Книга посвящается всем прогрессивным людям, новаторам, энтузиастам, перфекционистам, ученым и изобретателям, инженерам и программистам, отдающим всю свою жизненную энергию созиданию и информационным технологиям.

Предисловие

В 2005 году я создал компанию «Сетевые системы», которая не только разработала уникальный для своего времени ИТ-продукт, не имеющий аналогов на отечественном рынке сетевой безопасности, но вышла в лидеры ИТ-рынка, став частью большого ИТ-бизнеса компании «Ситроникс», входящей в корпорацию АФК «Система».

Идея создания «Сетевые системы» возникла у меня после встречи с моими земляками – специалистами одного из научно-исследовательских институтов в городе Твери, которые рассказали мне, что занимались опытно-конструкторскими разработками в области информационной и сетевой безопасности. Эти ребята создавали и совершенствовали операционную систему реального времени, умели писать драйвера и много знали о криптографии. По сути, они были уникальными специалистами в своей сфере, и я предложил им реализовать частный проект по разработке отечественной операционной системы для устройств сетевой безопасности.

В период с 2005 до 2008 годы в компании под моим непосредственным руководством (на тот момент я был кандидатом технических наук) проводились научно-исследовательские и опытно-конструкторские разработки (НИОКР) в области информационных технологий и сетевой безопасности. Говоря простым языком, мы создавали встраиваемую сетевую операционную систему для устройств сетевой безопасности: аппаратных файрволлов (Firewall), систем обнаружения и предотвращения вторжений (Intrusion Detection Systems – IDS и Intrusion Prevention System, IPS) управляемых коммутаторов и других. В том числе мы добрались и до создания «прошивки» популярных на тот момент времени ADSL – модемов. Свидетельство на ядро системы PyrOS было получено еще в 2005 году (смотри приложения).

Основное преимущество нашей разработки было в том, что она работала, как на совсем маленьких промышленных компьютерах, не требующих активного охлаждения, так и на кластерных системах, требующих больших вычислительных мощностей, созданных для решения задач маршрутизации и обеспечения сетевой безопасности передачи данных крупных операторов связи. Еще одной «фишкой» нашей системы был собственный командный интерпретатор и собственный набор команд управления. Система понимала только наши команды и была весьма устойчива ко взлому.

Операционная система PyrOS ничего общего не имела с клонированием Linux. Наш опыт в создании собственной системы базировался на знаниях FreeBSD и QNX. Первый рабочий прототип PyrOS был создан на основе FreeBSD (о чем речь пойдет в соответствующих главах), а в последствие система претерпела значительные изменения и получила свое ядро и драйвера.

В 2005 году компания ООО «Сетевые системы» получила лицензии ФСТЭК на деятельность по производству средств защиты конфиденциальной информации и на деятельность по технической защите конфиденциальной информации.

В 2006 году ООО «Сетевые системы» получила лицензии ФСБ РФ на разработку, поддержку и реализацию шифровальных (криптографических) средств.

В 2006—2007 году мы достигли значительных успехов. Можно было уже с уверенностью сказать, что мы создали новую, на тот момент, встраиваемую операционную систему PyrOS для промышленных и телекоммуникационных систем сетевой безопасности, не имеющую аналогов на российском рынке. Надеюсь, эта книга подтвердит мое столь смелое утверждение.

Германия. Ганновер. Международная ИТ-выставка CeBIT 2007 год. Александр Чесалов и Елена Путилова

Первые прототипы файрволлов «PyrOS Firewall 1500» и функциональные возможности операционной системы PyrOS собрали много положительных отзывов от специалистов компаний Intel, Cisco и, тогда еще никому не известной, компании Huawei на международной выставке CeBIT 2007 в городе Ганновер в Германии.

Дизайн макет PyrOS Firewall 1500

Прототип создавался на базе промышленного компьютера Advantech FWA-3140.

Advantech FWA-3140

Еще одна модель PyrOS Firewall была создана, как говорят «с нуля», для домашних пользователей. Ее отличительной особенностью был не только маленький размер устройства и бесшумная работа (внутри не было вентилятора), но и то, чем я особенно горжусь – уникальный и передовой дизайн, который придумал и нарисовал я сам.

