Размещено на http://www.allbest.ru/

КУРСОВАЯ РАБОТА

КОРПОРАТИВНАЯ СЕТЬ ПРЕДПРИЯТИЯ

Введение

В современном мире информация и ее обработка играют ключевую роль в управлении и функционировании предприятий. Реалии современного мира таковы, что эффективность работы любой компании напрямую зависит от качества и оперативности управления бизнес-процессами. Имея доступ к нужной информации, можно правильно оценить текущую ситуацию, принять своевременные решения.

Конкуренция вынуждает каждую компанию становиться все более открытой для своего окружения, все более чувствительной к постоянно меняющейся внешней среде. Установить четкие границы для любого бизнеса сегодня практически невозможно - информация выходит за пределы корпорации к ее клиентам, поставщикам и партнерам, за пределы границ различных сетевых сред.

Общепризнанным стратегическим фактором роста конкурентоспособности компании является эффективное применение информационных технологий. Новые технологические возможности облегчают распространение информации, повышают эффективность производственных процессов, способствуют расширению деловых операций в сфере бизнеса. Одним из главных инструментов управления являются корпоративные информационные системы. Предприятия нового типа - это разветвленная сеть распределенных подразделений, филиалов и групп, взаимодействующих друг с другом. Распределенные корпоративные информационные системы становятся сегодня важнейшим средством производства современной компании, они позволяют преобразовать традиционные формы бизнеса в электронный бизнес.

Электронный бизнес - это новый способ взаимодействия деловых партнеров, сотрудников и клиентов. Он является исключительно перспективным и потенциально может принести большие доходы. Электронный бизнес использует глобальную сеть Internet и современные информационные для повышения эффективности всех сторон деловых отношений, включая продажи, маркетинг, платежи, финансовый анализ, поиск сотрудников, поддержке клиентов и партнерских отношений.

Однако применение информационных технологий немыслимо без повышенного внимания к вопросам информационной безопасности. Информация должна быть доступна только тем, кому она предназначена, и скрыта от сторонних наблюдателей. Разрушение информационного ресурса, его временная недоступность или несанкционированное использование могут нанести компании значительный материальный ущерб. Без должной степени защиты информации внедрение информационных технологий может оказаться экономически невыгодным в результате значительного ущерба из-за потерь конфиденциальных данных, хранящихся и обрабатываемых в компьютерных сетях.

В дипломной работе рассматривается корпоративная сеть предприятия ООО «Эклор», которая специализируется на производстве детских игрушек из пластмассы в широком ассортименте и цветовой гамме, а так же в производстве офисной мебели и комплектующих. Сеть ООО «Эклор» состоит из центрального офиса в г. Екатеринбург и двух филиалов в Н-Новгороде и Ростове-на-Дону (Приложение А).

Использование Internet в качестве глобальной публичной сети означает для средств безопасности предприятия не только резкое увеличение количества внешних пользователей и разнообразие типов коммуникационных связей, но и сосуществование с новыми сетевыми и информационными технологиями. Поэтому информационные ресурсы и средства осуществления электронных сетевых транзакций (серверы, маршрутизаторы, серверы удаленного доступа, каналы связи, операционные системы, базы данных и приложения) нужно защищать особенно надежно и качественно.

Следует отметить, что средства взлома компьютерных сетей и хищения информации развиваются так же быстро, как и все высокотехнологичные компьютерные отрасли. Без знания и квалифицированного применения современных технологий, стандартов, протоколов и средств защиты информации невозможно достичь требуемого уровня информационной безопасности корпоративных систем и сетей. В этих условиях обеспечение информационной безопасности корпоративной информационной системы является приоритетной задачей для руководства компании, поскольку от сохранения конфиденциальности, целостности и доступности корпоративных информационных ресурсов во многом зависит качество и оперативность принятия стратегических решений, и эффективность их реализации.

