A kriptográfiai átjáró funkcióit megvalósító hardver és szoftver komplexum. Orosz és külföldi gyártók kriptográfiai átjáróinak áttekintése

A Wikipédiából, a szabad enciklopédiából

Kripto átjáró (kriptoátjáró, vpn átjáró, kriptoútválasztó)- hardver- és szoftverkomplexum adat-, hang-, videoforgalom kriptográfiai védelmére IPsec AH és/vagy IPsec ESP protokollok használatával a kapcsolat létesítésekor IPsec AH és/vagy IPsec ESP protokollok segítségével történő kriptográfiai védelmére, amely megfelel az oroszországi FSB kriptográfiai információvédelmi (CIP) követelményeinek és egy modern VPN-eszköz alapvető funkcióit biztosítja...

Időpont egyeztetés

A titkosítási átjáró célja, hogy biztosítsa egy szervezet információbiztonságát, megvédje információs hálózatait az adatátviteli hálózatok (internet) behatolásától, biztosítsa a titkosságot nyílt kommunikációs csatornákon (VPN) keresztül történő információátvitel során, valamint megszervezze a biztonságos felhasználói hozzáférést a nyilvános hálózatok erőforrásait.

A titkosítási átjáró egy modern VPN-eszköz alapvető funkcióit biztosítja:

az IP-csomagfolyam titkossága és integritása;
a hálózati topológia maszkolása a forgalom biztonságos alagútba zárásával;
átláthatóság a NAT számára;
hálózati csomópontok és felhasználók hitelesítése;
a biztonsági politika egységesítése mobil és „belső” felhasználók számára (a vállalati IP-címek dinamikus konfigurálása távoli felhasználók számára „a VPN-en belül”).

A titkosítási átjárók mind a VPN-eszközök szegmensében, mind az egyesített eszközök (UTM) szegmensében jelennek meg, amelyek több biztonsági eszközt egyesítenek egyben.

A titkosítási átjárók és a hagyományos VPN-útválasztók közötti különbség az, hogy az IPSec protokoll alapján működnek, és olyan algoritmusok segítségével védik a kommunikációs csatornákon továbbított információkat, amelyek megfelelnek az orosz kriptográfiai szabványok (GOST 28147-89 és GOST R 34.10-2001) követelményeinek. ).

Hozzáférés az információs rendszer erőforrásaihoz

A titkosítási átjárók lehetővé teszik a távoli előfizetők számára, hogy biztonságos hozzáférést biztosítsanak a vállalati információs rendszer erőforrásaihoz. A hozzáférés a felhasználó számítógépére telepített speciális szoftverrel (VPN-kliens) történik a távoli és mobil felhasználók közötti biztonságos interakció érdekében titkosítási átjáróval.

A Crypto-gateway szoftver (hozzáférési szerver) azonosítja és hitelesíti a felhasználót, és kommunikál a védett hálózat erőforrásaival. A titkosítási átjárók segítségével virtuális biztonságos csatornákat képeznek a nyilvános hálózatokban (például az interneten), amelyek garantálják az információk titkosságát és megbízhatóságát, és virtuális magánhálózatokat szerveznek (Virtual Private Network - VPN), amelyek a helyi hálózatok vagy nyilvános hálózatra csatlakoztatott egyéni számítógépek.egyetlen biztonságos virtuális hálózatban használható. Az ilyen hálózatok kezelésére általában speciális szoftvert (vezérlőközpontot) használnak, amely központilag kezeli a VPN-kliensek és a titkosítási átjárók helyi biztonsági szabályzatait, elküldi nekik a legfontosabb információkat és az új konfigurációs adatokat, valamint rendszernaplókat vezet.

Írjon véleményt a "Crypto Gateway" cikkről

Jegyzetek (szerkesztés)

Irodalom

Zsdanov, O. N., Zolotarev, V. V.... - Krasznojarszk: SibGAU, 2007 .-- 217 p.

Linkek

... logikai-puha. Letöltve: 2012. február 28.
... Biztonsági kód cég. Letöltve: 2012. február 28.
Konstantin Kuzovkin.... i-teco. Letöltve: 2012. február 28.

A Cryptogate-ot jellemző részlet

- Qui s "mentség - s" vádaskodó, [Aki bocsánatot kér, az önmagát hibáztatja.] - mondta Julie mosolyogva és integetett szöszmötölve, és hogy övé lett az utolsó szó, azonnal megváltoztatta a beszélgetést. - Mi az, ma megtudtam: szegény Marie Volkonszkaja tegnap megérkezett Moszkvába. Hallottad, hogy elvesztette az apját?
- Igazán! Hol van ő? Nagyon szeretném látni - mondta Pierre.
- Tegnap vele töltöttem az estét. Ma reggel vagy holnap elutazik a moszkvai régióba unokaöccsével.
- Nos, hogy van? - mondta Pierre.
- Semmi, szomorú. De tudod, ki mentette meg? Ez egy egész regény. Nicolas Rostov. Körülvették, meg akarták ölni, megsebesítették az embereit. Rohant és megmentette...
– Egy újabb regény – mondta a milícia. - Döntően ez az általános szökés, hogy minden öreg menyasszony férjhez menjen. Catiche az egyik, Bolkonskaya hercegnő a másik.
– Tudod, hogy tényleg úgy gondolom, hogy un petit peu amoureuse du jeune homme. [egy kicsit szerelmes egy fiatal férfiba.]
- Bírság! Bírság! Bírság!
- De hogy mondhatom ezt oroszul? ..

Amikor Pierre hazatért, átadtak neki két, aznap hozott Rostopchin plakátot.
Az első azt mondta, hogy igazságtalan az a pletyka, miszerint Rosztopcsin grófnak megtiltották Moszkva elhagyását, és éppen ellenkezőleg, Rosztopcsin gróf örült annak, hogy hölgyek és kereskedőfeleségek elhagyják Moszkvát. "Kevesebb félelem, kevesebb hír" - mondta a plakát -, de az életemmel válaszolok, hogy Moszkvában nem lesz gazember. Ezek a szavak először világosan megmutatták Pierre-nek, hogy a franciák Moszkvában lesznek. A második hirdetőtábla azt írta, hogy a főhadiszállásunk Vjazmában van, hogy Wittgstein gróf legyőzte a franciákat, de mivel sok lakos szeretne felfegyverezni magát, a fegyvertárban vannak előkészített fegyverek: szablyák, pisztolyok, fegyverek, amelyeket a lakosok átvehetnek. olcsó ár. A plakátok hangvétele már nem volt olyan játékos, mint az előző Chigirin-beszélgetéseken. Pierre ezeken a plakátokon töprengett. Nyilvánvalóan az a szörnyű zivatarfelhő, amelyet lelke minden erejével megidézett, és amely egyúttal önkéntelen iszonyatot ébresztett benne - nyilván ez a felhő közeledett.
„Katonai szolgálatba lépni és a hadseregbe menni, vagy várni? - Pierre századszor tette fel magának ezt a kérdést. Elvette az asztalán lévő kártyapaklit, és pasziánszozni kezdett.
„Ha ez a pasziánsz előkerül” – mondta magában, miközben összekeverte a fedélzetet, a kezében tartotta, és felnézett –, „ha kijön, akkor... mit jelent?” – kérdezte az idősebb hercegnő, hogy lehetséges-e. belépni.
„Akkor ez azt jelenti, hogy be kell mennem a hadseregbe” – mondta magában Pierre. „Gyere be, gyere be” – tette hozzá a hercegnőhöz fordulva.
(Egy idősebb, hosszú derekú, megkövült fedővel rendelkező hercegnő továbbra is Pierre házában élt, a két kisebb pedig összeházasodott.)
– Bocsáss meg, unokatestvérem, hogy eljöttem hozzád – mondta szemrehányóan aggódó hangon. - Hiszen végre döntenünk kell valami mellett! Mi lesz az? Mindenki elhagyta Moszkvát, és az emberek fellázadnak. Miért maradunk?
- Ellenkezőleg, úgy tűnik, minden rendben van, kutyusom - mondta Pierre a játékosság azon szokásával, amelyet Pierre, aki mindig szégyenkezve viselte a jótevő szerepét a hercegnő előtt, a lányhoz viszonyította.
- Igen, ez jó... jó közérzet! Ma Varvara Ivanovna elmondta, miben különböznek a csapataink. Bizonyára becsületet tulajdoníthat. Igen, és az emberek teljesen fellázadtak, abbahagyják a hallgatást; a lányom és ő goromba lett. Így hamarosan minket is megvernek. Nem sétálhatsz az utcákon. És ami a legfontosabb, holnap ott lesznek a franciák, szóval mire számíthatunk! Egy dologra kérdezek, unokatestvér – mondta a hercegnő –, megparancsolja, hogy vigyenek el Pétervárra: bármi is vagyok, nem élhetek Bonaparte uralom alatt.
- Igen, teltség, anya unokatestvér, honnan szerzed az információkat? Ellen…
- Nem fogom alávetni magát Napóleonodnak. Mások ahogy akarják... Ha nem akarod ezt csinálni...
- Igen, megteszem, most rendelek.
A hercegnőt láthatóan bosszantotta, hogy nincs kire haragudni. Valamit suttogva leült egy székre.
– De ezt nem mondják el helyesen – mondta Pierre. „Minden csendes a városban, és nincs veszély. Szóval csak olvastam... - Pierre megmutatta a hercegnőnek a plakátokat. - A gróf azt írja, hogy életével azt válaszolja, hogy az ellenség nem lesz Moszkvában.
- Ó, ez a grófod - szólalt meg dühösen a hercegnő -, ez egy képmutató, egy gazember, aki maga indította el a népet lázadásra. Nem azt írta ezeken a hülye plakátokon, hogy bármi legyen is, a címerénél fogva húzzák a kijárathoz (és mekkora hülyeség)! Aki elviszi, azt mondja neki mind a dicsőség, mind a dicsőség. Szóval nem érdekelt. Varvara Ivanovna azt mondta, hogy az emberek majdnem megölték, mert franciául beszélt ...
- Miért, ez olyan... Nagyon a szívedre veszel mindent - mondta Pierre, és pasziánszozni kezdett.

