Организация защищенного файлового обмена в системе обслуживания транзакций банковского уровня

По виду используемой среды VPN-сети подразделяются на [6]: · Защищённые VPNсети. Наиболее распространённый вариант приватных частных сетей. Его использование позволяет создавать надежные и защищенные подсети на основе ненадёжных сетей, как правило, Интернета. Примером защищённых VPN являются: IPSec, OpenVPN и PPTP.· Доверительные VPNсети. Используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Вопросы обеспечения безопасности становятся неактуальными. Примерами подобных VPN решении являются: MPLS и L2TP. Таким образом, данные протоколы перекладывают задачу обеспечения безопасности на другие, например L2TP, как правило, используется в паре с IPSec.В рамках данной работы проведем анализ архитектуры VPN-сетей на основе OpenVPN. Проведем рассмотрение данной технологии.Основными компонентами OpenVPNявляются:- сервер OpenVPN;- удостоверяющий центр;- клиенты OpenVPN;- сертификаты;- публичные ключи;- приватные ключи;- списки отозванных сертификатов;- файл Джиффи-Хелмана;- статический ключ.OpenVPN — представляет собой свободную реализацию технологии виртуальных частных сетей (VPN), содержащую открытый исходный код для реализации зашифрованных каналов вида точка-точка или соединений между серверами и клиентами. Она позволяет проводить установление соединений между компьютерами, находящимися за NAT и сетевыми экранами, без необходимости изменения их настроек. Распространение OpenVPN производится под лицензией GNU GPL.Целью GNU GPL  является предоставление пользователям прав на копирование, модифицирование и распространение (в том числе на коммерческой основе) программных продуктов, а также гарантия получения подобных прав и для пользователей. По контрасту с GPL, лицензии проприетарного ПО «очень редко дают пользователю такие права и обычно, наоборот, стремятся к их ограничению, например, запрещая восстановление исходного кода».Согласно лицензионной политике OpenVPN по применению лицензии GNU GPL (эти разъяснения приложены к размещённому на сайте разработчика тексту лицензии), лицензия должна в электронной форме присоединяться к компьютерным программам.Таким образом, лицензионная политика разработчиков OpenVPN имеет ряд преимуществ перед проприентарным ПО, к которому относится большинство систем подобного рода.ПО OpenVPN проводит передачу данных по сети с использованием протоколов UDP или TCP с применением драйверов TUN/TAP. Протоколы UDP и драйвер TUN позволяют проводить подключение к серверу OpenVPN со стороны клиентов, расположенных за NAT. Для OpenVPN - соединения производится выбор произвольного порта, дает возможность для преодоления ограничений файерволов, через которые производится доступ из локальной сети в Интернет (при наличии таких ограничений).Технологии обеспечения безопасности и шифрования в OpenVPN реализованы с помощью библиотеки OpenSSL и протокола транспортного уровня TransportLayerSecurity (TLS). Вместо OpenSSL в новых версиях OpenVPN используется библиотека PolarSSL.В OpenSSL может использоваться симметричная и ассиметричная криптография. В первом случае процесс передачи данных на все узлы сети начинается с использования одинакового секретного ключа. При этом появляется проблема безопасности при передаче данного ключа через небезопасный Интернет. Во втором случае для каждого из участников процесса обмена данными используются два ключа — публичный (открытый) и приватный (секретный). Публичные ключи используются в процессе шифрования данных, а приватные — при расшифровке. Основой технологии шифрования является сложный математический аппарат. Выбранные в SSL/TLS алгоритмы шифрования с использованием публичных ключей обеспечивают возможность расшифровки только с помощью приватных ключей.Приватные ключи являются секретными, и должны находиться в пределах узла, где они были созданы. Публичные ключи должны передаваться всем сторонам файлового обмена.Безопасность передачи информации предполагает необходимость идентификации сторон, принимающих участие в файловом обмене. В иных случаях сеть может быть подвергнута «атакам посредников» (ManintheMiddle, MITM). Данный тип атаки предполагает возможность подключения злоумышленника к каналам передачи данных и их прослушивания. Злоумышленники также могут вмешиваться, проводить удаление или изменение данных.