Krypto brány a spôsoby ich konštrukcie. Prehľad kryptografických brán ruských a zahraničných výrobcov Kryptografické brány

Budovanie virtuálnych privátnych sietí (VPN) zahŕňa vytváranie tunelov chránených pred neoprávneným prístupom medzi niekoľkými lokálnymi sieťami alebo vzdialenými klientmi cez inú sieť s nižšou úrovňou dôveryhodnosti (napríklad internet). Úroveň dôvery vo vybudovanú logickú sieť nezávisí od úrovne dôvery v základné siete v dôsledku použitia kryptografických nástrojov. Na vytvorenie a údržbu takýchto tunelov sú potrebné špeciálne protokoly, softvér a hardvér. Virtuálne privátne siete sú podstatne lacnejšie ako globálna počítačová sieť, keďže nie je potrebné platiť za káblové vedenia spájajúce lokálne siete.

Riešenia VPN implementujú nasledujúce funkcie:

  • šifrovanie;
  • potvrdenie pravosti;
  • identifikácia;
  • riadenie dopravy.

Metódy implementácie VPN:

  • Intranet VPN sa používa na spojenie niekoľkých distribuovaných pobočiek tej istej organizácie do jednej zabezpečenej siete, ktorá si vymieňa údaje prostredníctvom otvorených komunikačných kanálov.
  • Remote Access VPN sa používa na vytvorenie zabezpečeného kanála medzi segmentom podnikovej siete (centrálna kancelária alebo pobočka) a jedným používateľom, ktorý sa pripája na diaľku.
  • Extranet VPN sa používa v sieťach, ku ktorým sa pripájajú externí používatelia (napríklad zákazníci alebo klienti). Úroveň dôvery v nich je oveľa nižšia ako u zamestnancov spoločnosti, preto sú potrebné osobitné ochranné opatrenia na zabránenie alebo obmedzenie prístupu k dôverným informáciám.
  • Klient/server VPN sa používa pri prenose údajov medzi dvoma uzlami podnikovej siete umiestnenými v rovnakom segmente. Táto potreba vzniká, keď je potrebné vytvoriť niekoľko logických sietí v jednej fyzickej sieti. Namiesto oddelenia prevádzky sa používa šifrovanie.

Altiriks Systems je partnerom lídrov na trhu VPN/crypto brán a ponúka riešenia od Stonesoft, Security Code, Infotex, S-Terra a Cisco.

StoneGate SSL VPN- možnosť jednoduchého a bezpečného vzdialeného prístupu užívateľov k firemným informačné zdroje odkiaľkoľvek na základe technológie SSL VPN bez klienta. Je ideálny pre organizácie s viacerými mobilnými používateľmi pristupujúcimi k sieti z viacerých miest, kde je rovnako dôležité bezpečné pripojenie a jednoduchý prístup k sieti. StoneGate SSL VPN poskytuje používateľom – zamestnancom organizácie flexibilný a bezpečný prístup do firemnej siete, ktorý môžu vykonávať z akéhokoľvek zariadenia pripojeného na internet – notebookov, PDA alebo mobilných telefónov. Podnikové aplikácie môžu zahŕňať e-mail, intranet a extranet, aplikácie klient/server, IP telefóniu, terminálové služby a ďalšie. Kľúčové vlastnosti riešenia: podpora až 5000 súčasných pripojení; nadviazanie spojenia z akéhokoľvek zariadenia bez ohľadu na typ klientskeho zariadenia a spôsob pripojenia k sieti (UMTS, WLAN); s bránou je bezplatne predinštalovaných viac ako 20 metód autentifikácie, vrátane použitia jedinečných metód autentifikácie mobilný telefón; automatické odstránenie všetkých stôp po pripojení (dočasné súbory, vyrovnávacia pamäť, stiahnuté dokumenty atď.; podpora ruštiny kryptografické algoritmy; integrácia s Microsoft Active Directory a MS Outlook ActiveSync; rozšírená podpora pre jednotné prihlásenie (SSO)); rýchla integrácia so systémami kontroly prístupu a koncovými aplikáciami; vstavaná podpora pre Outlook Web Access 2000/2003, Domino Web Access 6.5, Citrix MetaFrame Presentation Server, Terminal Server 2000/2003, MS Outlook Client 2000/2003 atď.; možnosť vzdialených aktualizácií softvéru; centralizované riadenie všetky zariadenia a monitorovanie v reálnom čase; možnosť redundancie a zoskupovania; pokročilé zásady hesiel; kontextová kontrola relácií; flexibilita inštalácie a jednoduchá správa. StoneGate SSL VPN je certifikovaný FSTEC Ruska a FSB Ruska.