APKSH "kontinens"IPC-25 kompakt titkosítási átjáró egy kis irodába. APKSH "kontinens" egy hatékony és rugalmas VPN-eszköz, amely lehetővé teszi bármilyen architektúra VPN létrehozását. Biztosítja a nyílt kommunikációs csatornákon keresztül továbbított információk kriptográfiai védelmét (a GOST 28147-89 szerint) VPN-komponensek (helyi hálózatok, szegmenseik és egyes számítógépek) között. egyedi kulcsokkal titkosítja az egyes adatcsomagokat, ami védelmet garantál az elfogott adatok visszafejtése ellen. A manipuláció elleni védelem érdekében forgalomszűrő rendszer biztosított. Támogatja a VoIP, videokonferencia, GPRS, 3G, LTE, ADSL, betárcsázós és műholdas kommunikációs csatornákat, NAT / PAT technológiát a hálózati struktúra elrejtéséhez.

Az APKSH "Continent" a következő tipikus feladatok megoldására szolgál:

Teljes körű hálózatvédelem
Lehetővé teszi a szervezet földrajzilag elosztott ágainak egyetlen biztonságos hálózatba való egyesítését.
Védelmet nyújt az alkalmazottak távoli hozzáférésének a vállalati hálózathoz.

Gyártó: Biztonsági kód LLC

180 000,00 RUB

A számla automatikusan készül. Adja meg a fizető típusát „jogi személy”, és töltse ki az adatokat.

Verzió összehasonlítás

	APKSH "kontinens" - IPC-25	APKSH "kontinens" - IPC-100	APKSH "kontinens" - IPC-400	APKSH "kontinens" - IPC-1000
Ár	180 000 RUB megvesz	270 000 RUB megvesz	665 000 RUR megvesz	1 021 000 R megvesz
VPN teljesítmény (titkosítás + ME szűrés)	akár 50 Mbps	akár 300 Mbps	akár 500 Mbps	akár 950 Mbps
ME teljesítmény (nyílt forgalom)	akár 100 Mbps	akár 400 Mbps	akár 1 Gbps	akár 1 Gbps
A feldolgozott egyidejű TCP-munkamenetek maximális száma (állapot megőrzése)	10000	250000	350000	1000000
Biztonságos kapcsolatok száma (VPN-alagutak)	25	nincs korlátozva	nincs korlátozva	nincs korlátozva

Hardver konfiguráció:

Formafaktor	Mini-ITX, 1U magasság
Méretek (MaxSzxM)	155 x 275 x 45 mm
processzor	Intel Atom C2358 1743 MHz
RAM	SODIMM DDR3 DRAM, 2 GB, PC-1333
Hálózati interfészek	4х 1000BASE-T Ethernet 10/100/1000 RJ45 (könnyen cserélhető modulok formájában)
Merevlemezek	SATA DOM modul 4Gb
Tápegység	külső AC adapter 19V, 220V 80W
Olvasó	Érintse meg a Memória lehetőséget
Személyes azonosítók	Érintse meg a Memória iButton DS1992L 2 elemet PCS.
Beépített APMDZ modul	PAK "Sobol" 3.0 (mini-PCIe)
Pendrive	legalább 512 MB
Akusztikus zajszint 100%-os terhelésnél (ISO7779 mérési módszer)
Beágyazott operációs rendszer	Continent OS – Fokozott biztonságú, FreeBSD kernelen alapuló operációs rendszer

Az APKSH "Continent" 3.9 a következőket tartalmazza:

Cryptographic Gateway Network Control Center (NCC)- elvégzi a KSH és az automatizált munkaállomás hitelesítését / a KSh hálózat állapotának figyelését és naplózását / naplók tárolását és a KSh konfigurációját / kulcs- és konfigurációs információk elosztását / kriptográfiai kulcsok központi kezelését / interakciót a vezérlővel program.
Kriptoátjáró (KSH) Speciális hardver- és szoftvereszköz, amely IP-csomagokat fogad és továbbít TCP / IP protokollokon (statikus útválasztás) / csomagtitkosítás (GOST 28147–89, zárt hurkú gamma mód, 256 bites kulcshossz) / a továbbított adatok torzítás elleni védelme (GOST 28147–89, imitációs beillesztési mód) / csomagszűrés / hálózati struktúra elrejtése / események regisztrálása / az NCC értesítése tevékenységéről és beavatkozást igénylő eseményekről / a KSH szoftver integritásának figyelése.
NCC vezérlőprogram (PU NCC)- fő funkciója a beállítások központi vezérlése és a komplexum részét képező összes vezérlőegység állapotának működési felügyelete. Biztonságos hálózatba telepítve a rendszergazda munkaállomásán MS Windows 2003/2008/7/8 alatt.
NCC és SD ügynök biztonságos kapcsolat kialakítását és adatcserét végez az NCC-vel és a CP-vel / fogadja az NCC-től, tárolja és továbbítja a naplók tartalmát a CP / fogadja az NCC-től, valamint információt ad át a komplexum működéséről CP.
User Authentication Client- biztosítja a védett hálózati szegmensben található számítógépeken dolgozó felhasználók hitelesítését, amikor kriptográfiai átjáróhoz csatlakoznak.
Előfizetői állomás (Continent-AP) VPN alagutat hoz létre a felhasználó távoli munkaállomása és a szervezet belső védett hálózata között. Nyilvános hozzáférési hálózatokon és az interneten keresztül történő csatlakozáskor felhasználó hitelesítést végez / dinamikus címkiosztás támogatását / titkosított csatornán keresztüli távoli hozzáférést a védett hálózat erőforrásaihoz / dedikált és betárcsázós kommunikációs csatornákon keresztüli hozzáférést / hozzáférési képességet a nyilvános hálózatok erőforrásai.
Access Server kommunikációt biztosít a távoli UA és a védett hálózat között, valamint meghatározza a felhasználói hozzáférési szintet és hitelesítését.
Access Server Management Program (PC SD)- azonnal értesíti a hálózati rendszergazdát a biztonsági eseményekről. A komplexumban található összes hozzáférési szerver beállításainak kezelésére tervezték.
Kontinens támadás detektor egy szoftverkomponens, amely elemzi a titkosítási átjáróból érkező forgalmat, és kiszűri a jogosulatlan behatolásokat. A Control Centerrel együtt működik a "Continent" kriptográfiai átjárók hálózatának 3.7-es és újabb verzióihoz.

Tanúsítványok

az oroszországi FSTEC irányelveinek való megfelelés az NDV hiányára vonatkozó 2. szintű ellenőrzésről és a tűzfalak 2. biztonsági osztályáról. Használható automatizált rendszerek létrehozására az 1B biztonsági osztályig (beleértve), személyes adatok információs rendszerek létrehozásakor pedig 1 osztályig (beleértve);
az oroszországi FSB követelményeinek való megfelelés az olyan eszközökre, mint például a 4. osztályú biztonsági tűzfal;
az oroszországi FSB követelményeinek betartása a KC3 osztályba tartozó információk kriptográfiai védelmére, valamint az államtitkot képező információt nem tartalmazó információk kriptográfiai védelemre való felhasználásának lehetősége;
Az Orosz Föderáció Távközlési és Tömegkommunikációs Minisztériuma - az információs csomagok útválasztási berendezésére vonatkozó megállapított követelmények betartásáról, valamint a nyilvános kommunikációs hálózatokon való felhasználásának lehetőségéről az információs csomagok kapcsolási és útválasztási berendezéseként.

Lehetőségek

A komplexum biztosítja a nyílt kommunikációs csatornákon keresztül továbbított információk titkosítási védelmét (a GOST 28147-89 szerint) VPN-komponensek között, amelyek lehetnek helyi számítógépes hálózatok, azok szegmensei és egyes számítógépek.

A modern kulcsrendszer, amely minden egyes csomag egyedi kulccsal történő titkosítását valósítja meg, garantált védelmet nyújt az elfogott adatok visszafejtésének lehetőségével szemben.

A nyilvános hálózatok behatolása elleni védelem érdekében a Continent 3.6 komplexum biztosítja a vett és továbbított csomagok szűrését különböző kritériumok szerint (küldő és fogadó címek, protokollok, portszámok, további csomagmezők stb.). Támogatja a VoIP, videokonferencia, ADSL, Dial-Up és műholdas kommunikációs csatornákat, NAT / PAT technológiát a hálózati struktúra elrejtéséhez.

Az APCS "kontinens" főbb jellemzői és jellemzői 3.6

Vállalati hálózatok hatékony védelme

Biztonságos VPN-hozzáférés a nyilvános hálózati erőforrásokhoz
A továbbított adatok kriptográfiai védelme a GOST 28147-89 szerint

Az APKSH "Continent" 3.6-ban egy modern kulcssémát használnak, amely minden egyes csomag titkosítását egyedi kulcson valósítja meg. Ez magas fokú adatvédelmet biztosít a visszafejtés ellen lehallgatás esetén.