Для обеспечения аутентификации (проверки подлинности пользователей) протоколы TLS используют инфраструктуру публичных ключей (PublicKeyInfrastructure, PKI) и технологии асимметричной криптографии.Необходимо иметь в виду, что расшифровка данных без использования приватных ключей также возможно, например, с использованием методов последовательного перебора. Хотя данный метод и требует значительных вычислительных ресурсов, это является вопросом времени, в течение которого можно провести расшифровку данных.Хотя размер ключа влияет на длительность процесса расшифрования, никакие ключи не дают гарантий полной безопасности данных. Кроме того, существует вероятность похищения уже расшифрованных данных и ключей за счет уязвимостей и закладок в операционной системе или прикладном ПО, а также в аппаратном обеспечении серверов и рабочих станций. Технология OpenVPNпредполагает возможности нескольких видов аутентификации:- вход с помощью предустановленного ключа, что является наиболее простым методом;- вход по сертификату;- с использованием пары «логин - пароль».Необходимым компонентом, даже в случае аутентификации через логин-пароль является сертификат сервера.Сертификаты выпускаются удостоверяющим центром. Заверение сертификата, как правило, проводит аккредитованная доверенная организация. Эта организация выполняет роль удостоверяющего центра.При создании открытого ключа для публичного использования, в качестве удостоверяющего центра могут выступать аккредитованные коммерческие или государственные организации, а также банковские учреждения при создании собственных сетей защищенного файлового обмена. Данная организация проводит публикацию собственного открытого ключа, доступного всем.Существует большое количество коммерческих организаций, оказывающих услуги по выпуску сертификатов, пригодных, например, для создания HTTPS-сайтов, для цифровой подписи сообщений электронной почты или документов, для систем мгновенного обмена сообщениями, такими как Jabber. Выдача данных сертификатов производится выдаются на ограниченный срок и является платной услугой.Но для сетей VPN, создаваемых для своей компании, есть возможность самостоятельного создания своего удостоверяющего центра CA и выпуска так называемых самоподписанных сертификатов. Конечно, доверие к данным сертификатам не будет выходить за пределы организации, но во-первых, этого будет вполне достаточно, а во-вторых, самоподписанные сертификаты совершенно бесплатны.Согласно требованиям технологии передачи данных в СЭД банковских учреждений, канал передачи данных необходимо шифровать специальными программными средствами.Наиболее распространенным программным решением в российских органах государственной власти является VipNet.Передача почтовой информации осуществляется с использованием средств VipNet, что позволяет передавать информацию и IP-пакеты между удаленными площадками в зашифрованном виде. Приведем описание настроек системы VipNetв системах ЭДО.На рис.3.1 показана настройка рабочей станции специалиста, использующего ПО ViрNetClient.Рис.3.1 Настройка рабочей станции специалиста, использующего ПО ViрNetClientНа рисунке 3.2 приведен режим настройки защищенного файлового обмена с использованием системы Vipnet.Рис.3.2 – настройка системы файлового обменаКак показано на рисунке 3.2, для запуска отправки файла в защищённом режиме проводится выбор сетевого узла, проводится вложение файла и далее проводится отправка файла адресату.На рисунке 3.3 приведен режим оперативного обмена сообщениями.Рис.3.3 – Режим оперативного обмена сообщениямиНа рисунке 3.4 показан режим проверки сертификата электронной подписи абонента системы защищенного файлового обмена. На рис.3.5 приведен режим настройки контейнера ключей.Рис.3.4. Режим проверки сертификата при запуске режима файлового обмена Рис.3.5. Режим настройки контейнера ключей На рис.3.6 приведен журнал регистрации IP- пакетов в системе VipNet.