Gateway-uri cripto și metode pentru construcția lor. Protecție VPN (rețele private virtuale): Tehnologia ALTELL NEO Gateway-uri criptografice

Material de pe Wikipedia - enciclopedia liberă

Gateway criptografic (gateway criptografic, gateway VPN, router cripto)- un complex hardware și software pentru protecția criptografică a traficului de date, voce, video bazat pe criptarea pachetelor folosind protocoalele IPsec AH și/sau IPsec ESP la stabilirea unei conexiuni, îndeplinind cerințele pentru mijloacele de protecție a informațiilor criptografice (CIPF) ale FSB-ului Rusia și oferind funcționalitatea de bază a unui dispozitiv VPN modern.

Scop

Gateway-ul cripto este conceput pentru a asigura securitatea informațiilor unei organizații, pentru a-și proteja rețelele de informații împotriva intruziunilor din rețelele de date (Internet), pentru a asigura confidențialitatea la transmiterea informațiilor prin canale de comunicații deschise (VPN), precum și pentru a organiza accesul securizat al utilizatorilor la rețeaua publică. resurse.

Gateway-ul cripto oferă funcționalitatea de bază a unui dispozitiv VPN modern:

confidențialitatea și integritatea fluxului de pachete IP;
mascarea topologiei rețelei prin încapsularea traficului într-un tunel securizat;
transparență pentru NAT;
autentificarea nodurilor de rețea și a utilizatorilor;
unificarea politicilor de securitate pentru utilizatorii mobili și „interni” (configurarea dinamică a adreselor IP corporative pentru utilizatori la distanță „în cadrul VPN”).

Gateway-urile cripto sunt reprezentate atât în segmentul dispozitivelor VPN, cât și în segmentul dispozitivului unificat (UTM), combinând mai multe instrumente de securitate într-unul singur.

Diferența dintre gateway-urile cripto și routerele VPN obișnuite este că acestea funcționează pe baza protocolului IPSec și oferă protecție informațiilor transmise prin canalele de comunicație folosind algoritmi care îndeplinesc cerințele standardelor criptografice rusești (GOST 28147-89 și GOST R 34.10-2001).

Accesul la resursele sistemului informatic

Gateway-urile cripto permit abonaților la distanță să acceseze în siguranță resursele corporative sistem informatic. Accesul se face folosind un software special instalat pe computerul utilizatorului (client VPN) pentru a asigura interacțiunea sigură între utilizatorii de la distanță și cei mobili cu gateway-ul cripto.

Software Gateway-ul cripto (server de acces) identifică și autentifică utilizatorul și comunică cu resursele rețelei protejate. Cu ajutorul gateway-urilor cripto, acestea formează canale virtuale securizate în rețelele publice (de exemplu, Internetul), care garantează confidențialitatea și fiabilitatea informațiilor și organizează rețele private virtuale (VPN), care sunt o asociere rețele locale sau computere individuale conectate la o rețea publică într-un singur securizat rețea virtuală. Pentru a gestiona o astfel de rețea, se folosește de obicei un software special (centrul de control), care asigură gestionarea centralizată a politicilor locale de securitate pentru clienții VPN și gateway-uri cripto, le trimite informații cheie și noi date de configurare și menține jurnalele de sistem.

Scrieți o recenzie despre articolul „Crypto Gateway”

Note

Literatură

Jdanov, O. N., Zolotarev, V. V.. - Krasnoyarsk: SibGAU, 2007. - 217 p.

Legături

. logic-soft. Consultat la 28 februarie 2012. .
. Compania de cod de securitate. Consultat la 28 februarie 2012. .
Constantin Kuzovkin.. i-teco. Consultat la 28 februarie 2012. .

Un fragment care caracterizează Crypto Gateway

„Qui s"scuse - s"accuse, [Cine își cere scuze, se învinovățește.] - a spus Julie, zâmbind și fluturând scamele și, ca să aibă ultimul cuvânt, a schimbat imediat conversația. „Ce, am aflat astăzi: biata Marie Volkonskaya a sosit ieri la Moscova. Ai auzit că și-a pierdut tatăl?
- Serios! Unde este ea? „Mi-ar plăcea foarte mult să o văd”, a spus Pierre.
– Am petrecut seara cu ea ieri. Astăzi sau mâine dimineață merge în regiunea Moscovei cu nepotul ei.
- Ei bine, ce mai face? – spuse Pierre.
- Nimic, sunt trist. Dar știi cine a salvat-o? Acesta este un întreg roman. Nicolae Rostov. Au înconjurat-o, au vrut să o omoare, și-au rănit oamenii. S-a repezit și a salvat-o...
— Încă un roman, spuse milițianul. „Această fuga generală a fost făcută în mod hotărât pentru ca toate miresele bătrâne să se căsătorească.” Catiche este una, prințesa Bolkonskaya este alta.
„Știi că eu chiar cred că ea este un petit peu amoureuse du jeune homme.” [un pic îndrăgostit de un tânăr.]
- Bine! Amenda! Amenda!
– Dar cum poți spune asta în rusă?...

Când Pierre s-a întors acasă, i s-au dat două afișe de Rastopchin care fuseseră aduse în acea zi.
Primul spunea că zvonul că contele Rostopchin i s-a interzis să părăsească Moscova este nedrept și că, dimpotrivă, contele Rostopchin s-a bucurat că doamnele și soțiile de negustor părăsesc Moscova. „Mai puțină frică, mai puține știri”, a spus afișul, „dar răspund cu viața mea că nu va fi niciun răufăcător la Moscova”. Aceste cuvinte i-au arătat clar lui Pierre pentru prima dată că francezii vor fi la Moscova. Al doilea afiș spunea că apartamentul nostru principal era în Vyazma, că contele Wittschstein i-a învins pe francezi, dar că, din moment ce mulți locuitori vor să se înarmeze, există arme pregătite pentru ei în arsenal: sabii, pistoale, arme, la care locuitorii le pot obține. un pret ieftin. Tonul afișelor nu mai era la fel de jucăuș ca în conversațiile anterioare ale lui Chigirin. Pierre s-a gândit la aceste afișe. Evident, acel nor groaznic de tunete, pe care l-a chemat cu toată puterea sufletului și care în același timp i-a stârnit groază involuntară – evident că acest nor se apropia.
„Ar trebui să mă înrol în armată și să merg la armată sau să aștept? – Pierre și-a pus această întrebare pentru a suta oară. A luat un pachet de cărți întins pe masă și a început să joace solitaire.
„Dacă iese acest solitaire”, își spuse, amestecând pachetul, ținând-o în mână și ridicând privirea, „dacă iese, înseamnă... ce înseamnă că nu a avut timp?” hotărăște ce înseamnă atunci când în spatele ușii biroului s-a auzit o voce a prințesei celei mai în vârstă întrebând dacă poate intra.
— Atunci va însemna că trebuie să merg la armată, termină Pierre pentru sine. „Intră, intră”, a adăugat el, întorcându-se către prinț.
(O prințesă cea mai mare, cu o talie lungă și o față pietrificată, a continuat să locuiască în casa lui Pierre; cei doi mai tineri s-au căsătorit.)
— Iartă-mă, verișoare, că am venit la tine, spuse ea cu o voce emoționată de reproș. - La urma urmei, trebuie să ne hotărâm în sfârșit asupra a ceva! Ce va fi? Toată lumea a părăsit Moscova, iar oamenii se revoltă. De ce rămânem?
„Dimpotrivă, totul pare să fie în regulă, ma cousine”, a spus Pierre cu acel obicei al jucăușului pe care Pierre, care și-a îndurat mereu jenat rolul de binefăcător în fața prințesei, și-a dobândit-o în relația cu ea.
- Da, e bine... bunăstare! Varvara Ivanovna mi-a spus astăzi cât de diferite sunt trupele noastre. Cu siguranță îl poți atribui onoarei. Iar poporul s-a răzvrătit complet, nu mai ascultă; Și fata mea a început să fie nepoliticos. În curând vor începe să ne bată și pe noi. Nu poți merge pe străzi. Și cel mai important, francezii vor fi aici mâine, la ce să ne așteptăm! „Întreb un lucru, verișoare,” spuse prințesa, „ordonați să fiu dus la Sankt Petersburg: orice aș fi, nu pot trăi sub stăpânirea lui Bonaparte”.
- Haide, mamă, de unde îți iei informațiile? Împotriva…
- Nu mă voi supune lui Napoleon al tău. Alții o vor... Dacă tu nu vrei să o faci...
- Da, o voi face, o voi comanda acum.
Prințesa era aparent supărată că nu era pe nimeni pe care să fie supărată. S-a așezat pe un scaun, șoptind ceva.
„Dar acest lucru vă este transmis incorect”, a spus Pierre. „Totul este liniștit în oraș și nu există niciun pericol.” Citeam tocmai acum...” Pierre îi arătă prințesei afișele. – Contele scrie că răspunde cu viața că inamicul nu va fi la Moscova.
„Oh, acest conte al tău”, a spus prințesa furioasă, „este un ipocrit, un răufăcător care el însuși a îndemnat oamenii să se răzvrătească”. Nu el a fost cel care a scris în afișele alea stupide că oricine ar fi, târăște-l de creastă până la ieșire (și ce prost)! Cine o va lua, spune el, va avea cinste și glorie. Deci am fost destul de fericit. Varvara Ivanovna a spus că oamenii ei aproape că au ucis-o pentru că vorbea franceză...
„Da, este așa... iei totul foarte la inimă”, a spus Pierre și a început să joace solitaire.

