Ochrona VPN (wirtualne sieci prywatne): technologia ALTELL NEO. Publikacja internetowa o wysokich technologiach Kompleks sprzętowo-programowy realizujący funkcje bramy kryptograficznej
Kontynent-K
Kompleks sprzętowo-programowy
W nowoczesnych systemach informatycznych (IS) ostatnio rozpowszechniły się wirtualne sieci prywatne (Virtual Private Network - VPN).
Technologia VPN pozwala na tworzenie wirtualnych bezpiecznych kanałów komunikacji w sieciach publicznych (np. Internet), które gwarantują poufność i rzetelność informacji. Sieć VPN jest stowarzyszeniem sieci lokalne(LAN) lub pojedyncze komputery podłączony do sieci publicznej w jedną bezpieczną sieć wirtualną.
Rosnące zainteresowanie tą technologią wynika z następujących czynników:
- niski koszt eksploatacji dzięki wykorzystaniu sieci publicznych zamiast własnych lub dzierżawionych linii komunikacyjnych;
- praktycznie nieograniczona skalowalność;
- łatwość rekonfiguracji i rozbudowy sieci korporacyjnej;
- „przejrzystość” dla użytkowników i aplikacji.
Jednak wykorzystanie sieci publicznych do organizacji VPN nakłada dodatkowe wymagania na zapewnienie ochrony zasobów informacyjnych przedsiębiorstwa przed nieautoryzowanym dostępem (UAS).
Kompleks sprzętowo-programowy Continent-K, opracowany przez NIP Informzashchita, jest przeznaczony do niezawodnej ochrony informacji w sieci VPN. Ten kompleks zapewnia ochronę poufna informacja w korporacyjnych sieciach VPN wykorzystujących protokoły z rodziny TCP/IP. Sieci LAN Enterprise lub ich oddzielne fragmenty mogą działać jako komponenty VPN.
Kompleks sprzętowo-programowy „Kontynent-K” zapewnia:
- ochrona wewnętrznych segmentów sieci przed nieautoryzowanym dostępem użytkowników sieci publicznych;
- ukrywanie wewnętrznej struktury chronionych segmentów sieci;
- ochrona kryptograficzna danych przesyłanych kanałami komunikacyjnymi sieci publicznych pomiędzy chronionymi segmentami sieci (punkty abonenckie);
- bezpieczny dostęp Użytkownicy VPN do zasobów sieci publicznych;
- scentralizowane zarządzanie ustawieniami urządzeń sieciowych VPN.
2.1. SKŁAD KOMPLEKSU
Kompleks Continent-K obejmuje następujące elementy:- centrum kontroli sieci bramek kryptograficznych;
- brama kryptograficzna;
- program do zarządzania siecią bram kryptograficznych;
- serwer dostępu;
- punkt abonencki;
- dostęp do programu do zarządzania serwerem.
Brama kryptograficzna(KSh) zapewnia kryptograficzną ochronę informacji podczas ich transmisji otwartymi kanałami sieci publicznych oraz ochronę wewnętrznych segmentów sieci przed penetracją zewnętrzną.
Program kontrolny umożliwia wyświetlanie stanów KSh, przeglądanie zawartości logów systemowych KSh, zmianę ustawień routingu i reguł filtrowania pakietów.
Punkt subskrybenta(AP) zapewnia zdalnym użytkownikom dostęp do zasobów chronionych sieci za pośrednictwem dedykowanych i komutowanych kanałów komunikacyjnych.
Dostęp do serwera zapewnia komunikację pomiędzy zdalną stacją abonencką a chronioną siecią, dokonuje identyfikacji i uwierzytelnienia użytkownika, określa jego poziom dostępu.
Program do zarządzania serwerem dostępu(PU SD) umożliwia konfigurację Access Server, rejestrację użytkowników AP i ustawienie praw dostępu dla użytkowników AP do zasobów chronionych sieci, a także monitorowanie podłączonych użytkowników AP.
2.2. KLUCZOWY SYSTEM
Kompleks sprzętowo-programowy wykorzystuje symetryczny system kluczy. Połączenie kryptograficzne między KSh w sieci odbywa się na kluczach połączenia parowego. Szyfrowanie każdego pakietu odbywa się na indywidualnym kluczu, który powstaje z klucza połączenia pary. Do szyfrowania danych używany jest algorytm GOST 28147-89 w trybie gamma z informacją zwrotną. Ochrona imitacją danych jest realizowana za pomocą algorytmu GOST 28147-89 w trybie wstawiania imitacji.Klucze parowania są generowane przez centrum sterowania siecią dla każdego CN w sieci. Przekazywanie kluczy do KSh z KSH odbywa się za pośrednictwem bezpiecznego kanału komunikacji (na kluczu komunikacji z KSH). Dyskietka jest używana jako nośnik klucza dla klucza komunikacyjnego z NCC.
Klucze parowania są przechowywane na dysku w postaci zaszyfrowanej (na kluczu pamięci). Klucz pamięci znajduje się w chronionej pamięci nieulotnej Sobol EZ.
Specjalny klucz administracyjny służy do zabezpieczenia połączenia między konsolą zarządzania a NCC. Ten klucz jest przechowywany w kluczowy dysk Administrator systemu.
Planowana zmiana kluczy do KSh realizowana jest z KSH za pośrednictwem bezpiecznego kanału komunikacji na kluczu komunikacyjnym z KSH.
Pakiet APK „Continent-K” korzysta z protokołu ochrony kryptograficznej opracowanego przez NIP „Informzashchita”. Został opracowany w oparciu o dobrze znany protokół IPSec. Deweloperom udało się znacznie zmniejszyć obciążenie tunelowania ruchu. Ich zakres wynosi od 26 do 36 bajtów na pakiet (w zależności od trybów kompresji pakietów) w porównaniu z 86 bajtami dla IPSec.
Ta zaleta umożliwia korzystanie z „Kontynentu-K” w sieciach korzystających z krótkich pakietów IP, takich jak telefonia IP lub ruch telekonferencyjny.
3.1. BRAMA KRYPTOGRAFICZNA
Brama kryptograficzna to wyspecjalizowane urządzenie sprzętowo-programowe działające pod systemem operacyjnym FreeBSD w zmniejszonej wersji zapewniającej wysoki poziom bezpieczeństwa.Bramka kryptograficzna zapewnia:
- odbieranie i przesyłanie pakietów za pomocą protokołów z rodziny TCP/IP (routing statyczny);
- szyfrowanie przesyłanych i odbieranych pakietów IP (GOST 28147-89, tryb gamma z informacją zwrotną);
- kompresja chronionych danych;
- ochrona danych przed zniekształceniami (GOST 28147-89, symulowany tryb wstawiania);
- filtrowanie pakietów IP zgodnie z określonymi regułami filtrowania;
- ukrywanie wewnętrznej struktury chronionego segmentu sieci;
- uwierzytelnianie kryptograficzne zdalnych subskrybentów (gdy serwer dostępowy jest zainstalowany na KSh);
- okresowe powiadamianie NCC o prowadzonej działalności;
- rejestracja zdarzeń związanych z działalnością KSh;
- powiadamianie administratora w czasie rzeczywistym o zdarzeniach wymagających szybkiej interwencji;
- identyfikację i uwierzytelnienie administratora przy uruchamianiu KSh (za pomocą EZ „Sobol”);
- kontrola integralności oprogramowania KSh przed załadowaniem systemu operacyjnego (za pomocą Sobol EZ).
Przetwarzanie wychodzących pakietów IP pokazano na rysunku 4. Wszystkie pakiety IP otrzymane od wewnętrznych abonentów chronionego segmentu są najpierw filtrowane.
Pakiety IP są filtrowane zgodnie z regułami ustalonymi przez administratora na podstawie źródłowych i docelowych adresów IP, prawidłowych wartości pól nagłówka, używanych portów UDP/TCP i flag pakietów TCP/IP. Jeśli pakiet nie spełnia reguł filtrowania, jest odrzucany. Nadawca pakietu otrzymuje komunikat ICMP nieosiągalny.
Podczas instalacji KSh automatycznie generowane są reguły niezbędne do zapewnienia bezpiecznej interakcji z NCC, poprawnego działania mechanizmu routingu pakietów, przetwarzania ruchu kontrolnego urządzeń komunikacyjnych oraz możliwości uruchamiania funkcji VPN bez dodatkowej konfiguracji.
Pakiety IP spełniające reguły filtrowania są przetwarzane przez jednostkę ochrony kryptograficznej i przesyłane do zewnętrznego interfejsu KSh. Nadawca KSh zapewnia jego kompresję, szyfrowanie i ochronę przed imitacją, enkapsulację w nowym pakiecie IP, w którym adres IP odbiorcy KSh jest adresem IP odbiorcy, a adres IP nadawcy KSh jest adresem IP odbiorcy KSh. źródło.
Pakiety IP adresowane do abonentów spoza sieci VPN (strony WWW, serwery ftp) są przesyłane w sposób jawny. Pozwala to na użycie KSh podczas uzyskiwania dostępu do publicznych zasobów sieci publicznych jako zapory na poziomie pakietów.
Przychodzące pakiety IP od otwartych abonentów nie są przetwarzane przez jednostkę ochrony kryptograficznej i trafiają bezpośrednio do filtru pakietów IP.
W przypadku pakietów odebranych od abonentów VPN jednostka ochrony kryptograficznej przeprowadza kontrolę integralności i odszyfrowuje je, po czym pakiety przechodzą do filtru pakietów IP. Jeśli integralność pakietu zostanie naruszona, zostanie on odrzucony bez odszyfrowania i bez powiadomienia nadawcy, z wygenerowaniem komunikatu UA.
Pakiety IP zgodne z regułami filtrowania są wysyłane przez wewnętrzny interfejs do rozszerzeń.
Brama kryptograficzna rejestruje następujące zdarzenia:
- ładowanie i inicjalizacja systemu oraz wyłączanie jego oprogramowania;
- wejście (wyjście) administratora KSh do systemu (z systemu);
- prośby o nawiązanie wirtualnych połączeń między kryptobramami, między KSh a Centrum Sterowania;
- filtrowanie wyników pakietów przychodzących/wychodzących;
- próby NSD;
- wszelkie sytuacje awaryjne, które występują podczas działania KSh;
- informacje o utracie i przywróceniu komunikacji w warstwie fizycznej protokołów.
- data, godzina i kod zarejestrowanego zdarzenia;
- adres źródłowy i adres docelowy (podczas filtrowania), w tym porty protokołów IP, TCP, UDP;
- wynik próby zaimplementowania zarejestrowanego zdarzenia - udany lub nieudany (lub wynik filtrowania);
- Identyfikator administratora KS prezentowany przy próbie realizacji rejestrowanego zdarzenia (dla zdarzeń sterowania lokalnego/zdalnego).
Lokalna sygnalizacja zdarzeń wymagających interwencji administratora odbywa się poprzez wyświetlanie odpowiednich komunikatów na monitorze kryptogate.
Specyfikacje
- Całkowita przepustowość KSh (wstawianie imitacji, szyfrowanie, tunelowanie) to 30 Mbit/s (Celeron/500).
- Zwiększenie rozmiaru pakietu - 26-36 bajtów (w zależności od stopnia kompresji pakietu).
- Maksymalna liczba KSh w sieci z jednym NCC nie przekracza 5000;
- Maksymalna ilość zainstalowane programy kontrola - nieograniczona;
Istnieją trzy opcje ukończenia bramy kryptograficznej:
- Oparty na standardowym komputerze kompatybilnym z IBM;
- Oparty na komputerze przemysłowym przeznaczonym do montażu w szafie rack 19" 2U.
- Oparty na komputerze przemysłowym przeznaczonym do montażu w szafie rack 19" 4U.