Stonesoft FW/VPN- rodina vysokovýkonného hardvéru a softvéru firewally, ktoré sú založené na unikátnych architektonických riešeniach poskytujúcich neprekonateľnú úroveň ochrany informačné systémy. StoneGate FW/VPN používa svoj vlastný integrovaný zabezpečený operačný systém, čo eliminuje potrebu vykonávať akékoľvek špecializované konfiguračné operácie a tiež umožňuje zvýšiť funkčnosť StoneGate iba pridaním nových komponentov bez zmeny pracovnej infraštruktúry a bez zastavenia práce. StoneGate FW/VPN využíva najviac moderné technológie analýza premávky a odolnosť voči poruchám. Patentovaná technológia MultiLayer Inspection kombinuje výhody aplikačného proxy a filtrov Stateful Inspection na dosiahnutie vyššej bezpečnosti pripojenia a flexibility filtrovania bez akéhokoľvek výrazného zníženia výkonu. Zároveň je možné filtrovanie prevádzky s kontextovým sledovaním vytvorených spojení nielen na 3-4 úrovniach modelu OSI, ale aj na aplikačnej úrovni. K dnešnému dňu je k dispozícii na kontrolu viac ako 20 aplikačných protokolov (H.323, SIP, FTP, HTTP(S), SMTP, IMAP, POP3, SSH, NBT, MSRPC, Sun RPC, Oracle TNS atď.), čo umožňuje môžete skontrolovať stream podľa úplného súboru pravidiel vrátane okrem iného filtrovania obsahu a adries URL, antivírusovej kontroly atď. Ďalšou unikátnou funkciou implementovanou v StoneGate FW/VPN firewalloch je podpora patentovanej technológie MultiLink, ktorá vám umožňuje poskytovať vysoký stupeň dostupnosť zdrojov pomocou dynamického vyrovnávania záťaže naprieč komunikačnými kanálmi. StoneGate FW/VPN je certifikovaný FSTEC Ruska.

APKSh "kontinent"- rodina nástrojov na budovanie virtuálnych privátnych sietí na báze globálne siete verejné pomocou protokolov rodiny TCP / IP. Hlavné vlastnosti: bezpečný prístup používateľov VPN k zdrojom verejných sietí; kryptografická ochrana prenášaných údajov v súlade s GOST 28147-89; firewall - ochrana vnútorných segmentov siete pred neoprávneným prístupom; bezpečný prístup vzdialených používateľov k sieťovým zdrojom VPN; vytváranie informačných subsystémov so zdieľaním prístupu na fyzickej úrovni; podpora spoločných komunikačných kanálov; pracovať s premávkou s vysokou prioritou; rezervácia garantovanej šírky pásma pre určité služby; podpora VLAN; skrytie vnútornej siete; podpora technológií NAT/PAT; schopnosť integrovať sa so systémami detekcie narušenia; vzdialená aktualizácia softvér kryptobrány. APKSH "Kontinent" má certifikáty FSTEC Ruska a FSB Ruska.

VIPNet VLASTNÉ- najrozsiahlejšia produktová rada na podnikovej úrovni - bezpečný sieťový dizajnér, ktorý ponúka riešenie pre celý rad úloh pre organizáciu VPN a PKI. Technické výhody: zameranie sa na organizáciu bezpečnej interakcie klient-klient (zatiaľ čo väčšina riešení VPN od iných výrobcov poskytuje iba spojenie server-server alebo server-klient), čo umožňuje implementovať akúkoľvek potrebnú politiku riadenia prístupu v rámci celej zabezpečenej siete, ako aj znížiť zaťaženie serverov VPN, pretože vo všeobecnom prípade počas interakcie klient-klient nie je server VPN zapojený do operácií šifrovania prevádzky medzi týmito klientmi; Veľká pozornosť vo ViPNet CUSTOM sa venuje riešeniu problému fungovania v prítomnosti rôznych sieťové vybavenie a softvér, ktorý implementuje dynamický alebo statický preklad adries a portov (NAT / PAT), čo výrazne uľahčuje proces integrácie ochranného systému do existujúcej sieťovej infraštruktúry; vo väčšine prípadov nie je potrebná manuálna konfigurácia softvéru ViPNet Client; ViPNet CUSTOM implementuje oddelené filtrovanie otvorenej a šifrovanej prevádzky, čo umožňuje aj medzi dôveryhodnými sieťovými uzlami obmedziť schopnosť pracovať cez neautorizované porty, protokoly a tým zvýšiť úroveň zabezpečenia zabezpečenej siete; každý komponent ViPNet CUSTOM obsahuje vstavaný firewall a systém monitorovania sieťovej aktivity pre aplikácie alebo funguje v spojení so softvérom ViPNet Client, ktorý vám umožňuje získať spoľahlivý distribuovaný systém firewallov a osobných firewallov; Na vyriešenie možných konfliktov IP adries v lokálnych sieťach zahrnutých do jednej zabezpečenej siete ponúka ViPNet CUSTOM pokročilý systém virtuálnych adries. V mnohých prípadoch vám umožňuje zjednodušiť konfiguráciu používateľského aplikačného softvéru, keďže prekryvná virtuálna sieť so svojimi virtuálnymi adresami skrýva skutočnú komplexnú štruktúru siete. sa tiež stáva možné riešenie problémy interakcie lokálnych sietí s pretínajúcim sa IP adresovaním. ViPNet CUSTOM podporuje vzájomnú spoluprácu, ktorá vám umožňuje vytvoriť potrebné bezpečné komunikačné kanály medzi ľubovoľným počtom zabezpečených sietí vytvorených pomocou ViPNet CUSTOM. ViPNet CUSTOM poskytuje ochranu informácií v moderných multi-servisných komunikačných sieťach, ktoré poskytujú služby IP telefónie a audio a video konferencie. Podporuje prioritizáciu prevádzky a protokoly H.323, Skinny, SIP. Softvér ViPNet Coordinator podporuje prevádzku na moderných multiprocesorových a viacjadrových serverových platformách, čo umožňuje poskytovať vysokorýchlostné šifrovanie prevádzky. ViPNet CUSTOM je certifikovaný FSTEC Ruska a FSB Ruska.

