Complex hardware și software care implementează funcțiile unui gateway criptografic. Prezentare generală a portalurilor criptografice ale producătorilor ruși și străini

De la Wikipedia, enciclopedia liberă

Crypto gateway (gateway crypto, gateway VPN, router crypto)- complex hardware și software pentru protecția criptografică a traficului de date, voce, video bazat pe criptarea pachetelor utilizând protocoalele IPsec AH și / sau IPsec ESP la stabilirea unei conexiuni, care îndeplinește cerințele pentru protecția informațiilor criptografice (CIP) ale FSB din Rusia și oferă funcționalitatea de bază a unui dispozitiv VPN modern...

Programare

Gateway-ul criptografic este conceput pentru a asigura securitatea informațiilor unei organizații, pentru a-și proteja rețelele de informații împotriva intruziunii din rețelele de transmisie de date (Internet), pentru a asigura confidențialitatea la transferul de informații prin canale de comunicații deschise (VPN), precum și pentru a organiza accesul sigur al utilizatorului la resursele rețelelor publice.

Gateway-ul cripto oferă funcționalitatea de bază a unui dispozitiv VPN modern:

confidențialitatea și integritatea fluxului de pachete IP;
mascarea topologiei rețelei prin încapsularea traficului într-un tunel securizat;
transparență pentru NAT;
autentificarea nodurilor de rețea și a utilizatorilor;
unificarea politicii de securitate pentru utilizatorii mobili și „interni” (configurarea dinamică a adreselor IP corporative pentru utilizatori la distanță „în interiorul VPN”).

Gateway-urile Crypto sunt reprezentate atât în segmentul dispozitivelor VPN, cât și în segmentul dispozitivelor unificate (UTM) care combină mai multe instrumente de securitate într-unul.

Diferența dintre gateway-urile cripto și routerele VPN convenționale este că acestea funcționează pe baza protocolului IPSec și oferă protecție informațiilor transmise prin canalele de comunicație folosind algoritmi care îndeplinesc cerințele standardelor criptografice rusești (GOST 28147-89 și GOST R 34.10-2001). ).

Accesul la resursele sistemului informatic

Gateway-urile Crypto permit abonaților la distanță să ofere acces sigur la resursele sistemului informațional corporativ. Accesul se face utilizând un software special instalat pe computerul utilizatorului (client VPN) pentru interacțiunea sigură între utilizatorii de la distanță și cei mobili cu un gateway criptografic.

Software-ul Crypto-gateway (server de acces) identifică și autentifică utilizatorul și comunică cu resursele rețelei protejate. Cu ajutorul gateway-urilor criptografice, canalele virtuale securizate se formează în rețelele publice (de exemplu, Internet), care garantează confidențialitatea și fiabilitatea informațiilor și organizează rețele private virtuale (Virtual Private Network - VPN), care sunt o combinație a rețelelor locale sau a computerelor individuale conectate la o rețea publică.utilizarea într-o singură rețea virtuală sigură. Pentru a gestiona o astfel de rețea, se folosește de obicei un software special (centru de control), care asigură gestionarea centralizată a politicilor de securitate locale ale clienților VPN și gateway-urilor cripto, le trimite informații cheie și date de configurare noi și păstrează jurnalele de sistem.

Scrieți o recenzie despre articolul „Crypto Gateway”

Note (editați)

Literatură

Zhdanov, O. N., Zolotarev, V. V.... - Krasnoyarsk: SibGAU, 2007 .-- 217 p.

Link-uri

... logic-soft. Adus la 28 februarie 2012.
... Compania din Codul de securitate. Adus la 28 februarie 2012.
Konstantin Kuzovkin.... i-teco. Preluat la 28 februarie 2012.

Un extras care caracterizează criptogatul

- Qui s "scuza - s" acuză, [Cine își cere scuze, se învinovățește.] - spuse Julie zâmbind și fluturând scame și, ca să aibă ultimul cuvânt, a schimbat imediat conversația. - Ce este, azi am aflat: biata Marie Volkonskaya a sosit ieri la Moscova. Ai auzit că și-a pierdut tatăl?
- Într-adevăr! Unde este ea? Mi-ar plăcea foarte mult să o văd, - a spus Pierre.
- Am petrecut seara cu ea ieri. Azi sau mâine dimineață pleacă în regiunea Moscovei cu nepotul ei.
- Ei bine, ce mai face? - a spus Pierre.
- Nimic, trist. Dar știi cine a salvat-o? Este un întreg roman. Nicolas Rostov. Au înconjurat-o, au vrut să o omoare, și-au rănit oamenii. El s-a repezit și a salvat-o ...
„Un alt roman”, a spus miliția. - Decisiv, această evadare generală este făcută astfel încât toate miresei vechi să se căsătorească. Catiche este una, prințesa Bolkonskaya este alta.
„Știi că eu chiar cred că este un petit peu amoureuse du jeune homme. [puțin îndrăgostit de un tânăr.]
- Bine! Amenda! Amenda!
- Dar cum pot spune asta în rusă? ..

Când Pierre s-a întors acasă, i s-au înmânat două afișe cu Rostopchin aduse în acea zi.
Primul a spus că zvonul că i s-a interzis contelui Rostopchin să părăsească Moscova este nedrept și că, dimpotrivă, contele Rostopchin s-a bucurat că doamnele și soțiile negustore pleacă de la Moscova. „Mai puțină frică, mai puține știri”, spunea afișul, „dar răspund cu viața mea că nu va fi nici un ticălos la Moscova”. Aceste cuvinte pentru prima dată i-au arătat în mod clar lui Pierre că francezii vor fi la Moscova. Al doilea panou afirma că apartamentul nostru principal era în Vyazma, că contele Wittgstein i-a învins pe francezi, dar că, din moment ce mulți rezidenți vor să se înarmeze, au arme pregătite în arsenal: sabre, pistoale, tunuri, pe care locuitorii le pot obține la prețuri ieftine Preț. Tonul afișelor nu mai era la fel de glumitor ca în conversațiile anterioare ale lui Chigirin. Pierre medita asupra acestor postere. Evident, acea înnorare teribilă, pe care a convocat-o cu toate forțele sufletului său și care, în același timp, i-a stârnit groază involuntară - evident, acest nor se apropia.
„Pentru a intra în serviciul militar și a merge la armată sau așteptați? - Pierre și-a pus această întrebare pentru a suta oară. A luat un pachet de cărți care se afla pe masa lui și a început să joace solitaire.
„Dacă acest solitaire iese”, își spuse el însuși, amestecând pachetul, ținându-l în mână și ridicându-și privirea, „dacă iese, atunci ... ce înseamnă?” Prințesa senioră întrebând dacă este posibil a intra.
„Atunci va însemna că trebuie să merg la armată”, își spuse Pierre. - Intră, intră, adăugă el, adresându-se prințesei.
(O prințesă mai în vârstă, cu o talie lungă și un capac pietrificat, a continuat să locuiască în casa lui Pierre; cei doi mai mici s-au căsătorit.)
„Iartă-mă, verișoare, că am venit la tine”, a spus ea cu o voce reproșată și agitată. - La urma urmei, trebuie să ne decidem în cele din urmă cu privire la ceva! Ce va fi? Toți au părăsit Moscova și oamenii se revoltă. De ce rămânem?
„Dimpotrivă, totul pare să fie în regulă, vărule”, a spus Pierre cu acel obicei de jucăuș pe care Pierre, care își suporta întotdeauna jenat rolul de binefăcător în fața prințesei, se asimilase în raport cu ea.
- Da, e bine ... bunăstare! Astăzi Varvara Ivanovna mi-a spus cum diferă trupele noastre. Cu siguranță poți atribui onoare. Da, iar poporul s-a răzvrătit complet, nu mai ascultă; fata mea și ea au devenit nepoliticoase. Așa că în curând ne vor învinge și pe noi. Nu poți merge pe străzi. Și cel mai important, mâine francezii vor fi acolo, așa că la ce să ne așteptăm! Întreb despre un lucru, mon verișor, a spus prințesa, poruncesc să mă ducă la Petersburg: oricare aș fi, nu pot trăi sub conducerea lui Bonaparte.
- Da, plinătate, măioară, de unde îți iei informațiile? Împotriva…
- Nu mă voi supune lui Napoleon al tău. Alții așa cum vor ... Dacă nu vrei să faci asta ...
- Da, voi face, acum voi comanda.
Prințesa era evident supărată că nu era pe nimeni pe care să fie supărată. Ea, șoptind ceva, s-a așezat pe un scaun.
„Dar nu ți se spune asta corect”, a spus Pierre. „Totul este liniștit în oraș și nu există niciun pericol. Așa că tocmai am citit... - Pierre i-a arătat prințesei afișele. - Contele scrie că răspunde cu viața că inamicul nu va fi la Moscova.
„O, acest conte al tău”, a vorbit prințesă supărată, „acesta este un ipocrit, un ticălos care a pus el însuși poporul să se răzvrătească. Nu a scris în aceste postere stupide că oricare ar fi fost, trage-l de creastă până la ieșire (și ce prost)! Oricine ia, îi spune, și onoare și glorie. Deci nu mi-a pasat. Varvara Ivanovna a spus că oamenii aproape au ucis-o pentru că vorbea franceză ...
- De ce, așa este ... Îți iei totul la suflet foarte mult, - a spus Pierre și a început să joace solitaire.