Articolul descrie pe scurt tendințele de pe piața globală VPN, examinează cripto-gateway-urile populare prezentate pe piața rusă și oferă caracteristicile lor cheie.

Introducere

Gateway criptografic (gateway criptografic, router cripto, gateway VPN) este un complex hardware și software pentru protecția criptografică a traficului transmis prin canalele de comunicație prin criptarea pachetelor folosind diverse protocoale.

Gateway-ul cripto este conceput pentru a oferi securitatea informatiei organizațiilor atunci când transmit date prin canale de comunicare deschise.

Gateway-urile cripto disponibile pe piața modernă oferă următoarele funcții de bază:

transparență pentru NAT;
ascunderea topologiei rețelei prin încapsularea traficului într-un tunel criptat;
asigurarea integrității și confidențialității pachetelor IP;
autentificarea nodurilor și utilizatorilor de rețea securizate.

Întreprinderi de diferite dimensiuni, agentii guvernamentale, companiile private sunt principalele categorii de consumatori cripto gateway.

Astăzi, funcționalitatea gateway VPN este o parte integrantă a aproape oricărui dispozitiv de rețea, fie că este vorba despre un router la nivel de corporație, un router Wi-Fi de acasă sau firewall. Luând în considerare această specificitate, reprezentanții cheie ai pieței ruse care folosesc algoritmul de criptare GOST, precum și câteva exemple străine ca alternativă, vor fi luați în considerare mai jos.

Pe o linie separată, am dori să remarcăm prezența pe piață a soluțiilor de acces la distanță securizat bazate pe protocolul TLS (gateway-uri TLS) atât de la producătorii ruși, cât și de la cei străini. Ele nu sunt considerate în domeniul de aplicare al acestei revizuiri.

Piața globală a gateway-urilor cripto

Continuitatea afacerii pentru orice companie distribuită geografic este întotdeauna asociată cu asigurarea protecției informațiilor transmise. Diverse dispozitive VPN au rezolvat această problemă de mult timp. Ele diferă semnificativ în implementarea lor: acestea pot fi soluții specializate, soluții bazate pe sisteme software și hardware, precum firewall-uri/routere, sau sisteme complet software.

Produse similare sunt folosite pe piata globala de companii din diverse domenii de activitate: asistenta medicala, intreprinderi industriale, companii de transport, agentii guvernamentale si multe altele.

În cele mai multe cazuri, clientul trebuie să rezolve una sau mai multe dintre următoarele probleme:

protecția unei rețele corporative distribuite în diverse topologii;
conectarea utilizatorilor de la distanță la rețeaua corporativă (inclusiv de pe dispozitive mobile);
protecția stratului de legătură.

VPN SSL s-a impus ferm pe piața globală, după cum a confirmat Alliedmarketresearch. Potrivit acestora, piața globală de VPN SSL a valorat mai mult de 3 miliarde de dolari în 2016. Creștere proiectată până în 2023 - până la 5,3 miliarde.

Printre jucătorii cheie de pe piața globală, pozițiile de lider sunt ocupate de Cisco Systems, Citrix Systems, Pulse Secure, F5 Networks.

Figura 1 demonstrează în mod clar segmentele cheie de creștere ale pieței globale VPN SSL:

modul client subțire;
modul de tunel complet;
modul fără client.

Piața rusă de gateway criptografic

În Rusia, principalii consumatori de cripto-gateway-uri sunt agențiile guvernamentale, precum și organizațiile care sunt operatori de date personale. Pe teritoriul țării noastre există mai multe reglementări care definesc criteriile după care instrumentele de securitate a informațiilor pot fi folosite pentru a rezolva anumite probleme.

Astfel de documente includ următoarele:

Legea federală din 27 iulie 2006 nr. 152-FZ „Cu privire la datele cu caracter personal”.
Decretul Guvernului Federației Ruse din 1 noiembrie 2012 nr. 1119 „Cu privire la aprobarea cerințelor pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal”.
Ordinul FSTEC al Rusiei din 11 februarie 2013 nr. 17 „Cu privire la aprobarea cerințelor pentru protecția informațiilor care nu constituie secret de stat conținute în sistemele informaționale de stat”.
Ordinul FSTEC al Rusiei din 18 februarie 2013 nr. 21 „Cu privire la aprobarea compoziției și conținutului măsurilor organizatorice și tehnice pentru a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal”.
Reglementări privind dezvoltarea, producerea, implementarea și funcționarea mijloacelor de criptare (criptografice) de securitate a informațiilor (Regulamentele PKZ-2005).

Una dintre principalele cerințe pentru gateway-uri cripto este prezența certificatelor de conformitate valabile de la autoritățile de reglementare a pieței - FSB din Rusia și FSTEC din Rusia. Un certificat de la FSB al Rusiei pentru conformitatea cu cerințele pentru mijloacele de criptare (criptografice) este emis numai dacă gateway-ul cripto este implementat folosind algoritmi de criptare autohtoni în conformitate cu GOST 28147-89.

Producătorii străini acceptă extrem de rar criptarea GOST și primesc astfel de certificate de conformitate pentru soluțiile lor, care sunt utilizate în mod activ de furnizorii ruși de instrumente de protecție a informațiilor criptografice (CIPF).

Separat, este necesar să remarcăm tendința legată de securitatea cibernetică sisteme automatizate controlul proceselor (APCS). Astăzi, unii producători de CIPF oferă pieței gateway-uri cripto într-un design sigur care îndeplinește cerințele de rezistență la praf și apă și intervale speciale de temperatură. Au apărut și acte de reglementare care formulează cerințe pentru protecția informațiilor în astfel de sisteme:

Legea federală din 26 iulie 2017 nr. 187-FZ „Cu privire la securitatea infrastructurii informaționale critice a Federației Ruse”.
Ordinul FSTEC al Rusiei din 14 martie 2014 nr. 31 „Cu privire la aprobarea cerințelor pentru asigurarea protecției informațiilor în sistemele automate de control pentru producție și procese tehnologice la unități critice, instalații potențial periculoase, precum și instalații care prezintă o creștere pericol pentru viața și sănătatea oamenilor și a mediului mediu natural.”

Acest lucru ne permite să vorbim despre perspectivele serioase ale acestui domeniu pentru producătorii de protecție a informațiilor criptografice în ceea ce privește dezvoltarea produselor lor.

Să aruncăm o privire mai atentă la caracteristicile unor criptogate rusești și străine.

