Криптошлюзи та методи їх побудови. Огляд криптографічних шлюзів російських та зарубіжних виробників Криптографічні шлюзи

Побудова віртуальних приватних мереж (VPN) передбачає створення захищених від стороннього доступу тунелів між декількома локальними мережами або віддаленими клієнтами поверх іншої мережі з меншим рівнем довіри (наприклад, Інтернет). Рівень довіри до побудованої логічної мережі залежить від рівня довіри до базовим мереж завдяки використанню засобів криптографії. Для створення та обслуговування подібних тунелів необхідні спеціальні протоколи, програмне забезпечення та обладнання. Віртуальні приватні мережі значно дешевше глобальної обчислювальної мережі, оскільки потрібно платити за кабельні лінії, що з'єднують локальні мережі.

Рішення VPN реалізують такі функції:

шифрування;
підтвердження справжності;
ідентифікація;
контроль трафіку.

Методи реалізації VPN:

Intranet VPN використовується для об'єднання в єдину захищену мережу кількох розподілених філій однієї організації, що обмінюються даними по відкритих каналах зв'язку.
Remote Access VPN використовується для створення захищеного каналу між сегментом корпоративної мережі (центральним офісом або філією) та одиночним користувачем, який підключається віддалено.
Extranet VPN використовується у мережах, до яких підключаються зовнішні користувачі (наприклад, замовники або клієнти). Рівень довіри до них набагато нижчий, ніж до співробітників компанії, тому потрібне забезпечення спеціальних заходів захисту, що запобігають або обмежують доступ до конфіденційної інформації.
Client/Server VPN використовується для передачі даних між двома вузлами корпоративної мережі, що знаходяться в одному сегменті. Така необхідність виникає у разі, як у однієї фізичної мережі необхідно створити кілька логічних мереж. Замість розподілу трафіку використовується шифрування.

Компанія "Альтірікс Системс" є партнером лідерів ринку VPN\криптошлюзів і пропонує рішення компаній Stonesoft, "Код Безпеки", "Інфотекс", S-Terra, Cisco.

StoneGate SSL VPN- можливість простого та захищеного віддаленого доступу користувачів до корпоративних інформаційних ресурсів із будь-якого місця на базі безклієнтської технології SSL VPN. Вона ідеально підходить для організацій з кількома мобільними користувачами, які мають доступ до мережі з різних точок, для яких однаково важливими є безпечне з'єднання та легкий доступ до мережі. StoneGate SSL VPN забезпечує користувачам – співробітникам організації гнучкий та захищений доступ до корпоративної мережі, який вони можуть здійснювати з будь-яких пристроїв, підключених до Інтернету – ноутбуків, PDA або мобільних телефонів. Корпоративні програми можуть включати електронну пошту, інтранет та екстранет, програми клієнт/сервер, IP-телефонію, служби терміналів та багато іншого. Ключовими особливостями вирішення: - підтримка до 5000 одночасних з'єднань; встановлення з'єднання з будь-якого пристрою незалежно від типу клієнтського обладнання та способу підключення до мережі (UMTS, WLAN); безкоштовно встановлених разом із шлюзом понад 20 методів аутентифікації, включаючи унікальні методи аутентифікації з використанням мобільного телефону; автоматичне видалення всіх слідів з'єднання при його завершенні (тимчасових файлів, кешу, завантажених документів тощо; підтримка російських криптографічних алгоритмів; інтеграція з Microsoft Active Directory і MS Outlook ActiveSync; розширена підтримка Single Sign-On (SSO)); швидка інтеграція із системами контролю доступу та кінцевими додатками; вбудована підтримка програм Outlook Web Access 2000/2003, Domino Web Access 6.5, Citrix MetaFrame Presentation Server, Terminal Server 2000/2003, MS Outlook Client 2000/2003 та ін.; можливість віддаленого оновлення ПЗ; централізоване управління всіма пристроями та моніторинг у режимі реального часу; можливість резервування та кластеризації; розширені парольні політики; контекстний контроль сесій; гнучкість установки та простота адміністрування. StoneGate SSL VPN має сертифікати ФСТЕК Росії та ФСБ Росії.