Однако применение информационных технологий немыслимо без повышенного внимания к вопросам информационной безопасности. Информация должна быть доступна только тем, кому она предназначена, и скрыта от сторонних наблюдателей. Разрушение информационного ресурса, его временная недоступность или несанкционированное использование могут нанести компании значительный материальный ущерб. Без должной степени защиты информации внедрение информационных технологий может оказаться экономически невыгодным в результате значительного ущерба из-за потерь конфиденциальных данных, хранящихся и обрабатываемых в компьютерных сетях.

1. Защищенные виртуальные частные сети VPN

1.1 Концепция построения защищенных виртуальных частных сетей VPN

Программные VPN-решения. VPN-продукты, реализованные программным способом, с точки зрения производительности уступают специализированным устройствам, однако обладают достаточной мощностью для реализации VPNВ настоящее время существует несколько типов физических реализаций VPN-технологий, каждая из которых характеризуется определенным набором функциональных требований. Следует отметить, что в случае удаленного доступа требования к необходимой полосе пропускания невелики, поэтому чисто программные продукты легко обеспечивают производительность, достаточную для удаленного доступа. Несомненными достоинствами программных продуктов являются гибкость и удобство в применении, а также относительно невысокая стоимость.

Внутрикорпоративная сеть (intranet-VPN) обеспечивает создание безопасных соединений между внутренними отделами компании и ее филиалами. Для нее характерны следующие свойства:

- применение мощных криптографических протоколов шифрования данных для защиты конфиденциальной информации;

- надежность функционирования при выполнении таких критических приложений, как системы автоматизированной продажи и управления базами данных;

- гибкость управления для более эффективного размещения быстро возрастающего количества пользователей, новых офисов и программных приложений.

Сети VPN с удаленным доступом (Internet-VPN) обеспечивают защищенный удаленный доступ к информационным ресурсам предприятия для мобильных или удаленных сотрудников корпорации (руководство компанией, сотрудники, находящиеся в командировках, сотрудники-надомники и т.д.). Для Internet-VPN характерны следующие основные свойства:

- мощная система установления подлинности удаленных и мобильных пользователей, которая должна с максимальной точностью и эффективностью провести процедуру аутентификации;

- эффективная система централизованного управления для обеспечения высокой степени гибкости при увеличении количества пользователей, работающих с VPN.

Межкорпоративная сеть (extranet-VPN) обеспечивает эффективное взаимодействие и защищенный обмен информацией со стратегическими партнерами по бизнесу, в том числе зарубежными, основными поставщиками, крупными заказчиками, клиентами и т.д. Для extranet-VPN характерно использование стандартизированных VPN-продуктов, гарантирующих способность к взаимодействию с различными VPN-решениями, которые деловые партнеры могли бы применять в своих сетях.

Иногда выделяют в отдельную группу локальный вариант сети VPN.

Локальная сеть (localnet-VPN) обеспечивает защиту информационных потоков, циркулирующих внутри локальных сетей компании (как правило, центрального офиса) от несанкционированного доступа со стороны «излишне любопытных» сотрудников компании.

Несмотря на наличие проработанных основных вариантов VPN-решений построение VPN для распределенных компаний даже с небольшим количеством удаленных (5-10) подразделений (филиалов), как правило, является достаточно трудоемкой задачей, сложность которой обусловлена следующими основными причинами:

- значительная гетерогенность существующих в российских компаниях технических решений, которая заключается не только в большом разнообразии и малой совместимости используемых аппаратных платформ, программного обеспечения, сетевых операционных систем, качественно различных каналах связи между подразделениями компании, но и в многообразии практически аналогичных решений у существующих и потенциальных партнеров и заказчиков, с которыми необходимо строить защищенные extranet-VPN;

- разнообразие применяемых для построения корпоративной VPN частных технический решений;

- необходимость построения централизованной системы управления всей корпоративной VPN из центрального офиса компании для обеспечения высокого уровня безопасности и управляемости VPN, особенно системой распределения криптографических ключей и сертификатов, а также из-за отсутствия квалифицированного обслуживающего персонала в региональных подразделениях и т.д.;

- узкая полоса пропускания и относительно плохое качество существующих каналов связи, особенно с региональными подразделениями, и т.д.

