Програмно-апаратний комплекс реалізує функції криптографічного шлюзу. Огляд криптографічних шлюзів російських і зарубіжних виробників

Матеріал з Вікіпедії - вільної енциклопедії

Криптошлюз (криптографічний шлюз, vpn-шлюз, криптомаршрутизатор)- апаратно-програмний комплекс криптографічного захисту трафіку даних, голосу, відео на основі шифрування пакетів за протоколами IPsec AH та/або IPsec ESP при встановленні з'єднання, що відповідає вимогам до засобів криптографічного захисту інформації (СКЗІ) ФСБ Росії та забезпечує базову функціональність сучасного VPN-пристрою .

призначення

Криптошлюз призначений для забезпечення інформаційної безпеки організації, захисту її інформаційних мереж від вторгнення мереж передачі даних (Інтернет), забезпечення конфіденційності при передачі інформації по відкритих каналах зв'язку (VPN), а також організації безпечного доступу користувачів до ресурсів мереж загального користування.

Криптошлюз забезпечує базову функціональність сучасного VPN-пристрою:

конфіденційність та цілісність потоку IP-пакетів;
маскування топології мережі за рахунок інкапсуляції трафіку в захищений тунель;
прозорість для NAT;
автентифікацію вузлів мережі та користувачів;
уніфікацію політики безпеки для мобільних та «внутрішніх» користувачів (динамічна конфігурація корпоративних IP-адрес для віддалених користувачів «всередині VPN»).

Криптошлюзи представлені як у сегменті VPN пристроїв, так і в сегменті уніфікованих пристроїв (UTM), що об'єднують кілька засобів безпеки в одному.

Відмінність криптошлюзів від звичайних VPN маршрутизаторів полягає в тому, що вони працюють на основі протоколу IPSec і забезпечують захист інформації, що передається каналами зв'язку, використовуючи алгоритми, які відповідають вимогам російських криптографічних стандартів (ГОСТ 28147-89 та ГОСТ Р 34.10-2001).

Доступ до ресурсів інформаційної системи

Криптошлюзи дозволяють здійснити захищений доступ віддалених абонентів до ресурсів корпоративної інформаційної системи. Доступ здійснюється за допомогою спеціального програмного забезпечення, встановленим на комп'ютері користувача (VPN-клієнт) для здійснення захищеної взаємодії віддалених та мобільних користувачів з криптошлюзом.

Програмне забезпечення криптошлюза (сервер доступу) проводить ідентифікацію та автентифікацію користувача і здійснює його зв'язок з ресурсами мережі, що захищається. За допомогою криптошлюзів формують віртуальні захищені канали в мережах загального користування (наприклад, Internet), які гарантують конфіденційність та достовірність інформації, та організовувати віртуальні приватні мережі (Virtual Private Network – VPN), що є об'єднанням локальних мереж або окремих комп'ютерів, підключених до мережі спільного користування єдиною захищеною віртуальною мережею. Для управління такою мережею зазвичай використовується спеціальне програмне забезпечення (центр управління), яке забезпечує централізоване управління локальними політиками безпеки VPN-клієнтів та криптошлюзів, розсилає для них ключову інформацію та нові конфігураційні дані, забезпечує ведення системних журналів.

Напишіть відгук про статтю "Криптошлюз"

Примітки

література

Жданов, О. Н., Золотарьов, Ст Ст.. – Красноярськ: СібДАУ, 2007. – 217 с.

посилання

. logic-soft. Перевірено 28 лютого 2012 року.
. Компанія "Код Безпеки". Перевірено 28 лютого 2012 року.
Костянтин Кузовкін.. i-teco. Перевірено 28 лютого 2012 року.

Уривок, що характеризує криптошлюз

- Qui s'excuse - s'accuse, - усміхаючись і махаючи корпією, говорила Жюлі і, щоб за нею залишилося останнє слово, зараз же змінила розмову. – Як, я сьогодні дізналася: бідна Марі Волконська приїхала вчора до Москви. Ви чули, чи вона втратила батька?
– Невже! Де вона? Я дуже хотів би побачити її, - сказав П'єр.
- Я вчора провела з нею вечір. Вона нині чи завтра вранці їде до підмосковної з племінником.
- Ну, що вона, як? – сказав П'єр.
- Нічого, сумна. Але чи знаєте, хто її врятував? Це цілий роман. Nicolas Ростов. Її оточили, хотіли вбити, поранили її людей. Він кинувся і врятував її.
– Ще роман, – сказав ополченець. - Рішуче це спільна втеча зроблено, щоб усі старі наречені йшли заміж. Catiche – одна, княжна Болконська – інша.
- Ви знаєте, що я дійсно думаю, що вона un petit peu amoureuse du jeune homme. [трохи закохана в молоду людину.]
– Штраф! Штраф! Штраф!
- Але як же це російською сказати?

Коли П'єр повернувся додому, йому подали дві принесені цього дня афіші Растопчина.
У першій йшлося про те, що чутка, ніби графом Растопчиним заборонено виїзд із Москви, – несправедливий і що, навпаки, граф Растопчин радий, що з Москви їдуть пані та купецькі дружини. «Менше страху, менше новин, – говорилося в афіші, – але я життям відповідаю, що лиходій у Москві не буде». Ці слова вперше ясно виявили П'єру, що французи будуть у Москві. У другій афіші говорилося, що головна квартира наша у Вязьмі, що граф Вітгснштейн переміг французів, але оскільки багато жителів бажають озброїтися, то для них є приготована в арсеналі зброя: шаблі, пістолети, рушниці, які жителі можуть отримувати за дешевою ціною. Тон афіш був уже не такий жартівливий, як у колишніх розмовах Чигирина. П'єр замислився над цими афішами. Очевидно, та страшна грозова хмара, яку він закликав усіма силами своєї душі і яка водночас збуджувала в ньому мимовільний жах, очевидно, ця хмара наближалася.
«Вступити у військову службу та їхати до армії чи чекати? - всоте ставив собі П'єр це питання. Він узяв колоду карт, що лежали на столі, і почав робити пасьянс.
- Якщо вийде цей пасьянс, - говорив він сам собі, змішавши колоду, тримаючи її в руці і дивлячись вгору, - якщо вийде, то значить ... що значить? .. - Він не встиг вирішити, що означає, як за дверима кабінету почувся голос старшої княжни, яка запитує, чи можна увійти.
— Тоді означатиме, що я маю їхати до армії, — доказав собі П'єр. — Увійдіть, увійдіть, — додав він, звертаючись до князів.
(Одна старша княжна, з довгою талією та скам'янілим лідом, продовжувала жити в будинку П'єра; дві менші вийшли заміж.)
- Вибачте, mon cousin, що я прийшла до вас, - сказала вона докірливо схвильованим голосом. - Адже треба нарешті на що-небудь зважитися! Що це буде таке? Усі виїхали з Москви, і народ бунтує. Що ж ми залишаємось?
— Навпаки, все, здається, благополучно, ma cousine, — сказав П'єр з тією звичкою жартівливості, яку П'єр, який завжди конфузно переносив свою роль благодійника перед княжною, засвоїв собі до неї.
- Так, це благополучно ... добре благополуччя! Мені нині Варвара Іванівна розповіла, як наші війська відрізняються. Тож точно можна честі приписати. Та й народ зовсім збунтувався, слухати перестають; дівка моя та та грубити стала. Так скоро і нас бити стануть. По вулицях ходити не можна. А головне, сьогодні завтра французи будуть, що ж нам чекати! Я про одне прошу, mon cousin, – сказала княжна, – накажіть звезти мене до Петербурга: яка я не є, а я під бонапартівською владою жити не можу.
- Так повноті, ma cousine, звідки ви почерпаєте ваші відомості? Навпаки…
- Я вашому Наполеону не скорюся. Інші як хочуть ... Якщо ви не хочете цього зробити ...
– Та я зроблю, я зараз накажу.
Княжне, мабуть, прикро було, що не було на кого сердитися. Вона, щось шепочучи, присіла на стілець.
- Але вам це неправильно доносять, - сказав П'єр. – У місті все тихо, і небезпеки немає. Ось я зараз читав ... - П'єр показав княжне афішки. - Граф пише, що він життям відповідає, що ворог не буде у Москві.
– Ах, цей ваш граф, – з люттю заговорила княжна, – це лицемір, лиходій, який сам налаштував народ бунтувати. Хіба не він писав у цих безглуздих афішах, що який би там не був, тягни його за хохол на з'їжджу (і як безглуздо)! Хто візьме, каже, тому честь і слава. Ось і долюбезнічувався. Варвара Іванівна казала, що мало не вбив народ її за те, що вона французькою мовою заговорила...
— Та це так… Ви все до серця дуже приймаєте, — сказав П'єр і почав розкладати пасьянс.

