, отправленный межсетевым экраном, приходит к клиенту, проходя блоки приемо/передатчика и блок шифрования/расшифрования и электронной подписи попадает в блок формирования закрытого протокола 20, далее пропускается пакет, устанавливающий соединение по стандартному соединению, но в каждом пакете заменяются IP-адреса сервера назначения на IP-адрес межсетевого экрана. Причем, проходя через блок шифрования/расшифрования и электронной подписи, пакет обрабатывается алгоритмом шифрования, определенным для данного клиента, а в межсетевом экране расшифровывается, и в блоке формирования закрытого протокола меняется IP-адрес приемника на IP-адрес сервера назначения, определяемый по логическому идентификатору сервера, передаваемого в первом (инициализирующем) пакете. Further, if all the checks are passed and the logical server belongs to the domain served by this firewall, a packet is sent that allows the connection between the client and the firewall (otherwise, the packet initiating the connection is sent further to the IP address of the next firewall that is closest to the required server to the screen according to the route worked out in the route generation unit 25), then a packet allowing the connection, consisting of an enabling flag and a session key. Checks passed or failed (different from the prototype served by the analysis logs analysis unit) an access attempt is recorded in the registration log by the registration unit 14 and then processed according to the settings of the analysis log analysis unit 26. The packet sent by the firewall arrives at the client through the receiving / the transmitter and the encryption / decryption and electronic signature block fall into the closed protocol generation unit 20, then a packet is established that establishes a connection using a standard soy İnönü, but in each packet are replaced by IP-address of the destination server to the IP-address of the firewall. Moreover, passing through the encryption / decryption and electronic signature block, the packet is processed by the encryption algorithm defined for this client, and in the firewall it is decrypted, and in the closed protocol generation unit the IP address of the receiver is changed to the IP address of the destination server, determined by the logical identifier server transmitted in the first (initializing) packet.

Так как осуществляется маршрутизация по защищенному закрытому протоколу, то система защищена от атаки "Подмена маршрутизатора путем использования управляющих протоколов". Since routing is carried out using a secure closed protocol, the system is protected from the attack "Router spoofing using control protocols."

Так как используются регистрация всех попыток доступа и автоматический анализ их, возможно организовать фискальный доступ к информации, то есть фиксирование и отслеживание всех информационных потоков от отправителя к получателю, идентификационных параметров отправителя и получателя, что особенно важно при обслуживании учреждений, связанных с коммерческой, военной или государственной тайной. Since registration of all access attempts and their automatic analysis are used, it is possible to organize fiscal access to information, that is, recording and tracking all information flows from the sender to the recipient, the identification parameters of the sender and recipient, which is especially important when servicing institutions related to commercial, military or state secret.

Так как используется мандатный принцип, появляется альтернативный способ управления доступом, что позволяет путем гибких настроек с помощью статического метода управления (выделения области памяти методом разграничения прав) и динамического (мандатного) реализовать более эффективную по управлению виртуальную файловую систему. Например, выделение статически общей области памяти для чтения и внутри нее распределение по мандатам при наличии у каждого клиента своей статически прописанной области памяти. Since the credential principle is used, an alternative method of access control appears, which allows, through flexible settings, using the static management method (allocation of memory area by the method of differentiation of rights) and dynamic (mandatory) to implement a more efficient virtual file system for management. For example, the allocation of a statically shared memory area for reading and within it distribution by credentials if each client has its own statically prescribed memory area.

Так как используется мандатный принцип, повышается защищенность объектов из-за того, что в явном виде прописываются права конфиденциальности (мандат) каждому субъекту, участвующему в доступе к ресурсам. Since the mandate principle is used, the security of objects is increased due to the fact that explicit confidentiality rights (mandates) are registered for each entity participating in access to resources.