Gateway-uri cripto rusești

Atlix-VPN („STC Atlas”)

Complexul software și hardware (SHC) „Atlix-VPN” este un produs al companiei ruse „NTC Atlas”. PAC este conceput pentru a asigura crearea și interacțiunea rețelelor private virtuale (VPN) bazate pe protocolul IPsec și standardul X.509 folosind algoritmi criptografici ruși.

Standardele acceptate sunt GOST 28147-89, GOST R 34.11-94, GOST R 34.10-2001.

O caracteristică distinctivă este modul în care introduceți informațiile cheie necesare implementării funcțiilor acestuia. În acest scop, se folosește „Cardul inteligent rusesc” (RIC) - un card cu microprocesor dezvoltat de „STC Atlas”, JSC „Sisteme și tehnologii software”, JSC „Angstrem”. Cardul se bazează pe un microprocesor casnic produs de Angstrem OJSC.

Din punct de vedere hardware, Atlix-VPN operează pe un server al unei platforme specializate, fixe. PAK oferă performanțe de criptare relativ scăzute în raport cu standardele actuale - 85 Mbit/s. Această viteză și tip de platformă hardware se datorează clasei de securitate ridicate conform cerințelor FSB al Rusiei, care este furnizată de PAK - KV2.

Figura 2. PAK „Atlix-VPN”

Atlix-VPN are următoarele certificate de conformitate valabile:

FSB al Rusiei Nr. SF/124-2958, confirmând că PAK îndeplinește cerințele pentru mijloacele de criptare (criptografice) din clasa KB2 și poate fi utilizat pentru protecția criptografică (criptare și protecție imitativă a traficului IP) a informațiilor care nu conține informații constituirea unui secret de stat;
FSTEC din Rusia nr. 1864, confirmând că PAK respectă cerințele documentului de orientare „Mijloace tehnologie informatică. Firewall-uri. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații” - conform clasei a IV-a de securitate.

Mai multe informații despre software-ul Atlix-VPN pot fi găsite pe site-ul web al producătorului.

ZASTAVA (ELVIS-PLUS)

Sistemele software și hardware ZASTAVA sunt dezvoltate de compania rusă ELVIS-PLUS. PAC oferă protecție sistemelor de informații corporative la nivel de rețea folosind tehnologii de rețea virtuală securizată (VPN) bazate pe protocoalele IPsec/IKE. ZASTAVA nu este doar un gateway VPN cu suport pentru algoritmi criptografici interni, ci și un firewall. ZASTAVA este singurul produs rusesc care implementează versiunea actuală a protocolului IKE (IKEv2). Majoritatea furnizorilor ruși folosesc protocolul IKEv1, care a fost declarat oficial caduc de IETF cu mai bine de 10 ani în urmă, inclusiv din cauza unor probleme de securitate. În comparație cu acesta, protocolul IKEv2 este mai rezistent la atacurile de denial of service, mai rezistent la problemele de rețea și mai flexibil în utilizare. Protocolul IKEv2 continuă să fie dezvoltat în mod activ în IETF, incluzând astfel de domenii avansate în criptografie, cum ar fi, de exemplu, protecția datelor împotriva calculatoare cuantice sau folosirea principiului dovezii de lucru pentru a contracara atacurile DoS. ELVIS-PLUS acceptă participarea activăîn aceste lucrări și adaugă prompt suport pentru noi capabilități de protocol la ZASTAVA PAK.

ZASTAVA constă din trei componente separate:

ZASTAVA-Client implementează funcționalitatea unui client de acces la distanță prin VPN;
ZASTAVA-Office implementează funcțiile unui gateway VPN și firewall;
ZASTAVA-Management îndeplinește funcțiile unui Centru de management al politicii de securitate pentru managementul unificat al securității rețelei.

Caracteristici distinctive:

utilizarea modulelor criptografice externe care implementează standardele interne GOST R 34.10-2001, GOST R 34.10-2012, GOST R 34.11-2012, GOST 28147-89, în special, CIPF „CryptoPro CSP”;
acceptă nu numai algoritmi criptografici interni, ci și străini - RSA, DH, ECDH, DES, 3DES, AES, SHA1, SHA2;
autentificare partener folosind certificate X.509;
suport pentru managementul centralizat al PAK prin produsul ZASTAVA-Management;
implementarea funcționalității unui cluster de failover care funcționează în modul „activ/pasiv”;
în funcție de platforma hardware, performanța de criptare poate varia de la 40 Mbit/s la 4 Gbit/s;
Pentru a asigura criptarea canalului de comunicare de la stațiile de lucru client la pachetul software, se folosește propria noastră dezvoltare - produsul ZASTAVA-Client.

ZASTAVA are mai multe certificate valabile de conformitate cu cerințele FSB din Rusia și FSTEC din Rusia, în special:

FSB al Rusiei nr. SF/114-3067, care confirmă respectarea cerințelor privind mijloacele de protecție criptografică a informațiilor care nu conțin informații care constituie secret de stat, clasa KS3; poate fi utilizat pentru protecția criptografică (criptarea pachetelor IP pe baza protocolului IPsec ESP, calculul unei funcții hash pentru pachetele IP bazat pe protocolul IPsec AH și/sau protocolul IPsec ESP, autentificarea criptografică a abonaților la stabilirea unei conexiuni pe baza Protocolul IKE v1 sau protocolul IKE v2) informații care nu conțin informații care constituie un secret de stat;
FSTEC din Rusia nr. 2573, care certifică că software-ul respectă cerințele documentului de orientare „Echipamente informatice. Firewall-uri. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații” pentru clasa de securitate 2.

Mai multe informații despre PAK ZASTAVA pot fi găsite pe site-ul producătorului.

„Continent” („Codul de securitate”)

Complexul de criptare hardware-software „Continent” (APKSH) este un gateway criptografic produs de compania rusă Security Code. APKSh oferă firewall și protecție criptografică a canalelor de comunicare deschise în conformitate cu GOST 28147-89.

APKSh vă permite să oferiți protecție trafic de rețeaîn rețelele multiservicii, segmente de rețea separate, organizarea accesului securizat de la distanță la rețeaua locală, implementarea interconectarii cu alte rețele securizate (construite pe baza acestui produs). APKSH funcționează pe FreeBSD.

APKSh are următoarele caracteristici:

sprijină gestionarea și monitorizarea centralizată folosind produsul Continent Network Management Center;
redundanța hardware a APKSH pentru a implementa o configurație tolerantă la erori;
gama de modele APKSH include o versiune pentru protejarea informațiilor din sistemele industriale;
larg gama de modele cu suport pentru viteze de criptare de la 10 Mbit/s la 3,5 Gbit/s la utilizarea unei soluții autonome (până la 10 Gbit/s - la distribuirea traficului criptat între o fermă de la APKSH);
suport pentru o rețea transparentă la nivel de legătură de date (VPN L2);
filtrarea traficului la nivel de aplicație de rețea (DPI);
filtrarea comenzilor de protocol HTTP, FTP;
filtrare URL bazată pe liste statice și expresii regulate;
gateway-urile de performanță medie și înaltă (de la IPC-400 și mai sus) sunt implementate într-un factor de formă 2U;
Gama de modele APKSh include platforme cu până la 34 de interfețe GbE, inclusiv până la 4 optice de 10 Gb SFP+, până la 32 optice de 1 Gb SFP;
Produsul software Continent-AP este utilizat ca client VPN.

Figura 3. APKSh „Continent” IPC -3034

Trebuie remarcat faptul că APKSh vine cu un mijloc încorporat de protecție împotriva accesului neautorizat - complexul hardware și software Sobol. De asemenea, la nivelul formularului APKSH și al manualului administratorului, există o restricție asupra cantitate maxima gateway-uri cripto într-o rețea cu un „Continent Network Management Center”.