АПКШ «Континент»IPC-25компактний криптошлюз для невеликого офісу. АПКШ «Континент»є потужним та гнучким інструментом створення віртуальних приватних мереж, що дозволяє будувати VPN будь-якої архітектури. Забезпечує криптографічний захист інформації (відповідно до ГОСТ 28147–89), що передається відкритими каналами зв'язку, між складовими частинами VPN (локальні обчислювальні мережі, їх сегменти та окремі комп'ютери). шифрування окремих пакетів даних унікальними ключами, що гарантує захист від дешифрування перехоплених даних. Для захисту від НСД передбачено систему фільтрації трафіку. Здійснює підтримку VoIP, відеоконференцій, GPRS, 3G, LTE, ADSL, Dial-Up та супутникових каналів зв'язку, технології NAT/PAT для приховування структури мережі.

АПКШ «Континент» призначений для вирішення наступних типових завдань:

Захист мережі по всьому периметру
Надає можливість об'єднати територіально розподілені філії організації на єдину захищену мережу.
Забезпечує захист віддаленого доступу працівників у корпоративну мережу.

Виробник: ТОВ "Код Безпеки"

180 000,00 руб.

Рахунок сформується автоматично. Вкажіть тип платника "юридична особа" та заповніть реквізити.

Порівняння версій

	АПКШ "Континент" - IPC-25	АПКШ "Континент" - IPC-100	АПКШ "Континент" - IPC-400	АПКШ "Континент" - IPC-1000
Ціна	180 000 Р купити	270 000 Р купити	665 000 Р купити	1021000 Р купити
Продуктивність VPN (шифрування + фільтрація МЕ)	до 50 Мбіт/с	до 300 Мбіт/с	до 500 Мбіт/с	до 950 Мбіт/с
Продуктивність МЕ (відкритий трафік)	до 100 Мбіт/с	до 400 Мбіт/с	до 1 Гбіт/с	до 1 Гбіт/с
Максимальна кількість оброблюваних конкуруючих TCP сесій (keep-state)	10000	250000	350000	1000000
Кількість захищених з'єднання (VPN тунелів)	25	НЕ обмежено	НЕ обмежено	НЕ обмежено

Апаратна конфігурація:

Форм-фактор	Mini-ITX, висота 1U
Габарити (ВхШxГ)	155 х 275 x 45 мм
процесор	Intel Atom C2358 частотою 1743 МГц
Оперативна пам'ять	SODIMM DDR3 DRAM, 2 Гбайти, PC-1333
Мережеві інтерфейси	4х 1000BASE-T Ethernet 10/100/1000 RJ45 (виконані у вигляді модулів, що легко замінюються)
Жорсткі диски	SATA DOM модуль 4Gb
Блок живлення	зовнішній адаптер змінного струму 19В, 220В 80Вт
Зчитувач	Touch Memory
Персональні ідентифікатори	Touch Memory iButton DS1992L 2шт.
Вбудований модуль АПМДЗ	ПАК "Соболь" 3.0 (mini-PCIe)
USB-flash drive	не менше 512 Мб
Рівень акустичного шуму при 100% завантаженні (методика вимірювання ISO7779)
Вбудована операційна система	Continent OS – вдосконалена ОС із посиленою безпекою на основі ядра FreeBSD

До складу АПКШ «Континент» 3.9 входить:

Центр управління мережею криптографічних шлюзів (ЦУС)– здійснює аутентифікацію КШ та АРМ управління/ моніторинг та протоколювання стану мережі КШ/ зберігання журналів та конфігурації КШ/ розсилку ключової та конфігураційної інформації/ централізоване управління криптографічними ключами/ взаємодія з програмою управління.
Криптошлюз (КШ)– це спеціалізований апаратно-програмний пристрій, що здійснює прийом та передачу IP-пакетів за протоколами TCP/IP (статична маршрутизація)/ шифрування пакетів (ГОСТ 28147–89, режим гамування зі зворотним зв'язком, довжина ключа 256 біт)/ захист даних від спотворення (ГОСТ 28147–89, режим імітівставки)/ фільтрацію пакетів/ приховування структури мережі/ реєстрацію подій/ оповіщення ЦУС про свою активність та про події, що потребують втручання/контроль цілісності ПЗ КШ.
Програма управління ЦУС (ПУ ЦУС)- Її основна функція - централізоване управління налаштуваннями та оперативний контроль стану всіх КШ, що входять до складу комплексу. Встановлюється в захищеній мережі на АРМ адміністратора під керуванням Windows 2003/2008/7/8.
Агент ЦУС та СДздійснює встановлення захищеного з'єднання та обмін даними з ЦУС та ПУ /отримання від ЦУС, зберігання та передачу ПУ вмісту журналів/ отримання від ЦУС та передачу ПУ інформації про роботу комплексу.
Клієнт аутентифікації користувача- забезпечує аутентифікацію користувачів, що працюють на комп'ютерах, що знаходяться в захищеному сегменті мережі, при підключенні до криптографічного шлюзу.
Абонентський пункт (Континент-АП)здійснює встановлення VPN-тунелю між віддаленим робочим місцем користувача і внутрішньою мережею організації, що захищається. При підключенні по мережах загального доступу та Інтернет виконує автентифікацію користувача / підтримку динамічного розподілу адрес / віддалений доступ до ресурсів мережі, що захищається по шифрованому каналу / доступ по виділених і комутованих каналах зв'язку / можливість доступу до ресурсів мереж загального користування.
Сервер доступуздійснює забезпечення зв'язку між віддаленим АП і мережею, що захищається, а також визначення рівня доступу користувача та його аутентифікацію.
Програма керування сервером доступу (ПУ СД)- Забезпечує оперативне оповіщення адміністратора мережі про події безпеки. Призначена для керування параметрами всіх серверів доступу, що входять до складу комплексу.
Детектор атак «Континент»- це програмний компонент, що забезпечує аналіз трафіку, що надходить від криптошлюзу, та фільтрацію несанкціонованих вторгнень. Працює разом із Центром управління мережею криптографічних шлюзів «Континент» версії 3.7 та вище.

Сертифікати

відповідність керівних документів ФСТЕК Росії за 2-го рівня контролю на відсутність НДВ та 2-го класу захищеності для міжмережевих екранів. Може використовуватися створення автоматизованих систем до класу захищеності 1Б включно і за створенні інформаційних систем персональних даних до 1-го класу включно;
відповідність вимог ФСБ Росії до пристроїв типу міжмережевий екран по 4 класу захищеності;
відповідність вимогам ФСБ Росії до засобів криптографічного захисту інформації класу КС3 та можливість застосування для криптографічного захисту інформації, що не містить відомостей, що становлять державну таємницю;
Мінкомзв'язку Росії – про відповідність встановленим вимогам до обладнання маршрутизації пакетів інформації та можливості застосування на мережах зв'язку загального користування як обладнання комутації та маршрутизації пакетів інформації.

можливості

Комплекс забезпечує криптографічний захист інформації (відповідно до ГОСТ 28147-89), що передається відкритими каналами зв'язку, між складовими частинами VPN, якими можуть бути локальні обчислювальні мережі, їх сегменти та окремі комп'ютери.

Сучасна ключова схема, реалізуючи шифрування кожного пакета унікальному ключі, забезпечує гарантований захист від можливості дешифрації перехоплених даних.

Для захисту від проникнення з боку мереж загального користування комплекс «Континент» 3.6 забезпечує фільтрацію пакетів, що приймаються та передаються за різними критеріями (адресами відправника та одержувача, протоколами, номерами портів, додатковими полями пакетів тощо). Здійснює підтримку VoIP, відеоконференцій, ADSL, Dial-Up та супутникових каналів зв'язку, технології NAT/PAT для приховування структури мережі.

Ключові можливості та характеристики АПКШ «Континент» 3.6

Ефективний захист корпоративних мереж

Безпечний доступ користувачів VPN до ресурсів мереж загального користування
Криптографічний захист даних, що передаються відповідно до ГОСТ 28147–89

В АПКШ "Континент" 3.6 застосовується сучасна ключова схема, що реалізує шифрування кожного пакета на унікальному ключі. Це забезпечує високий рівень захисту даних від розшифровки у разі їхнього перехоплення.