Так как используется закрытый протокол на этапе установления соединения, система более защищена, чем системы, использующие стандартные протоколы на этом этапе. Кроме того, предлагаемая система обладает достоинствами открытых систем, так как закрытый протокол используется только на этапе установления соединения, далее используются открытые протоколы и алгоритмы защиты (шифрования и электронной подписи). Since a closed protocol is used at the stage of establishing a connection, the system is more secure than systems using standard protocols at this stage. In addition, the proposed system has the advantages of open systems, since a closed protocol is used only at the stage of establishing a connection, then open protocols and protection algorithms (encryption and electronic signature) are used.

Так как все пакеты проходят межсетевой экран (система не отключается в фазе передачи данных), появляется возможность управлять потоком на уровне виртуального канала (отключать при перегрузках или при получении оперативной информации о свершении атаки на информационные ресурсы от других средств защиты) на любом этапе этого взаимодействия посредством входа системы защиты через блок оперативного управления. Since all packets pass through the firewall (the system does not shut down during the data transfer phase), it becomes possible to control the flow at the virtual channel level (disconnect during congestion or when receiving operational information about an attack on information resources from other means of protection) at any stage of this interaction by entering the protection system through the operational control unit.

Так как используются система логических имен для серверов, а также динамическая трансляция адресов при проходе сквозь межсетевые экраны - достигается сокрытие сетевых адресов (например, IP-адресов) как клиентских частей системы защиты, так и серверов корпоративной сети. Since the logical name system for servers is used, as well as the dynamic translation of addresses when passing through firewalls, network addresses (for example, IP addresses) are hidden by both client parts of the protection system and corporate network servers.

Так как все выходы в глобальную сеть из корпоративной сети при использовании данной системы защиты логически закрыты межсетевыми экранами (клиент не может обратится к серверу напрямую, так как IP-адрес сервера неизвестен), рабочие станции и сервера корпорации находятся в подсетях корпоративной сети, где бы территориально они не находились. Since all exits to the global network from the corporate network when using this protection system are logically closed by firewalls (the client cannot access the server directly because the server’s IP address is unknown), the workstations and servers of the corporation are located on the corporate network subnets, where geographically they were not.

Организовано управление на уровне виртуального канала. Если клиент обладает разрешением на администрирование межсетевого экрана, то, пройдя стандартную процедуру проверки, может удаленно администрировать межсетевой экран. Например, при сигнале об атаке с клиентского места или сервера (например, нарушение целостности на данных компьютерах) или перегрузках сети администратор безопасности может отключить соответствующих клиентов (подозрительных в первом случае и наименее приоритетных в другом) с межсетевого экрана данной корпорации. Organized management at the virtual channel level. If the client has permission to administer the firewall, then, having passed the standard verification procedure, he can remotely administer the firewall. For example, if a signal about an attack from a client location or server (for example, integrity violation on these computers) or network congestion occurs, the security administrator can disconnect the corresponding clients (suspicious in the first case and least priority in the other) from the firewall of this corporation.

При аутентификации расширяются параметры аутентификации - аутентификация проводится по идентификатору, паролю, службе, сетевому адресу, разрешению к требуемому серверу. During authentication, authentication parameters are expanded - authentication is carried out by identifier, password, service, network address, permission to the required server.

К достоинствам предлагаемой системы защиты можно отнести следующее:
1. Маршрутизация по защищенному закрытому протоколу.The advantages of the proposed protection system include the following:
1. Routing over a secure closed protocol.

2. Повышение производительности системы посредством отсутствия дополнительных аутентификационных проверок для хорошо защищенных служб. 2. Improving system performance through the absence of additional authentication checks for well-protected services.

3. Фискальный контроль доступа к информации и регистрация всех попыток доступа. 3. Fiscal control of access to information and registration of all access attempts.

4. Мандатный принцип управления доступом для повышения эффективности управления доступом к ресурсам. 4. The credential principle of access control to increase the efficiency of access control to resources.

5. Закрытый протокол для логического выделения сети корпорации через средства передачи связи общего пользования. 5. Closed protocol for the logical allocation of the corporation's network through public communications.

6. Сокрытие сетевых адресов как клиента, так и сервера. 6. Concealment of network addresses of both the client and the server.

7. Деление корпоративной сети с закрытым протоколом на подсети. 7. Division of a corporate network with a closed protocol into subnets.