APKSh este inclus în registrul software-ului autohton (Nr. 310) și are o serie de certificate de conformitate valabile, inclusiv:

FSB al Rusiei Nr. SF/124-2617, care confirmă conformitatea cu cerințele pentru mijloacele de criptare (criptografice) din clasa KS3 și poate fi utilizat pentru protecția criptografică (crearea și gestionarea informațiilor cheie, criptarea și protecția imitațională a datelor transmise în pachete IP prin rețele generale de date) de informații, care nu conține informații care constituie secret de stat;
FSTEC din Rusia nr. 3008, care confirmă conformitatea cu cerințele pentru firewall-urile de tip „A” (IT.ME.A3.PZ) și instrumentele de detectare a intruziunilor la nivel de rețea (IT.SOV.S3.PZ) pentru clasa 3 (documentul nu este disponibil pentru vizualizare pe site-ul producătorului, disponibil la cerere).

Mai multe informații despre APKSh „Continent” pot fi găsite pe site-ul producătorului.

FPSU-IP (AMIKON, InfoCrypt)

Complexul software și hardware „Packet Filter” stratul de rețea- Internet Protocol” (FPSU-IP) produs de compania rusă AMIKON cu participarea InfoCrypt. PAC este un firewall și un instrument de rețea privată virtuală (VPN).

FPSU-IP acceptă standardele interne GOST 28147-89, GOST R 34.10-2012, GOST R 34.11-2012, implementate folosind CIPF „Tunnel 2.0” produs de „InfoCrypt” (în ceea ce privește criptografia). PAK funcționează pe Linux.

FPSU-IP are următoarele caracteristici:

acceptă capacitatea de a funcționa în modul de așteptare la cald (oferit de producător ca opțiune);
implementat pe baza diverselor platforme hardware de dimensiuni atât 1U cât și 2U;
folosește propriul protocol VPN;
Software-ul „FPSU-IP/Client” este utilizat ca componentă client la distanță (activarea capacității de a interacționa cu software-ul client pe PAK este oferită de producător ca opțiune);
Gama de modele oferă viteze de criptare a datelor de la 10 Mbit/s la 12 Gbit/s (cu o dimensiune a pachetului IP de 1450 de octeți și 56 de fire de calcul).

Figura 4. Gateway FPSU-IP

FPSU-IP este o soluție bazată pe diverse platforme hardware și software cu un CIPF certificat încorporat.

CIPF încorporat are un certificat valabil al FSB al Rusiei Nr. SF/124-3060 și îndeplinește cerințele pentru mijloacele de protecție a informațiilor criptografice destinate să protejeze informațiile care nu conțin informații care constituie secret de stat, clasele KS1, KS2, KS3 .

Mai multe informații despre FPSU-IP pot fi găsite pe site-ul web al producătorului.

ALTELL NEO („AltEl”)

Complexul hardware și software ATLELL NEO fabricat de AltEl.

Funcționalitatea cheie este firewall-ul combinată cu capacitatea de a construi canale de comunicații sigure. ALTELL NEO este, de asemenea, poziționat ca o soluție UTM (Unified Threat Management), combinând nu numai capacitățile unui firewall și gateway VPN, ci și instrumente de detectare și prevenire a intruziunilor, filtrare de conținut și protecție împotriva malware.

Produsul este o platformă hardware combinată cu software certificat încorporat. IPsec și OpenVPN sunt acceptate ca protocoale de criptare folosind GOST 28147-89.

Platformele oferite de producător, cu excepția celor mai tinere (100 și 110), pot funcționa folosind una dintre cele trei versiuni de software: FW (firewall), VPN (cryptogate), UTM. Fiecare versiune de software ulterioară include funcționalitatea celor anterioare.

ALTELL NEO are următoarele caracteristici:

o gamă largă de platforme hardware de diverse configurații;
Platforma hardware de clasă Enterprise (model 340, factor de formă 2U) are o densitate crescută a interfețelor de rețea (până la 65 de porturi RJ45 GbE/până la 64 de porturi SFP GbE/până la 16 porturi SFP+ 10 GbE);
performanța de criptare (în funcție de platforma hardware) atunci când se utilizează algoritmul IPsec variază de la 18 Mbit/s la 2,4 Gbit/s, OpenVPN - de la 14 Mbit/s la 1,4 Gbit/s.

Figura 5. Gateway ALTELL NEO 340

Software-ul utilizat ca parte a soluției este inclus în registrul software-ului autohton (Nr. 3768) și are următoarele certificate de conformitate:

FSB al Rusiei Nr. SF/SZI-0074, care confirmă conformitatea cu cerințele pentru firewall-urile din clasa de securitate 4 și că software-ul poate fi utilizat pentru a proteja informațiile împotriva accesului neautorizat în sistemele de informații și telecomunicații ale organismelor guvernamentale ale Federației Ruse;
FSTEC din Rusia Nr. 2726, care atestă că software-ul respectă cerințele documentului de reglementare „Echipamente informatice. Firewall-uri. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații” - conform clasei de securitate 2.

Trebuie remarcat faptul că, la momentul publicării revizuirii, nu a fost posibil să se găsească în sursele deschise un certificat valabil al FSB al Rusiei pentru conformitatea cu cerințele pentru mijloacele de criptare (criptografice) din clasele KS1/KS2/KS3.

Mai multe informații despre ALTELL NEO pot fi găsite pe site-ul web al producătorului.

S-Terra Gateway 4.1 („S-Terra CSP”)

Produsul S-Terra Gateway, produs de compania rusă S-Terra SSP, este un pachet software (denumit în continuare PC) bazat pe diverse platforme hardware.

SS-Terra Gateway 4.1 oferă criptare în conformitate cu GOST 28147-89 și protecție simulată a traficului transmis prin canale de comunicație deschise folosind protocolul IPsec. Pe lângă VPN, produsul are și funcționalitate firewall. Debian este folosit ca sistem de operare.

Funcțiile criptografice din PC sunt implementate de o bibliotecă cripto-proprietă - S-Terra ST, care este compatibilă cu CryptoPro CSP CIPF.

S-Terra Gateway 4.1 are următoarele caracteristici principale:

suportă centralizat telecomanda prin sistemul „S-Terra KP”;
performanța soluției de criptare de la 60 Mbit/s la 2,5 Gbit/s, în funcție de modelul gateway-ului și platforma hardware;
posibila executare in forma mașină virtuală(S-Terra Virtual Gateway);
este posibil să instalați PC-ul S-Terra Gateway pe AP-ul clientului;
Producătorul oferă o soluție pentru protejarea unui canal de comunicație de 10 Gbit/s la nivelul L2, prin plasarea în două centre de date fiecare a 4 perechi de gateway-uri model 7000 High End cu modulul software S-Terra L2 și două perechi de switch-uri (luând în țin cont de faptul că traficul pe canalul de comunicații protejat este predominant TCP, fără telefonie IP).

Figura 6. S-Terra Gateway 1000

S-Terra Gateway 4.1 este certificat de FSB al Rusiei ca CIPF în clasele KS1, KS2, KS3 și ca firewall de clasa 4, precum și de FSTEC din Rusia ca firewall de clasa 3 (ME 3). Certificatele includ:

FSB al Rusiei Nr. SF/124-2517, care confirmă conformitatea cu cerințele pentru mijloacele de criptare (criptografice) din clasa KS3;

FSB al Rusiei Nr. SF/525-2663, care confirmă conformitatea cu cerințele pentru firewall-uri din clasa de securitate 4;

FSTEC din Rusia Nr. 3370, care atestă că S-Terra Gateway respectă cerințele documentului de reglementare „Echipamente informatice. Firewall-uri. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații” - conform clasei de securitate 3.

Mai multe informații despre S-Terra Gateway pot fi găsite pe site-ul web al producătorului.

Diamond VPN (TCS)

Complexul hardware și software Diamond VPN/FW produs de TCC este o soluție UTM productivă care combină funcțiile unui firewall, gateway VPN și sistem de detectare a intruziunilor (IDS).

PAK oferă criptare conform GOST 28147-89 folosind protocolul DTLS.

