Программно аппаратный комплекс реализующий функции криптографического шлюза. Обзор криптографических шлюзов российских и зарубежных производителей

Материал из Википедии - свободной энциклопедии

Криптошлюз (криптографический шлюз, vpn-шлюз, криптомаршрутизатор) - аппаратно-программный комплекс криптографической защиты трафика данных, голоса, видео на основе шифрования пакетов по протоколам IPsec AH и/или IPsec ESP при установлении соединения, соответствующий требованиям к средствам криптографической защиты информации (СКЗИ ) ФСБ России и обеспечивающий базовую функциональность современного VPN -устройства.

Назначение

Криптошлюз предназначен для обеспечения информационной безопасности организации, защиты её информационных сетей от вторжения со стороны сетей передачи данных (Интернет), обеспечения конфиденциальности при передаче информации по открытым каналам связи (VPN), а также организации безопасного доступа пользователей к ресурсам сетей общего пользования.

Криптошлюз обеспечивает базовую функциональность современного VPN-устройства:

1. конфиденциальность и целостность потока IP-пакетов;
2. маскировку топологии сети за счет инкапсуляции трафика в защищённый туннель;
3. прозрачность для NAT ;
4. аутентификацию узлов сети и пользователей;
5. унификацию политики безопасности для мобильных и «внутренних» пользователей (динамическое конфигурирование корпоративных IP-адресов для удаленных пользователей «внутри VPN»).

Криптошлюзы представлены как в сегменте VPN устройств, так и в сегменте унифицированных устройств (UTM) объединяющих несколько средств безопасности в одном.

Отличие криптошлюзов от обычных VPN маршрутизаторов заключается в том, что они работают на основе протокола IPSec и обеспечивают защиту информации, передаваемой по каналам связи, используя алгоритмы, которые отвечают требованиям российских криптографических стандартов (ГОСТ 28147-89 и ГОСТ Р 34.10-2001) .

Доступ к ресурсам информационной системы

Криптошлюзы позволяют осуществить защищённый доступ удаленных абонентов к ресурсам корпоративной информационной системы. Доступ производится с использованием специального программного обеспечения, установленным на компьютере пользователя (VPN-клиент) для осуществления защищённого взаимодействия удаленных и мобильных пользователей с криптошлюзом.

Программное обеспечение криптошлюза (сервер доступа) проводит идентификацию и аутентификацию пользователя и осуществляет его связь с ресурсами защищаемой сети. С помощью криптошлюзов формируют виртуальные защищённые каналы в сетях общего пользования (например, Internet), которые гарантируют конфиденциальность и достоверность информации, и организовывать виртуальные частные сети (Virtual Private Network – VPN), представляющие собой объединение локальных сетей или отдельных компьютеров, подключенных к сети общего пользования в единую защищённую виртуальную сеть. Для управления такой сетью обычно используется специальное программное обеспечение (центр управления), которое обеспечивает централизованное управление локальными политиками безопасности VPN-клиентов и криптошлюзов, рассылает для них ключевую информацию и новые конфигурационные данные, обеспечивает ведение системных журналов.

Напишите отзыв о статье "Криптошлюз"

Примечания

Литература

1. Жданов, О. Н., Золотарев, В. В. . - Красноярск: СибГАУ, 2007. - 217 с.

Ссылки

• . logic-soft. Проверено 28 февраля 2012. .
• . Компания «Код Безопасности». Проверено 28 февраля 2012. .
• Константин Кузовкин. . i-teco. Проверено 28 февраля 2012. .

Отрывок, характеризующий Криптошлюз

– Qui s"excuse – s"accuse, [Кто извиняется, тот обвиняет себя.] – улыбаясь и махая корпией, говорила Жюли и, чтобы за ней осталось последнее слово, сейчас же переменила разговор. – Каково, я нынче узнала: бедная Мари Волконская приехала вчера в Москву. Вы слышали, она потеряла отца?
– Неужели! Где она? Я бы очень желал увидать ее, – сказал Пьер.
– Я вчера провела с ней вечер. Она нынче или завтра утром едет в подмосковную с племянником.
– Ну что она, как? – сказал Пьер.
– Ничего, грустна. Но знаете, кто ее спас? Это целый роман. Nicolas Ростов. Ее окружили, хотели убить, ранили ее людей. Он бросился и спас ее…
– Еще роман, – сказал ополченец. – Решительно это общее бегство сделано, чтобы все старые невесты шли замуж. Catiche – одна, княжна Болконская – другая.
– Вы знаете, что я в самом деле думаю, что она un petit peu amoureuse du jeune homme. [немножечко влюблена в молодого человека.]
– Штраф! Штраф! Штраф!
– Но как же это по русски сказать?..

Когда Пьер вернулся домой, ему подали две принесенные в этот день афиши Растопчина.
В первой говорилось о том, что слух, будто графом Растопчиным запрещен выезд из Москвы, – несправедлив и что, напротив, граф Растопчин рад, что из Москвы уезжают барыни и купеческие жены. «Меньше страху, меньше новостей, – говорилось в афише, – но я жизнью отвечаю, что злодей в Москве не будет». Эти слова в первый раз ясно ыоказали Пьеру, что французы будут в Москве. Во второй афише говорилось, что главная квартира наша в Вязьме, что граф Витгснштейн победил французов, но что так как многие жители желают вооружиться, то для них есть приготовленное в арсенале оружие: сабли, пистолеты, ружья, которые жители могут получать по дешевой цене. Тон афиш был уже не такой шутливый, как в прежних чигиринских разговорах. Пьер задумался над этими афишами. Очевидно, та страшная грозовая туча, которую он призывал всеми силами своей души и которая вместе с тем возбуждала в нем невольный ужас, – очевидно, туча эта приближалась.
«Поступить в военную службу и ехать в армию или дожидаться? – в сотый раз задавал себе Пьер этот вопрос. Он взял колоду карт, лежавших у него на столе, и стал делать пасьянс.
– Ежели выйдет этот пасьянс, – говорил он сам себе, смешав колоду, держа ее в руке и глядя вверх, – ежели выйдет, то значит… что значит?.. – Он не успел решить, что значит, как за дверью кабинета послышался голос старшей княжны, спрашивающей, можно ли войти.
– Тогда будет значить, что я должен ехать в армию, – договорил себе Пьер. – Войдите, войдите, – прибавил он, обращаясь к княжие.
(Одна старшая княжна, с длинной талией и окаменелым лидом, продолжала жить в доме Пьера; две меньшие вышли замуж.)
– Простите, mon cousin, что я пришла к вам, – сказала она укоризненно взволнованным голосом. – Ведь надо наконец на что нибудь решиться! Что ж это будет такое? Все выехали из Москвы, и народ бунтует. Что ж мы остаемся?
– Напротив, все, кажется, благополучно, ma cousine, – сказал Пьер с тою привычкой шутливости, которую Пьер, всегда конфузно переносивший свою роль благодетеля перед княжною, усвоил себе в отношении к ней.
– Да, это благополучно… хорошо благополучие! Мне нынче Варвара Ивановна порассказала, как войска наши отличаются. Уж точно можно чести приписать. Да и народ совсем взбунтовался, слушать перестают; девка моя и та грубить стала. Этак скоро и нас бить станут. По улицам ходить нельзя. А главное, нынче завтра французы будут, что ж нам ждать! Я об одном прошу, mon cousin, – сказала княжна, – прикажите свезти меня в Петербург: какая я ни есть, а я под бонапартовской властью жить не могу.
– Да полноте, ma cousine, откуда вы почерпаете ваши сведения? Напротив…
– Я вашему Наполеону не покорюсь. Другие как хотят… Ежели вы не хотите этого сделать…
– Да я сделаю, я сейчас прикажу.
Княжне, видимо, досадно было, что не на кого было сердиться. Она, что то шепча, присела на стул.
– Но вам это неправильно доносят, – сказал Пьер. – В городе все тихо, и опасности никакой нет. Вот я сейчас читал… – Пьер показал княжне афишки. – Граф пишет, что он жизнью отвечает, что неприятель не будет в Москве.
– Ах, этот ваш граф, – с злобой заговорила княжна, – это лицемер, злодей, который сам настроил народ бунтовать. Разве не он писал в этих дурацких афишах, что какой бы там ни был, тащи его за хохол на съезжую (и как глупо)! Кто возьмет, говорит, тому и честь и слава. Вот и долюбезничался. Варвара Ивановна говорила, что чуть не убил народ ее за то, что она по французски заговорила…
– Да ведь это так… Вы всё к сердцу очень принимаете, – сказал Пьер и стал раскладывать пасьянс.

