بوابات التشفير وطرق بنائها. نظرة عامة على بوابات التشفير للمصنعين الروس والأجانب بوابات التشفير

يتضمن بناء شبكات افتراضية خاصة (VPN) إنشاء أنفاق محمية من الوصول غير المصرح به بين العديد من الشبكات المحلية أو العملاء البعيدين عبر شبكة أخرى بمستوى أقل من الثقة (على سبيل المثال ، الإنترنت). لا يعتمد مستوى الثقة في الشبكة المنطقية المنشأة على مستوى الثقة في الشبكات الأساسية بسبب استخدام أدوات التشفير. لإنشاء وصيانة مثل هذه الأنفاق ، يلزم وجود بروتوكولات خاصة وبرامج وأجهزة. الشبكات الافتراضية الخاصة أرخص بكثير من شبكة الكمبيوتر العالمية ، حيث لا توجد حاجة لدفع ثمن خطوط الكابلات التي تربط الشبكات المحلية.

تنفذ حلول VPN الميزات التالية:

  • التشفير.
  • تأكيد الأصالة
  • تعريف؛
  • التحكم بالمرور.

طرق تنفيذ VPN:

  • تُستخدم شبكة الإنترانت VPN لدمج العديد من الفروع الموزعة لنفس المؤسسة في شبكة واحدة آمنة ، وتبادل البيانات عبر قنوات الاتصال المفتوحة.
  • يتم استخدام Remote Access VPN لإنشاء قناة آمنة بين قطاع شبكة الشركة (المكتب المركزي أو المكتب الفرعي) ومستخدم واحد يتصل عن بعد.
  • يتم استخدام Extranet VPN على الشبكات التي يتصل بها المستخدمون الخارجيون (مثل العملاء أو العملاء). مستوى الثقة فيهم أقل بكثير مما هو عليه في موظفي الشركة ، لذلك يلزم اتخاذ تدابير حماية خاصة لمنع أو تقييد الوصول إلى المعلومات السرية.
  • يتم استخدام Client / Server VPN عند نقل البيانات بين عقدتين لشبكة الشركة تقعان في نفس المقطع. تنشأ هذه الحاجة عندما يلزم إنشاء عدة شبكات منطقية في شبكة مادية واحدة. بدلاً من فصل حركة المرور ، يتم استخدام التشفير.

Altiriks Systems هي شريك لقادة سوق VPN / crypto gateway وتقدم حلولًا من Stonesoft و Security Code و Infotex و S-Terra و Cisco.

StoneGate SSL VPN- إمكانية وصول المستخدمين عن بعد بشكل بسيط وآمن إلى الشركات مصادر المعلوماتمن أي مكان على أساس تقنية SSL VPN بدون عميل. إنه مثالي للمؤسسات التي لديها العديد من مستخدمي الهواتف المحمولة الذين يصلون إلى الشبكة من مواقع متعددة ، حيث يكون الاتصال الآمن والوصول السهل إلى الشبكة مهمين بنفس القدر. توفر StoneGate SSL VPN للمستخدمين - موظفي المؤسسة وصولاً مرنًا وآمنًا إلى شبكة الشركة ، والتي يمكنهم القيام بها من أي جهاز متصل بالإنترنت - أجهزة الكمبيوتر المحمولة أو أجهزة المساعد الرقمي الشخصي أو الهواتف المحمولة. يمكن أن تتضمن تطبيقات المؤسسات البريد الإلكتروني والإنترانت والإكسترانت وتطبيقات العميل / الخادم والمهاتفة عبر بروتوكول الإنترنت والخدمات الطرفية والمزيد. دلائل الميزاتالحلول: دعم ما يصل إلى 5000 اتصال متزامن ؛ إنشاء اتصال من أي جهاز ، بغض النظر عن نوع جهاز العميل وطريقة الاتصال بالشبكة (UMTS ، WLAN) ؛ أكثر من 20 طريقة مصادقة مثبتة مسبقًا مع البوابة مجانًا ، بما في ذلك طرق المصادقة الفريدة باستخدام تليفون محمول؛ الإزالة التلقائية لجميع آثار الاتصال عند انتهائه (الملفات المؤقتة ، ذاكرة التخزين المؤقت ، المستندات التي تم تنزيلها ، إلخ ؛ دعم اللغة الروسية خوارزميات التشفير؛ التكامل مع Microsoft Active Directory و MS Outlook ActiveSync ؛ دعم موسع لتسجيل الدخول الأحادي (SSO)) ؛ التكامل السريع مع أنظمة التحكم في الوصول والتطبيقات النهائية ؛ دعم مدمج لـ Outlook Web Access 2000/2003 و Domino Web Access 6.5 و Citrix MetaFrame Presentation Server و Terminal Server 2000/2003 و MS Outlook Client 2000/2003 وما إلى ذلك ؛ إمكانية تحديثات البرامج عن بعد ؛ إدارة مركزيةجميع الأجهزة والمراقبة في الوقت الحقيقي ؛ إمكانية التكرار والتكتل ؛ سياسات كلمات المرور المتقدمة ؛ التحكم في سياق الجلسات ؛ مرونة التركيب وسهولة الإدارة. تم اعتماد StoneGate SSL VPN من قبل FSTEC في روسيا و FSB في روسيا.