Principalele caracteristici sunt:

suport pentru crearea unei configurații tolerante la erori în modul „activ/pasiv”;
disponibilitatea unei versiuni (model 7141) care oferă performanțe ridicate (viteze de criptare de până la 16 Gbit/s, firewalling până la 40 Gbit/s);
densitate mare de porturi în configurația hardware maximă (până la 32 porturi RJ45 GbE/până la 32 porturi SFP GbE/până la 16 porturi 10G SFP+);
prezența unui gateway cripto de calitate industrială (modelul Diamond VPN/FW Industrial) pentru a proteja informațiile din sistemul automat de control al procesului.

Figura 7. Pachetul Diamond VPN/FW

Software-ul este inclus în registrul software-ului intern (nr. 1425) și are un certificat valabil de la Serviciul Federal de Control Tehnic și Export al Rusiei nr. 2260, care confirmă conformitatea cu cerințele documentului de guvernare „Echipamente informatice. Firewall-uri. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații” - conform clasei de securitate 2.

Trebuie remarcat faptul că certificatul actual al FSB al Rusiei nr. 124-2702 pentru conformitatea cu cerințele pentru mijloacele de criptare (criptografice) din clasa KS1 și KS2 (în funcție de opțiunile de implementare) are CIPF Dcrypt 1.0, care implementează funcții de criptare și semnătură electronică ca parte a pachetului software.

Mai multe informații despre Diamond VPN/FW pot fi găsite pe site-ul producătorului.

Dionis-NX („Factor-TS”)

Complexul hardware și software Dionis-NX este o dezvoltare a companiei ruse Factor-TS. PAC este un dispozitiv UTM care poate fi folosit ca firewall, cripto router, sistem de detectare și prevenire a intruziunilor.

PAK vă permite să construiți tuneluri VPN în conformitate cu GOST 28147-89 folosind protocoalele GRE, PPTP, OpenVPN.

Are următoarele caracteristici distinctive:

producătorul oferă cinci opțiuni pentru platformele hardware care oferă viteze de criptare de la 100 Mbit/s la 10 Gbit/s;
suport pentru execuția clusterului într-o configurație tolerantă la erori (mod activ/pasiv);
suport pentru interacțiunea cu software-ul Disek, care implementează funcționalitatea unui client VPN.

Dionis-NX este inclus în registrul software-ului intern (nr. 2772) și are un certificat actual al FSTEC al Rusiei nr. 2852, care confirmă conformitatea cu cerințele documentului de guvernare „Echipamente informatice. Firewall-uri. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații” - conform clasei de securitate 2.

Trebuie remarcat faptul că certificatul actual al FSB al Rusiei nr. 124-2625 pentru conformitatea cu cerințele pentru mijloacele de criptare (criptografice) din clasa KS1 și KS3 (în funcție de opțiunile de implementare) este deținut de DioNIS-NX CIPF, care implementează funcții de criptare ca parte a pachetului software.

Mai multe informații despre „Dionis-NX” pot fi găsite pe site-ul web al producătorului.

Coordonator ViPNet HW („InfoTeKS”)

Complexul software și hardware ViPNet Coordinator HW a fost dezvoltat de compania rusă InfoTeKS și este un gateway cripto și un firewall certificat.

ViPNet Coordinator HW oferă protecție - criptarea datelor transmise pe diverse canale de comunicație folosind construcția VPN (atât la nivel de rețea, cât și la nivel de legătură de date ale modelului OSI - L3, L2 VPN) în conformitate cu GOST 28147-89. PAC vă permite să organizați accesul securizat atât la centrul de date, cât și la infrastructura corporativă. PAC-urile de performanță medie și înaltă sunt disponibile într-un factor de formă 1U. Funcționează pe baza unui sistem de operare Linux adaptat.

ViPNet Coordinator HW are următoarele caracteristici:

pentru a construi un VPN se folosește protocolul proprietar ViPNet VPN, care asigură interacțiune securizată nestingherită indiferent de tipul de canal de comunicație, roaming automat între canalele de comunicare;
suport pentru lucrul în rețele moderne multiservicii (folosind protocoale Cisco SCCP, H.323);
performanta de criptare de la 50 Mbit/s la 5,5 Gbit/s (pentru solutii standalone) in functie de model;
suport pentru configurație tolerantă la erori (mod activ/pasiv) pentru medii și nivel înalt(de la modelul HW1000);
suport pentru gestionarea centralizată și actualizarea de la distanță folosind software-ul ViPNet Administrator;
suport pentru interacțiunea cu componentele client (software ViPNet Client) pe diverse sisteme de operare ah (Windows, Linux, macOS, iOS, Android).

Figura 8. Pachetul software ViPNet Coordinator HW1000

Producătorul PAK utilizează platforme hardware cu configurație fixă în soluțiile sale, ceea ce permite clasa inalta protecția cripto (KS3) fără utilizarea dispozitive suplimentare, cum ar fi modulele de pornire de încredere hardware-software (HTLM).

ViPNet Coordinator HW este inclus în registrul software-ului autohton (Nr. 2798) și are diverse certificate de conformitate valabile, printre care:

FSB al Rusiei Nr. SF/124-2981, care confirmă conformitatea cu cerințele pentru mijloacele de criptare (criptografice) din clasa KS3;
FSB al Rusiei nr. SF/525-3007, care confirmă conformitatea cu cerințele pentru firewall-uri de clasa de securitate 4;
FSTEC din Rusia nr. 3692, care atestă că PAK este un firewall de tip A și îndeplinește cerințele documentelor „Cerințe pentru firewall” (FSTEC din Rusia, 2016) și „Profil de protecție al unui firewall de tip A din clasa a patra de protecție. IT.ME.A4.PZ.”

Mai multe informații despre ViPNet Coordinator HW pot fi găsite pe site-ul producătorului.

Gateway-uri cripto străine

În această secțiune, vom arunca o privire mai atentă la principalii producători străini de produse de securitate a informațiilor. O varietate de soluții software și hardware sunt prezentate aici.

Producătorii enumerați mai jos oferă soluții UTM, „all-in-one” „combină” pieței moderne. Iată funcționalitatea NGFW (Next Generation Firewall), IDS/IPS (sisteme de detectare și prevenire a intruziunilor), antivirus de streaming și, desigur, un gateway VPN. Acesta din urmă este de un interes deosebit pentru noi în contextul acestei revizuiri.

Trebuie remarcat faptul că furnizorii străini pentru VPN-ul lor folosesc exclusiv algoritmi de criptare străini - DES, 3DES, AES. În consecință, clientul țintă al unor astfel de soluții (în ceea ce privește VPN) din Rusia nu este o agenție guvernamentală sau o organizație care operează în conformitate cu reglementările specificate la începutul revizuirii.

Deoarece piața produselor de cripto-protecție din Federația Rusă este reglementată, producătorii străini trebuie să-și importe oficial produsele în conformitate cu toate standardele și cerințele actuale. În acest caz, sunt posibile două opțiuni:

import în regim simplificat (prin notificare, registrul este disponibil pe site-ul Uniunii Economice Eurasiatice);
import sub licență de la FSB al Rusiei sau Ministerul Industriei și Comerțului din Rusia.

Datorită utilizării algoritmilor criptografici străini în sistemul de certificare al FSB al Rusiei, soluțiile discutate în această secțiune nu sunt prezentate.

Soluții Cisco VPN (Cisco ASA 5500-X, Cisco Firepower, Cisco ASAv, Cisco IOS VPN)

Compania internațională Cisco Systems are un portofoliu mare de soluții pentru construirea de VPN-uri, care diferă nu numai prin caracteristicile de implementare ale acestei caracteristici, ci și prin funcționalitatea lor de bază. De exemplu, Cisco ASA 5500-X sau Cisco Firepower sunt gateway-uri de securitate multifuncționale care includ VPN, care pot fi utilizate în mod deosebit de eficient pentru Remote Access VPN. Dar routerul Cisco ISR/ASR/GSR/CSR, conceput în primul rând pentru conectarea la Internet, are capabilități avansate de VPN Site-to-Site.