АПКШ «Континент» IPC-25 компактный криптошлюз для небольшого офиса. АПКШ «Континент» является мощным и гибким инструментом создания виртуальных частных сетей, позволяющим строить VPN любой архитектуры. Обеспечивает криптографическую защиту информации (в соответствии с ГОСТ 28147–89), передаваемой по открытым каналам связи, между составными частями VPN (локальные вычислительные сети, их сегменты и отдельные компьютеры). осуществляет шифрование отдельных пакетов данных уникальными ключами, что гарантирует защиту от дешифровки перехваченных данных. Для защиты от НСД предусмотрена система фильтрация трафика. Осуществляет поддержку VoIP, видеоконференций, GPRS, 3G, LTE, ADSL, Dial-Up и спутниковых каналов связи, технологии NAT/PAT для сокрытия структуры сети.

АПКШ «Континент» предназначен для решения следующих типовых задач:

• Защита сети по всему периметру
• Предоставляет возможность объединить территориально распределенные филиалы организации в единую защищенную сеть.
• Обеспечивает защиту удаленного доступа сотрудников в корпоративную сеть.

Производитель : ООО "Код Безопасности"

180 000,00 руб.

Счет сформируется автоматически. Укажите тип плательщика "юридическое лицо" и заполните реквизиты.

Сравнение версий

	АПКШ «Континент» - IPC-25	АПКШ «Континент» - IPC-100	АПКШ «Континент» - IPC-400	АПКШ «Континент» - IPC-1000
Цена	180 000 Р Купить	270 000 Р Купить	665 000 Р Купить	1 021 000 Р Купить
Производительность VPN (шифрования+ фильтрация МЭ)	до 50 Мбит/с	до 300 Мбит/с	до 500 Мбит/с	до 950 Мбит/с
Производительность МЭ (открытый трафик)	до 100 Мбит/с	до 400 Мбит/с	до 1 Гбит/с	до 1 Гбит/с
Максимальное количество обрабатываемых конкурирующих TCP сессий (keep-state)	10000	250000	350000	1000000
Количество защищенных соединение (VPN тоннелей)	25	не ограничено	не ограничено	не ограничено

Аппаратная конфигурация:

Форм-фактор	Mini-ITX, высота 1U
Габариты (ВхШxГ)	155 х 275 x 45 мм
Процессор	Intel Atom C2358 частотой 1743 МГц
Оперативная память	SODIMM DDR3 DRAM, 2 Гбайта, PC-1333
Сетевые интерфейсы	4х 1000BASE-T Ethernet 10/100/1000 RJ45 (выполнены в виде легко заменяемых модулей)
Жесткие диски	SATA DOM модуль 4Gb
Блок питания	внешний адаптер переменного тока 19В, 220B 80Вт
Считыватель	Touch Memory
Персональные идентификаторы	Touch Memory iButton DS1992L 2 шт.
Встроенный модуль АПМДЗ	ПАК «Соболь» 3.0 (mini-PCIe)
USB-flash drive	не менее 512 Мб
Уровень акустического шума при 100% загрузке (методика измерения ISO7779)
Встроенная операционная система	Continent OS – усовершенствованная ОС с усиленной безопасностью на основе ядра FreeBSD

В состав АПКШ «Континент» 3.9 входит:

• Центр управления сетью криптографических шлюзов (ЦУС) – осуществляет аутентификацию КШ и АРМ управления/ мониторинг и протоколирование состояния сети КШ/ хранение журналов и конфигурации КШ/ рассылку ключевой и конфигурационной информации/ централизованное управление криптографическими ключами/ взаимодействие с программой управления.
• Криптошлюз (КШ) – это специализированное аппаратно-программное устройство, осуществляющее прием и передачу IP-пакетов по протоколам TCP/IP (статическая маршрутизация)/ шифрование пакетов (ГОСТ 28147–89, режим гаммирования с обратной связью, длина ключа 256 бит)/ защиту передаваемых данных от искажения (ГОСТ 28147–89, режим имитовставки)/ фильтрацию пакетов/ скрытие структуры сети/ регистрацию событий/ оповещение ЦУС о своей активности и о событиях, требующих вмешательства/ контроль целостности ПО КШ.
• Программа управления ЦУС (ПУ ЦУС) – её основная функция – централизованное управление настройками и оперативный контроль состояния всех КШ, входящих в состав комплекса. Устанавливается в защищенной сети на АРМ администратора под управлением ОС MS Windows 2003/2008/7/8.
• Агент ЦУС и СД осуществляет установление защищенного соединения и обмен данными с ЦУС и ПУ /получение от ЦУС, хранение и передачу ПУ содержимого журналов/ получение от ЦУС и передачу ПУ информации о работе комплекса.
• Клиент аутентификации пользователя - обеспечивает аутентификацию пользователей, работающих на компьютерах, находящихся в защищенном сегменте сети, при подключении их к криптографическому шлюзу.
• Абонентский пункт (Континент-АП) осуществляет установление VPN-туннеля между удаленным рабочим местом пользователя и внутренней защищаемой сетью организации. При подключении по сетям общего доступа и Интернет выполняет аутентификацию пользователя/ поддержку динамического распределения адресов/ удаленный доступ к ресурсам защищаемой сети по шифрованному каналу/ доступ по выделенным и коммутируемым каналам связи/ возможность доступа к ресурсам сетей общего пользования.
• Сервер доступа осуществляет обеспечение связи между удаленным АП и защищаемой сетью, а также определение уровня доступа пользователя и его аутентификацию.
• Программа управления сервером доступа (ПУ СД) – обеспечивает оперативное оповещение администратора сети о событиях безопасности. Предназначена для управления настройками всех серверов доступа, входящих в состав комплекса.
• Детектор атак «Континент» - это программный компонент, обеспечивающий анализ трафика, поступающего от криптошлюза, и фильтрацию несанкционированных вторжений. Работает совместно с Центром управления сетью криптографических шлюзов «Континент» версии 3.7 и выше.

Сертификаты

• соответствие руководящих документов ФСТЭК России по 2-му уровню контроля на отсутствие НДВ и 2-му классу защищенности для межсетевых экранов. Может использоваться для создания автоматизированных систем до класса защищенности 1Б включительно и при создании информационных систем персональных данных до 1-го класса включительно;
• соответствие требованиям ФСБ России к устройствам типа межсетевой экран по 4 классу защищенности;
• соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС3 и возможность применения для криптографической защиты информации не содержащей сведений, составляю- щих государственную тайну;
• Минкомсвязи России – о соответствие установленным требованиям к оборудованию маршрутизации пакетов информации и возможности применения на сетях связи общего пользования в качестве оборудования коммутации и маршрутизации пакетов информации.

Возможности

Комплекс обеспечивает криптографическую защиту информации (в соответствии с ГОСТ 28147-89), передаваемой по открытым каналам связи, между составными частями VPN, которыми могут являться локальные вычислительные сети, их сегменты и отдельные компьютеры.

Современная ключевая схема, реализуя шифрование каждого пакета на уникальном ключе, обеспечивает гарантированную защиту от возможности дешифрации перехваченных данных.

Для защиты от проникновения со стороны сетей общего пользования комплекс «Континент» 3.6 обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Осуществляет поддержку VoIP, видеоконференций, ADSL, Dial-Up и спутниковых каналов связи, технологии NAT/PAT для сокрытия структуры сети.

