Kriptoátjárók és építési módszerek. Orosz és külföldi gyártók kriptográfiai átjáróinak áttekintése Kriptográfiai átjárók

A virtuális magánhálózatok (VPN) építése magában foglalja az illetéktelen hozzáféréstől védett alagutak létrehozását több helyi hálózat vagy távoli kliens között egy másik hálózaton (például az interneten) alacsonyabb bizalommal. A felépített logikai hálózatba vetett bizalom szintje nem függ a mögöttes hálózatokba vetett bizalom szintjétől a kriptográfiai eszközök használatának köszönhetően. Az ilyen alagutak létrehozásához és karbantartásához speciális protokollokra, szoftverekre és hardverekre van szükség. A virtuális magánhálózatok lényegesen olcsóbbak, mint egy globális számítógépes hálózat, mivel nem kell fizetni a helyi hálózatokat összekötő kábelvonalakért.

A VPN-megoldások a következő funkciókat valósítják meg:

  • Titkosítás;
  • a hitelesség megerősítése;
  • azonosítás;
  • forgalomirányítás.

VPN megvalósítási módszerek:

  • Az Intranet VPN arra szolgál, hogy ugyanazon szervezet több elosztott fiókját egyetlen biztonságos hálózattá egyesítse, nyílt kommunikációs csatornákon keresztül cserélve az adatokat.
  • A Remote Access VPN biztonságos csatorna létrehozására szolgál egy vállalati hálózati szegmens (központi iroda vagy fiókiroda) és egyetlen felhasználó között, aki távolról csatlakozik.
  • Az extranet VPN-t olyan hálózatokon használják, amelyekhez külső felhasználók (például ügyfelek vagy ügyfelek) csatlakoznak. A velük szembeni bizalom szintje jóval alacsonyabb, mint a vállalati alkalmazottaké, ezért speciális védelmi intézkedések szükségesek a bizalmas információkhoz való hozzáférés megakadályozása vagy korlátozása érdekében.
  • A kliens/szerver VPN az azonos szegmensben található két vállalati hálózati csomópont közötti adatátvitelre szolgál. Ez az igény akkor merül fel, ha több logikai hálózatot kell létrehozni egy fizikai hálózatban. A forgalom szétválasztása helyett titkosítást alkalmaznak.

Az Altiriks Systems a VPN/crypto gateway piacvezető partnere, és a Stonesoft, Security Code, Infotex, S-Terra és Cisco megoldásait kínálja.

StoneGate SSL VPN- a felhasználók egyszerű és biztonságos távoli hozzáférésének lehetősége a vállalati szolgáltatásokhoz információs források bárhonnan, kliens nélküli SSL VPN technológia alapján. Ideális olyan szervezetek számára, ahol több mobilfelhasználó is több helyről fér hozzá a hálózathoz, ahol a biztonságos kapcsolat és a könnyű hálózati hozzáférés egyaránt fontos. A StoneGate SSL VPN rugalmas és biztonságos hozzáférést biztosít a felhasználóknak - a szervezet alkalmazottainak - a vállalati hálózathoz, amelyet bármilyen internetre csatlakozó eszközről - laptopról, PDA-ról vagy mobiltelefonról - végrehajthatnak. A vállalati alkalmazások magukban foglalhatják az e-mailt, az intranetet és az extranetet, a kliens/szerver alkalmazásokat, az IP-telefonálást, a terminálszolgáltatásokat stb. Főbb jellemzők megoldások: akár 5000 egyidejű kapcsolat támogatása; kapcsolat létrehozása bármely eszközről, függetlenül a kliens berendezés típusától és a hálózathoz való csatlakozás módjától (UMTS, WLAN); több mint 20 hitelesítési módszer előre telepítve az átjáróval ingyenesen, beleértve az egyedi hitelesítési módszereket is mobiltelefon; a kapcsolat minden nyomának automatikus eltávolítása, amikor az véget ér (ideiglenes fájlok, gyorsítótár, letöltött dokumentumok stb.; orosz támogatás kriptográfiai algoritmusok; integráció a Microsoft Active Directoryval és az MS Outlook ActiveSync programmal; kiterjesztett támogatás az egyszeri bejelentkezéshez (SSO)); gyors integráció beléptető rendszerekkel és végalkalmazásokkal; beépített támogatás az Outlook Web Access 2000/2003, Domino Web Access 6.5, Citrix MetaFrame Presentation Server, Terminal Server 2000/2003, MS Outlook Client 2000/2003 stb. programokhoz; távoli szoftverfrissítések lehetősége; központosított irányítás minden eszköz és valós idejű felügyelet; redundancia és klaszterezés lehetősége; fejlett jelszószabályok; munkamenetek kontextus-vezérlése; telepítési rugalmasság és egyszerű adminisztráció. A StoneGate SSL VPN-t az oroszországi FSTEC és az orosz FSB tanúsítja.