APKSH „Continent”IPC-25 gateway criptografic compact pentru un birou mic. APKSH „Continent” este un instrument VPN puternic și flexibil care vă permite să construiți un VPN de orice arhitectură. Oferă protecție criptografică a informațiilor (în conformitate cu GOST 28147–89) transmise pe canale de comunicații deschise între componentele VPN (rețele locale, segmente ale acestora și calculatoare individuale). criptează pachetele de date individuale cu chei unice, ceea ce garantează protecția împotriva decriptării datelor interceptate. Pentru a proteja împotriva manipulării, este prevăzut un sistem de filtrare a traficului. Oferă suport pentru VoIP, videoconferințe, GPRS, 3G, LTE, ADSL, canale dial-up și de comunicații prin satelit, tehnologie NAT / PAT pentru a ascunde structura rețelei.

APKSH „Continent” este conceput pentru a rezolva următoarele sarcini tipice:

Protecție completă a rețelei
Oferă posibilitatea de a combina sucursalele distribuite geografic ale organizației într-o singură rețea sigură.
Oferă protecție pentru accesul de la distanță al angajaților la rețeaua corporativă.

Producător: Cod de securitate LLC

RUB 180.000,00

Factura va fi generată automat. Indicați tipul de „persoană juridică” a plătitorului și completați detaliile.

Compararea versiunilor

	APKSH „Continent” - IPC-25	APKSH „Continent” - IPC-100	APKSH „Continent” - IPC-400	APKSH „Continent” - IPC-1000
Preț	180.000 RUB Cumpără	270.000 RUB Cumpără	665.000 RUR Cumpără	1.021.000 R Cumpără
Performanță VPN (criptare + filtrare ME)	până la 50 Mbps	până la 300 Mbps	până la 500 Mbps	până la 950 Mbps
Performanță ME (trafic deschis)	până la 100 Mbps	până la 400 Mbps	până la 1 Gbps	până la 1 Gbps
Numărul maxim de sesiuni TCP concurente procesate (stare de păstrare)	10000	250000	350000	1000000
Număr de conexiuni securizate (tuneluri VPN)	25	nu este limitat	nu este limitat	nu este limitat

Configurare hardware:

Factor de formă	Mini-ITX, 1U înălțime
Dimensiuni (HxWxD)	155 x 275 x 45 mm
CPU	Intel Atom C2358 1743 MHz
RAM	SODIMM DDR3 DRAM, 2 GB, PC-1333
Interfețe de rețea	4х 1000BASE-T Ethernet 10/100/1000 RJ45 (realizat sub formă de module ușor de înlocuit)
Hard disk-uri	Modul SATA DOM 4Gb
Alimentare electrică	adaptor CA extern 19V, 220V 80W
Cititor	Atingeți Memorie
Identificatori personali	Atingeți Memory iButton DS1992L 2 BUC.
Modul APMDZ încorporat	PAK "Sobol" 3.0 (mini-PCIe)
Flash Drive USB	nu mai puțin de 512 MB
Nivel de zgomot acustic la 100% sarcină (metoda de măsurare ISO7779)
Sistem de operare încorporat	Continent OS - Sistem de operare avansat de securitate îmbunătățită bazat pe kernelul FreeBSD

APKSH „Continent” 3.9 include:

Centru de control al rețelei gateway criptografic (NCC)- efectuează autentificarea KSH și stația de lucru automatizată / monitorizarea și înregistrarea stării rețelei KSh / stocarea jurnalelor și configurarea KSh / distribuirea informațiilor cheie și configurare / gestionarea centralizată a cheilor criptografice / interacțiunea cu controlul program.
Crypto gateway (KSH) Este un dispozitiv hardware și software specializat care recepționează și transmite pachete IP prin protocoale TCP / IP (rutare statică) / criptare pachete (GOST 28147–89, modul gamma în buclă închisă, lungime cheie 256-bit) / protecție a datelor transmise de distorsiuni (GOST 28147–89, mod de inserare imitație) / filtrarea pachetelor / ascunderea structurii rețelei / înregistrarea evenimentelor / notificarea NCC despre activitatea sa și despre evenimentele care necesită intervenție / monitorizarea integrității software-ului KSH.
Program de control NCC (PU NCC)- funcția sa principală este un control centralizat al setărilor și monitorizarea operațională a stării tuturor unităților de control care fac parte din complex. Instalat într-o rețea securizată pe stația de lucru a administratorului sub MS Windows 2003/2008/7/8.
NCC și agent SD efectuează stabilirea unei conexiuni securizate și schimb de date cu NCC și CP / primirea de la NCC, stocarea și transmiterea conținutului jurnalelor de către CP / recepționarea de la NCC și transferarea informațiilor despre funcționarea complexului la CP.
Client de autentificare utilizator- oferă autentificare utilizatorilor care lucrează pe computere situate într-un segment de rețea protejat atunci când se conectează la un gateway criptografic.
Stație abonat (Continent-AP) stabilește un tunel VPN între stația de lucru la distanță a utilizatorului și rețeaua internă protejată a organizației. Când este conectat prin rețele de acces public și Internet, acesta efectuează autentificarea utilizatorului / suport pentru alocarea dinamică a adreselor / acces la distanță la resursele rețelei protejate printr-un canal criptat / acces prin canale de comunicare dedicate și dial-up / posibilitatea de a accesa resursele rețelelor publice.
Server de acces asigură comunicarea între UA la distanță și rețeaua protejată, precum și determinarea nivelului de acces al utilizatorului și autentificarea acestuia.
Accesați programul de gestionare a serverului (PC SD)- furnizează o notificare promptă a administratorului de rețea despre evenimentele de securitate. Proiectat pentru a gestiona setările tuturor serverelor de acces incluse în complex.
Detector de atac „Continent” este o componentă software care analizează traficul provenit de la un gateway criptografic și filtrează intruziunile neautorizate. Funcționează împreună cu Centrul de control pentru rețeaua de gateway-uri criptografice „Continent” versiunea 3.7 și mai mare.

Certificate

conformitatea cu liniile directoare ale FSTEC din Rusia privind al 2-lea nivel de control pentru absența NDV și a 2-a clasă de securitate pentru firewall-uri. Poate fi folosit pentru a crea sisteme automatizate până la clasa de securitate 1B inclusiv și la crearea sistemelor de informații cu date personale până la clasa 1 inclusiv;
respectarea cerințelor FSB din Rusia pentru dispozitive precum un firewall pentru securitatea clasei 4;
respectarea cerințelor FSB al Rusiei pentru mijloacele de protecție criptografică a informațiilor din clasa KC3 și posibilitatea de utilizare pentru protecția criptografică a informațiilor care nu conțin informații care constituie secret de stat;
Ministerul Telecomunicațiilor și Comunicațiilor de Masă al Federației Ruse - privind respectarea cerințelor stabilite pentru echipamentele de rutare a pachetelor de informații și posibilitatea utilizării acestuia în rețelele publice de comunicații ca echipamente pentru comutarea și rutarea pachetelor de informații.

Posibilitati

Complexul oferă protecție criptografică a informațiilor (în conformitate cu GOST 28147-89) transmise pe canale de comunicații deschise între componentele VPN, care pot fi rețele de calculatoare locale, segmentele acestora și calculatoare individuale.

Schema de chei modernă, realizând criptarea fiecărui pachet cu o cheie unică, oferă protecție garantată împotriva posibilității de decriptare a datelor interceptate.

Pentru a proteja împotriva pătrunderii din rețelele publice, complexul Continent 3.6 oferă filtrarea pachetelor primite și transmise în funcție de diverse criterii (adresele expeditorului și destinatarului, protocoale, numere de port, câmpuri de pachete suplimentare etc.). Oferă suport pentru VoIP, videoconferință, ADSL, canale de comunicare dial-up și prin satelit, tehnologie NAT / PAT pentru a ascunde structura rețelei.

