Статья только в электронной версии журнала
Леонид Жигулин, Борис Головко
В последнее время при организации сетей телефонной связи широко применяются цифровые электронные АТС (ЭАТС), допускающие возможность дистанционного управления ими. Для этого администратор с помощью ПК и обычного модема подключается к последовательному порту ЭАТС и управляет ее конфигурацией. Как правило, такой процесс ведется из центра управления цифровой телефонной сетью либо с мобильных рабочих мест (ноутбуков) дежурных администраторов. Очевидно, что при организации системы дистанционного управления следует иметь в виду вероятность несанкционированного доступа (НСД) к управляющей информации со стороны злоумышленников, грозящего парализовать работу не только ЭАТС, но и всей телефонной сети и привести к значительным убыткам. Особенно это актуально для крупных операторов телефонной связи, в частности, для Московской городской телефонной сети (МГТС, www.mgts.ru). Цифровая телефонная сеть таких операторов связи включает, как правило, ряд необслуживаемых ЭАТС, управляемых в удаленном режиме. К работе таких операторов предъявляются очень жесткие требования по качеству предоставляемых услуг. Поэтому при организации их деятельности большое внимание уделяется вопросам надежности и безопасности.
Таким образом, актуальной становится задача создания защищенной коммутируемой виртуальной частной сети (Protected Dial-up Virtual Private Network - PDVPN), предназначенной для организации процесса дистанционного управления ЭАТС. Строить ее целесообразно на базе телефонной сети общего пользования (ТфОП). Услуги ТфОП недороги, к тому же она имеет широкое разветвление и позволяет организовать обмен данными между абонентами с использованием модемов. Помимо этого объем управляющей информации, необходимый для конфигурирования и администрирования ЭАТС, невелик, так что пропускной способности каналов, предоставляемых ТфОП, оказывается более чем достаточно.
При организации такой PDVPN должны быть обеспечены следующие условия защиты информации:
- аутентификация взаимодействующих сторон;
- конфиденциальность при обмене информацией;
- контроль доступа к ресурсам;
- контроль целостности данных при передаче.
Существует несколько способов построения PDVPN. Один из них - разработка (или доработка) коммуникационного ПО, устанавливаемого на ЭАТС и на компьютерах администраторов. Однако из-за того, что часть МГТС построена на ЭАТС типа DX-200, операционная система которой “зашита” в ПЗУ и не поддается модификации, а также из-за возникающих стоимостных, технических и организационных проблем, обусловленных масштабностью МГТС, для этой сети такой путь не представляется возможным.
Другой способ основан на применении межсетевых экранов (МЭ) с функциями шифратора, устанавливаемых между коммуникационным портом ЭАТС и модемом с одной стороны и коммуникационным портом управляющей рабочей станции и модемом - с другой (см. рисунок).
Именно он оказался наиболее предпочтительным. В качестве решения для построения PDVPN для МГТС был выбран МЭ DG24/AM разработки фирмы “Сигнал-КОМ” (www.signal-com.ru). Этот МЭ обеспечивает защищенное взаимодействие объектов через ТфОП с использованием асинхронных протоколов связи. Система управления экраном (распределение криптографических ключей и определение различных режимов их работы) организуется с помощью центральной программы системного администратора (СА) и программы агента СА, устанавливаемых на каждом МЭ, являющимся в данном случае т. н. абонентом.
Программа СА используется в основном для выполнения следующих операций:
- регистрации абонентов, включаемых в состав PDVPN;
- генерации секретных и открытых ключей абонентов (для системы с асимметричными ключами);
- формирования сертификатов открытых ключей абонентов;
- создание файла со списком отозванных сертификатов;
- формирования сертификатов по запросам абонентов.
Назначение программы агента СА:
- генерация секретных и открытых ключей абонентов на их рабочих местах;
- формирование запросов для получения сертификатов от СА;
- хранение полученных сертификатов и файлов изменений состояния PDVPN;
- запись в персональный электронный идентификатор конфигурационно-установочных параметров МЭ, секретных ключей и сертификатов.
При использовании МЭ защищенное соединение устанавливается в три этапа. На первом осуществляется обычное коммутируемое соединение между модемами, выдающими сигнал обнаружения несущей. Этот сигнал активизирует работу МЭ.
На втором этапе происходит обмен информацией между МЭ для взаимной аутентификации абонентов и формирования “сеансовых ключей” приема-передачи.
На третьем этапе путем ретрансляции перехваченных и задержанных сигналов обнаружения несущей защищенное соединение переходит на коммуникационные средства абонентов. По его завершении вся информация в обоих направлениях передается в зашифрованном виде.
Во II квартале 2002 г. силами ОАО МГТС и ЗАО “Сигнал-КОМ” с использованием МЭ DG24/AM была создана PDVPN, предназначенная для дистанционного администрирования ЭАТС типа DX-200, расположенных на территории Москвы. Данная сеть объединяет несколько десятков МЭ, установленных на круглосуточно работающих стационарных объектах ОАО МГТС, и более десятка МЭ на рабочих местах сетевых и дежурных администраторов. Опытная эксплуатация продемонстрировала высокие показатели надежности и защищенности созданной PDVPN.
В дополнение к изложенному отметим, что подобные сети на основе ТфОП можно использовать для различных приложений, требующих обеспечения конфиденциальности при удаленном взаимодействии. Это могут быть системы дистанционного управления источниками бесперебойного питания на крупных объектах, системы удаленного доступа к ресурсам ЛВС, средства защиты линий при подключении банкоматов, и многое другое.
“Сигнал-Ком”: (095) 317-8727.