Устройство делалось из черного глянцевого пластика, а красная линия по середине была светящейся. Специалисты, которые занимаются производством подобных устройств знают, что создать пресс-форму для такого «девайса» – это крайне сложная инженерная задача.

Дизайн макет PyrOS Firewall для домашних пользователей

В том же 2007 году на CeBIT были подписаны первые партнерские соглашения с ведущими разработчиками промышленных компьютеров Portwell, Arosser, Volktek и компанией Sun Microsystems (смотри приложения).

2007год – год России в Германии

Окрыленные успехами CeBIT мы продолжали работать и создавать новые решения. Линейка продуктов расширилась и у нас появились первые контракты. На тот момент времени мы сотрудничали с «Комстар-ОТС», «Комстар -Директ» «МТС», «МТУ-Интел», «МГТС», входившими в корпоративный периметр АФК «Система».

В октябре 2007 года Департамент технологической безопасности ОАО «МТС» провел оценку и сделал заключение по нашим решениям. В данном документе говорилось о целесообразности внедрения решений и ноу-хау, разработанных в ООО «Сетевые системы», как в ОАО «МТС», как и в других телекоммуникационных компаниях АФК «Система». Именно в тот момент времени у меня возникла идея интегрировать «Сетевые системы», как бизнес-единицу, в корпорацию.

Потенциал компании «Сетевые системы» для отечественного рынка был огромен. Помимо НИОКР и производств устройств сетевой безопасности в компании появились сопутствующие ее деятельности интеграционные и консалтинговые проекты.

Модельный ряд PyrOS Firewall

Приведу примеры некоторых из наших проектов:

1. Проект по созданию корпоративного центра сетевой безопасности и предотвращения вторжений на базе технологий и оборудования «Сетевые системы» PyrOS, использующее собственные ноу-хау, оборудования IBM и решения Internet Security Systems.

2. Проект по внедрению системы контроля интернет-соединений при использовании корпоративного доступа к ресурсам глобальной сети Интернет, позволяющей выполнить основные положения ПТ-021-2 и ПТ-002-02.

3. Проект по внедрению системы управления правами доступа к корпоративной информации в рамках существующего регламента конфиденциального делопроизводства на основе решения Microsoft Windows Rights Management Services (RMS) с использованием технологий шифрования, сертификатов и проверки подлинности.

4. Проект по внедрению системы контроля доступа пользователей и групп к устройствам (дисководы, CD/DVD-приводы, сменные накопители, КПК и смартфоны, жесткие диски, локальные и сетевые принтеры, WiFi, Bluetooth и т.п.) и портам ввода-вывода (USB, FireWire, COM, LPT, IrDA).

5. Проведение аудита информационной безопасности в информационных системах в ОАО «МТС» в соответствии с внутренними контролями и выявление уязвимостей ИТ безопасности в КИС и актуализация стратегии технологической безопасности группы МТС.

6. Проект по разработке и внедрению корпоративной Системы управления информационной безопасностью (ISMS) ОАО «МТС» в соответствии с основными требованиями стандарта ISO/IEC 27001:2005, позволяющий выполнить основные положения SOX.

7. Проект по сертификации корпоративной Системы управления информационной безопасностью (ISMS) на соответствие требованиям международного стандарта ISO/IEC 27001:2005.

8. Проведение аудита ОАО «МТС» и реализация комплекса мероприятий в соответствии с требованиями ФСТЭК и ФСБ на выполнение положений Федерального Закона «О персональных данных» N 152-ФЗ.

И многие другие…

В 2009 году мне, как владельцу компании «Сетевые Системы», поступило предложение от концерна ОАО «Ситроникс», являющегося дочерней компанией ОАО «АФК «Система», о продаже контрольной (51%) части доли в Уставном капитале «Сетевые Системы» с целью увеличения объема заказов последней со стороны группы компаний «АФК «Система», а также с целью превращения ООО «Сетевые Системы» в крупного интегратора решений в области ИТ и информационной безопасности на российском рынке.

Я принял предложение «Ситроникс», одновременно став руководителем бизнес-направления «Ситроникс системы безопасности» в которое входили несколько компаний, занимающихся информационной безопасностью.