Stonesoft FW/VPN- nagy teljesítményű hardver és szoftver család tűzfalak, amelyek egyedi építészeti megoldásokon alapulnak, hogy felülmúlhatatlan védelmet biztosítsanak információs rendszerek. A StoneGate FW/VPN saját integrált biztonsági rendszerét használja operációs rendszer, amely kiküszöböli a speciális konfigurációs műveletek elvégzését, és lehetővé teszi a StoneGate funkcionalitásának növelését csak új komponensek hozzáadásával a működő infrastruktúra megváltoztatása és a munka leállítása nélkül. A legtöbbet a StoneGate FW/VPN használja modern technológiák forgalomelemzés és hibatűrés. A szabadalmaztatott MultiLayer Inspection technológia egyesíti az Application proxy és Stateful Inspection szűrők előnyeit, hogy nagyobb kapcsolatbiztonságot és szűrési rugalmasságot érjen el a teljesítmény jelentős csökkenése nélkül. Ugyanakkor a forgalomszűrés a létrehozott kapcsolatok kontextuskövetésével nem csak az OSI modell 3-4 szintjén lehetséges, hanem az alkalmazás szintjén is. A mai napig több mint 20 alkalmazásprotokoll (H.323, SIP, FTP, HTTP(S), SMTP, IMAP, POP3, SSH, NBT, MSRPC, Sun RPC, Oracle TNS stb.) érhető el ellenőrzésre, amely lehetővé teszi meg kell vizsgálnia az adatfolyamot egy teljes szabályrendszer szerint, beleértve többek között a tartalom- és URL-szűrést, a vírusellenőrzést stb. A StoneGate FW/VPN tűzfalakban megvalósított másik egyedi funkció a szabadalmaztatott MultiLink technológia támogatása, amely lehetővé teszi, hogy magas fok az erőforrások elérhetősége a kommunikációs csatornák közötti dinamikus terheléselosztás használatával. A StoneGate FW/VPN-t az oroszországi FSTEC tanúsította.

APKSh "kontinens"- virtuális magánhálózatok építésére szolgáló eszközcsalád globális hálózatok nyilvános, a TCP / IP család protokolljait használva. Főbb jellemzők: a VPN-felhasználók biztonságos hozzáférése a nyilvános hálózatok erőforrásaihoz; a továbbított adatok kriptográfiai védelme a GOST 28147-89 szerint; tűzfal - a belső hálózati szegmensek védelme az illetéktelen hozzáféréstől; távoli felhasználók biztonságos hozzáférése a VPN hálózati erőforrásokhoz; információs alrendszerek létrehozása fizikai szintű hozzáférés-megosztással; közös kommunikációs csatornák támogatása; magas prioritású forgalommal dolgozni; garantált sávszélesség lefoglalása bizonyos szolgáltatásokhoz; VLAN támogatás; a belső hálózat elrejtése; NAT/PAT technológiák támogatása; a behatolásjelző rendszerekkel való integráció képessége; távoli frissítés szoftver kripto átjárók. Az APKSH "kontinens" rendelkezik az orosz FSTEC és az orosz FSB tanúsítvánnyal.

VIPnet EGYEDI- a legkiterjedtebb vállalati szintű termékcsalád - biztonságos hálózattervező, amely a VPN és PKI szervezési feladatainak teljes körére megoldást kínál. Technikai előnyök: a biztonságos kliens-kliens interakció megszervezésére való összpontosítás (míg a legtöbb más gyártó VPN-megoldása csak szerver-szerver vagy szerver-kliens kapcsolatot biztosít), ami lehetővé teszi a szükséges hozzáférés-szabályozási szabályzat megvalósítását a teljes biztonságos hálózaton belül, valamint csökkenti a VPN-kiszolgálók terhelését, mivel általában az ügyfél-kliens interakció során a VPN-kiszolgáló nem vesz részt az ezen ügyfelek közötti forgalom titkosítási műveleteiben; A ViPNet CUSTOM-ban nagy figyelmet fordítanak a működés problémáinak megoldására különféle eszközök jelenlétében. hálózati berendezések valamint dinamikus vagy statikus cím- és portfordítást (NAT / PAT) megvalósító szoftver, amely nagymértékben megkönnyíti a védelmi rendszer meglévő hálózati infrastruktúrába való integrálásának folyamatát; a legtöbb esetben nincs szükség a ViPNet Client szoftver kézi konfigurálására; A ViPNet CUSTOM a nyílt és a titkosított forgalom külön szűrését valósítja meg, amely lehetővé teszi még a megbízható hálózati csomópontok között is, hogy korlátozza a jogosulatlan portokon, protokollokon keresztül történő munkavégzés lehetőségét, és ezáltal növelje a biztonságos hálózat biztonsági szintjét; minden ViPNet CUSTOM komponens tartalmaz egy beépített tűzfalat és hálózati tevékenység figyelő rendszert az alkalmazásokhoz vagy a ViPNet Client szoftverrel együtt működő munkákhoz, amely lehetővé teszi a tűzfalak és személyes tűzfalak megbízható elosztott rendszerének elérését; Az egyetlen biztonságos hálózatba tartozó helyi hálózatokban előforduló esetleges IP-cím-ütközések megoldására a ViPNet CUSTOM egy fejlett virtuális címrendszert kínál. Sok esetben lehetővé teszi a felhasználói alkalmazásszoftverek konfigurálásának egyszerűsítését, mivel az overlay virtuális hálózat a virtuális címeivel elrejti a hálózat valódi összetett szerkezetét. is válik lehetséges megoldás a helyi hálózatok interakciójának problémái az egymást keresztező IP-címekkel. A ViPNet CUSTOM támogatja az együttműködést, amely lehetővé teszi a szükséges biztonságos kommunikációs csatornák létrehozását tetszőleges számú, ViPNet CUSTOM segítségével épített biztonságos hálózat között. A ViPNet CUSTOM információvédelmet nyújt a modern, több szolgáltatást nyújtó kommunikációs hálózatokban, amelyek IP-telefónia szolgáltatásokat, valamint audio- és videokonferenciákat biztosítanak. Támogatja a forgalom priorizálását és a H.323, Skinny, SIP protokollokat. A ViPNet Coordinator szoftver támogatja a modern többprocesszoros és többmagos szerverplatformokon való működést, amely lehetővé teszi a nagy sebességű forgalom titkosítását. A ViPNet CUSTOM-ot az oroszországi FSTEC és az orosz FSB tanúsítja.