- płatność Elektronicznego zamka „Sobol”;
- Dotykowy czytnik pamięci;
- identyfikatory elektroniczne Touch Memory DS1992 (2 szt.);
- Karty sieciowe Ethernet (od 2 do 16 portów).
3.2. CENTRUM KONTROLI SIECI
Centrum Operacji Sieciowych zarządza działaniem wszystkich KSh wchodzących w skład systemu ochrony. NCC monitoruje stan wszystkich zarejestrowanych KSh, dystrybuuje kluczowe informacje, udostępnia administratorowi funkcje zdalnego zarządzania KSh, odbiera i przechowuje zawartość logów systemowych KSh oraz prowadzi dziennik zdarzeń UA. NCC zapewnia:- uwierzytelnianie KSh i konsol zarządzania;
- kontrola aktualnego stanu wszystkich KSh systemu;
- przechowywanie informacji o stanie systemu ochrony (sieć KSH);
- scentralizowane zarządzanie kluczami kryptograficznymi i ustawieniami dla każdego KSh sieci;
- interakcja z programem zarządzania;
- rejestracja zdarzeń do zarządzania i zmiany parametrów KSh;
- odbiór logów rejestracyjnych ze wszystkich dostępnych KSh i ich przechowywanie.
3.4. PROGRAM KONTROLNY
Program kontrolny jest przeznaczony do scentralizowanej kontroli wszystkich KSh działających pod kontrolą jednego NCC. Ten program pozwala:- wyświetlanie informacji o aktualnym stanie wszystkich dostępnych KSh;
- dodać nowy KSh do systemu, zmienić informacje o istniejącym KSh lub usunąć KSh;
- centralnie zarządzać ustawieniami KSh;
- zarządzać regułami routingu KS;
- zarządzać kluczami szyfrowania;
- analizować zawartość logów rejestracyjnych KSh.
Kompleks sprzętowo-programowy „Kontynent-K” oferuje:
- skuteczna i niezawodna ochrona informacji w sieciach heterogenicznych;
- brak ingerencji w istniejące technologie przetwarzania informacji, pełna przejrzystość dla aplikacji i użytkowników;
- scentralizowane zarządzanie ustawieniami systemu i monitorowanie operacyjne jego stanu;
- połączenie funkcji firewalla i routera kryptograficznego w jednym urządzeniu;
- możliwość ograniczenia dostępu z kilku wewnętrznych chronionych segmentów;
- wygodna GUI programy zarządzania;
- łatwość konfiguracji i konserwacji.
3.4. SERWER DOSTĘPU
Dostęp do serwera- oprogramowanie umożliwiające nawiązanie bezpiecznego połączenia ze zdalnymi abonentami. Serwer dostępu (AS) jest zainstalowany na jednej z bram kryptograficznych „Continent-K”. Po żądaniu połączenia SD dokonuje identyfikacji i uwierzytelnienia zdalnego użytkownika oraz określa jego poziom dostępu ustawiony przez administratora Continent-K. Na podstawie tych informacji abonent jest podłączony do zasobów sieciowych. SD umożliwia do 500 jednoczesnych sesji komunikacyjnych ze zdalnymi użytkownikami.System wykorzystuje uwierzytelnianie użytkownika za pomocą certyfikatów klucza publicznego. W przyszłości planowane jest opracowanie oprogramowania wdrażającego technologię PKI z wykorzystaniem zewnętrznych centrów certyfikacji.
Serwer dostępowy jest preinstalowany na NCC i KSh, co pozwala na zorganizowanie elastycznego schematu łączenia stacji abonenckich z segmentami chronionej sieci.
Zarządzanie ustawieniami SD, opracowywanie reguł i kluczowych informacji dla abonentów odbywa się za pomocą programu sterującego.
3.4. PUNKT ABONENTA.
Punkt abonencki (AP)- oprogramowanie umożliwiające zdalnemu użytkownikowi komunikację bezpiecznym kanałem z siecią APK „Continent-K”. Punkt dostępowy jest instalowany na komputerze klienta i umożliwia:- zdalny dostęp do chronionych zasobów sieciowych poprzez szyfrowany kanał
- praca pod Windows 95/98/NT/2000
- komunikacja z serwerem dostępowym „Continent-K” z prędkością do 2 Mb/sw trybie szyfrowanym
- identyfikacja i uwierzytelnianie użytkownika
- funkcjonowanie z dynamiczną alokacją adresów IP - możliwość zdalnego dostępu przez użytkowników mobilnych
Instalacja i konfiguracja stacji abonenckiej bezpośrednio w miejscu pracy obejmuje:
- instalacja oprogramowania CIPF „CryptoPro CSP” oraz stacji abonenckiej
- określenie miejsca przechowywania kluczowych materiałów;
- określenie adresu IP serwera dostępu (jeden lub więcej), z którym nawiązywana jest bezpieczna interakcja.
4.1. TWORZENIE KORPORACYJNEJ VPN
APK „Kontynent-K” to narzędzie do tworzenia wirtualnych sieci prywatnych w oparciu o sieci TCP/IP. Jako medium transportowe można wykorzystać dowolną sieć działającą na protokole TCP/IP, taką jak Internet. Ta opcja jest znacznie tańsza niż korzystanie z sieci opartej na dedykowanych kanałach przy zachowaniu wysoki poziom bezpieczeństwo.Łącząc lokalne sieci przedsiębiorstwa, „Kontynent-K” jest zwykle podłączony do Port LAN router zewnętrzny. Sieci lokalne przedsiębiorstwa są podłączone do wewnętrznych portów krypto-bramy. Obecność kilku interfejsów wewnętrznych pozwala elastycznie zmieniać konfigurację sieci. Jedną z opcji zwiększających ogólne bezpieczeństwo sieci jest usunięcie konsol kontrolnych „Kontynent-K”, do zarządzania routerem itp. do osobnego interfejsu wewnętrznego KSh.
Podczas tworzenia sieci VPN opartej na Continent-K domyślnie dozwolony jest tylko ruch zaszyfrowany przez sieci zewnętrzne. Administrator może tworzyć reguły na bramce kryptograficznej, które pozwalają na swobodny przepływ ruchu, tj. możliwość pracy z zasobami zewnętrznymi - serwerami, hostami internetowymi itp. (Schemat 2) Administrator może również zarządzać kontrolą dostępu między podsieciami, jeśli są one połączone tylko przez „Kontynent-K”. W ten sposób możliwe jest rozdzielenie ruchu między różnymi działami, jak pokazano na przykładzie (Schemat 3)
4.2. BEZPIECZNE ZARZĄDZANIE ROUTEREM
APK „Kontynent-K” pozwala również na zaimplementowanie funkcji bezpiecznego zarządzania zdalnymi routerami. Zarządzanie odbywa się metodą „odwrotną”, gdy ruch kontrolny zaszyfrowany w rdzeniu przechodzi przez router do „Kontynentu-K”, gdzie jest deszyfrowany i odsyłany z powrotem do routera (Schemat 4). W ten sposób otwarty ruch nie przechodzi przez sieć publiczną (zakładamy, że kabel pomiędzy „Kontynentem-K” a routerem jest kontrolowany przez administratora. W praktyce z reguły znajdują się one w pobliżu).4.3. ZDALNY DOSTĘP PRZEZ BEZPIECZNY KANAŁ.
APK „Kontynent” umożliwia bezpieczny dostęp zdalnych abonentów do zasobów VPN. Dostęp odbywa się za pomocą program specjalny - stacja abonencka zainstalowane na komputerze użytkownika. Prośba o połączenie jest wysyłana do dostęp do serwera zainstalowany na jednej z bramek kryptograficznych. Serwer dostępu identyfikuje i uwierzytelnia użytkownika oraz komunikuje się z zasobami chronionej sieci (Schemat 5).Ten schemat jest korzystnie stosowany podczas komunikacji z biuro pracownika mobilnego przez internet. Aby zorganizować dostęp, wystarczy zainstalować AP na dowolnym komputerze, na przykład laptopie i uzyskać dostęp do Internetu.
APK „Continent-K” umożliwia tworzenie wirtualnych sieci prywatnych za pomocą wielkie możliwości w konfiguracji i zarządzaniu. Za pomocą „Kontynentu-K” funkcje przesyłania ruchu szyfrowanego przez sieć publiczną, ochrony sieci lokalnych przed penetracją z zewnątrz, ukrywania wewnętrznej struktury sieci, pracy kanałami otwartymi z zasobami zewnętrznymi, tworzenia sieci równoległych w ramach jednego VPN, wdrożono bezpieczne zarządzanie zdalnymi routerami. Te funkcje sprawiają, że „Continent-K” jest wygodnym i skutecznym narzędziem do tworzenia VPN.
APKSh „Kontynent”IPC-25 kompaktowa bramka kryptograficzna dla małego biura. APKSh „Kontynent” to potężne i elastyczne narzędzie do wirtualnej sieci prywatnej, które pozwala zbudować VPN o dowolnej architekturze. Zapewnia kryptograficzną ochronę informacji (zgodnie z GOST 28147-89) przesyłanych otwartymi kanałami komunikacyjnymi pomiędzy komponentami VPN (sieci lokalne, ich segmenty i poszczególne komputery). szyfruje poszczególne pakiety danych unikalnymi kluczami, co gwarantuje ochronę przed odszyfrowaniem przechwyconych danych. W celu ochrony przed nieautoryzowanym dostępem zapewniony jest system filtrowania ruchu. Obsługuje VoIP, wideokonferencje, GPRS, 3G, LTE, ADSL, Dial-Up i kanały satelitarne komunikacja, technologia NAT/PAT do ukrycia struktury sieci.
APKSh „Kontynent” jest przeznaczony do rozwiązywania następujących typowych zadań:
- Ochrona sieci na całym obwodzie
- Zapewnia możliwość łączenia rozproszonych geograficznie oddziałów organizacji w jedną bezpieczną sieć.
- Zapewnia ochronę zdalnego dostępu pracowników do sieci firmowej.
Producent: „Kod bezpieczeństwa” LLC
180.000,00 rubli
Konto zostanie wygenerowane automatycznie. Określ typ płatnika ” podmiot i uzupełnij szczegóły.
Porównanie wersji
APKSh „Kontynent” - IPC-25 | APKSh „Kontynent” - IPC-100 | APKSh „Kontynent” - IPC-400 | APKSh „Kontynent” - IPC-1000 | |
Cena £ | 180 000 R Kup | 270 000 R Kup | 665 000 R Kup | 1 021 000 R Kup |
Wydajność VPN (szyfrowanie + filtrowanie zapory) | do 50 Mb/s | do 300 Mb/s | do 500 Mb/s | do 950 Mb/s |
Wydajność ME (otwarty ruch) | do 100 Mb/s | do 400 Mb/s | do 1 Gb/s | do 1 Gb/s |
Maksymalna liczba jednoczesnych sesji TCP do przetworzenia (utrzymania stanu) | 10000 | 250000 | 350000 | 1000000 |
Liczba bezpiecznych połączeń (tunele VPN) | 25 | bez limitu | bez limitu | bez limitu |
Konfiguracja sprzętu:
Współczynnik kształtu |
Mini-ITX, wysokość 1U |
Wymiary (WxSxG) |
155x275x45mm |
procesor |
Intel Atom C2358 1743 MHz |
Baran |
SODIMM DDR3 DRAM, 2 GB, PC-1333 |
Interfejsy sieciowe |
4x 1000BASE-T Ethernet 10/100/1000 RJ45 (wykonane jako łatwo wymienialne moduły) |
Moduł SATA DOM 4Gb |
|
Zasilacz |
zewnętrzny adapter prąd przemienny 19V, 220V 80W |
Czytelnik |
pamięć dotykowa |
Identyfikatory osobiste |
Dotykowy iButton z pamięcią DS1992L 2 SZT. |
Wbudowany moduł APMDZ |
PAK Sobol 3.0 (mini-PCIe) |
Pamięć flash USB |
co najmniej 512 MB |
Poziom hałasu akustycznego przy 100% obciążeniu (metoda pomiaru ISO7779) |
|
Wbudowany system operacyjny |
Continent OS to ulepszony system bezpieczeństwa oparty na jądrze FreeBSD. |
APKSh „Kontynent” 3.9 zawiera:
- Centrum kontroli sieci bram kryptograficznych (NCC)– wykonuje uwierzytelnianie/monitoring stacji roboczych KSh i kontrolnych oraz rejestrowanie stanu sieci KSh/przechowywanie logów i konfigurację KSh/dystrybucję kluczy i informacji konfiguracyjnych/scentralizowane zarządzanie kluczami kryptograficznymi/współdziałanie z programem sterującym.