Шифрування даних здійснюється відповідно до ГОСТ 28147-89 у режимі гамування зі зворотним зв'язком. Захист даних від спотворення здійснюється за ГОСТ 28147-89 у режимі імітівставки.

Управління криптографічними ключами ведеться централізовано із ЦУС.

Міжмережеве екранування – захист внутрішніх сегментів мережі від несанкціонованого доступу

Криптошлюз «Континент» 3.6 забезпечує фільтрацію пакетів, що приймаються і передаються за різними критеріями (адресами відправника та одержувача, протоколами, номерами портів, додатковими полями пакетів і т.д.). Це дозволяє захистити внутрішні сегменти мережі від проникнення мереж загального користування.

Безпечний доступ віддалених користувачів до ресурсів VPN-мережі

Спеціальне програмне забезпечення «Континент АП», що входить до складу АПКШ «Континент» 3.6, дозволяє організувати захищений доступ віддалених комп'ютерів до корпоративної VPN-мережі.

Створення інформаційних підсистем з поділом доступу фізично

До АПКШ «Континент» 3.6 можна підключати 1 зовнішній та 3–9 внутрішніх інтерфейсів на кожному криптошлюзі. Це значно розширює можливості користувача під час налаштування мережі відповідно до корпоративної політики безпеки. Зокрема, наявність декількох внутрішніх інтерфейсів дозволяє розділяти на рівні мережевих карток підмережі відділів організації та встановлювати необхідний ступінь взаємодії між ними.

Основні характеристики та можливості

Підтримка найпоширеніших каналів зв'язку

Робота через Dial-Up з'єднання, ADSL обладнання, підключене безпосередньо до криптошлюзу, а також через супутникові канали зв'язку.

«Прозорість» для будь-яких додатків та мережевих сервісів

Криптошлюзи "Континент" 3.6 "прозорі" для будь-яких додатків та мережевих сервісів, що працюють за протоколом TCP/IP, включаючи такі мультимедіа-сервіси, як IP-телефонія та відеоконференції.

Робота з високопріоритетним трафіком

Реалізований в АПКШ "Континент" 3.6 механізм пріоритезації трафіку дозволяє захищати голосовий (VoIP) трафік та відеоконференції без втрати якості зв'язку.

Резервування гарантованої лінії пропускання за певними сервісами

Резервування гарантованої лінії пропускання за певними сервісами забезпечує проходження трафіку електронної пошти, систем документообігу тощо. навіть за активного використання IP-телефонії на низкоскоростных каналах зв'язку.

Підтримка VLAN

Підтримка VLAN гарантує просте вбудовування АПКШ у мережну інфраструктуру, розбиту на віртуальні сегменти.

Приховування внутрішньої мережі. Підтримка технологій NAT/PAT

Підтримка технології NAT/PAT дозволяє приховувати внутрішню структуру сегментів мережі, що захищаються при передачі відкритого трафіку, а так само організовувати демілітаризовані зони і сегментувати мережі, що захищаються.

Приховування внутрішньої структури сегментів корпоративної мережі, що захищаються, здійснюється:

методом інкапсуляції пакетів, що передаються (при шифруванні трафіку);
за допомогою технології трансляції мережевих адрес (NAT) під час роботи із загальнодоступними ресурсами.

Можливість інтеграції із системами виявлення атак

На кожному криптошлюзі існує можливість спеціально виділити один із інтерфейсів для перевірки трафіку, що проходить через КШ, на наявність спроб неавторизованого доступу (мережевих атак). Для цього необхідно визначити такий інтерфейс як SPAN-порт і підключити до нього комп'ютер із встановленою системою виявлення атак (наприклад, RealSecure). Після цього на інтерфейс починають ретранслюватися всі пакети, що надходять на вхід пакетного фільтра криптошлюза.

Обслуговування та управління

Зручність та простота обслуговування (необслуговуваний режим 24*7)

АПКШ «Континент» 3.6 не вимагає постійного локального адміністрування і може працювати в режимі, що не обслуговується 24*7х365. Промислові комп'ютери, що використовуються у виробництві комплексу, разом із можливістю гарячого та холодного резервування гарантують безперебійну роботу комплексу.

Комплекс здійснює оперативне оповіщення адміністраторів про події, що потребують оперативного втручання у режимі реального часу.

Віддалене оновлення ПЗ криптошлюзів

У комплексі вирішено проблему оновлення програмного забезпечення КШ у територіально-розподілених системах. Оновлення ПЗ завантажується в комплекс централізовано, розсилається на всі криптошлюзи, що входять до складу комплексу, та автоматично встановлюється.

Забезпечення відмовостійкості

Відмовостійкість Комплексу забезпечується такими заходами:

Апаратне резервування криптографічних шлюзів (створення кластеру високого доступу). У разі виходу з ладу одного з криптошлюзів перемикання на резервний здійснюється автоматично без втручання адміністратора та без розриву встановлених з'єднань.
Автоматичне резервне копіювання файлів конфігураційних комплексу. Забезпечує швидке відновлення роботи мережі у разі виходу апаратури з експлуатації.

Централізоване управління мережею

Централізоване управління мережею здійснюється за допомогою ЦУС та програми управління, яка дозволяє в діалоговому режимі змінювати налаштування всіх криптошлюзів мережі та вести оперативний моніторинг їхнього поточного стану.

Відображення стану всіх пристроїв на робочому місці адміністратора у масштабі реального часу дозволяє своєчасно виявляти відхилення від нормального процесу функціонування та оперативно на них реагувати.

Рольове управління – поділу повноважень на адміністрування комплексу

Реалізовано можливість поділу повноважень на адміністрування комплексу, наприклад, на управління ключовою інформацією, на призначення прав доступу до ресурсів, на додавання нових компонентів, на аудит дій користувачів (у тому числі й інших адміністраторів).

Взаємодія із системами управління мережею

Дозволяє контролювати стан АПКШ «Континент» 3.6 за протоколом SNMPv2 із систем глобального управління мережею (Hewlett-Packard, Cisco та ін.).

У сучасних умовах ефективної роботи організації потрібно забезпечення передачі між віддаленими підрозділами і постійний доступом до корпоративних сервісів з будь-якої точки земної кулі. Для захисту інформації при її передачі загальнодоступними каналами зв'язку була розроблена технологія VPN (Virtual Private Network, віртуальні приватні мережі). По суті, при використанні VPN відбувається обмін інформацією з віддаленою локальною мережею по віртуальному каналу через Інтернет з імітацією приватного підключення «точка-точка» (створюється зашифрований VPN тунель або ціла мережа VPN).

Так як технологія VPN включає криптографію (шифрування), то, відповідно до законів Російської Федерації, на території Росії можливе використання криптографічних засобів (криптомаршрутизатор/криптошлюз/VPN шлюз) наступних типів:

західна криптографія (довжина ключа до 56* біт включно);
західна криптографія (довжина ключа від 56 біт) - із повідомленням замовником ФСБ Росії;
російська криптографія (ГОСТ 28147-89, ГОСТ 34.10-2012, ГОСТ 34.11-2012).

У відповідь на вимоги ринку та законодавства щодо криптографічних засобів компанія «АльтЕль» вбудувала у VPN шлюз ALTELL NEO криптографічне ядро власної розробки на базі алгоритму ГОСТ 28147-89. Це дозволяє використовувати ALTELL NEO для об'єднання віддалених філій в єдину VPN мережу, надання доступу до локальної мережі організації з мобільних співробітників (за допомогою ALTELL VPN клієнт для мобільних пристроїв) до ресурсів компанії та обміну даними між філіями та контрагентами в захищеному режимі. Широкий модельний ряд ALTELL NEO задовольняє потреби в безпечному об'єднанні компаній будь-якого розміру: як невеликого віддаленого офісу, так і головного підрозділу великого холдингу зі штатом кілька тисяч співробітників.

Як криптошлюз ALTELL NEO дозволяє організувати підключення віддалених користувачів захищеним каналом (через VPN тунель) до локальної мережі організації без зниження рівня її захищеності. Користувачам може бути дозволено доступ лише до певних серверів або окремих служб. Для віддаленої роботи на мобільних пристроях повинен бути встановлений клієнт VPN.

топологія

Нижче представлено схему організації VPN з'єднання між філіями компанії за допомогою криптомаршрутизатора ALTELL NEO (рис. 1). VPN тунель будується з урахуванням вітчизняних чи західних криптоалгоритмів (ГОСТ/AES128 за протоколами IPsec чи OpenVPN). Всередині тунелю VPN може передаватися трафік з конвергентних мереж: дані, голос, відео.

Рис.1 Організація з'єднання VPN між філіями.