Az adatok titkosítása a GOST 28147–89 szerint történik visszacsatoló gamma módban. Az adatok torzítás elleni védelmét a GOST 28147–89 szabványnak megfelelően imitációs beillesztési módban hajtják végre.

A kriptográfiai kulcsokat az NCC központilag kezeli.

Tűzfal - belső hálózati szegmensek védelme az illetéktelen hozzáféréstől

A "Continent" 3.6 kriptográfiai átjáró biztosítja a fogadott és továbbított csomagok szűrését különböző kritériumok szerint (feladó és fogadó címek, protokollok, portszámok, további csomagmezők stb.). Ez lehetővé teszi a belső hálózati szegmensek védelmét a nyilvános hálózatok behatolásával szemben.

Biztonságos hozzáférés a távoli felhasználók számára a VPN-erőforrásokhoz

Speciális "Continent AP" szoftver, amely az APKSH "Continent" 3.6 része, lehetővé teszi a távoli számítógépek biztonságos hozzáférésének megszervezését a vállalati VPN-hálózathoz.

Információs alrendszerek létrehozása fizikai szinten megosztott hozzáféréssel

Az APKSH "Continent" 3.6-ban 1 külső és 3–9 belső interfészt csatlakoztathat minden titkosítási átjáróhoz. Ez nagymértékben javítja a felhasználó azon képességét, hogy a vállalati biztonsági szabályzatnak megfelelően konfigurálja a hálózatot. Különösen a több belső interfész jelenléte lehetővé teszi a szervezet részlegeinek alhálózatainak felosztását a hálózati kártyák szintjén, és a köztük lévő interakció szükséges mértékének megállapítását.

Főbb jellemzők és képességek

A közös kommunikációs csatornák támogatása

Munkavégzés Dial-Up kapcsolatokon, közvetlenül a titkosító átjáróhoz csatlakoztatott ADSL berendezéseken, valamint műholdas kommunikációs csatornákon keresztül.

"Átláthatóság" minden alkalmazáshoz és hálózati szolgáltatáshoz

A "Continent" 3.6 kriptográfiai átjárók "átláthatóak" minden olyan alkalmazás és hálózati szolgáltatás számára, amely a TCP / IP protokollon keresztül működik, beleértve az olyan multimédiás szolgáltatásokat, mint az IP-telefónia és a videokonferencia.

Magas prioritású forgalommal dolgozik

A Continent 3.6 forgalompriorizációs mechanizmusában megvalósított forgalompriorizációs mechanizmus lehetővé teszi a hang- (VoIP) forgalom és a videokonferenciák védelmét a kommunikáció minőségének romlása nélkül.

Garantált sávszélesség lefoglalása bizonyos szolgáltatásokhoz

Egyes szolgáltatások garantált sávszélességének lefoglalása biztosítja az e-mail forgalom, a dokumentumkezelő rendszerek stb. még az IP-telefónia alacsony sebességű kommunikációs csatornákon történő aktív használatával is.

VLAN támogatás

A VLAN támogatás biztosítja az APCS egyszerű integrálását a hálózati infrastruktúrába, virtuális szegmensekre osztva.

A belső hálózat elrejtése. NAT / PAT technológiák támogatása

A NAT / PAT technológia támogatása lehetővé teszi a védett hálózati szegmensek belső szerkezetének elrejtését nyílt forgalom továbbításakor, valamint demilitarizált zónák és védett hálózatok szegmentálását.

A vállalati hálózat védett szegmenseinek belső szerkezetének elrejtése:

a továbbított csomagok tokozásának módszerével (a forgalom titkosításakor);
hálózati címfordítási (NAT) technológia használata nyilvános erőforrásokkal végzett munka során.

Integráció behatolásjelző rendszerekkel

Mindegyik titkosítási átjárón lehetőség van az egyik interfész kiválasztására a KSH-n áthaladó forgalom ellenőrzésére jogosulatlan hozzáférési kísérletek (hálózati támadások) szempontjából. Ehhez meg kell határoznia egy ilyen interfészt "SPAN portként", és csatlakoztatnia kell egy számítógépet telepített behatolásérzékelő rendszerrel (például RealSecure). Ezt követően a crypto gateway csomagszűrőjének bemenetére érkező összes csomag továbbításra kerül erre az interfészre.

Szolgáltatás és menedzsment

Kényelem és egyszerű karbantartás (karbantartásmentes üzemmód 24 * 7)

Az APKSH "Continent" 3.6 nem igényel állandó helyi adminisztrációt, és 24 * 7х365 felügyelet nélküli módban is működhet. A komplexum gyártása során használt ipari számítógépek a hideg-meleg redundancia lehetőségével együtt garantálják a komplexum zavartalan működését.

A komplexum azonnali, valós időben értesíti a rendszergazdákat az azonnali beavatkozást igénylő eseményekről.

A titkosítási átjárók távoli szoftverfrissítése

A komplexum megoldotta a KSH szoftver frissítésének problémáját a földrajzilag elosztott rendszerekben. A szoftverfrissítés központilag betöltődik a komplexumba, elküldi a komplexumban található összes titkosító átjáróhoz, és automatikusan telepítésre kerül.

Hibatűrés biztosítása

A komplexum hibatűrését a következő intézkedések biztosítják:

A kriptográfiai átjárók hardveres redundanciája (nagy hozzáférésű fürt létrehozása). Valamelyik titkosítási átjáró meghibásodása esetén a rendszergazda beavatkozása és a létrehozott kapcsolatok megszakítása nélkül automatikusan átvált a tartalék átjáróra.
Az összetett konfigurációs fájlok automatikus biztonsági mentése. Gyors helyreállítást biztosít a hálózati működés hardverhiba esetén.

Központosított hálózatkezelés

A központosított hálózatkezelés az NCC és egy olyan felügyeleti program segítségével történik, amely lehetővé teszi a hálózat összes titkosítási átjárójának beállításainak interaktív megváltoztatását és azok aktuális állapotának nyomon követését.

Az adminisztrátor munkahelyén található összes eszköz állapotának valós idejű megjelenítése lehetővé teszi a normál működési folyamattól való eltérések időben történő azonosítását és azokra azonnali reagálást.

Szerep alapú irányítás - a komplexum adminisztrációjának hatásköreinek szétválasztása

Megvalósult a komplex adminisztrációjához szükséges hatáskörök szétválasztása, például a kulcsfontosságú információk kezelése, a védett erőforrásokhoz való hozzáférési jogok hozzárendelése, az új komponensek hozzáadása, a felhasználói műveletek ellenőrzése (beleértve a többi rendszergazdát is).

Interakció a hálózatkezelő rendszerekkel

Lehetővé teszi az APPS "Continent" 3.6 állapotának figyelését a globális hálózatfelügyeleti rendszerek (Hewlett-Packard, Cisco stb.) SNMPv2 protokolljával.

A modern körülmények között a szervezet hatékony működéséhez biztosítani kell a távoli részlegek közötti információátadást és a vállalati szolgáltatásokhoz való folyamatos hozzáférést a világ bármely pontjáról. Az információk nyilvános kommunikációs csatornákon történő továbbítása során a VPN technológiát (Virtual Private Network, virtuális magánhálózatok) fejlesztették ki. Valójában VPN használatakor információcsere történik egy távoli helyi hálózattal egy virtuális csatornán keresztül az interneten keresztül, egy privát pont-pont kapcsolat utánzatával (titkosított VPN-alagút vagy teljes VPN-hálózat jön létre).

Mivel a VPN technológia magában foglalja a kriptográfiát (titkosítást), az Orosz Föderáció törvényeivel összhangban a következő típusú kriptográfiai eszközök (kriptoútválasztó / kriptográfiai átjáró / VPN-átjáró) használhatók Oroszország területén:

Nyugati kriptográfia (legfeljebb 56 * bites kulcshosszúság);
Nyugati kriptográfia (kulcshossz 56 bittől) - az oroszországi FSB ügyfelének értesítésével;
Orosz kriptográfia (GOST 28147—89, GOST 34.10—2012, GOST 34.11—2012).

A piac követelményeire és a kriptográfiai eszközökre vonatkozó jogszabályokra válaszul az AltEl a GOST 28147-89 algoritmuson alapuló, szabadalmaztatott kriptográfiai magot integrált az ALTELL NEO VPN átjáróba. Ez lehetővé teszi, hogy az ALTELL NEO segítségével a távoli fiókokat egyetlen VPN-hálózatba egyesítse, hozzáférést biztosítson a szervezet helyi hálózatához a mobil alkalmazottaktól (mobileszközökhöz ALTELL VPN kliens használatával) a vállalati erőforrásokig, valamint biztonságos adatcserét biztosít a fiókok és a partnerek között. Az ALTELL NEO széles modellválasztéka kielégíti a tetszőleges méretű cégek biztonságos kombinációjának igényét: egy kis távoli iroda és egy nagy holding székhelye, több ezer fős létszámmal.

Titkosítási átjáróként az ALTELL NEO lehetővé teszi a távoli felhasználók számára, hogy biztonságos csatornán (VPN-alagúton keresztül) kapcsolódjanak a szervezet helyi hálózatához anélkül, hogy a biztonsági szint veszélyeztetné. A felhasználók csak meghatározott szerverekhez vagy szolgáltatásokhoz férhetnek hozzá. A mobileszközökön való távoli munkavégzéshez VPN-klienst kell telepíteni.