- Bramka kryptograficzna (KSh) to specjalistyczne urządzenie sprzętowo-programowe, które odbiera i transmituje pakiety IP z wykorzystaniem protokołów TCP/IP (trasowanie statyczne) / szyfrowanie pakietów (GOST 28147–89, tryb sprzężenia zwrotnego gamma, długość klucza 256 bitów) / ochrona przesyłanych danych przed zniekształceniem (GOST 28147 –89, symulowany tryb wstawiania) / filtrowanie pakietów / ukrywanie struktury sieci / rejestracja zdarzeń / powiadamianie NCC o jego aktywności i zdarzeniach wymagających interwencji / kontrola integralności oprogramowania KS.
- Program sterujący NCC (PU NCC)– jego główną funkcją jest scentralizowane zarządzanie ustawieniami i operacyjna kontrola stanu wszystkich KSh wchodzących w skład kompleksu. Jest instalowany w bezpiecznej sieci na stacji roboczej administratora z systemem MS Windows 2003/2008/7/8.
- Agent TsUS i SD nawiązuje bezpieczne połączenie i wymienia dane z NCC i PU/odbiory z NCC, przechowuje i przesyła zawartość logów do PU/odbiorów z NCC i przekazuje do PU informacje o działaniu kompleksu.
- Klient uwierzytelniania użytkownika- zapewnia uwierzytelnianie użytkowników pracujących na komputerach znajdujących się w chronionym segmencie sieci, gdy są oni podłączeni do bramy kryptograficznej.
- Punkt abonencki (Continent-AP) ustanawia tunel VPN między zdalną stacją roboczą użytkownika a wewnętrzną chronioną siecią organizacji. W przypadku połączenia za pośrednictwem publicznych sieci dostępowych i Internetu wykonuje uwierzytelnianie użytkowników / obsługa dynamicznego przydzielania adresów / zdalny dostęp do chronionych zasobów sieciowych za pośrednictwem kanału szyfrowanego / dostęp za pośrednictwem dedykowanych i dial-up kanałów komunikacyjnych / możliwość dostępu do zasobów sieci publicznych .
- Dostęp do serwera zapewnia komunikację między zdalnym punktem dostępowym a chronioną siecią, a także określanie poziomu dostępu użytkownika i jego uwierzytelnianie.
- Program do zarządzania serwerem dostępu (PU SD)– zapewnia natychmiastowe powiadomienie administratora sieci o zdarzeniach bezpieczeństwa. Przeznaczony do zarządzania ustawieniami wszystkich serwerów dostępowych wchodzących w skład kompleksu.
- Detektor ataku „Kontynent”- to jest komponent oprogramowania, który zapewnia analizę ruchu pochodzącego z kryptobramy i filtrowanie nieautoryzowanych włamań. Współpracuje z Control Center dla sieci bramek kryptograficznych „Continent” w wersji 3.7 i wyższej.
Certyfikaty
- zgodność z wytycznymi FSTEC Rosji na 2. poziomie kontroli pod kątem braku NDV i 2. klasy bezpieczeństwa dla zapór ogniowych. Może być stosowany do tworzenia zautomatyzowanych systemów do klasy bezpieczeństwa 1B włącznie oraz przy tworzeniu systemów informatycznych danych osobowych do klasy 1 włącznie;
- zgodność z wymaganiami Federalnej Służby Bezpieczeństwa Rosji dla urządzeń takich jak zapora sieciowa w 4 klasie bezpieczeństwa;
- zgodność z wymogami Federalnej Służby Bezpieczeństwa Rosji dotyczącymi środków ochrony kryptograficznej informacji klasy KS3 oraz możliwość wykorzystania do ochrony kryptograficznej informacji niezawierających informacji stanowiących tajemnicę państwową;
- Ministerstwo Telekomunikacji i Komunikacji Masowej Rosji - w sprawie zgodności z ustalonymi wymaganiami dotyczącymi sprzętu do routingu pakietów informacji i możliwości używania go w publicznych sieciach komunikacyjnych jako sprzętu do przełączania i routingu pakietów informacji.
Budowanie wirtualnych sieci prywatnych (VPN) obejmuje tworzenie tuneli chronionych przed nieautoryzowanym dostępem między kilkoma sieciami lokalnymi lub klientami zdalnymi za pośrednictwem innej sieci o niższym poziomie zaufania (na przykład Internetu). Poziom zaufania w zbudowanej sieci logicznej nie zależy od poziomu zaufania do sieci szkieletowe poprzez wykorzystanie kryptografii. Do tworzenia i utrzymywania takich tuneli wymagane są specjalne protokoły, oprogramowanie i sprzęt. Wirtualne sieci prywatne są znacznie tańsze niż globalna sieć komputerowa, ponieważ nie trzeba za nie płacić linie kablowełączenie sieci lokalnych.
Rozwiązania VPN implementują następujące funkcje:
- szyfrowanie;
- potwierdzenie autentyczności;
- identyfikacja;
- kontrola ruchu.
Metody implementacji VPN:
- Intranet VPN służy do łączenia kilku rozproszonych oddziałów tej samej organizacji w jedną bezpieczną sieć, wymieniając dane za pośrednictwem otwartych kanałów komunikacji.
- Remote Access VPN służy do tworzenia bezpiecznego kanału między segmentem sieci firmowej (centrala lub oddział) a pojedynczym użytkownikiem, który łączy się zdalnie.
- Extranet VPN jest używany w sieciach, z którymi łączą się użytkownicy zewnętrzni (np. klienci lub klienci). Poziom zaufania do nich jest znacznie niższy niż do pracowników firmy, dlatego wymagane są specjalne środki ochrony, aby uniemożliwić lub ograniczyć dostęp do poufnych informacji.
- Klient/serwer VPN jest używany podczas przesyłania danych między dwoma węzłami sieci firmowej znajdującymi się w tym samym segmencie. Ta potrzeba pojawia się, gdy w jednej sieci fizycznej trzeba utworzyć kilka sieci logicznych. Zamiast rozdzielania ruchu stosuje się szyfrowanie.
Altiriks Systems jest partnerem liderów rynku bram VPN/krypto i oferuje rozwiązania firm Stonesoft, Security Code, Infotex, S-Terra i Cisco.
StoneGate SSL VPN- możliwość prostego i bezpiecznego zdalnego dostępu użytkowników do firmowych zasobów informacyjnych z dowolnego miejsca w oparciu o bezkliencką technologię SSL VPN. Jest to idealne rozwiązanie dla organizacji, w których wielu użytkowników mobilnych uzyskuje dostęp do sieci z wielu lokalizacji, gdzie bezpieczna łączność i łatwy dostęp do sieci są równie ważne. StoneGate SSL VPN zapewnia użytkownikom - pracownikom organizacji elastyczny i bezpieczny dostęp do sieci firmowej, który mogą wykonywać z dowolnego urządzenia podłączonego do Internetu - laptopów, PDA czy telefonów komórkowych. Aplikacje dla przedsiębiorstw mogą obejmować e-mail, intranet i ekstranet, aplikacje klient/serwer, telefonia IP, usługi terminalowe i inne. Kluczowe cechy rozwiązania: obsługa do 5000 jednoczesnych połączeń; nawiązanie połączenia z dowolnego urządzenia, niezależnie od rodzaju sprzętu klienckiego i sposobu podłączenia do sieci (UMTS, WLAN); ponad 20 metod uwierzytelniania wstępnie zainstalowanych z bramą za darmo, w tym unikalne metody uwierzytelniania przy użyciu telefon komórkowy; automatyczne usuwanie wszelkich śladów połączenia po jego zakończeniu ( pliki tymczasowe, pamięć podręczna, pobrane dokumenty itp.; obsługa rosyjskich algorytmów kryptograficznych; integracja z Microsoft Active Directory i MS Outlook ActiveSync; rozszerzone wsparcie dla jednokrotnego logowania (SSO)); szybka integracja z systemami kontroli dostępu i aplikacjami końcowymi; wbudowane wsparcie dla Outlook Web Access 2000/2003, Domino Web Access 6.5, Citrix MetaFrame Presentation Server, Terminal Server 2000/2003, MS Outlook Client 2000/2003, itp.; możliwość zdalnej aktualizacji oprogramowania; scentralizowane zarządzanie wszystkimi urządzeniami i monitorowanie w czasie rzeczywistym; możliwość redundancji i klastrowania; zaawansowane polityki haseł; kontrola kontekstu sesji; elastyczność instalacji i łatwość administracji. StoneGate SSL VPN jest certyfikowany przez FSTEC Rosji i FSB Rosji.
Oprogramowanie sprzętowe/VPN firmy Stonesoft- rodzina wydajnych zapór sprzętowych i programowych opartych na unikalnych rozwiązaniach architektonicznych zapewniających niezrównany poziom ochrony systemów informatycznych. StoneGate FW/VPN korzysta z własnego zintegrowanego bezpiecznego systemu operacyjnego, który eliminuje potrzebę wykonywania jakichkolwiek specjalistycznych operacji konfiguracyjnych i pozwala na zwiększenie funkcjonalności StoneGate jedynie poprzez dodawanie nowych komponentów bez zmiany działającej infrastruktury i bez przerywania pracy. StoneGate FW/VPN wykorzystuje najwięcej nowoczesne technologie analiza ruchu i odporność na uszkodzenia. Opatentowana technologia MultiLayer Inspection łączy zalety serwerów proxy aplikacji i filtrów Stateful Inspection, aby osiągnąć większe bezpieczeństwo połączeń i elastyczność filtrowania bez znaczącego pogorszenia wydajności. Jednocześnie filtrowanie ruchu ze śledzeniem kontekstu nawiązanych połączeń jest możliwe nie tylko na 3-4 poziomach modelu OSI, ale również na poziomie aplikacji. Do chwili obecnej do wglądu dostępnych jest ponad 20 protokołów aplikacji (H.323, SIP, FTP, HTTP(S), SMTP, IMAP, POP3, SSH, NBT, MSRPC, Sun RPC, Oracle TNS itp.), co pozwala możesz kontrolować strumień za pomocą pełnego zestawu reguł, w tym między innymi filtrowania treści i adresów URL, inspekcji antywirusowej itp. Kolejną unikalną funkcją zaimplementowaną w zaporach StoneGate FW/VPN jest obsługa opatentowanej technologii MultiLink, która pozwala zapewnić wysoki stopień dostępności zasobów poprzez zastosowanie dynamicznego równoważenia obciążenia w kanałach komunikacyjnych. StoneGate FW/VPN posiada certyfikat FSTEC Rosji.