На малюнку 2 представлено схему організації VPN з'єднання з віддаленими користувачами. На мобільних пристроях встановлено VPN клієнт, за допомогою якого користувач отримує захищений доступ до мережі організації.

Рис.2 Організація VPN з'єднання з мобільними користувачами.

В даний час VPN шлюз ALTELL NEO підтримує такі типи VPN з'єднань:

Переваги

можливість доступу до внутрішніх ІТ-ресурсів підприємства з віддалених філій;
захист трафіку за допомогою вітчизняних або західних криптоалгоритмів (ГОСТ/AES128 за протоколами IPsec або OpenVPN);
безперебійність роботи за рахунок організації схеми з резервним провайдером або застосування резервних кілець, що маршрутизуються в топології;
організація схем високої доступності;
можливість захищеної роботи у внутрішній мережі підприємства окремих поодиноких користувачів із домашнього офісу чи будь-якої точки інтернету;
фільтрація небажаного трафіку у VPN-каналі;
можливість виділення захищених сегментів у існуючих мережах;
незмінність існуючої ІТ-інфраструктури;
масштабована мережа VPN;
широкий спектр засобів побудови мережі VPN;
швидке розгортання та початкове налаштування;
простота експлуатації системи.

Сертифікати

Криптошлюз ALTELL NEO має всі необхідні сертифікати для використання в якості засобу захисту інформації, в тому числі сертифікати ФСТЕК Росії за класами МЕ2/МЕ3/МЕ4 та НДВ2/НДВ3, що дозволяють використовувати цей VPN шлюз для захисту автоматизованих систем до класу 1Б включно відповідно до 152-ФЗ «Про персональні дані» до класу К1 включно.

Безкоштовне тестування

Всі моделі ALTELL NEO доступні для тестування у вашій організації абсолютно безкоштовно. Для отримання моделі, що вас цікавить, необхідно заповнити заявку. Ви також можете підібрати конфігурацію пристрою (додаткова пам'ять, модулі розширення, версія ПЗ тощо) і розрахувати приблизну ціну пристрою за допомогою

У статті коротко описуються тенденції світового ринку VPN, розглядаються популярні криптошлюзи, представлені російському ринку, наводяться їх ключові особливості.

Вступ

Криптографічний шлюз (криптошлюз, криптомаршрутизатор, VPN-шлюз) - програмно-апаратний комплекс для криптографічного захисту трафіку, що передається каналами зв'язку, шляхом шифрування пакетів за різними протоколами.

Криптошлюз призначений для забезпечення інформаційної безпеки організації під час передачі даних відкритими каналами зв'язку.

Криптошлюзи, представлені на сучасному ринку, забезпечують такі основні функції:

прозорість для NAT;
приховування топології мережі за рахунок інкапсуляції трафіку у шифрований тунель;
забезпечення цілісності та конфіденційності IP-пакетів;
автентифікація вузлів захищеної мережі та користувачів.

Підприємства різного масштабу, державні установи, приватні компанії – основні категорії споживачів криптошлюзів.

На сьогоднішній день функціональність VPN-шлюзу є складовою практично будь-якого мережного пристрою, будь то маршрутизатор корпоративного рівня, домашній Wi-Fi-роутер або міжмережевий екран. З урахуванням цієї специфіки нижче будуть розглянуті ключові представники російського ринку, що використовують алгоритм шифрування ГОСТ, а також кілька зарубіжних прикладів як альтернативу.

Окремим рядком відзначимо присутність ринку рішень для захищеного віддаленого доступу з урахуванням протоколу TLS (TLS-шлюзи) як російських, і іноземних виробників. У рамках цього огляду вони не розглядаються.

Світовий ринок криптошлюзів

Безперервність бізнесу для будь-якої територіально розподіленої компанії завжди пов'язана із забезпеченням захисту інформації, що передається. Вже довгий час це завдання вирішують різні VPN-пристрої. Вони помітно відрізняються за своєю реалізацією: це можуть бути спеціалізовані рішення, рішення на базі програмно-апаратних комплексів, таких як міжмережні екрани/маршрутизатори, або повністю програмні комплекси.

Подібні продукти на світовому ринку застосовують компанії з різних сфер діяльності: охорона здоров'я, промислові підприємства, транспортні компанії, державні установи та багато інших.

У більшості випадків замовнику необхідно розв'язати одне або кілька з перерахованих завдань:

захист розподіленої корпоративної мережі у різних топологіях;
підключення віддалених користувачів до корпоративної мережі (у тому числі з мобільних пристроїв);
захист канального рівня.

На світовому ринку міцно влаштувався SSL VPN, що підтверджується дослідженнями Alliedmarketresearch. За їхніми даними, глобальний ринок SSL VPN у 2016 році становив понад 3 млрд. доларів США. Прогнозоване зростання до 2023 року – до 5,3 млрд.

Серед ключових гравців на світовому ринку лідерські позиції займають Cisco Systems, Citrix Systems, Pulse Secure, F5 Networks.

Рисунок 1 наочно демонструє ключові сегменти зростання глобального ринку SSL VPN:

режим тонкого клієнта;
режим повного тунелювання;
без клієнта.

Російський ринок криптошлюзів

У Росії її основними споживачами криптошлюзов є державні установи, і навіть організації, є операторами персональних даних. На території нашої країни діють декілька нормативних актів, що визначають критерії, за якими засоби захисту можуть використовуватися для вирішення тих чи інших завдань.

До таких документів можна віднести такі:

Федеральний закон від 27.07.2006 № 152-ФЗ "Про персональні дані".
Постанова Уряду РФ від 01.11.2012 № 1119 "Про затвердження вимог до захисту персональних даних при їх обробці в інформаційних системах персональних даних".
Наказ ФСТЕК Росії від 11 лютого 2013 р. № 17 «Про затвердження вимог щодо захисту інформації, яка не становить державної таємниці, що міститься в державних інформаційних системах».
Наказ ФСТЕК Росії від 18 лютого 2013 р. № 21 «Про затвердження складу та змісту організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних».
Положення про розробку, виробництво, реалізацію та експлуатацію шифрувальних (криптографічних) засобів захисту інформації (Положення ПКЗ-2005).

Однією з основних вимог, що висуваються до криптошлюзів, є наявність діючих сертифікатів відповідності регуляторів ринку - ФСБ Росії та ФСТЕК Росії. Сертифікат ФСБ Росії на відповідність вимогам до шифрувальних (криптографічних) засобів видається тільки в тому випадку, якщо кріптошлюз реалізований з використанням вітчизняних алгоритмів шифрування за ГОСТ 28147-89.

Зарубіжні виробники вкрай рідко підтримують шифрування за ГОСТом і отримують такі сертифікати відповідності на свої рішення, чим активно користуються російські компанії-вендори засобів криптографічного захисту інформації (СКЗІ).

Окремо необхідно відзначити тренд, пов'язаний із кібербезпекою автоматизованих систем управління технологічними процесами (АСУ ТП). Сьогодні деякі виробники СКЗІ пропонують ринку криптошлюзи в захищеному виконанні, що відповідають вимогам щодо пиловологозахищеності та спеціальних температурних діапазонів. З'явилися й нормативні акти, що формують вимоги до захисту інформації у таких системах:

Федеральний закон від 26.07.2017 № 187-ФЗ "Про безпеку критичної інформаційної інфраструктури Російської Федерації".
Наказ ФСТЕК Росії від 14 березня 2014 р. № 31 «Про затвердження вимог до забезпечення захисту інформації в автоматизованих системах управління виробничими та технологічними процесами на критично важливих об'єктах, потенційно небезпечних об'єктах, а також об'єктах, що становлять підвищену небезпеку для життя та здоров'я людей та навколишнього середовища природного середовища».

Це дозволяє говорити про серйозну перспективу цього напряму для виробників СКЗІ щодо розвитку своїх продуктів.

Розглянемо особливості деяких російських та зарубіжних криптошлюзів докладніше.

Російські криптошлюзи

Атлікс-VPN («НТЦ Атлас»)

Програмно-апаратний комплекс (ПАК) "Атлікс-VPN" - продукт російської компанії "НТЦ Атлас". ПАК розроблений для забезпечення створення та взаємодії віртуальних приватних мереж (VPN) на основі протоколу IPsec та стандарту X.509 з використанням російських криптографічних алгоритмів.

Як стандарти, що підтримуються, заявлені ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001.