Cisco VPN - egy termékcsalád, amely a Layer 2 és 3 VPN technológiák teljes skáláját kínálja, amelyeket IP és MPLS infrastruktúrákhoz terveztek. A 2. rétegben a Cisco VPN a szolgáltatói csomag-infrastruktúrák megkülönböztetésének kihívásait két különböző 2. rétegbeli alagútkezelési protokoll használatával oldja meg: a Cisco AToM az MPLS magokhoz és a Layer 2 Tunneling Protocol 3. verziója (L2TPv3) az IP magokhoz. Mindkét protokoll nagy sebességű Layer 2 kapcsolatot biztosít bármely két csomópont között, és támogatja a Layer 2 csatlakozási technológiákat (azaz Frame Relay, Ethernet, HDLC és ATM). Ezenkívül a 2. rétegbeli VPN-ek támogatják az új többpontos technológiákat, például a virtuális magánhálózati szolgáltatásokat. A 3. réteghez a Cisco kínálja ezeket VPN technológiák mint a Cisco IPsec, GRE és MPLS/BGP VPN. Ezek a technológiák támogatják az IP-csomagok szállítását a VPN-megoldások részeként egy IP/MPLS gerinchálózaton keresztül. Az IP-rétegen működnek, biztosítva az intelligencia réteget az ügyfélforgalom-kezeléshez és a komplex útválasztáshoz. A Cisco VPN-technológiák a következő előnyöket kínálják az ügyfeleknek: Egy hálózat; bármilyen hozzáférési mód; a szolgáltatások létrehozásához és konfigurálásához szükséges protokollok, platformok és eszközök teljes készletének elérhetősége; alacsonyabb birtoklási költség; rugalmasság, skálázhatóság és a szolgáltatók és a nagyvállalati ügyfelek által igényelt szolgáltatások.

S-Terra CSP VPN- termékcsalád - biztonsági átjárók az egyes felhasználók, szerverek, egyedi hálózatok és speciális eszközök védelmére. Főbb jellemzők: Forgalomvédelem biztosítása a hitelesítés/titkosítás szintjén hálózati csomagok IPsec AH és/vagy IPsec ESP protokollokon keresztül; a forgalom csomagszűrésének biztosítása a hálózati és szállítási szintek fejlécmezőiben található információk felhasználásával; különböző szabályrendszerek a forgalom feldolgozására különféle interfészek; a cserepartnerek elérhetőségének intelligens nyomon követése (DPD); integrált tűzfal; a mobilfelhasználó munkájának támogatása az intranet biztonsági szabályzatának megfelelően (IKECFG szerver); nyilvános kulcsú tanúsítványok beszerzésének képessége az LDAP protokollon keresztül; a valós IP-cím maszkolásának támogatása (forgalmi alagút); menedzselt eseménynaplózás (syslog); globális statisztikák figyelése SNMP protokollon keresztül, kompatibilitás a CiscoWorks VPN Monitorral; a QoS szolgáltatás működésének átláthatósága; az ESP csomagok beágyazásának támogatása UDP-ben (NAT bejárás); kompatibilitás a külföldi és orosz gyártók PKI és LDAP szolgáltatásaival. Az S-Terra CSP VPN-t az oroszországi FSTEC és az orosz FSB tanúsítja.

Az Altiriks Systems szakemberei segítenek kiválasztani és megvalósítani azt a megoldást, amely maximális hatékonysággal és minimális költségekkel birkózik meg a feladatokkal.

Ha többet szeretne kapni részletes információk termékeinkről, megoldásainkról és szolgáltatásainkról írjon nekünk e-mailt a címre [e-mail védett] weboldalon, és munkatársunk legkésőbb 24 órán belül felveszi Önnel a kapcsolatot.

Lehetőségek

A komplexum titkosítási védelmet biztosít a VPN-komponensek között nyílt kommunikációs csatornákon továbbított információk számára (a GOST 28147-89 szerint), amelyek helyiek lehetnek. számítógépes hálózatok, azok szegmensei és az egyes számítógépek.

A modern kulcsséma, amely minden egyes csomag egyedi kulcson való titkosítását valósítja meg, garantált védelmet nyújt az elfogott adatok visszafejtésének lehetőségével szemben.

A nyilvános hálózatok behatolása elleni védelem érdekében a Continent 3.6 komplexum biztosítja a vett és továbbított csomagok szűrését különböző kritériumok szerint (küldő és fogadó címek, protokollok, portszámok, további csomagmezők stb.). Támogatja a VoIP, videokonferencia, ADSL, Dial-Up és műholdas csatornák kommunikáció, NAT/PAT technológia a hálózati struktúra elrejtésére.