Stonesoft FW / VPN- عائلة من الأجهزة والبرامج عالية الأداء جدران الحماية، والتي تستند إلى حلول معمارية فريدة لتوفير مستوى غير مسبوق من الحماية نظم المعلومات. تستخدم StoneGate FW / VPN نظام الأمان المتكامل الخاص بها نظام التشغيل، مما يلغي الحاجة إلى إجراء أي عمليات تكوين متخصصة ، ويسمح لك أيضًا بزيادة وظائف StoneGate فقط عن طريق إضافة مكونات جديدة دون تغيير البنية التحتية للعمل ودون توقف العمل. يستخدم StoneGate FW / VPN أكثر التقنيات الحديثةتحليل حركة المرور والتسامح مع الخطأ. تجمع تقنية MultiLayer Inspection الحاصلة على براءة اختراع بين مزايا وكيل التطبيق وفلاتر فحص الحالة لتحقيق أمان اتصال أكبر ومرونة تصفية دون أي تدهور كبير في الأداء. في الوقت نفسه ، يمكن تصفية حركة المرور مع تتبع سياق الاتصالات المنشأة ليس فقط في 3-4 مستويات من نموذج OSI ، ولكن أيضًا على مستوى التطبيق. حتى الآن ، يتوفر أكثر من 20 بروتوكول تطبيق (H.323 ، SIP ، FTP ، HTTP (S) ، SMTP ، IMAP ، POP3 ، SSH ، NBT ، MSRPC ، Sun RPC ، Oracle TNS ، إلخ) متاحة للفحص ، مما يسمح يمكنك فحص البث من خلال مجموعة كاملة من القواعد ، بما في ذلك ، من بين أمور أخرى ، تصفية المحتوى وعنوان URL ، والتفتيش ضد الفيروسات ، وما إلى ذلك. ميزة أخرى فريدة يتم تنفيذها في جدران الحماية StoneGate FW / VPN هي دعم تقنية MultiLink الحاصلة على براءة اختراع ، والتي تتيح لك توفير بدرجة عاليةتوافر الموارد باستخدام موازنة الحمل الديناميكي عبر قنوات الاتصال. تم اعتماد StoneGate FW / VPN من قبل FSTEC في روسيا.

APKSh "القارة"- مجموعة أدوات لبناء شبكات افتراضية خاصة تعتمد على الشبكات العالميةعام ، باستخدام بروتوكولات عائلة TCP / IP. الميزات الرئيسية: الوصول الآمن لمستخدمي VPN إلى موارد الشبكات العامة ؛ الحماية المشفرة للبيانات المرسلة وفقًا لـ GOST 28147-89 ؛ جدار الحماية - حماية أجزاء الشبكة الداخلية من الوصول غير المصرح به ؛ الوصول الآمن للمستخدمين عن بعد إلى موارد شبكة VPN ؛ إنشاء أنظمة فرعية للمعلومات مع تقاسم الوصول على المستوى المادي ؛ دعم قنوات الاتصال المشتركة ؛ العمل مع حركة المرور ذات الأولوية العالية ؛ حجز عرض النطاق الترددي المضمون لخدمات معينة ؛ دعم VLAN ؛ إخفاء الشبكة الداخلية ؛ دعم تقنيات NAT / PAT ؛ القدرة على التكامل مع أنظمة كشف التسلل ؛ التحديث عن بعد برمجةبوابات التشفير. APKSH "القارة" لديها شهادات FSTEC من روسيا و FSB من روسيا.

مخصص ViPNet- خط الإنتاج الأكثر شمولاً على مستوى الشركة - مصمم شبكة آمن يقدم حلاً لمجموعة كاملة من المهام لتنظيم VPN و PKI. المزايا التقنية: التركيز على تنظيم التفاعل الآمن بين العميل والعميل (في حين أن معظم حلول VPN من الشركات المصنعة الأخرى توفر فقط اتصالات الخادم والخادم والعميل) ، مما يجعل من الممكن تنفيذ أي سياسة ضرورية للتحكم في الوصول داخل الشبكة الآمنة بأكملها ، بالإضافة إلى تقليل الحمل على خوادم VPN ، لأنه في الحالة العامة ، أثناء التفاعل بين العميل والعميل ، لا يشارك خادم VPN في عمليات تشفير حركة المرور بين هؤلاء العملاء ؛ يتم إيلاء الكثير من الاهتمام في ViPNet CUSTOM لحل مشكلة العمل في وجود مجموعة متنوعة من معدات الشبكةوالبرمجيات التي تنفذ العنوان الديناميكي أو الثابت وترجمة المنفذ (NAT / PAT) ، مما يسهل إلى حد كبير عملية دمج نظام الحماية في البنية التحتية للشبكة القائمة ؛ في معظم الحالات ، لا يلزم التكوين اليدوي لبرنامج ViPNet Client ؛ تنفذ ViPNet CUSTOM تصفية منفصلة لحركة المرور المفتوحة والمشفرة ، مما يسمح حتى بين عقد الشبكة الموثوقة بالحد من القدرة على العمل من خلال المنافذ والبروتوكولات غير المصرح بها وبالتالي زيادة مستوى أمان الشبكة الآمنة ؛ يحتوي كل مكون من مكونات ViPNet CUSTOM على جدار حماية مدمج ونظام مراقبة نشاط الشبكة للتطبيقات أو يعمل جنبًا إلى جنب مع برنامج ViPNet Client ، والذي يسمح لك بالحصول على نظام موزع موثوق من جدران الحماية وجدران الحماية الشخصية ؛ لحل التعارضات المحتملة لعناوين IP في الشبكات المحلية المضمنة في شبكة آمنة واحدة ، تقدم ViPNet CUSTOM نظامًا متقدمًا من العناوين الافتراضية. في كثير من الحالات ، يسمح لك بتبسيط تكوين برنامج تطبيق المستخدم ، لأن الشبكة الافتراضية المتراكبة بعناوينها الافتراضية تخفي البنية المعقدة الحقيقية للشبكة. يصبح أيضًا حل ممكنمشاكل تفاعل الشبكات المحلية مع عناوين IP المتقاطعة. تدعم ViPNet CUSTOM التشغيل البيني ، والذي يسمح لك بإنشاء قنوات الاتصال الآمنة الضرورية بين عدد تعسفي من الشبكات الآمنة التي تم إنشاؤها باستخدام ViPNet CUSTOM. توفر ViPNet CUSTOM حماية المعلومات في شبكات الاتصالات الحديثة متعددة الخدمات التي توفر خدمات الاتصال الهاتفي عبر بروتوكول الإنترنت ومؤتمرات الصوت والفيديو. يدعم تحديد أولويات حركة المرور والبروتوكولات H.323 و Skinny و SIP. يدعم برنامج ViPNet Coordinator التشغيل على منصات خادم حديثة متعددة المعالجات ومتعددة النواة ، مما يسمح بتوفير تشفير عالي السرعة لحركة المرور. تم اعتماد ViPNet CUSTOM من قبل FSTEC في روسيا و FSB في روسيا.