Ключевые возможности и характеристики АПКШ «Континент» 3.6

Эффективная защита корпоративных сетей

• Безопасный доступ пользователей VPN к ресурсам сетей общего пользования
• Криптографическая защита передаваемых данных в соответствии с ГОСТ 28147–89

В АПКШ «Континент» 3.6 применяется современная ключевая схема, реализующая шифрование каждого пакета на уникальном ключе. Это обеспечивает высокую степень защиты данных от расшифровки в случае их перехвата.

Шифрование данных производится в соответствии с ГОСТ 28147–89 в режиме гаммирования с обратной связью. Защита данных от искажения осуществляется по ГОСТ 28147–89 в режиме имитовставки.

Управление криптографическими ключами ведется централизованно из ЦУС.

• Межсетевое экранирование – защита внутренних сегментов сети от несанкционированного доступа

Криптошлюз «Континент» 3.6 обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Это позволяет защитить внутренние сегменты сети от проникновения из сетей общего пользования.

• Безопасный доступ удаленных пользователей к ресурсам VPN-сети

Специальное программное обеспечение «Континент АП», входящее в состав АПКШ «Континент» 3.6, позволяет организовать защищенный доступ с удаленных компьютеров к корпоративной VPN-сети.

• Создание информационных подсистем с разделением доступа на физическом уровне

В АПКШ «Континент» 3.6 можно подключать 1 внешний и 3–9 внутренних интерфейсов на каждом криптошлюзе. Это значительно расширяет возможности пользователя при настройке сети в соответствии с корпоративной политикой безопасности. В частности, наличие нескольких внутренних интерфейсов позволяет разделять на уровне сетевых карт подсети отделов организации и устанавливать необходимую степень взаимодействия между ними.

Основные характеристики и возможности

• Поддержка распространенных каналов связи

Работа через Dial-Up соединения, оборудование ADSL, подключенное непосредственно к криптошлюзу, а также через спутниковые каналы связи.

• «Прозрачность» для любых приложений и сетевых сервисов

Криптошлюзы «Континент» 3.6 «прозрачны» для любых приложений и сетевых сервисов, работающих по протоколу TCP/IP, включая такие мультимедиа-сервисы, как IP-телефония и видеоконференции.

• Работа с высокоприоритетным трафиком

Реализованный в АПКШ «Континент» 3.6 механизм приоритезации трафика позволяет защищать голосовой (VoIP) трафик и видеоконференции без потери качества связи.

• Резервирование гарантированной полосы пропускания за определенными сервисами

Резервирование гарантированной полосы пропускания за определенными сервисами обеспечивает прохождение трафика электронной почты, систем документооборота и т.д. даже при активном использовании IP-телефонии на низкоскоростных каналах связи.

• Поддержка VLAN

Поддержка VLAN гарантирует простое встраивание АПКШ в сетевую инфраструктуру, разбитую на виртуальные сегменты.

• Скрытие внутренней сети. Поддержка технологий NAT/PAT

Поддержка технологии NAT/PAT позволяет скрывать внутреннюю структуру защищаемых сегментов сети при передаче открытого трафика, а так же организовывать демилитаризованные зоны и сегментировать защищаемые сети.

Скрытие внутренней структуры защищаемых сегментов корпоративной сети осуществляется:

• методом инкапсуляции передаваемых пакетов (при шифровании трафика);
• при помощи технологии трансляции сетевых адресов (NAT) при работе с общедоступными ресурсами.

• Возможность интеграции с системами обнаружения атак

На каждом криптошлюзе существует возможность специально выделить один из интерфейсов для проверки трафика, проходящего через КШ, на наличие попыток неавторизованного доступа (сетевых атак). Для этого необходимо определить такой интерфейс как «SPAN-порт» и подключить к нему компьютер с установленной системой обнаружения атак (например, RealSecure). После этого на данный интерфейс начинают ретранслироваться все пакеты, поступающие на вход пакетного фильтра криптошлюза.

• Обслуживание и управление

Удобство и простота обслуживания (необслуживаемый режим 24*7)

АПКШ «Континент» 3.6 не требует постоянного локального администрирования и может работать в необслуживаемом режиме 24*7х365. Промышленные компьютеры, используемые в производстве комплекса, в совокупности с возможностью горячего и холодного резервирования гарантируют бесперебойную работу комплекса.

Комплекс осуществляет оперативное оповещение администраторов о событиях, требующих оперативного вмешательства, в режиме реального времени.

• Удаленное обновление ПО криптошлюзов

В комплексе решена проблема обновления программного обеспечения КШ в территориально-распределенных системах. Обновление ПО загружается в комплекс централизованно, рассылается на все криптошлюзы, входящие в состав комплекса, и автоматически устанавливается.

• Обеспечение отказоустойчивости

Отказоустойчивость Комплекса обеспечивается следующими мерами:

• Аппаратное резервирование криптографических шлюзов (создание кластера высокого доступа). В случае выхода из строя одного из криптошлюзов переключение на резервный производится автоматически без вмешательства администратора и без разрыва установленных соединений.
• Автоматическое резервное копирование конфигурационных файлов комплекса. Обеспечивает быстрое восстановление работы сети в случае выхода аппаратуры из строя.
• Централизованное управление сетью

Централизованное управление сетью осуществляется при помощи ЦУС и программы управления, которая позволяет в диалоговом режиме изменять настройки всех криптошлюзов сети и вести оперативный мониторинг их текущего состояния.

Отображение состояния всех устройств на рабочем месте администратора в масштабе реального времени позволяет своевременно выявлять отклонения от нормального процесса функционирования и оперативно на них реагировать.

• Ролевое управление – разделения полномочий на администрирование комплекса

Реализована возможность разделения полномочий на администрирование комплекса, например, на управление ключевой информацией, на назначение прав доступа к защищаемым ресурсам, на добавление новых компонент, на аудит действий пользователей (в том числе и других администраторов).

• Взаимодействие с системами управления сетью

Позволяет контролировать состояние АПКШ «Континент» 3.6 по протоколу SNMPv2 из систем глобального управления сетью (Hewlett-Packard, Cisco и др.).

В современных условиях для эффективной работы организации требуется обеспечение передачи информации между удаленными подразделениями и постоянный доступ к корпоративным сервисам из любой точки земного шара. Для защиты информации при ее передаче по общедоступным каналам связи была разработана технология VPN (Virtual Private Network, виртуальные частные сети). По сути при использовании VPN происходит обмен информацией с удаленной локальной сетью по виртуальному каналу через Интернет с имитацией частного подключения «точка-точка» (создается зашифрованный VPN туннель или целая VPN сеть).

Так как технология VPN включает в себя криптографию (шифрование), то, в соответствии с законами Российской Федерации, на территории России возможно использование криптографических средств (криптомаршрутизатор/криптошлюз/VPN шлюз) следующих типов:

• западная криптография (длина ключа до 56* бит включительно);
• западная криптография (длина ключа от 56 бит) - с уведомлением заказчиком ФСБ России;
• российская криптография (ГОСТ 28147—89, ГОСТ 34.10—2012, ГОСТ 34.11—2012).

В ответ на требования рынка и законодательства по криптографическим средствам компания «АльтЭль» встроила в VPN шлюз ALTELL NEO криптографическое ядро собственной разработки на базе алгоритма ГОСТ 28147—89. Это позволяет использовать ALTELL NEO для объединения удаленных филиалов в единую VPN сеть, предоставления доступа к локальной сети организации с мобильных сотрудников (с помощью ПО ALTELL VPN клиент для мобильных устройств) к ресурсам компании и обмену данными между филиалами и контрагентами в защищенном режиме. Широкий модельный ряд ALTELL NEO удовлетворяет потребности в безопасном объединении компаний любого размера: как небольшого удаленного офиса, так и головного подразделения крупного холдинга с штатом в несколько тысяч сотрудников.