Cisco Adaptive Security Appliance (ASA) și Cisco Firepower sunt unul dintre produsele principale în direcția de securitate a informațiilor Cisco. Aceste soluții, precum și gateway-ul și routerul de securitate ASAv virtualizat cu funcție IOS VPN, vă permit să implementați comunicații VPN folosind IPSec, IPSec RA, SSL, SSL fără client, DTLS la viteze de la 100 Mbit/s la 51 Gbit/s și cu suport pentru până la 60.000 de utilizatori la distanță.

Caracteristicile distinctive sunt

Rezervare. Există două opțiuni: o soluție tolerantă la erori (failover) și clustering (clustering), inclusiv geo-distribuit. În primul caz, două dispozitive sunt combinate într-unul logic. Sunt disponibile două moduri de operare: activ/standby și activ/activ. În al doilea, este posibil să combinați până la 16 dispozitive ASA (pentru modelul 5585-X) într-unul logic. Această caracteristică poate îmbunătăți semnificativ performanța soluției.
Suportă tehnologii DMVPN, GET VPN, Easy VPN.
Optimizarea protecției traficului multimedia.
Suport pentru funcția VPN per aplicație (criptare diferențiată a traficului pentru diferite aplicații).
Suport pentru evaluarea conformității gazdei de la distanță ( dispozitiv mobil) cerințe de securitate înainte de a crea un tunel VPN.
Mecanisme de securitate suplimentare încorporate, cum ar fi o autoritate de certificare (CA) încorporată.
Disponibilitatea API-ului pentru integrarea cu sisteme externe de filtrare și management al serviciilor - proxy web, AAA și evaluarea conformității.
Integrare cu capacitățile de securitate ale platformei de securitate multifuncționale Cisco ASA 5500-X, Cisco Firepower sau router Cisco, Firewall și NGFW, NGIPS, subsistem anti-malware, subsistem de filtrare URL.

Figura 9. Cisco Firepower 9300

Cisco ASA 5500-X, Cisco Firepower sau Cisco ISR este gestionat local prin Cisco Adaptive Security Device Manager (ASDM), Cisco Firepower Device Manager sau Cisco Security Device Manager sau central prin Cisco Security Manager, Cisco Firepower Management Center sau Cisco Defense Orchestrator .

Pentru a conecta stațiile de lucru client la distanță, Cisco AnyConnect Secure Mobility Client localizat în rusă sau tehnologia Cisco SSL fără client, precum și cele încorporate în Apple iOS și Clienți Android VPN.

Soluțiile Cisco ASA 5500-X, Cisco Firepower și Cisco ISR au câteva zeci de certificate diferite de conformitate FSTEC, inclusiv nr. absența capacităților nedocumentate. Împreună cu compania S-Terra CSP, Cisco a dezvoltat un modul de criptare bazat pe algoritmi de criptare ruși (GOST 28147-89 etc.) și l-a certificat în FSB ca CIPF în clasele KS1/KS2. Acest modul este proiectat pentru un router de servicii integrate Cisco ISR, care poate fi folosit ca platformă pentru a rula alte soluții VPN pe acesta. În special, soluțiile comune Cisco ISR au fost integrate și testate cu soluții VPN VipNet și TSS.

Mai multe informații despre Cisco ASA 5500-X, Cisco Firepower, Cisco ISR pot fi găsite pe site-ul web al producătorului.

Soluții VPN F5 Networks

F5 Networks oferă soluții complete și dispozitive VPN independente. Din 2016, compania s-a concentrat pe soluții cuprinzătoare, iar gateway-urile VPN izolate sunt întrerupte treptat.

Produsul F5 Access Policy Manager (APM) este un modul software dedicat care include funcţionalitate VPN, precum și multe diverse funcții, inclusiv BIG-IP - un proxy complet între utilizatori și serverele de aplicații, oferind securitate, optimizarea traficului aplicației și echilibrarea încărcăturii.

Clientul VPN BIG-IP utilizează protocoale TLS și DTLS (Datagram TLS), ceea ce permite rularea aplicațiilor sensibile la latență. Acest client este disponibil pe toate platformele desktop și mobile comune.

Soluțiile BIG-IP funcționează pe baza propriului sistem de operare (OS) F5 TMOS. Printre avantajele sale se numără:

Un API deschis care vă permite să gestionați în mod flexibil fluxul de trafic și să creșteți productivitatea folosind API Control.
Controlul traficului se realizează folosind dispozitive F5, folosind un limbaj de scripting special iRules.
Șabloane iApps care vă permit să implementați și să gestionați servicii de rețea pentru anumite aplicații.

Până în prezent, ofertele F5 încep cu BIG-IP 1600 și se termină cu BIG-IP 11050, care este cel mai mare dispozitiv VPN independent al lor.

Cea mai mare soluție de server blade este Viprion 4800. Acceptă până la 30.000 de tranzacții SSL.

Figura 10. F5 Viprion 4800

Produsele F5 Networks nu sunt reprezentate în registrul de stat al instrumentelor de securitate a informațiilor certificate nr. ROSS RU.0001.01BI00 (FSTEC din Rusia).

Mai multe informații despre produsele F5 Networks pot fi găsite pe site-ul web al producătorului.

NetScaler (sisteme Citrix)

NetScaler este o linie de produse de securitate de rețea de la Citrix Systems. Soluțiile Citrix VPN sunt încorporate în produsul NetScaler Gateway. Gateway-ul NetScaler, ca toate echipamentele Citrix, este integrat în multe dintre liniile de produse ale companiei.

NetScaler Gateway oferă funcționalitate SSL VPN, inclusiv acces securizat la Citrix XenDesktop, XenApp, XenMobile, MS RDP, VMware Horizon, precum și aplicații web și resurse din rețeaua corporativă. Produsul oferă, de asemenea, acces securizat la rețea la orice server, împreună cu analiza și identificarea dispozitivului.

Citrix Gateway acceptă atât TLS, cât și DTLS, în funcție de cerințele dvs. de trafic.

Platforma MPX de vârf a produsului (5550) acceptă până la 1.500 de tranzacții SSL. Cel mai productiv (22120) - până la 560.000 de tranzacții SSL.

Figura 11. Citrix NetScaler MPX-8005

Gateway-urile Citrix NetScaler nu sunt reprezentate în registrul de stat al instrumentelor de securitate a informațiilor certificate nr. ROSS RU.0001.01BI00 (FSTEC din Rusia).

Mai multe informații despre produsele Citrix pot fi găsite pe site-ul web al producătorului.

Pulse Secure (Juniper Networks)

Pulse Secure este o serie de produse de la compania americană Juniper Networks. Funcționalitate cheie - VPN SSL.

Producătorul oferă patru sisteme software și hardware cu performanțe și factori de formă diferiți.

Modelul de configurare minimă (PSA300) oferă un debit de 200 Mbps pentru 200 de conexiuni SSL. Cea mai productivă soluție (PSA7000) este 10 Gbps pentru 25.000 de conexiuni SSL.

O caracteristică distinctivă a liniei Pulse Secure este prezența a două surse de alimentare în modelul PSA7000.

Figura 12. Pulse Secure Appliance 7000

Gateway-urile Pulse Secure nu sunt reprezentate în registrul de stat al instrumentelor de securitate a informațiilor certificate nr. ROSS RU.0001.01BI00 (FSTEC din Rusia).

Mai multe informații despre produsele Pulse Secure pot fi găsite pe site-ul producătorului.

SonicWALL

SonicWALL este o companie americană de soluții de securitate a rețelei. În 2012, compania a fost achiziționată de Dell Software Group. În 2016, Dell a vândut SonicWALL.

Compania oferă soluții de performanță variată. În cea mai mare parte, acestea sunt soluții UTM care implementează funcționalitatea NGFW, IPS, VPN și antivirusul de streaming.

În ceea ce privește VPN, producătorul acceptă IPSec, SSL. Soluția cu cea mai mare performanță, prezentată în figura de mai jos, oferă un transfer VPN de până la 14 Gbps. Numărul maxim de conexiuni VPN în acest caz este de 25.000.

Gateway-urile SonicWALL sunt controlate de propriul sistem de operare - Sonic OS.