Відмінною особливістю є спосіб уведення ключової інформації, необхідної для реалізації його функцій. Для цього використовується "Російська інтелектуальна карта" (РІК) - мікропроцесорна карта, розроблена "НТЦ Атлас", ЗАТ "Програмні системи та технології", ВАТ "Ангстрем". Карта виконана з урахуванням вітчизняного мікропроцесора виробництва ВАТ «Ангстрем».

З апаратної точки зору "Атлікс-VPN" функціонує на базі сервера спеціалізованої, фіксованої платформи. ПАК забезпечує відносно невелику за мірками сьогоднішнього дня продуктивність із шифрування - 85 Мбіт/с. Така швидкість і тип апаратної платформи обумовлені високим класом захищеності за вимогами ФСБ Росії, що забезпечує ПАК - КВ2.

Малюнок 2. ПАК «Атлікс-VPN»

"Атлікс-VPN" має наступні діючі сертифікати відповідності:

ФСБ Росії №СФ/124-2958, що підтверджує, що ПАК відповідає вимогам до шифрувальних (криптографічних) засобів класу КВ2 і може використовуватися для криптографічного захисту (шифрування та імітозахист IP-трафіку) інформації, що не містить відомостей, що становлять державну таємницю;
ФСТЕК Росії №1864, що підтверджує, що ПАК відповідає вимогам керівного документа «Кошти обчислювальної техніки. Міжмережеві екрани. Захист від несанкціонованого доступу до інформації. Показники безпеки від несанкціонованого доступу до інформації» - по 4 класу безпеки.

Докладніше з інформацією про ПАК «Атлікс-VPN» можна ознайомитись на сайті виробника.

ЗАСТАВА (ЕЛВІС-ПЛЮС)

Програмно-апаратні комплекси ЗАСТАВА - розробка російської компанії ЕЛВІС-ПЛЮС. ПАК забезпечує захист корпоративних інформаційних систем на мережному рівні за допомогою технологій віртуальних захищених мереж (VPN) на базі протоколів IPsec/IKE. ЗАСТАВА є не тільки VPN-шлюзом з підтримкою вітчизняних криптографічних алгоритмів, а й міжмережевим екраном. Застав є єдиним російським продуктом, що реалізує поточну версію протоколу IKE (IKEv2). Більшість російських вендорів використовує протокол IKEv1, який понад 10 років тому офіційно визнаний в IETF застарілим, у тому числі через наявність проблем з безпекою. У порівнянні з ним протокол IKEv2 має більшу стійкість до атак відмови в обслуговуванні, більшу стійкість до мережевих проблем, більшу гнучкість у використанні. Протокол IKEv2 в даний час продовжує активно розвиватися в IETF, включаючи такі передові напрями в криптографії, як, наприклад, захист даних від квантових комп'ютерів або використання принципу proof-of-work для протидії DoS-атакам. ЕЛВІС-ПЛЮС бере активну участь у цих роботах та оперативно додає підтримку нових можливостей протоколу до ПАК ЗАСТАВУ.

ЗАСТАВА складається з трьох окремих компонентів:

ЗАСТАВА-Клієнт реалізує функціональність клієнта віддаленого доступу за VPN;
ЗАСТАВА-Офіс реалізує функції VPN-шлюзу та міжмережевого екрану;
ЗАСТАВА-Керування виконує функції Центру управління політиками безпеки для уніфікованого управління мережевою безпекою.

Відмінні особливості:

використання зовнішніх криптографічних модулів, що реалізують вітчизняні стандарти ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, ГОСТ 28147-89, зокрема СКЗІ «КриптоПро CSP»;
підтримка як вітчизняних криптографічних алгоритмів, а й зарубіжних - RSA, DH, ECDH, DES, 3DES, AES, SHA1, SHA2;
автентифікація партнерів із використанням X.509-сертифікатів;
підтримка централізованого управління ПАК за допомогою продукту ЗАСТАВА-Управління;
реалізація функціональності відмовостійкого кластера, що працює в режимі «активний/пасивний»;
залежно від апаратної платформи продуктивність із шифрування може змінюватись від 40 Мбіт/с до 4 Гбіт/с;
Для забезпечення шифрування каналу зв'язку від клієнтських робочих місць до ПАК використовується власна розробка - продукт ЗАСТАВА-Клієнт.

ЗАСТАВА має кілька діючих сертифікатів відповідності вимогам ФСБ Росії та ФСТЕК Росії, зокрема:

ФСБ Росії №СФ/114-3067, що підтверджує відповідність вимогам до засобів криптографічного захисту інформації, що не містить відомостей, що становлять державну таємницю, класу КС3; може використовуватися для криптографічного захисту (шифрування IP-пакетів на базі протоколу IPsec ESP, обчислення хеш-функції для IP-пакетів на базі протоколу IPsec AH та/або протоколу IPsec ESP, криптографічна автентифікація абонентів при встановленні з'єднання на базі протоколу IKE v1 або протоколу IKE v2) інформації, що не містить відомостей, що становлять державну таємницю;
ФСТЕК Росії №2573, що засвідчує, що ПАК відповідає вимогам керівного документа «Кошти обчислювальної техніки. Міжмережеві екрани. Захист від несанкціонованого доступу до інформації. Показники захищеності від несанкціонованого доступу до інформації по 2 класу захищеності.

Докладніше з інформацією про ПАК ЗАСТАВА можна ознайомитись на сайті виробника.

"Континент" ("Код Безпеки")

Апаратно-програмний комплекс шифрування "Континент" (АПКШ) - криптографічний шлюз виробництва російської компанії "Код Безпеки". АПКШ забезпечує міжмережеве екранування та криптографічний захист відкритих каналів зв'язку відповідно до ГОСТ 28147-89.

АПКШ дозволяє забезпечити захист мережного трафіку в мультисервісних мережах, поділити сегменти мережі, організувати захищений віддалений доступ до локальної мережі, реалізувати міжмережну взаємодію з іншими захищеними мережами (побудованими на базі цього продукту). АПКШ функціонує з урахуванням FreeBSD.

АПКШ має такі особливості:

підтримує централізоване керування та моніторинг за допомогою продукту «Центр управління мережею «Континент»;
апаратне резервування АПКШ з метою реалізації стійкої до відмови конфігурації;
у модельному ряду АПКШ представлено виконання захисту інформації в індустріальних системах;
широкий модельний ряд за допомогою швидкостей шифрування від 10 Мбіт/с до 3.5 Гбіт/с при використанні standalone-рішення (до 10 Гбіт/с - при розподілі шифрованого трафіку між фермою з АПКШ);
підтримка прозорого об'єднання мереж на канальному рівні (L2 VPN);
фільтрація трафіку на рівні мережевих програм (DPI);
фільтрація команд протоколів HTTP, FTP;
URL-фільтрація на основі статичних списків та регулярних виразів;
шлюзи середньої та високої продуктивності (від IPC-400 і вище) реалізовані у форм-факторі 2U;
до складу модельного ряду АПКШ входять платформи, що мають у своєму складі до 34 інтерфейсів GbE, в тому числі до 4 10 Gb оптичних SFP+, до 32 оптичних 1 Gb SFP;
як VPN-клієнт використовується програмний продукт «Континент-АП».

Малюнок 3. АПКШ «Континент» IPC-3034

Слід зазначити, що АПКШ поставляється із вбудованим засобом захисту від НСД – програмно-апаратним комплексом «Соболь». Також на рівні формуляра АПКШ та керівництва адміністратора є обмеження на максимальну кількість криптошлюзів у мережі з одним «Центром управління мережею «Континент».

АПКШ входить до реєстру вітчизняного ПЗ (№310) і має низку діючих сертифікатів відповідності, серед яких:

ФСБ Росії №СФ/124-2617, що підтверджує відповідність вимогам до шифрувальних (криптографічних) засобів класу КС3 і може використовуватися для криптографічного захисту (створення та управління ключовою інформацією, шифрування та імітозахист даних, що передаються в IP-пакетах по загальних мережах) , що не містить відомостей, що становлять державну таємницю;
ФСТЕК Росії №3008, що підтверджує відповідність вимогам до міжмережевих екранів тип «А» (ІТ.МЕ.А3.ПЗ) та засобів виявлення вторгнення рівня мережі (ІТ.СОВ.С3.ПЗ) по 3 класу (на сайті виробника документ до перегляду недоступний , надається на запит).

Докладніше з інформацією про АПКШ «Континент» можна ознайомитись на сайті виробника.

ФПСУ-IP (АМІКОН, «ІнфоКрипт»)

Програмно-апаратний комплекс «Фільтр пакетів мережевого рівня – Internet Protocol» (ФПСУ-IP) виробництва російської компанії АМІКОН за участю «ІнфоКрипт». ПАК є міжмережевим екраном і засобом побудови віртуальних приватних мереж (VPN).