APKSh „Kontynent”- rodzina narzędzi do budowy wirtualnych sieci prywatnych w oparciu o globalne sieci publiczne, wykorzystujące protokoły z rodziny TCP/IP. Główne cechy: bezpieczny dostęp użytkowników VPN do zasobów sieci publicznych; ochrona kryptograficzna przesyłanych danych zgodnie z GOST 28147-89; firewall - ochrona wewnętrznych segmentów sieci przed nieautoryzowanym dostępem; bezpieczny dostęp zdalnych użytkowników do zasobów sieci VPN; tworzenie podsystemów informacyjnych ze współdzieleniem dostępu na poziomie fizycznym; wsparcie dla wspólnych kanałów komunikacji; pracować z ruchem o wysokim priorytecie; rezerwacja gwarantowanej przepustowości dla niektórych usług; obsługa sieci VLAN; ukrywanie sieci wewnętrznej; wsparcie dla technologii NAT/PAT; możliwość integracji z systemami wykrywania włamań; zdalna aktualizacja oprogramowania bramek kryptograficznych. APKSH „Kontynent” posiada certyfikaty FSTEC Rosji i FSB Rosji.
ViPNet NIESTANDARDOWY- najbardziej rozbudowana linia produktów na poziomie korporacyjnym - bezpieczny projektant sieci, który oferuje rozwiązanie dla całego zakresu zadań związanych z organizacją VPN i PKI. Zalety techniczne: koncentracja na zorganizowaniu bezpiecznej interakcji klient-klient (podczas gdy większość rozwiązań VPN innych producentów zapewnia tylko połączenia serwer-serwer lub serwer-klient), co umożliwia wdrożenie dowolnej niezbędnej polityki kontroli dostępu również w całej bezpiecznej sieci jak zmniejszyć obciążenie serwerów VPN, ponieważ w ogólnym przypadku podczas interakcji klient-klient serwer VPN nie jest zaangażowany w operacje szyfrowania ruchu między tymi klientami; Dużo uwagi w ViPNet CUSTOM przywiązuje się do rozwiązania problemu funkcjonowania w obecności różnych sprzęt sieciowy oraz oprogramowanie implementujące dynamiczną lub statyczną translację adresów i portów (NAT/PAT), co znacznie ułatwia proces integracji systemu ochrony z istniejącą infrastrukturą sieciową; w większości przypadków nie jest wymagana ręczna konfiguracja oprogramowania ViPNet Client; ViPNet CUSTOM implementuje oddzielne filtrowanie ruchu otwartego i szyfrowanego, co pozwala nawet wśród zaufanych węzłów sieciowych ograniczyć możliwość pracy przez nieautoryzowane porty, protokoły i tym samym zwiększyć poziom bezpieczeństwa bezpiecznej sieci; każdy komponent ViPNet CUSTOM zawiera wbudowaną zaporę ogniową i system kontroli aktywności sieciowej dla aplikacji lub współpracuje z oprogramowaniem ViPNet Client, co pozwala na uzyskanie niezawodnego, rozproszonego systemu zapór sieciowych i zapór osobistych; Aby rozwiązać ewentualne konflikty adresów IP w sieciach lokalnych wchodzących w skład jednej bezpiecznej sieci, ViPNet CUSTOM oferuje zaawansowany system adresów wirtualnych. W wielu przypadkach pozwala to na uproszczenie konfiguracji oprogramowania aplikacji użytkownika, ponieważ nakładka wirtualna sieć z jej wirtualnymi adresami ukrywa rzeczywistą złożoną strukturę sieci. również staje się możliwe rozwiązanie problemy interakcji sieci lokalnych z przecinającą się adresacją IP. ViPNet CUSTOM obsługuje połączenia międzysieciowe, co pozwala na ustanowienie niezbędnych bezpiecznych kanałów komunikacji między dowolną liczbą bezpiecznych sieci zbudowanych przy użyciu ViPNet CUSTOM. ViPNet CUSTOM zapewnia ochronę informacji w nowoczesnych wielousługowych sieciach komunikacyjnych, które zapewniają usługi telefonii IP oraz konferencje audio i wideo. Obsługuje priorytetyzację ruchu i protokoły H.323, Skinny, SIP. Oprogramowanie ViPNet Coordinator wspiera pracę na nowoczesnych wieloprocesorowych i wielordzeniowych platformach serwerowych, co pozwala na szybkie szyfrowanie ruchu. ViPNet CUSTOM jest certyfikowany przez FSTEC Rosji i FSB Rosji.
Cisco VPN- rodzina produktów oferujących pełną gamę technologii VPN warstwy 2 i 3 przeznaczonych dla infrastruktur IP i MPLS. W warstwie 2 Cisco VPN rozwiązuje problemy związane z różnicowaniem infrastruktur pakietów usługodawców przy użyciu dwóch różnych protokołów tunelowania warstwy 2: Cisco ATM dla rdzeni MPLS i Layer 2 Tunneling Protocol w wersji 3 (L2TPv3) dla rdzeni IP. Oba te protokoły zapewniają szybkie połączenia warstwy 2 między dowolnymi dwoma węzłami i obsługują technologie łączności warstwy 2 (tj. Frame Relay, Ethernet, HDLC i ATM). Ponadto sieci VPN warstwy 2 obsługują nowe technologie wielopunktowe, takie jak usługi wirtualnej prywatnej sieci LAN. W warstwie 3 Cisco oferuje technologie VPN, takie jak Cisco IPsec, GRE i MPLS/BGP VPN. Technologie te obsługują transport pakietów IP jako składnik rozwiązania VPN przez sieć szkieletową IP/MPLS. Działają w warstwie IP, zapewniając warstwę inteligencji do zarządzania ruchem klientów i złożonego routingu. Technologie Cisco VPN oferują klientom następujące korzyści: Jedna sieć; wszelkie środki dostępu; dostępność pełnego zestawu protokołów, platform i narzędzi do tworzenia i konfigurowania usług; niższy koszt posiadania; elastyczność, skalowalność i usługi wymagane zarówno przez dostawców, jak i dużych klientów korporacyjnych.
S-Terra CSP VPN- rodzina produktów - bramy bezpieczeństwa do ochrony indywidualnych użytkowników, serwerów, indywidualnych sieci i specjalistycznych urządzeń. Najważniejsze cechy: zapewnienie ochrony ruchu na poziomie uwierzytelniania/szyfrowania pakietów sieciowych przy użyciu protokołów IPsec AH i/lub IPsec ESP; zapewnianie filtrowania pakietów ruchu przy użyciu informacji w polach nagłówka sieci i poziomów transportu; różne zestawy reguł przetwarzania ruchu na różnych interfejsach; inteligentne śledzenie dostępności partnerów wymiany (DPD); zintegrowana zapora; wsparcie pracy użytkownika mobilnego zgodnie z polityką bezpieczeństwa intranetu (serwer IKECFG); możliwość uzyskania certyfikatów klucza publicznego za pośrednictwem protokołu LDAP; obsługa maskowania prawdziwego adresu IP (tunelowanie ruchu); zarządzane rejestrowanie zdarzeń (syslog); monitorowanie statystyk globalnych poprzez protokół SNMP, kompatybilność z CiscoWorks VPN Monitor; przejrzystość działania usługi QoS; obsługa enkapsulacji pakietów ESP w UDP (przechodzenie przez NAT); kompatybilność z usługami PKI i LDAP producentów zagranicznych i rosyjskich. S-Terra CSP VPN jest certyfikowany przez FSTEC Rosji i FSB Rosji.
Eksperci Altiriks Systems pomogą Ci wybrać i wdrożyć rozwiązanie, które poradzi sobie z zadaniami z maksymalną wydajnością i minimalnymi kosztami.
Jeśli chcesz uzyskać więcej informacji o naszych produktach, rozwiązaniach i usługach, napisz do nas na [e-mail chroniony] stronie internetowej, a nasz pracownik skontaktuje się z Tobą nie później niż 24 godziny.
Artykuł pokrótce opisuje trendy na światowym rynku VPN, omawia popularne bramki kryptograficzne na rynku rosyjskim oraz przedstawia ich kluczowe cechy.
Wstęp
Brama kryptograficzna (cryptogate, cryptorouter, VPN gateway) to system programowo-sprzętowy do kryptograficznej ochrony ruchu przesyłanego kanałami komunikacyjnymi poprzez szyfrowanie pakietów przy użyciu różnych protokołów.
Brama kryptograficzna ma na celu zapewnienie bezpieczeństwo informacji organizacji podczas przesyłania danych przez otwarte kanały komunikacji.
Bramki kryptograficzne na współczesnym rynku zapewniają następujące podstawowe funkcje:
- przejrzystość dla NAT;
- ukrywanie topologii sieci poprzez hermetyzację ruchu w zaszyfrowanym tunelu;
- zapewnienie integralności i poufności pakietów IP;
- uwierzytelnianie bezpiecznych węzłów sieciowych i użytkowników.
Przedsiębiorstwa różnej wielkości instytucje państwowe, firmy prywatne to główne kategorie konsumentów bramek kryptograficznych.
Do tej pory funkcjonalność bramy VPN jest część integralna prawie każdy Urządzenie sieciowe, niezależnie od tego, czy jest to router klasy korporacyjnej, domowy router Wi-Fi czy zapora sieciowa. Biorąc pod uwagę tę specyfikę, poniżej zostaną rozważeni kluczowi przedstawiciele rynku rosyjskiego wykorzystujący algorytm szyfrowania GOST, a także kilka przykładów zagranicznych jako alternatywa.
W osobnej linii odnotowujemy obecność na rynku rozwiązań bezpiecznego zdalnego dostępu w oparciu o protokół TLS (bramy TLS) zarówno producentów rosyjskich, jak i zagranicznych. Nie są one brane pod uwagę w tym przeglądzie.
Globalny rynek bram kryptograficznych
Ciągłość biznesowa dla każdej firmy rozproszonej geograficznie zawsze wiąże się z zapewnieniem ochrony przesyłanych informacji. Od dłuższego czasu różne urządzenia VPN rozwiązują ten problem. Różnią się one znacząco w realizacji: mogą to być rozwiązania specjalistyczne, rozwiązania oparte na systemach programowo-sprzętowych typu firewalle/routery, lub systemy całkowicie programowe.
Z podobnych produktów na rynku światowym korzystają firmy z różnych dziedzin działalności: służby zdrowia, przedsiębiorstwa przemysłowe, firmy transportowe, agencje rządowe i wiele innych.
W większości przypadków klient musi rozwiązać jedno lub więcej z następujących zadań:
- ochrona rozproszonej sieci korporacyjnej w różnych topologiach;
- podłączanie zdalnych użytkowników do sieci firmowej (w tym z urządzeń mobilnych);
- ochrona warstwy łącza.
SSL VPN mocno ugruntował swoją pozycję na globalnym rynku, co potwierdzają badania Alliedmarketresearch. Według nich globalny rynek SSL VPN wyniósł w 2016 roku ponad 3 miliardy dolarów. Prognozowany wzrost do 2023 r. - do 5,3 mld rubli.
Wśród kluczowych graczy na światowym rynku czołowe pozycje zajmują Cisco Systems, Citrix Systems, Pulse Secure, F5 Networks.
Rysunek 1 wyraźnie pokazuje kluczowe segmenty wzrostu globalnego rynku SSL VPN:
- tryb cienkiego klienta;
- tryb pełnego tunelowania;
- tryb bez klienta.
Rosyjski rynek bramek kryptograficznych
W Rosji głównymi konsumentami bramek kryptograficznych są agencje rządowe, a także organizacje będące operatorami danych osobowych. Na terenie naszego kraju istnieje kilka regulacji, które określają kryteria, według których narzędzia bezpieczeństwa informacji mogą być wykorzystywane do rozwiązywania określonych problemów.
Takie dokumenty obejmują:
- Ustawa federalna z dnia 27 lipca 2006 r. nr 152-FZ „O danych osobowych”.
- Dekret Rządu Federacji Rosyjskiej z dnia 1 listopada 2012 r. nr 1119 „W sprawie zatwierdzenia wymogów ochrony danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych”.
- Zarządzenie FSTEC Rosji z dnia 11 lutego 2013 r. Nr 17 „W sprawie zatwierdzenia wymagań dotyczących ochrony informacji, które nie są tajemnicą państwową zawartych w państwowych systemach informacyjnych”.