Caracteristici cheie și caracteristici ale APCS „Continent” 3.6

Protecția eficientă a rețelelor corporative

Acces securizat al utilizatorului VPN la resursele rețelei publice
Protecția criptografică a datelor transmise în conformitate cu GOST 28147-89

În APKSH „Continent” 3.6, este utilizată o schemă de chei modernă, care implementează criptarea fiecărui pachet pe o cheie unică. Acest lucru oferă un grad ridicat de protecție a datelor împotriva decriptării în cazul interceptării.

Criptarea datelor se efectuează în conformitate cu GOST 28147–89 în modul de feedback gamma. Protecția datelor împotriva distorsiunii se realizează în conformitate cu GOST 28147–89 în modul de inserare a imitației.

Cheile criptografice sunt gestionate central de la NCC.

Firewalling - protejarea segmentelor interne de rețea împotriva accesului neautorizat

Crypto gateway "Continent" 3.6 oferă filtrarea pachetelor primite și transmise în funcție de diferite criterii (adresele expeditorului și destinatarului, protocoale, numere de port, câmpuri de pachete suplimentare etc.). Acest lucru vă permite să protejați segmentele de rețea internă de penetrarea rețelelor publice.

Acces securizat pentru utilizatorii la distanță la resursele VPN

Software-ul special „Continent AP”, care face parte din APKSH „Continent” 3.6, vă permite să organizați accesul securizat de la computere la distanță la rețeaua VPN corporativă.

Crearea subsistemelor informaționale cu acces partajat la nivel fizic

În APKSH „Continent” 3.6, puteți conecta 1 interfață externă și 3–9 interfețe interne pe fiecare gateway cripto. Acest lucru îmbunătățește foarte mult capacitatea utilizatorului de a configura rețeaua în conformitate cu politica de securitate corporativă. În special, prezența mai multor interfețe interne vă permite să împărțiți subrețele departamentelor organizației la nivelul cardurilor de rețea și să stabiliți gradul de interacțiune necesar între ele.

Caracteristici și capacități cheie

Suport pentru canale de comunicare comune

Lucrând prin conexiuni Dial-Up, echipamente ADSL conectate direct la gateway-ul cripto, precum și prin canale de comunicații prin satelit.

„Transparență” pentru orice aplicații și servicii de rețea

Gateway-urile Crypto „Continent” 3.6 sunt „transparente” pentru orice aplicații și servicii de rețea care utilizează protocolul TCP / IP, inclusiv servicii multimedia precum telefonia IP și conferința video.

Lucrul cu trafic cu prioritate ridicată

Mecanismul de prioritizare a traficului implementat în mecanismul de prioritizare a traficului Continent 3.6 permite protejarea traficului de voce (VoIP) și a conferințelor video fără pierderea calității comunicării.

Rezervarea lățimii de bandă garantată pentru anumite servicii

Rezervarea lățimii de bandă garantată pentru anumite servicii asigură trecerea traficului de e-mail, sisteme de gestionare a documentelor etc. chiar și cu utilizarea activă a telefoniei IP pe canale de comunicații de viteză redusă.

Suport VLAN

Suportul VLAN asigură integrarea ușoară a APCS în infrastructura de rețea, împărțită în segmente virtuale.

Ascundeți rețeaua internă. Suport pentru tehnologii NAT / PAT

Suportul pentru tehnologia NAT / PAT vă permite să ascundeți structura internă a segmentelor de rețea protejate atunci când transmiteți trafic deschis, precum și să organizați zone demilitarizate și să segmentați rețelele protejate.

Se ascunde structura internă a segmentelor protejate ale rețelei corporative:

prin metoda de încapsulare a pachetelor transmise (la criptarea traficului);
folosind tehnologia de traducere a adreselor de rețea (NAT) atunci când lucrați cu resurse publice.

Integrare cu sisteme de detectare a intruziunilor

Pe fiecare gateway criptografic, este posibil să selectați special una dintre interfețe pentru a verifica traficul care trece prin KSH pentru încercări de acces neautorizat (atacuri de rețea). Pentru a face acest lucru, trebuie să definiți o astfel de interfață ca un "port SPAN" și să conectați un computer cu un sistem de detectare a intruziunilor instalat (de exemplu, RealSecure) la acesta. După aceea, toate pachetele care sosesc la intrarea filtrului de pachete al gateway-ului cripto încep să fie transmise către această interfață.

Servicii și management

Comoditate și ușurință în întreținere (modul fără întreținere 24 * 7)

APKSH "Continent" 3.6 nu necesită administrare locală constantă și poate funcționa în modul nesupravegheat 24 * 7х365. Calculatoarele industriale utilizate la producerea complexului, împreună cu posibilitatea de backup la cald și la rece, garantează buna funcționare a complexului.

Complexul oferă notificări rapide ale administratorilor despre evenimente care necesită intervenție promptă în timp real.

Actualizare software de la distanță a gateway-urilor crypto

Complexul rezolvă problema actualizării software-ului KSH în sisteme distribuite geografic. Actualizarea software-ului este încărcată central în complex, trimisă la toate gateway-urile criptografice incluse în complex și instalată automat.

Asigurarea toleranței la erori

Toleranța la erori a Complexului este asigurată prin următoarele măsuri:

Redundanță hardware a gateway-urilor criptografice (crearea unui cluster cu acces ridicat). În cazul defecțiunii unuia dintre gateway-urile cripto, trecerea la cel de rezervă se realizează automat fără intervenția administratorului și fără întreruperea conexiunilor stabilite.
Backup automat al fișierelor de configurare ale complexului. Oferă recuperarea rapidă a funcționării rețelei în caz de defecțiune hardware.

Management centralizat al rețelei

Gestionarea centralizată a rețelei se realizează utilizând NCC și un program de gestionare care vă permite să modificați interactiv setările tuturor gateway-urilor cripto din rețea și să monitorizați starea lor curentă.

Afișarea în timp real a stării tuturor dispozitivelor la locul de muncă al administratorului vă permite să identificați în timp util abaterile de la procesul normal de funcționare și să răspundeți imediat la acestea.

Managementul bazat pe roluri - separarea puterilor pentru administrarea complexului

A fost implementată capacitatea de a separa puterile pentru administrarea complexului, de exemplu, pentru gestionarea informațiilor cheie, pentru atribuirea drepturilor de acces la resursele protejate, pentru adăugarea de noi componente, pentru auditul acțiunilor utilizatorilor (inclusiv alți administratori).

Interacțiunea cu sistemele de management al rețelei

Vă permite să monitorizați starea APCS „Continent” 3.6 prin protocolul SNMPv2 din sistemele globale de gestionare a rețelei (Hewlett-Packard, Cisco etc.).

În condițiile moderne, pentru funcționarea eficientă a unei organizații, se impune asigurarea transferului de informații între divizii la distanță și accesul constant la serviciile corporative de oriunde în lume. Pentru a proteja informațiile în timpul transmiterii pe canalele de comunicații publice, a fost dezvoltată tehnologia VPN (rețea privată virtuală, rețele private virtuale). De fapt, atunci când se utilizează un VPN, informațiile sunt schimbate cu o rețea locală la distanță printr-un canal virtual prin Internet, cu o imitație a unei conexiuni private punct-la-punct (se creează un tunel VPN criptat sau o întreagă rețea VPN).

Deoarece tehnologia VPN include criptografie (criptare), atunci, în conformitate cu legile Federației Ruse, este posibil să se utilizeze mijloace criptografice (router criptografic / gateway criptografic / gateway VPN) de următoarele tipuri pe teritoriul Rusiei:

Criptografie occidentală (lungimea cheii până la 56 * biți inclusiv);
Criptografie occidentală (lungimea cheii de la 56 de biți) - cu notificare de către clientul FSB din Rusia;
Criptografia rusă (GOST 28147-89, GOST 34.10—2012, GOST 34.11—2012).

Ca răspuns la cerințele pieței și a legislației privind mijloacele criptografice, AltEl a integrat un nucleu criptografic proprietar bazat pe algoritmul GOST 28147-89 în gateway-ul VPN ALTELL NEO. Acest lucru vă permite să utilizați ALTELL NEO pentru a uni sucursale la distanță într-o singură rețea VPN, pentru a oferi acces la rețeaua locală a organizației de la angajații mobili (folosind clientul ALTELL VPN pentru dispozitive mobile) la resursele companiei și pentru a securiza schimbul de date între sucursale și contrapărți. Gama largă de modele ALTELL NEO satisface nevoia unei combinații sigure de companii de orice dimensiune: atât un birou mic la distanță, cât și sediul unui holding mare cu un personal de câteva mii de angajați.

Ca un gateway criptografic, ALTELL NEO permite utilizatorilor la distanță să se conecteze printr-un canal securizat (printr-un tunel VPN) la rețeaua locală a unei organizații fără a compromite nivelul de securitate al acesteia. Utilizatorii pot avea acces doar la anumite servere sau servicii specifice. Pentru a funcționa de la distanță pe dispozitivele mobile, trebuie instalat un client VPN.

