Решения
Продукция
Загрузить
Главная страница / Решения / Передача данных с помощью АПК "ДИОД 0.1" в локальные сети, не подключенные к Интернет

Передача данных с помощью АПК "ДИОД 0.1" в локальные сети, не подключенные к Интернет

Насколько безграничны возможности Интернет, настолько и не предсказуемы  угрозы, которые могут прийти из сети, к наиболее   опасным относят  -  угрозы информационной  безопасности. Возможности злоумышленника в сети ограничиваются лишь его мотивацией,  временем и законами физики. Существует большое количество автоматизированных систем, для которых даже гипотетическое предположение о возможности утечки информации не допустимо. Ни один даже самый совершенный межсетевой экран не может гарантировать стопроцентную защиту информации на подключенном к сети компьютере.

Подобные  системы вынуждены делать локальными, исключая любой физический доступ в сеть. Но часто информационная  система не может быть полностью изолирована от внешнего мира. Для ее повседневной работы требуется: оперативное пополнение баз данных, передача почтовых сообщений, обновление системного программного обеспечения, антивирусов и пр. Перенос в локальную сеть такой  информации приходиться осуществлять с помощью сменных носителей, что также является не безопасной процедурой, но главное требует людских ресурсов, снижает оперативность  и эффективность обрабатываемой информации. В ряде случаев, применение однонаправленных шлюзов является единственным возможным решением для подобных систем.

Компания АЛТЭКС-СОФТ разработала и успешно апробировала решения на базе  аппаратно-программного комплекса  «ДИОД 0.1», обеспечивающего гарантированную (100%) однонаправленную передачу данных в защищенные сети, политикой безопасности которой запрещено физическое подключение к Интернет.  С помощью АПК «ДИОД 0.1»   может осуществляться сбор данных для защищенных ЦОД, передача результатов измерений  для особо критичных систем контроля и мониторинга,отправка почтовых сообщений, пополнение антивирусных баз, передача пакетов обновлений  программ и мн. др. Ниже приведено несколько проверенных практикой вариантов использования АПК «ДИОД 0.1».

Обновление программного обеспечения Microsoft

Отключение от сетей общего доступа автоматизированных систем это лишь одна из мер всего комплекса  технических и организационных мероприятий защиты особо критичных информационных ресурсов. Но данная мера ни как не гарантирует защиту  от внутренних нарушителей. Поэтому, по-прежнему остается актуальным своевременная установка обновлений и исправлений безопасности для системного и прикладного ПО, установленного в системе. Кроме того, разработчики обновлениями исправляют банальные ошибки, а так же предоставляют новые функциональные возможности программ. Если в сетях, подключенных к Интернет установка обновлений происходит автоматически, настроив соответствующие параметры в закладке «Центра обновления Windows» («Автоматическое обновление» для WindowsXP), то на автономных АРМ или локальных сетях это приходиться делать вручную, перенося обновления на сменных носителях. Такая процедура достаточно трудоемка, при этом велика вероятность ошибочных действий администратора, в том числе и переноса в защищенную сеть вредоносного ПО.

Решения на базе АПК «ДИОД 0.1» позволяет автоматизировать процесс установки обновлений, используя штатные средства Windows, при этом сохранить физический разрыв выхода из защищенной сети.

В качестве средства мониторинга, синхронизации и раздачи обновлений в решении используется стандартный сервер обновлений операционных систем и продуктов Microsoft – WSUS (Windows ServerUpdateServices). Программа бесплатно может быть загружена с сайта Microsoft и установлена на серверную ОС семейства Windows Server. Кроме этогопотребуется установка Microsoft .NET Framework 2.0 и Microsoft ReportViewer 2005 или их более новые версии.

В двух сетях — внешней (Ext, соединенная с Интернет) и внутренней (Int, изолированная) — устанавливаются два сервера WSUS, по одному в каждой сети.  Сервер в Extсети настраивается на синхронизацию с Центром обновлений Майкрософт и загружает обновления, размещая их в стандартной папке — хранилище. Сервер в Intсети отвечает за раздачу обновлений рабочим станциям, ведет учет обновлений и т.д. Рабочие станции настраиваются на получение обновлений с сервера в Сети Int через групповые политики домена или индивидуально (через локальные политики безопасности), если имеются только рабочие группы.

Передача обновлений Microsoft в локальную сеть через АПК

Рис. Передача обновлений Microsoft в локальную сеть через АПК "ДИОД 0.1"

Синхронизация серверов WSUS осуществляется штатной утилитой командной строки WSUSUtil. Утилита запускается один раз на Ext сервере с параметрами "exp, имя выходного файла". Формируется выходной файл с метаданными, и затем синхронизируются средствами ДИОДАа и специально написанных скриптов.