Указанные сложности построения корпоративных VPN усугубляется еще и тем, что, как правило, предъявляются достаточно жесткие требования в отношении:

- масштабируемости применяемых технических решений;

- интегрируемости с уже существующими в подразделениях компании средствами защиты информации, а также прозрачности работы VPN для всех работающих внутрикорпоративных приложений (системы документооборота, аудита и управления компьютерными сетями, IP-телефонии и т.д.);

- легальности общего решения, то есть применяемые для построения VPN-средства должны отвечать национальным стандартам и требованиям;

- пропускной способности защищаемой сети, то есть VPN-устройства не должны вносить существенные задержки в процесс обработки и передачи информации, а также заметно суживать полосу пропускания канала связи;

- стойкости применяемых криптоалгоритмов, благодаря которой корпоративная информация была бы надежно защищена от криптоаналитических атак злоумышленников и недобросовестных конкурентов;

- обеспечение целостности передаваемой по сетям информации и надежной аутентификации пользователей VPN;

- унифицируемости VPN-решения, позволяющей данной компании в будущем без особых технических и организационных проблем устанавливать защищенные соединения с новыми партнерами по бизнесу;

- общей совокупной стоимости построения корпоративной VPN, которая может варьироваться практически от нуля до нескольких сотен тысяч долларов.

Нетрудно заметить, что многие из перечисленных выше требований находятся в определенном противоречии друг с другом, что в большинстве случаев не позволяет предложить какое-то общее оптимальное по всем критериям техническое решение. Поэтому, как правило, на практике приходится либо пренебрегать некоторыми из перечисленных требований, либо строить комбинированные VPN на базе существующих решений:

- сетевых операционных систем;

- маршрутизаторов;

- межсетевых экранов;

- специализированного программного обеспечения.

1.2.2 VPN на базе сетевых операционных систем

Построение VPN на базе сетевой операционной системы - достаточно удобный и, главное, дешевый способ создания инфраструктуры защищенных виртуальных каналов. Сегодня в России наибольшее распространение среди сетевых операционных систем, позволяющих строить VPN штатными средствами самой операционной системы, получила Windows NT. Данное решение оказалось популярным, прежде всего, благодаря общей распространенности данной ОС [4].

Для построения виртуальных защищенных туннелей в IP-сетях Windows NT использует разработанный фирмой Microsoft протокол РРТР, который является расширением хорошо известного протокола РРР (Point-to-Point Protocol). Туннелирование трафика происходит за счет инкапсуляции и последующего шифрования (криптоалгоритм RSA RC4 с ключом 40 бит) стандартных РРР-фреймов в IР-датаграммы, которые и передаются по открытым IP-сетям. С точки зрения обеспечения безопасности соединения протокол РРТР унаследовал практически все качества протокола РРР.

По мнению специалистов, данное решение является оптимальным для построения VPN внутри локальных сетей или домена Windows NT, а также для построения intranet- и extranet-VPN для небольших компаний с целью защиты некритичной для их бизнеса информации. В то же время крупный бизнес вряд ли доверит свои секреты этому решению, поскольку многочисленные испытания VPN, построенных на базе Windows NT, показали, что протокол РРТР достаточно уязвим с точки зрения безопасности.

1.2.3 VPN на базе маршрутизаторов

Сегодня практически все ведущие производители маршрутизаторов и других сетевых устройств заявляют о поддержке в своих продуктах различных VPN-протоколов. В России безусловным лидером на этом рынке является компания Cisco Systems, поэтому построение корпоративных VPN целесообразнее всего продемонстрировать на решениях именно этой компании.

Построение VPN-каналов на базе маршрутизаторов компании Cisco осуществляется средствами самой операционной системы, начиная с версии Cisco IOS 12.x. Если на пограничные маршрутизаторы Cisco других отделений компании установлена данная операционная система, то имеется возможность сформировать корпоративную VPN, состоящую из совокупности виртуальных защищенных туннелей типа «точка-точка» от одного маршрутизатора к другому (рисунок 1.3). Как правило, для шифрования данных в канале по умолчанию применяется криптоалгоритм DES с длиной ключа 56 бит.