Az APKSh "Continent" főbb jellemzői és jellemzői 3.6

Vállalati hálózatok hatékony védelme

  • Biztonságos VPN-hozzáférés a nyilvános hálózati erőforrásokhoz
  • A továbbított adatok kriptográfiai védelme a GOST 28147–89 szerint

Az APKSh "Continent" 3.6 modern kulcssémát használ, amely minden egyes csomagot egyedi kulccsal titkosít. Ez magas fokú adatvédelmet biztosít lehallgatás esetén a visszafejtéssel szemben.

Az adatok titkosítása a GOST 28147-89 szerint történik gamma módban Visszacsatolás. Az adatok torzítás elleni védelmét a GOST 28147–89 szerint a beillesztést imitáló módban hajtják végre.

Ellenőrzés kriptográfiai kulcsok központilag az NCC-től.

  • Tűzfal – belső hálózati szegmensek védelme az illetéktelen hozzáféréstől

A "Continent" 3.6 kriptográfiai átjáró biztosítja a fogadott és továbbított csomagok szűrését különféle kritériumok szerint (feladó és fogadó címek, protokollok, portszámok, további csomagmezők stb.). Ez lehetővé teszi a belső hálózati szegmensek védelmét a nyilvános hálózatok behatolásával szemben.

  • Biztonságos hozzáférés a távoli felhasználók számára a VPN hálózati erőforrásokhoz

A speciális "Continent AP" szoftver, amely az APKSh "Continent" 3.6 része, lehetővé teszi a biztonságos hozzáférés megszervezését távoli számítógépek a vállalati VPN-hez.

  • Információs alrendszerek létrehozása a hozzáférés megosztásával fizikai szinten

Az APKSH "Continent" 3.6-ban 1 külső és 3–9 belső interfészt csatlakoztathat minden titkosítási átjáróhoz. Ez nagymértékben megnöveli a felhasználó lehetőségeit, amikor a hálózatot a vállalati biztonsági szabályzatnak megfelelően konfigurálja. Különösen a több belső interfész jelenléte teszi lehetővé a szintű elkülönítést hálózati kártyák a szervezet részlegeinek alhálózatait, és létrehozzák közöttük a szükséges szintű interakciót.

Főbb jellemzők és képességek

  • A közös kommunikációs csatornák támogatása

Dolgozzon telefonos kapcsolatokon, közvetlenül a kriptoátjáróhoz csatlakoztatott ADSL-berendezéseken, valamint műholdas kommunikációs csatornákon keresztül.

  • "Átláthatóság" minden alkalmazáshoz és hálózati szolgáltatáshoz

A "Continent" 3.6 kriptográfiai átjárók "átláthatóak" minden olyan alkalmazás és hálózati szolgáltatás számára, amely a TCP / IP protokollon keresztül működik, beleértve az olyan multimédiás szolgáltatásokat, mint az IP-telefónia és a videokonferencia.

  • Munkavégzés kiemelt forgalommal

Az APKSh "Continent" 3.6-ban megvalósított forgalom prioritási mechanizmusa lehetővé teszi a hang (VoIP) forgalom és a videokonferenciák védelmét a kommunikáció minőségének romlása nélkül.

  • Garantált sávszélesség lefoglalása bizonyos szolgáltatásokhoz

A garantált sávszélesség lefoglalása bizonyos szolgáltatásokhoz biztosítja az e-mail forgalom, a dokumentumkezelő rendszerek stb. még az IP-telefónia alacsony sebességű kommunikációs csatornákon történő aktív használatával is.

  • VLAN támogatás

A VLAN támogatás garantálja az APKS egyszerű integrálását egy virtuális szegmensekre osztott hálózati infrastruktúrába.

  • A belső hálózat elrejtése. NAT/PAT technológiák támogatása

A NAT / PAT technológia támogatása lehetővé teszi a védett hálózati szegmensek belső szerkezetének elrejtését nyílt forgalom továbbításakor, valamint demilitarizált zónák és védett hálózatok szegmentálását.

A vállalati hálózat védett szegmenseinek belső szerkezetének elrejtése:

    • a továbbított csomagok beágyazásának módja (a forgalom titkosításakor);
    • hálózati címfordítási (NAT) technológia használata nyilvános erőforrásokkal végzett munka során.
  • Behatolásjelző rendszerekkel való integrálhatóság

Mindegyik kriptoátjárón lehetőség van az egyik interfész külön kiosztására, hogy ellenőrizze a KSh-n áthaladó forgalmat jogosulatlan hozzáférési kísérletek szempontjából ( hálózati támadások). Ehhez meg kell határoznia egy ilyen interfészt „SPAN portként”, és csatlakoztatnia kell egy számítógépet, amelyhez telepített behatolásérzékelő rendszer (például RealSecure) van. Ezt követően a crypto-gateway csomagszűrőjének bemenetére érkező összes csomag továbbításra kerül erre az interfészre.

  • Karbantartás és kezelés

Kényelem és egyszerű karbantartás (24*7 felügyelet nélküli üzemmód)

Az APKSh "Continent" 3.6 nem igényel állandó helyi adminisztrációt, és felügyelet nélküli üzemmódban is működhet 24*7x365. A komplexum gyártása során használt ipari számítógépek a hideg-meleg redundancia lehetőségével együtt garantálják a komplexum zavartalan működését.