Stonesoft FW/VPN- сімейство високопродуктивних програмно-апаратних міжмережевих екранів, основу яких лежать унікальні архітектурні рішення, дозволяють забезпечити неперевершений рівень захисту інформаційних систем. У StoneGate FW/VPN використовується власна інтегрована захищена операційна система, що унеможливлює виконання будь-яких спеціалізованих операцій з налаштування, а також дозволяє нарощувати функціональність StoneGate лише за рахунок додавання нових компонентів без зміни працюючої інфраструктури та без зупинки в роботі. У StoneGate FW/VPN застосовані найсучасніші технології аналізу трафіку та забезпечення відмовостійкості. Запатентована технологія MultiLayer Inspection поєднує в собі переваги фільтрів Application proxy та Stateful Inspection, дозволяючи досягти більшої безпеки з'єднань та гнучкості фільтрації за відсутності будь-якого значного зниження швидкості. При цьому фільтрація трафіку з відстеженням контексту з'єднань, що встановлюються, можлива не тільки на 3-4 рівнях моделі OSI, але і на рівні додатків. На сьогоднішній день для інспекції доступно більше 20 прикладних протоколів (H.323, SIP, FTP, HTTP(S), SMTP, IMAP, POP3, SSH, NBT, MSRPC, Sun RPC, Oracle TNS та ін.), що дозволяє перевіряти потік по повному набору правил, здійснюючи, крім іншого, контентну і URL-фільтрацію, антивірусну інспекцію і т.д. Ще однією унікальною можливістю, реалізованою в міжмережевих екранах StoneGate FW/VPN, є підтримка запатентованої технології MultiLink, яка дозволяє забезпечити високий рівень доступності ресурсів шляхом використання динамічного балансування навантаження каналами зв'язку. StoneGate FW/VPN має сертифікат ФСТЕК Росії.

АПКШ «Континент»- Сімейство засобів побудови віртуальних приватних мереж на основі глобальних мереж загального користування, що використовують протоколи сімейства TCP/IP. Основні можливості: - безпечний доступ користувачів VPN до ресурсів мереж загального користування; криптографічний захист даних, що передаються відповідно до ГОСТ 28147-89; міжмережне екранування - захист внутрішніх сегментів мережі від несанкціонованого доступу; безпечний доступ віддалених користувачів до ресурсів мережі VPN; створення інформаційних підсистем з поділом доступу фізично; підтримка найпоширеніших каналів зв'язку; робота з високопріоритетним трафіком; резервування гарантованої лінії пропускання за певними сервісами; підтримка VLAN; приховування внутрішньої мережі; підтримка технологій NAT/PAT; можливість інтеграції із системами виявлення атак; дистанційне оновлення програмного забезпечення криптошлюзів. АПКШ «Континент» має сертифікати ФСТЕК Росії та ФСБ Росії.

ViPNet CUSTOM - найширша продуктова лінійка корпоративного рівня - конструктор захищених мереж, що пропонує вирішення всього спектра завдань з організації VPN і PKI. Технічні переваги: орієнтація на організацію захищеної взаємодії «клієнт-клієнт» (тоді як більшість VPN-рішень інших виробників забезпечують лише з'єднання рівня «сервер-сервер» або «сервер-клієнт»), що дає можливість реалізувати будь-яку необхідну політику розмежування доступу в рамках усієї захищеної мережі, а також знизити навантаження на VPN-сервери, так як у загальному випадку при взаємодії клієнт-клієнт VPN-сервер не задіяний в операціях шифрування трафіку між цими клієнтами; велика увага у ViPNet CUSTOM приділена вирішенню проблеми функціонування в умовах наявності різноманітного мережевого обладнання та програмного забезпечення, що реалізує динамічну або статичну трансляцію адрес та портів (NAT/PAT), що суттєво полегшує процес інтеграції системи захисту в існуючу інфраструктуру мережі; в більшості випадків налаштування ПЗ ViPNet Client вручну не потрібно; у ViPNet CUSTOM реалізовано роздільну фільтрацію відкритого та шифрованого трафіку, що дозволяє навіть серед довірених мережевих вузлів обмежувати можливість роботи через несанкціоновані порти, протоколи та за рахунок цього підвищувати рівень безпеки захищеної мережі; кожен компонент ViPNet CUSTOM містить вбудований мережевий екран та систему контролю мережевої активності додатків або працює спільно з програмним забезпеченням ViPNet Client, що дозволяє отримати надійну розподілену систему міжмережевих та персональних мережевих екранів; для вирішення можливих конфліктів IP-адрес у локальних мережах, що включаються в єдину захищену мережу, ViPNet CUSTOM пропонує розвинену систему віртуальних адрес. У багатьох випадках вона дозволяє спростити налаштування прикладного програмного забезпечення користувача, так як накладена віртуальна мережа зі своїми віртуальними адресами приховує реальну складну структуру мережі. Також стає можливим вирішення проблем взаємодії локальних мереж з IP-адресацією, що перетинається. ViPNet CUSTOM підтримує можливість міжмережевої взаємодії, що дозволяє встановлювати необхідні захищені канали зв'язку між довільною кількістю захищених мереж, побудованих з використанням ViPNet CUSTOM. ViPNet CUSTOM забезпечує захист інформації в сучасних мультисервісних мережах зв'язку, що надають послуги IP-телефонії та аудіо- та відеоконференц-зв'язку. Підтримується пріоритезація трафіку та протоколи H. 323, Skinny, SIP. ПЗ ViPNet Coordinator підтримує роботу на сучасних багатопроцесорних та багатоядерних серверних платформах, що дозволяє забезпечувати високу швидкість шифрування трафіку. ViPNet CUSTOM має сертифікати ФСТЕК Росії та ФСБ Росії.