Рисунок 1.3 Типовая схема построения корпоративной VPN на базе маршрутизаторов Cisco

Для организации VPN-туннеля маршрутизаторы компании Cisco в настоящее время используют протокол канального уровня L2TP (созданный на базе фирменных протоколов L2F (Cisco Systems) и PPTP(Microsoft Co.)) и протокол сетевого уровня IPSec, разработанный ассоциацией IETF.

Протокол эстафетной передачи на втором уровне (Layer 2 Forwarding - L2F) был разработан компанией Cisco Systems. Он обеспечивает туннелирование протоколов канального уровня с использованием протоколов более высокого уровня, например, IP. С помощью таких туннелей можно разделить местоположение сервера удаленного доступа, к которому подключается пользователь, используя местные коммутируемые линии связи, и точки, где происходит непосредственная обработка протокола удаленного доступа (SLIP, PPP), и пользователь получает доступ в сеть. Эти туннели дают возможность использовать приложения, требующие удаленного доступа с частными адресами IP, IPX и AppleTalk через протокол SLIP/PPP по существующей инфраструктуре Интернет. Поддержка таких многопротокольных приложений виртуального удаленного доступа очень выгодна конечным пользователям и независимым поставщикам услуг, поскольку позволяет разделить на всех расходы на средства доступа и базовую инфраструктуру и дает возможность осуществлять доступ через местные линии связи. Кроме того, такой подход защищает инвестиции, сделанные в существующие приложения, работающие не по протоколу IP, предоставляя защищенный доступ к ним и в то же время поддерживая инфраструктуру доступа к Интернет.

Сквозной туннельный протокол Point-to-Point Tunneling Protocol (PPTP) создан корпорацией Microsoft. Он никак не меняет протокол PPP, но предоставляет для него новое транспортное средство. В рамках этого протокола опред Сравнительно недавно появился продукт компании - Cisco VPN client, который позволяет создавать защищенные соединения «точка-точка» между рабочими станциями (в том числе и удаленными) и маршрутизаторами Cisco, что делает возможным построение Internet- и localnet-VPN.

Как видно, протоколы L2F и PPTP имеют сходную функциональность. Компании Cisco и Microsoft согласились вместе (в рамках IETF) разработать единый стандартный протокол, который получил название туннельного протокола второго уровня (Layer 2 Tunneling Protocol -- L2TP).

Протокол L2TP обеспечивает инкапсулирование протоколов сетевого уровня (IP, IPX, NetBEUI и др.) в пакеты канального уровня (PPP), которые и передаются по сетям, поддерживающим доставку датаграмм в каналах «точка-точка». Хотя этот протокол и претендует на решение проблем безопасности в VPN, он никак не специфицирует процедуры шифрования, аутентификации (процедура аутентификации происходит один раз в начале сессии) и проверки целостности каждого передаваемого по открытой сети пакета, а также процедуры управления криптографическими ключами. Основное преимущество L2TP состоит в его независимости от транспортного уровня, что позволяет использовать его в гетерогенных сетях. Достаточно важным качеством L2TP является его поддержка в операционной системе Windows 2000, благодаря чему в принципе можно строить комбинированные VPN на базе продуктов Microsoft и Cisco. Однако «канальная природа» протокола L2TP послужила причиной его существенного недостатка: для гарантированной передачи защищенного пакета через составные сети все промежуточные маршрутизаторы должны поддерживать данный протокол, что, очевидно, весьма трудно гарантировать. Видимо, в связи с этим компания Cisco сегодня обратила более пристальный взгляд на продвижение более современного VPN-протокола - IPSec.