Topologie

Mai jos este o diagramă a organizării unei conexiuni VPN între sucursalele companiei utilizând routerul criptografic ALTELL NEO (Fig. 1). Tunelul VPN este construit pe baza criptoalgoritmelor interne sau occidentale (GOST / AES128 prin IPsec sau OpenVPN). În interiorul tunelului VPN, traficul din rețelele convergente poate fi transmis: date, voce, video.

Fig.1 Stabilirea unei conexiuni VPN între filiale.

Figura 2 prezintă o diagramă a organizării unei conexiuni VPN cu utilizatori la distanță. Un client VPN este instalat pe dispozitivele mobile, prin care utilizatorul obține acces securizat la rețeaua organizației.

Fig. 2 Organizarea conexiunii VPN cu utilizatorii de telefonie mobilă.

În prezent, gateway-ul ALTELL NEO VPN acceptă următoarele tipuri de conexiuni VPN:

Avantaje

capacitatea de a accesa resursele IT interne ale întreprinderii de la sucursale la distanță;
protecția traficului utilizând criptoalgoritmi interni sau occidentali (GOST / AES128 prin IPsec sau OpenVPN);
operare neîntreruptă datorită organizării unei scheme cu un furnizor redundant sau utilizării inelelor rutate redundante în topologie;
organizarea unui sistem de înaltă disponibilitate;
capacitatea de a lucra în siguranță în rețeaua internă a întreprinderii pentru utilizatorii individuali de la biroul de acasă sau de oriunde pe Internet;
filtrarea traficului nedorit în canalul VPN;
capacitatea de a aloca segmente protejate în rețelele existente;
imuabilitatea infrastructurii IT existente;
rețea VPN scalabilă;
o gamă largă de instrumente pentru construirea unei rețele VPN;
implementare rapidă și configurare inițială;
ușurința de utilizare a sistemului.

Certificate

Gateway-ul crypto ALTELL NEO are toate certificatele necesare pentru utilizare ca mijloc de protejare a informațiilor, inclusiv certificate ale FSTEC din Rusia pentru clasele ME2 / ME3 / ME4 și NDV2 / NDV3, care permit utilizarea acestui gateway VPN pentru a proteja sistemele automatizate la clasa 1B inclusiv și creați ISPDN securizat în conformitate cu 152-FZ „Cu privire la datele personale” până la clasa K1 inclusiv.

Testare gratuită

Toate modelele ALTELL NEO sunt disponibile pentru testare gratuit în organizația dvs. Pentru a obține modelul care vă interesează, trebuie să completați o cerere. De asemenea, puteți selecta configurația dispozitivului (memorie suplimentară, module de expansiune, versiunea software etc.) și puteți calcula prețul aproximativ al dispozitivului folosind

Articolul descrie pe scurt tendințele de pe piața VPN globală, examinează gateway-urile cripto populare de pe piața rusă și oferă caracteristicile lor cheie.

Introducere

Gateway criptografic (gateway criptografic, router criptografic, gateway VPN) este un complex software și hardware pentru protecția criptografică a traficului transmis pe canalele de comunicații prin criptarea pachetelor folosind diverse protocoale.

Gateway-ul criptografic este conceput pentru a asigura securitatea informațiilor unei organizații atunci când transferă date pe canale de comunicații deschise.

Gateway-urile Crypto de pe piața modernă oferă următoarele funcții de bază:

transparență pentru NAT;
ascunderea topologiei rețelei prin încapsularea traficului într-un tunel criptat;
asigurarea integrității și confidențialității pachetelor IP;
autentificarea nodurilor și utilizatorilor de rețea securizate.

Întreprinderile de diferite dimensiuni, agențiile guvernamentale, companiile private sunt principalele categorii de consumatori de gateway-uri cripto.

Astăzi, funcționalitatea gateway-ului VPN face parte integrantă din practic orice dispozitiv de rețea, fie că este un router corporativ, un router Wi-Fi de acasă sau un firewall. Luând în considerare această specificitate, mai jos vom lua în considerare reprezentanții cheie ai pieței rusești utilizând algoritmul de criptare GOST, precum și câteva exemple străine ca alternativă.

Într-o linie separată, observăm prezența pe piață a soluțiilor pentru acces la distanță securizat bazat pe protocolul TLS (gateway-urile TLS) atât ale producătorilor ruși, cât și ai celor străini. Acestea nu sunt luate în considerare în această recenzie.

Piața globală de gateway criptografică

Continuitatea activității pentru orice companie distribuită geografic este întotdeauna asociată cu asigurarea protecției informațiilor transmise. Diverse dispozitive VPN au rezolvat această problemă de mult timp. Ele diferă semnificativ în implementarea lor: pot fi soluții specializate, soluții bazate pe sisteme software și hardware, precum firewall-uri/routere, sau sisteme complet software.

Produse similare de pe piața mondială sunt utilizate de companii din diferite domenii de activitate: asistență medicală, întreprinderi industriale, companii de transport, agenții guvernamentale și multe altele.

În cele mai multe cazuri, clientul trebuie să rezolve una sau mai multe dintre următoarele sarcini:

protecția unei rețele corporative distribuite în diverse topologii;
conectarea utilizatorilor la distanță la rețeaua corporativă (inclusiv de pe dispozitive mobile);
protecția stratului de legătură.

SSL VPN sa stabilit cu fermitate pe piața globală, după cum reiese din cercetarea Alliedmarketresearch. Potrivit acestora, piața globală SSL VPN în 2016 a depășit 3 miliarde de dolari SUA. Creșterea proiectată până în 2023 - până la 5,3 miliarde.

Printre jucătorii cheie de pe piața globală, pozițiile de lider sunt deținute de Cisco Systems, Citrix Systems, Pulse Secure, F5 Networks.

Figura 1 ilustrează principalele segmente de creștere ale pieței globale SSL VPN:

modul client subțire;
modul de tunelare complet;
modul fără client.

Piața rusă de gateway criptografică

În Rusia, principalii consumatori de cripto-gateway-uri sunt agențiile guvernamentale, precum și organizațiile care sunt operatori de date personale. Pe teritoriul țării noastre există mai multe reglementări care determină criteriile după care instrumentele de securitate a informațiilor pot fi folosite pentru a rezolva anumite probleme.

Aceste documente includ următoarele:

Legea federală din 27.07.2006 nr. 152-FZ „Cu privire la datele cu caracter personal”.
Decretul Guvernului Federației Ruse din 01.11.2012 nr. 1119 „Cu privire la aprobarea cerințelor pentru protecția datelor cu caracter personal la prelucrarea acestora în sistemele de informații cu date cu caracter personal”.
Ordinul FSTEC al Rusiei din 11 februarie 2013 nr. 17 „Cu privire la aprobarea cerințelor de protecție a informațiilor care nu constituie secret de stat conținute în sistemele informaționale de stat”.
Ordinul FSTEC din Rusia din 18 februarie 2013 nr. 21 „Cu privire la aprobarea compoziției și conținutului măsurilor organizatorice și tehnice pentru a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal”.
Reglementări privind dezvoltarea, producerea, implementarea și funcționarea instrumentelor de securitate a informațiilor de criptare (criptografice) (Regulamente PKZ-2005).

Una dintre cerințele principale pentru gateway-urile criptografice este disponibilitatea certificatelor valide de conformitate ale autorităților de reglementare a pieței - FSB din Rusia și FSTEC din Rusia. Certificatul FSB al Rusiei pentru conformitatea cu cerințele pentru mijloacele de criptare (criptografice) este emis numai dacă gateway-ul de criptare este implementat utilizând algoritmi de criptare interne în conformitate cu GOST 28147-89.

Producătorii străini susțin rareori criptarea în conformitate cu GOST și primesc astfel de certificate de conformitate pentru soluțiile lor, care sunt utilizate în mod activ de furnizorii ruși de instrumente de protecție a informațiilor criptografice (CIPF).

Separat, este necesar să se observe tendința asociată cu securitatea cibernetică a sistemelor automatizate de control al proceselor (APCS). Astăzi, unele dispozitive de protecție a informațiilor criptografice oferă pieței gateway-uri criptografice securizate care îndeplinesc cerințele pentru protecția împotriva prafului și umezelii și a intervalelor speciale de temperatură. De asemenea, au existat reglementări care formează cerințele pentru protecția informațiilor în astfel de sisteme:

Legea federală din 26 iulie 2017 nr. 187-FZ „Cu privire la securitatea infrastructurii informaționale critice a Federației Ruse”.
Ordinul FSTEC al Rusiei din 14 martie 2014 nr. 31 „Cu privire la aprobarea cerințelor pentru asigurarea protecției informațiilor în sistemele automate de control pentru producție și procesele tehnologice la unități critice, instalații potențial periculoase, precum și instalații care prezintă un pericol crescut la viața și sănătatea oamenilor și a mediului. mediu natural ".