Cisco VPN - مجموعة من المنتجات التي تقدم مجموعة كاملة من تقنيات Layer 2 و 3 VPN المصممة للبنى التحتية IP و MPLS. في Layer 2 ، تتعامل Cisco VPN مع تحديات التمييز بين البنى التحتية لحزمة مزود الخدمة باستخدام بروتوكولين مختلفين من بروتوكولات نفق الطبقة 2: Cisco AToM لنواة MPLS و Layer 2 Tunneling Protocol الإصدار 3 (L2TPv3) لنواة IP. يوفر كلا هذين البروتوكولين اتصالات عالية السرعة من الطبقة الثانية بين أي عقدتين ويدعمان تقنيات اتصال الطبقة الثانية (مثل Frame Relay و Ethernet و HDLC و ATM). بالإضافة إلى ذلك ، تدعم الشبكات الظاهرية الخاصة من الطبقة الثانية التقنيات متعددة النقاط الجديدة مثل خدمات الشبكة المحلية الخاصة الافتراضية. بالنسبة للطبقة 3 ، تقدم Cisco هذه تقنيات VPNمثل Cisco IPsec و GRE و MPLS / BGP VPN. تدعم هذه التقنيات نقل حزم IP كأحد مكونات حل VPN عبر العمود الفقري IP / MPLS. تعمل على طبقة IP ، وتوفر طبقة ذكاء لإدارة حركة مرور العملاء والتوجيه المعقد. توفر تقنيات Cisco VPN للعملاء المزايا التالية: شبكة واحدة ؛ أي وسيلة وصول ؛ توافر مجموعة كاملة من البروتوكولات والأنظمة الأساسية والأدوات لإنشاء الخدمات وتكوينها ؛ انخفاض تكلفة الملكية المرونة وقابلية التوسع والخدمات المطلوبة من قبل كل من المزودين والعملاء من الشركات الكبيرة.

S-Terra CSP VPN- عائلة من المنتجات - بوابات أمنية لحماية المستخدمين الفرديين والخوادم والشبكات الفردية والأجهزة المتخصصة. الميزات الرئيسية: ضمان حماية حركة المرور على مستوى المصادقة / التشفير حزم الشبكةعبر بروتوكولات IPsec AH و / أو IPsec ESP ؛ توفير تصفية الحزمة لحركة المرور باستخدام المعلومات الموجودة في الحقول الرأسية للشبكة ومستويات النقل ؛ مجموعات مختلفة من القواعد لمعالجة حركة المرور على واجهات مختلفة؛ التتبع الذكي لتوافر شركاء التبادل (DPD) ؛ جدار حماية متكامل دعم عمل مستخدم الهاتف المحمول وفقًا لسياسة أمان الشبكة الداخلية (خادم IKECFG) ؛ القدرة على الحصول على شهادات المفتاح العام عبر بروتوكول LDAP ؛ دعم إخفاء عنوان IP الحقيقي (نفق حركة المرور) ؛ تسجيل الأحداث المُدار (سجل النظام) ؛ مراقبة الإحصائيات العالمية عبر بروتوكول SNMP ، والتوافق مع CiscoWorks VPN Monitor ؛ شفافية تشغيل خدمة QoS ؛ دعم تغليف حزم ESP في UDP (NAT traversal) ؛ التوافق مع خدمات PKI و LDAP للمصنعين الأجانب والروس. تم اعتماد S-Terra CSP VPN من قبل FSTEC في روسيا و FSB في روسيا.

سيساعدك خبراء أنظمة Altiriks في اختيار وتنفيذ حل يتماشى مع المهام بأقصى قدر من الكفاءة وبأقل التكاليف.

إذا كنت ترغب في الحصول على المزيد معلومات مفصلةحول منتجاتنا وحلولنا وخدماتنا ، راسلنا على البريد الإلكتروني على [بريد إلكتروني محمي]موقع الويب ، وسيتصل بك موظفنا في موعد أقصاه 24 ساعة.

الاحتمالات

يوفر المجمع حماية تشفير للمعلومات (وفقًا لـ GOST 28147-89) المنقولة عبر قنوات الاتصال المفتوحة بين مكونات VPN ، والتي قد تكون محلية شبكات الحاسبوشرائحهم وأجهزة الكمبيوتر الفردية.

يوفر مخطط المفاتيح الحديث ، الذي ينفذ تشفير كل حزمة على مفتاح فريد ، حماية مضمونة ضد إمكانية فك تشفير البيانات المعترضة.

للحماية من الاختراق من الشبكات العامة ، يوفر مجمع Continent 3.6 تصفية الحزم المستلمة والمرسلة وفقًا لمعايير مختلفة (عناوين المرسل والمستقبل والبروتوكولات وأرقام المنافذ وحقول الحزمة الإضافية وما إلى ذلك). يوفر الدعم لـ VoIP ومؤتمرات الفيديو و ADSL و Dial-Up و القنوات الفضائيةالاتصالات ، تقنية NAT / PAT لإخفاء بنية الشبكة.