Cisco VPN - rodina produktov, ktoré ponúkajú celý rad technológií VPN na 2. a 3. vrstve navrhnutých pre infraštruktúry IP a MPLS. Na vrstve 2 rieši Cisco VPN výzvy diferenciácie paketových infraštruktúr poskytovateľov služieb pomocou dvoch rôznych tunelovacích protokolov vrstvy 2: Cisco AToM pre jadrá MPLS a protokol Layer 2 Tunneling Protocol verzie 3 (L2TPv3) pre jadrá IP. Oba tieto protokoly poskytujú vysokorýchlostné pripojenia vrstvy 2 medzi ľubovoľnými dvoma uzlami a podporujú technológie pripojenia vrstvy 2 (tj Frame Relay, Ethernet, HDLC a ATM). Okrem toho siete VPN vrstvy 2 podporujú nové viacbodové technológie, ako sú služby Virtual Private LAN. Pre vrstvu 3 ich ponúka Cisco technológie VPN ako Cisco IPsec, GRE a MPLS/BGP VPN. Tieto technológie podporujú prenos IP paketov ako súčasť riešenia VPN cez IP/MPLS chrbticu. Fungujú na vrstve IP a poskytujú spravodajskú vrstvu pre riadenie prevádzky zákazníkov a komplexné smerovanie. Technológie Cisco VPN ponúkajú zákazníkom nasledujúce výhody: Jedna sieť; akékoľvek prostriedky prístupu; dostupnosť úplného súboru protokolov, platforiem a nástrojov na vytváranie a konfiguráciu služieb; nižšie náklady na vlastníctvo; flexibilitu, škálovateľnosť a služby požadované poskytovateľmi aj veľkými firemnými zákazníkmi.

S-Terra CSP VPN- rodina produktov - bezpečnostné brány na ochranu jednotlivých používateľov, serverov, jednotlivých sietí a špecializovaných zariadení. Hlavné vlastnosti: Zabezpečenie ochrany prevádzky na úrovni autentifikácie/šifrovania sieťové pakety cez protokoly IPsec AH a/alebo IPsec ESP; Poskytovanie paketového filtrovania prevádzky pomocou informácií v poliach hlavičiek siete a prenosových úrovní; rôzne súbory pravidiel pre spracovanie prevádzky na rôzne rozhrania; inteligentné sledovanie dostupnosti výmenných partnerov (DPD); integrovaný firewall; podpora práce mobilného užívateľa v súlade s bezpečnostnou politikou intranetu (server IKECFG); možnosť získať certifikáty verejného kľúča prostredníctvom protokolu LDAP; podpora maskovania skutočnej IP adresy (tunelovanie prevádzky); spravované protokolovanie udalostí (syslog); sledovanie globálnych štatistík cez SNMP protokol, kompatibilita s CiscoWorks VPN Monitor; transparentnosť prevádzky služby QoS; podpora zapuzdrenia paketov ESP v UDP (NAT traversal); kompatibilita so službami PKI a LDAP zahraničných a ruských výrobcov. S-Terra CSP VPN je certifikovaná FSTEC Ruska a FSB Ruska.

Odborníci spoločnosti Altiriks Systems vám pomôžu vybrať a implementovať riešenie, ktoré zvládne úlohy s maximálnou efektivitou a minimálnymi nákladmi.

Ak chcete získať viac detailné informácie o našich produktoch, riešeniach a službách nám napíšte e-mail na [chránený e-mailom] webovej stránke a náš pracovník vás bude kontaktovať najneskôr do 24 hodín.

možnosti

Komplex poskytuje kryptografickú ochranu informácií (v súlade s GOST 28147-89) prenášaných cez otvorené komunikačné kanály medzi komponentmi VPN, ktoré môžu byť lokálne počítačové siete, ich segmenty a jednotlivé počítače.

Moderná kľúčová schéma, implementujúca šifrovanie každého paketu na jedinečnom kľúči, poskytuje zaručenú ochranu pred možnosťou dešifrovania zachytených dát.

Na ochranu pred prienikom z verejných sietí poskytuje komplex Continent 3.6 filtrovanie prijatých a prenášaných paketov podľa rôznych kritérií (adresy odosielateľa a príjemcu, protokoly, čísla portov, doplnkové polia paketov atď.). Poskytuje podporu pre VoIP, videokonferencie, ADSL, Dial-Up a satelitné kanály komunikácia, technológia NAT/PAT na skrytie štruktúry siete.