A komplexum azonnali értesítést biztosít a rendszergazdáknak a szükséges eseményekről műtéti beavatkozás, valós időben.

  • A titkosítási átjárók távoli szoftverfrissítése

A komplexum megoldotta a földrajzilag elosztott rendszerekben a KSh szoftver frissítésének problémáját. A szoftverfrissítés központilag letöltődik a komplexumra, elküldésre kerül a komplexumban található összes kripto-átjáróhoz, és automatikusan telepítésre kerül.

  • Hibatűrés biztosítása

A komplexum hibatűrését a következő intézkedések biztosítják:

    • A kriptográfiai átjárók hardveres redundanciája (nagy hozzáférésű fürt létrehozása). Valamelyik titkosítási átjáró meghibásodása esetén a biztonsági mentésre való váltás automatikusan, rendszergazdai beavatkozás és a létrehozott kapcsolatok megszakítása nélkül történik.
    • Automatikus biztonsági mentés konfigurációs fájlokösszetett. Gyors hálózati helyreállítást biztosít berendezés meghibásodása esetén.
  • Központosított hálózatkezelés

A központosított hálózatkezelés az NCC és egy olyan felügyeleti program segítségével valósul meg, amely lehetővé teszi a hálózat összes kriptoátjárójának beállítását online, és online nyomon követheti aktuális állapotukat.

Az adminisztrátor munkahelyén lévő összes eszköz állapotának valós idejű megjelenítése lehetővé teszi a normál működési folyamattól való eltérések időben történő észlelését és azokra való gyors reagálást.

  • Szerepvezetés - hatáskörök szétválasztása a komplexum adminisztrációjához

Megvalósult a hatáskörök szétválasztásának lehetősége a komplexum adminisztrációjához, például a kulcsfontosságú információk kezeléséhez, a védett erőforrásokhoz való hozzáférési jogok hozzárendeléséhez, az új komponensek hozzáadásához, a felhasználói műveletek ellenőrzéséhez (beleértve a többi rendszergazdát is).

  • Interakció a hálózatkezelő rendszerekkel

Lehetővé teszi az APKSh "Continent" 3.6 állapotának szabályozását a globális hálózatkezelő rendszerek (Hewlett-Packard, Cisco stb.) SNMPv2 protokolljával.

Kriptoátjárók (VPN-átjárók, VPN-útválasztók vagy kripto-útválasztók) ellátja a felhasználói adatok titkosságát biztosító funkciókat azok titkosításával, valamint a felhasználói üzenetek sértetlenségének felügyeletét a GSPD-ből való kilépéskor üzenethitelesítők segítségével. A VPN vezérlőközpont látja el a titkosítási átjárók működésének felügyeletét és kezelését, valamint felelős a kriptográfiai kulcsok elosztásáért is. A VPN tartalmazhat egyéni felhasználói munkaállomásokat, LAN-okat és egyéb AS-eket.

Jelenleg négy módszer létezik a VPN titkosítási átjárók létrehozására:

Hálózati operációs rendszereken alapul, beépített VPN-szervezési funkciókkal;

Útválasztókon / switcheken alapul, amelyek szoftvere VPN felépítésére szolgál;

Az ME alapján, amelynek szoftverébe a VPS felépítéséhez szükséges funkciókat integrálták;

Speciális szoftveren és hardveren alapul, amelyet csak VPN felépítésére terveztek.

A VPN részeként általában minden adatot ún "alagutak", amely egy virtuális kapcsolat két VPN titkosítási átjáró között. Az üzenetek VPN-alagúton való átadásának algoritmusa a következő. Mielőtt a felhasználói üzeneteket az alagúton keresztül elküldené, a kripto-átjáró titkosítja azokat, hitelesítőt számít ki számukra, majd az üzeneteket új üzenetekké kapszulázzák (újracsomagolják), amelyeket az alagúton keresztül továbbítanak. Ugyanakkor a generált üzenet "Címzett címe" fejlécében a titkosítási átjáró címe van feltüntetve, nem pedig annak a felhasználónak az AS címe, akinek az üzenetet ténylegesen szánják, ami lehetővé teszi az elrejtést. a kapcsolódási alanyok valódi címei. Az alagút másik végén lévő üzenetek elküldése után a kriptoátjáró kibontja a kapott adatokat, visszafejti azokat, ellenőrzi azok integritását, majd az adatokat továbbítja a címzettekhez. Ezt a fajta üzenettovábbítást ún "alagút". A felhasználói üzenet alagútkezelési sémája az 1. ábrán látható. 19.2.

19.2. ábra – A felhasználói üzenetek alagútkezelési sémája

A VPN titkosítási átjárók közötti interakciót speciális típusú protokollok, az úgynevezett kriptoprotokollok segítségével valósítják meg. A kriptoprotokollok az OSI modell különböző szintjein implementálhatók (19.1. táblázat).

19.1. táblázat. Az OSI modell különböző szintjeinek kriptoprotokolljai

Jelenleg a titkosítási protokollt leggyakrabban VPN felépítésére használják. IPSec , amelynek specifikációja része az IP protokoll hatodik verziójának alapszabványának, amelyen keresztül a TCP / IP protokollverem internetworking rétegének funkciói valósulnak meg.