الملامح الرئيسية وخصائص APKSh "القارة" 3.6

الحماية الفعالة لشبكات الشركات

  • تأمين وصول مستخدم VPN إلى موارد الشبكة العامة
  • الحماية المشفرة للبيانات المرسلة وفقًا لـ GOST 28147–89

يستخدم APKSh "Continent" 3.6 مخطط مفاتيح حديث يشفر كل حزمة بمفتاح فريد. يوفر هذا درجة عالية من حماية البيانات ضد فك التشفير في حالة الاعتراض.

يتم تنفيذ تشفير البيانات وفقًا لـ GOST 28147–89 في وضع جاما مع تعليق. تتم حماية البيانات من التشويه وفقًا لـ GOST 28147–89 في وضع محاكاة الإدراج.

يتحكم مفاتيح التشفيرأجريت مركزيا من NCC.

  • جدار الحماية - حماية أجزاء الشبكة الداخلية من الوصول غير المصرح به

توفر بوابة التشفير "القارة" 3.6 تصفية الحزم المستلمة والمرسلة وفقًا لمعايير مختلفة (عناوين المرسل والمستقبل والبروتوكولات وأرقام المنافذ وحقول الحزمة الإضافية وما إلى ذلك). يتيح لك ذلك حماية أجزاء الشبكة الداخلية من الاختراق من الشبكات العامة.

  • وصول آمن للمستخدمين عن بعد لموارد شبكة VPN

يتيح لك البرنامج الخاص "Continent AP" ، والذي يعد جزءًا من APKSh "Continent" 3.6 ، تنظيم الوصول الآمن من أجهزة الكمبيوتر البعيدةلشبكة VPN الخاصة بالشركات.

  • إنشاء أنظمة فرعية للمعلومات مع تقاسم الوصول على المستوى المادي

في APKSH "Continent" 3.6 ، يمكنك توصيل واجهات خارجية و 3-9 واجهات داخلية على كل بوابة تشفير. يعمل هذا على تحسين خيارات المستخدم بشكل كبير عند تكوين الشبكة وفقًا لسياسة أمان الشركة. على وجه الخصوص ، يسمح لك وجود العديد من الواجهات الداخلية بالفصل على المستوى بطاقات الشبكةالشبكات الفرعية لإدارات المنظمة وتحديد الدرجة اللازمة من التفاعل فيما بينها.

الميزات والقدرات الرئيسية

  • دعم قنوات الاتصال المشتركة

العمل من خلال اتصالات الطلب الهاتفي ، وأجهزة ADSL المتصلة مباشرة ببوابة التشفير ، وكذلك من خلال قنوات الاتصال عبر الأقمار الصناعية.

  • "الشفافية" لأي تطبيقات وخدمات شبكة

تعتبر بوابات التشفير "القارة" 3.6 "شفافة" لأي تطبيقات وخدمات شبكة تعمل عبر بروتوكول TCP / IP ، بما في ذلك خدمات الوسائط المتعددة مثل المهاتفة عبر بروتوكول الإنترنت ومؤتمرات الفيديو.

  • العمل مع حركة المرور ذات الأولوية العالية

تتيح لك آلية تحديد أولويات حركة المرور المطبقة في APKSh "القارة" 3.6 حماية حركة مرور الصوت (VoIP) ومؤتمرات الفيديو دون فقدان جودة الاتصال.

  • حجز عرض النطاق الترددي المضمون لخدمات معينة

يضمن حجز النطاق الترددي المضمون لبعض الخدمات مرور حركة البريد الإلكتروني وأنظمة إدارة المستندات وما إلى ذلك. حتى مع الاستخدام النشط للمهاتفة عبر بروتوكول الإنترنت على قنوات الاتصال منخفضة السرعة.

  • دعم VLAN

يضمن دعم VLAN التكامل السهل لملفات APKS في البنية التحتية للشبكة المقسمة إلى قطاعات افتراضية.

  • إخفاء الشبكة الداخلية. دعم تقنيات NAT / PAT

يتيح لك دعم تقنية NAT / PAT إخفاء البنية الداخلية لقطاعات الشبكة المحمية عند نقل حركة المرور المفتوحة ، وكذلك تنظيم المناطق منزوعة السلاح والشبكات المحمية.

يتم إخفاء الهيكل الداخلي للقطاعات المحمية لشبكة الشركة:

    • طريقة تغليف الحزم المرسلة (عند تشفير حركة المرور) ؛
    • باستخدام تقنية ترجمة عنوان الشبكة (NAT) عند العمل مع الموارد العامة.
  • القدرة على التكامل مع أنظمة كشف التسلل

في كل بوابة تشفير ، من الممكن تخصيص إحدى الواجهات على وجه التحديد للتحقق من حركة المرور التي تمر عبر KSh لمحاولات الوصول غير المصرح بها ( هجمات الشبكة). للقيام بذلك ، تحتاج إلى تعريف واجهة مثل "منفذ SPAN" وتوصيل جهاز كمبيوتر بنظام كشف التسلل المثبت (على سبيل المثال ، RealSecure) به. بعد ذلك ، يبدأ ترحيل جميع الحزم التي تصل إلى مدخلات مرشح الحزمة لبوابة التشفير إلى هذه الواجهة.

  • الصيانة والإدارة

الراحة وسهولة الصيانة (الوضع غير المراقب 24 * 7)

لا يتطلب APKSh "Continent" 3.6 إدارة محلية ثابتة ويمكنه العمل في الوضع غير المراقب 24 * 7x365. تضمن أجهزة الكمبيوتر الصناعية المستخدمة في إنتاج المجمع ، إلى جانب إمكانية التكرار الساخن والبارد ، التشغيل المتواصل للمجمع.

يوفر المجمع إخطارًا سريعًا للمسؤولين حول الأحداث التي تتطلب تدخل جراحي، في الوقت الحقيقي.