Cisco VPN- сімейство продуктів, які пропонують весь спектр технологій VPN рівнів 2 та 3, розрахованих на інфраструктури IP та MPLS. На рівні 2 Cisco VPN вирішує завдання диференціювання пакетних інфраструктур провайдерів послуг за допомогою двох різних тунельних протоколів рівня 2: Cisco AToM для опорних мереж MPLS та Layer 2 Tunneling Protocol версії 3 (L2TPv3) для опорних мереж IP. Обидва названі протоколи забезпечують високошвидкісні з'єднання рівня 2 між будь-якими двома вузлами та підтримують технології підключення рівня 2 (тобто Frame Relay, Ethernet, HDLC та ATM). Крім того, мережі VPN рівня 2 підтримують нові мультиточкові технології, наприклад послуги віртуальних приватних локальних мереж (Virtual Private LAN). Для рівня 3 Cisco пропонує такі технології VPN, як Cisco IPsec, GRE та MPLS/BGP VPN. Названі технології підтримують транспортування пакетів IP як компонент рішення VPN поверх опорної мережі IP/MPLS. Вони діють лише на рівні IP, забезпечуючи інтелектуальний рівень управління трафіком замовника і комплексної маршрутизації. Технології Cisco VPN пропонують замовникам такі переваги: одна мережа; будь-які засоби доступу; наявність повного набору протоколів, платформ та засобів створення та налаштування послуг; зниження вартості володіння; гнучкість, масштабованість та послуги, необхідні як провайдерам, так і великим корпоративним клієнтам.

S-Terra CSP VPN- сімейство продуктів – шлюзів безпеки для захисту індивідуальних користувачів, серверів, окремих мереж та спеціалізованих пристроїв. Основні характеристики: забезпечення захисту трафіку на рівні аутентифікації/шифрування мережних пакетів за протоколами IPsec AH та/або IPsec ESP; забезпечення пакетної фільтрації трафіку з використанням інформації в полях заголовків мережного та транспортного рівнів; різні набори правил обробки трафіку різних інтерфейсах; інтелектуальне відстеження доступності партнерів обміну (DPD); інтегрований міжмережевий екран; підтримка роботи мобільного користувача у відповідності до політики безпеки внутрішньокорпоративної мережі (IKECFG-сервер); можливість отримання сертифікатів відкритих ключів за протоколом LDAP; підтримка маскування реальної IP-адреси (тунелювання трафіку); кероване подієве протоколювання (syslog); моніторинг глобальної статистики за протоколом SNMP, сумісність із CiscoWorks VPN Monitor; прозорість для роботи сервісу QoS; підтримка інкапсуляції пакету ESP у UDP (NAT traversal); сумісність з PKI- та LDAP-службами зарубіжних та російських виробників. S-Terra CSP VPN має сертифікати ФСТЕК Росії та ФСБ Росії.

Експерти компанії «Альтірікс системс» допоможуть підібрати та впровадити рішення, яке з максимальною ефективністю та мінімальними витратами впорається з поставленими завданнями.

Якщо Ви хочете отримати більш детальну інформацію про пропоновані продукти, рішення та послуги, напишіть нам лист на [email protected]сайт, і не пізніше ніж за 24 години з Вами обов'язково зв'яжеться наш співробітник.

Можливості

Комплекс забезпечує криптографічний захист інформації (відповідно до ГОСТ 28147-89), що передається по відкритих каналах зв'язку, між складовими частинами VPN, якими можуть бути локальні обчислювальні мережі, їх сегменти та окремі комп'ютери.

Сучасна ключова схема, реалізуючи шифрування кожного пакета унікальному ключі, забезпечує гарантований захист від можливості дешифрації перехоплених даних.

Для захисту від проникнення з боку мереж загального користування комплекс «Континент» 3.6 забезпечує фільтрацію пакетів, що приймаються та передаються за різними критеріями (адресами відправника та одержувача, протоколами, номерами портів, додатковими полями пакетів тощо). Здійснює підтримку VoIP, відеоконференцій, ADSL, Dial-Up та супутникових каналів зв'язку, технології NAT/PAT для приховування структури мережі.