Как криптошлюз ALTELL NEO позволяет организовать подключение удаленных пользователей по защищенному каналу (через VPN туннель) к локальной сети организации без снижения уровня ее защищенности. Пользователям может быть разрешен доступ только к определенным серверам или отдельным службам. Для удаленной работы на мобильных устройствах должен быть установлен VPN клиент.

Топология

Ниже представлена схема организации VPN соединения между филиалами компании с помощью криптомаршрутизатора ALTELL NEO (рис. 1). VPN туннель строится на основе отечественных или западных криптоалгоритмов (ГОСТ/AES128 по протоколам IPsec или OpenVPN). Внутри VPN туннеля может передаваться трафик из конвергентных сетей: данные, голос, видео.

Рис.1 Организация соединения VPN между филиалами.

На рисунке 2 представлена схема организации VPN соединения с удаленными пользователями. На мобильных устройствах установлен VPN клиент, с помощью которого пользователь получает защищенный доступ в сеть организации.

Рис.2 Организация VPN соединения с мобильными пользователями.

В настоящее время VPN шлюз ALTELL NEO поддерживает следующие типы VPN соединений:

Преимущества

• возможность доступа к внутренним ИТ-ресурсам предприятия из удаленных филиалов;
• защита трафика с помощью отечественных или западных криптоалгоритмов (ГОСТ/AES128 по протоколам IPsec или OpenVPN);
• бесперебойность работы за счет организации схемы с резервным провайдером или применения резервных маршрутизируемых колец в топологии;
• организация схемы высокой доступности;
• возможность защищенной работы во внутренней сети предприятия отдельных единичных пользователей из домашнего офиса или любой точки интернета;
• фильтрация нежелательного трафика в VPN-канале;
• возможность выделения защищенных сегментов в существующих сетях;
• неизменность существующей ИТ-инфраструктуры;
• масштабируемая VPN сеть;
• широкий спектр средств построения VPN сети;
• быстрое развертывание и первоначальная настройка;
• простота эксплуатации системы.

Сертификаты

Криптошлюз ALTELL NEO обладает всеми необходимыми сертификатами для использования в качестве средства защиты информации, в том числе сертификаты ФСТЭК России по классам МЭ2/МЭ3/МЭ4 и НДВ2/НДВ3, позволяющие использовать этот VPN шлюз для защиты автоматизированных систем до класса 1Б включительно и создания защищенных ИСПДн в соответствии с 152-ФЗ «О персональных данных» до класса К1 включительно.

Бесплатное тестирование

Все модели ALTELL NEO доступны для тестирования в вашей организации совершенно бесплатно. Для получения интересующей вас модели необходимо заполнить заявку. Вы также можете подобрать конфигурацию устройства (дополнительная память, модули расширения, версия ПО и т. д.) и рассчитать приблизительную цену устройства с помощью

В статье кратко описываются тенденции мирового рынка VPN, рассматриваются популярные криптошлюзы, представленные на российском рынке, приводятся их ключевые особенности.

Введение

Криптографический шлюз (криптошлюз, криптомаршрутизатор, VPN-шлюз) - программно-аппаратный комплекс для криптографической защиты трафика, передаваемого по каналам связи, путем шифрования пакетов по различным протоколам.

Криптошлюз предназначен для обеспечения информационной безопасности организации при передаче данных по открытым каналам связи.

Криптошлюзы, представленные на современном рынке, обеспечивают следующие базовые функции:

• прозрачность для NAT;
• сокрытие топологии сети за счет инкапсуляции трафика в шифрованный туннель;
• обеспечение целостности и конфиденциальности IP-пакетов;
• аутентификация узлов защищенной сети и пользователей.

Предприятия различного масштаба, государственные учреждения, частные компании - основные категории потребителей криптошлюзов.

На сегодняшний день функциональность VPN-шлюза является составной частью практически любого сетевого устройства, будь то маршрутизатор корпоративного уровня, домашний Wi-Fi-роутер или межсетевой экран. С учетом данной специфики ниже будут рассмотрены ключевые представители российского рынка, использующие алгоритм шифрования ГОСТ, а также несколько зарубежных примеров в качестве альтернативы.

Отдельной строкой отметим присутствие на рынке решений для защищенного удаленного доступа на базе протокола TLS (TLS-шлюзы) как российских, так и иностранных производителей. В рамках этого обзора они не рассматриваются.

Мировой рынок криптошлюзов

Непрерывность бизнеса для любой территориально распределенной компании всегда связана с обеспечением защиты передаваемой информации. Уже долгое время эту задачу решают различные VPN-устройства. Они заметно отличаются по своей реализации: это могут быть специализированные решения, решения на базе программно-аппаратных комплексов, таких как межсетевые экраны/маршрутизаторы, или полностью программные комплексы.

Подобные продукты на мировом рынке применяют компании из разных сфер деятельности: здравоохранение, промышленные предприятия, транспортные компании, государственные учреждения и многие другие.

В большинстве случаев заказчику необходимо решить одну или несколько из перечисленных задач:

• защита распределенной корпоративной сети в различных топологиях;
• подключение удаленных пользователей к корпоративной сети (в том числе с мобильных устройств);
• защита канального уровня.

На мировом рынке прочно обосновался SSL VPN, что подтверждается исследованиями Alliedmarketresearch . По их данным, глобальный рынок SSL VPN в 2016 году составлял более 3 млрд долларов США. Прогнозируемый рост к 2023 году - до 5,3 млрд.

Среди ключевых игроков на мировом рынке лидерские позиции занимают Cisco Systems, Citrix Systems, Pulse Secure, F5 Networks.

Рисунок 1 наглядно демонстрирует ключевые сегменты роста глобального рынка SSL VPN:

• режим тонкого клиента;
• режим полного туннелирования;
• режим без клиента.

Российский рынок криптошлюзов

В России основными потребителями криптошлюзов являются государственные учреждения, а также организации, являющиеся операторами персональных данных. На территории нашей страны действуют несколько нормативных актов, определяющих критерии, по которым средства защиты информации могут использоваться для решения тех или иных задач.

К таким документам можно отнести следующие:

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
• Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
• Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
• Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
• Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005).

Одним из основных требований, предъявляемых к криптошлюзам, является наличие действующих сертификатов соответствия регуляторов рынка - ФСБ России и ФСТЭК России. Сертификат ФСБ России на соответствие требованиям к шифровальным (криптографическим) средствам выдается только в том случае, если криптошлюз реализован с использованием отечественных алгоритмов шифрования по ГОСТ 28147-89.

Зарубежные производители крайне редко поддерживают шифрование по ГОСТ и получают такие сертификаты соответствия на свои решения, чем активно пользуются российские компании-вендоры средств криптографической защиты информации (СКЗИ).

Отдельно необходимо отметить тренд, связанный с кибербезопасностью автоматизированных систем управления технологическими процессами (АСУ ТП). Сегодня некоторые производители СКЗИ предлагают рынку криптошлюзы в защищенном исполнении, отвечающие требованиям по пылевлагозащищенности и специальным температурным диапазонам. Появились и нормативные акты, формирующие требования к защите информации в подобных системах:

• Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
• Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и окружающей природной среды».

Это позволяет говорить о серьезной перспективе данного направления для производителей СКЗИ в части развития своих продуктов.

Рассмотрим особенности некоторых российских и зарубежных криптошлюзов подробнее.

Российские криптошлюзы

Атликс-VPN («НТЦ Атлас»)

Программно-аппаратный комплекс (ПАК) «Атликс-VPN» - продукт российской компании «НТЦ Атлас». ПАК разработан для обеспечения создания и взаимодействия виртуальных частных сетей (VPN) на основе протокола IPsec и стандарта X.509 с использованием российских криптографических алгоритмов.

В качестве поддерживаемых стандартов заявлены ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001.