Kľúčové vlastnosti a charakteristiky APKSh „Kontinent“ 3.6

Efektívna ochrana podnikových sietí

  • Zabezpečený prístup používateľov VPN k zdrojom verejnej siete
  • Kryptografická ochrana prenášaných údajov v súlade s GOST 28147–89

APKSh "Continent" 3.6 používa modernú kľúčovú schému, ktorá šifruje každý paket jedinečným kľúčom. To poskytuje vysoký stupeň ochrany údajov proti dešifrovaniu v prípade odpočúvania.

Šifrovanie údajov sa vykonáva v súlade s GOST 28147–89 v režime gama s spätná väzba. Ochrana údajov pred skreslením sa vykonáva v súlade s GOST 28147–89 v režime napodobňovania vkladania.

Kontrola kryptografické kľúče centrálne z NCC.

  • POŽARNE DVERE – ochrana vnútorných segmentov siete pred neoprávneným prístupom

Crypto gateway "Continent" 3.6 poskytuje filtrovanie prijatých a prenášaných paketov podľa rôznych kritérií (adresy odosielateľa a príjemcu, protokoly, čísla portov, doplnkové polia paketov atď.). To umožňuje chrániť vnútorné segmenty siete pred prienikom z verejných sietí.

  • Bezpečný prístup pre vzdialených používateľov k sieťovým zdrojom VPN

Špeciálny softvér „Continent AP“, ktorý je súčasťou APKSh „Continent“ 3.6, vám umožňuje organizovať bezpečný prístup z vzdialené počítače do firemnej VPN.

  • Vytváranie informačných subsystémov so zdieľaním prístupu na fyzickej úrovni

V APKSH "Continent" 3.6 môžete pripojiť 1 externé a 3–9 interných rozhraní na každú krypto bránu. To výrazne rozširuje možnosti používateľa pri konfigurácii siete v súlade s firemnou bezpečnostnou politikou. Najmä prítomnosť niekoľkých vnútorných rozhraní umožňuje oddelenie na úrovni sieťové karty podsiete oddelení organizácie a vytvoriť medzi nimi potrebnú mieru interakcie.

Kľúčové vlastnosti a schopnosti

  • Podpora spoločných komunikačných kanálov

Pracujte cez dial-up pripojenia, zariadenia ADSL pripojené priamo ku krypto-bráne, ako aj cez satelitné komunikačné kanály.

  • „Transparentnosť“ pre akékoľvek aplikácie a sieťové služby

Krypto brány „Continent“ 3.6 sú „transparentné“ pre všetky aplikácie a sieťové služby fungujúce cez protokol TCP/IP, vrátane takých multimediálnych služieb, ako je IP telefónia a videokonferencie.

  • Práca s premávkou s vysokou prioritou

Mechanizmus priority prevádzky implementovaný v APKSh "Continent" 3.6 vám umožňuje chrániť hlasovú (VoIP) prevádzku a videokonferencie bez straty kvality komunikácie.

  • Rezervácia garantovanej šírky pásma pre určité služby

Vyhradením zaručenej šírky pásma pre určité služby sa zabezpečí priechod e-mailovej prevádzky, systémy správy dokumentov atď. aj pri aktívnom využívaní IP telefónie na nízkorýchlostných komunikačných kanáloch.

  • podpora VLAN

Podpora VLAN zaručuje jednoduchú integráciu APKS do sieťovej infraštruktúry rozdelenej na virtuálne segmenty.

  • Skrytie vnútornej siete. Podpora technológií NAT/PAT

Podpora technológie NAT / PAT vám umožňuje skryť vnútornú štruktúru chránených segmentov siete pri prenose otvorenej prevádzky, ako aj organizovať demilitarizované zóny a segmentovať chránené siete.

Skrytie vnútornej štruktúry chránených segmentov podnikovej siete sa vykonáva:

    • spôsob zapuzdrenia prenášaných paketov (pri šifrovaní prevádzky);
    • pomocou technológie prekladu sieťových adries (NAT) pri práci s verejnými zdrojmi.
  • Schopnosť integrovať sa so systémami detekcie narušenia

Na každej kryptobráne je možné špecificky prideliť jedno z rozhraní na kontrolu prevádzky prechádzajúcej cez KSh na pokusy o neoprávnený prístup ( sieťové útoky). Aby ste to dosiahli, musíte definovať takéto rozhranie ako „SPAN port“ a pripojiť k nemu počítač s nainštalovaným systémom detekcie narušenia (napríklad RealSecure). Potom sa všetky pakety prichádzajúce na vstup paketového filtra kryptobrány začnú prenášať na toto rozhranie.

  • Údržba a riadenie

Pohodlie a jednoduchá údržba (bezobslužný režim 24*7)

APKSh "Continent" 3.6 nevyžaduje stálu lokálnu správu a môže pracovať v bezobslužnom režime 24*7x365. Priemyselné počítače použité pri výrobe komplexu spolu s možnosťou horúcej a studenej redundancie zaručujú nepretržitú prevádzku komplexu.