Под моим руководством компания «Сетевые Системы» проработала девять лет.

Вы меня спросите: «Была ли это успешная компания?»

Я отвечу: «Однозначно, да».

На 2013 год компания стоила более 40 млн долларов США.

Тем не менее, судьба компании «Сетевые Системы» оказалась очень непростой. После 2013 года, по ряду объективных причин, компания была продана частному инвестору, сменила профиль деятельности и на момент 25 декабря 2017 года прекратила свое существование. Этой весьма драматичной истории писатель фантаст Алексей Резник посвятил свой невероятный роман «#Цифровой_экономики.NET».

Книга «Разработка встраиваемой сетевой операционной системы PyrOS» публикуется к предстоящему 20 летнему юбилею появления звезды по имени «Сетевые системы», которая ярко зажглась на небосклоне российского ИТ-бизнеса и стала настоящим технологическим прорывом в области информационных технологий.

С целью популяризации информационных технологий и ее одной из самых непростых областей – разработке операционных систем, в книге публикуется общие подходы и основные результаты исследовательских и опытно-конструкторских работ, выполненных сотрудниками компании «Сетевые системы» по разработке встраиваемой операционной системы PyrOS в период с 2005 по 2007 годы.

Несомненно, представленная в книге информация уже существенно устарела, но подходы к реализации и решению задач остаются актуальными и по сегодняшний день, и будут полезны любому практику и инженеру – программисту.

С 2005 по 2013 годы лично мне пришлось выполнить огромный объем работ, связанный не только с руководством компанией, организацией работ по разработке и тестированию решений сетевой безопасности, но и проделать большую работу по написанию и реализации стратегии компании, привлечению инвестиций в проект, заключению соглашений с партнерами, а в последствии развитии и продажи бизнеса. Положа руку на сердце, хочу признаться, что в самом начале пути и дизайн, и логотип, и сайт компании, и вообще все, на что людей не хватало, приходилось делать самому. А вот название операционной системы мы придумали всем коллективом. Оно происходит от древнего славянского божества Перуна. Мы обыграли связку слов «бог-громовержец», «firewall» (с английского «огненная стена») и «операционная система» (на английском – «operating system», «OS»).

Так и получилось: «Pyr» + «OS» = «PyrOS».

Как вы понимаете, никакие достижения не возможны без команды единомышленников. Хочу выразить свою глубокую благодарность всем сотрудникам компании «Сетевые системы» и специалистам, чей ежедневный труд и высокий профессионализм позволили нам достичь высокого результата работы, и прежде всего: Борисовичу Андрею Валентиновичу, Вершинину Виталию Юрьевичу, Жукову Павлу Анатольевичу, Кудрявцеву Алексею Николаевичу, Мартемьянову Владимиру Александровичу, Филиппову Дмитрию Викторовичу.

В этой книге я постарался бережно сохранить все то, что мы с коллегами создавали в «Сетевые системы» почти десять лет.

Эта работа, как и мои многие другие, является исключительно личным опытом и проектом автора, а также абсолютно свободным к распространению документом. Вы можете использовать эту книгу и представленную в ней информацию по-своему усмотрению, но ссылка на нее обязательна.

Приятного Вам чтения и продуктивной работы!

Ваш, Александр Чесалов.

Сайт: chesalov.com

E-mail: aleksander.chesalov@yandex.ru

Введение

Практическая реализация концепции информационного сообщества опирается на высокую конкурентность рынка высоких технологий в области электроники, цифровой обработки сигналов, интеллектуального управления и высокопроизводительных распределенных вычислений. В этих условиях современные средства интеграции сетей связи стремительно развиваются, а компании, производящие их ключевые компоненты, относятся к финансовой элите промышленно развитых стран. Острота конкуренции и появление принципиально новых технических решений не позволяет монополизировать производство в сфере высоких технологий или обеспечить доминирование отдельных фирменных стандартов. Как следствием этого, повышение шансов молодых компаний, в том числе и Российских, на активную роль в процессе создания технических средств нового поколения.