Topológia

Az alábbiakban az ALTELL NEO kriptoroutert használó VPN-kapcsolat megszervezésének diagramja látható a vállalat fiókjai között (1. ábra). A VPN alagút hazai vagy nyugati kriptoalgoritmusokra épül (GOST / AES128 IPsec vagy OpenVPN protokollon keresztül). A VPN-alagúton belül a konvergens hálózatokból származó forgalom továbbítható: adat, hang, videó.

1. ábra VPN kapcsolat létrehozása a fióktelepek között.

A 2. ábra a VPN-kapcsolat távoli felhasználókkal való megszervezésének diagramját mutatja. A mobileszközökön VPN-kliens van telepítve, amelyen keresztül a felhasználó biztonságos hozzáférést kap a szervezet hálózatához.

2. ábra: VPN kapcsolat megszervezése mobil felhasználókkal.

Jelenleg az ALTELL NEO VPN gateway a következő típusú VPN-kapcsolatokat támogatja:

Előnyök

a vállalat belső informatikai erőforrásainak elérése távoli fiókokból;
forgalomvédelem hazai vagy nyugati kriptoalgoritmusokkal (GOST / AES128 IPsec vagy OpenVPN felett);
megszakítás nélküli működés egy redundáns szolgáltatóval létesített rendszer vagy redundáns irányított gyűrűk használata miatt a topológiában;
magas rendelkezésre állási rendszer szervezése;
a vállalat belső hálózatában való biztonságos munkavégzés lehetősége az egyéni felhasználók számára az otthoni irodából vagy bárhol az interneten;
a nem kívánt forgalom szűrése a VPN-csatornán;
védett szegmensek kiosztásának képessége a meglévő hálózatokban;
a meglévő informatikai infrastruktúra megváltoztathatatlansága;
méretezhető VPN hálózat;
VPN-hálózat kiépítéséhez szükséges eszközök széles skálája;
gyors telepítés és kezdeti konfiguráció;
a rendszer könnyű használhatósága.

Tanúsítványok

Az ALTELL NEO kriptoátjáró minden szükséges tanúsítvánnyal rendelkezik az információk védelmére, beleértve az oroszországi FSTEC tanúsítványait az ME2 / ME3 / ME4 és NDV2 / NDV3 osztályokhoz, amelyek lehetővé teszik ennek a VPN-átjárónak a használatát az automatizált rendszerek védelmére. az 1B osztályba (beleértve) és biztonságos ISPDN-t hozzon létre a 152-FZ "A személyes adatokról" szerint a K1 osztályig bezárólag.

Ingyenes tesztelés

Minden ALTELL NEO modell ingyenesen tesztelhető szervezetében. Az Önt érdeklő modell megszerzéséhez ki kell töltenie egy jelentkezési lapot. Kiválaszthatja az eszköz konfigurációját (további memória, bővítőmodulok, szoftver verzió stb.) és kiszámíthatja a készülék hozzávetőleges árát a segítségével.

A cikk röviden leírja a globális VPN-piac trendjeit, megvizsgálja az orosz piacon népszerű kriptográfiai átjárókat, és bemutatja azok legfontosabb jellemzőit.

Bevezetés

A kriptográfiai átjáró (crypto gateway, crypto router, VPN gateway) egy szoftver- és hardverkomplexum a kommunikációs csatornákon továbbított forgalom kriptográfiai védelmére a csomagok különféle protokollok segítségével történő titkosításával.

A titkosítási átjáró célja, hogy biztosítsa a szervezet információbiztonságát nyílt kommunikációs csatornákon történő adatátvitel során.

A modern piacon található kriptoátjárók a következő alapvető funkciókat látják el:

átláthatóság a NAT számára;
a hálózati topológia elrejtése a forgalom titkosított alagútba való beágyazásával;
az IP-csomagok integritásának és titkosságának biztosítása;
biztonságos hálózati csomópontok és felhasználók hitelesítése.

A különböző méretű vállalatok, kormányzati szervek, magáncégek alkotják a kripto-átjárók fogyasztóinak fő kategóriáit.

Manapság a VPN-átjáró funkciók gyakorlatilag minden hálózati eszköz szerves részét képezik, legyen az vállalati útválasztó, otthoni Wi-Fi útválasztó vagy tűzfal. Figyelembe véve ezt a sajátosságot, az alábbiakban megvizsgáljuk az orosz piac kulcsfontosságú képviselőit a GOST titkosítási algoritmus használatával, valamint számos külföldi példát alternatívaként.

Külön sorban megjegyezzük az orosz és külföldi gyártók TLS-protokollon (TLS-átjárók) alapuló biztonságos távoli hozzáférési megoldások jelenlétét a piacon. Ebben az áttekintésben nem veszik figyelembe őket.

Globális kriptoátjáró piac

Az üzletmenet folytonossága minden földrajzilag elterjedt vállalat esetében mindig összefügg a továbbított információk védelmével. Különféle VPN-eszközök már régóta megoldják ezt a problémát. Megvalósításukban markánsan különböznek egymástól: lehetnek speciális megoldások, szoftver- és hardverrendszerekre épülő megoldások, például tűzfalak/routerek, vagy teljesen szoftveres rendszerek.

A világpiacon hasonló termékeket használnak különböző tevékenységi körökből származó cégek: egészségügy, ipari vállalkozások, közlekedési vállalatok, kormányzati szervek és még sokan mások.

A legtöbb esetben az ügyfélnek az alábbi feladatok közül egyet vagy többet kell megoldania:

elosztott vállalati hálózat védelme különféle topológiákban;
távoli felhasználók csatlakoztatása a vállalati hálózathoz (beleértve a mobileszközöket is);
link réteg védelme.

Az SSL VPN szilárdan megállja a helyét a globális piacon, amint azt az Alliedmarketresearch kutatása is bizonyítja. Szerintük a globális SSL VPN piac 2016-ban meghaladta a 3 milliárd dollárt. Előre jelzett növekedés 2023-ra – akár 5,3 milliárd.

A globális piac meghatározó szereplői közül vezető pozíciókat a Cisco Systems, a Citrix Systems, a Pulse Secure, az F5 Networks tölt be.

Az 1. ábra a globális SSL VPN piac legfontosabb növekedési szegmenseit mutatja be:

vékony kliens mód;
teljes alagút mód;
kliens nélküli mód.

Orosz kriptoátjáró piac

Oroszországban a titkosítási átjárók fő fogyasztói a kormányzati szervek, valamint a személyes adatok üzemeltetői. Hazánk területén több olyan szabályozás is létezik, amely meghatározza, hogy bizonyos problémák megoldására milyen szempontok alapján lehet az információbiztonsági eszközöket alkalmazni.

Ezek a dokumentumok a következőket tartalmazzák:

2006. július 27-i 152-FZ szövetségi törvény a személyes adatokról.
Az Orosz Föderáció kormányának 2012.11.01.-i 1119. számú rendelete „A személyes adatok védelmére vonatkozó követelmények jóváhagyásáról a személyes adatok információs rendszerekben történő feldolgozása során”.
Az orosz FSTEC 2013. február 11-i 17. számú végzése „Az állami információs rendszerekben található, államtitkot nem minősülő információk védelmére vonatkozó követelmények jóváhagyásáról”.
Az oroszországi FSTEC 2013. február 18-i, 21. számú végzése „A személyes adatok biztonságát biztosító szervezeti és technikai intézkedések összetételének és tartalmának jóváhagyásáról a személyes adatok információs rendszereiben történő feldolgozásuk során”.
Szabályzat a titkosítási (kriptográfiai) információbiztonsági eszközök fejlesztéséről, előállításáról, megvalósításáról és üzemeltetéséről (PKZ-2005 Szabályzat).

A kriptoátjárók egyik fő követelménye a piaci szabályozók – az orosz FSB és az orosz FSTEC – érvényes megfelelőségi tanúsítványainak rendelkezésre állása. A titkosítási (kriptográfiai) eszközök követelményeinek való megfelelésről szóló FSB of Russia tanúsítványt csak akkor adják ki, ha a titkosítási átjárót hazai titkosítási algoritmusokkal valósítják meg a GOST 28147-89 szerint.

A külföldi gyártók ritkán támogatják a GOST szerinti titkosítást, és ilyen megfelelőségi tanúsítványokat kapnak megoldásaikhoz, amelyet a kriptográfiai információvédelmi eszközök (CIPF) orosz gyártói aktívan használnak.

Külön meg kell jegyezni az automatizált folyamatirányító rendszerek (APCS) kiberbiztonságával kapcsolatos tendenciát. Napjainkban egyes kriptográfiai információvédelmi eszközök biztonságos titkosítási átjárókat kínálnak a piacon, amelyek megfelelnek a por- és nedvességvédelem követelményeinek, valamint a speciális hőmérséklet-tartományoknak. Voltak olyan szabályozások is, amelyek meghatározzák az ilyen rendszerek információvédelmének követelményeit:

2017. július 26-i szövetségi törvény 187-FZ "Az Orosz Föderáció kritikus információs infrastruktúrájának biztonságáról".
Az oroszországi FSTEC 2014. március 14-i, 31. számú rendelete „A kritikus létesítményekben, potenciálisan veszélyes létesítményekben, valamint fokozott veszélyt jelentő létesítményekben a termelési és technológiai folyamatok automatizált vezérlőrendszereiben található információvédelmet biztosító követelmények jóváhagyásáról” az emberek életére és egészségére, valamint a környezetre. természeti környezet".

Ez lehetővé teszi, hogy a kriptográfiai információbiztonsági gyártók számára termékeik fejlesztése szempontjából ennek az iránynak a komoly perspektívájáról beszéljünk.