Komplex poskytuje rýchle informovanie administrátorov o udalostiach, ktoré si vyžadujú chirurgická intervencia, v reálnom čase.

  • Vzdialená aktualizácia softvéru kryptobrán

Komplex vyriešil problém aktualizácie softvéru KSh v geograficky distribuovaných systémoch. Aktualizácia softvéru sa stiahne do komplexu centrálne, odošle sa na všetky kryptobrány zahrnuté v komplexe a automaticky sa nainštaluje.

  • Poskytovanie odolnosti voči poruchám

Odolnosť komplexu voči poruchám je zabezpečená nasledujúcimi opatreniami:

    • Hardvérová redundancia kryptografických brán (vytvorenie klastra s vysokým prístupom). V prípade zlyhania niektorej z kryptobrán sa prepnutie na zálohu vykoná automaticky bez zásahu administrátora a bez prerušenia nadviazaných spojení.
    • Automatické zálohovanie konfiguračné súbory komplexné. Poskytuje rýchlu obnovu siete v prípade poruchy zariadenia.
  • Centralizovaná správa siete

Centralizovaná správa siete sa vykonáva pomocou NCC a riadiaceho programu, ktorý umožňuje meniť nastavenia všetkých kryptobrán v sieti online a sledovať ich aktuálny stav online.

Zobrazovanie stavu všetkých zariadení na pracovisku správcu v reálnom čase umožňuje včas odhaliť odchýlky od bežného funkčného procesu a rýchlo na ne reagovať.

  • Role management - oddelenie právomocí pre správu areálu

Bola implementovaná možnosť oddelenia právomocí pre správu komplexu, napríklad pre správu kľúčových informácií, pre prideľovanie prístupových práv k chráneným zdrojom, pre pridávanie nových komponentov, pre auditovanie akcií používateľov (vrátane iných správcov).

  • Interakcia so systémami riadenia siete

Umožňuje ovládať stav APKSh "Continent" 3.6 pomocou protokolu SNMPv2 z globálnych systémov správy siete (Hewlett-Packard, Cisco atď.).

Crypto Gateways (VPN brány, VPN smerovače alebo šifrovacie smerovače) vykonávať funkcie zabezpečenia dôvernosti používateľských údajov ich šifrovaním a funkcie monitorovania integrity používateľských správ na výstupe z GSPD pomocou autentifikátorov správ. Riadiace centrum VPN vykonáva funkcie monitorovania a riadenia prevádzky kryptografických brán a je tiež zodpovedné za distribúciu kryptografických kľúčov medzi nimi. VPN môže zahŕňať jednotlivé používateľské pracovné stanice, siete LAN a iné AS.

V súčasnosti existujú štyri spôsoby konštrukcie kryptobrán VPN:

Založené na sieťových operačných systémoch so zabudovanými organizačnými funkciami VPN;

Na základe smerovačov / prepínačov, ktorých softvér má funkcie budovania VPN;

Na základe ME, v softvéri ktorého sú integrované funkcie na výstavbu VPS;

Založené na špecializovanom softvéri a hardvéri určenom len na budovanie VPN.

V rámci VPN sa všetky dáta zvyčajne prenášajú cez tzv "tunely", čo je virtuálne spojenie medzi dvoma krypto bránami VPN. Algoritmus na odovzdávanie správ cez tunel VPN je nasledujúci. Pred odoslaním užívateľských správ cez tunel ich kryptobrána zašifruje, vypočíta im autentifikátor, po ktorom sa správy zapuzdria (prebalia) do nových správ, ktoré sa prenesú cez tunel. Zároveň je v hlavičkovom poli „Adresa príjemcu“ vygenerovanej správy uvedená adresa kryptobrány a nie adresa AS používateľa, ktorému je správa skutočne určená, čo umožňuje skryť skutočné adresy subjektov pripojenia. Po odoslaní správ na druhom konci tunela kryptomena extrahuje prijaté dáta, dešifruje ich, skontroluje ich integritu a potom sa dáta prenesú k príjemcom. Tento typ odovzdávania správ sa nazýva "tunelovanie". Schéma tunelovania užívateľských správ je znázornená na obr. 19.2.

Obrázok 19.2 - Schéma tunelovania užívateľských správ

Interakcia medzi krypto bránami VPN je realizovaná pomocou protokolov špeciálneho typu, nazývaných kryptoprotokoly. Krypto protokoly môžu byť implementované na rôznych úrovniach modelu OSI (tabuľka 19.1).

Tabuľka 19.1. Kryptoprotokoly rôznych úrovní modelu OSI

V súčasnosti sa na budovanie VPN najčastejšie používa krypto protokol. IPSec , ktorého špecifikácia je súčasťou základného štandardu šiestej verzie protokolu IP, prostredníctvom ktorého sú implementované funkcie medzisieťovej vrstvy zásobníka protokolov TCP / IP.