- Zarządzenie FSTEC Rosji z dnia 18 lutego 2013 r. Nr 21 „W sprawie zatwierdzenia składu i treści środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych”.
- Regulamin opracowywania, wytwarzania, wdrażania i eksploatacji szyfrujących (kryptograficznych) środków ochrony informacji (Rozporządzenie PKZ-2005).
Jednym z głównych wymagań dla bramek kryptograficznych jest dostępność ważnych certyfikatów zgodności od regulatorów rynku - Federalnej Służby Bezpieczeństwa Rosji i FSTEC Rosji. Certyfikat FSB Rosji na zgodność z wymaganiami dotyczącymi środków szyfrowania (kryptograficznych) jest wydawany tylko wtedy, gdy brama kryptograficzna jest wdrażana przy użyciu krajowych algorytmów szyfrowania zgodnie z GOST 28147-89.
Zagraniczni producenci rzadko obsługują szyfrowanie zgodnie z GOST i otrzymują takie certyfikaty zgodności dla swoich rozwiązań, które są aktywnie wykorzystywane przez rosyjskich dostawców narzędzi do ochrony informacji kryptograficznych (CIPF).
Oddzielnie należy zwrócić uwagę na trend związany z cyberbezpieczeństwem zautomatyzowanych systemów sterowania procesami (APCS). Obecnie niektórzy producenci CIPF oferują na rynku bezpieczne bramy kryptograficzne, które spełniają wymagania dotyczące ochrony przed kurzem i wilgocią oraz specjalnych zakresów temperatur. Pojawiły się również regulacje, które stanowią wymagania dotyczące ochrony informacji w takich systemach:
- Ustawa federalna nr 187-FZ z dnia 26 lipca 2017 r. „O bezpieczeństwie krytycznej infrastruktury informacyjnej Federacji Rosyjskiej”.
- Zarządzenie FSTEC Rosji z dnia 14 marca 2014 r. Nr 31 „W sprawie zatwierdzenia wymagań dotyczących zapewnienia ochrony informacji w zautomatyzowanych systemach sterowania procesami produkcyjnymi i technologicznymi w krytycznych obiektach, potencjalnie niebezpiecznych obiektach, a także obiektach, które stanowią zagrożenie życia i zdrowia ludzi oraz środowiska środowisko naturalne”.
To pozwala nam mówić o poważnych perspektywach tego kierunku dla producentów ochrony informacji kryptograficznej w kontekście rozwoju ich produktów.
Rozważ bardziej szczegółowo cechy niektórych rosyjskich i zagranicznych bramek kryptograficznych.
Rosyjskie bramy kryptograficzne
Atlix-VPN („Atlas NTC”)
Kompleks oprogramowania i sprzętu Atlix-VPN (HSS) jest produktem rosyjskiej firmy NTC Atlas. PAK został zaprojektowany w celu zapewnienia tworzenia i interakcji wirtualnych sieci prywatnych (VPN) opartych na protokole IPsec i standardzie X.509 przy użyciu rosyjskich algorytmów kryptograficznych.
GOST 28147-89, GOST R 34.11-94, GOST R 34.10-2001 są deklarowane jako obsługiwane standardy.
Cechą wyróżniającą jest sposób wprowadzania kluczowych informacji niezbędnych do realizacji jego funkcji. W tym celu używana jest „rosyjska karta inteligentna” (RIK) - karta mikroprocesorowa opracowana przez „NTC Atlas”, CJSC ” Systemy oprogramowania i technologii”, OJSC „Angstrem”. Karta wykonana jest w oparciu o krajowy mikroprocesor produkcji Angstrem OJSC.
Od strony sprzętowej Atlix-VPN działa w oparciu o serwer wyspecjalizowanej, stałej platformy. PAK zapewnia stosunkowo niewielką wydajność szyfrowania jak na dzisiejsze standardy - 85 Mb/s. Taka szybkość i rodzaj platformy sprzętowej wynika z wysokiej klasy bezpieczeństwa zgodnie z wymaganiami FSB Rosji, którą zapewnia PAK - KV2.
Rysunek 2. PAK „Atlix-VPN”
„Atlix-VPN” posiada następujące ważne certyfikaty zgodności:
- FSB Rosji nr SF / 124-2958, potwierdzający, że PAK spełnia wymagania dotyczące środków szyfrowania (kryptograficznych) klasy KV2 i może być używany do ochrony kryptograficznej (szyfrowanie i ochrona imitująca ruchu IP) informacji, które nie zawierają informacji stanowiące tajemnicę państwową;
- FSTEC Rosji nr 1864, potwierdzający, że PAK spełnia wymagania dokumentu regulującego „Środki Informatyka. Zapory sieciowe. Ochrona przed nieuprawnionym dostępem do informacji. Wskaźniki zabezpieczenia przed nieuprawnionym dostępem do informacji” - dla IV klasy bezpieczeństwa.
Więcej informacji o pakiecie Atlix-VPN można znaleźć na stronie producenta.
ZASTAVA (ELVIS-PLUS)
Kompleksy sprzętu i oprogramowania ZASTAVA - rozwój rosyjskiej firmy ELVIS-PLUS. HSS zapewnia ochronę korporacyjnych systemów informatycznych na poziomie sieci przy użyciu technologii wirtualnych bezpiecznych sieci (VPN) opartych na protokołach IPsec/IKE. ZASTAVA to nie tylko bramka VPN z obsługą krajowych algorytmów kryptograficznych, ale także firewall. ZASTAVA jest jedynym Rosyjski produkt, który implementuje aktualną wersję protokołu IKE (IKEv2). Większość rosyjskich dostawców korzysta z protokołu IKEv1, który został oficjalnie uznany przez IETF za przestarzały ponad 10 lat temu, w tym z powodu problemów z bezpieczeństwem. W porównaniu z nim protokół IKEv2 jest bardziej odporny na ataki typu „odmowa usługi”, bardziej odporny na problemy z siecią, większa elastyczność w użyciu. Protokół IKEv2 jest obecnie aktywnie rozwijany w IETF, w tym w tak zaawansowanych obszarach kryptografii, jak np. ochrona danych z komputerów kwantowych czy wykorzystanie zasady proof-of-work do przeciwdziałania atakom DoS. ELVIS-PLUS bierze czynny udział w tych pracach i szybko dodaje obsługę nowych funkcji protokołu do PAK ZASTAVA.
ZASTAVA składa się z trzech oddzielnych komponentów:
- ZASTAVA-Client implementuje funkcjonalność klienta zdalnego dostępu VPN;
- ZASTAVA-Office realizuje funkcje bramki VPN i firewalla;
- ZASTAVA-Management działa jako Centrum Zarządzania Polityką Bezpieczeństwa dla ujednoliconego zarządzania bezpieczeństwem sieci.
Cechy charakterystyczne:
- zastosowanie zewnętrznych modułów kryptograficznych, które wdrażają krajowe standardy GOST R 34.10-2001, GOST R 34.10-2012, GOST R 34.11-2012, GOST 28147-89, w szczególności CIPF „CryptoPro CSP”;
- obsługa nie tylko krajowych algorytmów kryptograficznych, ale także zagranicznych - RSA, DH, ECDH, DES, 3DES, AES, SHA1, SHA2;
- uwierzytelnianie równorzędne przy użyciu certyfikatów X.509;
- wsparcie scentralizowanego zarządzania HSS poprzez produkt ZASTAVA-Management;
- implementacja funkcjonalności klaster pracy awaryjnej praca w trybie „aktywny/pasywny”;
- w zależności od platformy sprzętowej wydajność szyfrowania może wahać się od 40 Mb/s do 4 Gb/s;
- W celu zapewnienia szyfrowania kanału komunikacji od stacji roboczych klienta do PAK wykorzystujemy własne opracowanie - produkt ZASTAVA-Klient.
ZASTAVA posiada kilka ważnych certyfikatów zgodności z wymaganiami FSB Rosji i FSTEC Rosji, w szczególności:
- FSB Rosji nr SF/114-3067, potwierdzający zgodność z wymogami ochrony kryptograficznej informacji, które nie zawierają informacji stanowiących tajemnicę państwową, klasa KS3; może służyć do ochrony kryptograficznej (szyfrowanie pakietów IP w oparciu o protokół IPsec ESP, obliczanie funkcji skrótu dla pakietów IP w oparciu o protokół IPsec AH i/lub IPsec ESP, uwierzytelnianie kryptograficzne abonentów przy nawiązywaniu połączenia w oparciu o protokół IKE v1 lub protokół IKE v2) informacje niezawierające informacji stanowiących tajemnicę państwową;
- FSTEC of Russia nr 2573, poświadczający, że HSS spełnia wymagania dokumentu regulującego „Instalacje komputerowe. Zapory sieciowe. Ochrona przed nieuprawnionym dostępem do informacji. Wskaźniki zabezpieczenia przed nieuprawnionym dostępem do informacji” dla II klasy bezpieczeństwa.
Więcej informacji o PAK ZASTAVA można znaleźć na stronie producenta.
„Kontynent” („Kod bezpieczeństwa”)
Kompleks szyfrowania sprzętowo-programowego „Kontynent” (APKSH) to brama kryptograficzna wyprodukowana przez rosyjską firmę „Security Code”. APKSH zapewnia firewall i ochronę kryptograficzną otwartych kanałów komunikacyjnych zgodnie z GOST 28147-89.
APKSh pozwala chronić ruch sieciowy w sieciach wielousługowych, wyodrębniać segmenty sieci, organizować bezpieczny zdalny dostęp do sieci lokalnej oraz implementować połączenie z innymi bezpiecznymi sieciami (zbudowanymi w oparciu o ten produkt). APKSh działa na FreeBSD.
APCS ma następujące funkcje:
- wspiera scentralizowane zarządzanie i monitorowanie za pomocą produktu Centrum Zarządzania Siecią Kontynentalną;
- redundancja sprzętowa APKSh w celu wdrożenia konfiguracji odpornej na błędy;
- w asortymencie APKSh znajduje się wersja do ochrony informacji w systemach przemysłowych;
- szeroki kolejka z obsługą szybkości szyfrowania od 10 Mb/s do 3,5 Gb/s przy wykorzystaniu rozwiązania autonomicznego (do 10 Gb/s - przy dystrybucji ruchu szyfrowanego między farmą z APKSh);
- obsługa transparentnego połączenia sieci w warstwie łącza danych (L2 VPN);
- filtrowanie ruchu na poziomie aplikacji sieciowych (DPI);
- filtrowanie poleceń protokołów HTTP, FTP;
- Filtrowanie adresów URL na podstawie list statycznych i wyrażeń regularnych;
- bramy o średniej i wysokiej wydajności (od IPC-400 i nowsze) są zaimplementowane w obudowie 2U;
- Gama modeli APKSh obejmuje platformy z maksymalnie 34 interfejsami GbE, w tym do 4 optycznych 10 Gb SFP+, do 32 optycznych 1 Gb SFP;
- oprogramowanie „Continent-AP” jest używane jako klient VPN.
Rysunek 3. APKSh „Kontynent” IPC -3034
Należy zauważyć, że APKSh ma wbudowane środki ochrony przed nieautoryzowanym dostępem - system sprzętu i oprogramowania Sobol. Również na poziomie formularza APKSh i przewodnika administratora istnieje limit maksymalnej liczby bramek kryptograficznych w sieci z jednym „Centrum kontroli sieci kontynentalnej”.