Безопасный протокол IP (IPSec) представляет собой набор стандартов, используемых для защиты данных и для аутентификации на уровне IP. Протокол IPSec также включает криптографические методы, удовлетворяющие потребности управления ключами на сетевом уровне безопасности. Протокол управления ключами Ассоциации безопасности Интернет (Internet Security Association Key Management Protocol -- ISAKMP) создает рамочную структуру для управления ключами в сети Интернет и предоставляет конкретную протокольную поддержку для согласования атрибутов безопасности. Стандарт IPSec позволяет поддержать на уровне IP потоки безопасных и аутентичных данных между взаимодействующими устройствами, включая центральные компьютеры, межсетевые экраны (сетевые фильтры) различных типов и маршрутизаторы [4].

На сегодняшний день IPSec - один из самых проработанных и совершенных Internet-протоколов в плане безопасности. В частности, он обеспечивает аутентификацию, проверку целостности и шифрование сообщений на уровне каждого пакета (для управления криптографическими ключами IPSec использует протокол IKE, хорошо зарекомендовавший себя в своей более ранней версии Oakley). Кроме того, работа протокола на сетевом уровне является одним из стратегических преимуществ IPSec, поскольку VPN на его базе работают полностью прозрачно как для всех без исключения приложений и сетевых сервисов, так и для сетей передачи данных канального уровня. Также IPSec позволяет маршрутизировать зашифрованные пакеты сетям без дополнительной настройки промежуточных маршрутизаторов, поскольку сохраняет стандартный IP-заголовок, принятый в IPv4. А тот факт, что IPSec включен в качестве неотъемлемой части в будущий Internet-протокол IPv6, делает его еще более привлекательным для организации корпоративных VPN.

Но IPSec присущи и некоторые недостатки: поддержка только стека TCP/IP и довольно большой объем служебной информации, который может вызвать существенное снижение скорости обмена данными на низкоскоростных каналах связи.

Возвращаясь к построению корпоративных VPN на базе маршрутизаторов, отметим, что в основную задачу этих устройств входит маршрутизация трафика, а значит, криптообработка пакетов является некоторой дополнительной функцией, требующей, очевидно, дополнительных вычислительных ресурсов. Другими словами, если ваш маршрутизатор имеет достаточно большой запас по производительности, то ему вполне можно «поручить» и формирование VPN. Однако если маршрутизатор работает «на пределе», он вряд ли справится с этой задачей, не нарушая общей функциональности своей работы.

В случае построения VPN на базе маршрутизаторов необходимо помнить еще и о том, что сам по себе такой подход не решает проблему обеспечения общей информационной безопасности компании, поскольку все внутренние информационные ресурсы все равно остаются открытыми для атак извне. Для защиты этих ресурсов, как правило, применяются межсетевые экраны, которые располагаются за пограничными маршрутизаторами, а, следовательно, на канале от маршрутизатора к МЭ и далее вся конфиденциальная информация идет в «открытом» виде. Это, в частности, означает, что маршрутизатор необходимо ставить как можно «ближе» к МЭ, желательно в общем охраняемом помещении.

Один из существенных недостатков построения VPN на базе маршрутизаторов состоит в том, что решение единой задачи защиты информационных ресурсов компании от атак извне распределяется по нескольким функционально независимым устройствам (например, маршрутизатор и МЭ). Такой подход может привести к серьезным организационным и техническим проблемам в случаях, например, определения ответственности за нарушение информационной безопасности сети [1].

2. VPN-продукты ЗАСТАВА

2.1 Состав и преимущества продуктного ряда ЗАСТАВА

Программные продукты ЗАСТАВА, разработанные компанией ЭЛВИС+ на основе современного стандарта IPSec, образуют целостный масштабируемый ряд продуктов для построения защищенных корпоративных сетей VPN.

Назначение продуктов данной линии в обеспечении гибкого масштабируемого решения для защиты и аутентификации трафика корпоративных сетей и защиты корпоративной сети от несанкционированного доступа.

