Технологии Rainbow Technologies

Защита периметра сети. Программно-аппаратный комплекс WatchGuard FireBox System.
Защита демилитаризованной зоны. WatchGuard Server Lock.
Аутентификация. Персональные USB-идентификаторы iKey Rainbow Technologies.
Ускорители электронных транзакций. CryptoSwift. NetSwift.
Защита программного обеспечения Sentinel.

Компания Rainbow Technologies является поставщиком комплексных решений в области информационной безопасности на российском рынке и рынке СНГ. Спектр деятельности компании включает в себя:

• Защиту корпоративной сети от внешних и внутренних атак;

• Защиту демилитаризованной зоны, включающей в себя публичные сервера сети;

• Защиту персональной и корпоративной конфиденциальной информации;

• Обеспечение безопасного доступа к информационным ресурсам предприятия;

• Защиту коммуникаций между головным офисом компании и ее филиалами

• Ускорение защищенных транзакций в электронной коммерции

В предлагаемых решениях компания Rainbow Technologies опирается на продукцию и опыт мировых лидеров в области информационной безопасности, таких как Rainbow Technologies, WatchGuard Technologies, Computer Associates, TrendMicro.

Программно-аппаратный комплекс WatchGuard FireBox System

Краеугольным камнем системы информационной безопасности является межсетевой экран. Rainbow Technologies предлагает программно-аппаратный комплекс WatchGuard FireBox — интегрированный комплекс защиты периметра корпоративной сети произвольного масштаба, сертифицированный Гостехкомиссией при Президенте РФ по третьему классу по защите от несанкционированного доступа и имеющий международный сертификат ICSQ Labs.

WatchGuard FireBox — это высокоэффективный фильтр, поддерживающий как пакетную фильтрацию, так и контекстный анализ на уровне фильтров — посредников приложений. Комплекс оснащен системой автоматического блокирования нападающих хостов на срок от одной минуты до месяца, системой защиты от сканирования, блокирования манипуляций с IP-пакетом, а также обнаружения атак типа ip-spoofing.

WatchGuard FireBox обеспечивает высокий уровень устойчивости, благодаря единому центру управления по зашифрованному каналу. Инсталляция и дальнейшая настройка межсетевого экрана выполняются при помощи интуитивно понятной системы мастеров и графических утилит со встроенной системой защиты от ошибок. Среднее время настройки комплекса не превышает 15 мин.

Стандартно в поставку межсетевого экрана входят средства построения виртуальных частных сетей. Для организации VPN между локальными сетями используется стандарт IPSec с поддержкой протоколов обмена ключевой информацией PKI и IKE и алгоритма шифрования DES-CBC и 3DES-CBC с длиной ключа от 40 до 168 бит. Второй поддерживаемый стандарт — разработанный производителем WatchGuard VPN с поддержкой алгоритма шифрования RC-4 с длиной ключа от 40 до 128 бит.

WatchGuard FireBox System имеет систему мониторинга и предупреждения о нападении в режиме реального времени. Встроенные средства мониторинга позволяют отображать как технические параметры межсетевого экрана (загрузка портов, процессора, объем трафика и т. п.), так и логические (количество, направление и прочие данные об установленных через межсетевой экран соединениях). Система предупреждения о нападении способна оповещать администратора о попытках нарушения установленной политики безопасности при помощи e-mail, пейджера или любого другого SMS-совместимого устройства.

WatchGuard FireBox System позволяет представлять графические отчеты по заранее заданным шаблонам без привлечения других обработчиков log-файла. Также предусмотрена возможность экспорта данных в текстовый файл или файл формата WebTrends.

Фирменная технология WatchGuard LiveSecure позволяет администратору в режиме реального времени получать обновления программного обеспечения межсетевого экрана, рекомендации по настройке для противодействия новым видам атак, обучающие статьи, предупреждения о новых вирусах. Данная информация готовится альянсом LiveSecure, в который входят ведущие мировые компании в области защиты информации — RSA, ISS, Webtrends, TrendMicro и др.

Rainbow Technologies предлагает следующие модельные ряды межсетевых экранов:

Таблица 1. Сравнительная таблица технических характеристик межсетевых экранов WatchGuard FireBox III

Для защиты небольших сетей (10-50 рабочих станций) Rainbow Technologies предлагает межсетевые экраны WatchGuard FireBox SOHO.

Техническая спецификация:

Для провайдеров телекоммуникационных услуг и организации защиты центров обработки данных предназначена линейка межсетевых экранов WatchGuard FireBox^® Vclass.