8. Расширение функций аутентификации (по клиенту, по функциям, не по стандартному протоколу)
9. Управление на уровне виртуального канала (при перегрузках, при сигналах об атаке) через вход системы.8. Extension of authentication functions (by client, by function, not by standard protocol)
9. Management at the level of the virtual channel (during overloads, when signals about an attack) through the system input.

Claims (1)

Система защиты виртуального канала корпоративной сети с аутентифицирующим маршрутизатором, построенная на каналах и средствах коммутации сети связи общего пользования, содержащая L межсетевых экранов корпорации, каждый из которых состоит из блока приемо/передатчика, блока фильтрации пакетов, блока шифрования/расшифрования и электронной подписи, блока аутентификации клиента по идентификатору, паролю и службе, блока регистрации, блока удаленного администрирования, причем первый вход/выход межсетевого экрана является первым входом/выходом блока приемо/передатчика, второй вход/выход блока приемо/передатчика соединен с первым входом /выходом блока фильтрации пакетов, второй вход/выход которого соединен с первым входом/выходом блока шифрования/расшифрования и электронной подписи, первый вход/выход указанного межсетевого экрана является первым входом/выходом системы, отличающаяся тем, что в нее введены блок фильтрации служб по стандартному протоколу, блок формирования закрытого протокола, блок аутентификации клиента по адресу, блок разрешения доступа по логическому имени сервера, блок выработки мандата на требуемые действия, блок проверки мандата клиента мандатом на требуемые действия, блок выработки маршрута, блок анализа журналов регистрации и блок оперативного управления, причем второй вход/выход блока шифрования/расшифрования и электронной подписи соединен с первым входом/выходом блока фильтрации служб по стандартному протоколу, второй вход/выход которого соединен с первым входом/выходом блока формирования закрытого протокола, второй вход/выход которого соединен с первым входом/выходом блока аутентификации клиента по индентификатору, паролю и службе, второй вход/выход которого соединен с входом/выходом блока аутентификации клиента по адресу, второй вход/выход которого соединен с входом/выходом блока разрешения доступа по логическому имени сервера, второй вход/выход которого соединен с входом/выходом блока выработки мандата на требуемые действия, второй вход/выход которого соединен с первым входом/выходом блока проверки мандата клиента мандатом на требуемые действия, второй вход/выход которого соединен с первым входом/выходом блока выработки маршрута, второй вход/выход которого соединен с первым входом/выходом блока регистрации, второй вход/выход которого соединен с первым входом/выходом блока анализа журналов регистрации, второй вход/выход которого соединен с входом/выходом блока удаленного администрирования, вход которого соединен с выходом блока оперативного управления, вход которого является вторым входом/выходом межсетевого экрана корпорации, введена клиентская часть системы, состоящая из блока приемо/передатчика, блока шифрования/расшифрования и электронной подписи, блока фильтрации служб по стандартному протоколу, блока формирования закрытого протокола, блока стандартного сетевого оборудования клиента корпорации, причем первый вход/выход блока приемо/передатчика является входом/выходом клиентской части системы, второй вход/выход блока приемо/передатчика соединен с первым входом/выходом блока шифрования/расшифрования и электронной подписи, второй вход/выход которого соединен с первым входом/выходом блока закрытого протокола, второй вход/выход которого соединен с первым входом/выходом блока фильтрации служб по стандартному протоколу, второй вход/выход которого соединен с первым входом/выходом блока стандартного сетевого оборудования клиента корпорации, вход/выход клиентской части системы соединен с каналами и средствами коммутации сети связи общего пользования, введена серверная часть системы, состоящая из блока приемо/передатчика, блока шифрования/расшифрования и электронной подписи, блока фильтрации служб по стандартному протоколу, блока формирования закрытого протокола, блока стандартного сетевого оборудования сервера корпорации, причем первый вход/выход блока приемо/передатчика является первым входом/выходом серверной части системы, второй вход/выход блока приемо/передатчика соединен с первым входом/выходом блока шифрования/расшифрования и электронной подписи, второй вход/выход которого соединен с первым входом/выходом закрытого протокола, второй вход/выход которого соединен с первым входом/выходом блока фильтрации служб по стандартному протоколу, второй вход/выход которого соединен с первым входом/выходом блока стандартного сетевого оборудования сервера корпорации, вход/выход серверной части системы соединен с каналами и средствами коммутации сети связи общего пользования. A corporate network virtual channel protection system with an authentication router, built on the channels and means of switching a public communication network, containing L corporate firewalls, each of which consists of a receiver / transmitter unit, a packet filtering unit, an encryption / decryption unit and an electronic signature, a unit client authentication by identifier, password and service, registration unit, remote administration unit, and the first input / output of the firewall