APKSh "kontinent"IPC-25 kompaktná krypto brána pre malú kanceláriu. APKSh "kontinent" je výkonný a flexibilný virtuálny privátny sieťový nástroj, ktorý vám umožňuje vybudovať VPN akejkoľvek architektúry. Poskytuje kryptografickú ochranu informácií (v súlade s GOST 28147–89) prenášaných cez otvorené komunikačné kanály medzi komponentmi VPN (lokálne siete, ich segmenty a jednotlivé počítače). šifruje jednotlivé dátové pakety jedinečnými kľúčmi, čo zaručuje ochranu pred dešifrovaním zachytených dát. Na ochranu pred neoprávneným prístupom je k dispozícii systém filtrovania návštevnosti. Poskytuje podporu pre VoIP, videokonferencie, GPRS, 3G, LTE, ADSL, dial-up a satelitné komunikačné kanály, technológiu NAT/PAT na skrytie štruktúry siete.

APKSh "Continent" je navrhnutý tak, aby riešil nasledujúce typické úlohy:

  • Ochrana siete po obvode
  • Poskytuje možnosť spojiť geograficky distribuované pobočky organizácie do jednej zabezpečenej siete.
  • Poskytuje ochranu pre vzdialený prístup zamestnancov do podnikovej siete.

Výrobca: "Bezpečnostný kód" LLC

180 000,00 RUB

Účet sa vygeneruje automaticky. Uveďte typ platiteľa „právnická osoba“ a vyplňte údaje.

Porovnanie verzií

APKSh "Kontinent" - IPC-25APKSh "Kontinent" - IPC-100APKSh "Kontinent" - IPC-400APKSh "Kontinent" - IPC-1000
cena180 000 R
Kúpiť		270 000 R
Kúpiť		665 000 R
Kúpiť		1 021 000 R
Kúpiť
Výkon VPN (šifrovanie + filtrovanie brány firewall)až 50 Mbpsaž 300 Mbpsaž 500 Mbpsaž 950 Mbps
Výkon ME (otvorená premávka)až 100 Mbpsaž 400 Mbpsaž 1 Gbpsaž 1 Gbps
Maximálny počet súbežných relácií TCP na spracovanie (keep-state)10000 250000 350000 1000000
Počet zabezpečených pripojení (tunely VPN)25 nie je obmedzenýnie je obmedzenýnie je obmedzený

Hardvérová konfigurácia:

Faktor tvaru

Mini-ITX, výška 1U

Rozmery (VxŠxH)

155 x 275 x 45 mm

CPU

Intel Atom C2358 1743 MHz

RAM

SODIMM DDR3 DRAM, 2 GB, PC-1333

Sieťové rozhrania

4x 1000BASE-T Ethernet 10/100/1000 RJ45 (vyrobené ako ľahko vymeniteľné moduly)

Pevné disky

SATA DOM modul 4Gb

pohonná jednotka

externý adaptér striedavý prúd 19V, 220V 80W

Čitateľ

dotyková pamäť

Osobné identifikátory

Dotyková pamäť iButton DS1992L 2 PC.

Vstavaný modul APMDZ

PAK Sobol 3.0 (mini-PCIe)

USB flash disk

minimálne 512 MB

Hladina akustického hluku pri 100% zaťažení (metóda merania ISO7779)

Vstavaný operačný systém

Continent OS je vylepšený bezpečnostný OS založený na jadre FreeBSD.

APKSh "Kontinent" 3.9 obsahuje:

  • Cryptographic Gateway Network Control Center (NCC)– vykonáva autentifikáciu KSh a riadiacich pracovných staníc / monitorovanie a logovanie stavu siete KSh / ukladanie logov a konfigurácie KSh / distribúciu informácií o kľúčoch a konfigurácii / centralizovanú správu kryptografických kľúčov / interakciu s riadiacim programom.
  • Krypto brána (KSh) je špecializované hardvérové ​​a softvérové ​​zariadenie, ktoré prijíma a prenáša IP pakety pomocou protokolov TCP / IP (statické smerovanie) / šifrovanie paketov (GOST 28147–89, spätná väzba gama režim, dĺžka kľúča 256 bitov) / ochrana prenášaných dát pred skreslením (GOST 28147 –89, režim simulovaného vkladania) / filtrovanie paketov / skrytie sieťovej štruktúry / registrácia udalostí / notifikácia NCC o jej činnosti a udalostiach vyžadujúcich zásah / kontrola integrity softvéru KS.
  • Riadiaci program NCC (PU NCC)– jeho hlavnou funkciou je centralizovaná správa nastavení a prevádzková kontrola stavu všetkých KSh zahrnutých v komplexe. Je nainštalovaný v zabezpečenej sieti na administrátorskej pracovnej stanici s operačným systémom MS Windows 2003/2008/7/8.
  • Agent TsUS a SD nadviaže bezpečné spojenie a vymieňa si dáta s NCC a PJ /prijíma z NCC, ukladá a prenáša obsah protokolov do PJ/prijíma z NCC a odovzdáva PJ informácie o prevádzke areálu.
  • Klient overenia používateľa- poskytuje autentifikáciu používateľov pracujúcich na počítačoch umiestnených v chránenom segmente siete, keď sú pripojení na kryptografickú bránu.
  • Subscriber point (Continent-AP) vytvorí tunel VPN medzi vzdialenou pracovnou stanicou používateľa a internou chránenou sieťou organizácie. Pri pripojení cez siete verejný prístup a internet vykonáva autentifikáciu používateľa / podporuje dynamické prideľovanie adries / vzdialený prístup k zdrojom chránenej siete cez šifrovaný kanál / prístup cez vyhradené a dial-up komunikačné kanály / možnosť prístupu k zdrojom verejných sietí.
  • Prístupový server zabezpečuje komunikáciu medzi vzdialeným AP a chránenou sieťou, ako aj určenie úrovne prístupu používateľa a jeho autentifikácie.
  • Access Server Management Program (PU SD)– poskytuje rýchle informovanie správcu siete o bezpečnostných udalostiach. Navrhnuté na správu nastavení všetkých prístupových serverov zahrnutých v komplexe.
  • Detektor útoku "Kontinent" je softvérový komponent, ktorý poskytuje analýzu prevádzky prichádzajúcej z krypto-brány a filtruje neoprávnené prieniky. Pracuje v spojení s Riadiacim centrom pre sieť kryptografických brán "Kontinent" verzie 3.7 a vyššej.