ФПСУ-IP підтримує вітчизняні стандарти ДЕРЖСТАНДАРТ 28147-89, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, реалізовані з використанням СКЗІ «Тунель 2.0» виробництва «ІнфоКрипт» (у частині криптографії). ПАК функціонує з урахуванням Linux.

ФПСУ-IP має такі особливості:

підтримує можливість роботи в режимі гарячого резервування (пропонується виробником як опція);
реалізується з урахуванням різних апаратних платформ типорозмірів як 1U, і 2U;
використовує власний протокол VPN;
як віддалений клієнтський компонент використовується ПЗ «ФПСУ-IP/Клієнт» (активація можливості взаємодії з клієнтським програмним забезпеченням на ПАК пропонується виробником як опція);
модельний ряд забезпечує швидкість шифрування даних від 10 Мбіт/с до 12 Гбіт/с (при розмірі IP-пакету 1450 байт та 56 обчислювальних потоків).

Малюнок 4. Шлюз ФПСУ-IP

ФПСУ-IP є рішення на базі різних апаратних платформ і програмного забезпечення з вбудованим сертифікованим СКЗІ.

Вбудоване СКЗІ має сертифікат ФСБ Росії №СФ/124-3060, що діє, і відповідає вимогам до засобів криптографічного захисту інформації, призначених для захисту інформації, що не містить відомостей, що становлять державну таємницю, класів КС1, КС2, КС3.

Докладніше з інформацією про ФПСУ-IP можна ознайомитись на сайті виробника.

ALTELL NEO («АльтЕль»)

Програмно-апаратний комплекс ATLELL NEO виробництва компанії "АльтЕль".

Ключовою функціональністю є міжмережеве екранування у поєднанні з можливостями побудови захищених каналів зв'язку. Також ALTELL NEO позиціонується як UTM-рішення (Unified Threat Management), що поєднує в собі не тільки можливості міжмережевого екрану, VPN-шлюзу, але й засоби виявлення та запобігання вторгненням, контент-фільтрації та захисту від шкідливих програм.

Продукт є апаратною платформою в поєднанні з вбудованим сертифікованим програмним забезпеченням. Як протоколи шифрування з використанням ГОСТ 28147-89 підтримуються IPsec, OpenVPN.

Пропоновані виробником платформи, за винятком молодших (100 і 110), можуть функціонувати з використанням однієї з трьох версій: FW (міжмережевий екран), VPN (криптошлюз), UTM. Кожен наступний варіант програмного забезпечення включає функціональність попередніх.

ALTELL NEO має такі особливості:

широкий модельний ряд апаратних платформ різної конфігурації;
апаратна платформа Enterprise-класу (модель 340, форм-фактор 2U) має підвищену щільність мережевих інтерфейсів (до 65 портів RJ45 GbE/до 64 портів SFP GbE/до 16 портів SFP+ 10 GbE);
продуктивність із шифрування (залежно від апаратної платформи) при використанні алгоритму IPsec становить від 18 Мбіт/с до 2,4 Гбіт/с, OpenVPN - від 14 Мбіт/с до 1,4 Гбіт/с.

Малюнок 5. Шлюз ALTELL NEO 340

Програмне забезпечення, що використовується у складі рішення, входить до реєстру вітчизняного ПЗ (№3768) і має наступні сертифікати відповідності:

ФСБ Росії №СФ/СЗИ-0074, що підтверджує виконання вимог до міжмережевих екранів 4 класу захищеності та те, що ПЗ може використовуватися для захисту інформації від несанкціонованого доступу в інформаційних та телекомунікаційних системах органів державної влади Російської Федерації;
ФСТЕК Росії №2726, що засвідчує, що ПЗ відповідає вимогам керівного документа «Кошти обчислювальної техніки. Міжмережеві екрани. Захист від несанкціонованого доступу до інформації. Показники безпеки від несанкціонованого доступу до інформації» - по 2 класу безпеки.

Необхідно зазначити, що на момент публікації огляду у відкритих джерелах не вдалося виявити діючий сертифікат ФСБ Росії на відповідність вимогам до шифрувальних (криптографічних) засобів класів КС1/КС2/КС3.

Докладніше з інформацією про ALTELL NEO можна ознайомитись на сайті виробника.

С-Терра Шлюз 4.1 («С-Терра СіЕсПі»)

Продукт С-Терра Шлюз виробництва російської компанії «С-Терра СіЕсПі» є програмним комплексом (далі - ПК) на базі різних апаратних платформ.

СС-Терра Шлюз 4.1 забезпечує шифрування за ГОСТ 28147-89 та імітозахист переданого по відкритих каналах зв'язку трафіку з використанням протоколу IPsec. Крім VPN, продукт має функціональність міжмережевого екрану. Як операційна система використовується Debian.

Криптографічні функції в ПК реалізуються криптобібліотекою власної розробки - С-Терра ST, сумісна з СКЗІ «КріптоПро CSP».

С-Терра Шлюз 4.1 має такі основні особливості:

підтримує централізоване віддалене керування за допомогою системи «С-Терра КП»;
продуктивність рішення щодо шифрування від 60 Мбіт/с до 2,5 Гбіт/с, залежно від моделі шлюзу та апаратної платформи;
можливе виконання у вигляді віртуальної машини (С-Терра Віртуальний Шлюз);
можливе встановлення ПК С-Терра Шлюз на АП замовника;
виробник пропонує рішення для захисту каналу зв'язку 10 Гбіт/с на рівні L2, за допомогою розміщення в двох ЦОД по 4 пари шлюзів моделі 7000 High End з програмним модулем С-Терра L2 і двох пар комутаторів (з урахуванням того, що в каналі зв'язку, що захищається трафік переважно TCP, IP-телефонія відсутня).

Малюнок 6. С-Терра Шлюз 1000

С-Терра Шлюз 4.1 сертифікований ФСБ Росії як СКЗІ за класами КС1, КС2, КС3 та як МЕ 4 класу, а також ФСТЕК Росії як міжмережевий екран 3 класу (МЕ 3). Серед сертифікатів:

ФСБ Росії №СФ/124-2517, що підтверджує виконання вимог до шифрувальних (криптографічних) засобів класу КС3;

ФСБ Росії №СФ/525-2663, що підтверджує виконання вимог до міжмережевих екранів 4 класу захищеності;

ФСТЕК Росії № 3370, що засвідчує, що С-Терра Шлюз відповідає вимогам керівного документа «Кошти обчислювальної техніки. Міжмережеві екрани. Захист від несанкціонованого доступу до інформації. Показники безпеки від несанкціонованого доступу до інформації» - по 3 класу безпеки.

Докладніше з інформацією про «С-Терра Шлюз» можна ознайомитись на сайті виробника.

Diamond VPN (ТСС)

Програмно-апаратний комплекс Diamond VPN/FW виробництва компанії ТСС є продуктивним UTM-рішенням, що поєднує в собі функції міжмережевого екрану, VPN-шлюзу, системи виявлення вторгнень (IDS).

ПАК забезпечує шифрування ГОСТ 28147-89 за протоколом DTLS.

Основними особливостями є:

підтримка створення відмово конфігурації в режимі «активний/пасивний»;
наявність виконання (модель 7141), що забезпечує високу продуктивність (шифрування зі швидкістю до 16 Гбіт/с, міжмережне екранування – до 40 Гбіт/с);
висока щільність портів максимальної апаратної конфігурації (до 32 портів RJ45 GbE/до 32 портів GbE SFP/до 16 портів 10G SFP+);
наявність кріптошлюзу в індустріальному виконанні (модель Diamond VPN/FW Industrial) для захисту інформації в АСУ ТП.

Малюнок 7. ПАК Diamond VPN/FW

ПАК входить до реєстру вітчизняного ПЗ (№1425) і має діючий сертифікат ФСТЕК Росії №2260, що підтверджує відповідність вимогам керівного документа «Кошти обчислювальної техніки. Міжмережеві екрани. Захист від несанкціонованого доступу до інформації. Показники безпеки від несанкціонованого доступу до інформації» - по 2 класу безпеки.

Необхідно відзначити, що чинним сертифікатом ФСБ Росії №124-2702 на відповідність вимогам до шифрувальних (криптографічних) засобів класу КС1 і КС2 (залежно від варіантів виконання) має СКЗІ Dcrypt 1.0, що реалізує функції шифрування та ЕП у складі.

Докладніше з інформацією про Diamond VPN/FW можна ознайомитись на сайті виробника.

