в начало  предыдущее  закрыть  следущее  в конец
141090, Московская область, г.Королев, мкр.Юбилейный, ул. Ленинская, д.4, пом.7
Телефон: +7(495) 589-99-53, e-mail: support@lissi.ru

ПАК «Shield Multi Service-FW»

Сколько стоит этот продукт?

 Заказать этот продукт

Основная проблема доступа к информационным ресурсам сети Интернет состоит в том, что точка подключения к ней становится частью этой сети и, как следствие, становится общедоступной, взаимодействует с ней по общепринятым сетевым протоколам и по этим же протоколам взаимодействует с защищаемой сетью. Никакими методами тестирования невозможно доказать отсутствие ошибок в программном обеспечении (постулат Дейкстры). Имея неограниченное время (точка подключения функционирует постоянно), злоумышленник может осуществить несанкционированный доступ через точку подключения, используя найденные бреши в программном обеспечении или его настройках. Перефразируя Архимеда, можно сказать «дайте мне точку подключения вашей сети к сети Интернет и я взломаю вашу сеть». Таким образом, основной проблемой при доступе к сети Интернет из корпоративной сети является угроза проникновения в корпоративную сеть организации в точке подключения к публичной. Это проникновение может привести не только к утечки информации, но и к нарушению нормального функционирования защищаемой корпоративной сети, и как следствие к потере управления, если это система управления, останову технологического процесса и т.д.

Технология Shield по аналогии с атомной бомбой, состоящей из двух полушарий, предполагает подключать корпоративную сеть к публичной сети посредством программно-аппаратного комплекса, состоящего из двух серверов (рис.1), между которыми отсутствует сетевое соединение и передаются только данные:


Рис.1. Бинарная точка подключения к сети Интерет

Передача данных между серверами осуществляется по высокоскоростному интерфейсу IEEE1394 (технология FireWire).

Внутренний сервер взаимодействует только с корпоративной сетью, используя протокол TCP/UDP.

Внешний сервер взаимодействует только с публичной сетью передачи данных, используя протокол TCP/UDP.

Применение технологии Shield лишает злоумышленника «точки опоры Архимеда» и делает невозможным проникновение из вне (сети Интернет) в защищаемую сеть.

Практической реализацией данного подхода является разработанный специалистами ООО «ЛИССИ-Софт» программно-аппаратный комплекс «Shield Multi Service - FW» (ПАК «SMS-FW»).

Программно-аппаратный комплекс «Shield Multi Service - FW» (сертификат ФСТЭК России №662) предназначен для безопасного доступа из корпоративных сетей к информационным ресурсам публичных сетей, включая сеть Интернет, а также для безопасного доступа к публичным информационным ресурсам корпорации (Web-порталам госуслуг и т.п.) со стороны внешних пользователей.

ПАК «Shield Multi Service - FW» в качестве средства защиты от несанкционированного доступа разделяет корпоративную и публичную сети и не приводит к появлению возможностей для доступа по любым сетевым протоколам из публичной сети (включая сеть Интернет) в корпоративную сеть, а также возможности доступа пользователей корпоративной сети в публичную сеть (включая сеть Интернет)

Применение ПАК «Shield Multi Service - FW» позволяет строить комплексы, использующие технологию «клиент-сервер» и обеспечивающие взаимодействие компонент автоматизированных систем, как по стандартным TCP/UDP-протоколам, так и по собственным протоколам.

Примерами поддерживаемых стандартных протоколов являются:

  • HTTP (HTTPS) для доступак серверам Web-порталам, создания электронных торговых площадок и т.п.;
  • FTP для доступа к FTP-серверам;
  • SMTP, POP3 для обмена сообщениями электронной почты;
  • SSH, Telnet для удаленного администрирования и т.п;
  • использование собственных протоколов для решения различных задач, в частности для передачи данных через публичные сети, в том числе сеть Интернет, между 2-мя защищенными сетями.

Применение ПАК «Shield Multi Service - FW» не снижает уровня защищенности корпоративной сети.

ПАК «Shield Multi Service - FW» позволяет одновременно поддерживать несколько сервисов, например, обслуживать безопасный доступ к Web-ресурсам сети Интернет и поддерживать услуги электронной почты сети Интернет.

Функциональные характеристики

  • Сохранение полной независимости корпоративной сети от публичной сети при их взаимодействии через ПАК «Shield Multi Service - FW»: внутренний сервер не содержит никакой информации (включая IP-адреса и другую информацию) о публичной сети (в том числе сети Интернет), а внешний сервер, в свою очередь, не обладает никакой информацией относительно корпоративной сети, включая используемые в ней адреса. Более того, они могут использовать одно и тоже адресное пространство.
  • Отсутствие взаимодействия на сетевом уровне между внутренним и внешним серверами ПАК «Shield Multi Service - FW».
  • Блокировка доступа пользователей  из корпоративной сети в публичные сети (включая сеть Интернет) по протоколам транспортного и сетевого уровней.
  • Блокировка доступа в корпоративную сеть пользователей публичных сетей (включая сеть Интернет) по протоколам транспортного и сетевого уровней.
  • Обмен сообщениями (данными) по интерфейсу IEEE1394 на канальном уровне по протоколу типа «точка-точка» между внутренним и внешним серверами ПАК «Shield Multi Service - FW» (один из которых взаимодействует с компонентом автоматизированной системы в составе защищенной вычислительной сети, а другой – с компонентом автоматизированной системы публичной сети).
  • Любая несанкционированная попытка доступа к драйверу IEEE1394 на любом из серверов блокирует работу  ПАК «Shield Multi Service - FW» и таким образом исключает любое проникновение в корпоративную сеть.
  • Обеспечение доступа пользователей защищенных вычислительных сетей к различным услугам публичных сетей при отсутствии сетевого взаимодействия между защищенной и публичной сетями.
  • Контроль целостности информации, циркулирующей между серверами ПАК «Shield Multi Service - FW».

При необходимости ПАК «Shield Multi Service - FW»  может поставляться в комплектации с «горячим» резервом.

Дополнительные материалы:

1. Дайте мне точку опоры или безопасный Интернет — это реальность

Сертификаты

  1. Сертификат ФСТЭК России № 662.

© 2002-2017. ООО "ЛИССИ-Софт". Все права защищены
Телефон: +7(495) 589-99-53, e-mail: support@lissi.ru