Certifikáty

  • dodržiavanie smerníc FSTEC Ruska o 2. stupni kontroly absencie NDV a 2. triede bezpečnosti pre firewally. Možno použiť na vytvorenie automatizované systémy do bezpečnostnej triedy 1B vrátane a pri vytváraní informačných systémov osobných údajov do triedy 1 vrátane;
  • súlad s požiadavkami Federálnej bezpečnostnej služby Ruska pre zariadenia ako firewall v 4. bezpečnostnej triede;
  • dodržiavanie požiadaviek Federálnej bezpečnostnej služby Ruska na prostriedky kryptografickej ochrany informácií triedy KS3 a možnosť použitia na kryptografickú ochranu informácií, ktoré neobsahujú informácie predstavujúce štátne tajomstvo;
  • Ministerstvo telekomunikácií a masových komunikácií Ruska - o dodržiavaní stanovených požiadaviek na zariadenie na smerovanie informačných paketov a možnosti jeho použitia vo verejných komunikačných sieťach ako zariadenia na prepínanie a smerovanie informačných paketov.

Pozrite sa na túto triedu riešení z trochu iného uhla pohľadu – z pohľadu využitia kryptografie v nich.

Tradícia pridávania funkcionality VPN servera do firewallu (FW) vznikla pomerne dávno a je natoľko úspešná a logická (niektorí hovoria FW / VPN), že je nemožné nájsť perimetrický (bránový) firewall (najmä v hardvérový dizajn) bez podpory VPN také jednoduché. Je možné, že sú, ale na niečo také si nepamätám. Opravte v komentároch, ak sa mýlim.

Prirodzene, pri budovaní VPN (virtuálne privátne siete) chcete získať skutočne bezpečný kanál, ktorý zahŕňa použitie silnej kryptografie (vysoké šifrovanie). A v Rusku, ako viete, oblasť silnej kryptografie nie je o nič menej regulovaná, pretože server VPN nie je v podstate nič iné ako kryptografická brána.

Možno tvrdiť, že server VPN certifikovaný v súlade s ruským právom musí mať nevyhnutne podporu pre algoritmus GOST a certifikát FSB, pretože práve táto agentúra s nami dohliada na problémy so šifrovaním.

Dokonca aj s certifikáciou FSTEC ako firewall v produktoch triedy FW/VPN sa odporúča zakázať silnú kryptografiu a ponechať iba algoritmus DES s dĺžkou kľúča 56 bitov. Ďalšia vec je, že nie každý to robí, a ak áno, potom ako možnosť môžu predať (darovať) aktivačný kľúč pre silnú kryptografiu tak, že ho jednoducho zašlú e-mail. Teraz to však nie je o tom.

Certifikácia vo FSB má, samozrejme, niečo podobné ako vo FSTEC, ale rozhodne je to oveľa zložitejšie – dá sa to nepriamo posúdiť napríklad tým, že v FSB je viac ako 2000 pozícií, a päťkrát menej v podobnom.

Zoznam fondov certifikovaných FSB, samozrejme, nie je svojím dizajnom povzbudivý, predstavuje tabuľku vloženú do dokumentu doc. Pokus skopírovať túto tabuľku do Excelu veľmi nepomôže - niektoré bunky sú náhodne spojené do zvláštnych skupín a niektoré (napríklad výrobca, názov produktu a popis) sú naopak rozdelené do ľubovoľného počtu riadkov od 2 až 6, dátumy začiatku a konca certifikátu umiestnené vo vertikálne susediacich (!) bunkách atď. Na prácu s takouto prezentáciou informácií sa asi dá zvyknúť, ale pre moje pohodlie som spravil Zoznam v príjemnejšom oku a automatickej forme filtra Excel (dostupné na tomto odkaze:).

Ak sa však ešte dá niečo urobiť s formou, tak obsahu porozumie len odborník, ktorý sa v téme hlboko orientuje. Neexistuje žiadna osobitná klasifikácia produktov a dokonca každý vývojár pomenúva produkt podľa vlastného uváženia. Viac-menej podobné popisy vykonávaných funkcií trochu šetria, ale nebolo možné im hneď porozumieť.