APKSh jest wpisany do rejestru oprogramowania krajowego (nr 310) i posiada szereg ważnych certyfikatów zgodności, w tym:
- FSB Rosji nr SF / 124-2617, potwierdzający zgodność z wymaganiami dla środków szyfrowania (kryptograficznych) klasy KS3 i może być używany do ochrony kryptograficznej (tworzenie i zarządzanie informacjami o kluczu, szyfrowanie i imitacja ochrony danych przesyłanych w pakietach IP nad ogólnymi sieciami transmisji danych) informacji, które nie zawierają informacji stanowiących tajemnicę państwową;
- FSTEC Rosji nr 3008, potwierdzający zgodność z wymaganiami dla zapór typu „A” (IT.ME.A3.PZ) i narzędzi do wykrywania włamań na poziomie sieci (IT.SOV.S3.PZ) dla klasy 3 (dokument nie jest do wglądu na stronie producenta, dostępnej na życzenie).
Więcej informacji o APKSh „Kontynent” można znaleźć na stronie producenta.
FPSU-IP (AMIKON, InfoCrypt)
Kompleks sprzętowo-programowy "Network Layer Packet Filter - Internet Protocol" (FPSU-IP) wyprodukowany przez rosyjską firmę AMICON przy udziale InfoCrypt. PAK to firewall i narzędzie do budowania wirtualnych sieci prywatnych (VPN).
FPSU-IP obsługuje krajowe standardy GOST 28147-89, GOST R 34.10-2012, GOST R 34.11-2012, realizowane przy użyciu CIPF „Tunnel 2.0” firmy „InfoCrypt” (w zakresie kryptografii). PAK działa na bazie systemu Linux.
FPSU-IP posiada następujące cechy:
- obsługuje możliwość pracy w trybie backupu „na gorąco” (oferowany przez producenta jako opcja);
- realizowane w oparciu o różne platformy sprzętowe o standardowych rozmiarach, zarówno 1U jak i 2U;
- używa własnego protokołu VPN;
- Jako zdalny komponent klienta wykorzystywane jest oprogramowanie FPSU-IP/Client (aktywacja możliwości interakcji z oprogramowaniem klienckim na HSS jest oferowana przez producenta jako opcja);
- seria modeli zapewnia szybkość szyfrowania danych od 10 Mb/s do 12 Gb/s (przy rozmiarze pakietu IP 1450 bajtów i 56 wątkach obliczeniowych).
Rysunek 4. Bramka FPSU-IP
FPSU-IP to rozwiązanie oparte na różnych platformach sprzętowych i oprogramowaniu z wbudowanym certyfikowanym systemem ochrony informacji kryptograficznej.
Wbudowany CIPF posiada ważny certyfikat Federalnej Służby Bezpieczeństwa Rosji nr SF/124-3060 i spełnia wymagania dla narzędzi ochrony informacji kryptograficznej przeznaczonych do ochrony informacji, które nie zawierają informacji stanowiących tajemnicę państwową, klasy KS1, KS2 , KS3.
Więcej informacji o FPSU-IP można znaleźć na stronie producenta.
ALTELL NEO ("AltEl")
Kompleks programowo-sprzętowy ATLELL NEO firmy AltEl.
Kluczową funkcjonalnością jest firewalling połączony z możliwością budowania bezpiecznych kanałów komunikacji. ALTELL NEO jest również pozycjonowany jako rozwiązanie UTM (Unified Threat Management), które łączy nie tylko możliwości zapory sieciowej, bramy VPN, ale także wykrywanie i zapobieganie włamaniom, filtrowanie treści i ochronę przed złośliwym oprogramowaniem.
Produkt jest platformą sprzętową połączoną z wbudowanym certyfikowanym oprogramowaniem. IPsec, OpenVPN są obsługiwane jako protokoły szyfrowania przy użyciu GOST 28147-89.
Oferowane przez producenta platformy, z wyjątkiem młodszych (100 i 110), mogą działać z wykorzystaniem jednej z trzech wersji oprogramowania: FW (firewall), VPN (kryptobrama), UTM. Każda kolejna wersja oprogramowania zawiera funkcjonalność poprzednich.
ALTELL NEO posiada następujące cechy:
- szeroka gama platform sprzętowych o różnych konfiguracjach;
- Platforma sprzętowa dla przedsiębiorstw (model 340, współczynnik kształtu 2U) o zwiększonej gęstości interfejsów sieciowych (do 65 portów GbE RJ45/do 64 portów GbE SFP/do 16 portów 10 GbE SFP+);
- wydajność szyfrowania (w zależności od platformy sprzętowej) przy zastosowaniu algorytmu IPsec wynosi od 18 Mbps do 2,4 Gbps, OpenVPN - od 14 Mbps do 1,4 Gbps.
Rysunek 5. Bramka ALTELL NEO 340
Oprogramowanie zastosowane w rozwiązaniu jest wpisane do rejestru oprogramowania krajowego (nr 3768) i posiada następujące certyfikaty zgodności:
- FSB Rosji nr SF / SZI-0074, potwierdzający spełnienie wymagań dla zapór ogniowych 4 klasy bezpieczeństwa oraz możliwość wykorzystania oprogramowania do ochrony informacji przed nieautoryzowanym dostępem w systemach informatycznych i telekomunikacyjnych organów władza państwowa Federacja Rosyjska;
- FSTEC of Russia nr 2726, poświadczający, że oprogramowanie jest zgodne z wymogami dokumentu regulującego „Instalacje komputerowe. Zapory sieciowe. Ochrona przed nieuprawnionym dostępem do informacji. Wskaźniki zabezpieczenia przed nieuprawnionym dostępem do informacji” - dla II klasy bezpieczeństwa.
Należy zauważyć, że w momencie publikacji recenzji w otwartych źródłach nie było możliwe znalezienie ważnego certyfikatu FSB Rosji na zgodność z wymaganiami dotyczącymi środków szyfrujących (kryptograficznych) klas KS1 / KS2 / KS3.
Więcej informacji o ALTELL NEO można znaleźć na stronie producenta.
Bramka S-Terra 4.1 („S-Terra CSP”)
Produkt S-Terra Gateway wyprodukowany przez rosyjską firmę S-Terra CSP to pakiet oprogramowania (zwany dalej PC) oparty na różnych platformach sprzętowych.
SS-Terra Gateway 4.1 zapewnia szyfrowanie zgodne z GOST 28147-89 i imitującą ochronę ruchu przesyłanego otwartymi kanałami komunikacyjnymi z wykorzystaniem protokołu IPsec. Oprócz VPN produkt posiada funkcję zapory. Debian jest używany jako system operacyjny.
Funkcje kryptograficzne w komputerze są realizowane przez bibliotekę kryptograficzną własny rozwój- C-Terra ST, który jest kompatybilny z CryptoPro CSP CIPF.
C-Terra Gateway 4.1 posiada następujące główne cechy:
- obsługuje scentralizowane zdalne sterowanie poprzez system S-Terra KP;
- wydajność rozwiązania szyfrującego od 60 Mb/s do 2,5 Gb/s, w zależności od modelu bramy i platformy sprzętowej;
- możliwa realizacja w formie maszyna wirtualna(wirtualna brama S-Terra);
- możliwe jest zainstalowanie PC S-Terra Gateway na AP klienta;
- producent oferuje rozwiązanie ochrony kanału komunikacyjnego 10 Gb/s na poziomie L2, poprzez umieszczenie 4 par 7000 bramek High End w dwóch centrach danych z moduł oprogramowania C-Terra L2 oraz dwie pary przełączników (biorąc pod uwagę fakt, że ruch w chronionym kanale komunikacyjnym to głównie TCP, nie ma telefonii IP).
Rysunek 6. Bramka S-Terra 1000
- S-Terra Gateway 4.1 jest certyfikowany przez FSB Rosji jako urządzenie do ochrony informacji kryptograficznej w klasach KS1, KS2, KS3 i jako klasa 4 ME, a także przez FSTEC Rosji jako zapora ogniowa klasy 3 (ME 3). Wśród certyfikatów:
FSB Rosji nr SF/124-2517, potwierdzający spełnienie wymagań dla środków szyfrujących (kryptograficznych) klasy KS3;
FSB Rosji nr SF/525-2663, potwierdzający spełnienie wymagań dla zapór ogniowych 4 klasy bezpieczeństwa;
FSTEC of Russia nr 3370, poświadczający, że brama S-Terra jest zgodna z wymogami dokumentu regulującego „Instalacje komputerowe. Zapory sieciowe. Ochrona przed nieuprawnionym dostępem do informacji. Wskaźniki zabezpieczenia przed nieuprawnionym dostępem do informacji” - wg III klasy bezpieczeństwa.
Więcej informacji o „S-Terra Gateway” można znaleźć na stronie producenta.
Diamentowy VPN (TSS)
Sprzęt i oprogramowanie Diamond VPN/FW firmy TCC to potężne rozwiązanie UTM, które łączy w sobie funkcje zapory sieciowej, bramy VPN i systemu wykrywania włamań (IDS).
PAK zapewnia szyfrowanie zgodnie z GOST 28147-89 przy użyciu protokołu DTLS.
Główne cechy to:
- wsparcie dla tworzenia konfiguracji fault-tolerant w trybie aktywny/pasywny;
- dostępność wersji (model 7141) zapewniającej wysoką wydajność (szyfrowanie z prędkością do 16 Gb/s, firewall - do 40 Gb/s);
- wysoka gęstość portów w maksymalnej konfiguracji sprzętowej (do 32 portów RJ45 GbE/do 32 portów GbE SFP/do 16 portów 10G SFP+);
- obecność przemysłowej bramy kryptograficznej (model Diamond VPN/FW Industrial) w celu ochrony informacji w APCS.
Rysunek 7. Pakiet Diamond VPN/FW
PAK jest wpisany do rejestru oprogramowania krajowego (nr 1425) i posiada ważny certyfikat FSTEC Rosji nr 2260, potwierdzający zgodność z wymogami dokumentu zarządzającego „Instalacje komputerowe. Zapory sieciowe. Ochrona przed nieuprawnionym dostępem do informacji. Wskaźniki zabezpieczenia przed nieuprawnionym dostępem do informacji” - dla II klasy bezpieczeństwa.
Należy zauważyć, że aktualny certyfikat Federalnej Służby Bezpieczeństwa Rosji nr 124-2702 na zgodność z wymaganiami dla środków szyfrujących (kryptograficznych) klasy KS1 i KS2 (w zależności od wersji) posiada Dcrypt 1.0 CIPF, który realizuje funkcje szyfrowania i ES w ramach PAK.
Więcej informacji o Diamond VPN/FW można znaleźć na stronie producenta.
Dionis-NX ("Czynnik-TS")
Kompleks oprogramowania i sprzętu Dionis-NX jest rozwinięciem rosyjskiej firmy Factor-TS. PAK to urządzenie UTM, które może być używane jako firewall, router kryptograficzny, system wykrywania i zapobiegania włamaniom.
PAK umożliwia budowanie tuneli VPN zgodnie z GOST 28147-89 przy użyciu protokołów GRE, PPTP, OpenVPN.
Ma następujące charakterystyczne cechy:
- producent oferuje pięć opcji dla platform sprzętowych, które zapewniają prędkości szyfrowania od 100 Mb/s do 10 Gb/s;
- wsparcie wykonywania klastrów w konfiguracji fault-tolerant (tryb „aktywny/pasywny”);
- wsparcie dla interakcji z oprogramowaniem Disek, które implementuje funkcjonalność klienta VPN.
Dionis-NX jest wpisany do rejestru oprogramowania krajowego (nr 2772) i posiada ważny certyfikat FSTEC Rosji nr 2852, potwierdzający zgodność z wymogami dokumentu zarządzającego „Instalacje komputerowe. Zapory sieciowe. Ochrona przed nieuprawnionym dostępem do informacji. Wskaźniki zabezpieczenia przed nieuprawnionym dostępem do informacji” - dla II klasy bezpieczeństwa.