Выходные файлы с обновлениями и метаданными попадает в папку, указанную в настройках передающего компонента ДИОДа (Sender) и переносятся затем во внутреннюю сеть, указанную в настройках принимающего компонента ДИОДа(Resiver). После этого на сервере в Сети Intзапускается WSUSUtil с параметрами "imp,входной файл". Входным файлом указывается перенесенный ранее файл, полученный при запуске утилиты на сервере в Ext сети (тогда он был выходным). На этом синхронизация завершается, обновления доступны для сервера WSUSInt., а через него — рабочим станциями серверам локальной сети.

Обновление антивирусных баз

Антивирус Лаборатории Касперского

Для обновления антивирусов Лаборатории Касперского с использованием АПК "ДИОД 0.1" необходимо, чтобы в сетях Ext. и Int. версии продуктов, на всех компьютерах были одинаковы, например, 9.0.0.xxx. Процедура обновления антивирусной базы с использованием ДИОД в общем виде аналогична выше рассмотренному решению, и может выглядеть так:

Обновление антивирусных баз  в локальной сеть через АПК

Рис. Обновление антивирусных баз в локальной сеть через АПК "ДИОД 0.1"

Один из компьютеров должен быть подключен к Интернет и настроен обычным способом на обновление антивирусных баз. Загруженные базы хранятся в стандартном хранилище:

Для Windows XP, Windows Server 2003 – \Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Update distribution;

Для Windows Vista, Windows 7 – \ProgramData\Kaspersky Lab\AVP9\Update distribution

т.к. эти папки по умолчанию скрыты, необходимо включить режим просмотра скрытых папок на компьютере. Вручную или с помощью командного файла (скрипта) содержимое папки с обновлениями переносится в директорию, указанную в настройках передающего компонента ДИОДа (Sender), а затем автоматически переносится в папку Сети Int., указанную в настройках принимающего компонента ДИОДа (Resiver). В локальной сети все установленные антивирусы настраиваются на обновление из папки принимающего компонента.

Данное решение прошло апробацию для:
  • Kaspersky Internet Security 2011
  • Kaspersky Internet Security 2010
  • Kaspersky Internet Security 2009
  • Антивирус Касперского 7.0 (все версии)
  • Kaspersky Internet Security 7.0 (всеверсии)
  • Для версий 7.0, 6.0, 5.0, кроме того, на сайте производителя выложены ZIP-архивы антивирусных баз, они также могут использоваться для обновления.

Обновление антивируса Dr.WEB

Схема обновления антивируса Dr.WEB аналогична решениям, рассмотренным выше, но имеет ряд характерных особенностей.

В Сети Ext. необходимо иметь один компьютер с доступом в Интернет, на котором базы будут обновляться автоматически. С этого же компьютера автоматически могут обновляться базы на других компьютерах внешней сети.

Базы хранятся в штатных хранилищах:

  • Windows XP – \Documents and Settings\All Users\Application Data\Doctor Web\Bases;
  • Windows Vista, Windows 7 – \ProgramData\Doctor Web\Bases.

Обновление антивируса на рабочих станциях, не имеющем доступа к Интернет выполняется с использованием процедуры создания "зеркала" (в терминологии производителя антивируса).

Создание "зеркала"

На компьютере, имеющем доступ к сети Интернет (необходимы права администратора системы):
  1. Создается каталог c:\drweb (каталог может быть на любом диске в любом каталоге)
  2. Создается каталог c:\drweb\drwebupdate
  3. Копируется в c:\drweb следующие файлы из каталога антивируса (по умолчанию антивирус устанавливается в каталог х:\Program Files\DrWeb):
    • DrWebUpW.exe;
    • drweb32.key;
    • update.drl.
  4. Запускается утилита обновления (DrWebUpW.exe) с обязательным параметром "/UA" из каталога c:\drweb,: Пуск->Выполнить (далее вставить строчку)
    C:\drweb\DrWebUpW.exe /GO /UA /DIR:c:\drweb\drwebupdate /rp+c:\drweb\drwebupw.log
    где C:\drweb – папка, куда скопированы файлы, C:\drweb\drwebupdate – папка, в которой будет создано "зеркало" (все необходимые файлы для обновления), C:\drweb\drwebupw.log – лог "зеркалирония" обновлений (регистрация об ошибках, произошедших во время создания "зеркала").
  5. Обновление в Сети Ext осуществляется автоматически.