Po premyslenom preštudovaní produktov prezentovaných v Zozname som dospel k (dúfam, že opodstatnenému) predpokladu, že kryptobrány, ktoré nás dnes zaujímajú, sú tie produkty, ktorých popis funkcie spomína protokol a kryptografickú ochranu. Takýchto certifikátov bolo až 80, no v skutočnosti je produktov oveľa menej, keďže existujú samostatné certifikáty pre rôzne verzie produktov alebo dokonca ich modulov a v niektorých prípadoch je pre každú verziu vydaný samostatný certifikát so samostatným číslom.

Po filtrovaní riadkov v Exceli sa teda pozrime, čo môžeme použiť na šifrovanie prenosu IP.

Z firewallov s certifikáciou FSTEC, ktoré sme už videli v recenziách, majú certifikáty FSB tieto produkty:


  • ViPNet(vývojár InfoTeKS)

  • Kontinent(vývojár Informzaschita, bezpečnostný kód)

  • CSP VPN(vývojár S-Terra CSP)

  • VÝSTAVA(vývojár ELVIS-PLUS)

  • StoneGate SSL VPN(nové bezpečnostné technológie pre vývojárov)

  • DioNIS(faktor pre vývojárov-TS)

  • ATLIX-VPN(vývojár STC Atlas)

  • Tunel(vývojár AMICON, InfoCrypt -P PACK založený na FPSU-IP)

Okrem toho existujú dva vysoko špecializované produkty a dvaja (ak tomu správne rozumiem) poskytovatelia kryptografie:


  • Modul PHSM(vývojár STC Atlas, )

  • M-448-1,4 P

  • IPSec bariéra(vývojár Validatu)

  • CryptoPro CSP/IPSec(vývojár CRYPTO-PRO)

Ako vidíte, počet firewallov certifikovaných nielen FSTEC, ale aj FSB je extrémne malý – v skutočnosti môžeme hovoriť len o siedmich hráčoch. Takýto malý počet predajcov umožňuje silným cítiť sa relatívne bezpečne, zatiaľ čo zvyšok je vo svojom úzkom výklenku celkom pohodlný. Akákoľvek zmena nastolenej rovnováhy nie je dobrá pre nikoho z nich, no, lídrov na trhu určite.

Druhé pozorovanie, ktoré možno urobiť, je, že takmer všetky výrobky sú pôvodne ruskej výroby. Áno, spoločnosť, ktorá vyvíja CIPF s certifikátom FSB, môže byť iba ruská právnická osoba, ale samotné produkty sú väčšinou domáce produkty, pri všetkej počestnosti vyvinuté výhradne na splnenie požiadaviek regulátorov. Žiaden z prezentovaných domácich predajcov so svojim vývojom zatiaľ nedosiahol vážnejší úspech mimo Ruska (samozrejme okrem susedných spriatelených štátov).

Situácia sa vážne zmenila minulý rok, keď sa uskutočnila významná udalosť P (ale možno nie taká významná), ktorá bola dokončená podľa požiadaviek ruskej reality. Produkt, ktorý bol pôvodne vyvinutý pre otvorený komerčný svetový trh, získal certifikát FSB – sú v zozname ďalšie príklady?

Nešlo však o klasickú IPSec kryptobránu, ale o SSL riešenie so všetkými z toho vyplývajúcimi nuansami, na ktoré si trh ešte potreboval zvyknúť. Približne v rovnakom čase ako StoneGate SSL bola oznámená certifikácia StoneGate FW/VPN.

Môžeme hádať a predpokladať, akým ťažkostiam musel tím zapojený do tejto certifikácie čeliť, no všetky sa podarilo úspešne prekonať a v októbri StoneGate FW / VPN získal certifikát FSB SF / 124-2027 zo dňa 04.10.2013 (zatiaľ v Zozname zo dňa 07.10.2013 z nejakého dôvodu chýba). Už teraz môžeme povedať, že na trhu kryptobrán sa objavila priama hrozba pre existujúcich hráčov. Zároveň, ak si spomenieme, že StoneGate je vo svete komerčne úspešný produkt, taký úspešný, že Pi rozšíril rad riešení tohto predajcu o svoje produktové portfólio, potom je jasné, že táto hrozba je viac než len trochu nebezpečná .

Je jasné, že tento trh je skôr inertný a zajtra by sme nemali očakávať žiadne prudké zmeny. V konečnom dôsledku sú vybudované distribučné kanály, určitá inštalačná základňa, ktorú nemôžete aktualizovať len raz, a ako obvykle sa určite uskutočnia nejaké osobné ľudské vzťahy a dohody. Zároveň je táto udalosť nepochybne dôležitá pre celý trh a ruskí zákazníci a realizátori projektov majú teraz vynikajúcu alternatívu k obvyklému súboru certifikovaných riešení na budovanie šifrovaných kanálov prenosu dát pomocou ruskej kryptografie.



Načítava...
Hore