  • تحديث البرامج عن بعد لبوابات التشفير

حل المجمع مشكلة تحديث برنامج KSh في الأنظمة الموزعة جغرافيًا. يتم تنزيل تحديث البرنامج إلى المجمع مركزيًا ، وإرساله إلى جميع بوابات التشفير المضمنة في المجمع ، ويتم تثبيته تلقائيًا.

  • توفير التسامح مع الخطأ

يتم ضمان التسامح مع الخطأ في المجمع من خلال التدابير التالية:

    • التكرار في الأجهزة لبوابات التشفير (إنشاء مجموعة وصول عالية). في حالة فشل إحدى بوابات التشفير ، يتم التبديل إلى النسخة الاحتياطية تلقائيًا دون تدخل المسؤول ودون مقاطعة الاتصالات القائمة.
    • النسخ الاحتياطي التلقائي ملفات التكوينمعقد. يوفر استردادًا سريعًا للشبكة في حالة تعطل المعدات.
  • إدارة الشبكة المركزية

يتم تنفيذ إدارة الشبكة المركزية باستخدام NCC وبرنامج الإدارة الذي يسمح لك بتغيير إعدادات جميع بوابات التشفير في الشبكة عبر الإنترنت ومراقبة حالتها الحالية عبر الإنترنت.

يتيح لك عرض حالة جميع الأجهزة في مكان عمل المسؤول في الوقت الفعلي اكتشاف الانحرافات في الوقت المناسب عن عملية الأداء العادية والاستجابة لها بسرعة.

  • إدارة الدور - فصل الصلاحيات عن إدارة المجمع

تم تنفيذ إمكانية فصل الصلاحيات لإدارة المجمع ، على سبيل المثال ، لإدارة المعلومات الأساسية ، لتعيين حقوق الوصول إلى الموارد المحمية ، لإضافة مكونات جديدة ، لتدقيق إجراءات المستخدم (بما في ذلك المسؤولين الآخرين).

  • التفاعل مع أنظمة إدارة الشبكة

يسمح لك بالتحكم في حالة APKSh "القارة" 3.6 باستخدام بروتوكول SNMPv2 من أنظمة إدارة الشبكة العالمية (Hewlett-Packard و Cisco وما إلى ذلك).

بوابات التشفير (بوابات VPN أو أجهزة توجيه VPN أو أجهزة توجيه التشفير)أداء وظائف ضمان سرية بيانات المستخدم من خلال تشفيرها ووظائف مراقبة سلامة رسائل المستخدم عند الخروج من GSPD باستخدام مصادقات الرسائل. يؤدي مركز التحكم في VPN وظائف مراقبة وإدارة تشغيل بوابات التشفير ، كما أنه مسؤول أيضًا عن توزيع مفاتيح التشفير بينها. قد تتضمن VPN محطات عمل مستخدم فردي ، وشبكات محلية ، و AS أخرى.

حاليًا ، هناك أربع طرق لإنشاء بوابات تشفير VPN:

استنادًا إلى أنظمة تشغيل الشبكة مع وظائف تنظيم VPN المدمجة ؛

استنادًا إلى أجهزة التوجيه / المحولات ، فإن برنامجها له وظائف بناء VPN ؛

استنادًا إلى ME ، في البرنامج الذي يتم فيه دمج وظائف إنشاء VPS ؛

استنادًا إلى البرامج والأجهزة المتخصصة المصممة فقط لبناء VPN.

كجزء من VPN ، عادةً ما يتم إرسال جميع البيانات عبر ما يسمى "الأنفاق"، وهو اتصال افتراضي بين بوابتي تشفير VPN. خوارزمية تمرير الرسائل عبر نفق VPN هي كما يلي. قبل إرسال رسائل المستخدم عبر النفق ، تقوم بوابة التشفير بتشفيرها ، وتحسب مصدقًا لها ، وبعد ذلك يتم تغليف الرسائل (إعادة تجميعها) في رسائل جديدة ، يتم إرسالها عبر النفق. في الوقت نفسه ، تتم الإشارة إلى عنوان بوابة التشفير في حقل العنوان "عنوان المستلم" للرسالة التي تم إنشاؤها ، وليس عنوان AS للمستخدم الذي تستهدفه الرسالة بالفعل ، مما يسمح لك بالإخفاء العناوين الحقيقية لموضوعات الاتصال. بعد إرسال الرسائل في الطرف الآخر من النفق ، تقوم بوابة التشفير باستخراج البيانات المستلمة ، وفك تشفيرها ، والتحقق من سلامتها ، وبعد ذلك يتم نقل البيانات إلى المستلمين. يسمى هذا النوع من تمرير الرسائل "حفر الأنفاق". يظهر مخطط نفق رسائل المستخدم في الشكل. 19.2.

الشكل 19.2 - مخطط نفق رسائل المستخدم

يتم تنفيذ التفاعل بين بوابات تشفير VPN باستخدام بروتوكولات من نوع خاص يسمى cryptoprotocols. يمكن تنفيذ بروتوكولات التشفير على مستويات مختلفة من نموذج OSI (الجدول 19.1).

الجدول 19.1. بروتوكولات التشفير بمستويات مختلفة من نموذج OSI

حاليًا ، غالبًا ما يتم استخدام بروتوكول التشفير لإنشاء VPN. IPSec ، والتي تعد مواصفاتها جزءًا من المعيار الأساسي للإصدار السادس من بروتوكول IP ، والذي يتم من خلاله تنفيذ وظائف طبقة الإنترنت الخاصة بمكدس بروتوكول TCP / IP.