Отличительной особенностью является способ ввода ключевой информации, необходимой для реализации его функций. Для этого используется «Российская интеллектуальная карта» (РИК) - микропроцессорная карта, разработанная «НТЦ Атлас», ЗАО «Программные системы и технологии», ОАО «Ангстрэм». Карта выполнена на основе отечественного микропроцессора производства ОАО «Ангстрэм».

С аппаратной точки зрения «Атликс-VPN» функционирует на базе сервера специализированной, фиксированной платформы. ПАК обеспечивает относительно небольшую по меркам сегодняшнего дня производительность по шифрованию - 85 Мбит/с. Такая скорость и тип аппаратной платформы обусловлены высоким классом защищенности по требованиям ФСБ России, который обеспечивает ПАК, - КВ2.

Рисунок 2. ПАК «Атликс- VPN»

«Атликс-VPN» имеет следующие действующие сертификаты соответствия:

• ФСБ России №СФ/124-2958, подтверждающий, что ПАК соответствует требованиям к шифровальным (криптографическим) средствам класса КВ2 и может использоваться для криптографической защиты (шифрование и имитозащита IP-трафика) информации, не содержащей сведений, составляющих государственную тайну;
• ФСТЭК России №1864, подтверждающий, что ПАК соответствует требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» - по 4 классу защищенности.

Подробнее с информацией о ПАК «Атликс-VPN» можно ознакомиться на сайте производителя .

ЗАСТАВА (ЭЛВИС-ПЛЮС)

Программно-аппаратные комплексы ЗАСТАВА - разработка российской компании ЭЛВИС-ПЛЮС. ПАК обеспечивает защиту корпоративных информационных систем на сетевом уровне с помощью технологий виртуальных защищенных сетей (VPN) на базе протоколов IPsec/IKE. ЗАСТАВА представляет собой не только VPN-шлюз с поддержкой отечественных криптографических алгоритмов, но и межсетевой экран. ЗАСТАВА является единственным российским продуктом, реализующим текущую версию протокола IKE (IKEv2). Большинство российских вендоров использует протокол IKEv1, который более 10 лет назад официально признан в IETF устаревшим в том числе по причине наличия проблем с безопасностью. По сравнению с ним протокол IKEv2 обладает большей стойкостью к атакам отказа в обслуживании, большей устойчивостью к сетевым проблемам, большей гибкостью в использовании. Протокол IKEv2 в настоящее время продолжает активно развиваться в IETF, включая такие передовые направления в криптографии как, например, защита данных от квантовых компьютеров или использование принципа proof-of-work для противодействия DoS-атакам. ЭЛВИС-ПЛЮС принимает активное участие в этих работах и оперативно добавляет поддержку новых возможностей протокола в ПАК ЗАСТАВА.

ЗАСТАВА состоит из трех отдельных компонентов:

• ЗАСТАВА-Клиент реализует функциональность клиента удаленного доступа по VPN;
• ЗАСТАВА-Офис реализует функции VPN-шлюза и межсетевого экрана;
• ЗАСТАВА-Управление выполняет функции Центра управления политиками безопасности для унифицированного управления сетевой безопасностью.

Отличительные особенности:

• использование внешних криптографических модулей, реализующих отечественные стандарты ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, ГОСТ 28147-89, в частности, СКЗИ «КриптоПро CSP»;
• поддержка не только отечественных криптографических алгоритмов, но и зарубежных - RSA, DH, ECDH, DES, 3DES, AES, SHA1, SHA2;
• аутентификация партнеров с использованием X.509-сертификатов;
• поддержка централизованного управления ПАК посредством продукта ЗАСТАВА-Управление;
• реализация функциональности отказоустойчивого кластера, работающего в режиме «активный/пассивный»;
• в зависимости от аппаратной платформы производительность по шифрованию может варьироваться от 40 Мбит/с до 4 Гбит/с;
• для обеспечения шифрования канала связи от клиентских рабочих мест до ПАК используется собственная разработка - продукт ЗАСТАВА-Клиент.

ЗАСТАВА имеет несколько действующих сертификатов соответствия требованиям ФСБ России и ФСТЭК России, в частности:

• ФСБ России №СФ/114-3067, подтверждающий соответствие требованиям к средствам криптографической защиты информации, не содержащей сведений, составляющих государственную тайну, класса КС3; может использоваться для криптографической защиты (шифрование IP-пакетов на базе протокола IPsec ESP, вычисление хэш-функции для IP-пакетов на базе протокола IPsec AH и/или протокола IPsec ESP, криптографическая аутентификация абонентов при установлении соединения на базе протокола IKE v1 или протокола IKE v2) информации, не содержащей сведений, составляющих государственную тайну;
• ФСТЭК России №2573, удостоверяющий, что ПАК соответствует требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 2 классу защищенности.

Подробнее с информацией о ПАК ЗАСТАВА можно ознакомиться на сайте производителя .

«Континент» («Код Безопасности»)

Аппаратно-программный комплекс шифрования «Континент» (АПКШ) - криптографический шлюз производства российской компании «Код Безопасности». АПКШ обеспечивает межсетевое экранирование и криптографическую защиту открытых каналов связи в соответствии с ГОСТ 28147-89.

АПКШ позволяет обеспечить защиту сетевого трафика в мультисервисных сетях, разделить сегменты сети, организовать защищенный удаленный доступ к локальной сети, реализовать межсетевое взаимодействие с другими защищенными сетями (построенными на базе данного продукта). АПКШ функционирует на базе FreeBSD.

АПКШ обладает следующими особенностями:

• поддерживает централизованное управление и мониторинг с помощью продукта «Центр управления сетью «Континент»;
• аппаратное резервирование АПКШ в целях реализации отказоустойчивой конфигурации;
• в модельном ряду АПКШ представлено исполнение для защиты информации в индустриальных системах;
• широкий модельный ряд с поддержкой скоростей шифрования от 10 Мбит/с до 3.5 Гбит/с при использовании standalone-решения (до 10 Гбит/с - при распределении шифрованного трафика между фермой из АПКШ);
• поддержка прозрачного объединения сетей на канальном уровне (L2 VPN);
• фильтрация трафика на уровне сетевых приложений (DPI);
• фильтрация команд протоколов HTTP, FTP;
• URL-фильтрация на основе статических списков и регулярных выражений;
• шлюзы средней и высокой производительности (от IPC-400 и выше) реализованы в форм-факторе 2U;
• в состав модельного ряда АПКШ входят платформы, имеющие в своем составе до 34 интерфейсов GbE, в том числе до 4 оптических 10 Gb SFP+, до 32 оптических 1 Gb SFP;
• в качестве VPN-клиента используется программный продукт «Континент-АП».

Рисунок 3. АПКШ «Континент» IPC -3034

Необходимо отметить, что АПКШ поставляется со встроенным средством защиты от НСД - программно-аппаратным комплексом «Соболь». Также на уровне формуляра АПКШ и руководства администратора имеется ограничение на максимальное количество криптошлюзов в сети с одним «Центром управления сетью «Континент».

АПКШ входит в реестр отечественного ПО (№310) и имеет ряд действующих сертификатов соответствия, среди которых:

• ФСБ России №СФ/124-2617, подтверждающий соответствие требованиям к шифровальным (криптографическим) средствам класса КС3 и может использоваться для криптографической защиты (создание и управление ключевой информацией, шифрование и имитозащита данных, передаваемых в IP-пакетах по общим сетям передачи данных) информации, не содержащей сведений, составляющих государственную тайну;
• ФСТЭК России №3008, подтверждающий соответствие требованиям к межсетевым экранам тип «А» (ИТ.МЭ.А3.ПЗ) и средствам обнаружения вторжения уровня сети (ИТ.СОВ.С3.ПЗ) по 3 классу (на сайте производителя документ к просмотру недоступен, предоставляется по запросу).

Подробнее с информацией об АПКШ «Континент» можно ознакомиться на сайте производителя .