Acest lucru ne permite să vorbim despre o perspectivă serioasă a acestei direcții pentru producătorii de securitate a informațiilor criptografice în ceea ce privește dezvoltarea produselor lor.

Să luăm în considerare mai detaliat caracteristicile unor gateway-uri cripto rusești și străine.

Gateway-uri cripto rusești

Atlix-VPN („NTC Atlas”)

Complexul hardware și software Atlix-VPN (PAC) este un produs al companiei rusești NTC Atlas. PAK este conceput pentru a asigura crearea și interacțiunea rețelelor private virtuale (VPN) pe baza protocolului IPsec și a standardului X.509 utilizând algoritmi criptografici ruși.

GOST 28147-89, GOST R 34.11-94, GOST R 34.10-2001 sunt declarate standarde acceptate.

O caracteristică distinctivă este modul de introducere a informațiilor cheie necesare pentru implementarea funcțiilor sale. În acest scop, se utilizează cardul intelectual rusesc (RIC) - un card cu microprocesor dezvoltat de STC Atlas, JSC Program Systems and Technologies, JSC Angstrem. Cardul este realizat pe baza unui microprocesor casnic fabricat de JSC Angstrem.

Din punct de vedere hardware, „Atlix-VPN” funcționează pe baza unui server al unei platforme specializate, fixe. PAK oferă o performanță de criptare relativ scăzută în raport cu standardele actuale - 85 Mbps. Această viteză și acest tip de platformă hardware se datorează clasei de securitate ridicată, în conformitate cu cerințele FSB din Rusia, care este furnizată de PAK - KV2.

Figura 2. PAK "Atlix-VPN"

Atlix-VPN are următoarele certificate valide de conformitate:

FSB din Rusia Nr. Ф / 124-2958, confirmând faptul că PAK îndeplinește cerințele pentru mijloacele de criptare (criptografice) din clasa KB2 și poate fi utilizat pentru protecția criptografică (criptarea și imitarea traficului IP) a informațiilor care nu conțin informații constituirea unui secret de stat;
FSTEC al Rusiei nr. 1864, confirmând că PAK respectă cerințele documentului de orientare „Facilități computerizate. Firewall-uri. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații „- clasa de securitate 4.

Mai multe informații despre Atlix-VPN PAK pot fi găsite pe site-ul producătorului.

ZASTAVA (ELVIS-PLUS)

Sisteme hardware și software ZASTAVA - dezvoltarea companiei ruse ELVIS-PLUS. PAK asigură protecția sistemelor de informații corporative la nivel de rețea utilizând tehnologii de rețele virtuale protejate (VPN) bazate pe protocoale IPsec / IKE. ZASTAVA nu este doar un gateway VPN cu suport pentru algoritmi criptografici interni, ci și un firewall. ZASTAVA este singurul produs rus care implementează versiunea actuală a protocolului IKE (IKEv2). Majoritatea furnizorilor ruși utilizează protocolul IKEv1, care în urmă cu mai bine de 10 ani a fost recunoscut oficial ca fiind depășit de IETF, inclusiv din cauza problemelor de securitate. În comparație cu acesta, IKEv2 este mai rezistent la atacurile de refuz de serviciu, mai rezistent la problemele de rețea și mai flexibil de utilizat. Protocolul IKEv2 este în prezent în curs de dezvoltare activă în IETF, incluzând astfel de zone avansate în criptografie, cum ar fi, de exemplu, protejarea datelor de computerele cuantice sau utilizarea principiului dovezii de lucru pentru a contracara atacurile DoS. ELVIS-PLUS participă activ la aceste lucrări și adaugă imediat suport pentru noile caracteristici de protocol la PAK ZASTAVA.

ZASTAVA constă din trei componente separate:

ZASTAVA-Client implementează funcționalitatea unui client de acces la distanță prin VPN;
ZASTAVA-Office implementează funcțiile unui gateway VPN și firewall;
ZASTAVA-Management îndeplinește funcțiile Centrului de gestionare a politicilor de securitate pentru gestionarea unificată a securității rețelei.

Trăsături distinctive:

utilizarea modulelor criptografice externe care implementează standardele interne GOST R 34.10-2001, GOST R 34.10-2012, GOST R 34.11-2012, GOST 28147-89, în special, sistemul de protecție criptografică CryptoPro CSP;
suport nu numai pentru algoritmi criptografici interni, ci și pentru cei străini - RSA, DH, ECDH, DES, 3DES, AES, SHA1, SHA2;
autentificarea partenerilor folosind certificate X.509;
suport pentru gestionarea centralizată a PAK prin produsul ZASTAVA-Management;
implementarea funcționalității unui cluster de failover care funcționează în modul „activ / pasiv”;
în funcție de platforma hardware, performanța de criptare poate varia de la 40 Mbps la 4 Gbps;
pentru a asigura criptarea canalului de comunicare de la stațiile de lucru ale clienților către PAK, folosim propria noastră dezvoltare - produsul ZASTAVA-Client.

ZASTAVA deține mai multe certificate valabile de conformitate cu cerințele FSB din Rusia și FSTEC din Rusia, în special:

FSB al Rusiei №СФ / 114-3067, care confirmă respectarea cerințelor de protecție criptografică a informațiilor care nu conțin informații care constituie secret de stat, clasa KC3; poate fi utilizat pentru protecția criptografică (criptarea pachetelor IP bazate pe IPsec ESP, calcularea funcției hash pentru pachetele IP bazate pe IPsec AH și / sau IPsec ESP, autentificarea criptografică a abonaților la stabilirea unei conexiuni bazate pe IKE v1 sau protocol IKE v2) informații care nu conțin informații care constituie un secret de stat;
FSTEC din Rusia nr. 2573, care certifică faptul că PAK respectă cerințele documentului de îndrumare „Facilități computerizate. Firewall-uri. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații „pentru clasa a 2-a de securitate.

Mai multe informații despre PAK ZASTAVA pot fi găsite pe site-ul producătorului.

„Continent” („Cod de securitate”)

Complexul de criptare hardware și software Continent (APKSH) este un gateway criptografic fabricat de compania rusă Cod de securitate. APKSH oferă firewalling și protecție criptografică a canalelor de comunicații deschise în conformitate cu GOST 28147-89.

APPSH vă permite să protejați traficul de rețea în rețelele multiservice, să împărțiți segmentele de rețea, să organizați accesul la distanță securizat la rețeaua locală și să implementați interconectarea cu alte rețele securizate (pe baza acestui produs). APKSH se bazează pe FreeBSD.

APKSH are următoarele caracteristici:

sprijină managementul și monitorizarea centralizată utilizând produsul Continent Network Management Center;
redundanță hardware a APCS pentru a implementa o configurație tolerantă la erori;
în gama de modele a APCSh, există o performanță pentru protejarea informațiilor în sistemele industriale;
o gamă largă de modele cu suport pentru rate de criptare de la 10 Mbps la 3,5 Gbps la utilizarea unei soluții autonome (până la 10 Gbps la distribuirea traficului criptat între o fermă de la APPS);
suport pentru agregarea transparentă a rețelelor la nivelul link-ului (VPN L2);
filtrarea traficului la nivelul aplicației de rețea (DPI);
comenzi de filtrare pentru protocoale HTTP, FTP;
Filtrare URL bazată pe liste statice și expresii regulate;
gateway-urile de performanță medie și înaltă (de la IPC-400 și mai mare) sunt implementate într-un factor de formă 2U;
gama de modele APSH include platforme cu până la 34 GbE interfețe, inclusiv până la 4 optice 10 Gb SFP +, până la 32 optice 1 Gb SFP;
Produsul software Continent-AP este utilizat ca client VPN.

Figura 3. APCS „Continent” IPC -3034

Trebuie remarcat faptul că APKSH este livrat cu un dispozitiv anti-manipulare încorporat - complexul software și hardware Sobol. De asemenea, la nivelul formularului APPS și al ghidului administratorului, există o limitare a numărului maxim de gateway-uri cripto într-o rețea cu un centru de control al rețelei „Continent”.

APKSH este inclus în registrul de software intern (nr. 310) și are o serie de certificate de conformitate valabile, inclusiv:

FSB din Rusia Nr. ФФ / 124-2617, care confirmă conformitatea cu cerințele pentru mijloacele de criptare (criptografice) din clasa KC3 și poate fi utilizat pentru protecția criptografică (crearea și gestionarea informațiilor cheie, criptarea și imitarea protecției datelor transmise în pachetele IP prin rețele comune de transmisie a datelor) informații care nu conțin informații care constituie secret de stat;
FSTEC din Rusia nr. 3008, confirmând conformitatea cu cerințele pentru firewall-urile de tip "A" (IT.ME.A3.PZ) și instrumentele de detectare a intruziunilor la nivel de rețea (IT.COV.S3.PZ) pentru clasa 3 (documentul pentru vizualizarea nu este disponibilă pe site-ul producătorului, disponibil la cerere).