Ключові можливості та характеристики АПКШ «Континент» 3.6

Ефективний захист корпоративних мереж

Безпечний доступ користувачів VPN до ресурсів мереж загального користування
Криптографічний захист даних, що передаються відповідно до ГОСТ 28147–89

В АПКШ "Континент" 3.6 застосовується сучасна ключова схема, що реалізує шифрування кожного пакета на унікальному ключі. Це забезпечує високий рівень захисту даних від розшифровки у разі їхнього перехоплення.

Шифрування даних здійснюється відповідно до ГОСТ 28147-89 у режимі гамування зі зворотним зв'язком. Захист даних від спотворення здійснюється за ГОСТ 28147-89 як імітовставки.

Управління криптографічними ключами ведеться централізовано із ЦУС.

Міжмережеве екранування – захист внутрішніх сегментів мережі від несанкціонованого доступу

Криптошлюз «Континент» 3.6 забезпечує фільтрацію пакетів, що приймаються та передаються за різними критеріями (адресами відправника та одержувача, протоколами, номерами портів, додатковими полями пакетів тощо). Це дозволяє захистити внутрішні сегменти мережі від проникнення мереж загального користування.

Безпечний доступ віддалених користувачів до ресурсів VPN-мережі

Спеціальне програмне забезпечення «Континент АП», що входить до складу АПКШ «Континент» 3.6, дозволяє організувати захищений доступ віддалених комп'ютерів до корпоративної VPN-мережі.

Створення інформаційних підсистем з поділом доступу фізично

До АПКШ «Континент» 3.6 можна підключати 1 зовнішній та 3–9 внутрішніх інтерфейсів на кожному криптошлюзі. Це значно розширює можливості користувача під час налаштування мережі відповідно до корпоративної політики безпеки. Зокрема, наявність кількох внутрішніх інтерфейсів дозволяє розділяти лише на рівні мережевих карт підмережі відділів організації та встановлювати необхідну міру взаємодії з-поміж них.

Основні характеристики та можливості

Підтримка найпоширеніших каналів зв'язку

Робота через Dial-Up з'єднання, обладнання ADSL, підключене безпосередньо до кріптошлюзу, а також через супутникові канали зв'язку.

«Прозорість» для будь-яких додатків та мережевих сервісів

Криптошлюзи "Континент" 3.6 "прозорі" для будь-яких додатків та мережевих сервісів, що працюють за протоколом TCP/IP, включаючи такі мультимедіа-сервіси, як IP-телефонія та відеоконференції.

Робота з високопріоритетним трафіком

Реалізований в АПКШ «Континент» 3.6 механізм пріоритезації трафіку дозволяє захищати голосовий (VoIP) трафік та відеоконференції без втрати якості зв'язку.

Резервування гарантованої лінії пропускання за певними сервісами

Резервування гарантованої лінії пропускання за певними сервісами забезпечує проходження трафіку електронної пошти, систем документообігу тощо. навіть при активному використанні IP-телефонії на низькошвидкісних каналах зв'язку.

Підтримка VLAN

Підтримка VLAN гарантує просте вбудовування АПКШ у мережну інфраструктуру, розбиту на віртуальні сегменти.

Приховування внутрішньої мережі. Підтримка технологій NAT/PAT

Підтримка технології NAT/PAT дозволяє приховувати внутрішню структуру сегментів мережі, що захищаються при передачі відкритого трафіку, а так само організовувати демілітаризовані зони і сегментувати мережі, що захищаються.

Приховування внутрішньої структури сегментів корпоративної мережі, що захищаються, здійснюється:

методом інкапсуляції пакетів, що передаються (при шифруванні трафіку);
за допомогою технології трансляції мережевих адрес (NAT) під час роботи із загальнодоступними ресурсами.

Можливість інтеграції із системами виявлення атак

На кожному кріптошлюзі існує можливість спеціально виділити один з інтерфейсів для перевірки трафіку, що проходить через КШ, на наявність спроб неавторизованого доступу (мережевих атак). Для цього необхідно визначити такий інтерфейс як SPAN-порт і підключити до нього комп'ютер із встановленою системою виявлення атак (наприклад, RealSecure). Після цього на інтерфейс починають ретранслюватися всі пакети, що надходять на вхід пакетного фільтра криптошлюза.

Обслуговування та управління

Зручність та простота обслуговування (необслуговуваний режим 24*7)

АПКШ «Континент» 3.6 не вимагає постійного локального адміністрування і може працювати в режимі, що не обслуговується 24*7х365. Промислові комп'ютери, які у виробництві комплексу, разом із можливістю гарячого і холодного резервування гарантують безперебійну роботу комплексу.

Комплекс здійснює оперативне сповіщення адміністраторів про події, що потребують оперативного втручання у режимі реального часу.