ФПСУ-IP (АМИКОН, «ИнфоКрипт»)

Программно-аппаратный комплекс «Фильтр пакетов сетевого уровня - Internet Protocol» (ФПСУ-IP) производства российской компании АМИКОН при участии «ИнфоКрипт». ПАК представляет собой межсетевой экран и средство построения виртуальных частных сетей (VPN).

ФПСУ-IP поддерживает отечественные стандарты ГОСТ 28147-89, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, реализованные с использованием СКЗИ «Туннель 2.0» производства «ИнфоКрипт» (в части криптографии). ПАК функционирует на базе Linux.

ФПСУ-IP обладает следующими особенностями:

• поддерживает возможность работы в режиме «горячего» резервирования (предлагается производителем как опция);
• реализуется на базе различных аппаратных платформ типоразмеров как 1U, так и 2U;
• использует собственный VPN-протокол;
• в качестве удаленного клиентского компонента используется ПО «ФПСУ-IP/Клиент» (активация возможности взаимодействия с клиентским программным обеспечением на ПАК предлагается производителем как опция);
• модельный ряд обеспечивает скорость шифрования данных от 10 Мбит/с до 12 Гбит/с (при размере IP-пакета 1450 байт и 56 вычислительных потоках).

Рисунок 4. Шлюз ФПСУ-IP

ФПСУ-IP представляет собой решение на базе различных аппаратных платформ и программного обеспечения со встроенным сертифицированным СКЗИ.

Встроенное СКЗИ имеет действующий сертификат ФСБ России №СФ/124-3060 и соответствует требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, классов КС1, КС2, КС3.

Подробнее с информацией о ФПСУ-IP можно ознакомиться на сайте производителя .

ALTELL NEO («АльтЭль»)

Программно-аппаратный комплекс ATLELL NEO производства компании «АльтЭль».

Ключевой функциональностью является межсетевое экранирование в сочетании с возможностями построения защищенных каналов связи. Также ALTELL NEO позиционируется как UTM-решение (Unified Threat Management), сочетающее в себе не только возможности межсетевого экрана, VPN-шлюза, но и средства обнаружения и предотвращения вторжений, контент-фильтрации и защиты от вредоносных программ.

Продукт представляет собой аппаратную платформу в сочетании со встроенным сертифицированным программным обеспечением. В качестве протоколов шифрования с использованием ГОСТ 28147-89 поддерживаются IPsec, OpenVPN.

Предлагаемые производителем платформы, за исключением младших (100 и 110), могут функционировать с использованием одной из трех версий ПО: FW (межсетевой экран), VPN (криптошлюз), UTM. Каждый последующий вариант программного обеспечения включает в себя функциональность предыдущих.

ALTELL NEO обладает следующими особенностями:

• широкий модельный ряд аппаратных платформ различной конфигурации;
• аппаратная платформа Enterprise-класса (модель 340, форм-фактор 2U) обладает повышенной плотностью сетевых интерфейсов (до 65 портов RJ45 GbE/до 64 портов SFP GbE/до 16 портов SFP+ 10 GbE);
• производительность по шифрованию (в зависимости от аппаратной платформы) при использовании алгоритма IPsec составляет от 18 Мбит/с до 2,4 Гбит/с, OpenVPN - от 14 Мбит/с до 1,4 Гбит/с.

Рисунок 5. Шлюз ALTELL NEO 340

Используемое в составе решения программное обеспечение входит в реестр отечественного ПО (№3768) и имеет следующие сертификаты соответствия:

• ФСБ России №СФ/СЗИ-0074, подтверждающий выполнение требований к межсетевым экранам 4 класса защищенности и то, что ПО может использоваться для защиты информации от несанкционированного доступа в информационных и телекоммуникационных системах органов государственной власти Российской Федерации;
• ФСТЭК России №2726, удостоверяющий, что ПО соответствует требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» - по 2 классу защищенности.

Необходимо отметить, что на момент публикации обзора в открытых источниках не удалось обнаружить действующий сертификат ФСБ России на соответствие требованиям к шифровальным (криптографическим) средствам классов КС1/КС2/КС3.

Подробнее с информацией об ALTELL NEO можно ознакомиться на сайте производителя .

С-Терра Шлюз 4.1 («С-Терра СиЭсПи»)

Продукт С-Терра Шлюз производства российской компании «С-Терра СиЭсПи» представляет собой программный комплекс (далее - ПК) на базе различных аппаратных платформ.

СС-Терра Шлюз 4.1 обеспечивает шифрование по ГОСТ 28147-89 и имитозащиту передаваемого по открытым каналам связи трафика с использованием протокола IPsec. Помимо VPN, продукт обладает функциональностью межсетевого экрана. В качестве операционной системы используется Debian.

Криптографические функции в ПК реализуются криптобиблиотекой собственной разработки - С-Терра ST, которая совместима с СКЗИ «КриптоПро CSP».

С-Терра Шлюз 4.1 обладает следующими основными особенностями:

• поддерживает централизованное удаленное управление посредством системы «С-Терра КП»;
• производительность решения по шифрованию от 60 Мбит/с до 2,5 Гбит/с, в зависимости от модели шлюза и аппаратной платформы;
• возможно исполнение в виде виртуальной машины (С-Терра Виртуальный Шлюз);
• возможна установка ПК С-Терра Шлюз на АП заказчика;
• производитель предлагает решение для защиты канала связи 10 Гбит/с на уровне L2, посредством размещения в двух ЦОД по 4 пары шлюзов модели 7000 High End с программным модулем С-Терра L2 и двух пар коммутаторов (с учетом того, что в защищаемом канале связи трафик преимущественно TCP, IP-телефония отсутствует).

Рисунок 6. С-Терра Шлюз 1000

• С-Терра Шлюз 4.1 сертифицирован ФСБ России в качестве СКЗИ по классам КС1, КС2, КС3 и в качестве МЭ 4 класса, а также ФСТЭК России как межсетевой экран 3 класса (МЭ 3). В числе сертификатов:

ФСБ России №СФ/124-2517, подтверждающий выполнение требований к шифровальным (криптографическим) средствам класса КС3;

ФСБ России №СФ/525-2663, подтверждающий выполнение требований к межсетевым экранам 4 класса защищенности;

ФСТЭК России № 3370, удостоверяющий, что С-Терра Шлюз соответствует требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» - по 3 классу защищенности.

Подробнее с информацией об «С-Терра Шлюз» можно ознакомиться на сайте производителя .

Diamond VPN (ТСС)

Программно-аппаратный комплекс Diamond VPN/FW производства компании ТСС представляет собой производительное UTM-решение, сочетающее в себе функции межсетевого экрана, VPN-шлюза, системы обнаружения вторжений (IDS).

ПАК обеспечивает шифрование ГОСТ 28147-89 по протоколу DTLS.

Основными особенностями являются:

• поддержка создания отказоустойчивой конфигурации в режиме «активный/пассивный»;
• наличие исполнения (модель 7141), обеспечивающего высокую производительность (шифрование со скоростью до 16 Гбит/с, межсетевое экранирование - до 40 Гбит/с);
• высокая плотность портов в максимальной аппаратной конфигурации (до 32 портов RJ45 GbE/до 32 портов GbE SFP/до 16 портов 10G SFP+);
• наличие криптошлюза в индустриальном исполнении (модель Diamond VPN/FW Industrial) для защиты информации в АСУ ТП.

Рисунок 7. ПАК Diamond VPN/FW

ПАК входит в реестр отечественного ПО (№1425) и обладает действующим сертификатом ФСТЭК России №2260, подтверждающим соответствие требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» - по 2 классу защищенности.

Необходимо отметить, что действующим сертификатом ФСБ России №124-2702 на соответствие требованиям к шифровальным (криптографическим) средствам класса КС1 и КС2 (в зависимости от вариантов исполнения) обладает СКЗИ Dcrypt 1.0, реализующее функции шифрования и ЭП в составе ПАК.

Подробнее с информацией о Diamond VPN/FW можно ознакомиться на сайте производителя .