APKSh "kontinens"IPC-25 kompakt titkosítási átjáró kis irodák számára. APKSh "kontinens" egy hatékony és rugalmas virtuális magánhálózati eszköz, amely lehetővé teszi bármilyen architektúra VPN létrehozását. Biztosítja a nyílt kommunikációs csatornákon keresztül továbbított információk kriptográfiai védelmét (a GOST 28147-89 szerint) VPN-komponensek (helyi hálózatok, szegmenseik és egyes számítógépek) között. egyedi kulcsokkal titkosítja az egyes adatcsomagokat, ami védelmet garantál az elfogott adatok visszafejtése ellen. Az illetéktelen hozzáférés elleni védelem érdekében forgalomszűrő rendszert biztosítunk. Támogatja a VoIP, videokonferencia, GPRS, 3G, LTE, ADSL, Dial-Up és műholdas kommunikációs csatornákat, NAT/PAT technológiát a hálózati struktúra elrejtéséhez.

Az APKSh "Continent" a következő tipikus feladatok megoldására szolgál:

  • Hálózatvédelem a kerület körül
  • Lehetővé teszi a szervezet földrajzilag elosztott ágainak egyetlen biztonságos hálózatba való egyesítését.
  • Védelmet nyújt az alkalmazottak távoli hozzáféréséhez a vállalati hálózathoz.

Gyártó: "Biztonsági kód" LLC

180 000,00 RUB

A fiók automatikusan létrejön. Adja meg a fizető "jogi személy" típusát, és adja meg az adatokat.

Verzió összehasonlítás

APKSh "kontinens" - IPC-25APKSh "kontinens" - IPC-100APKSh "kontinens" - IPC-400APKSh "kontinens" - IPC-1000
Ár180 000 R
megvesz		270 000 R
megvesz		665 000 R
megvesz		1 021 000 R
megvesz
VPN teljesítmény (titkosítás + tűzfalszűrés)akár 50 Mbpsakár 300 Mbpsakár 500 Mbpsakár 950 Mbps
ME teljesítmény (nyílt forgalom)akár 100 Mbpsakár 400 Mbpsakár 1 Gbpsakár 1 Gbps
A feldolgozandó egyidejű TCP-munkamenetek maximális száma (state-state)10000 250000 350000 1000000
Biztonságos kapcsolatok száma (VPN-alagutak)25 nincs korlátozvanincs korlátozvanincs korlátozva

Hardver konfiguráció:

Forma tényező

Mini-ITX, 1U magasság

Méretek (MaxSzxM)

155 x 275 x 45 mm

CPU

Intel Atom C2358 1743 MHz

RAM

SODIMM DDR3 DRAM, 2 GB, PC-1333

Hálózati interfészek

4x 1000BASE-T Ethernet 10/100/1000 RJ45 (könnyen cserélhető modulként)

Merevlemezek

SATA DOM modul 4Gb

tápegység

külső adapter váltakozó áram 19V, 220V 80W

Olvasó

érintés memória

Személyes azonosítók

Érintse meg a Memória iButton DS1992L 2 elemet PC.

Beépített APMDZ modul

PAK Sobol 3.0 (mini-PCIe)

pendrive

legalább 512 MB

Akusztikus zajszint 100%-os terhelésnél (ISO7779 mérési módszer)

Beágyazott operációs rendszer

A Continent OS egy fokozott biztonságú operációs rendszer, amely a FreeBSD kernelen alapul.

Az APKSh "Continent" 3.9 a következőket tartalmazza:

  • Cryptographic Gateway Network Control Center (NCC)– elvégzi a KSh és vezérlő munkaállomások hitelesítését / a KSh hálózat állapotának figyelését és naplózását / naplók és KSh konfigurációk tárolását / kulcs- és konfigurációs információk elosztását / kriptográfiai kulcsok központosított kezelését / interakciót a vezérlőprogrammal.
  • Kriptoátjáró (KSh) egy speciális hardver és szoftver eszköz, amely IP-csomagokat fogad és továbbít TCP / IP protokollok (statikus útválasztás) / csomagtitkosítás (GOST 28147–89, visszacsatoló gamma mód, kulcshossz 256 bit) / a továbbított adatok torzítás elleni védelme (GOST 28147) használatával. –89, szimulált beillesztési mód) / csomagszűrés / hálózati struktúra elrejtése / esemény regisztráció / NCC értesítés a tevékenységéről és beavatkozást igénylő eseményekről / KS szoftver integritás ellenőrzése.
  • Vezérlőprogram NCC (PU NCC)– fő funkciója a beállítások központosított kezelése és a komplexumban található összes KSh állapotának operatív ellenőrzése. Biztonságos hálózatba telepítve egy MS Windows 2003/2008/7/8 rendszert futtató rendszergazdai munkaállomásra.
  • TsUS és SD ügynök biztonságos kapcsolatot létesít és adatcserét folytat az NCC-vel és a PU-val /fogad az NCC-től, tárolja és továbbítja a naplók tartalmát a PU-nak/fogad az NCC-től és továbbítja a PU-nak a komplex működéséről szóló információkat.
  • Felhasználó hitelesítési kliens- biztosítja a védett hálózati szegmensben található számítógépeken dolgozó felhasználók hitelesítését, amikor kriptográfiai átjáróhoz csatlakoznak.
  • Előfizetői pont (kontinens-AP) VPN alagutat hoz létre a felhasználó távoli munkaállomása és a szervezet belső védett hálózata között. Ha hálózaton keresztül csatlakozik nyilvános hozzáférésés az internet felhasználó hitelesítést végez / támogatja a dinamikus címkiosztást / távoli hozzáférés a védett hálózat erőforrásaihoz titkosított csatornán keresztül / hozzáférés dedikált és betárcsázós kommunikációs csatornákon / nyilvános hálózatok erőforrásaihoz való hozzáférés lehetősége.
  • Access Server kommunikációt biztosít a távoli AP és a védett hálózat között, valamint meghatározza a felhasználó hozzáférési szintjét és annak hitelesítését.
  • Access Server Management Program (PU SD)– azonnali értesítést küld a hálózati rendszergazdának a biztonsági eseményekről. A komplexumban található összes hozzáférési szerver beállításainak kezelésére tervezték.
  • Támadásérzékelő "kontinens" egy szoftverkomponens, amely elemzi a titkosító átjáróból érkező forgalmat, és kiszűri a jogosulatlan behatolásokat. A Control Centerrel együtt működik a "Continent" kriptográfiai átjárók hálózatának 3.7-es és újabb verzióihoz.