Mai multe informații despre APKSH „Continent” pot fi găsite pe site-ul producătorului.

FPSU-IP (AMIKON, "InfoCrypt")

Complex hardware și software „Filtru de pachete de nivel de rețea - Protocol Internet” (FPSU-IP) produs de compania rusă AMIKON cu participarea InfoCrypt. PAK este un firewall și o rețea privată virtuală (VPN).

FPSU-IP acceptă standardele interne GOST 28147-89, GOST R 34.10-2012, GOST R 34.11-2012, implementate folosind CIPF „Tunnel 2.0” fabricat de „InfoCrypt” (din punct de vedere al criptografiei). PAK funcționează pe baza Linux.

FPSU-IP are următoarele caracteristici:

sprijină capacitatea de a lucra în modul de rezervă "la cald" (oferit de producător ca opțiune);
implementat pe baza diverselor platforme hardware atât de dimensiuni standard 1U, cât și 2U;
folosește propriul protocol VPN;
Software-ul FPSU-IP / Client este utilizat ca componentă client la distanță (activarea capacității de interacțiune cu software-ul clientului pe PAK este oferită de producător ca opțiune);
gama oferă o viteză de criptare a datelor de la 10 Mbps la 12 Gbps (cu o dimensiune a pachetului IP de 1450 de octeți și 56 de fluxuri de calcul).

Figura 4. Gateway FPSU-IP

FPSU-IP este o soluție bazată pe diverse platforme hardware și software cu sistem de protecție a informațiilor criptografice certificate încorporat.

CIPF încorporat are un certificat valabil al FSB al Rusiei Nr.SF / 124-3060 și îndeplinește cerințele pentru instrumentele de protecție a informațiilor criptografice concepute pentru a proteja informațiile care nu conțin informații care constituie secret de stat, clasele KC1, KC2, KC3 .

Mai multe informații despre FPSU-IP pot fi găsite pe site-ul producătorului.

ALTELL NEO ("AltEl")

Complex hardware și software ATLELL NEO fabricat de AltEl.

Funcționalitatea cheie este firewall-ul combinat cu capacitatea de a construi canale de comunicații sigure. ALTELL NEO este, de asemenea, poziționat ca o soluție UTM (Unified Threat Management) care combină nu numai capacitățile unui firewall, gateway VPN, dar și detectarea și prevenirea intruziunilor, filtrarea conținutului și protecția împotriva malware-ului.

Produsul este o platformă hardware combinată cu software certificat încorporat. IPsec, OpenVPN sunt acceptate ca protocoale de criptare folosind GOST 28147-89.

Platformele oferite de producător, cu excepția celor mai tinere (100 și 110), pot funcționa folosind una dintre cele trei versiuni de software: FW (firewall), VPN (crypto gateway), UTM. Fiecare versiune ulterioară a software-ului include funcționalitatea celor precedente.

ALTELL NEO are următoarele caracteristici:

o gamă largă de platforme hardware de diverse configurații;
Platforma hardware de clasă Enterprise (model 340, factor de formă 2U) are densitate crescută a interfețelor de rețea (până la 65 de porturi RJ45 GbE / până la 64 de porturi SFP GbE / până la 16 porturi SFP + 10 GbE);
performanța de criptare (în funcție de platforma hardware) atunci când se utilizează algoritmul IPsec este de la 18 Mbps la 2,4 Gbps, OpenVPN - de la 14 Mbps la 1,4 Gbps.

Figura 5. Gateway ALTELL NEO 340

Software-ul utilizat în soluție este inclus în registrul software-ului intern (nr. 3768) și are următoarele certificate de conformitate:

FSB din Rusia №SF / SZI-0074, confirmând îndeplinirea cerințelor pentru firewall-urile clasei a 4-a de securitate și că software-ul poate fi utilizat pentru a proteja informațiile de accesul neautorizat în sistemele de informații și telecomunicații ale autorităților de stat ale Federației Ruse ;
FSTEC din Rusia nr. 2726, care certifică faptul că software-ul respectă cerințele documentului de îndrumare „Facilități pentru computer. Firewall-uri. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații „- pentru clasa a 2-a de securitate.

Trebuie remarcat faptul că, în momentul publicării revizuirii în surse deschise, nu era posibil să se găsească un certificat valid al FSB din Rusia pentru conformitatea cu cerințele pentru mijloacele de criptare (criptografice) din clasele KC1 / KC2 / KC3.

Mai multe informații despre ALTELL NEO pot fi găsite pe site-ul producătorului.

C-Terra Gateway 4.1 („C-Terra CSP”)

Produsul C-Terra Gateway fabricat de compania rusă S-Terra CSP este un pachet software (denumit în continuare PC) bazat pe diverse platforme hardware.

SS-Terra Gateway 4.1 oferă criptare în conformitate cu GOST 28147-89 și protecție la imitație a traficului transmis prin canale de comunicație deschise folosind protocolul IPsec. În plus față de VPN, produsul are funcționalitate firewall. Debian este folosit ca sistem de operare.

Funcțiile criptografice din PC sunt implementate de o bibliotecă criptografică proprietară - C-Terra ST, care este compatibilă cu CryptoPro CSP CIPF.

C-Terra Gateway 4.1 are următoarele caracteristici principale:

acceptă telecomanda centralizată prin sistemul S-Terra KP;
performanța soluției de criptare de la 60 Mbps la 2,5 Gbps, în funcție de modelul gateway-ului și de platforma hardware;
este posibilă executarea ca mașină virtuală (C-Terra Virtual Gateway);
este posibil să instalați computerul S-Terra Gateway pe AP-ul clientului;
producatorul ofera o solutie pentru protejarea unui canal de comunicatie de 10 Gbps la nivelul L2, prin plasarea a 4 perechi de gateway-uri model 7000 High End cu modulul software C-Terra L2 si doua perechi de switch-uri in doua centre de date (tinand cont de faptul că în canalul de comunicație protejat traficul este în mare parte TCP, fără telefonie IP).

Figura 6. С-Terra Gateway 1000

S-Terra Gateway 4.1 este certificat de FSB din Rusia ca instrument de protecție a informațiilor criptografice pentru clasele KC1, KS2, KS3 și ca ME de clasa 4, precum și FSTEC din Rusia ca firewall de clasă 3 (ME 3) . Printre certificate:

FSB al Rusiei №СФ / 124-2517, care confirmă îndeplinirea cerințelor pentru mijloacele de criptare (criptografice) din clasa KC3;

FSB al Rusiei №СФ / 525-2663, confirmând îndeplinirea cerințelor pentru firewall-urile clasei a 4-a de securitate;

FSTEC din Rusia Nr. 3370, care atestă că S-Terra Gateway respectă cerințele documentului de orientare „Facilități computerizate. Firewall-uri. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații „- pentru clasa a 3-a de securitate.

Mai multe informații despre S-Terra Gateway pot fi găsite pe site-ul producătorului.

Diamond VPN (TCC)

Complexul hardware și software TCC Diamond VPN / FW este o soluție UTM de înaltă performanță care combină funcțiile unui firewall, gateway VPN și sistem de detectare a intruziunilor (IDS).

PAK oferă criptare GOST 28147-89 utilizând protocolul DTLS.

Principalele caracteristici sunt:

suport pentru crearea unei configurații tolerante la erori în modul „activ / pasiv”;
disponibilitatea performanței (modelul 7141), oferind performanțe ridicate (criptare la viteze de până la 16 Gbps, firewall - până la 40 Gbps);
densitate mare a porturilor în configurație hardware maximă (până la 32 de porturi RJ45 GbE / până la 32 de porturi SFP / până la 16 porturi 10G SFP +);
prezența unui gateway criptografic de nivel industrial (model Diamond VPN / FW Industrial) pentru a proteja informațiile din APCS.

Figura 7. PAK Diamond VPN / FW

PAK este inclus în registrul software-ului intern (nr. 1425) și are un certificat FSTEC valid al Rusiei nr. 2260, care confirmă conformitatea cu cerințele documentului de orientare „Facilități de calculator. Firewall-uri. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații „- pentru clasa a 2-a de securitate.

Trebuie remarcat faptul că certificatul valid al FSB al Rusiei nr. 124-2702 pentru conformitatea cu cerințele pentru mijloacele de criptare (criptografice) din clasele KC1 și KC2 (în funcție de versiune) este deținut de CIPF Dcrypt 1.0, care implementează funcțiile de criptare și semnătură electronică ca parte a PAC.