Należy zauważyć, że aktualny certyfikat Federalnej Służby Bezpieczeństwa Rosji nr 124-2625 na zgodność z wymaganiami dla narzędzi szyfrujących (kryptograficznych) klas KS1 i KS3 (w zależności od wersji) posiada DioNIS-NX narzędzie ochrony informacji kryptograficznej, które realizuje funkcje szyfrowania w ramach HSS.
Więcej informacji o „Dionis-NX” można znaleźć na stronie producenta.
Koordynator ViPNet HW ("InfoTeKS")
System oprogramowania i sprzętu ViPNet Coordinator HW został opracowany przez rosyjską firmę InfoTeKS i jest certyfikowaną bramą kryptograficzną i zaporą ogniową.
ViPNet Coordinator HW zapewnia ochronę - szyfrowanie danych przesyłanych różnymi kanałami komunikacyjnymi z wykorzystaniem konstrukcji VPN (zarówno na poziomie sieci, jak i łącza danych modelu OSI - L3, L2 VPN) zgodnie z GOST 28147-89. PAK pozwala na zorganizowanie bezpiecznego dostępu zarówno do centrum danych, jak i do infrastruktury firmowej. PAC o średniej i wysokiej wydajności są dostępne w obudowie 1U. Działa w oparciu o dostosowany system operacyjny Linux.
ViPNet Coordinator HW posiada następujące funkcje:
- VPN jest zbudowany przy użyciu własnego protokołu ViPNet VPN, który zapewnia niezakłóconą bezpieczną interakcję niezależnie od rodzaju kanału komunikacyjnego, automatyczny roaming między kanałami komunikacyjnymi;
- wsparcie pracy w nowoczesnych sieciach wielousługowych (z wykorzystaniem protokołów Cisco SCCP, H.323);
- wydajność szyfrowania od 50 Mb/s do 5,5 Gb/s (dla rozwiązań autonomicznych) w zależności od modelu;
- obsługa konfiguracji przełączania awaryjnego (tryb aktywny/pasywny) dla modeli średniej i wyższej klasy (od modelu HW1000);
- obsługa scentralizowanego zarządzania i zdalnych aktualizacji za pomocą oprogramowania ViPNet Administrator;
- wsparcie dla interakcji z komponentami klienckimi (oprogramowanie ViPNet Client) na różnych systemach operacyjnych (Windows, Linux, macOS, iOS, Android).
Rysunek 8. PACK ViPNet Koordynator HW1000
Producent HSS stosuje w swoich rozwiązaniach platformy sprzętowe o stałej konfiguracji, co umożliwia uzyskanie wysokiej klasy kryptoochrony (CS3) bez użycia dodatkowych urządzeń, takich jak zaufane moduły sprzętowo-programowe (APMS).
ViPNet Coordinator HW jest wpisany do rejestru oprogramowania krajowego (nr 2798) i posiada różne ważne certyfikaty zgodności, w tym:
- FSB Rosji nr SF/124-2981, potwierdzający spełnienie wymagań dla środków szyfrujących (kryptograficznych) klasy KS3;
- FSB Rosji nr SF/525-3007, potwierdzający spełnienie wymagań dla zapór ogniowych 4 klasy bezpieczeństwa;
- FSTEC Rosji nr 3692, poświadczający, że HSS jest zaporą typu A i spełnia wymagania dokumentów „Wymagania dotyczące zapór ogniowych” (FSTEC Rosji, 2016) i „Profil ochrony zapory typu A czwartej ochrony klasa. IT.ME.A4.PZ.
Więcej informacji o ViPNet Coordinator HW można znaleźć na stronie producenta.
Zagraniczne bramy kryptograficzne
W tej sekcji przyjrzymy się bliżej głównym zagranicznym producentom narzędzi bezpieczeństwa informacji. Tutaj prezentowane są różnorodne rozwiązania w zakresie projektowania oprogramowania i sprzętu.
Wymienieni poniżej producenci oferują nowoczesne na rynku rozwiązania UTM, „kombinacje” z kategorii „wszystko w jednym”. Oto funkcjonalność NGFW (Next Generation Firewall - zapora nowej generacji), IDS / IPS (systemy wykrywania i zapobiegania włamaniom), antywirus strumieniowy i oczywiście brama VPN. Ta ostatnia jest dla nas szczególnie interesująca w kontekście tego przeglądu.
Należy zauważyć, że zagraniczni dostawcy używają do swoich VPN wyłącznie zagranicznych algorytmów szyfrowania - DES, 3DES, AES. W związku z tym docelowym klientem takich rozwiązań (w zakresie VPN) w Rosji nie jest agencja rządowa ani organizacja działająca zgodnie z przepisami określonymi na początku recenzji.
Ponieważ rynek ochrony kryptograficznej jest regulowany na terytorium Federacji Rosyjskiej, zagraniczni producenci muszą oficjalnie importować swoje produkty zgodnie ze wszystkimi obowiązującymi normami i wymaganiami. W takim przypadku możliwe są dwie opcje:
- import w ramach procedury uproszczonej (w drodze zgłoszenia rejestr dostępny jest na stronie Euroazjatyckiej Unii Gospodarczej);
- import na podstawie licencji Federalnej Służby Bezpieczeństwa Rosji lub Ministerstwa Przemysłu i Handlu Rosji.
Ze względu na wykorzystanie obcych algorytmów kryptograficznych w systemie certyfikacji FSB Rosji rozwiązania rozważane w tej sekcji nie są prezentowane.
Rozwiązania Cisco VPN (Cisco ASA 5500-X, Cisco Firepower, Cisco ASAv, Cisco IOS VPN)
Międzynarodowa firma Cisco Systems posiada duże portfolio rozwiązań do budowy VPN, które różnią się nie tylko implementacją tej funkcji, ale także główną funkcjonalnością. Na przykład Cisco ASA 5500-X lub Cisco Firepower to kompleksowe bramy bezpieczeństwa, które zawierają VPN wśród swoich funkcji, które mogą być szczególnie skutecznie wykorzystywane do zdalnego dostępu VPN. Ale router Cisco ISR / ASR / GSR / CSR, zaprojektowany głównie do łączenia się z Internetem, ma zaawansowane możliwości Site-to-Site VPN.
Cisco Adaptive Security Appliance (ASA) i Cisco Firepower to jedne z głównych produktów w kierunku bezpieczeństwa informacji Cisco. Rozwiązania te, a także zwirtualizowana brama bezpieczeństwa ASAv i router z Funkcja IOS VPN, umożliwia implementację interakcji VPN przy użyciu IPSec, IPSec RA, SSL, SSL clientless, DTLS przy prędkościach od 100 Mb/s do 51 Gb/s i obsługuje do 60 000 zdalnych użytkowników.
Charakterystyczne cechy to
- Rezerwacja. Możliwe są dwie opcje: rozwiązanie awaryjne i klastrowanie (klastrowanie), w tym dystrybucja geograficzna. W pierwszym przypadku dwa urządzenia są łączone w jedno urządzenie logiczne. Dostępne są dwa tryby pracy: aktywny/czuwania i aktywny/aktywny. W drugim możliwe jest połączenie do 16 urządzeń ASA (dla modelu 5585-X) w jedno logiczne. Ta funkcja pozwala znacznie poprawić wydajność rozwiązania.
- Obsługa technologii DMVPN, GET VPN, Easy VPN.
- Optymalizacja ochrony ruchu multimedialnego.
- Obsługa funkcji VPN per application (zróżnicowane szyfrowanie ruchu dla różnych aplikacji).
- Wsparcie dla zdalnej oceny zgodności hosta ( urządzenie przenośne) wymagania bezpieczeństwa przed utworzeniem tunelu VPN.
- Wbudowane dodatkowe mechanizmy bezpieczeństwa, takie jak wbudowany urząd certyfikacji (CA).
- Dostępność API do integracji z zewnętrznymi systemami filtrowania i zarządzania usługami - Web proxy, AAA i ocena zgodności.
- Integracja z funkcjami bezpieczeństwa bogatej w funkcje platformy bezpieczeństwa Cisco ASA 5500-X, routerem Cisco Firepower lub Cisco, ITU i NGFW, NGIPS, podsystemem anty-malcious code, podsystemem filtrowania adresów URL.
Rysunek 9. Cisco Firepower 9300
Cisco ASA 5500-X, Cisco Firepower lub Cisco ISR jest zarządzany lokalnie przez Cisco Adaptive Security Device Manager (ASDM), Cisco Firepower Device Manager lub Cisco Security Device Manager, albo centralnie przez Cisco Security Manager, Cisco Firepower Management Center lub Cisco Orkiestrator Obrony .
Aby połączyć zdalne klienckie stacje robocze, zlokalizowane w rosyjskim kliencie Cisco AnyConnect Secure Mobility Client lub bezklienckiej technologii bezklienckiej Cisco SSL, a także klientów VPN wbudowanych w Apple iOS i Android.
Rozwiązania Cisco ASA 5500-X, Cisco Firepower i Cisco ISR posiadają kilkadziesiąt różnych ważnych certyfikatów zgodności z FSTEC, w tym nr 3738, który poświadcza, że PAC spełnia wymagania dla zapór ogniowych w klasach A6, B6, a także jest certyfikowany dla brak nieudokumentowanych funkcji. Wraz z firmą S-Terra CSP firma Cisco opracowała moduł szyfrujący oparty na rosyjskich algorytmach szyfrowania (GOST 28147-89 itp.) i certyfikował go w FSB jako system ochrony informacji kryptograficznej zgodnie z klasami KS1/KS2. Ten moduł jest przeznaczony dla routera Cisco Integrated Services Router (ISR), który może służyć jako platforma do uruchamiania na nim innych rozwiązań VPN. W szczególności przeprowadzono integrację i testowanie wspólnych rozwiązań Cisco ISR z rozwiązaniami VipNet i TSS VPN.
Więcej informacji o Cisco ASA 5500-X, Cisco Firepower, Cisco ISR można znaleźć na stronie producenta.
Rozwiązania VPN dla sieci F5
F5 Networks oferuje kompleksowe rozwiązania i samodzielne urządzenia VPN. Od 2016 roku firma koncentruje się na rozwiązaniach typu end-to-end, a izolowane bramy VPN są stopniowo wycofywane.
Produkt F5 Access Policy Manager (APM) to dedykowany moduł oprogramowania, który zawiera: funkcjonalność VPN, a także wiele różnych funkcji, w tym BIG-IP - pełne proxy między użytkownikami a serwerami aplikacji, zapewniające bezpieczeństwo, optymalizację ruchu aplikacji i równoważenie obciążenia.
Klient BIG-IP VPN korzysta z protokołów TLS i DTLS (Datagram TLS), co umożliwia działanie aplikacji wrażliwych na opóźnienia. Ten klient jest dostępny na wszystkich popularnych platformach stacjonarnych i mobilnych.
Rozwiązania BIG-IP działają w oparciu o własny system operacyjny (OS) F5 TMOS. Wśród jego zalet są:
- Otwarte API, które pozwala elastycznie zarządzać przepływem ruchu i zwiększać wydajność za pomocą API Control.
- Sterowanie ruchem odbywa się za pomocą urządzeń F5 za pomocą specjalnego języka skryptowego iRules.
- Szablony iApps, które umożliwiają wdrażanie usług sieciowych specyficznych dla aplikacji i zarządzanie nimi.
Dotychczasowa oferta F5 zaczyna się od BIG-IP 1600, a kończy na BIG-IP 11050, który jest ich największym samodzielnym urządzeniem VPN.
Największym rozwiązaniem serwerowym typu blade jest Viprion 4800. Obsługuje do 30 000 transakcji SSL.
Rysunek 10. F5 Viprion 4800
W rejestr państwowy certyfikowane narzędzia bezpieczeństwa informacji nr ROSS RU.0001.01BI00 (FSTEC Rosji) produktów F5 Networks nie są reprezentowane.
Więcej informacji o produktach F5 Networks można znaleźć na stronie producenta.