Dionis-NX ("Фактор-ТС")

Програмно-апаратний комплекс Dionis-NX є розробкою російської компанії "Фактор-ТС". ПАК є UTM-пристроєм, який може використовуватися як міжмережевий екран, криптомаршрутизатор, система виявлення та запобігання вторгненням.

ПАК дозволяє будувати VPN-тунелі за ГОСТ 28147-89 за допомогою протоколів GRE, PPTP, OpenVPN.

Має такі відмінні риси:

виробник пропонує п'ять варіантів апаратних платформ, що забезпечують швидкість шифрування від 100 Мбіт/с до 10 Гбіт/с;
підтримка кластерного виконання у відмовостійкій конфігурації (режим «активний/пасивний»);
підтримка взаємодії з програмним забезпеченням "Дісек", що реалізує функціональність VPN-клієнта.

Dionis-NX входить до реєстру вітчизняного ПЗ (№2772) і має діючий сертифікат ФСТЕК Росії №2852, що підтверджує відповідність вимогам керівного документа «Засоби обчислювальної техніки. Міжмережеві екрани. Захист від несанкціонованого доступу до інформації. Показники безпеки від несанкціонованого доступу до інформації» - по 2 класу безпеки.

Необхідно відзначити, що чинним сертифікатом ФСБ Росії №124-2625 на відповідність вимогам до шифрувальних (криптографічних) засобів класу КС1 і КС3 (залежно від варіантів виконання) має СКЗІ DioNIS-NX, що реалізує функції шифрування у складі ПАК.

Докладніше з інформацією про «Dionis-NX» можна ознайомитись на сайті виробника.

ViPNet Coordinator HW ("ІнфоТеКС")

Програмно-апаратний комплекс ViPNet Coordinator HW розроблений російською компанією «ІнфоТеКС» і є сертифікованим криптошлюзом і міжмережевим екраном.

ViPNet Coordinator HW забезпечує захист - шифрування даних, що передаються різними каналами зв'язку за допомогою побудови VPN (як на мережевому, так і на канальному рівнях моделі OSI - L3, L2 VPN) за ГОСТ 28147-89. ПАК дозволяє організувати захищений доступ як до ЦОДу, так і до корпоративної інфраструктури. ПАК середньої та високої продуктивності поставляються у форм-факторі 1U. Функціонує з урахуванням адаптованої ОС Linux.

ViPNet Coordinator HW має такі особливості:

для побудови VPN використовується власний протокол ViPNet VPN, який забезпечує безперешкодну захищену взаємодію незалежно від типу каналу зв'язку; автоматичний роумінг між каналами зв'язку;
підтримка роботи у сучасних мультисервісних мережах (з використанням протоколів Cisco SCCP, H.323);
продуктивність із шифрування від 50 Мбіт/с до 5,5 Гбіт/с (для standalone-рішень) залежно від моделі;
підтримка відмовостійкої конфігурації (режим «активний/пасивний») для моделей середнього та високого рівня (від моделі HW1000);
підтримка централізованого керування та віддаленого оновлення за допомогою ПЗ ViPNet Administrator;
підтримка взаємодії з клієнтськими компонентами (ПЗ ViPNet Client) на різних операційних системах (Windows, Linux, macOS, iOS, Android).

Малюнок 8. ПАК ViPNet Coordinator HW1000

Виробник ПАК у своїх рішеннях використовує апаратні платформи фіксованої конфігурації, що дозволяє отримати високий клас криптозахисту (КС3) без використання додаткових пристроїв, таких як апаратно-програмні модулі довіреного завантаження (АПМДЗ).

ViPNet Coordinator HW входить до реєстру вітчизняного ПЗ (№2798) і має різні діючі сертифікати відповідності, у тому числі:

ФСБ Росії №СФ/124-2981, що підтверджує виконання вимог до шифрувальних (криптографічних) засобів класу КС3;
ФСБ Росії №СФ/525-3007, що підтверджує виконання вимог до міжмережевих екранів 4 класу захищеності;
ФСТЕК Росії № 3692, що засвідчує, що ПАК є міжмережевим екраном типу «А» та відповідає вимогам документів «Вимоги до міжмережевих екранів» (ФСТЕК Росії, 2016) та «Профіль захисту міжмережевого екрану типу А четвертого класу захисту. ІТ.МЕ.А4.ПЗ».

Докладніше з інформацією про ViPNet Coordinator HW можна ознайомитись на сайті виробника.

Зарубіжні криптошлюзи

У цьому розділі докладніше розглянемо основних іноземних виробників засобів захисту. Тут представлені різноманітні варіанти рішень у програмно-апаратному виконанні.

Вказані нижче виробники пропонують сучасному ринку UTM-рішення, "комбайни" з розряду "все-в-одному". Тут і функціональність NGFW (Next Generation Firewall - міжмережевий екран нового покоління), IDS/IPS (системи виявлення та запобігання вторгненням), потоковий антивірус і, звичайно ж, VPN-шлюз. Останній нас особливо цікавить у контексті даного огляду.

Необхідно відзначити, що закордонні вендори для свого VPN використовують виключно іноземні алгоритми шифрування – DES, 3DES, AES. Відповідно, цільовий замовник таких рішень (у частині VPN) у Росії не є державною установою або організацією, що веде діяльність відповідно до зазначених початку огляду нормативними актами.

Оскільки на території РФ ринок засобів криптозахисту є регульованим, закордонним виробникам необхідно офіційно ввезти свої продукти відповідно до всіх чинних норм і вимог. В даному випадку можливі два варіанти:

ввезення за спрощеною схемою (за нотифікацією, реєстр доступний на сайті Євразійського економічного союзу);
ввезення за ліцензією ФСБ Росії чи Мінпромторгу Росії.

У зв'язку з використанням іноземних криптографічних алгоритмів у системі сертифікації ФСБ Росії розглянуті у розділі рішення представлені.

Cisco VPN Solutions (Cisco ASA 5500-X, Cisco Firepower, Cisco ASAv, Cisco IOS VPN)

Міжнародна компанія Cisco Systems має велике портфоліо рішень для побудови VPN, які відрізняються не тільки особливостями реалізації даної можливості, але і основною функціональністю. Наприклад, Cisco ASA 5500-X або Cisco Firepower – це багатофункціональні захисні шлюзи, серед функцій яких є і VPN, що особливо ефективно може використовуватись для Remote Access VPN. А ось маршрутизатор Cisco ISR/ASR/GSR/CSR, призначений переважно для підключення до інтернету, має просунуті можливості Site-to-Site VPN.

Cisco Adaptive Security Appliance (ASA) та Cisco Firepower – одні з основних продуктів у напрямку інформаційної безпеки Cisco. Ці рішення, а також віртуалізований захисний шлюз ASAv та маршрутизатор з функцією IOS VPN, дозволяють реалізувати взаємодію по VPN з використанням IPSec, IPSec RA, SSL, SSL clientless, DTLS на швидкостях від 100 Мбіт/сек до 51 Гбіт/сек та з підтримкою до 60 000 віддалених користувачів.

Відмінними рисами є

Резервування. Можливі два варіанти: стійкість до відмови (failover) і кластеризація (clustering), у тому числі георозподілена. У першому випадку два пристрої об'єднуються в один логічний. Доступні два режими роботи: active/standby та active/active. У другому – можливе об'єднання до 16 пристроїв ASA (для моделі 5585-Х) в одне логічне. Така можливість дозволяє суттєво підвищити продуктивність рішення.
Підтримка технологій DMVPN, GET VPN, Easy VPN.
Оптимізація захисту мультимедіа-трафіку.
Підтримка функції per application VPN (диференційоване шифрування трафіку для різних програм).
Підтримка оцінки відповідності віддаленого вузла (мобільного пристрою) вимогам безпеки перед створенням VPN-тунелю.
Вбудовані додаткові механізми безпеки, наприклад вбудований центр сертифікатів (CA).
Наявність API для інтеграції із зовнішніми системами фільтрації та управління сервісами - Web-проксі, AAA та оцінки відповідності.
Інтеграція із захисними можливостями багатофункціональної захисної платформи Cisco ASA 5500-X, Cisco Firepower або маршрутизатором Cisco, МСЕ та NGFW, NGIPS, підсистемою захисту від шкідливого коду, підсистемою URL-фільтрації.

Рисунок 9. Cisco Firepower 9300

Управління Cisco ASA 5500-X, Cisco Firepower або Cisco ISR здійснюється локально за допомогою Cisco Adaptive Security Device Manager (ASDM), Cisco Firepower Device Manager або Cisco Security Device Manager або централізовано за допомогою Cisco Security Manager, Cisco Firepower Management Center або Cisco Defense Orchestrator .