Основные отличительные способности межсетевых экранов FireBox Vclass:

Использование специализированного ASIC процессора:

• позволяет значительно ускорить процессы правил фильтрации трафика, организации и скорости обмена трафика через систему VPN, функций замены сетевых адресов (NAT) и QoS;.

• гибкость управления вычислительными процессами за счет использования четырех интегрированных RISC процессоров;

• обеспечить эффективное функционирование всех механизмов защиты корпоративной сети.

Масштабируемость:

• возможность поддержки до 200000 туннелей VPN построенных по протоколу IPSec;

• балансировка нагрузи, позволяет повысить эффективность использования канала связи и распределить трафик между группой серверов;

• переключение туннелей позволяет гораздо быстрее и эффективнее управлять большой системой VPN.

Защищенное управление

• WatchGuard^® Vcontroller обеспечивает дополнительный уровень защиты процесса администрирования как локального, так и удаленных межсетевых экранов;

• WatchGuard^® CPM (Central Policy Management System). Мощная, масштабируемая программная платформа, предназначенная для централизованного управления большой распределенной системой безопасности на основе межсетевых экранов FireBox Vclass (поставляется опционально).

Межсетевые экраны WatchGuard FireBox^® Vclass позволяют:

• Создавать до 200 отдельных профилей политики безопасности, включающих в себя QoS, маршрутизацию, сервисы безопасности, аутентификации пользователей.

• Создавать VPN-топологию типа «звезда» и при помощи технологии «hub-and-spoke» осуществлять эффективное управление всей системой VPN, путем быстрого изменения существующих параметров туннелей и шлюзов в случае необходимости.

• Поддерживать функции QoS, то есть организовать взвешенную политику использования пропускной способности канала связи, которая понимает под собой способность понизить скорость обмена менее приоритетных приложений и вида трафика по тому или иному порту без потери информационных пакетов в угоду предоставления приоритета наиболее важным приложениям.

• Поддерживать функции NAT (трансляция сетевых адресов), то есть позволяет скрыть от внешней сети реальные адреса хостов. Межсетевые экраны FireBox^® Vclass поддерживают статическую, динамическую, взаимно-однозначную (1-to-1) NAT, а также отображение приватного диапазона сетевых адресов в заданный диапазон публичных адресов, виртуальные сетевые адреса (Virtual IP).

• Поддерживать аутентификацию пользователей, то есть создавать политики доступа к информационным ресурсам на основе отдельных пользователей или их групп, и соответственно контролировать их работу, а также генерировать отчеты о деятельности в Интернет пользователей или их групп. Модели V100, V80, V60 обладают встроенным сервером аутентификации WatchGuard, а также поддерживают аутентификацию на базе RADIUS™ и SecurID^®

• Повысить защищенность корпоративной сети за счет создания кластера из двух одинаковых моделей межсетевых экранов (кластеризация) FireBox^® Vclass (за исключением V10). Настройка резервного межсетевого осуществляется по протоколу Virtual routing redundacy protocol (VRRP), являющегося отраслевым стандартом. При выходе из строя основного брандмауэра, второй, находящийся в «горячем резерве», автоматически примет на себя всю нагрузку.

WatchGuard Server Lock

WatchGuard ServerLock предназначен для защиты операционных систем и других ресурсов публичных серверов или серверов электронной коммерции от внешних или внутренних атак, таких как: изменение скриптов, модификации web-страниц (дефейсинг), перенаправления запросов с сайта пользователя на сайт конкурентов и множества других а также ошибок обслуживающего персонала.

Концепция работы весьма проста. Несмотря на то, что администрирование публичных серверов занимает немного времени, функции и, соответственно, привилегии и полномочия администратора системы включены постоянно. Это делает любую систему уязвимой для действий злоумышленника, которому тем или иным способом стали доступны привилегии администратора.

WatchGuard ServerLock решает эту проблему, просто отключая привилегии администратора, кроме тех моментов, когда действительно происходит администрирование системы. Для получения своих прав администратор должен пройти специализированную процедуру аутентификации, которую обеспечивает WatchGuard ServerLock на уровне ядра операционной системы.

Два режима работы

ServerLock функционирует в двух режимах работы. «Operational Mode» — это режим стандартного функционирования сервера, когда не допускается никаких изменений в операционной системе, web-страницах, скриптах, статических файлах и библиотеках. Второй режим — «Administrative Mode» используется, только когда администратору необходимо произвести изменения в операционной системе, обновить содержимое web-страниц, модифицировать скрипты или другую корпоративную информацию.