APKSh "القارة"IPC-25بوابة تشفير مدمجة لمكتب صغير. APKSh "القارة"هي أداة شبكات افتراضية خاصة قوية ومرنة تسمح لك ببناء VPN من أي بنية. يوفر حماية تشفير للمعلومات (وفقًا لـ GOST 28147–89) المنقولة عبر قنوات الاتصال المفتوحة بين مكونات VPN (شبكات المنطقة المحلية ، وشرائحها وأجهزة الكمبيوتر الفردية). يقوم بتشفير حزم البيانات الفردية بمفاتيح فريدة ، مما يضمن الحماية ضد فك تشفير البيانات التي يتم اعتراضها. للحماية من الوصول غير المصرح به ، يتم توفير نظام تصفية حركة المرور. يوفر دعمًا لـ VoIP ، ومؤتمرات الفيديو ، و GPRS ، و 3G ، و LTE ، و ADSL ، والطلب الهاتفي وقنوات الاتصال عبر الأقمار الصناعية ، وتقنية NAT / PAT لإخفاء بنية الشبكة.

تم تصميم APKSh "Continent" لحل المهام النموذجية التالية:

  • حماية الشبكة حول المحيط
  • يوفر القدرة على الجمع بين الفروع الموزعة جغرافيًا للمؤسسة في شبكة واحدة آمنة.
  • يوفر الحماية لوصول الموظفين عن بعد إلى شبكة الشركة.

الصانع: "كود الأمن" ذ م م

180،000.00 روبل

سيتم إنشاء الحساب تلقائيًا. حدد نوع الدافع "الكيان القانوني" واملأ التفاصيل.

مقارنة الإصدار

APKSh "القارة" - IPC-25APKSh "القارة" - IPC-100APKSh "القارة" - IPC-400APKSh "القارة" - IPC-1000
سعر180 الف ر
يشتري		270000 ر
يشتري		665000 ر
يشتري		1021000 ر
يشتري
أداء VPN (تشفير + تصفية جدار الحماية)تصل إلى 50 ميجابت في الثانيةتصل إلى 300 ميجابت في الثانيةتصل إلى 500 ميجابت في الثانيةحتى 950 ميجابت في الثانية
أداء ME (حركة المرور المفتوحة)تصل إلى 100 ميجابت في الثانيةتصل إلى 400 ميجابت في الثانيةما يصل إلى 1 جيجابت في الثانيةما يصل إلى 1 جيجابت في الثانية
العدد الأقصى لجلسات TCP المتزامنة المطلوب معالجتها (حالة الاحتفاظ)10000 250000 350000 1000000
عدد الاتصالات الآمنة (أنفاق VPN)25 غير محدودغير محدودغير محدود

تكوين الأجهزة:

شكل عامل

Mini-ITX ، ارتفاع 1U

الأبعاد (HxWxD)

155 × 275 × 45 ملم

وحدة المعالجة المركزية

Intel Atom C2358 1743 ميجا هرتز

كبش

SODIMM DDR3 DRAM، 2 جيجا بايت، PC-1333

واجهات الشبكة

4x 1000BASE-T Ethernet 10/100/1000 RJ45 (مصنوعة كوحدات قابلة للاستبدال بسهولة)

الأقراص الصلبة

وحدة SATA DOM 4G ب

وحدة الطاقة

محول خارجي التيار المتناوب 19 فولت ، 220 فولت 80 واط

قارئ

ذاكرة اللمس

المعرفات الشخصية

Touch Memory iButton DS1992L 2الكمبيوتر.

وحدة APMDZ مدمجة

PAK Sobol 3.0 (فتحة PCIe صغيرة)

محرك فلاش USB

512 ميجا بايت على الأقل

مستوى الضوضاء الصوتية عند تحميل 100٪ (طريقة القياس ISO7779)

نظام تشغيل مضمن

نظام تشغيل Continent OS هو نظام تشغيل أمان محسّن يعتمد على نواة FreeBSD.

APKSh يتضمن الإصدار 3.9 من "Continent" ما يلي:

  • مركز التحكم في شبكة بوابة التشفير (NCC)- يقوم بمصادقة KSh ومحطات عمل التحكم / مراقبة وتسجيل حالة شبكة KSh / تخزين السجلات وتكوين KSh / توزيع معلومات المفتاح والتكوين / الإدارة المركزية لمفاتيح التشفير / التفاعل مع برنامج التحكم.
  • بوابة التشفير (KSh)هو عبارة عن أجهزة وبرامج متخصصة تستقبل حزم IP وتنقلها باستخدام بروتوكولات TCP / IP (توجيه ثابت) / تشفير الحزمة (GOST 28147–89 ، وضع غاما التغذية المرتدة ، وطول المفتاح 256 بت) / حماية البيانات المرسلة من التشويه (GOST 28147 –89 ، أسلوب الإدراج المحاكي) / ترشيح الحزم / إخفاء بنية الشبكة / تسجيل الحدث / إخطار NCC بنشاطه والأحداث التي تتطلب تدخلًا / تحكمًا في سلامة برمجيات KS.
  • برنامج التحكم NCC (PU NCC)- وظيفتها الرئيسية هي الإدارة المركزية للإعدادات والتحكم التشغيلي في حالة كل KSh المدرجة في المجمع. يتم تثبيته في شبكة آمنة على محطة عمل إدارية تعمل بنظام التشغيل MS Windows 2003/2008/7/8.
  • وكيل TsUS و SDينشئ اتصالاً آمنًا ويتبادل البيانات مع NCC و PU / يستقبل من NCC ، ويخزن وينقل محتويات السجلات إلى PU / يستقبل من NCC وينقل إلى PU معلومات حول تشغيل المجمع.
  • عميل مصادقة المستخدم- يوفر المصادقة على المستخدمين الذين يعملون على أجهزة الكمبيوتر الموجودة في قطاع شبكة محمية عند اتصالهم ببوابة تشفير.
  • نقطة المشترك (Continent-AP)ينشئ نفق VPN بين محطة العمل البعيدة للمستخدم والشبكة الداخلية المحمية للمؤسسة. عند الاتصال عبر الشبكات الوصول العامويقوم الإنترنت بمصادقة المستخدم / يدعم تخصيص العنوان الديناميكي / الوصول عن بعدإلى موارد الشبكة المحمية عبر قناة مشفرة / وصول عبر قنوات اتصال مخصصة والطلب الهاتفي / القدرة على الوصول إلى موارد الشبكات العامة.
  • خادم الوصوليوفر الاتصال بين نقطة الوصول البعيدة والشبكة المحمية ، فضلاً عن تحديد مستوى وصول المستخدم ومصادقته.
  • برنامج إدارة خادم الوصول (PU SD)- يوفر إخطارًا سريعًا لمسؤول الشبكة حول أحداث الأمان. مصمم لإدارة إعدادات جميع خوادم الوصول المضمنة في المجمع.
  • كاشف الهجوم "القارة"هو مكون برمجي يوفر تحليلًا لحركة المرور الواردة من بوابة تشفير وتصفية عمليات التطفل غير المصرح بها. يعمل جنبًا إلى جنب مع مركز التحكم لشبكة بوابات التشفير "القارة" الإصدار 3.7 وما بعده.