is the first input / output the transmitter / receiver unit, the second input / output of the transmitter / receiver unit is connected to the first input / output of the packet filtering unit, the second input / output of which is connected to the first input / output of the encryption / decryption unit and the electronic signature, the first input / output of the specified firewall is the first input / output of the system, characterized in that it includes a block of filtering services according to the standard protocol, a block for generating a closed protocol, a client authentication block at the address, an access permission block for logical and the server, the mandate generation unit for the required actions, the client mandate validation unit for the required actions, the route generation unit, the log analysis module and the operational control unit, the second input / output of the encryption / decryption and electronic signature unit being connected to the first input / output the service filtering unit according to the standard protocol, the second input / output of which is connected to the first input / output of the closed protocol generation unit, the second input / output of which is connected to the first input / output of the unit client authentication by identifier, password and service, the second input / output of which is connected to the input / output of the client authentication unit at the address, the second input / output of which is connected to the input / output of the access permission unit by the logical name of the server, the second input / output of which is connected to the input / output of the mandate generation unit for the required actions, the second input / output of which is connected to the first input / output of the client mandate checker for the required actions, the second input / output of which is connected to the first input / output the house of the route generation unit, the second input / output of which is connected to the first input / output of the registration unit, the second input / output of which is connected to the first input / output of the analysis logs analysis unit, the second input / output of which is connected to the input / output of the remote administration unit, input which is connected to the output of the operational control unit, the input of which is the second input / output of the corporate firewall, the client part of the system is introduced, consisting of a receiver / transmitter unit, an encryption / decryption unit and an electronic signature, a filtering unit of services according to a standard protocol, a unit for forming a closed protocol, a unit of standard network equipment of a client of a corporation, the first input / output of the receiver / transmitter unit being the input / output of the client part of the system, the second input / output of the receiver / transmitter unit the first input / output of the encryption / decryption unit and electronic signature, the second input / output of which is connected to the first input / output of the closed protocol unit, the second input / output of which is connected to the first the process / output of the service filtering unit according to the standard protocol, the second input / output of which is connected to the first input / output of the standard network equipment unit of the corporation’s client, the input / output of the client part of the system is connected to the channels and switching means of the public communication network, the server part of the system is introduced, consisting of a receiver / transmitter unit, an encryption / decryption unit and an electronic signature, a service filtering unit according to a standard protocol, a closed protocol generation unit, a standard network unit equipment of the server of the corporation, the first input / output of the receiver / transmitter unit being the first input / output of the server part of the system, the second input / output of the receiver / transmitter unit connected to the first input / output of the encryption / decryption unit and electronic signature, the second input / output of which connected to the first input / output of the closed protocol, the second input / output of which is connected to the first input / output of the service filtering unit according to the standard protocol, the second input / output of which is connected to the first input / output of the standard unit th network equipment corporation server input / output system of the server is connected to the channels and means switching to the public network.
RU99108495A 1999-04-29 1999-04-29 Protective system for virtual channel of corporate network using authentication router and built around shared communication network channels and switching facilities RU2163745C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU99108495A RU2163745C2 (en) 1999-04-29 1999-04-29 Protective system for virtual channel of corporate network using authentication router and built around shared communication network channels and switching facilities

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU99108495A RU2163745C2 (en) 1999-04-29 1999-04-29 Protective system for virtual channel of corporate network using authentication router and built around shared communication network channels and switching facilities