Видалене оновлення ПЗ криптошлюзів

У комплексі вирішено проблему оновлення програмного забезпечення КШ у територіально-розподілених системах. Оновлення ПЗ завантажується в комплекс централізовано, розсилається на всі криптошлюзи, що входять до складу комплексу, та автоматично встановлюється.

Забезпечення відмовостійкості

Відмовостійкість Комплексу забезпечується такими заходами:

Апаратне резервування криптографічних шлюзів (створення кластеру високого доступу). У разі виходу з ладу одного з криптошлюзів перемикання на резервний здійснюється автоматично без втручання адміністратора та без розриву встановлених з'єднань.
Автоматичне резервне копіювання конфігураційних файлів комплексу. Забезпечує швидке відновлення мережі в разі виходу апаратури з ладу.

Централізоване управління мережею

Централізоване управління мережею здійснюється за допомогою ЦУС та програми управління, яка дозволяє в діалоговому режимі змінювати налаштування всіх криптошлюзів мережі та вести оперативний моніторинг їхнього поточного стану.

Відображення стану всіх пристроїв на робочому місці адміністратора у масштабі реального часу дозволяє своєчасно виявляти відхилення від нормального процесу функціонування та оперативно на них реагувати.

Рольове управління – поділу повноважень на адміністрування комплексу

Реалізовано можливість поділу повноважень на адміністрування комплексу, наприклад, на управління ключовою інформацією, на призначення прав доступу до ресурсів, на додавання нових компонентів, на аудит дій користувачів (у тому числі й інших адміністраторів).

Взаємодія із системами управління мережею

Дозволяє контролювати стан АПКШ «Континент» 3.6 за протоколом SNMPv2 із систем глобального управління мережею (Hewlett-Packard, Cisco та ін.).

Криптошлюзи (VPN-шлюзи, VPN-маршрутизатори або крипто-маршрутизатори)виконують функції забезпечення конфіденційності даних користувача шляхом їх шифрування та функції контролю за цілісністю повідомлень користувача на виході з ГСПД за допомогою автентифікаторів повідомлень. Центр управління ВЧС виконує функції моніторингу та управління роботою криптошлюзів, а також відповідає за розподіл криптографічних ключів між ними. До складу ВНС можуть входити окремі робочі станції користувачів, ЛОМ та інші АС.

В даний час існує чотири методи побудови криптошлюзів ВНС:

на основі мережевих операційних систем із вбудованими функціями організації ВНС;

На базі маршрутизаторів/комутаторів, ПЗ яких має функції побудови ВЧС;

На основі МЕ, у ПЗ яких інтегровані функції з побудови ВЧС;

На основі спеціалізованого програмно-апаратного забезпечення, призначеного тільки для побудови ВНС.

В рамках ВНС усі дані, як правило, передаються за так званими «тунелям», які є віртуальним з'єднанням між двома криптошлюзами ВЧС. Алгоритм передачі повідомлень через тунель ВЧС має такий вигляд. Перед надсиланням повідомлень користувача через тунель криптошлюз їх зашифровує, обчислює для них автентифікатор, після чого повідомлення інкапсулюються (перепаковуються) в нові повідомлення, які передаються тунелем. При цьому в полі заголовка «Адреса одержувача» сформованого повідомлення вказується адреса криптошлюза, а не адреса АС користувача якому насправді призначається повідомлення, що дозволяє приховати справжні адреси суб'єктів з'єднання. Після передачі повідомлень на іншому кінці тунелю криптошлюз витягує отримані дані, розшифровує їх, перевіряє їх цілісність, після чого дані передаються адресатам. Такий спосіб передачі повідомлень прийнято називати «тунелюванням». Схема тунелювання повідомлень користувача зображено на рис. 19.2.

Рисунок 19.2 - Схема тунелювання повідомлень користувача

Взаємодія між криптошлюзами ВНС реалізується за допомогою протоколів спеціального типу, які називаються криптопротоколами. Криптопротоколи можуть бути реалізовані на різних рівнях моделі ВОС (табл. 19.1).

Таблиця 19.1. Криптопротоколи різних рівнів моделі ВОС

В даний час найчастіше для побудови ВНС використовується криптопротокол IPSec специфікація якого є частиною базового стандарту шостої версії протоколу IP, за допомогою якого реалізуються функції рівня міжмережевої взаємодії стека протоколів TCP/IP.