Dionis-NX («Фактор-ТС»)

Программно-аппаратный комплекс Dionis-NX является разработкой российской компании «Фактор-ТС». ПАК является UTM-устройством, которое может использоваться как межсетевой экран, криптомаршрутизатор, система обнаружения и предотвращения вторжений.

ПАК позволяет строить VPN-туннели по ГОСТ 28147-89 посредством использования протоколов GRE, PPTP, OpenVPN.

Обладает следующими отличительными особенностями:

• производитель предлагает пять вариантов аппаратных платформ, обеспечивающих скорость шифрования от 100 Мбит/с до 10 Гбит/с;
• поддержка кластерного исполнения в отказоустойчивой конфигурации (режим «активный/пассивный»);
• поддержка взаимодействия с программным обеспечением «Дисек», реализующим функциональность VPN-клиента.

Dionis-NX входит в реестр отечественного ПО (№2772) и обладает действующим сертификатом ФСТЭК России №2852, подтверждающим соответствие требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» - по 2 классу защищенности.

Необходимо отметить, что действующим сертификатом ФСБ России №124-2625 на соответствие требованиям к шифровальным (криптографическим) средствам класса КС1 и КС3 (в зависимости от вариантов исполнения) обладает СКЗИ DioNIS-NX, реализующее функции шифрования в составе ПАК.

Подробнее с информацией о «Dionis-NX» можно ознакомиться на сайте производителя .

ViPNet Coordinator HW («ИнфоТеКС»)

Программно-аппаратный комплекс ViPNet Coordinator HW разработан российской компанией «ИнфоТеКС» и представляет собой сертифицированный криптошлюз и межсетевой экран.

ViPNet Coordinator HW обеспечивает защиту - шифрование данных, передаваемых по различным каналам связи с помощью построения VPN (как на сетевом, так и на канальном уровнях модели OSI - L3, L2 VPN) по ГОСТ 28147-89. ПАК позволяет организовать защищенный доступ как в ЦОД, так и в корпоративную инфраструктуру. ПАК средней и высокой производительности поставляются в форм-факторе 1U. Функционирует на базе адаптированной ОС Linux.

ViPNet Coordinator HW обладает следующими особенностями:

• для построения VPN используется собственный протокол ViPNet VPN, который обеспечивает беспрепятственное защищенное взаимодействие независимо от типа канала связи, автоматический роуминг между каналами связи;
• поддержка работы в современных мультисервисных сетях (с использованием протоколов Cisco SCCP, H.323);
• производительность по шифрованию от 50 Мбит/с до 5,5 Гбит/с (для standalone-решений) в зависимости от модели;
• поддержка отказоустойчивой конфигурации (режим «активный/пассивный») для моделей среднего и высокого уровня (от модели HW1000);
• поддержка централизованного управления и удаленного обновления с помощью ПО ViPNet Administrator;
• поддержка взаимодействия с клиентскими компонентами (ПО ViPNet Client) на различных операционных системах (Windows, Linux, macOS, iOS, Android).

Рисунок 8. ПАК ViPNet Coordinator HW1000

Производитель ПАК в своих решениях использует аппаратные платформы фиксированной конфигурации, что позволяет получить высокий класс криптозащиты (КС3) без использования дополнительных устройств, таких как аппаратно-программные модули доверенной загрузки (АПМДЗ).

ViPNet Coordinator HW входит в реестр отечественного ПО (№2798) и обладает различными действующими сертификатами соответствия, в том числе:

• ФСБ России №СФ/124-2981, подтверждающим выполнение требований к шифровальным (криптографическим) средствам класса КС3;
• ФСБ России №СФ/525-3007, подтверждающим выполнение требований к межсетевым экранам 4 класса защищенности;
• ФСТЭК России № 3692, удостоверяющий, что ПАК является межсетевым экраном типа «А» и соответствует требованиям документов «Требования к межсетевым экранам» (ФСТЭК России, 2016) и «Профиль защиты межсетевого экрана типа А четвертого класса защиты. ИТ.МЭ.А4.ПЗ».

Подробнее с информацией о ViPNet Coordinator HW можно ознакомиться на сайте производителя .

Зарубежные криптошлюзы

В данном разделе более подробно рассмотрим основных иностранных производителей средств защиты информации. Здесь представлены разнообразные варианты решений в программно-аппаратном исполнении.

Указанные ниже производители предлагают современному рынку UTM-решения, «комбайны» из разряда «всё-в-одном». Здесь и функциональность NGFW (Next Generation Firewall - межсетевой экран нового поколения), IDS/IPS (системы обнаружения и предотвращения вторжений), потоковый антивирус, и, конечно же, VPN-шлюз. Последний нас особенно интересует в контексте данного обзора.

Необходимо отметить, что зарубежные вендоры для своего VPN используют исключительно иностранные алгоритмы шифрования - DES, 3DES, AES. Соответственно, целевой заказчик таких решений (в части VPN) в России не является государственным учреждением или организацией, ведущей деятельность в соответствии с указанными начале обзора нормативными актами.

Поскольку на территории РФ рынок средств криптозащиты является регулируемым, зарубежным производителям необходимо официально ввезти свои продукты в соответствии со всеми действующими нормами и требованиями. В данном случае возможны два варианта:

• ввоз по упрощенной схеме (по нотификации, реестр доступен на сайте Евразийского экономического союза);
• ввоз по лицензии ФСБ России или Минпромторга России.

В связи с использованием иностранных криптографических алгоритмов в системе сертификации ФСБ России рассматриваемые в этом разделе решения не представлены.

Cisco VPN Solutions (Cisco ASA 5500-X, Cisco Firepower, Cisco ASAv, Cisco IOS VPN)

У международной компании Cisco Systems большое портфолио решений для построения VPN, которые отличаются не только особенностями реализации данной возможности, но и основной функциональностью. Например, Cisco ASA 5500-X или Cisco Firepower - это многофункциональные защитные шлюзы, среди функций которых есть и VPN, которая особенно эффективно может использоваться для Remote Access VPN. А вот маршрутизатор Cisco ISR/ASR/GSR/CSR, предназначенный преимущественно для подключения к интернету, обладает продвинутыми возможностями Site-to-Site VPN.

Cisco Adaptive Security Appliance (ASA) и Cisco Firepower - одни из основных продуктов в направлении информационной безопасности Cisco. Эти решения, а также виртуализированный защитный шлюз ASAv и маршрутизатор с функцией IOS VPN, позволяют реализовать взаимодействие по VPN с использованием IPSec, IPSec RA, SSL, SSL clientless, DTLS на скоростях от 100 Мбит/сек до 51 Гбит/сек и с поддержкой до 60000 удаленных пользователей.

Отличительными особенностями являются

• Резервирование. Возможны два варианта: отказоустойчивое решение (failover) и кластеризация (clustering), в том числе геораспределенная. В первом случае два устройства объединяются в одно логическое. Доступны два режима работы: active/standby и active/active. Во втором - возможно объединение до 16 устройств ASA (для модели 5585-Х) в одно логическое. Такая возможность позволяет существенно повысить производительность решения.
• Поддержка технологий DMVPN, GET VPN, Easy VPN.
• Оптимизация защиты мультимедиа-трафика.
• Поддержка функции per application VPN (дифференцированное шифрование трафика для различных приложений).
• Поддержка оценки соответствия удаленного узла (мобильного устройства) требованиям безопасности перед созданием VPN-туннеля.
• Встроенные дополнительные механизмы безопасности, например, встроенный центр сертификатов (CA).
• Наличие API для интеграции с внешними системами фильтрации и управления сервисами - Web-прокси, AAA и оценки соответствия.
• Интеграция с защитными возможностями многофункциональной защитной платформы Cisco ASA 5500-X, Cisco Firepower или маршрутизатором Cisco, МСЭ и NGFW, NGIPS, подсистемой защиты от вредоносного кода, подсистемой URL-фильтрации.