Figura 13. Seria SonicWALL SuperMassive 9000

Gateway-urile SonicWALL nu sunt reprezentate în registrul de stat al instrumentelor de securitate a informațiilor certificate nr. ROSS RU.0001.01BI00 (FSTEC din Rusia).

Mai multe informații despre produsele SonicWALL pot fi găsite pe site-ul producătorului.

Concluzii

Un gateway criptografic nu este doar o soluție VPN specializată, ci și un produs multifuncțional care rezolvă o gamă largă de probleme de securitate a informațiilor pentru aproape orice întreprindere sau agenție guvernamentală. Procesul de implementare a cripto gateway-urilor poate fi complex, iar acest lucru necesită ca organizația să aibă în personal specialiști calificați.

Potrivit portalului de statistici Statista.com, în 2014, piața globală VPN valora 45 de miliarde de dolari. În același timp, până în 2019 este de așteptat să crească la 70 de miliarde. Acest lucru sugerează că dispozitivele pentru construirea de VPN-uri vor deveni din ce în ce mai solicitate de la an la an.

În ciuda faptului că pe teritoriul Federației Ruse, procesele de operare a mijloacelor de protecție criptografică sunt reglementate de „Regulamentele privind dezvoltarea, producerea, vânzarea și operarea mijloacelor de securitate a informațiilor de criptare (criptografice) (Regulamentul PKZ-2005)”, străine. dezvoltatorii au încă posibilitatea de a oferi produsele lor clienților ruși. În conformitate cu PKZ-2005, numai participanții la schimbul de informații (cu un număr de rezerve), dacă acestea nu sunt agenții guvernamentale, determină necesitatea protecției criptografice și selectează mijloacele de protecție criptografică utilizate.

În vigoare de la 1 ianuarie 2018 Legea federală Nr. 187-FZ „Cu privire la securitatea infrastructurii informaționale critice a Federației Ruse” (CII) va obliga companiile și instalațiile CII și complexul de combustibil și energie să informeze autoritățile despre incidente informatice și să prevină încercările ilegale de acces la informații. O astfel de inițiativă legislativă va crea oportunitate suplimentară pentru creșterea segmentului de criptoprotecție în următorii câțiva ani.

Gateway-urile cripto moderne interne câștigă din ce în ce mai mult funcționalități (Next Generation Firewall, IDS, IPS, antivirus de streaming), care abia ieri au fost oferite doar de producătorii străini. Concurența sporită și creșterea numărului de jucători de pe piață permite clientului să fie în cea mai avantajoasă poziție și să aleagă ceea ce se potrivește cu adevărat nevoilor și capacităților sale.

APKSH „Continent”IPC-25 Gateway cripto compact pentru un birou mic. APKSH „Continent” este un instrument puternic și flexibil pentru crearea de rețele private virtuale, permițându-vă să construiți VPN-uri de orice arhitectură. Oferă protecție criptografică a informațiilor (în conformitate cu GOST 28147–89) transmise prin canale de comunicație deschise între componentele VPN (locale retele de calculatoare, segmentele acestora și computerele individuale). criptează pachetele de date individuale cu chei unice, ceea ce garantează protecția împotriva decriptării datelor interceptate. Pentru a proteja împotriva accesului neautorizat, este prevăzut un sistem de filtrare a traficului. Suportă VoIP, conferințe video, GPRS, 3G, LTE, ADSL, Dial-Up și canale de comunicație prin satelit, tehnologie NAT/PAT pentru a ascunde structura rețelei.

APKSh „Continent” este conceput pentru a rezolva următoarele probleme tipice:

Protecția rețelei de-a lungul întregului perimetru
Oferă posibilitatea de a uni ramurile distribuite geografic ale unei organizații într-o singură rețea securizată.
Oferă protecție pentru accesul de la distanță al angajaților la rețeaua corporativă.

Producător: Security Code LLC

180.000,00 RUB

Factura va fi generată automat. Vă rugăm să indicați tipul plătitorului" persoană juridică" și completați detaliile.

Comparația versiunilor

	APKSh „Continent” - IPC-25	APKSh „Continent” - IPC-100	APKSh „Continent” - IPC-400	APKSh „Continent” - IPC-1000
Preţ	180.000 R Cumpăra	270.000 RUR Cumpăra	665.000 RUB Cumpăra	1.021.000 RUB Cumpăra
Performanță VPN (criptare + filtrare ME)	până la 50 Mbit/s	până la 300 Mbit/s	până la 500 Mbit/s	până la 950 Mbit/s
Performanță ME (trafic deschis)	până la 100 Mbit/s	până la 400 Mbit/s	până la 1 Gbit/s	până la 1 Gbit/s
Numărul maxim de sesiuni TCP concurente procesate (stare de păstrare)	10000	250000	350000	1000000
Numărul de conexiuni securizate (tunele VPN)	25	nelimitat	nelimitat	nelimitat

Configurare hardware:

Factor de formă	Mini-ITX, 1U înălțime
Dimensiuni (înălțime x lățime x adâncime)	155 x 275 x 45 mm
CPU	Intel Atom C2358 1743 MHz
RAM	SODIMM DDR3 DRAM, 2 GB, PC-1333
Interfețe de rețea	4x 1000BASE-T Ethernet 10/100/1000 RJ45 (concepute ca module ușor de înlocuit)
hard disk-uri	Modul SATA DOM 4Gb
unitate de putere	adaptor AC extern 19V, 220V 80W
Cititor	Atingeți Memorie
Identificatori personali	Touch Memory iButton DS1992L 2 buc.
Modul APMDZ încorporat	PACK Sobol 3.0 (mini-PCIe)
unitate flash USB	nu mai puțin de 512 MB
Nivel de zgomot acustic la 100% sarcină (metoda de măsurare ISO7779)
Sistem de operare încorporat	Continent OS - un sistem de operare îmbunătățit, cu securitate îmbunătățită, bazat pe nucleul FreeBSD

APKSh „Continent” 3.9 include:

Centrul de management al rețelei de gateway criptografic (GNC)– efectuează autentificarea CS și a stației de lucru de management/monitorizarea și înregistrarea stării rețelei CS/stocarea jurnalelor și configurarea CS/distribuirea informațiilor de cheie și de configurare/gestionarea centralizată a cheilor criptografice/interacțiunea cu programul de management.
Gateway cripto (CS) este un dispozitiv hardware și software specializat care primește și transmite pachete IP prin protocoale TCP/IP (routare statică)/criptare pachete (GOST 28147–89, modul gamma cu feedback, lungime cheie 256 biți) / protecția datelor transmise împotriva distorsiunii (GOST 28147–89, modul de inserare simulare) / filtrarea pachetelor / ascunderea structurii rețelei / înregistrarea evenimentelor / notificarea centrului de control central despre activitatea acestuia și despre evenimentele care necesită intervenție / monitorizare integritatea software-ului CC.
Program de control NCC (PU NCC)– funcția sa principală este gestionarea centralizată a setărilor și monitorizarea operațională a stării tuturor supapelor de control incluse în complex. Instalat într-o rețea securizată pe o stație de lucru a administratorului care rulează MS Windows 2003/2008/7/8.
Agent TsUS și SD stabilește o conexiune securizată și face schimb de date cu CCN și centrul de control / primește de la NCC, stochează și transferă către unitatea de control conținutul jurnalelor / primește de la NCC și transmite centrului de control informații despre funcționarea complexului.
Client de autentificare utilizator- oferă autentificarea utilizatorilor care lucrează pe computere situate într-un segment de rețea protejat atunci când sunt conectați la un gateway criptografic.
Punct de abonat (Continent-AP) stabilește un tunel VPN între stația de lucru de la distanță a utilizatorului și rețeaua internă protejată a organizației. Când sunt conectate prin rețele accesul publicului iar Internetul oferă autentificarea utilizatorului/suport pentru distribuția dinamică a adreselor/accesul de la distanță la resursele rețelei protejate printr-un canal criptat/accesul prin canale de comunicare dedicate și dial-up/abilitatea de a accesa resursele rețelelor publice.
Server de acces asigură comunicarea între AP-ul de la distanță și rețeaua protejată, precum și determinarea nivelului de acces și autentificarea utilizatorului.
Program de gestionare a serverului de acces (PU SD)– oferă o notificare promptă a administratorului de rețea despre evenimentele de securitate. Proiectat pentru a gestiona setările tuturor serverelor de acces incluse în complex.
Detector de atac „Continent” este o componentă software care oferă analiza traficului provenit de la gateway-ul cripto și filtrarea intruziunilor neautorizate. Funcționează împreună cu centrul de gestionare a rețelei gateway criptografic Continent versiunea 3.7 și o versiune ulterioară.