АПКШ «Континент»IPC-25компактний кріптошлюз для невеликого офісу. АПКШ «Континент»є потужним та гнучким інструментом створення віртуальних приватних мереж, що дозволяє будувати VPN будь-якої архітектури. Забезпечує криптографічний захист інформації (відповідно до ГОСТ 28147–89), що передається по відкритих каналах зв'язку між складовими частинами VPN (локальні обчислювальні мережі, їх сегменти та окремі комп'ютери). шифрування окремих пакетів даних унікальними ключами, що гарантує захист від дешифрування перехоплених даних. Для захисту від НСД передбачено систему фільтрації трафіку. Здійснює підтримку VoIP, відеоконференцій, GPRS, 3G, LTE, ADSL, Dial-Up та супутникових каналів зв'язку, технології NAT/PAT для приховування структури мережі.

АПКШ «Континент» призначений для вирішення наступних типових завдань:

Захист мережі по всьому периметру
Надає можливість об'єднати територіально розподілені філії організації на єдину захищену мережу.
Забезпечує захист віддаленого доступу працівників у корпоративну мережу.

Виробник: ТОВ "Код Безпеки"

180 000,00 руб.

Рахунок сформується автоматично. Вкажіть тип платника "юридична особа" та заповніть реквізити.

Порівняння версій

	АПКШ "Континент" - IPC-25	АПКШ "Континент" - IPC-100	АПКШ "Континент" - IPC-400	АПКШ "Континент" - IPC-1000
Ціна	180 000 Р Купити	270 000 Р Купити	665 000 Р Купити	1021000 Р Купити
Продуктивність VPN (шифрування + фільтрація МЕ)	до 50 Мбіт/с	до 300 Мбіт/с	до 500 Мбіт/с	до 950 Мбіт/с
Продуктивність МЕ (відкритий трафік)	до 100 Мбіт/с	до 400 Мбіт/с	до 1 Гбіт/с	до 1 Гбіт/с
Максимальна кількість оброблюваних конкуруючих TCP сесій (keep-state)	10000	250000	350000	1000000
Кількість захищених з'єднань (VPN тунелів)	25	НЕ обмежено	НЕ обмежено	НЕ обмежено

Апаратна конфігурація:

Форм-фактор	Mini-ITX, висота 1U
Габарити (ВхШxГ)	155 х 275 x 45 мм
Процесор	Intel Atom C2358 частотою 1743 МГц
Оперативна пам'ять	SODIMM DDR3 DRAM, 2 Гбайти, PC-1333
Мережеві інтерфейси	4х 1000BASE-T Ethernet 10/100/1000 RJ45 (виконані у вигляді модулів, що легко замінюються)
Жорсткі диски	SATA DOM модуль 4Gb
Блок живлення	зовнішній адаптер змінного струму 19В, 220В 80Вт
Зчитувач	Touch Memory
Персональні ідентифікатори	Touch Memory iButton DS1992L 2шт.
Вбудований модуль АПМДЗ	ПАК "Соболь" 3.0 (mini-PCIe)
USB-flash drive	не менше 512 Мб
Рівень акустичного шуму при 100% завантаженні (методика вимірювання ISO7779)
Вбудована операційна система	Continent OS – вдосконалена ОС із посиленою безпекою на основі ядра FreeBSD

До складу АПКШ «Континент» 3.9 входить:

Центр управління мережею криптографічних шлюзів (ЦУС)– здійснює аутентифікацію КШ та АРМ управління/ моніторинг та протоколювання стану мережі КШ/ зберігання журналів та конфігурації КШ/ розсилку ключової та конфігураційної інформації/ централізоване управління криптографічними ключами/ взаємодія з програмою управління.
Криптошлюз (КШ)– це спеціалізований апаратно-програмний пристрій, що здійснює прийом і передачу IP-пакетів за протоколами TCP/IP (статична маршрутизація)/ шифрування пакетів (ГОСТ 28147–89, режим гамування зі зворотним зв'язком, довжина ключа 256 біт)/ захист даних від спотворення (ГОСТ 28147–89, режим імітівставки)/ фільтрацію пакетів/ приховування структури мережі/ реєстрацію подій/ оповіщення ЦУС про свою активність та події, що вимагають втручання/ контроль цілісності ПЗ КШ.
Програма управління ЦУС (ПУ ЦУС)- Її основна функція - централізоване управління налаштуваннями та оперативний контроль стану всіх КШ, що входять до складу комплексу. Встановлюється в захищеній мережі АРМ адміністратора під керуванням ОС MS Windows 2003/2008/7/8.
Агент ЦУС та СДздійснює встановлення захищеного з'єднання та обмін даними з ЦУС та ПУ /отримання від ЦУС, зберігання та передачу ПУ вмісту журналів/ отримання від ЦУС та передачу ПУ інформації про роботу комплексу.
Клієнт аутентифікації користувача- забезпечує аутентифікацію користувачів, що працюють на комп'ютерах, що знаходяться в захищеному сегменті мережі, при підключенні до криптографічного шлюзу.
Абонентський пункт (Континент-АП)здійснює встановлення VPN-тунелю між віддаленим робочим місцем користувача і внутрішньою мережею організації, що захищається. При підключенні по мережах загального доступу та Інтернет виконує автентифікацію користувача / підтримку динамічного розподілу адрес / віддалений доступ до ресурсів мережі, що захищається по шифрованому каналу / доступ по виділених і комутованих каналах зв'язку / можливість доступу до ресурсів мереж загального користування.
Сервер доступуздійснює забезпечення зв'язку між віддаленим АП та мережею, що захищається, а також визначення рівня доступу користувача та його аутентифікацію.
Програма керування сервером доступу (ПУ СД)– забезпечує оперативне сповіщення адміністратора мережі про події безпеки. Призначена для керування параметрами всіх серверів доступу, що входять до складу комплексу.
Детектор атак «Континент»- це програмний компонент, що забезпечує аналіз трафіку, що надходить від криптошлюзу, та фільтрацію несанкціонованих вторгнень. Працює разом із Центром управління мережею криптографічних шлюзів «Континент» версії 3.7 та вище.