Перенос обновлений во внутреннюю сеть при помощи АПК "ДИОД 0.1"

Вручную или при помощи командного файла (скрипта) копируется содержимое каталога C:\drweb\drwebupdate в папку передающего компонента ДИОДа (Sender). Переносится с помощью АПК "ДИОД 0.1" на один из компьютеров во внутреннюю сеть, например с IP 169.128.128.1, в каталог C:\drweb\drwebupdate.

Обновление рабочих станций, подключённых к внутренней сети

  1. Открывается по сети доступ к папке "c:\drweb\drwebupdate" с атрибутом только на чтение.
  2. На остальных компьютерах сети в настройках утилиты обновления (DrWebUpW.exe) прописывается путь к папке "зеркала", например
    \\169.128.128.1\drwebupdate,
    где 169.128.128.1 -- IP-адрес ПК
  3. Сохраняются настройки.
    Система обновления готова.
    Можно произвести обновление антивируса без изменения настроек в реестре через командную строку.

Автономный компьютер (не в сети)

Рассматривается ситуация, когда ПК не имеет сетевого доступа. Настройки обновления будут жестко привязаны к определенному каталогу.

  1. Переносится. Как описано выше, при помощи АПК "ДИОД 0.1" из Сети Ext/ все содержимое каталогаC:\drweb\drwebupdate, в одноимённый каталог в Сети Int.
  2. Отключается самозащита антивируса.
  3. Пуск->Выполнить->regedit
  4. В ветке реестра
    [HKEY_LOCAL_MACHINE\SOFTWARE\IDAVLab\DrWebUpdate\Settings]
    изменяется значение ключа "UpdateUrl". Вписывается постоянный каталог, откуда будут браться обновления в дальнейшем.

  5. Включается самозащита антивируса.

При подключении ПК к сети интранет или Интернет необходимо произвести отмену изменения ветки реестра для обновления антивируса стандартным способом. Для этого просто удаляется внесённые ранее значения.

Обновление Adobe Acrobat

В отличие от предыдущего программного обеспечения, Adobe Acrobat не имеет своих утилит для централизованного обновления. Решить проблему обновления при помощи АПК "ДИОД 0,1" можно посредством установки новых версий из .msi пакетов через групповые политики домена в Сети Ext. или загрузив данные пакеты вручную по следующей ссылке: ftp://ftp.adobe.com/pub/adobe/reader/win/. Автоматическая загрузка обновлений Adobe не возможна ввиду того, что каждая следующая версия находится в собственной папке FTP сервера и заранее знать номер следующей официальной версии и, соответственно, имя папки невозможно.

На момент подготовки материала актуальная версия имела номер 10.1.0

Файл AdbeRdr1010_ru_RU.msi,как в выше описанных в решениях, через АПК "ДИОД 0.1" переносится на контроллер домена, находящийся в локальной сети и копируется в папку с открытым для пользователей домена сетевым доступом.

Права на чтение и выполнение делегируются сразу на все вложенные файлы и папки. В свойствах подразделения оснастки администратора "ActiveDirectory – пользователи и компьютеры" добавляется новая групповая политика. В ее свойствах на вкладке "Безопасность" указываются пользователи/группы и устанавливается маркер "Применение групповой политики".

В редакторе объектов групповой политики добавляется пакет в конфигурации программ пользователя и указывается в качестве пакета сетевое размещение установочного файла. Метод развертывания "Назначенный" (Assigned). В свойствах добавленного пакета выбирается "Развертывание" (Deployment) и отмечаем маркер "Устанавливать это приложение при входе в систему".

Обновление групповых политик производится автоматически в течение 30-60 минут, таким образом, выбранный пакет будет установлен у пользователя максимум в начале следующего рабочего дня при входе в систему.

Меры безопасности

Несмотря на то, что решение гарантирует стопроцентную защиту конфиденциальности информации от внешних угроз, требуются дополнительные организационные и технические меры защиты, обеспечивающие целостность и доступность информационных ресурсов, к которым могут быть отнесены:

  • использование антивирусной защиты в Сетях Ext. и Int. Для повышения эффективности антивирусной защиты рекомендуется использовать антивирусные средства различных доверенных производителей;
  • создание продуманных правил фильтрации FireWall. Задание фиксированного пула IP-адресов серверов, с которых осуществляется загрузка обновлений. Отключение неиспользуемых служб и портов роутера;
  • удаление неиспользуемых компонентов и служб WSUS-сервера в Сети Ext;
  • использование средств контентной фильтрации в Сети Int (например, модуль NetworkLock программного комплекса DeviceLock):
  • регулярное ведение резервных копий и архивов охраняемых данных и др.

Дополнительная информация по запросу: support@altx-soft.ru.