Tekintsük részletesebben néhány orosz és külföldi kriptográfiai átjáró jellemzőit.

Orosz titkosítási átjárók

Atlix-VPN ("NTC Atlas")

Az Atlix-VPN hardver és szoftver komplexum (PAC) az orosz NTC Atlas cég terméke. A PAK célja, hogy biztosítsa az IPsec protokollon és az X.509 szabványon alapuló virtuális magánhálózatok (VPN) létrehozását és interakcióját orosz kriptográfiai algoritmusok segítségével.

A GOST 28147-89, GOST R 34.11-94, GOST R 34.10-2001 támogatott szabványok.

Megkülönböztető jellemzője a funkcióinak végrehajtásához szükséges kulcsfontosságú információk megadásának módja. Ehhez az orosz szellemi kártyát (RIC) használják - az STC Atlas, a CJSC Program Systems and Technologies, az OJSC Angstrem által kifejlesztett mikroprocesszoros kártyát. A kártya a JSC Angstrem által gyártott hazai mikroprocesszor alapján készült.

Hardveres szempontból az "Atlix-VPN" egy speciális, rögzített platform szerverén működik. A PAK a mai szabványok szerint viszonylag alacsony titkosítási teljesítményt biztosít – 85 Mbps. Ez a sebesség és a hardverplatform típusa az oroszországi FSB követelményeinek megfelelő magas biztonsági osztálynak köszönhető, amelyet a PAK - KV2 biztosít.

2. ábra: PAK "Atlix-VPN"

Az Atlix-VPN a következő érvényes megfelelőségi tanúsítványokkal rendelkezik:

Oroszország FSB №СФ / 124-2958, amely megerősíti, hogy a PAK megfelel a KB2 osztály titkosítási (kriptográfiai) eszközeire vonatkozó követelményeknek, és felhasználható olyan információk kriptográfiai védelmére (IP-forgalom titkosítása és utánzása), amelyek nem tartalmaznak információt alkotó információkat. államtitok;
Az oroszországi FSTEC 1864, amely megerősíti, hogy a PAK megfelel a „Számítógépes berendezések. Tűzfalak. Védelem az információkhoz való jogosulatlan hozzáférés ellen. Az információkhoz való jogosulatlan hozzáférés elleni biztonság mutatói ”- a 4. biztonsági osztályhoz.

További információ az Atlix-VPN PAK-ról a gyártó honlapján található.

ZASTAVA (ELVIS-PLUS)

Hardver és szoftver rendszerek ZASTAVA - az orosz ELVIS-PLUS cég fejlesztése. A PAK IPsec / IKE protokollokon alapuló virtuális védett hálózatok (VPN) technológiák segítségével biztosítja a vállalati információs rendszerek hálózati szintű védelmét. A ZASTAVA nemcsak VPN-átjáró a hazai kriptográfiai algoritmusok támogatásával, hanem tűzfal is. A ZASTAVA az egyetlen orosz termék, amely megvalósítja az IKE protokoll jelenlegi verzióját (IKEv2). Az orosz gyártók többsége az IKEv1 protokollt használja, amelyet több mint 10 évvel ezelőtt az IETF hivatalosan elavultnak ismerte el, többek között biztonsági problémák miatt. Ehhez képest az IKEv2 ellenállóbb a szolgáltatásmegtagadási támadásokkal szemben, ellenállóbb a hálózati problémákkal szemben, és rugalmasabb a használata. Az IKEv2 protokoll jelenleg aktív fejlesztés alatt áll az IETF-ben, beleértve a kriptográfia olyan fejlett területeit, mint például az adatok kvantumszámítógépekkel szembeni védelme vagy a munkabizonyítás elvének alkalmazása a DoS támadások leküzdésére. Az ELVIS-PLUS aktívan részt vesz ezekben a munkákban, és azonnal hozzáadja a PAK ZASTAVA új protokollfunkcióinak támogatását.

A ZASTAVA három különálló komponensből áll:

A ZASTAVA-Client a távoli hozzáférésű kliens funkcióit valósítja meg VPN-en keresztül;
A ZASTAVA-Office VPN-átjáró és tűzfal funkcióit valósítja meg;
A ZASTAVA-Management a Security Policy Management Center feladatait látja el a hálózatbiztonság egységes kezeléséért.

Megkülönböztető tulajdonságok:

külső kriptográfiai modulok használata, amelyek megvalósítják a GOST R 34.10-2001, GOST R 34.10-2012, GOST R 34.11-2012, GOST 28147-89, különösen a CryptoPro CSP CIP szabványokat;
nem csak a hazai, hanem a külföldi kriptográfiai algoritmusok támogatása is - RSA, DH, ECDH, DES, 3DES, AES, SHA1, SHA2;
partnerek hitelesítése X.509 tanúsítványokkal;
a PAK központosított kezelésének támogatása a ZASTAVA-Management terméken keresztül;
az "aktív / passzív" módban működő feladatátvevő fürt funkcióinak megvalósítása;
a hardverplatformtól függően a titkosítási teljesítmény 40 Mbps és 4 Gbps között változhat;
A kliens munkaállomásoktól a PAK-ig terjedő kommunikációs csatorna titkosítására saját fejlesztésű ZASTAVA-Client terméket használunk.

A ZASTAVA számos érvényes tanúsítvánnyal rendelkezik az orosz FSB és az orosz FSTEC követelményeinek való megfelelésről, különösen:

Az orosz FSB №СФ / 114-3067, amely megerősíti a KC3 osztályú államtitkot nem tartalmazó információk kriptográfiai védelmére vonatkozó követelményeknek való megfelelést; kriptográfiai védelemre használható (IPsec ESP alapú IP-csomagok titkosítása, IPsec AH és/vagy IPsec ESP alapú IP-csomagok hash funkciójának kiszámítása, előfizetők kriptográfiai hitelesítése IKE v1 vagy IKE protokoll v2 alapú kapcsolat létesítésekor) államtitkot nem tartalmazó információ;
Az oroszországi FSTEC No. 2573, amely tanúsítja, hogy a PAK megfelel a „Számítógépes létesítmények. Tűzfalak. Védelem az információkhoz való jogosulatlan hozzáférés ellen. Biztonsági mutatók az információkhoz való jogosulatlan hozzáférés ellen "a 2. biztonsági osztályhoz.

További információ a PAK ZASTAVA-ról a gyártó honlapján található.

"Kontinens" ("Biztonsági kód")

A kontinens hardver-szoftver titkosítási komplexuma (APKSH) az orosz Security Code cég által gyártott kriptográfiai átjáró. Az APKSH tűzfalat és kriptográfiai védelmet biztosít a nyílt kommunikációs csatornák számára a GOST 28147-89 szerint.

Az APPS lehetővé teszi a hálózati forgalom védelmét a többszolgáltatást nyújtó hálózatokban, a hálózati szegmensek felosztását, a helyi hálózathoz való biztonságos távoli hozzáférés megszervezését és más biztonságos hálózatokkal való összekapcsolás megvalósítását (a termék alapján). Az APKSH a FreeBSD-n alapul.

Az APKSH a következő funkciókkal rendelkezik:

támogatja a központosított felügyeletet és felügyeletet a Continent Network Management Center termék használatával;
az APCS hardveres redundanciája a hibatűrő konfiguráció megvalósítása érdekében;
az APCSh modellválasztékában van egy teljesítmény az ipari rendszerek információvédelmére;
modellek széles választéka, amelyek támogatják a 10 Mbps és 3,5 Gbps közötti titkosítási sebességet önálló megoldás használata esetén (akár 10 Gbps, ha a titkosított forgalmat APPS-ből osztják el farmok között);
támogatja a hálózatok átlátható aggregálását a kapcsolati rétegben (L2 VPN);
forgalomszűrés hálózati alkalmazások szintjén (DPI);
szűrési parancsok HTTP, FTP protokollokhoz;
URL-szűrés statikus listák és reguláris kifejezések alapján;
a közepes és nagy teljesítményű átjárók (IPC-400-tól és magasabbaktól) 2U formátumban valósulnak meg;
az APSH modellcsalád akár 34 GbE interfésszel rendelkező platformokat is tartalmaz, beleértve legfeljebb 4 optikai 10 Gb SFP +, legfeljebb 32 optikai 1 Gb SFP-t;
A Continent-AP szoftverterméket VPN-kliensként használják.

3. ábra APCS "kontinens" IPC -3034

Meg kell jegyezni, hogy az APKSH-t beépített manipulációgátló eszközzel szállítják - a Sobol szoftver- és hardverkomplexumot. Ezenkívül az APPS űrlap és a rendszergazdai útmutató szintjén korlátozva van a titkosítási átjárók maximális száma egy "kontinens" hálózati vezérlőközponttal rendelkező hálózatban.

Az APKSH szerepel a hazai szoftverek nyilvántartásában (310. sz.), és számos érvényes megfelelőségi tanúsítvánnyal rendelkezik, többek között:

FSB of Russia No.СФ / 124-2617, amely megerősíti a KC3 osztályú titkosítási (kriptográfiai) eszközökre vonatkozó követelményeknek való megfelelést, és kriptográfiai védelemre (kulcsinformációk létrehozására és kezelésére, IP-csomagokban továbbított adatok titkosítására és imitációjára) használható általános adatátviteli hálózatokon) államtitkot nem tartalmazó információt;
3008. számú orosz FSTEC, amely megerősíti az „A” típusú tűzfalak (IT.ME.A3.PZ) és a hálózati szintű behatolásérzékelő eszközök (IT.COV.S3.PZ) követelményeinek való megfelelést a 3. osztályhoz (a dokumentum megtekintés nem érhető el a gyártó honlapján, kérésre elérhető).

