Попытки несанкционированного доступа резко усилились по мере становления и развития виртуальных частных сетей в системе Internet и использования этой информационной магистрали для совершения кредитных операций, продаж и электронного документооборота. При ведении торговли через Internet, включая пересылку денежных средств, получения и проверки кредитной информации, продажи и даже поставки — требуется надежное и эффективное решение защиты.
Новинка для семейства CheckPoint FireWallЦ1 версии 2.X — отдельная линия продуктов с расширенными возможностями шифрования. Теперь все продукты CheckPoint FireWallЦ1 поддерживают работу с шифрованными данными (поставляется как дополнение).
CheckPoint FireWallЦ1 обеспечивает безопасную двунаправленную связь через Internet и механизм шифрования и подписи для гарантии целостности данных и конфиденциальности при соединении Виртуальных Частных Сетей.
CheckPoint FireWallЦ1 обеспечивает все потребности защиты предприятия:
Секретность— Подслушивание на линии невозможно
Подлинность — Невозможны подстановки сетевых компьютеров
Целостность — Подстановка и модификация данных на лету невозможна
CheckPoint FireWallЦ1 реализует единую, интегрированную стратегию защиты с распознаванием клиентов и шифрованием данных. Предлагая различные схемы шифрования и интегрированные системы распределения ключей, CheckPoint FireWallЦ1 позволяет предприятию полностью использовать возможности Internet для ведения бизнеса и обеспечения связи.
CheckPoint FireWallЦ1 поддерживает скорости шифрования более 10 Mbps на обычных настольных рабочих станциях. Управление полностью интегрировано в редактор Базы Правил графического интерфейса пользователя CheckPoint FireWallЦ1 и охватывает средства просмотра регистрационных записей. CheckPoint FireWallЦ1 версия 2.1 поставляется с алгоритмом шифрования FWZ1.
CheckPoint FireWallЦ1 Версия 2.1 реализует выборочное шифрование для широкого спектра услуг. Кодирование, декодирование и распределение ключей интегрировано с другими CheckPoint продуктами.
Рисунок 6 описывает общую корпоративную сеть, где две частных сети соединены через Internet через шлюз FireWall. HQ — Станция Управления для обоих сетей. Частные сети (hq-сеть и DMZnet) защищены шлюзом FireWall, но внешняя часть сети — Internet — рассматривается как открытая и небезопасная.
Рисунок 22. Конфигурация Сети с Двумя Шлюзами.
Шлюзы выполняют шифрование для каждой из своих областей: для локальной вычислительной сети или группы сетей, которые защищаются шлюзом. За шлюзом, во внутренних сетях, пакеты не шифруются. Область шифрования HQ состоит из HQnet и DMZnet, а область шифрования в Лондоне — London-net.
Если администратор системы определил, что связь между HQ и Лондоном должна быть зашифрована, CheckPoint FireWallЦ1 будет шифровать пакеты проходящие через gateway в Internet. Пакет, идущий от отдела Сбыта до Администрации, шифруется только на участке Лондон — hq, но не шифруется на сегментах hq — администрация и Лондон — сбыт.
Таким образом, шифрование может использоваться в гетерогенной сети без установки и конфигурирования на каждом отдельном компьютере сети.
Распределение Ключей
Схема задания ключей для алгоритма шифрации основана на алгоритмах RSA и DIFFIE-HELLMAN. Станция управления опеспечивает каждый Gateway, на котором она установлена:
В начале шифрованного сеанса, шлюз вычисляет сессионный ключ по алгоритму Diffie-Hellman и затем начинает шифрованную связь.
Чтобы включить шифрование, Вы должны ответить на три вопроса:
Необходимо определить шифрующие шлюзы и их области шифрования.
Рисунок 23. Окно Host Properties window, показывающее "Домен Шифрования" для Gateway.
Определите группу сетевых объектов, с именем "Предприятие", которое состоит из всех сетей, между которыми необходимо создать шифрованный канал передачи данных (hq-сеть, DMZnet, и London-net).
В окне свойств для каждого из шифрующих шлюзов, нажмите Key Setup, чтобы отобразить окно Key Management.
Затем, нажмите Generate, чтобы сгенерировать пару ключей Diffie-Hellman для шлюза.
Создайте правило в Базе Правил, в котором определите действие Encrypt в поле Action для связей между компьютерами предприятия.
Рисунок 24. Правило Шифрования.
Дополнительная информация по возможностям шифрования в CheckPoint FireWallЦ1 доступна в технической документации.