Комплекс продуктов VPN ЗАСТАВА 5.3 состоит из Центра управления ЗАСТАВА и трех полнофункциональных VPN/FW-агентов: ЗАСТАВА - Клиент, ЗАСТАВА - Сервер и ЗАСТАВА - Офис и предоставляет пользователям полное обеспечение для построения защищенных корпоративных сетей. VPN/FW-агенты ЗАСТАВА 5.3 - обеспечивают защиту корпоративных информационных систем на сетевом уровне с помощью технологий виртуальных частных сетей (Virtual Private Networks- VPN) . Семейство ЗАСТАВА 5.3 включает программные агенты ЗАСТАВА -Клиент и ЗАСТАВА -Офис, которые устанавливаются ,соответственно, на персональные компьютеры и шлюзы защищаемой информационной системы. Третий продукт семейства, ЗАСТАВА-Управление, в удаленном режиме обеспечивает централизованное администрирование и оперативное управление агентами, их политиками безопасности.

Семейство продуктов ЗАСТАВА 5.3 обеспечивает:

- Защиту отдельных компьютеров, в том числе мобильных, от атак из сетей общего пользования и Интернет;

- Защиту корпоративной информациооной системы или ее частей от внешних атак;

- Внутреннее сигментирование иформационной системы для обработки информации разной степени конфиденциальности;

- Организацию доверенных защищенных каналов связи между сегментами, территориально распределенной информационной системы, а так же с мобильными пользователями;

- Ограничения доступа с рабочих станций к внешним информационным ресурсам и интернет - сайтам;

- Соответствие информационной системы Российскому законодательству и нормативным требованиям в сфере информационной безопасности и защиты персональных данных;

- Централизованное в режиме реального времени управления сетевой безопасностью в информационных системах масштабом более 5000 защищенных узлов;

- Высокую производительность и прозрачность для пользователей и приложений;

- Централизованный мониторинг состояния управляемых агентов и событийных журналов сетевой безопасности;

- Автоматическую координацию конфигураций VPN и МЭ для всех управляемых агентов, что снижает риски несанкционированного доступа либо недоступности сервисов КИС возникающие из за ошибок и несогласованностей при раздельном конфигурировании;

- Совместимость с существующими VPN-продуктами работающими на базе стандартов Ipsec, с устройствами и системами аутентификации пользователей, платформами инфраструктуры открытых ключей (PKI) а так же системами сетевого управления.

При построении корпоративных интранет-систем VPN-продукты гарантируют конфиденциальность при работе с информацией в единой корпоративной сети предприятия. Защищая коммуникации между корпорацией, ее партнерами и клиентами, VPN-продукты используются для создания защищенных экстранет-систем. VPN-продукты ЗАСТАВА обладают целым рядом преимуществ, определяющих их эффективность в защите как информации критичных информационных ресурсов корпораций, так и корпоративных инвестиций в информационные технологии.

Технические преимущества VPN-продуктов ЗАСТАВА:

- использование IPSec в качестве базовой технологии безопасности - программные продукты VPN ЗАСТАВА 5.3 реализованы в полном соответствии со спецификациями комплекса протоколов сетевой безопасности IPSec;

- распределенная аутентификация пользователя - VPN ЗАСТАВА 5.3 предлагает комплекс взаимосвязанных механизмов, поддерживающих многофакторную аутентификацию пользователей на сетевом уровне и обслуживающих защищаемую часть информационной системы;

- дружественность к ресурсам ОС - VPN/FW-агенты ЗАСТАВА 5.3 поддерживают многопроцессорную и многопоточную обработку информации на уровне используемых платформ, возможность подключать внешние модули шифрования через открытый криптоинтерфейс Open CryptoAPI на уровне ядра ОС уменьшает затраты на выполнение шифрования/дешифрования трафика для VPN [9].