További információ az APKSH "kontinensről" a gyártó honlapján található.

FPSU-IP (AMIKON, "InfoCrypt")

Hardver- és szoftverkomplexum "Hálózati rétegű csomagszűrő - Internet Protokoll" (FPSU-IP), amelyet az orosz AMIKON cég készített az InfoCrypt részvételével. A PAK egy tűzfal és virtuális magánhálózat (VPN).

Az FPSU-IP támogatja a GOST 28147-89, GOST R 34.10-2012, GOST R 34.11-2012 hazai szabványokat, amelyeket az "InfoCrypt" által gyártott CIPF "Tunnel 2.0" segítségével hajtottak végre (a kriptográfia szempontjából). A PAK Linux alapon működik.

Az FPSU-IP a következő funkciókkal rendelkezik:

támogatja a „forró” biztonsági mentési módban való munkavégzés lehetőségét (a gyártó opcióként kínálja);
1U és 2U szabvány méretű különféle hardverplatformok alapján valósul meg;
saját VPN protokollt használ;
Az FPSU-IP / Client szoftvert távoli kliens komponensként használják (a PAK-on lévő kliensszoftverekkel való interakció aktiválását a gyártó opcióként kínálja);
a felállás 10 Mbps és 12 Gbps közötti adattitkosítási sebességet biztosít (1450 bájtos IP-csomagmérettel és 56 számítási adatfolyammal).

4. ábra FPSU-IP átjáró

Az FPSU-IP különféle hardverplatformokon és szoftvereken alapuló megoldás, beépített tanúsított kriptográfiai információvédelmi rendszerrel.

A beépített CIPF rendelkezik az oroszországi FSB érvényes, СФ / 124-3060 számú tanúsítvánnyal, és megfelel az államtitkot nem tartalmazó, КС1, КС2, КС3 osztályú információkat nem tartalmazó kriptográfiai információvédelmi eszközök követelményeinek. .

További információ az FPSU-IP-ről a gyártó honlapján található.

ALTELL NEO ("AltEl")

Az AltEl által gyártott ATLELL NEO hardver és szoftver komplexum.

A legfontosabb funkció a tűzfal és a biztonságos kommunikációs csatornák kiépítésének képessége. Az ALTELL NEO UTM (Unified Threat Management) megoldásként is pozícionálható, amely nemcsak a tűzfal, a VPN-átjáró képességeit ötvözi, hanem a behatolásészlelést és -megelőzést, a tartalomszűrést és a rosszindulatú programok elleni védelmet is.

A termék egy beágyazott tanúsított szoftverrel kombinált hardverplatform. Az IPsec, az OpenVPN titkosítási protokollként támogatott a GOST 28147-89 használatával.

A gyártó által kínált platformok a fiatalabbak (100 és 110) kivételével három szoftververzió valamelyikével működhetnek: FW (tűzfal), VPN (crypto gateway), UTM. A szoftver minden további verziója tartalmazza a korábbiak funkcionalitását.

Az ALTELL NEO a következő tulajdonságokkal rendelkezik:

különféle konfigurációjú hardverplatformok széles választéka;
Vállalati szintű hardverplatform (340-es modell, 2U formátum) megnövelt hálózati interfészek sűrűséggel rendelkezik (akár 65 RJ45 GbE port / akár 64 SFP GbE port / akár 16 SFP + 10 GbE port);
a titkosítási teljesítmény (a hardverplatformtól függően) az IPsec algoritmus használatakor 18 Mbps és 2,4 Gbps között, OpenVPN - 14 Mbps és 1,4 Gbps között.

5. ábra Átjáró ALTELL NEO 340

A megoldásban használt szoftver a hazai szoftverek nyilvántartásában (3768. sz.) szerepel, és az alábbi megfelelőségi tanúsítványokkal rendelkezik:

Az orosz FSB №SF / SZI-0074, amely megerősíti a 4. biztonsági osztályba tartozó tűzfalakra vonatkozó követelmények teljesítését, és azt, hogy a szoftver felhasználható az információk illetéktelen hozzáféréstől való védelmére az Orosz Föderáció állami hatóságainak információs és távközlési rendszereiben ;
FSTEC of Russia No. 2726, amely tanúsítja, hogy a szoftver megfelel a „Számítógépes létesítmények. Tűzfalak. Védelem az információkhoz való jogosulatlan hozzáférés ellen. Az információkhoz való jogosulatlan hozzáférés elleni biztonság mutatói "- a 2. biztonsági osztályhoz.

Meg kell jegyezni, hogy a felülvizsgálat nyílt forráskódú közzétételekor nem lehetett megtalálni az oroszországi FSB érvényes tanúsítványát a KC1 / KC2 / KC3 osztályok titkosítási (kriptográfiai) eszközeire vonatkozó követelményeknek való megfelelésről.

Az ALTELL NEO-val kapcsolatos további információk a gyártó honlapján találhatók.

S-Terra Gateway 4.1 ("S-Terra CSP")

Az orosz S-Terra CSP cég által gyártott C-Terra Gateway termék egy szoftvercsomag (a továbbiakban PC), amely különféle hardverplatformokon alapul.

Az SS-Terra Gateway 4.1 biztosítja a GOST 28147-89 szerinti titkosítást és a nyílt kommunikációs csatornákon IPsec protokollon keresztül továbbított forgalom imitációs védelmét. A VPN mellett a termék tűzfal funkcióval is rendelkezik. Operációs rendszerként a Debiant használják.

A PC kriptográfiai funkcióit egy szabadalmaztatott kriptográfiai könyvtár – a C-Terra ST – valósítja meg, amely kompatibilis a CryptoPro CSP CIPF-fel.

A C-Terra Gateway 4.1 a következő főbb jellemzőkkel rendelkezik:

támogatja a központi távvezérlést az S-Terra KP rendszeren keresztül;
a titkosítási megoldás teljesítménye 60 Mbps-tól 2,5 Gbps-ig, az átjáró típusától és a hardverplatformtól függően;
virtuális gépként való végrehajtás lehetséges (C-Terra Virtual Gateway);
lehetőség van az S-Terra Gateway PC telepítésére az ügyfél hozzáférési pontjára;
a gyártó megoldást kínál egy 10 Gbps-os kommunikációs csatorna L2 szintű védelmére úgy, hogy 4 pár 7000 High End modell átjárót helyez el a C-Terra L2 szoftvermodullal és két pár switchet két adatközpontban (figyelembe véve a tényt hogy a védett kommunikációs csatornán a forgalom többnyire TCP, nincs IP telefon).

6. ábra С-Terra Gateway 1000

Az S-Terra Gateway 4.1-et az oroszországi FSB kriptográfiai védelmi rendszerként tanúsította a KS1, KS2, KS3 osztályokhoz és a 4. osztályú ME, valamint az oroszországi FSTEC 3. osztályú tűzfalként (ME 3). A tanúsítványok között:

Oroszország FSB No.SF / 124-2517, amely megerősíti a KC3 osztály titkosítási (kriptográfiai) eszközeire vonatkozó követelmények teljesítését;

Oroszország FSB №СФ / 525-2663, amely megerősíti a 4. biztonsági osztályba tartozó tűzfalakra vonatkozó követelmények teljesítését;

FSTEC of Russia No. 3370, amely igazolja, hogy az S-Terra Gateway megfelel a „Számítógépes létesítmények. Tűzfalak. Védelem az információkhoz való jogosulatlan hozzáférés ellen. Az információkhoz való jogosulatlan hozzáférés elleni biztonság mutatói "- a 3. biztonsági osztályhoz.

További információ az S-Terra Gateway-ről a gyártó honlapján található.

Diamond VPN (TCC)

A TCC Diamond VPN / FW hardver és szoftver komplexum egy nagy teljesítményű UTM megoldás, amely egyesíti a tűzfal, a VPN átjáró és a behatolásérzékelő rendszer (IDS) funkcióit.

A PAK biztosítja a GOST 28147-89 titkosítást a DTLS protokoll használatával.

A főbb jellemzők a következők:

hibatűrő konfiguráció létrehozásának támogatása "aktív / passzív" módban;
a teljesítmény elérhetősége (7141-es modell), nagy teljesítményt biztosítva (titkosítás 16 Gbps-ig, tűzfal 40 Gbps-ig);
nagy portsűrűség maximális hardverkonfigurációban (akár 32 RJ45 GbE port / akár 32 GbE SFP port / akár 16 10G SFP + port);
egy ipari szintű titkosítási átjáró (Diamond VPN / FW Industrial model) jelenléte az APCS-ben lévő információk védelmére.

7. ábra PAK Diamond VPN / FW

A PAK szerepel a hazai szoftverek nyilvántartásában (1425. sz.), és rendelkezik az oroszországi FSTEC 2260. számú érvényes tanúsítvánnyal, amely megerősíti a „Számítógépes létesítmények. Tűzfalak. Védelem az információkhoz való jogosulatlan hozzáférés ellen. Az információkhoz való jogosulatlan hozzáférés elleni biztonság mutatói "- a 2. biztonsági osztályhoz.

Megjegyzendő, hogy az oroszországi FSB 124-2702 számú érvényes tanúsítványa a KC1 és KC2 osztályok titkosítási (kriptográfiai) eszközeire vonatkozó követelményeknek való megfeleléshez (verziótól függően) a CIPF Dcrypt 1.0-val rendelkezik, amely a PAC részeként valósítja meg a titkosítás és az elektronikus aláírás funkcióit.