Tanúsítványok

  • az oroszországi FSTEC irányelveinek való megfelelés az NDV hiányának ellenőrzésére vonatkozó 2. szintre és a tűzfalak 2. biztonsági osztályára vonatkozóan. Alkotáshoz használható automatizált rendszerek 1B biztonsági osztályig (beleértve) és személyes adatok információs rendszereinek létrehozásakor 1 osztályig (beleértve);
  • az Oroszországi Szövetségi Biztonsági Szolgálat követelményeinek való megfelelés olyan eszközökre vonatkozóan, mint például a 4. biztonsági osztályba tartozó tűzfal;
  • az Oroszországi Szövetségi Biztonsági Szolgálat követelményeinek betartása a KS3 osztályba tartozó információk kriptográfiai védelmére, valamint az államtitkot képező információt nem tartalmazó információk kriptográfiai védelmére való felhasználásának lehetősége;
  • Az oroszországi távközlési és tömegkommunikációs minisztérium - az információs csomag-útválasztó berendezésekre vonatkozó megállapított követelmények betartásáról és a nyilvános kommunikációs hálózatokon való felhasználásának lehetőségéről az információs csomagok kapcsolási és útválasztási berendezéseként.

Nézze meg ezt a megoldási osztályt egy kicsit más szemszögből - a kriptográfia használatának szempontjából.

A VPN-kiszolgáló funkcionalitásának a tűzfalhoz (FW) való hozzáadásának hagyománya meglehetősen régen alakult ki, és annyira sikeres és logikus (egyesek szerint FW / VPN), hogy lehetetlen peremköri (átjáró) tűzfalat találni (főleg hardvertervezés) VPN-támogatás nélkül olyan egyszerű. Lehetséges, hogy vannak, de nem emlékszem ilyesmire azonnal. Javítsatok ki kommentben, ha tévednék.

Természetesen a VPN (virtuális magánhálózatok) felépítésekor egy igazán biztonságos csatornát szeretne kapni, amely erős kriptográfia (magas titkosítás) alkalmazását foglalja magában. És Oroszországban, mint tudják, az erős kriptográfia területe nem kevésbé szigorúan szabályozott, mivel a VPN-szerver lényegében nem más, mint egy titkosítási átjáró.

Vitatható, hogy az orosz törvények szerint tanúsított VPN-kiszolgálónak feltétlenül támogatnia kell a GOST algoritmust és az FSB-tanúsítványt, mivel ez az ügynökség felügyeli velünk a titkosítási problémákat.

Még az FW/VPN osztályú termékek tűzfalaként működő FSTEC tanúsítvánnyal is javasolt az erős kriptográfia letiltása, így csak a DES algoritmus marad meg 56 bites kulcshosszal. A másik dolog az, hogy nem mindenki csinálja ezt, és ha igen, akkor lehetőségként eladhat (adományozhat) egy aktiváló kulcsot az erős kriptográfiához, egyszerűen elküldve email. Most azonban nem erről van szó.

Az FSB-ben történő tanúsítás természetesen hasonló az FSTEC-hez hasonló eljáráshoz, de mindenképpen sokkal bonyolultabb - ezt közvetve például úgy lehet értékelni, hogy az FSB-ben több mint 2000 pozíció van, hasonlóban pedig ötször kevesebbet.

Az FSB által hitelesített alapok listája természetesen nem biztató a kialakítását tekintve, egy doc dokumentumba illesztett táblázatot képvisel. A táblázat Excelbe másolására tett kísérlet nem sokat segít - néhány cellát véletlenszerűen furcsa csoportokba egyesítenek, míg néhányat (például gyártó, termék neve és leírása) éppen ellenkezőleg, tetszőleges számú sorra osztanak 2-től. 6-ig, a függőlegesen szomszédos (!) cellákban található tanúsítvány kezdő és befejező dátuma stb. Valószínűleg meg lehet szokni az ilyen jellegű információ-megjelenítést, de a kényelem kedvéért elkészítettem a Listát egy szemnek tetsző és automatikus Excel szűrő formában (erről a linkről érhető el:).