الشهادات

  • الامتثال لإرشادات FSTEC لروسيا على المستوى الثاني من التحكم لغياب NDV والفئة الثانية من الأمان لجدران الحماية. يمكن استخدامها لخلق أنظمة مؤتمتةحتى فئة الأمان 1 ب شاملة وعند إنشاء أنظمة معلومات البيانات الشخصية حتى الفئة 1 شاملة ؛
  • الامتثال لمتطلبات خدمة الأمن الفيدرالية لروسيا لأجهزة مثل جدار الحماية في فئة الأمان الرابعة ؛
  • الامتثال لمتطلبات خدمة الأمن الفيدرالية لروسيا لوسائل الحماية المشفرة للمعلومات من فئة KS3 وإمكانية استخدامها للحماية المشفرة للمعلومات التي لا تحتوي على معلومات تشكل سرًا للدولة ؛
  • وزارة الاتصالات والاتصالات الجماهيرية في روسيا - بشأن الامتثال للمتطلبات المحددة لمعدات توجيه حزم المعلومات وإمكانية استخدامها على شبكات الاتصالات العامة كأجهزة لتبديل وتوجيه حزم المعلومات.

انظر إلى هذه الفئة من الحلول من زاوية مختلفة قليلاً - من وجهة نظر استخدام التشفير فيها.

نشأ تقليد إضافة وظائف خادم VPN إلى جدار الحماية (FW) منذ وقت طويل وهو ناجح ومنطقي للغاية (يقول البعض FW / VPN) لدرجة أنه من المستحيل العثور على جدار حماية محيط (بوابة) (خاصة في تصميم الأجهزة) بدون دعم VPN بهذه البساطة. من الممكن أن يكونوا كذلك ، لكنني لا أتذكر مثل هذا الشيء فورًا. تصحيح في التعليقات إذا كنت مخطئا.

بطبيعة الحال ، عند إنشاء VPN (شبكات خاصة افتراضية) ، فأنت تريد الحصول على قناة آمنة حقًا ، والتي تتضمن استخدام تشفير قوي (تشفير عالي). وفي روسيا ، كما تعلم ، لا يتم تنظيم مجال التشفير القوي بشكل كبير ، لأن خادم VPN هو في الأساس ليس أكثر من بوابة تشفير.

يمكن القول أن خادم VPN المعتمد وفقًا للقانون الروسي يجب أن يدعم بالضرورة خوارزمية GOST وشهادة FSB ، نظرًا لأن هذه الوكالة هي التي تشرف على مشكلات التشفير معنا.

حتى مع اعتماد FSTEC كجدار ناري في منتجات فئة FW / VPN ، يوصى بتعطيل التشفير القوي ، مع ترك خوارزمية DES بطول مفتاح يبلغ 56 بت. شيء آخر هو أن الجميع لا يفعل ذلك ، وإذا فعلوا ذلك ، فيمكنهم ، كخيار ، بيع (التبرع) مفتاح تنشيط لتشفير قوي عن طريق إرساله ببساطة عن طريق بريد إلكتروني. ومع ذلك ، الآن ليس عن ذلك.

الشهادة في FSB ، بالطبع ، لها شيء مشابه لإجراء مماثل في FSTEC ، لكنها بالتأكيد أكثر تعقيدًا - يمكن تقييم هذا بشكل غير مباشر ، على سبيل المثال ، من خلال حقيقة أن هناك أكثر من 2000 وظيفة في FSB ، وخمس مرات أقل في مماثلة.

إن قائمة الصناديق المعتمدة من قبل FSB ، بالطبع ، ليست مشجعة من حيث تصميمها ، فهي تمثل جدولاً مدرجاً في وثيقة وثيقة. لا تساعد محاولة نسخ هذا الجدول في Excel كثيرًا - يتم دمج بعض الخلايا بشكل عشوائي في مجموعات غريبة ، وبعضها (على سبيل المثال ، الشركة المصنعة واسم المنتج والوصف) ، على العكس من ذلك ، يتم تقسيمها إلى عدد تعسفي من الأسطر من 2 إلى 6 ، تواريخ البدء والانتهاء للشهادة الموجودة في خلايا متجاورة رأسياً (!) ، إلخ. ربما ، يمكنك التعود على العمل مع مثل هذا العرض التقديمي للمعلومات ، ولكن من أجل راحتي ، قمت بعمل القائمة بشكل أكثر إرضاء للعين ونموذج مرشح Excel التلقائي (متاح على هذا الرابط :).