На наш взгляд в настоящее время сложилась парадоксальная ситуация, когда на рынке информационных технологий у России нет своей экологической ниши, хотя значительная часть новых разработок в области сетевых и компьютерных технологий проводится отечественными специалистами, но по заказу иностранных компаний. Поэтому для развития информационно-сетевых средств нового поколения в России и сохранения кадрового потенциала страны необходимо формирование долгосрочных программ переоснащения операторов связи аппаратными и программными средствами отечественного производства.

На современном этапе создания глобального информационного сообщества, мировая экономическая система испытывает все возрастающее влияние со стороны высокотехнологичных отраслей промышленности и новых Интернет-компаний. Именно поиском эффективных технических решений по созданию информационной инфраструктуры объясняются недавние беспрецедентные усилия Западных стран, в частности Германии, по экспорту высококвалифицированных специалистов в области компьютерных сетевых технологий. В таких странах как США, Франции, Бельгии государственная поддержка развития национальной индустрии информационных технологий стала ключевым фактором экономической стратегии. Политики, проводящие эту стратегию в жизнь, рассчитывают на то, что в результате ее успешной реализации их страны станут фаворитами мировой экономической системы ХХI века, где, по оценке экспертов, национальное производство и финансовая система будут ориентированы на использование сетевых информационных технологий.

Для современной России процесс выработки приоритетов национальной стратегии внедрения нового поколения информационных технологий имеет особое значение. На примере таких компаний, как Cisco (США), Alcatel (Бельгия) или Nokia (Финляндия) хорошо известно, что наиболее эффективным вложением финансовых ресурсов является сфера производства информационных и сетевых систем.

Наиболее востребованными направлениями на современном российском рынке сетевых средств являются создание и производство отечественных средств сетевой безопасности и средств сетевого хранения данных для развивающегося российского бизнеса всех уровней, от малого до корпоративного, а также многофункциональных сетевых устройств, ориентированных на домашнего пользователя и малый бизнес.

Создание виртуальных защищенных частных сетей (Virtual Private Network – VPN), как организациями, так и частными лицами – один из способов использования таких открытых телекоммуникационных сетей, как сеть Интернет, для создания удаленных офисов или предоставления индивидуальным пользователям защищенного доступа к корпоративным сетям и их информационным ресурсам. Основная задача VPN – предоставить организации возможность создавать виртуальные защищенные офисы с небольшими финансовыми затратами.

Использование частных виртуальных сетей намного дешевле, чем использование закрытых выделенных каналов, доступных только для одной организации, поэтому в настоящее время наблюдается массовый процесс перехода от централизованных схем подключения к Интернету к распределенным схемам. В большинстве случаев это связано с растущим интересом со стороны компаний к организации частных виртуальных сетей и межсетевых экранов в рамках своих предприятий.

Более высокий уровень безопасности информационной инфраструктуры передачи данных обеспечивается на стыке двух технологий VPN и Firewall. Аппаратный Межсетевой экран (МСЭ, Firewall) – это комплекс аппаратно-программных средств, реализующий функции, необходимые для построения виртуальных частных сетей (VPN), контроль информационных потоков, организацию безопасного доступа во внешние сети или сеть Интернет, защиту внутренних ресурсов сети от несанкционированного доступа.

С другой стороны, все большее количество организаций переходит к хранению бизнес-информации не на пользовательских компьютерах и универсальных серверах, а на специализированных сетевых средствах хранения данных. Эти средства позволяют значительно увеличить надежность и безопасность хранения, при этом ускоряя доступ к необходимой информации.

Для небольших и средних центров обработки и хранения информации хорошей альтернативой является использование систем хранения, подключаемых непосредственно к локальной сети (network attached storage – NAS). Устройства категории NAS, рассчитанные на использование корпоративными заказчиками, обеспечивают примерно тот же уровень надежности, что и традиционные системы хранения, но при этом значительно проще в установке и эксплуатации благодаря использованию стандартных сетевых протоколов.

Подключение NAS-устройств к сети осуществляется с использованием стандартных интерфейсов Fast Ethernet/Gigabit Ethernet, ATM и т. п. К преимуществам такого подключения следует отнести простоту установки и поддержки, гибкость размещения, возможность создания систем из большого числа подобных устройств, оптимизированных под задачи заказчика.