Publications (2)

Publication Number Publication Date
RU99108495A RU99108495A (en) 2001-02-20
RU2163745C2 true RU2163745C2 (en) 2001-02-27

Family

ID=20218941

Family Applications (1)

Application Number Title Priority Date Filing Date
RU99108495A RU2163745C2 (en) 1999-04-29 1999-04-29 Protective system for virtual channel of corporate network using authentication router and built around shared communication network channels and switching facilities

Country Status (1)

Country Link
RU (1) RU2163745C2 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2447490C2 (en) * 2002-11-20 2012-04-10 Майкрософт Корпорейшн Protected processing of client system mandate for access to web-resources
US8321690B2 (en) 2005-08-11 2012-11-27 Microsoft Corporation Protecting digital media of various content types
US8325916B2 (en) 2005-05-27 2012-12-04 Microsoft Corporation Encryption scheme for streamed multimedia content protected by rights management system
RU2486566C2 (en) * 2007-06-15 2013-06-27 Эрбюс Операсьон Computer system of maintenance for airplane
US8726019B2 (en) 2005-02-11 2014-05-13 Qualcomm Incorporated Context limited shared secret

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
БРАНДМАКУЭРЫ INTERNET, ОБЗОР CW: Средства обеспечения безопасности в Internet, Computerworld, Россия, 27.08.1996, с.21-24. *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2447490C2 (en) * 2002-11-20 2012-04-10 Майкрософт Корпорейшн Protected processing of client system mandate for access to web-resources
US8726019B2 (en) 2005-02-11 2014-05-13 Qualcomm Incorporated Context limited shared secret
US8325916B2 (en) 2005-05-27 2012-12-04 Microsoft Corporation Encryption scheme for streamed multimedia content protected by rights management system
US8321690B2 (en) 2005-08-11 2012-11-27 Microsoft Corporation Protecting digital media of various content types
RU2486566C2 (en) * 2007-06-15 2013-06-27 Эрбюс Операсьон Computer system of maintenance for airplane

Similar Documents

Publication Publication Date Title
US7370354B2 (en) Method of remotely managing a firewall
US7051365B1 (en) Method and apparatus for a distributed firewall
US7552323B2 (en) System, apparatuses, methods, and computer-readable media using identification data in packet communications
US7360244B2 (en) Method for authenticating a user access request
US6993582B2 (en) Mixed enclave operation in a computer network
US7793094B2 (en) HTTP cookie protection by a network security device
US20020162026A1 (en) Apparatus and method for providing secure network communication
US20070294759A1 (en) Wireless network control and protection system
US20070250708A2 (en) Methods of operating portable computerized device with network security
CA2506418C (en) Systems and apparatuses using identification data in network communication
RU2163745C2 (en) Protective system for virtual channel of corporate network using authentication router and built around shared communication network channels and switching facilities
RU2163744C2 (en) Protective system for virtual channel of corporate- network using fiscal data access control and built around channels and switching facilities of shared communication network
KR20060044049A (en) Security router system and method for authentication of the user who connects the system
RU2163727C2 (en) Protective system for virtual channel of corporate network using capability principle for controlling access to resources and built around switching facilities of shared communication network
KR20030080412A (en) method of preventing intrusion from an exterior network and interior network
RU2143728C1 (en) Device for protection of virtual channel of internet which uses public communication lines and commutation equipment of public communication network
Belbachir et al. Involved Security Solution in Voice over IP Networks
Zave et al. 1 Security provided by endpoints
CA2156015A1 (en) Computer firewall for use between a secure network and a potentially hostile network
Kossakowski et al. Securing public web servers
Tupakula et al. Analysis of automated model against ddos attacks
Hunter et al. Communications Security
Ouyang et al. MLCC: A Multi Layered Correlative Control Mechanism for the VPN Topology
Kossakowski et al. SECURITY IMPROVEMENT MODULE CMU/SEI-SIM-011
AU2002322451A1 (en) Apparatus and method for providing secure network communication