Централизованное управление

ServerLock может быть установлен как на единичные серверы, так и в комбинации с ServerLock Manager и использоваться для управления множеством серверов через Internet.

Простота администрирования

В отличие от существующих «безопасных» операционных систем или комплексных систем обеспечения безопасности, ServerLock не предъявляет никаких специфических требований к знаниям администратора или специальной подготовки. Просто установите ServerLock на защищаемый сервер, пройдя несколько простых шагов под управлением «мастера инсталляции», и все системные файлы окажутся автоматически защищенными. Дальше администратору останется только указать, какие еще файлы нуждаются в защите.

Персональные USB-идентификаторы iKey Rainbow Technologies

Для компаний, желающих обеспечить надежную аутентификацию корпоративных пользователей, Rainbow Technologies предлагает iKey™ — линейку интеллектуальных USB-идентификаторов. Это решение для двухфакторной аутентификации на следующей основе: что-то, что Вы имеете (iKey), и что-то, что Вы знаете (PIN). Продуктовый ряд iKey представлен на рынке двумя моделями: iKey 10**, разработанный для работы в среде системы безопасности Windows 2000 и Windows XP, и iKey 20**, предназначенный для работы в PKI-окружении.

Большой объем памяти (8Кбайт для iKey 1000/2000 и 32 Кбайт для iKey 1032/2032) и специально разработанные интерфейсы прикладного программирования позволяют разделять файловую систему электронного ключа сразу между несколькими приложениями и службами. Пользователю следует запомнить лишь относительно короткий персональный идентификационный номер PIN, удостоверяющий пользователя как владельца всех паролей, хранящихся в памяти iKey.

Если iKey был украден или утерян и произошло определенное число неудачных попыток подбора PIN-кода, микропроцессор iKey блокирует идентификатор до вмешательства администратора безопасности.

В настоящий момент интеллектуальные USB-ключи iKey полностью интегрированы в Windows 2000 Server, следовательно, Вы имеете более надежную и эффективную по цене альтернативу традиционным устройствам аутентификации.

iKey интегрируется как с Windows 2000 PKI (службы сертификатов), так и со службами Windows Smart Card Logon, делая доступной двухфакторную аутентификацию для следующих сервисов и приложений Windows 2000:

• Строгая аутентификация в домене Windows 2000;

• Строгая аутентификация на рабочей станции Windows 2000 после отключения ее из сети;

• Строгая аутентификация в VPN и RAS при удаленном доступе к сети;

• Электронная цифровая подпись сообщений в Microsoft Outlook;

• Кодирование сообщений в Microsoft Outlook.

iKey 20** изначально разрабатывался для использования в средах PKI, где безопасное хранение личного (закрытого) ключа и безопасность при операциях с ним являются критичными. iKey 20** поддерживает приложения масштаба предприятия, приложения класса «бизнес для бизнеса» и «бизнес для потребителя».

Семейство продуктов iKey2000/2032 поддерживает следующие стандартные интерфейсы:

• PKCS#11: Отраслевой стандарт интерфейса идентификаторов, используемый Netscape Communicator и Navigator, а также большинством основных поставщиков PKI, включая Baltimore, Computer Associates, Digital Signature Trust, Entrust, Identrus, Netscape, Network Associates, RSA KEON, VeriSign, WiseKey и другими.

• MS-CAPI: Microsoft Cryptographic API, поддерживаемый приложениями Microsoft, такие как Internet Explorer, Outlook, Outlook Express и службами Windows 2000 PKI.

CryptoSwift. NetSwift

Аппаратный SSL-акселератор CryptoSwift производства Rainbow Technologies позволяет совершать от 50 до 1600 транзакций в секунду и при этом не влияет на производительность серверов и других сетевых устройств. Продуктовая линейка CryptoSwift предназначена для аппаратного ускорения криптографических операций с открытым ключом в наиболее распространенных протоколах обмена, таких как SSL/TSL, S/MIME, IKE/IPSec и прочих. Устройство масштабируемо, то есть установка двух плат CryptoSwift позволяет проводить транзакции в два раза быстрее и т. д. В итоге CryptoSwift позволяет сократить временя отклика сервера на запросы при безопасных соединений, а также разгрузить web-сервер и прочие сетевые устройства для проведения других, более специфических задач, особенно при пиковых нагрузках. Время установления устройства колеблется от нескольких минут до нескольких часов.