Функциональные преимущества использования VPN-продуктов ЗАСТАВА:

- централизованное управление в режиме реального времени - VPN/FW-агенты ЗАСТАВА 5.3 централизованно управляются с консоли Центра управления по протоколу управления политиками (РМР) в реальном масштабе времени, при этом процесс управления заключается не в формировании ЛПБ для каждого конкретного агента, а в задании общей логики взаимодействия агентов и необходимого для каждого взаимодействия сервиса безопасности;

- сквозная безопасность соединений - кроме контроля доступа и защиты соединений средствами IPSec (туннелирование и расширенная пакетная фильтрация), со стороны ЗАСТАВА - Сервера и ЗАСТАВА - Клиента действует непосредственный контроль TCP/UDP-соединений, обеспечивающий дополнительную низкоуровневую защиту сетевого доступа, при этом могут быть заданы различные политики безопасности, включая фильтрацию пакетов для каждого соединения;

- распределенный межсетевой экран - VPN/FW-агенты ЗАСТАВА 5.3 содержат встроенный межсетевой экран с расширенной пакетной фильтрацией и контролем TCP/UDP-соединений;

- учет местоположения управляемого объекта - ЗАСТАВА - Клиент 5.3 и ЗАСТАВА - Сервер 5.3 устанавливает безопасные соединения как снаружи, так и изнутри защищенных ЗАСТАВА - Офисом 5.3 периметров сети, при пересечении периметров политика безопасности автоматически перестраивается на новые условия работы.

2.2 Описание продуктного ряда ЗАСТАВА.

Аген - ЗАСТАВА-Офис 5.3, ЗАСТАВА-Клиент 5.3 предназначены для использования в качестве межсетевых экранов с функциями расширенной пакетной фильтрации, и организации

VPN-соединений в сетях связи общего пользования. На их основе строятся территориально распределенные, защищенные корпоративные информационные системы, обеспечивающие конфиденциальность, целостность и аутентичность сетевого трафика на базе стандартных протоколов IPSec. Аутентификация пользователей, а также взаимная аутентификация агентов, производится с использованием сертификатов цифрового ключа.

ЗАСТАВА-Агенты нечувствительны к наличию в сети промежуточных NAT-устройств, обеспечивают «прозрачное» прохождение через них VPN-трафика с помощью стандартных методов протокольной.

Высокая устойчивость ЗАСТАВА-Агентов к отказам VPN-шлюзов обеспечивается поддержкой стандартного протокола DPD (Dead Peer Detection) разработки компании Cisco Systems. С его помощью ЗАСТАВА-Агенты автоматически и в реальном масштабе времени определяют недоступность шлюза на втором конце VPN - канала и создают дублирующие каналы с другими VPN-шлюзами на том же сетевом периметре.

Поддержка приоритезации типов трафика (QoS) позволяет эффективно использовать продукты ЗАСТАВА для защиты приложений, чувствительных к задержкам, например, IP-телефонии и видеоконференций.

При работе по протоколам IPSec ЗАСТАВА-Агенты совместимы с VPN-продуктами сетевой безопасности известных зарубежных и российских производителей: Cisco IOS Router, Cisco PIX Firewall, Check Point VPN-1/FW-1 Gateway, Microsoft 2000/XP/2003 IPSec Agent. В качестве инфраструктуры открытых ключей продукты ЗАСТАВА могут использовать PKI-платформы RSA Keon, SunONE, Microsoft CA, Baltimore UNICERT, Entrust/PKI, КриптоПро, Верба. ЗАСТАВА-Агенты поддерживают многофакторную аутентификацию пользователей с помощью PKCS#11совместимых токенов: Aladdin eToken, Rutoken, Rainbow iKey1000/iKey2000, ActiveCARD Gold, а также программной эмуляции токена на дискете или жестком диске. Кроме того, для аутентификации пользователей удаленных ЗАСТАВА-Клиентов шлюз ЗАСТАВА-Офис может использовать протокол XAUTH и внешние RADIUS-совместимые серверы аутентификации. А VPN-агент ЗАСТАВА-Офис реализует функции прикладного проксирования популярных сетевых сервисов и протоколов (Telnet, FTP, SMTP, HTTP, SOCKS), а также маскирование топологии защищаемой сети в режиме VPN-туннелирования, либо с использованием встроенного централизованно управляемого NAT-сервера.