Системы NAS в основном предназначены для создания хранилищ данных, в которых необходимо обеспечить доступ к одним и тем же данным большому числу разнородных серверов и рабочих станций. В отличие от традиционных систем хранения, такие системы поддерживают собственную файловую систему и оперируют информацией на уровне файлов, а не отдельных блоков. Это дает ряд преимуществ при работе с приложениями, ориентированными на файлы:

– высокая скорость чтения/записи с минимальными задержками;

– возможность одновременного доступа к данным с различных платформ;

– возможность одновременного доступа к данным большого количества пользователей.

– Снижение издержек на приобретение и стоимости владения при развертывании сети одна из важных задач для малого бизнеса и «домашних» пользователей. Одним из решений это нелегкой задачи является использование беспроводных сетевых устройств. Беспроводные маршрутизаторы и точки доступа обеспечивают быстрое развертывание сети, не требующее обязательного ранее этапа прокладки кабельной сети офиса. В настоящее время наиболее распространенными стандартами беспроводных сетей для домашнего и малого офиса являются 802.11g, обеспечивающий обмен данными на скоростях до 54 Мбит/с и его расширение 802.11g+, обеспечивающий вдвое большую скорость. Общее наименование этих стандартов – WiFi.

– Растущие потребности пользователей в вопросах доступа в Интернет и увеличении предоставляемых провайдерами сервисов привели к необходимости резкого повышения пропускной способности каналов, которыми они пользуются. Традиционно самым узким местом в доставке трафика конечному пользователю была и остается «последняя миля», то есть участок от сете- и каналообразующего оборудования провайдера до устройства доступа клиента. Выходом из этого стало широкое использование широкополосного доступа, реализуемого с использованием xDSL технологий.

– Наиболее распространенной стала технология ассиметричного доступа ADSL, позволяющая использовать существующие телефонные медные пары, проложенные от автоматических телефонных станций к абонентам. Она позволяет передавать данные в сторону абонента со скоростью до 2 Мбит/с, пересылая запросы от абонента на скорости до 512кбит/с, при этом не занимая телефонную линию, что позволяет использовать телефон во время сеанса доступа в Интернет.

– Развитие предоставляемых сервисов, таких как IPTV (телевидение через сеть), и его дальнейшее развитие – телевидение по требованию привело к необходимости дальнейшего увеличения пропускной способности каналов «последней мили». Решением стало применение технологий ADSL2 и ADSL2+, позволяющих доставлять контент пользователю на скоростях до 24 Мбит/с и передавать информацию от пользователя со скоростью до 1 Мбит/с.

– С целью снижения стоимости подключения и увеличения информационной безопасности ADSL-модем, как правило, объединяется в одном устройстве с маршрутизатором, межсетевым экраном и коммутатором пакетов. Часто к этому добавляются так же средства беспроводного доступа, что еще увеличивает потребительские свойства такого устройства.

Учитывая возросшие потребности отечественного рынка в аппаратных межсетевых экранах (МЭ, firewall) и средствах построения VPN (Virtual Private Network), в компании «Сетевые системы» приняло решение о производстве отечественного аппаратного межсетевого экрана и использованием собственного ноу-хау операционной системы PyrOS, ориентированного, на пользовательский и телекоммуникационный рынок сетевой информационной безопасности РФ.

В результате экранирования локальных сетей межсетевым экраном уменьшается уязвимость внутренних корпоративных информационных ресурсов и объектов сети, поскольку первоначально сторонний нарушитель должен преодолеть межсетевой экран, где защитные механизмы сконфигурированы особенно тщательно и жестко. Экранирование также дает возможность контролировать информационные потоки, направленные во внешнюю область сети Интернет, что способствует поддержанию во внутренней локальной сети режима конфиденциальности. Помимо функций разграничения доступа, межсетевые экраны осуществляют регистрацию информационных трафиков и обменов.

Наиболее востребованными решениями среди аппаратных средств создания VPN и межсетевых экранов на текущем этапе являются средства стоимостью от 1,5 тыс. до 10 тыс. долл., что составляет порядка 100 млн. долл. на рынке РФ. Стоимость реализации межсетевых экранов, произведенных ООО «Сетевые системы» составляет от 500 до 5000 долларов США, в зависимости от модели устройства.