Функция ViPNet–сервер Открытого Интернета

Если в организации, из соображений политики безопасности, компьютерам локальной сети запрещен выход в Интернет (назовем их группой компьютеров А), но отдельным компьютерам необходим такой доступ (группа компьютеров Б), то технология с использованием ViPNet–сервера Открытого Интернета (технология выхода в " Открытый Интернет")поможет решить эту проблему удобным и надежным способом. Технология позволит организовать работу каждого компьютера группы Б в одном из двух вариантов:

ü либо в Интернете, с блокировкой любого трафика в локальную сеть;

ü либо в локальной сети, с блокировкой любого трафика в/из Интернет.

Для выбора варианта работы (в Интернете или в локальной сети), необходимо просто переключить опцию в программе ViPNet [Клиент] [Монитор].

При этом физически отключать компьютеры группы Б от локальной сети не нужно, т.к. при любом варианте работы компьютера группы Б (в Интернете или в локальной сети) компьютеры группы А будут полностью защищены от атак из Интернет через компьютеры группы Б.

Для реализации технологии выхода в " Открытый Интернет" необходимо произвести следующие действия:

§ установить ПО ViPNet [Координатор] с функцией ViPNet–Сервер Открытого Интернета (такая функция координатора задается в ЦУСе)на компьютер, размещенный на границе локальной сети с Интернет. Назовем этот компьютер (с ПО ViPNet) Координатором Открытого Интернета;

§ на этом же компьютере (Координатор Открытого Интернета) также должен быть установлен Firewall типа WinProxy, WinGate, MSProxy и т.д. для организации доступа к ресурсам открытого Интернета от имени своего IP-адреса для компьютеров группы Б;

§ установить на компьютеры локальной сети ПО ViPNet [Клиент]. Каждый компьютер группы Б должен быть связан с Координатором Открытого Интернета (такая связь задается в ЦУСе). Для компьютера группы А такая связь не обеспечивается.

Координатор Открытого Интернета выполняет следующие функции:

§ организовывает доступ к ресурсам открытого Интернета от имени своего IP-адреса для компьютеров группы Б, за счет установленного на этом же компьютере Firewall;

§ запрещает доступ к ресурсам открытого Интернета для компьютеров группы А;

§ организовывает защищенный туннель между собой и компьютером группы Б на время его работы с ресурсами открытого Интернета без возможности доступа к этому туннелю со стороны всех остальных пользователей локальной сети;

§ является Межсетевым Экраном, который запрещает доступ в локальную сеть из открытого Интернета.

§

 

 

Рис. 15

При этом на компьютерах группы Б в процессе работыс Координатором Открытого Интернета блокируется любой трафик (открытый и закрытый), кроме трафика с открытым Интернетом. И, наоборот, при работе с ресурсами локальной сети – блокируется любая работа с Координатором Открытого Интернета.

Такая технология гарантирует, что никакие стратегии атак как снаружи, так и изнутри сети не могут привести к нарушению безопасности компьютеров сети, подключение которых к Интернет запрещено (компьютеры группы А). На такие компьютеры, при любых атаках трафик из Интернет может попасть только в зашифрованном виде, что не будет воспринято компьютером, и в связи с этим не опасно. Попытки проведения атак на сеть через компьютеры группы Б невозможны, так как блокируется посторонний трафик от них, кроме трафика с Координатором Открытого Интернета.

Одновременно исключаются любые возможности несанкционированного подключения из локальной сети к Интернет.

Замечание: Если требуется не только обеспечить возможность подключения к открытому Интернету заданных компьютеров локальной сети, но и одновременно обеспечить возможность подключения локальной сети к Интернету для защищенного обмена с другими локальными сетями (с ПО ViPNet) и защищенными мобильными компьютерами, то в этом случае на границе сети необходим еще один ViPNet [Координатор] с двумя и более сетевыми интерфейсами. В этом случае в ЦУСе задаются необходимые логические связи для разделения информационных потоков.