Рис.3.6. Журнал регистрации IP-пакетовКак показано на рисунке 3.6, система защищенного документооборота позволяет проводить анализ блокированных и пропущенных IP-пакетов. На рисунке 3.7 показан режим настройки протоколов для работы системы защищенного файлового обмена. Настройка шифрования трафика приведена на рисунке 3.8.Рис.3.7 – Настройка протоколовРис.3.7. Настройка шифрования трафикаТаким образом, необходимым условием в СЭД является наличие программного средства шифрования канала передачи данных, посредством которого можно проводить настройку работы с протоколами передачи файлов, использовать ключи шифрования, настраивать адреса, участвующие в системе защищенного файлового обмена, что позволяет исключить внешние вторжения с посторонних IP-адресов.ЗаключениеВ рамках данной работы проведенопроектирование систем защищенного файлового обмена для банковского учреждения. В первой части работы проведен анализ видов угроз сетевых вторжений на системы банковского документооборота, проанализированы угрозы и последствия их реализации.Обеспечение защищённого файлового обмена является первостепенной задачей в технологиях банковсого обслуживания в виду того, что большая часть банковских транзакций осуществляется в электронном виде и обеспечение их безопасности является необходимым условием стабильной работы банков.Виды информации, подлежащей защите в системах файлового обмена в банках являются: данные о совершении операций по банковским картам, данные по расчетам между юридическим лицами через платежные системы. Также защите подлежит информация, содержащаяся в банковских выписках.Защита системы файлового обмена предполагает использование системы виртуализации IP-адресов и шифрование каналов связи. Одним из наиболее распространенных решений для обеспечения защиты каналов передачи данных является использование технологий VPNи программного решения VipNetClientот Инфотекс.Система позволяет проводить операции файлового обмена, работать в режиме реальных и виртуальных сетей, шифровать передаваемый трафик. Таким образом, обеспечение защиты файлового обмена с использованием указанной технологии позволит обеспечить необходимый уровень защиты от сетевых угроз в условиях банковских учреждений.Список использованных источниковСистемы обнаружения вторжений. [Электронный ресурс]. Режим доступа: http://www.netconfig.ru/server/ids-ips/IDS – Snort. О программе.[Электронный ресурс]. Режим доступа:http://www.netconfig.ru/ready/snort/Доверенная загрузка системы. [Электронный ресурс]. Режим доступа:http://ic-dv.ru/uslugi/sredstva_doverennoj_zagruzki/4Акулов Л. Г. Хранение и защита компьютерной информации : учебное пособие / Л.Г. Акулов, В.Ю. Наумов. - Волгоград :ВолгГТУ, 2015. - 62 с.Андрианов В.В., Зефиров С.Л., Голованов В.Б., Голдуев Н.А. Обеспечение информационной безопасности бизнеса. – М.: Альпина Паблишерз, 2011 – 338с.Ожиганов А.А. Криптография: учебное пособие / А.А. Ожиганов. - Санкт-Петербург : Университет ИТМО, 2016. - 142 cНикифоров С. Н. Защита информации. Шифрование: учебное пособие / С. Н. Никифоров, М. М. Ромаданова. - Санкт-Петербург:СПбГАСУ, 2017. - 129Радько, Н.М. Основы криптографической защиты информации [Электронный ресурс]: учебное пособие / Н. М. Радько, А. Н. Мокроусов; Воронеж. гос. техн. ун-т. - Воронеж : ВГТУ, 2014.Сосински Б., Дж. Московиц Дж. Windows 2008 Server за 24 часа. – М.: Издательский дом Вильямс, 2008. Герасименко В.А., Малюк А.А. Основы защиты информации. – СПб.: Питер, 2010. – 320сСафонов В.О. Основы современных операционных систем [Электронный ресурс] : учебное пособие / В.О. Сафонов. - Москва: Интернет-Университет Информационных Технологий (ИНТУИТ), 2016. - 826 cБондарев В. В. Анализ защищенности и мониторинг компьютерных сетей : методы и средства : учебное пособие / В.В. Бондарев. - Москва: Изд-во МГТУ им. Н.Э. Баумана, 2017. – 225с.Шаньгин В.Ф. Информационная безопасность и защита информации [Электронный ресурс]: учебное пособие / В.Ф. Шаньгин. - Саратов: Профобразование, 2017. - 702 cСеменов А.Б. Проектирование и расчет структурированных кабельных систем и их компонентов [Электронный ресурс] : монография / А.Б. Семенов. - Саратов : Профобразование, 2017. - 416 cШаньгин В.Ф. Защита компьютерной информации. Эффективные методы и средства [Электронный ресурс] : учебное пособие / В.Ф. Шаньгин. - Саратов : Профобразование, 2017. - 544 c