NetScaler (systemy Citrix)
NetScaler to linia produktów bezpieczeństwa sieciowego firmy Citrix Systems. Rozwiązania Citrix VPN są wbudowane w produkt NetScaler Gateway. NetScaler Gateway, podobnie jak wszystkie urządzenia Citrix, jest standardowo zintegrowany z wieloma liniami produktów firmy.
NetScaler Gateway oferuje funkcjonalność SSL VPN, w tym bezpieczny dostęp do Citrix XenDesktop, XenApp, XenMobile, MS RDP, VMware Horizon oraz aplikacji i zasobów internetowych w sieci korporacyjnej. Produkt zapewnia również bezpieczne dostęp do sieci na dowolny serwer wraz z analizą i wykrywaniem urządzeń.
Citrix Gateway obsługuje oba rodzaje Protokół TLS i DTLS, w zależności od wymagań ruchu.
Najmłodsza platforma MPX produktu (5550) obsługuje do 1500 transakcji SSL. Najbardziej produktywny (22120) - do 560000 transakcji SSL.
Rysunek 11. Citrix NetScaler MPX-8005
Bramy Citrix NetScaler nie są reprezentowane w państwowym rejestrze certyfikowanych narzędzi bezpieczeństwa informacji nr ROSS RU.0001.01BI00 (FSTEC Rosji).
Więcej informacji o produktach Citrix można znaleźć na stronie producenta.
Pulse Secure (Juniper Networks)
Pulse Secure to seria produktów amerykańskiej firmy Juniper Networks. Kluczową funkcjonalnością jest SSL VPN.
Producent oferuje cztery systemy programowe i sprzętowe o różnej wydajności i współczynniku kształtu.
Model z minimalną konfiguracją (PSA300) zapewnia przepustowość 200 Mb/s dla 200 połączeń SSL. Najwydajniejsze rozwiązanie (PSA7000) to 10 Gb/s dla 25 000 połączeń SSL.
Cechą wyróżniającą linię Pulse Secure jest obecność dwóch zasilaczy w modelu PSA7000.
Rysunek 12. Urządzenie Pulse Secure 7000
Bramy Pulse Secure nie są reprezentowane w państwowym rejestrze certyfikowanych narzędzi bezpieczeństwa informacji nr ROSS RU.0001.01BI00 (FSTEC Rosji).
Więcej informacji o produktach Pulse Secure można znaleźć na stronie producenta.
SonicWALL
SonicWALL to amerykańska firma zajmująca się bezpieczeństwem sieci. W 2012 roku firma została przejęta przez Dell Software Group. W 2016 roku Dell sprzedał SonicWALL.
Firma oferuje rozwiązania o różnych pojemnościach. W większości są to rozwiązania UTM, które implementują funkcjonalność NGFW, IPS, VPN, streaming antywirusa.
W zakresie VPN producent obsługuje IPSec, SSL. Przedstawione na poniższym rysunku rozwiązanie o najwyższej wydajności zapewnia przepustowość VPN do 14 Gb/s. Maksymalna liczba połączeń VPN w tym przypadku to 25000.
Bramki SonicWALL mają własny system operacyjny - Sonic OS.
Rysunek 13. Seria SonicWALL SuperMassive 9000
Bramki SonicWALL nie są reprezentowane w państwowym rejestrze certyfikowanych narzędzi bezpieczeństwa informacji nr ROSS RU.0001.01BI00 (FSTEC Rosji).
Więcej informacji o produktach SonicWALL można znaleźć na stronie producenta.
wnioski
Brama kryptograficzna to nie tylko wyspecjalizowane rozwiązanie VPN, ale także wielofunkcyjny produkt, który rozwiązuje szeroki zakres zadań związanych z bezpieczeństwem informacji dla prawie każdego przedsiębiorstwa lub agencji rządowej. Proces wdrażania bram kryptograficznych może być trudny, a to wymaga od organizacji zatrudniania wykwalifikowanych specjalistów.
Według portalu statystycznego Statista.com, w 2014 roku globalny rynek VPN był wart 45 miliardów dolarów. Jednocześnie oczekuje się, że do 2019 r. wzrośnie do 70 miliardów, co pozwala nam powiedzieć, że urządzenia do budowy VPN będą z roku na rok coraz bardziej poszukiwane.
Pomimo tego, że na terenie Federacji Rosyjskiej procesy działania narzędzi kryptoochrony reguluje „Regulamin w sprawie rozwoju, produkcji, wdrażania i eksploatacji narzędzi szyfrowania (kryptograficznego) bezpieczeństwa informacji (Rozporządzenie PKZ-2005)”, zagraniczny deweloperzy nadal mają możliwość oferowania swoich produktów rosyjskim klientom. Zgodnie z PKZ-2005 tylko uczestnicy wymiany informacji (z pewnymi zastrzeżeniami), jeśli nie są agencjami rządowymi, określają potrzebę jej ochrony kryptograficznej i wybierają stosowane środki ochrony kryptograficznej.
Obowiązuje od 1 stycznia 2018 r. prawo federalne Nr 187-FZ „O bezpieczeństwie krytycznej infrastruktury informacyjnej Federacji Rosyjskiej” (CII) zobowiąże firmy i obiekty CII oraz kompleksu paliwowo-energetycznego do informowania władz o incydentach komputerowych i zapobiegania nielegalnym próbom dostępu do informacji . Taka inicjatywa ustawodawcza stworzy dodatkowa okazja na rozwój segmentu krypto-ochrony w ciągu najbliższych kilku lat.
Nowoczesne krajowe kryptobramki zyskują coraz większą funkcjonalność (zapora nowej generacji, IDS, IPS, antywirus strumieniowy), którą dopiero wczoraj oferowali zagraniczni producenci. Wzrost konkurencji, wzrost liczby graczy na rynku pozwala klientowi znaleźć się w najkorzystniejszej pozycji i wybrać to, co naprawdę odpowiada jego potrzebom i możliwościom.
brama kryptograficzna
Brama kryptograficzna (brama kryptograficzna, brama VPN, router kryptograficzny)- kompleks sprzętowo-programowy do kryptograficznej ochrony danych, głosu, ruchu wideo w oparciu o szyfrowanie pakietów z wykorzystaniem protokołów IPsec AH i/lub IPsec ESP podczas nawiązywania połączenia, który spełnia wymagania dla narzędzi ochrony informacji kryptograficznej (CIPF) Federalna Służba Bezpieczeństwa Rosji i zapewnia podstawową funkcjonalność nowoczesnego urządzenia VPN.
Zamiar
Kryptobrama ma na celu zapewnienie bezpieczeństwa informacji organizacji, ochronę jej sieci informacyjnych przed wtargnięciem z sieci transmisji danych (Internet), zapewnienie poufności podczas przesyłania informacji przez otwarte kanały komunikacyjne (VPN), a także zorganizowanie bezpiecznego dostępu użytkowników do publicznych zasoby sieciowe.
Bramka kryptograficzna zapewnia podstawową funkcjonalność nowoczesnego urządzenia VPN:
- poufność i integralność przepływu pakietów IP;
- maskowanie topologii sieci poprzez hermetyzację ruchu w bezpiecznym tunelu;
- przejrzystość dla NAT;
- uwierzytelnianie węzłów sieciowych i użytkowników;
- ujednolicenie polityki bezpieczeństwa dla użytkowników mobilnych i „wewnętrznych” (dynamiczna konfiguracja firmowych adresów IP dla użytkowników zdalnych „w ramach VPN”).
Bramki kryptograficzne prezentowane są zarówno w segmencie urządzeń VPN, jak i w segmencie urządzeń zunifikowanych (UTM) łączących kilka narzędzi bezpieczeństwa w jednym.
Różnica między kryptobramami a konwencjonalnymi routerami VPN polega na tym, że działają w oparciu o protokół IPSec i zapewniają ochronę informacji przesyłanych kanałami komunikacyjnymi za pomocą algorytmów spełniających wymagania rosyjskich standardów kryptograficznych (GOST 28147-89 i GOST R 34.10-2001 ) .
Dostęp do zasobów systemu informatycznego
Bramki kryptograficzne umożliwiają bezpieczny dostęp zdalnych abonentów do zasobów firmy System informacyjny. Dostęp jest realizowany za pomocą specjalnego oprogramowania zainstalowanego na komputerze użytkownika (klienta VPN) w celu bezpiecznej interakcji zdalnych i mobilnych użytkowników z bramą kryptograficzną.
Oprogramowanie bramy kryptograficznej (serwer dostępu) identyfikuje i uwierzytelnia użytkownika oraz komunikuje się z zasobami chronionej sieci. Za pomocą kryptobram w sieciach publicznych (np. Internet) tworzone są wirtualne bezpieczne kanały, które gwarantują poufność i wiarygodność informacji oraz organizują wirtualne sieci prywatne (Virtual Private Network - VPN), które są stowarzyszeniem sieci lokalnych lub pojedynczych komputerów podłączonych do sieci publicznej. używać w jednej bezpiecznej sieci wirtualnej. Do zarządzania taką siecią wykorzystuje się zwykle specjalne oprogramowanie (centrum sterowania), które zapewnia scentralizowane zarządzanie polityka lokalna bezpieczeństwo klientów VPN i bram kryptograficznych, przesyła im kluczowe informacje i nowe dane konfiguracyjne oraz zapewnia logowanie systemu.
Uwagi
Literatura
- Żdanow, O.N., Zolotarev, V.V. Metody i środki ochrony informacji kryptograficznej: Samouczek. - Krasnojarsk: SibGAU, 2007. - 217 s.
Spinki do mankietów
- Konsolidacja lokalnych sieci biur i oddziałów zdalnych. logika-miękka. Zarchiwizowane
- Składniki APKSh „Kontynent” 3.5. Firma Kodu Bezpieczeństwa. Zarchiwizowane z oryginału 25 maja 2012 r. Pobrano 28 lutego 2012 r.
- Konstantin Kuzovkin Zdalny dostęp do zasobów informacyjnych. Ochrona informacji przesyłanych kanałami komunikacyjnymi. i-teco. Zarchiwizowane z oryginału 25 maja 2012 r. Pobrano 28 lutego 2012 r.
Fundacja Wikimedia. 2010 .
Zobacz, co „Cryptogate” znajduje się w innych słownikach:
brama kryptograficzna- brama kryptograficzna KSH kryptograficzna brama ...
„Oprogramowanie” przekierowuje tutaj. Widzieć także inne znaczenia. Oprogramowanie (oprogramowanie do wymowy nie jest zalecane, a dokładniej nie było zalecane) wraz ze sprzętem jest najważniejszym składnikiem informacji... Wikipedia
„Oprogramowanie” przekierowuje tutaj. Widzieć także inne znaczenia. Oprogramowanie (oprogramowanie do wymowy nie jest zalecane, a dokładniej nie było zalecane) wraz ze sprzętem jest najważniejszym składnikiem informacji... Wikipedia
„Oprogramowanie” przekierowuje tutaj. Widzieć także inne znaczenia. Oprogramowanie (oprogramowanie do wymowy nie jest zalecane, a dokładniej nie było zalecane) wraz ze sprzętem jest najważniejszym składnikiem informacji... Wikipedia
„Oprogramowanie” przekierowuje tutaj. Widzieć także inne znaczenia. Oprogramowanie (oprogramowanie do wymowy nie jest zalecane, a dokładniej nie było zalecane) wraz ze sprzętem jest najważniejszym składnikiem informacji... Wikipedia
KSz- Słownik dowództwa koordynacyjnego: Słownik skrótów i skrótów wojska i służb specjalnych. komp. A. A. Szczelokow. M.: Wydawnictwo AST LLC, Wydawnictwo Geleos CJSC, 2003. 318 s. Żuraw KSh na podwoziu Słownik: S. Fadeev. Słownik skrótów współczesnego ... ... Słownik skrótów i skrótów