Рисунок 9. Cisco Firepower 9300

Управление Cisco ASA 5500-X, Cisco Firepower или Cisco ISR осуществляется локально посредством Cisco Adaptive Security Device Manager (ASDM), Cisco Firepower Device Manager или Cisco Security Device Manager, или централизованно с помощью Cisco Security Manager, Cisco Firepower Management Center или Cisco Defense Orchestrator.

Для подключения удаленных клиентских рабочих мест может использоваться локализованный на русский язык Cisco AnyConnect Secure Mobility Client или безклиентскую технологию Cisco SSL clientless, а также встроенные в Apple iOS и Android клиенты VPN.

Решения Cisco ASA 5500-X, Cisco Firepower и Cisco ISR обладают несколькими десятками различных действующих сертификатов соответствия ФСТЭК, в том числе № 3738, удостоверяющий, что ПАК соответствует требованиям к межсетевым экранам по классам А6, Б6, а также сертифицирован на отсутствие недокументированных возможностей. Совместно с компанией С-Терра СиЭсПи компания Cisco разработала модуль шифрования на базе российских алгоритмов шифрования (ГОСТ 28147-89 и др.) и сертифицировала его в ФСБ как СКЗИ по классам КС1/КС2. Этот модуль предназначен для маршрутизатора с интеграцией сервисов Cisco ISR, который может быть использован как платформа для запуска на ней и других VPN-решений. В частности, была проведена интеграция и испытания совместных решений Cisco ISR с решениями VipNet и TSS VPN.

Подробнее с информацией о Cisco ASA 5500-Х, Cisco Firepower, Cisco ISR можно ознакомиться на сайте производителя .

F5 Networks VPN Solutions

F5 Networks предлагает комплексные решения и автономные VPN-устройства. С 2016 года компания сделала акцент на комплексных решениях, и изолированные VPN-шлюзы постепенно перестают выпускаться.

Продукт F5 Access Policy Manager (APM) - это специальный модуль программного обеспечения, который включает в себя функциональные возможности VPN, а также множество различных функций, включая BIG-IP - полный 
прокси
 между
 пользователями 
и серверами 
приложений, обеспечивающий
 безопасность,
 оптимизацию
 трафика приложений 
и 
балансировку 
его
 нагрузки.

Клиент BIG-IP VPN использует протоколы TLS и DTLS (Datagram TLS), что позволяет работать чувствительным к задержке приложениям. Этот клиент доступен на всех распространенных настольных и мобильных платформах.

Решения BIG-IP функционируют на базе собственной операционной системы (ОС) F5 TMOS. Среди ее преимуществ можно отметить:

• Открытый API, который позволяет гибко управлять потоком трафика и увеличить производительность с помощью API Control.
• Контроль за трафиком производится с помощью F5-устройств, использующих специальный язык сценариев iRules.
• Шаблоны iApps, которые позволяют развертывать и управлять сетевыми услугами для конкретных приложений.

На сегодняшний день предложения компании F5 начинаются с модели BIG-IP 1600 и заканчиваются BIG-IP 11050, которая является их крупнейшим автономным VPN-устройством.

Самым большим решением на основе блейд-сервера является Viprion 4800. Оно поддерживает до 30000 SSL-транзакций.

Рисунок 10. F5 Viprion 4800

В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) продуктов F5 Networks не представлено.

Подробнее с информацией о продукции F5 Networks можно ознакомиться на сайте производителя .

NetScaler (Citrix Systems)

NetScaler - линейка продуктов сетевой безопасности от компании Citrix Systems. VPN-решения от Citrix встроены в продукт NetScaler Gateway. Шлюз NetScaler, как и все оборудование фирмы Citrix, штатно интегрируется во многие линейки продуктов компании.

NetScaler Gateway предлагает функциональные возможности SSL VPN, включая безопасный доступ к Citrix XenDesktop, XenApp, XenMobile, MS RDP, VMware horizon, а также web-приложениям и ресурсам внутри корпоративной сети. Также продукт предоставляет возможности безопасного сетевого доступа к любому серверу, наряду с анализом и определением устройства.

Citrix Gateway поддерживает как протокол TLS, так и DTLS, в зависимости от требований к трафику.

Самая младшая MPX-платформа продукта (5550) поддерживает до 1500 SSL-транзакций. Наиболее производительная (22120) - до 560000 SSL-транзакций.

Рисунок 11. Citrix NetScaler MPX-8005

В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) шлюзов Citrix NetScaler не представлено.

Подробнее с информацией о продукции Citrix можно ознакомиться на сайте производителя .

Pulse Secure (Juniper Networks)

Pulse Secure - серия продуктов американской компании Juniper Networks. Ключевая функциональность - SSL VPN.

Производитель предлагает четыре программно-аппаратных комплекса различной производительности и форм-фактора.

Модель минимальной конфигурации (PSA300) обеспечивает пропускную способность 200 Мбит/с для 200 SSL-соединений. Наиболее производительное решение (PSA7000) - 10 Гбит/с для 25000 SSL-соединений.

Отличительной особенностью в линейке Pulse Secure является наличие двух блоков питания у модели PSA7000.

Рисунок 12. Pulse Secure Appliance 7000

В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) шлюзов Pulse Secure не представлен.

Подробнее с информацией о продукции Pulse Secure можно ознакомиться на сайте производителя .

SonicWALL

SonicWALL - американская компания-производитель решений для сетевой безопасности. В 2012 году компания была приобретена Dell Software Group. В 2016 же году Dell продала SonicWALL.

Компания предлагает решения различной производительности. В основной массе это UTM-решения, реализующие функциональность NGFW, IPS, VPN, потокового антивируса.

В части VPN производитель поддерживает IPSec, SSL. Наиболее производительное решение, представленное на рисунке ниже, обеспечивает пропускную способность VPN до 14 Гбит/с. Максимальное же число VPN-соединения составляет в этом случае 25000.

Шлюзы SonicWALL находятся под управлением собственной операционной системы - Sonic OS.

Рисунок 13. SonicWALL SuperMassive 9000 Series

В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) шлюзов SonicWALL не представлен.

Подробнее с информацией о продукции SonicWALL можно ознакомиться на сайте производителя .

Выводы

Криптографический шлюз - не только специализированное VPN-решение, но и многофункциональный продукт, решающий большой спектр задач информационной безопасности практически любого предприятия или государственного учреждения. Процесс внедрения криптошлюзов может быть непростым, и это требует от организации наличия в штате квалифицированных специалистов.

По данным статистического портала Statista.com, в 2014 году объем мирового рынка VPN составлял 45 млрд долларов США. При этом к 2019 году ожидается его рост до 70 млрд. Это позволяет говорить о том, что устройства для построения VPN станут год от года всё более востребованными.

Несмотря на то, что на территории РФ процессы эксплуатации средств криптозащиты регулируются «Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)», у иностранных разработчиков все еще остается возможность предлагать свои продукты российским заказчикам. В соответствии с ПКЗ-2005 , лишь участники обмена информацией (с рядом оговорок), если это не государственные учреждения, определяют необходимость ее криптографической защиты и выбирают применяемые средства криптозащиты.

Вступление в силу с 1 января 2018 года Федерального закона №187-ФЗ «О безопасности критической информационной инфраструктуры РФ» (КИИ) обяжет компании и объекты КИИ и топливно-энергетического комплекса информировать власти о компьютерных инцидентах, предотвращать неправомерные попытки доступа к информации. Такая законодательная инициатива создаст дополнительную возможность для роста сегмента средств криптозащиты в перспективе нескольких ближайших лет.

Современные отечественные криптошлюзы всё быстрее получают функциональности (Next Generation Firewall, IDS, IPS, потоковый антивирус), ещё вчера предлагаемые лишь зарубежными производителями. Рост конкуренции, увеличение числа игроков на рынке позволяет заказчику быть в наиболее выгодном положении и выбирать то, что действительно соответствует его потребностям и возможностям.