További információ a Diamond VPN / FW-ről a gyártó honlapján található.

Dionis-NX ("Factor-TS")

A Dionis-NX hardver és szoftver komplexum az orosz Factor-TS cég fejlesztése. A PAK egy UTM eszköz, amely tűzfalként, kriptorouterként, behatolásérzékelő és -megelőzési rendszerként használható.

A PAK lehetővé teszi VPN-alagutak építését a GOST 28147-89 szerint a GRE, PPTP, OpenVPN protokollok használatával.

A következő megkülönböztető jellemzőkkel rendelkezik:

a gyártó öt lehetőséget kínál a 100 Mbps-tól 10 Gbps-ig terjedő titkosítási sebességet biztosító hardverplatformokhoz;
a klaszter végrehajtásának támogatása hibatűrő konfigurációban ("aktív / passzív" mód);
támogatja a "Dissek" szoftverrel való interakciót, amely megvalósítja a VPN-kliens funkcionalitását.

A Dionis-NX szerepel a hazai szoftverek nyilvántartásában (2772. sz.), és rendelkezik az oroszországi FSTEC 2852. számú érvényes tanúsítvánnyal, amely megerősíti, hogy megfelel a „Számítógépes létesítmények. Tűzfalak. Védelem az információkhoz való jogosulatlan hozzáférés ellen. Az információkhoz való jogosulatlan hozzáférés elleni biztonság mutatói "- a 2. biztonsági osztályhoz.

Meg kell jegyezni, hogy az oroszországi FSB 124-2625 számú érvényes tanúsítványa a KC1 és KC3 osztályok titkosítási (kriptográfiai) eszközeire vonatkozó követelményeknek való megfelelésre (verziótól függően) a CIPF DioNIS-NX rendelkezik, amely a titkosítási funkciókat a PAC részeként valósítja meg.

További információ a "Dionis-NX"-ről a gyártó honlapján található.

ViPNet Coordinator HW (Infotecs)

A ViPNet Coordinator HW hardver- és szoftverkomplexumot az orosz Infotecs cég fejlesztette ki, és egy tanúsított titkosítási átjáró és tűzfal.

A ViPNet Coordinator HW védelmet biztosít - a különféle kommunikációs csatornákon továbbított adatok titkosítását VPN felépítésével (mind a hálózaton, mind az OSI modell csatornaszintjein - L3, L2 VPN) a GOST 28147-89 szerint. A PAK lehetővé teszi az adatközponthoz és a vállalati infrastruktúrához való biztonságos hozzáférés megszervezését. A közepes és nagy teljesítményű PAC-ok 1U méretűek. Az adaptált Linux operációs rendszeren működik.

A ViPNet Coordinator HW a következő funkciókkal rendelkezik:

VPN felépítéséhez a saját fejlesztésű ViPNet VPN protokollt használják, amely kommunikációs csatorna típusától függetlenül akadálytalan biztonságos interakciót, automatikus barangolást biztosít a kommunikációs csatornák között;
a modern többszolgáltatásos hálózatokban végzett munka támogatása (Cisco SCCP, H.323 protokollok használatával);
titkosítási teljesítmény 50 Mbps-tól 5,5 Gbps-ig (önálló megoldásokhoz), modelltől függően;
a hibatűrő konfiguráció támogatása ("aktív / passzív" mód) a közepes és magas szintű modellekhez (a HW1000 modelltől);
a központi kezelés és a távoli frissítések támogatása a ViPNet Administrator szoftverrel;
támogatja a kliens komponensekkel való interakciót (ViPNet Client szoftver) különböző operációs rendszereken (Windows, Linux, macOS, iOS, Android).

8. ábra: PAK ViPNet Coordinator HW1000

A PAK gyártó megoldásaiban rögzített konfigurációjú hardverplatformokat használ, ami lehetővé teszi a magas szintű titkosítási védelem (KC3) elérését további eszközök, például hardver- és szoftvermodulok megbízható betöltéshez (APMDZ) használata nélkül.

A ViPNet Coordinator HW szerepel a hazai szoftverek nyilvántartásában (2798. sz.), és számos érvényes megfelelőségi tanúsítvánnyal rendelkezik, többek között:

Oroszország FSB No.СФ / 124-2981, amely megerősíti a KC3 osztály titkosítási (kriptográfiai) eszközeire vonatkozó követelmények teljesítését;
Oroszország FSB №СФ / 525-3007, amely megerősíti a 4. biztonsági osztályba tartozó tűzfalakra vonatkozó követelmények teljesítését;
FSTEC of Russia No. 3692, amely tanúsítja, hogy a PAK "A" típusú tűzfal, és megfelel a "Tűzfalakra vonatkozó követelmények" (FSTEC of Russia, 2016) és "A negyedik védelem A típusú tűzfalának biztonsági profilja" dokumentumok követelményeinek osztály. IT.ME.A4.PZ".

További információ a ViPNet Coordinator HW-ről a gyártó honlapján található.

Külföldi titkosítási átjárók

Ebben a részben közelebbről megvizsgáljuk az információbiztonsági termékek főbb külföldi gyártóit. Itt számos megoldási lehetőség található a szoftver- és hardvertervezésben.

Az alább felsorolt gyártók a modern piacra kínálnak UTM-megoldásokat, „kombinációkat” a „minden az egyben” kategóriából. Ez magában foglalja az NGFW (Next Generation Firewall), az IDS / IPS (behatolásészlelő és -megelőzési rendszerek), a streaming víruskereső és természetesen a VPN-átjáró funkcióit. Ez utóbbi különösen érdekes számunkra a jelen áttekintés keretében.

Meg kell jegyezni, hogy a külföldi gyártók VPN-jükhöz kizárólag külföldi titkosítási algoritmusokat használnak - DES, 3DES, AES. Ennek megfelelően az ilyen megoldások célügyfele (a VPN szempontjából) Oroszországban nem olyan kormányzati szerv vagy szervezet, amely az áttekintés elején jelzett előírásoknak megfelelően működik.

Mivel a kriptográfiai védelmi eszközök piaca az Orosz Föderáció területén szabályozott, a külföldi gyártóknak hivatalosan kell importálniuk termékeiket az összes vonatkozó normának és követelménynek megfelelően. Ebben az esetben két lehetőség közül választhat:

egyszerűsített rendszer szerinti behozatal (az értesítés szerint a nyilvántartás elérhető az Eurázsiai Gazdasági Unió honlapján);
az orosz FSB vagy az orosz Ipari és Kereskedelmi Minisztérium engedélye alapján importálják.

Az oroszországi FSB tanúsítási rendszerében külföldi kriptográfiai algoritmusok használata miatt az ebben a részben tárgyalt megoldások nem kerülnek bemutatásra.

Cisco VPN megoldások (Cisco ASA 5500-X, Cisco Firepower, Cisco ASAv, Cisco IOS VPN)

A nemzetközi Cisco Systems vállalat széles körű megoldás-portfólióval rendelkezik a VPN építésére, amelyek nemcsak a lehetőség megvalósításának jellemzőiben különböznek, hanem az alapvető funkcionalitásban is. Például a Cisco ASA 5500-X vagy a Cisco Firepower többfunkciós biztonsági átjárók, amelyek olyan VPN-ket tartalmaznak, amelyek különösen hatékonyan használhatók távelérési VPN-ekhez. A Cisco ISR / ASR / GSR / CSR útválasztó azonban, amelyet elsősorban az internethez való csatlakozásra terveztek, fejlett helyek közötti VPN-képességekkel rendelkezik.

A Cisco Adaptive Security Appliance (ASA) és a Cisco Firepower a Cisco kiemelt biztonsági termékei közé tartozik. Ezek a megoldások a virtualizált ASAv biztonsági átjáróval és az IOS VPN funkcióval rendelkező routerrel együtt lehetővé teszik a VPN kommunikációt IPSec, IPSec RA, SSL, SSL kliens nélküli, DTLS használatával 100 Mbps és 51 Gbps közötti sebességgel és akár 60 000 távoli felhasználó támogatásával. .

Megkülönböztető tulajdonságok

Foglalás. Két lehetőség van: feladatátvételi megoldás és fürtözés, beleértve a földrajzilag elosztott. Az első esetben két eszközt egy logikai eszközbe egyesítenek. Két üzemmód áll rendelkezésre: aktív / készenléti és aktív / aktív. A másodikban akár 16 ASA-eszközt (5585-X modellhez) lehet egyetlen logikai eszközbe kombinálni. Ez a képesség jelentősen javíthatja a megoldás teljesítményét.
Támogatja a DMVPN, GET VPN, Easy VPN technológiákat.
A multimédiás forgalom védelmének optimalizálása.
Támogatja az alkalmazásonkénti VPN funkciót (differenciált forgalom titkosítás a különböző alkalmazásokhoz).
Támogatás egy távoli hely (mobileszköz) biztonsági megfelelőségének értékeléséhez a VPN-alagút létrehozása előtt.
Beépített további biztonsági mechanizmusok, mint például a beépített tanúsító hatóság (CA).
API külső szűrőrendszerekkel és szolgáltatásmenedzsmenttel való integrációhoz - Web-proxy, AAA és megfelelőségi értékelés.
Integráció a Cisco ASA 5500-X többfunkciós biztonsági platform, Cisco Firepower vagy Cisco router, ITU és NGFW, NGIPS, kártevőirtó alrendszer, URL-szűrő alrendszer biztonsági képességeivel.