Ha azonban a formával mégis lehet valamit kezdeni, akkor csak a témában mélyen jártas szakember értheti meg a tartalmat. A termékeknek nincs különösebb besorolása, sőt minden fejlesztő saját belátása szerint nevezi el a terméket. Az elvégzett funkciók többé-kevésbé hasonló leírása spórol egy kicsit, de nem lehetett azonnal megérteni őket.

A Listában bemutatott termékek átgondolt tanulmányozása után arra a (remélhetőleg jogos) feltevésre jutottam, hogy a mai kriptoátjárók azok a termékek, amelyek funkcióleírása említést tesz a protokollról és a kriptográfiai védelemről. Akár 80 ilyen tanúsítvány is volt, de a valóságban jóval kevesebb a termék, hiszen a termékek különböző verzióihoz, vagy akár moduljaihoz külön tanúsítvány létezik, és esetenként mindegyik verzióhoz külön-külön számmal külön tanúsítványt adnak ki.

Tehát, miután kiszűrtük a sorokat az Excelben, nézzük meg, mivel tudjuk titkosítani az IP-forgalmat.

A felülvizsgálatokban már látható FSTEC-tanúsítvánnyal rendelkező tűzfalak közül a következő termékek rendelkeznek FSB tanúsítvánnyal:


  • VIPNet(InfoTeKS fejlesztő)

  • Kontinens(Informzaschita, Biztonsági kód fejlesztője)

  • CSP VPN(fejlesztő S-Terra CSP)

  • ELŐŐRS(fejlesztő ELVIS-PLUS)

  • StoneGate SSL VPN(Új biztonsági technológiák fejlesztője)

  • Dionis(Fejlesztői Factor-TS)

  • ATLIX-VPN(az STC Atlas fejlesztője)

  • Alagút(fejlesztő AMICON, InfoCrypt -P PACK alapú FPSU-IP)

Ezen kívül van még két rendkívül speciális termék és két (ha jól értem) kriptográfiai szolgáltató:


  • PHSM modul(fejlesztő STC Atlas, )

  • M-448-1.4 P

  • IPSec akadály(Validat fejlesztője)

  • CryptoPro CSP/IPSec(fejlesztő CRYPTO-PRO)

Mint látható, nem csak az FSTEC, hanem az FSB által hitelesített tűzfalak száma is rendkívül csekély – valójában mindössze hét játékosról beszélhetünk. Az eladók ilyen kis száma lehetővé teszi, hogy az erősek viszonylag biztonságban érezzék magukat, míg a többiek meglehetősen jól érzik magukat szűk résükben. A kialakult egyensúly változása egyiküknek sem tesz jót, hát a piacvezetőknek az biztos.

A második megfigyelhető, hogy szinte minden termék eredetileg orosz gyártású. Igen, az FSB-tanúsítvánnyal rendelkező CIPF-et fejlesztő cég csak orosz lehet jogalany, de maguk a termékek többnyire hazai termékek, őszintén szólva, kizárólag a szabályozók követelményeinek való megfelelésre fejlesztették ki. A bemutatott hazai gyártók egyike sem ért el fejlesztéseivel komolyabb sikereket Oroszországon kívül (természetesen a szomszédos baráti államok kivételével).

A helyzet tavaly jelentősen megváltozott, amikor egy jelentős P (de talán akkor még nem annyira jelentős) esemény történt: az orosz valóság követelményei szerint véglegesítve. A kezdetben a nyílt kereskedelmi világpiacra fejlesztett termék megkapta az FSB tanúsítványt – van erre más példa a Listában?

De ennek ellenére nem egy klasszikus IPSec kriptoátjáróról volt szó, hanem egy SSL-megoldásról, minden ebből következő árnyalattal, amit a piacnak még meg kell szoknia. A StoneGate SSL-lel nagyjából egy időben jelentették be a StoneGate FW/VPN tanúsítványt.

Lehet találgatni és feltételezni, hogy milyen nehézségekkel kellett szembenéznie a tanúsításban részt vevő csapatnak, de mindegyiket sikeresen leküzdöttük, és októberben a StoneGate FW / VPN megkapta az FSB SF / 124-2027 2013.10.04-i keltezésű tanúsítványt (eddig a Listában). 2013. 10. 07-i keltezés valamilyen okból hiányzik). Most már kijelenthetjük, hogy a kripto-átjárók piacán megjelent egy közvetlen veszély a meglévő játékosokra. Ugyanakkor, ha emlékszünk arra, hogy a StoneGate egy kereskedelmileg sikeres termék a világon, olyan sikeres, hogy a Pi termékportfóliójával bővítette ennek a gyártónak a megoldásait, akkor világossá válik, hogy ez a fenyegetés több, mint egy kicsit veszélyes. .

Nyilvánvaló, hogy ez a piac meglehetősen inert, és holnap nem kell éles változásokra számítani. A végén kiépülnek a terjesztési csatornák, egy bizonyos telepítési bázis, amit nem lehet csak úgy egyszer frissíteni, és bizonyos személyes emberi kapcsolatok, megállapodások, mint általában, természetesen létrejönnek. Ugyanakkor ez az esemény kétségtelenül fontos az egész piac számára, és most az orosz ügyfelek és projektmegvalósítók kiváló alternatívát kínálnak a titkosított adatátviteli csatornák orosz kriptográfiával történő kiépítéséhez a szokásos tanúsított megoldásokkal szemben.



Betöltés...
Top