Сертифікати

відповідність керівних документів ФСТЭК Росії за 2-м рівнем контролю на відсутність НДВ та 2-му класу захищеності для міжмережевих екранів. Може використовуватися створення автоматизованих систем до класу захищеності 1Б включно і під час створення інформаційних систем персональних даних до 1-го класу включно;
відповідність вимогам ФСБ Росії до пристроїв типу міжмережевий екран з 4-го класу захищеності;
відповідність вимогам ФСБ Росії до засобів криптографічного захисту інформації класу КС3 та можливість застосування для криптографічного захисту інформації, що не містить відомостей, що становлять державну таємницю;
Мінкомзв'язку Росії – про відповідність встановленим вимогам до обладнання маршрутизації пакетів інформації та можливості застосування на мережах зв'язку загального користування як обладнання комутації та маршрутизації пакетів інформації.

Подивитися на цей клас рішень під трохи іншим кутом - з точки зору застосування в них криптографії.

Традиція додавати до міжмережевого екрану (FW) функціональність VPN-сервера зародилася досить давно і є настільки вдалою та логічною (деякі так і пишуть - FW/VPN), що знайти периметровий (шлюзовий) міжмережевий екран (особливо в апаратному виконанні) без підтримки VPN не так просто. Можливо, вони є, але мені такі щось відразу не пригадуються. Виправте в коментарях, якщо помиляюся.

Природно, що з побудові VPN (віртуальних приватних мереж) хочеться отримати канал справді надійно захищений, що передбачає використання сильної криптографії (high encryption). А в Росії, як відомо, область сильної криптографії не менш сильно регулюється, адже VPN-сервер по суті є нічим іншим, як криптошлюзом.

Можна стверджувати, що сертифікований відповідно до російського законодавства VPN-сервер обов'язково повинен мати підтримку алгоритму ГОСТ і сертифікат ФСБ, якщо саме це відомство займається питаннями шифрування.

Навіть при сертифікації у ФСТЕК як міжмережевий екран у продуктах класу FW/VPN рекомендується відключати сильну криптографію, залишаючи тільки алгоритм DES з довжиною ключа 56 біт. Інша справа, що не все це роблять, а якщо і роблять, то, як варіант, можуть продати (подарувати) ключ активації сильної криптографії, надіславши його просто електронною поштою. Втім, зараз не про це.

Сертифікація у ФСБ має, звичайно, щось схоже з аналогічною процедурою у ФСТЕК, але вона точно набагато складніше - побічно це можна оцінити, наприклад, за тим фактом, що в значиться більше 2000 позицій, а в аналогічному - у п'ять разів менше.

Сам перелік коштів, сертифікованих ФСБ, звичайно, не тішить у плані свого оформлення, являючи собою таблицю, вставлену в doc-документ. Спроба скопіювати цю таблицю в Excel не дуже допомагає - деякі осередки виходять довільно-хаотично об'єднані дивними групами, а деякі (наприклад, виробник, назва продукту та його опис), навпаки, розбиті на довільне число рядків від 2 до 6, дати початку та закінчення дії сертифіката розташовані в сусідніх по вертикалі(!) осередках тощо. Напевно, працювати можна звикнути і з таким поданням інформації, але для своєї зручності я зробив Перелік у більш приємному оці та автоматичному фільтрі Excel вигляді (доступний за цим посиланням: ).

Однак, якщо з формою ще можна щось зробити, то розібратися в змісті під силу тільки фахівцеві, що глибоко знається на темі. Якоїсь класифікації продуктів особливо не передбачено, та ще й кожен розробник називає виріб на свій розсуд. Небагато рятують більш-менш подібні описи виконуваних функцій, але розібратися в них вдалося не відразу.