NetSwift является конечным решением для электронной (eCommerce) и мобильной (mCommerce) коммерции, и сочетает в себе аппаратное ускорение как протокола WTLS для WAP-шлюзов, так и SSL/TLS для Web-серверов. Это «plug-and-play» устройство, которое размещается между брандмауэром и парком web-серверов. Оно устанавливается в стандартную 19-дюймовую стойку и настраивается в считанные минуты.

Устройство поддерживает три сетевых конфигурации: in-line, IP mode и one-arm, а также несколько доменов и серверных SSL-сертификатов.

Sentinel

Sentinel SuperPro представляет собой программно-аппаратную систему защиты одно- и многопользовательских версий программного обеспечения от неавторизованного использования.

Sentinel SuperPro содержит в себе программируемый аппаратный ключ, позволяющий кодировать данные и защищать от нелегального распространения и использования до 28-ми приложений одновременно.

Sentinel SuperPro дает возможность ослаблять или полностью снимать демонстрационные ограничения, преобразуя тем самым программу к ее полнофункциональной версии. Он обеспечивает доступ конечного пользователя к дополнительным модулям программного приложения без поставки нового аппаратного ключа и без дополнительного визита разработчика к клиенту.

Для дистрибьютора Sentinel SuperPro 6.3 программирует специальный ключ для контроля количества проданных версий.

Система Sentinel SuperPro включает в себя:

Аппаратный ключ Sentinel SuperPro -перепрограммируемое перезаписываемое устройство памяти, принцип работы которого заключается в следующем: защищаемое приложение генерирует запросы и посылает их ключу; если на компьютере или в сети присутствует «свой» ключ, то в ответ на запросы формируются соответствующие отклики, по которым приложение дает доступ пользователю к тому или иному модулю.

Sentinel SuperPro API — интерфейс прикладного программирования (API), представляющий собой набор функций, предназначенных для коммуникаций между приложением, системным драйвером Sentinel, сервером безопасности и аппаратным ключом. Если вы выбрали интегрированный метод защиты, Вы внедряете вызовы к процедурам API прямо в исходные тексты приложения для коммуникаций с ключом.

Sentinel SuperPro Toolkit (SSP Toolkit) — это Windows-приложение, совмещающее в себе все функции, необходимые для разработки и управления проектами защиты, программирования ключей и поставки готового приложения в одном, несложном в установке пакете.

Когда вы создадите проект защиты и запрограммируете прототип продуктового ключа с использованием SSP Toolkit, последний выдаст Вам детальный план внедрения защиты в виде псевдокода, который можно, видоизменяя и подстраивая, вставлять в исходные тексты приложения.

После изменения исходных текстов и/или оборачиванием готового исполняемого модуля в защитную оболочку, Вы будете готовы использовать SSP Toolkit для программирования аппаратных ключей в соответствии с разработанным проектом защиты.

Сервер безопасности Sentinel SuperPro необходим для многопользовательской работы. Он устанавливается на компьютере, где будет находиться аппаратный ключ. Сервер администрирует лицензии пользователей и ведает безопасностью. Он выступает как промежуточное звено между приложением и драйвером ключа, пересылая ключу запросы от приложения, а приложению — отклики ключа.

Утилита мониторинга Sentinel SuperPro является визуальным Windows-приложением, разработанным для наблюдений за работой защищенного приложения в сети. Monitoring Tool отображает информацию обо всех серверах Sentinel SuperPro, ключах и лицензиях во время эксплуатации приложения. Утилита также предоставляет статистику по использованию приложения, например число занятых в настоящий момент лицензий, пиковое число лицензий, запрошенных с момента пуска сервера, лицензионный лимит каждого ключа. Как и сервер, эта утилита должна поставляться вместе с Вашим приложением заказчику.

Системные требования для использования Sentinel SuperPro

• Pentium I, 90 MHz

• Монитор VGA (рекомендуемое разрешение 800 × 600)

• 30 Мб свободного места на диске

• Привод CD-ROM

• ОЗУ 32 Мб

• Microsoft^® Windows^® NT 4.0 Workstation с установленным Service Pack 4, Windows^® 95, Windows^® 98, Windows^® ME, Windows^® 2000 или Windows^® XP

• Microsoft^® Internet Explorer 4.01 или выше (для просмотра файла помощи SentinelSuperPro).

Вернуться на главную страницу обзора