Mai multe informații despre Diamond VPN / FW pot fi găsite pe site-ul producătorului.

Dionis-NX („Factor-TS”)

Complexul hardware și software Dionis-NX este o dezvoltare a companiei rusești Factor-TS. PAK este un dispozitiv UTM care poate fi folosit ca firewall, ruter criptografic, sistem de detectare și prevenire a intruziunilor.

PAK vă permite să construiți tuneluri VPN în conformitate cu GOST 28147-89 utilizând protocoalele GRE, PPTP, OpenVPN.

Are următoarele caracteristici distinctive:

producătorul oferă cinci opțiuni pentru platformele hardware care oferă viteze de criptare de la 100 Mbps la 10 Gbps;
suport pentru executarea clusterului într-o configurație tolerantă la erori (modul "activ / pasiv");
suport pentru interacțiunea cu software-ul „Dissek”, care implementează funcționalitatea clientului VPN.

Dionis-NX este inclus în registrul software-ului intern (nr. 2772) și are un certificat valabil al FSTEC din Rusia nr. 2852, care confirmă conformitatea cu cerințele documentului de îndrumare „Facilități computerizate. Firewall-uri. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații „- pentru clasa a 2-a de securitate.

Trebuie remarcat faptul că certificatul valabil al FSB din Rusia nr. 124-2625 pentru conformitatea cu cerințele pentru mijloacele de criptare (criptografice) din clasele KC1 și KC3 (în funcție de versiune) este deținut de CIPF DioNIS-NX, care implementează funcțiile de criptare ca parte a PAC.

Mai multe informații despre „Dionis-NX” pot fi găsite pe site-ul producătorului.

ViPNet Coordinator HW (Infotecs)

Complexul hardware și software ViPNet Coordinator HW a fost dezvoltat de compania rusă Infotecs și este un gateway cripto și un firewall certificat.

ViPNet Coordinator HW oferă protecție - criptare a datelor transmise pe diverse canale de comunicație prin construirea unui VPN (atât pe rețea, cât și la nivelurile de canal ale modelului OSI - L3, L2 VPN) în conformitate cu GOST 28147-89. PAK vă permite să organizați acces sigur atât la centrele de date, cât și la infrastructura corporativă. PAC-urile de performanță medie și înaltă sunt furnizate în format de 1U. Funcționează pe sistemul de operare Linux adaptat.

ViPNet Coordinator HW are următoarele caracteristici:

pentru a construi un VPN, se folosește protocolul proprietar ViPNet VPN, care oferă interacțiune sigură nestingherită indiferent de tipul de canal de comunicație, roaming automat între canalele de comunicație;
suport pentru lucrul în rețele moderne multiservicii (folosind protocoalele Cisco SCCP, H.323);
performanță de criptare de la 50 Mbps la 5,5 Gbps (pentru soluții independente), în funcție de model;
suport pentru configurație tolerantă la erori (modul "activ / pasiv") pentru modelele de nivel mediu și înalt (de la modelul HW1000);
suport pentru gestionare centralizată și actualizări de la distanță utilizând software-ul ViPNet Administrator;
suport pentru interacțiunea cu componentele clientului (software ViPNet Client) pe diferite sisteme de operare (Windows, Linux, macOS, iOS, Android).

Figura 8. PAK ViPNet Coordinator HW1000

În soluțiile sale, producătorul PAK folosește platforme hardware cu o configurație fixă, ceea ce face posibilă obținerea unei clase ridicate de protecție criptografică (KC3) fără utilizarea dispozitivelor suplimentare, cum ar fi module hardware și software pentru încărcare de încredere (APMDZ).

ViPNet Coordinator HW este inclus în registrul de software intern (nr. 2798) și are diferite certificate de conformitate valabile, inclusiv:

FSB din Rusia nr. СФ / 124-2981, care confirmă îndeplinirea cerințelor pentru mijloacele de criptare (criptografice) din clasa KC3;
FSB al Rusiei №СФ / 525-3007, care confirmă îndeplinirea cerințelor pentru firewall-uri din clasa a 4-a de securitate;
FSTEC din Rusia nr. 3692, care certifică faptul că PAK este un firewall de tip "A" și îndeplinește cerințele documentelor "Cerințe pentru firewall" (FSTEC din Rusia, 2016) și "Profilul de securitate al unui firewall de tip A de a patra protecție clasă. IT.ME.A4.PZ ".

Mai multe informații despre ViPNet Coordinator HW pot fi găsite pe site-ul producătorului.

Gateway-uri de criptare străine

În această secțiune, vom arunca o privire mai atentă la principalii producători străini de produse de securitate a informațiilor. Iată o varietate de opțiuni pentru soluții în proiectarea de software și hardware.

Producătorii enumerați mai jos oferă pe piața modernă soluții UTM, „combinați” din categoria „all-in-one”. Aceasta include funcționalitatea NGFW (Next Generation Firewall), IDS / IPS (sisteme de detectare și prevenire a intruziunilor), streaming antivirus și, desigur, un gateway VPN. Acesta din urmă este de un interes deosebit pentru noi în contextul acestei revizuiri.

Trebuie remarcat faptul că furnizorii străini pentru VPN folosesc exclusiv algoritmi de criptare străini - DES, 3DES, AES. În consecință, clientul țintă al unor astfel de soluții (în ceea ce privește VPN) din Rusia nu este o agenție sau organizație guvernamentală care funcționează în conformitate cu reglementările indicate la începutul revizuirii.

Deoarece piața produselor de securitate criptografică este reglementată pe teritoriul Federației Ruse, producătorii străini trebuie să își importe oficial produsele în conformitate cu toate normele și cerințele aplicabile. În acest caz, sunt posibile două opțiuni:

import în cadrul unui sistem simplificat (conform notificării, registrul este disponibil pe site-ul web al Uniunii Economice Eurasiatice);
import sub licența FSB din Rusia sau a Ministerului Industriei și Comerțului din Rusia.

Datorită utilizării algoritmilor criptografici străini în sistemul de certificare al FSB din Rusia, soluțiile luate în considerare în această secțiune nu sunt prezentate.

Soluții VPN Cisco (Cisco ASA 5500-X, Cisco Firepower, Cisco ASAv, Cisco IOS VPN)

Compania internațională Cisco Systems are un portofoliu mare de soluții pentru construirea VPN, care diferă nu numai prin caracteristicile implementării acestei oportunități, ci și prin funcționalitatea de bază. De exemplu, Cisco ASA 5500-X sau Cisco Firepower sunt gateway-uri de securitate multifuncționale care includ VPN-uri care pot fi utilizate în mod eficient pentru VPN-uri cu acces la distanță. Dar routerul Cisco ISR / ASR / GSR / CSR, conceput în principal pentru conectarea la Internet, are capabilități avansate VPN Site-to-Site.

Cisco Adaptive Security Appliance (ASA) și Cisco Firepower se numără printre produsele emblematice de securitate ale Cisco. Aceste soluții, împreună cu un gateway de securitate ASAv virtualizat și un router cu funcționalitate VPN IOS, permit comunicarea VPN folosind IPSec, IPSec RA, SSL, SSL fără client, DTLS la viteze de la 100 Mbps la 51 Gbps și cu suport pentru până la 60.000 de utilizatori la distanță .

Trăsăturile distinctive sunt

Rezervare. Există două opțiuni: o soluție de failover și clustering, inclusiv geo-distribuit. În primul caz, două dispozitive sunt combinate într-unul logic. Sunt disponibile două moduri de operare: activ / standby și activ / activ. În al doilea, este posibil să combinați până la 16 dispozitive ASA (pentru modelul 5585-X) într-unul logic. Această capacitate poate îmbunătăți semnificativ performanța soluției.
Suport pentru tehnologiile DMVPN, GET VPN, Easy VPN.
Optimizarea protecției traficului multimedia.
Funcții VPN pentru fiecare aplicație (criptare diferențiată a traficului pentru diferite aplicații).
Suport pentru evaluarea conformității de securitate a unui site la distanță (dispozitiv mobil) înainte de a crea un tunel VPN.
Mecanisme de securitate suplimentare încorporate, cum ar fi Autoritatea de certificare încorporată (CA).
API pentru integrarea cu sisteme externe de filtrare și managementul serviciilor - proxy web, AAA și evaluarea conformității.
Integrare cu capacitățile de securitate ale platformei de securitate multifuncționale Cisco ASA 5500-X, Cisco Firepower sau router Cisco, ITU și NGFW, NGIPS, subsistem anti-malware, subsistem de filtrare URL.