Certificate

conformitatea cu liniile directoare ale Serviciului Federal de Control Tehnic și Export al Rusiei cu privire la nivelul 2 de control pentru absența materialelor de neconformitate și clasa a 2-a de securitate pentru firewall-uri. Poate fi folosit pentru a crea sisteme automatizate până la clasa de securitate 1B inclusiv și la crearea de sisteme de informații cu date cu caracter personal până la clasa 1 inclusiv;
conformitatea cu cerințele FSB al Rusiei pentru dispozitivele de tip firewall conform clasei de securitate 4;
respectarea cerințelor FSB al Rusiei pentru mijloacele de protecție criptografică a informațiilor din clasa KS3 și posibilitatea de utilizare pentru protecția criptografică a informațiilor care nu conțin informații care constituie secret de stat;
Ministerul Telecomunicațiilor și Comunicațiilor de Masă al Rusiei – despre respectarea cerințelor stabilite pentru echipamentele pentru rutarea pachetelor de informații și posibilitatea utilizării pe rețelele publice de comunicații ca echipamente pentru comutarea și rutarea pachetelor de informații.

Gateway cripto

Scop

Gateway-ul cripto oferă funcționalitatea de bază a unui dispozitiv VPN modern:

confidențialitatea și integritatea fluxului de pachete IP;
mascarea topologiei rețelei prin încapsularea traficului într-un tunel securizat;
transparență pentru NAT;
autentificarea nodurilor de rețea și a utilizatorilor;
unificarea politicilor de securitate pentru utilizatorii mobili și „interni” (configurarea dinamică a adreselor IP corporative pentru utilizatori la distanță „în cadrul VPN”).

Gateway-urile cripto sunt reprezentate atât în segmentul dispozitivelor VPN, cât și în segmentul dispozitivului unificat (UTM), combinând mai multe instrumente de securitate într-unul singur.

Accesul la resursele sistemului informatic

Gateway-urile cripto permit abonaților de la distanță să acceseze în siguranță resursele sistemului de informații corporative. Accesul se face folosind un software special instalat pe computerul utilizatorului (client VPN) pentru a asigura interacțiunea sigură între utilizatorii de la distanță și cei mobili cu gateway-ul cripto.

Software-ul cripto gateway (server de acces) identifică și autentifică utilizatorul și comunică cu resursele rețelei protejate. Cu ajutorul gateway-urilor cripto, acestea formează canale virtuale securizate în rețelele publice (de exemplu, Internetul), care garantează confidențialitatea și fiabilitatea informațiilor și organizează rețele private virtuale (Virtual Private Network - VPN), care sunt o asociație de rețelele locale sau computerele individuale conectate la o rețea publică se utilizează într-o singură rețea virtuală securizată. Pentru a gestiona o astfel de rețea, se folosește de obicei un software special (centrul de control), care asigură gestionarea centralizată a politicilor locale de securitate pentru clienții VPN și gateway-uri cripto, le trimite informații cheie și noi date de configurare și menține jurnalele de sistem.

Note

Literatură

Jdanov, O. N., Zolotarev, V. V. Metode și mijloace de protecție a informațiilor criptografice: Manual. - Krasnoyarsk: SibGAU, 2007. - 217 p.

Legături

Consolidarea rețelelor locale de birouri și sucursale la distanță. logic-soft. Arhivat
Componentele APKSh „Continent” 3.5. Compania de cod de securitate. Arhivat din original pe 25 mai 2012. Consultat la 28 februarie 2012.
Constantin Kuzovkin Acces de la distanță la resursele informaționale. Protecția informațiilor transmise prin canalele de comunicare. i-teco. Arhivat din original pe 25 mai 2012. Consultat la 28 februarie 2012.

Fundația Wikimedia.

2010.

Vedeți ce este un „Crypto Gateway” în alte dicționare: gateway cripto

- Gateway criptografic KS Gateway criptografic...

Solicitarea pentru „Software” este redirecționată aici. Vedea de asemenea, alte sensuri. Software-ul (software-ul de pronunție nu este recomandat, sau mai degrabă, nu este recomandat), alături de hardware, este cea mai importantă componentă a informațiilor... Wikipedia- Dictionar sediu coordonare: Dictionar de abrevieri si abrevieri ale armatei si serviciilor speciale. Comp. A. A. Şcelokov. M.: Editura AST SRL, Editura Geleos CJSC, 2003. 318 p. Dicţionar KSh crane on chassis: S. Fadeev. Dicționar de abrevieri moderne... ... Dicționar de abrevieri și abrevieri

Gateway-uri cripto (gateway-uri VPN, routere VPN sau routere cripto) efectuează funcțiile de asigurare a confidențialității datelor utilizatorilor prin criptarea acestora și funcția de monitorizare a integrității mesajelor utilizatorului la ieșirea din GSPD folosind autentificatoare de mesaje. Centrul de control VPN îndeplinește funcțiile de monitorizare și gestionare a funcționării gateway-urilor cripto și este, de asemenea, responsabil de distribuirea cheilor criptografice între ele. Un VPN poate include stații de lucru individuale ale utilizatorului, o rețea LAN și alte sisteme.

În prezent, există patru metode pentru a construi cripto-gateway-uri VPN:

Bazat pe sisteme de operare în rețea cu funcții VPN încorporate;

Bazat pe routere/comutatoare, al căror software are funcțiile de a crea un VPN;

Bazat pe ME, al cărui software integrează funcții pentru construirea unui VPN;

Bazat pe software și hardware specializat destinat doar construirii unui VPN.

În cadrul VPN, toate datele sunt de obicei transmise prin așa-numitul "tunele", care reprezintă o conexiune virtuală între două cripto-gateway VPN. Algoritmul pentru transmiterea mesajelor printr-un tunel VPN este următorul. Înainte de a trimite mesaje utilizatorilor prin tunel, gateway-ul cripto le criptează, calculează un autentificator pentru ele, după care mesajele sunt încapsulate (reambalate) în mesaje noi, care sunt transmise prin tunel. În acest caz, în câmpul antet „Adresa destinatarului” al mesajului generat, este indicată adresa gateway-ului cripto, și nu adresa AS-ului utilizatorului căruia îi este de fapt destinat mesajul, ceea ce vă permite să ascundeți adresele adevărate. a subiectelor de legătură. După transmiterea mesajelor la celălalt capăt al tunelului, gateway-ul cripto preia datele primite, le decriptează, le verifică integritatea, după care datele sunt transmise destinatarilor. Această metodă de transmitere a mesajelor este denumită în mod obișnuit "tunel". Schema pentru tunelarea mesajelor utilizatorului este prezentată în Fig. 19.2.

Figura 19.2 - Schema de tunelare a mesajelor utilizatorului

Interacțiunea dintre cripto-gateway-urile VPN este implementată folosind un tip special de protocoale numite cripto-protocoale. Protocoalele cripto pot fi implementate la diferite niveluri ale modelului OSI (Tabelul 19.1).

Tabelul 19.1. Protocoale cripto de diferite niveluri ale modelului BOS

În prezent, protocolul cripto este cel mai des folosit pentru a construi VPN-uri. IPSec , a cărui specificație face parte din standardul de bază al celei de-a șasea versiuni a protocolului IP, prin care sunt implementate funcțiile stratului de internetworking al stivei de protocoale TCP/IP.