ومع ذلك ، إذا كان لا يزال من الممكن القيام بشيء ما باستخدام النموذج ، فلن يتمكن من فهم المحتوى إلا المتخصص الذي لديه دراية عميقة بالموضوع. لا يوجد تصنيف معين للمنتجات ، وحتى كل مطور يقوم بتسمية المنتج وفقًا لتقديره الخاص. يتم حفظ الأوصاف المتشابهة إلى حد ما للوظائف التي يتم إجراؤها قليلاً ، ولكن لم يكن من الممكن فهمها على الفور.

بعد دراسة متأنية للمنتجات المعروضة في القائمة ، توصلت إلى الافتراض (الذي نأمل أن يكون مبررًا) بأن بوابات التشفير التي نهتم بها اليوم هي تلك المنتجات التي يذكر وصف وظيفتها البروتوكول وحماية التشفير. كان هناك ما يصل إلى 80 شهادة من هذا القبيل ، ولكن في الواقع هناك عدد أقل بكثير من المنتجات ، نظرًا لوجود شهادات منفصلة لإصدارات مختلفة من المنتجات أو حتى وحداتها ، وفي بعض الحالات يتم إصدار شهادة منفصلة برقم منفصل لكل إصدار.

لذلك ، بعد تصفية الصفوف في Excel ، دعنا نرى ما يمكننا استخدامه لتشفير حركة مرور IP.

من بين جدران الحماية المعتمدة من FSTEC التي شوهدت بالفعل في المراجعات ، تحتوي المنتجات التالية على شهادات FSB:


  • ViPNet(مطور InfoTeKS)

  • القارة(مطور Informzaschita ، كود الأمن)

  • CSP VPN(المطور S-Terra CSP)

  • الإخراج(المطور ELVIS-PLUS)

  • StoneGate SSL VPN(المطور New Security Technologies)

  • ديونيس(عامل المطور- TS)

  • ATLIX-VPN(مطور STC Atlas)

  • نفق(المطور AMICON ، InfoCrypt -P PACK يعتمد على FPSU-IP)

بالإضافة إلى ذلك ، هناك نوعان من المنتجات المتخصصة للغاية واثنان (إذا فهمت بشكل صحيح) مزودي التشفير:


  • وحدة PHSM(المطور STC Atlas ،)

  • م -448-1.4ص

  • حاجز IPSec(مطور Validat)

  • CryptoPro CSP / IPSec(المطور CRYPTO-PRO)

كما ترون ، فإن عدد جدران الحماية المعتمدة ليس فقط من قبل FSTEC ، ولكن أيضًا من قبل FSB صغير للغاية - في الواقع ، يمكننا التحدث فقط عن سبعة لاعبين. يسمح مثل هذا العدد الصغير من البائعين للأقوياء أن يشعروا بالأمان نسبيًا ، بينما يشعر الباقون بالراحة في مكانتهم الضيقة. أي تغيير في التوازن القائم ليس جيدًا لأي منهم ، حسنًا ، قادة السوق بالتأكيد.

الملاحظة الثانية التي يمكن إجراؤها هي أن جميع المنتجات تقريبًا من صنع روسي. نعم ، الشركة التي تطور CIPF المعتمد من FSB يمكن أن تكون روسية فقط كيان قانوني، ولكن المنتجات نفسها هي في الغالب منتجات محلية ، وبكل صدق ، تم تطويرها فقط لتلبية متطلبات المنظمين. لم يحقق أي من البائعين المحليين المقدمين مع تطوراتهم أي نجاح جاد خارج روسيا (باستثناء ، بالطبع ، الدول الصديقة المجاورة).

تغير الوضع بشكل خطير في العام الماضي ، عندما وقع حدث هام (لكن ربما لم يكن مهمًا بعد ذلك): تم الانتهاء منه وفقًا لمتطلبات الواقع الروسي. تم تطوير المنتج في البداية للسوق العالمي التجاري المفتوح ، وقد حصل المنتج على شهادة FSB - هل هناك أمثلة أخرى على ذلك في القائمة؟

ولكن ، مع ذلك ، لم تكن بوابة تشفير IPSec كلاسيكية ، ولكنها حل SSL مع جميع الفروق الدقيقة التي لا يزال السوق بحاجة إلى التعود عليها. في نفس الوقت تقريبًا مثل StoneGate SSL ، تم الإعلان عن شهادة StoneGate FW / VPN.

يمكننا أن نخمن ونفترض الصعوبات التي واجهها الفريق المشارك في هذه الشهادة ، ولكن تم التغلب عليها جميعًا بنجاح وفي أكتوبر ، تلقت StoneGate FW / VPN شهادة FSB SF / 124-2027 بتاريخ 04.10.2013 (حتى الآن في القائمة بتاريخ 07.10.2013 مفقود لسبب ما). يمكننا الآن أن نقول بالفعل إن تهديدًا مباشرًا للاعبين الحاليين ظهر في سوق بوابة التشفير. في الوقت نفسه ، إذا تذكرنا أن StoneGate هو منتج ناجح تجاريًا في العالم ، وناجح جدًا لدرجة أن Pi وسعت خط حلول هذا البائع بمحفظة منتجاتها ، عندها يصبح من الواضح أن هذا التهديد أكثر من مجرد خطر قليل .

من الواضح أن هذا السوق خامل إلى حد ما ولا ينبغي للمرء أن يتوقع أي تغييرات حادة غدًا. في النهاية ، هناك قنوات توزيع مبنية ، وقاعدة تثبيت معينة لا يمكنك تحديثها مثل تلك لمرة واحدة ، وبعض العلاقات والاتفاقيات الإنسانية الشخصية ، كالعادة ، ستحدث بالتأكيد. في الوقت نفسه ، يعد هذا الحدث مهمًا بلا شك للسوق بأكمله ، والآن أصبح لدى العملاء الروس ومنفذي المشروع بديل ممتاز لمجموعة الحلول المعتمدة المعتادة لبناء قنوات نقل بيانات مشفرة باستخدام التشفير الروسي.



تحميل...
قمة