Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
После доработки и устранения недостатков, в частности увеличения надежности и управляемости, «Шип» молсет стать хорошим средством защиты корпоративных сетей.
4. Заключение
По результатам проведенных стендовых испытаний и опытной эксплуатации в региональных сетях наиболее пригодным для создания внутрикорпоративной VPN считается ФПСУ-IP. Вместе с тем лучшим для реализации системы управления и распределения сертификатов, а также наиболее соответствующим стандартам IPSec для обеспечения безопасности межкорпоративной территориально распределенной сети, на взгляд авторов приложения, является комплекс «Застава». АПК «Шип» может использоваться в корпоративных сетях среднего размера с устойчивыми каналами связи мелсду узлами системы и центром управления ключевыми системами.
Сравнительные характеристики отечественных средств построения VPN 415
ШИП Застава ФПСУ-IP
Общие сведения
Производитель, поставщик МО ПНИЭИ ЭЛВИС-плюс АМИКОН
Сертификация Гостехкоммисией Сертификат класс 3 № 145 класс 3 Ns 233
при Президенте РФ или ФАПСИ ФАПСИ от 14.01.98 г. от 14.04.99 г.
(под Solaris) Сертифицировано
ЭЛВИС-плюс. серийное
Сертифицировано производство
серийное
производство
Используемые ОС FreeBSD Windows NT/95/98, Собственная ОС
Sparc/Intel Solaris
Использование отечественных ГОСТ 28147-89 ГОСТ 28147-89 ГОСТ 28147-89
криптографических стандартов
для организации VPN-сервисов
Максимальное количество 5 5 2
сетевых интерфейсов
Функции управления доступом (фильтрация данных и трансляция адресов)
Фильтрация пакетов служебных Да Да Да
протоколов, служащих для диагностики
и управления работой сетевых устройств
Фильтрация с учетом входного Да Да Да
и выходного интерфейса для проверки
подлинности адресов
Фильтрация с учетом любых значимых Да Да Да
полей сетевых пакетов
Фильтрация на транспортном уровне Да (TCP/ UDP) Да (TCP/ UDP) Да (TCP/ UDP)
запросов на установление виртуальных
соединений с учетом транспортных адресов
Фильтрация на прикладном уровне Нет Нет Нет
запросов к прикладным сервисам
Фильтрация с учетом даты/времени Нет Нет Да
Трансляция номеров -/+ -/+ +/+
портов/сетевых адресов
Возможность сокрытия субъектов Да Да Да
(объектов) и/или прикладных функций
защищаемой сети
Возможность скрытия Нет Нет Да
межсетевого экрана
Следует отметить, что общий уровень отечественных продуктов организации VPN является довольно высоким, и есть надежда, что развитие рынка таких систем сделает возможным реализацию надежной защиты корпоративных сетей и обеспечит безопасное межкорпоративное взаимодействие через сети общего пользования, в том числе и через Internet.
Таблица П. 1.1. Сравнительные характеристики Firewall/VPN-систем
416
Приложение 1
Таблица П.1.1. Сравнительные характеристики Firewall/VPN-систем (продолжение)
ШИП
Застава
ФПСУ-IP
Идентификация и аутентификация сетевого трафика
Возможность аутентификации трафика
Администрирование
Проведение идентификации
и аутентификации администратора МЭ
по идентификатору (коду)
Проведение идентификации
и аутентификации запросов на доступ
удаленных администраторов
Возможность централизованного управления
Регистрация действий администратора МЭ по изменению правил фильтрации
Графический интерфейс удаленного управления (GUI)
ОС, поддерживающие GUI
Да (хэш-функции ГОСТ Р34.11-94)
Средствами FreeBSD
Средствами FreeBSD + конфигурацией ПО
Да (telnet) Да
Нет (только текстовый)
Да
Сигнализация в центре управления о событиях на удаленных МЭ
Протоколирование событий/формирование отчетов
Учет использования Да
Сортировка/фильтрация сообщений +/+
Формат журнала регистрации Syslog
Форматы экспорта журнала регистрации Текст Параметры VPN
Применение отечественных алгоритмов Да (ГОСТ) для построения VPN
Базовый протокол SKIP
Накладные расходы на поддержку 112 на IP-пакет туннелей
Возможность сжатия трафика Да
Наличие клиентских частей Да (Windows NT)
Да (хэш-функции по алгоритму MD5)
Да (хэш-функции ГОСТ Р34.11-94)
Средствами Solaris TM Аккорд
Средствами Solaris +
конфигурацией ПО
Да (telnet + графическая оболочка) Да
Есть (Java)
Любой Java browser
Да
Строгая двустороняя аутентификация при защите запросов Да (АРМ ЦУБ)
Да
Есть АРМ ЦУБ (управление безопасностью), АРМ ЦКС (контроль связи)
DOS
Да
Да +/+ Syslog
Текст
Да SKIP
112 байт на IP-пакет
Нет
Да (Solaris Windows 95/98/NT)
Да
+/+
хранилище, подобное MIB
DBF-формат
Да
Собственный
18-20 байт на IP-пакет
Да
Нет
Сравнительные характеристики отечественных средств построения VPN 417
Таблица П. 1.1. Сравнительные характеристики Firewall/VPN-систем (окончание)
ШИП Застава ФПСУ-IP
Количество одновременно Н/д 1400 До 1024 на каждом
поддержив 'шмых независимых туннелей сетевом интерфейсе
Возможность вложенности VPN-туннелей Да Да Да
друг в друга (каскадирование)
Возможность VPN-поддержки каналов Нет Да Да
управления пограничными
маршрутизаторами
Возможность VPN-взаимодействия Да Да Нет