9. ábra Cisco Firepower 9300

A Cisco ASA 5500-X, Cisco Firepower vagy Cisco ISR helyileg a Cisco Adaptive Security Device Manageren (ASDM), Cisco Firepower Eszközkezelőn vagy Cisco Security Device Manageren keresztül, vagy központilag a Cisco Security Manageren, a Cisco Firepower Management Centeren, vagy Cisco Defense Orchestrator...

A távoli kliens munkaállomások csatlakoztatásához az orosz vagy Cisco SSL kliens nélküli kliens nélküli technológiára lokalizált Cisco AnyConnect Secure Mobility Client, valamint az Apple iOS-be és Androidba beépített VPN-kliensek használhatók.

A Cisco ASA 5500-X, a Cisco Firepower és a Cisco ISR megoldások több tucat különböző érvényes FSTEC megfelelőségi tanúsítvánnyal rendelkeznek, köztük a 3738-as számú, amely tanúsítja, hogy a PAK megfelel az A6, B6 osztályú tűzfalakra vonatkozó követelményeknek, és rendelkezik a a nem dokumentált képességek hiánya. A Cisco a C-Terra CSP-vel együtt kifejlesztett egy orosz titkosítási algoritmusokon (GOST 28147-89 stb.) alapuló titkosítási modult, amelyet az FSB tanúsított a KC1 / KC2 osztályok titkosítási védelmi eszközeként. Ez a modul a Cisco ISR-hez készült, amely platformként használható más VPN-megoldások futtatásához. Elsősorban a közös Cisco ISR megoldások VipNet és TSS VPN megoldások integrációja és tesztelése valósult meg.

A Cisco ASA 5500-X, Cisco Firepower, Cisco ISR-ről további információ a gyártó honlapján található.

F5 Networks VPN megoldások

Az F5 Networks komplett megoldásokat és önálló VPN-eszközöket kínál. 2016 óta a vállalat a végpontok közötti megoldásokra összpontosít, és az elszigetelt VPN-átjárókat fokozatosan megszüntetik.

Az F5 Access Policy Manager (APM) egy dedikált szoftvermodul, amely VPN-funkciókat, valamint számos különféle szolgáltatást tartalmaz, beleértve a BIG-IP-t, a felhasználók és az alkalmazáskiszolgálók közötti teljes proxyt, amely biztonságot, alkalmazásforgalom-optimalizálást és terhelések kiegyensúlyozását biztosítja.

A BIG-IP VPN-ügyfél a TLS-t és a Datagram TLS-t (Datagram TLS) használja a késleltetésre érzékeny alkalmazások engedélyezéséhez. Ez a kliens minden általános asztali és mobilplatformon elérhető.

A BIG-IP megoldások a szabadalmaztatott operációs rendszer (OS) F5 TMOS alapján működnek. Előnyei között szerepel:

Nyílt API, amely lehetővé teszi a forgalom rugalmas kezelését és a teljesítmény növelését az API Control segítségével.
A forgalomirányítás F5-eszközökkel történik, speciális iRules szkriptnyelv segítségével.
IApps sablonok, amelyek lehetővé teszik a hálózati szolgáltatások telepítését és kezelését bizonyos alkalmazásokhoz.

Az F5 eddigi kínálata a BIG-IP 1600-zal kezdődik, és a BIG-IP 11050-vel végződik, amely a legnagyobb önálló VPN-eszközük.

A legnagyobb blade szerver megoldás a Viprion 4800. Akár 30 000 SSL tranzakciót támogat.

10. ábra F5 Viprion 4800

Az F5 Networks termékei nem szerepelnek a tanúsított információbiztonsági termékek ROSS RU.0001.01BI00 (Oroszország FSTEC) állami nyilvántartásában.

Az F5 Networks termékeiről bővebb információ a gyártó honlapján található.

NetScaler (Citrix Systems)

A NetScaler a Citrix Systems hálózatbiztonsági termékcsaládja. A Citrix VPN megoldások a NetScaler Gateway termékbe vannak beépítve. A NetScaler gateway, mint minden Citrix berendezés, alapértelmezés szerint be van építve a vállalat számos termékcsaládjába.

A NetScaler Gateway SSL VPN funkciókat kínál, beleértve a Citrix XenDesktop, XenApp, XenMobile, MS RDP, VMware horizon, valamint webalkalmazások és erőforrások biztonságos elérését a vállalati hálózaton belül. Ezenkívül a termék biztosítja a biztonságos hálózati hozzáférés lehetőségét bármely szerverhez, valamint az eszköz elemzését és meghatározását.

A Citrix Gateway a TLS-t és a DTLS-t is támogatja, az Ön forgalmi követelményeitől függően.

A termék legalacsonyabb MPX platformja (5550) akár 1500 SSL tranzakciót is támogat. A legproduktívabb (22 120) - akár 560 000 SSL-tranzakció.

11. ábra Citrix NetScaler MPX-8005

A Citrix NetScaler átjárók nem szerepelnek a tanúsított információbiztonsági eszközök ROSS RU.0001.01BI00 (Oroszország FSTEC) állami nyilvántartásában.

A Citrix termékekkel kapcsolatos további információkért látogasson el a gyártó weboldalára.

Pulse Secure (Juniper Networks)

A Pulse Secure az amerikai Juniper Networks cég terméksorozata. Kulcsfunkciók – SSL VPN.

A gyártó négy különböző teljesítményű és formájú szoftver- és hardverkomplexumot kínál.

A minimális konfigurációs modell (PSA300) 200 Mbps átviteli sebességet biztosít 200 SSL kapcsolathoz. A legnagyobb teljesítményű megoldás (PSA7000) – 10 Gbps 25 000 SSL kapcsolathoz.

A Pulse Secure termékcsalád megkülönböztető jellemzője a két tápegység jelenléte a PSA7000 modellhez.

12. ábra: Pulse Secure Appliance 7000

A Pulse Secure átjárók nem szerepelnek a tanúsított információbiztonsági eszközök ROSS RU.0001.01BI00 (Oroszország FSTEC) állami nyilvántartásában.

További információ a Pulse Secure termékekről a gyártó honlapján található.

SonicWALL

A SonicWALL a hálózati biztonsági megoldások amerikai gyártója. 2012-ben a céget felvásárolta a Dell Software Group. 2016-ban a Dell eladta a SonicWALL-t.

A cég különböző kapacitású megoldásokat kínál. Ezek többnyire UTM-megoldások, amelyek megvalósítják az NGFW, IPS, VPN, streaming antivirus funkcionalitását.

Ami a VPN-t illeti, a gyártó támogatja az IPSec-et, az SSL-t. Az alábbi ábrán látható legerősebb megoldás akár 14 Gbps VPN-átvitelt biztosít. A VPN-kapcsolatok maximális száma ebben az esetben 25 000.

A SonicWALL átjárók saját operációs rendszerüket futtatják – Sonic OS.

13. ábra SonicWALL SuperMassive 9000 Series

A SonicWALL átjárók nem szerepelnek a tanúsított információbiztonsági eszközök ROSS RU.0001.01BI00 (Oroszország FSTEC) állami nyilvántartásában.

További információ a SonicWALL termékekről a gyártó honlapján található.

következtetéseket

A kriptográfiai átjáró nem csak egy speciális VPN-megoldás, hanem egy többfunkciós termék is, amely szinte minden vállalat vagy kormányzati intézmény információbiztonsági problémáinak széles körét megoldja. A titkosítási átjárók megvalósítása kihívást jelenthet, és a szervezetnek képzett személyzetre van szüksége.

A Statista.com statisztikai portál szerint 2014-ben a VPN globális piacának volumene 45 milliárd dollár volt. Ugyanakkor 2019-re várhatóan 70 milliárdra nő. Ez azt sugallja, hogy a VPN-építéshez szükséges eszközök évről évre egyre keresettebbek lesznek.

Annak ellenére, hogy az Orosz Föderáció területén a kriptográfiai védelmi eszközök működési folyamatait a "titkosító (kriptográfiai) információvédelmi eszközök fejlesztéséről, előállításáról, megvalósításáról és üzemeltetéséről szóló rendelet (PKZ-2005 rendelet)" szabályozza. , a külföldi fejlesztőknek továbbra is lehetőségük van termékeiket orosz vásárlóknak kínálni ... A PKZ-2005 értelmében csak az információcsere résztvevői (számos fenntartással), ha nem állami intézmény, határozzák meg annak kriptográfiai védelmének szükségességét és válasszák meg az alkalmazott kriptográfiai védelem eszközeit.

Az Orosz Föderáció kritikus információs infrastruktúrájának biztonságáról szóló 187-FZ szövetségi törvény (CII) 2018. január 1-től történő hatálybalépése kötelezi a CII és az üzemanyag- és energiakomplexum vállalatait és létesítményeit, hogy tájékoztassa a hatóságokat a számítógépes incidensekről, és megakadályozza a jogellenes információszerzési kísérleteket. Egy ilyen jogalkotási kezdeményezés további lehetőséget teremt a kriptobiztonsági szegmens növekedésére a következő néhány évben.

A modern hazai kriptoátjárók egyre több olyan funkcionalitást kapnak (Next Generation Firewall, IDS, IPS, streaming antivirus), amelyeket még csak tegnap kínáltak a külföldi gyártók. A növekvő verseny, a piaci szereplők számának növekedése lehetővé teszi az ügyfél számára, hogy a legelőnyösebb pozícióba kerüljön, és az igényeinek és képességeinek igazán megfelelőt válassza ki.