Для підключення віддалених клієнтських робочих місць може використовуватися локалізована російська мова Cisco AnyConnect Secure Mobility Client або безклієнтська технологія Cisco SSL clientless, а також вбудовані в Apple iOS та Android клієнти VPN.

Рішення Cisco ASA 5500-X, Cisco Firepower і Cisco ISR мають кілька десятків різних діючих сертифікатів відповідності ФСТЕК, у тому числі № 3738, що засвідчує, що ПАК відповідає вимогам до міжмережевих екранів за класами А6, Б6, а також сертифікований на відсутність недокументів. Спільно з компанією С-Терра СіЕсПі компанія Cisco розробила модуль шифрування на базі російських алгоритмів шифрування (ГОСТ 28147-89 та ін) та сертифікувала його у ФСБ як СКЗІ за класами КС1/КС2. Цей модуль призначений для маршрутизатора з інтеграцією сервісів Cisco ISR, який може використовуватися як платформа для запуску на ній та інших VPN-рішень. Зокрема, було проведено інтеграцію та випробування спільних рішень Cisco ISR з рішеннями VipNet і TSS VPN.

Докладніше з інформацією про Cisco ASA 5500-Х, Cisco Firepower, Cisco ISR можна ознайомитися на сайті виробника.

F5 Networks VPN Solutions

F5 Networks пропонує комплексні рішення та автономні VPN-пристрої. З 2016 року компанія наголосила на комплексних рішеннях, і ізольовані VPN-шлюзи поступово перестають випускатися.

Продукт F5 Access Policy Manager (APM) - це спеціальний модуль програмного забезпечення, який включає функціональні можливості VPN, а також безліч різних функцій, включаючи BIG-IP - повний проксі між користувачами і серверами додатків, що забезпечує безпеку, оптимізацію трафіку додатків і балансування його навантаження.

Клієнт BIG-IP VPN використовує протоколи TLS та DTLS (Datagram TLS), що дозволяє працювати чутливим до затримки програм. Цей клієнт доступний на всіх поширених настільних та мобільних платформах.

Рішення BIG-IP функціонують з урахуванням своєї операційної системи (ОС) F5 TMOS. Серед її переваг можна відзначити:

Відкритий API, який дозволяє гнучко керувати потоком трафіку та збільшити продуктивність за допомогою API Control.
Контроль за трафіком здійснюється за допомогою F5-пристроїв, що використовують спеціальну мову сценаріїв iRules.
Шаблони iApps, які дозволяють розгортати та керувати мережевими послугами для конкретних програм.

На сьогоднішній день пропозиції компанії F5 починаються з моделі BIG-IP 1600 і закінчуються BIG-IP 11050, яка є найбільшим автономним VPN-пристроєм.

Найбільшим рішенням на основі блейд-сервера є Viprion 4800. Він підтримує до 30000 SSL-транзакцій.

Малюнок 10. F5 Viprion 4800

У державному реєстрі сертифікованих засобів захисту інформації № РОСС RU.0001.01БІ00 (ФСТЕК Росії) продуктів F5 Networks не представлено.

Докладніше з інформацією про продукцію F5 Networks можна ознайомитись на сайті виробника.

NetScaler (Citrix Systems)

NetScaler – лінійка продуктів мережевої безпеки від компанії Citrix Systems. Рішення VPN від Citrix вбудовано в продукт NetScaler Gateway. Шлюз NetScaler, як і все обладнання фірми Citrix, штатно інтегрується у багато лінійок продуктів компанії.

NetScaler Gateway пропонує функціональні можливості SSL VPN, включаючи безпечний доступ до Citrix XenDesktop, XenApp, XenMobile, MS RDP, VMware horizon, а також web-додатків та ресурсів усередині корпоративної мережі. Також продукт надає можливості безпечного мережного доступу до будь-якого сервера, поряд з аналізом та визначенням пристрою.

Citrix Gateway підтримує протокол TLS і DTLS залежно від вимог до трафіку.

Наймолодша MPX-платформа продукту (5550) підтримує до 1500 SSL транзакцій. Найбільш продуктивна (22120) – до 560000 SSL-транзакцій.

Рисунок 11. Citrix NetScaler MPX-8005

У державному реєстрі сертифікованих засобів захисту інформації № РОСС RU.0001.01БІ00 (ФСТЕК Росії) шлюзів Citrix NetScaler не представлено.

Докладніше з інформацією про продукцію Citrix можна ознайомитись на сайті виробника.

Pulse Secure (Juniper Networks)

Pulse Secure – серія продуктів американської компанії Juniper Networks. Ключова функціональність – SSL VPN.

Виробник пропонує чотири програмно-апаратних комплекси різної продуктивності та форм-фактори.

Модель мінімальної конфігурації (PSA300) забезпечує пропускну здатність 200 Мбіт/с для 200 SSL з'єднань. Найбільш продуктивне рішення (PSA7000) – 10 Гбіт/с для 25000 SSL-з'єднань.

Відмінною особливістю лінійки Pulse Secure є наявність двох блоків живлення у моделі PSA7000.

Малюнок 12. Pulse Secure Appliance 7000

У державному реєстрі сертифікованих засобів захисту інформації № РОСС RU.0001.01БІ00 (ФСТЕК Росії) шлюзів Pulse Secure не представлено.

Докладніше з інформацією про продукцію Pulse Secure можна ознайомитись на сайті виробника.

SonicWALL

SonicWALL – американська компанія-виробник рішень для мережевої безпеки. У 2012 році компанія була придбана Dell Software Group. У 2016 році Dell продала SonicWALL.

Компанія пропонує рішення різної продуктивності. В основному це UTM-рішення, що реалізують функціональність NGFW, IPS, VPN, потокового антивіруса.

У частині VPN виробник підтримує IPSec, SSL. Найбільш продуктивне рішення, представлене на малюнку нижче, забезпечує пропускну здатність VPN до 14 Гбіт/с. Максимальне число VPN-з'єднання становить у цьому випадку 25000.

Шлюзи SonicWALL знаходяться під керуванням власної операційної системи – Sonic OS.

Малюнок 13. SonicWALL SuperMassive 9000 Series

У державному реєстрі сертифікованих засобів захисту інформації № РОСС RU.0001.01БІ00 (ФСТЕК Росії) шлюзів SonicWALL не представлено.

Докладніше з інформацією про продукцію SonicWALL можна ознайомитись на сайті виробника.

висновки

Криптографічний шлюз - не лише спеціалізоване VPN-рішення, а й багатофункціональний продукт, що вирішує великий спектр завдань інформаційної безпеки практично будь-якого підприємства чи державної установи. Процес застосування криптошлюзів може бути непростим, і це вимагає від організації наявності в штаті кваліфікованих фахівців.

За даними статистичного порталу Statista.com, у 2014 році обсяг світового ринку VPN становив 45 млрд. доларів США. При цьому до 2019 року очікується його зростання до 70 млрд. Це дозволяє говорити про те, що пристрої для побудови VPN стануть з кожним роком все більш затребуваними.

Незважаючи на те, що на території РФ процеси експлуатації засобів криптозахисту регулюються «Положенням про розробку, виробництво, реалізацію та експлуатацію шифрувальних (криптографічних) засобів захисту інформації (Положення ПКЗ-2005)», у іноземних розробників все ще залишається можливість пропонувати свої продукти російським замовникам . Відповідно до ПКЗ-2005 лише учасники обміну інформацією (з низкою застережень), якщо це не державні установи, визначають необхідність її криптографічного захисту та обирають застосовувані засоби криптозахисту.

Набрання чинності з 1 січня 2018 року Федеральним законом №187-ФЗ «Про безпеку критичної інформаційної інфраструктури РФ» (КІІ) зобов'яже компанії та об'єкти КІІ та паливно-енергетичного комплексу інформувати владу про комп'ютерні інциденти, запобігати неправомірним спробам доступу до інформації. Така законодавча ініціатива створить додаткову можливість для зростання сегменту засобів криптозахисту у перспективі кількох найближчих років.

Сучасні вітчизняні криптошлюзи все швидше набувають функціональності (Next Generation Firewall, IDS, IPS, потоковий антивірус), ще вчора пропоновані лише зарубіжними виробниками. Зростання конкуренції, збільшення числа гравців на ринку дозволяє замовнику бути в найбільш вигідному становищі та вибирати те, що дійсно відповідає його потребам та можливостям.