Figura 9. Cisco Firepower 9300

Cisco ASA 5500-X, Cisco Firepower sau Cisco ISR este gestionat local prin Cisco Adaptive Security Device Manager (ASDM), Cisco Firepower Device Manager sau Cisco Security Device Manager sau central prin Cisco Security Manager, Cisco Firepower Management Center sau Cisco Defense Orchestrator ...

Pentru a conecta stațiile de lucru client de la distanță, Cisco AnyConnect Secure Mobility Client localizat în tehnologia rusă sau Cisco SSL fără client fără client, precum și clienți VPN încorporați în Apple iOS și Android.

Soluțiile Cisco ASA 5500-X, Cisco Firepower și Cisco ISR au zeci de certificate de conformitate FSTEC valabile, inclusiv nr. absența capacităților nedocumentate. Împreună cu compania C-Terra CSP, Cisco a dezvoltat un modul de criptare bazat pe algoritmi de criptare rusești (GOST 28147-89 etc.) și l-a certificat de către FSB ca instrument de protecție criptografică pentru clasele KC1 / KC2. Acest modul este proiectat pentru Cisco ISR, care poate fi folosit ca o platformă pentru rularea altor soluții VPN pe acesta. În special, a fost realizată integrarea și testarea soluțiilor comune Cisco ISR cu soluțiile VipNet și TSS VPN.

Mai multe informații despre Cisco ASA 5500-X, Cisco Firepower, Cisco ISR pot fi găsite pe site-ul producătorului.

Soluții VPN F5 Networks

F5 Networks oferă soluții complete și dispozitive VPN independente. Din 2016, compania s-a concentrat pe soluții end-to-end, iar gateway-urile VPN izolate sunt treptat eliminate.

Produsul F5 Access Policy Manager (APM) este un modul software dedicat care include funcționalitate VPN, precum și multe caracteristici diferite, inclusiv BIG-IP, un proxy complet între utilizatori și serverele de aplicații care oferă securitate, optimizarea traficului aplicațiilor și echilibrarea acestuia. încărcături.

Clientul BIG-IP VPN folosește TLS și Datagram TLS (Datagram TLS) pentru a permite aplicații sensibile la latență. Acest client este disponibil pe toate platformele obișnuite pentru desktop și mobil.

Soluțiile BIG-IP funcționează pe baza sistemului de operare brevetat (OS) F5 TMOS. Printre avantajele sale se numără:

Un API deschis care vă permite să gestionați flexibil fluxul de trafic și să creșteți performanța folosind API Control.
Controlul traficului se realizează folosind dispozitive F5 folosind un limbaj de scriptare special iRules.
Șabloane IApps care vă permit să implementați și să gestionați servicii de rețea pentru anumite aplicații.

Ofertele F5 până în prezent încep cu BIG-IP 1600 și se termină cu BIG-IP 11050, care este cel mai mare dispozitiv VPN independent al lor.

Cea mai mare soluție de server blade este Viprion 4800. Suportă până la 30.000 de tranzacții SSL.

Figura 10. F5 Viprion 4800

Produsele F5 Networks nu sunt prezentate în registrul de stat al produselor certificate de securitate a informațiilor nr. ROSS RU.0001.01BI00 (FSTEC din Rusia).

Mai multe informații despre produsele F5 Networks pot fi găsite pe site-ul producătorului.

NetScaler (Citrix Systems)

NetScaler este o linie de produse de securitate a rețelei de la Citrix Systems. Soluțiile Citrix VPN sunt integrate în produsul NetScaler Gateway. Gateway-ul NetScaler, ca toate echipamentele Citrix, este integrat în mod standard în multe dintre liniile de produse ale companiei.

NetScaler Gateway oferă funcționalitate SSL VPN, inclusiv acces sigur la Citrix XenDesktop, XenApp, XenMobile, MS RDP, orizont VMware, precum și aplicații web și resurse în cadrul rețelei corporative. De asemenea, produsul oferă capacități de acces securizat la rețea la orice server, împreună cu analiza și definiția dispozitivului.

Citrix Gateway acceptă atât TLS, cât și DTLS, în funcție de cerințele de trafic.

Cea mai mică platformă MPX din produs (5550) acceptă până la 1500 de tranzacții SSL. Cele mai productive (22.120) - până la 560.000 de tranzacții SSL.

Figura 11. Citrix NetScaler MPX-8005

Gateway-urile Citrix NetScaler nu sunt prezentate în registrul de stat al instrumentelor de securitate a informațiilor certificate nr. ROSS RU.0001.01BI00 (FSTEC din Rusia).

Pentru mai multe informații despre produsele Citrix, vizitați site-ul web al producătorului.

Pulse Secure (Juniper Networks)

Pulse Secure este o serie de produse de la compania americană Juniper Networks. Funcționalitate cheie - VPN SSL.

Producătorul oferă patru complexe software și hardware cu performanțe și factori de formă diferiți.

Modelul de configurare minimă (PSA300) oferă 200 Mbps debit pentru 200 de conexiuni SSL. Soluția de cea mai înaltă performanță (PSA7000) - 10 Gbps pentru 25.000 de conexiuni SSL.

O caracteristică distinctivă a liniei Pulse Secure este prezența a două surse de alimentare pentru modelul PSA7000.

Figura 12. Pulse Secure Appliance 7000

Gateway-urile Pulse Secure nu sunt prezentate în registrul de stat al instrumentelor de securitate a informațiilor certificate nr. ROSS RU.0001.01BI00 (FSTEC din Rusia).

Mai multe informații despre produsele Pulse Secure pot fi găsite pe site-ul producătorului.

SonicWALL

SonicWALL este un producător american de soluții de securitate a rețelei. În 2012, compania a fost achiziționată de Dell Software Group. În 2016, Dell a vândut SonicWALL.

Compania oferă soluții de diferite capacități. În cea mai mare parte, acestea sunt soluții UTM care implementează funcționalitatea NGFW, IPS, VPN, streaming antivirus.

În ceea ce privește VPN, producătorul acceptă IPSec, SSL. Cea mai puternică soluție, prezentată în figura de mai jos, oferă un transfer VPN de până la 14 Gbps. Numărul maxim de conexiuni VPN în acest caz este de 25.000.

Gateway-urile SonicWALL rulează propriul lor sistem de operare - Sonic OS.

Figura 13. SonicWALL SuperMassive 9000 Series

Gateway-urile SonicWALL nu sunt prezentate în registrul de stat al instrumentelor de securitate a informațiilor certificate nr. ROSS RU.0001.01BI00 (FSTEC din Rusia).

Mai multe informații despre produsele SonicWALL pot fi găsite pe site-ul producătorului.

concluzii

Un gateway criptografic nu este doar o soluție VPN specializată, ci și un produs multifuncțional care rezolvă o gamă largă de probleme de securitate a informațiilor din aproape orice întreprindere sau instituție guvernamentală. Procesul de introducere a gateway-urilor cripto poate fi provocator, iar acest lucru necesită ca o organizație să aibă personal calificat în personalul său.

Potrivit portalului statistic Statista.com, în 2014 volumul pieței globale VPN a fost de 45 de miliarde de dolari SUA. În același timp, este de așteptat să crească la 70 de miliarde până în 2019. Acest lucru sugerează că dispozitivele pentru construirea unui VPN vor deveni din ce în ce mai solicitate de la an la an.

În ciuda faptului că pe teritoriul Federației Ruse, procesele de funcționare a mijloacelor de protecție criptografică sunt reglementate de „Regulamentul privind dezvoltarea, producerea, implementarea și funcționarea instrumentelor de protecție a informațiilor de criptare (criptografice) (Regulamentul PKZ-2005)” , dezvoltatorii străini au încă posibilitatea de a-și oferi produsele clienților ruși ... În conformitate cu PKZ-2005, numai participanții la schimbul de informații (cu o serie de rezerve), dacă nu sunt instituții de stat, determină necesitatea protecției sale criptografice și aleg mijloacele de protecție criptografice aplicate.

Intrarea în vigoare a Legii federale nr. 187-FZ „Cu privire la securitatea infrastructurii informaționale critice a Federației Ruse” (CII) la 1 ianuarie 2018 va obliga companiile și instalațiile CII și complexul de combustibil și energie să să informeze autoritățile cu privire la incidentele informatice și să prevină încercările ilegale de acces la informații. O astfel de inițiativă legislativă va crea o oportunitate suplimentară pentru creșterea segmentului de securitate criptografică în viitor în următorii câțiva ani.

Gateway-urile interne moderne de criptare primesc din ce în ce mai multe funcționalități (Next Generation Firewall, IDS, IPS, streaming antivirus) care au fost oferite abia ieri de producătorii străini. Concurența în creștere, creșterea numărului de jucători de pe piață permite clientului să se afle în poziția cea mai avantajoasă și să aleagă ceea ce se potrivește cu adevărat nevoilor și capacităților sale.