Після вдумливого вивчення представлених у Переліку продуктів прийшов до (сподіваюся, що виправдав себе) припущенню, що криптошлюзи, що нас цікавлять сьогодні, - це ті вироби, в описі функцій яких згадується протокол і криптографічний захист. Таких сертифікатів виявилося цілих 80, але реально продуктів набагато менше, тому що є окремі сертифікати на різні версії продуктів або навіть їх модулі, а в деяких випадках на кожне виконання виписаний окремий сертифікат з окремим номером.

Отже, відфільтрувавши рядки в Excel, давайте подивимося, чим нам можна користуватися для шифрування IP-трафіку.

З сертифікованих ФСТЕК міжмережевих екранів, що вже зустрічалися в оглядах, мають сертифікати ФСБ такі продукти:

ViPNet(розробник ІнфоТеКС)

Континент(розробник Інформзахист, Код Безпеки)

CSP VPN(розробник С-Терра СіЕсПі)

ЗАСТАВА(розробник ЕЛВІС-ПЛЮС)

StoneGate SSL VPN(розробник Нові технології безпеки)

DioNIS(розробник Фактор-ТС)

АТЛІКС-VPN(розробник НТЦ Атлас)

Тунель(розробник АМІКОН, ІнфоКрипт-P ПАК на основі ФПСУ-IP)

Додатково присутні два вузькоспеціальні вироби і два (якщо я правильно зрозумів) криптографічних провайдера:

МодульPHSM(розробник НТЦ Атлас, )

М-448-1.4 P(розробник ГУ спецпрограм Президента РФ, РЦЗІ ФОРТ, )

Бар'єр IPSec(розробник Валідата)

КриптоПро CSP/IPSec(розробник P КРІПТО-ПРО)

Як видно, число міжмережевих екранів, сертифікованих не лише у ФСТЕК, а й у ФСБ вкрай мало – фактично можна говорити лише про сімох гравців. Така мала кількість вендорів дозволяє сильним – почуватися у відносній безпеці, а решті – досить комфортно перебуває у своїй вузькій ніші. Будь-яка зміна усталеної рівноваги не на руку нікому з них, ну, лідерам ринку так вже й точно.

Друге спостереження, яке можна зробити - майже всі продукти спочатку російського виробництва. Так, компанія-розробник сертифікованого ФСБ СКЗІ може бути тільки російською юридичною особою, але й самі продукти здебільшого є вітчизняними продуктами, поклавши руку на серце, що розробляються виключно для виконання вимог регуляторів. Будь-яких серйозних успіхів за межами Росії (крім, зрозуміло, суміжних дружніх держав) ніхто з представлених вітчизняних вендорів зі своїми розробками поки що не досяг.

Ситуація серйозно змінилася минулого року, коли відбулося знакове (але, можливо, тоді ще не таке значне) подія: доопрацьований до вимог російських реалій. Спочатку продукт, що розробляється для відкритого комерційного світового ринку, отримав сертифікат ФСБ - чи є в Переліку ще такі приклади?

Але, все ж таки, це був не класичний IPSec криптошлюз, а SSL-рішення з усіма нюансами, до яких ринку ще потрібно було звикнути. Приблизно в той же час, що і для StoneGate SSL, було анонсовано сертифікацію StoneGate FW/VPN.

Ми можемо здогадуватися і припускати, з якими труднощами довелося зіткнутися команді, яка займалася цією сертифікацією, але всі вони були успішно подолані і в жовтні StoneGate FW/VPN отримав сертифікат ФСБ СФ/124-2027 від 04.10.2013 (поки що в Переліку від 07.03). чомусь відсутня). Ось тепер уже можна говорити, що на ринку кріптошлюзів з'явилася пряма загроза для гравців, що діють. При цьому, якщо згадати, що StoneGate - це комерційно успішний у світі продукт, настільки успішний, що Pі своїм продуктовим портфелем розширила лінійку рішень даного вендора, то стає ясно - загроза ця більш ніж просто трохи небезпечна.

Зрозуміло, що цей ринок досить інертний і не варто чекати на різкі зміни вже завтра. Зрештою, є збудовані канали збуту, певна інсталяційна база, яку ось так одноразово не оновиш, та й якісь особисті людські стосунки та домовленості, як це водиться, напевно, мають місце. Разом з тим, подія ця, без сумніву, важлива для всього ринку і тепер російські замовники та інтератори, що реалізують проекти, мають відмінну альтернативу звичному колишньому набору сертифікованих рішень для побудови шифрованих каналів передачі даних з використанням російської криптографії.