НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РТК Отечественные межсетевые экраны корпоративного и

НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РТК Отечественные межсетевые экраны корпоративного и провайдерского уровня повышенной стойкости ССПТ-1 М Сертификат ГТК № 226 от 2 апреля 1999 года Сертификат ГТК № 256 от 28 июля 1999 года Сертификат ГТК № 442 от 19 марта 2001 года Сертификат ГТК № 702 от 14 января 2003 года Санкт-Петербург 2003

НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РТК Межсетевой экран: - программное или аппаратно-программное средство, предназначенное для разделения компьютерной сети на сегменты с различными правами доступа и обеспечивающее защиту разделяемых сегментов от несанкционированного доступа посредством фильтрации информации между ними по установленным администратором правилам.

НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РТК Основные особенности ССПТ-1 М n Аппаратно-программная реализация n Уникальная защищенность (стелс-технология, электронная пломба) n Многопротокольная фильтрация n Расширенный набор критериев фильтрации n Управление по доверенному каналу n Многопортовая реализация

Функциональная схема МЭ с 2 портами НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РТК Console COM Eth. C SSH-сервер Модуль пользовательского интерфейса Аутентификация Управление доступом НТТР-сервер Файлы правил Модуль управления Модуль фильтрации Порт 0 Порт 1 Политика безопасности Журналы, сигналы тревоги

НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РТК Типовая схема включения

НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РТК Невидимый режим работы ССПТ-1 М Стандартная архитектура МЭ IP и MAC адреса ССПТ-1 М IP и MAC адреса Отсутствие адресов МЭ трафик SRCDST

НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РТК Многопротокольная фильтрация n Ethernet II, Ethernet 802. 2 LCC n TCP/IP n IPX/SPX n Поддержка туннелей

НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РТК Обобщенный алгоритм фильтрации Приход пакета Пакет соответствует правилу? ДА НЕТ ДА Есть еще правила? Правило «Пропустить» ? НЕТ Глобальное правило «пропустить» ? НЕТ ДА Пропуск пакета Удаление пакета

НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РТК Типы правил фильтрации … Прил. TCP Прил. … UDP Прил. …Прил. IP IPX ICMP IPX IP ARP MAC RARP • Регулярные правила • Глобальные правила Ethernet II Ethernet 802. 2 Ethernet 802. 3 Ethernet SNAP Входящий кадр

НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РТК Управляющие интерфейсы: WEB-интерфейс

НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РТК Управляющие интерфейсы: интерфейс командной строки (CLI)

НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РТК Физические интерфейсы управления Интерфейсы управления n Консоль n СОМ-порт n Ethernet-порт Протоколы доступа n PPP, Ethernet n HTTPS n SSH Console COM Eth С ССПТ-1 М Фильтрующие интерфейсы

НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РТК Типы доступа к управлению МЭ 1. Непосредственное подключение консоли УК Консоль МСЭ Интерфейс: CLI Терминал 2. Подключение консоли через COMпорт МСЭ 4. Подключение УК через COM-порт (PPP, IP) МСЭ Интерфейс: CLI + WEB УК 5. Подключение УК через доверенную ЛВС Интерфейс: CLI + WEB МСЭ Интерфейс: CLI Консоль 3. Удаленное подключение консоли МДМ Интерфейс: CLI МСЭ 6. Удаленное подключение УК через COM-порт (PPP, IP) Интерфейс: CLI + WEB УК МДМ МСЭ

НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РТК Задание правил фильтрации в WEB

НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РТК Задание правил фильтрации в CLI Формат: set rule <синтаксис правила > set rule тип: номер: действие: регистрация: вход: выход: параметры set rule mac: 0: accept: nolog set rule ip: 5: drop: log: 01: 10: 0: tcp: 0. 0/255. 255: any: 194. 85. 4. 3 /255. 240: ftp: any: 65535: 0 -255: any: active: запрет ftp set rule time: 5: 111111: 1: 31: 1111111: 08 -00 -00: 21 -59 -59

НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РТК Многопортовые МСЭ ЛВС сегмент 2 ЛВС сегмент N . . . ЛВС сегмент 1 Eth. N Eth 0 Eth 1 ССПТ-1 М Eth C C ons COM Eth. С От 2 до 8 фильтрующих интерфейсов

НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РТК Схема подключения МСЭ с 4 портами ЛВС сегмент 2 ЛВС сегмент 3 Eth 0 ЛВС сегмент 1 Eth 2 Eth 3 ССПТ-1 М Eth C COM ssh, httpsсоединение управляющий компьютер ЛВС сегмент 4

НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РТК Дополнительная функциональность n Регистрация действий администратора и нештатных ситуаций n Регистрация пакетов n Сохранение нескольких наборов правил n Откат, деактивация правила, переименование интерфейсов n Сохранение регистрационных файлов n Возможность коллективной работы нескольких МЭ

НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РТК Загрузка/выгрузка конфигурационного файла правил ЛВС сегмент 2 ЛВС сегмент 3 Eth 0 ЛВС сегмент 1 Eth 2 Eth 3 ССПТ-1 М Eth C mac: 0: accept: log arp: 0: accept: nolog ip: 0: accept: log ipx: 0: accept: nolog управляющий компьютер COM ssh, httpsсоединение ЛВС сегмент 4

НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РТК Выгрузка на внешний сервер файлов регистрации ЛВС сегмент 2 ЛВС сегмент 1 ЛВС сегмент 3 Eth 0 Eth 1 Eth 2 Eth 3 ССПТ-1 М Eth C ЛВС сегмент 4 COM Концентратор/ коммутатор управляющий компьютер Сервер удаленного хранения (FTP- или NFSсервер)

НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РТК Коллективная работа нескольких МЭ Сегмент ЛВС Eth 0 Eth 1 Eth 2 Eth 3 ССПТ-1 М Eth 0 Eth 1 Eth 2 Eth 3 COM Eth C ССПТ-1 М Сегмент ЛВС Eth C COM управляющий компьютер Концентратор/ коммутатор Управляющий сегмент Ethernet физически отделен от защищаемых сегментов

НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РТК Техническая поддержка и обучение 194064, Санкт-Петербург, Тихорецкий пр. , 21, Горячая линия +7 (812) 552– 0660, Факс +7 (812) 552– 4512 Email info@rtc. ru http: //www. frac-tel. com НПО РТК Учебный центр РТК Курс “Применение межсетевого экрана ССПТ-1 М – 5 дней.

НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РТК Наши партнеры n РКК “Энергия” n Государственный таможенный комитет РФ n Министерство Образования РФ