Универсальный криптошлюз и межсетевой экран

В современном мире ценится универсальность и масштабируемость используемых в организации решений. Производимые на текущий момент средства защиты информации конструируются таким образом, чтобы добавление нового функционала происходило без замены оборудования, путем использования плат расширения. Этот же подход позволяет снизить расходы на разворачивание, обслуживание системы, т. к. добавление платы расширения не требует остановки уже работающего оборудования. Однако использование существующих на сегодняшний день средств защиты информации на рынке не всегда возможно в органах государственной власти, т. к. большинство этих средств не отвечает требованиям, предъявляемым к СЗИ со стороны ФСБ и ФСТЭК. Одновременно, следуя современным требованиям рынка и законодательству РФ, ОАО «ИнфоТеКС» и компания Huawei Symantec разработали модификацию ПАК ViPNet Coordinator HW-VPNM представляющий собой модуль расширения для универсальных шлюзов безопасности USG 2000 (см. рис. 1 и рис. 2).

 

Рис. 1 ViPNet Coordinator HW-VPNM в составе шлюза USG2000 Рис. 2 ViPNet Coordinator HW-VPNM 


Программно-аппаратный комплекс изготовлен по техническому заданию ОАО «ИнфоТеКС», которое учитывает требования ФСБ РФ к программно-аппаратным СЗИ, и включает в себя криптошлюз и межсетевой экран. ViPNet Coordinator HW-VPNM, являясь модулем расширения для универсальных шлюзов безопасности USG2000 компании Huawei Symantec, легко внедряется в существующую инфраструктуру, надежно защищает передаваемую по каналам связи информацию от несанкционированного доступа и подмены. Использование адаптированной ОС Linux и надежной аппаратной платформы позволяет применять указанные криптошлюзы в качестве корпоративных решений, к которым предъявляются самые жесткие требования по функциональности, удобству пользования, маштабируемости решения, надежности и отказоустойчивости.

 

Спецификация ПАК ViPNet Coordinator HW-VPNM

 

Характеристика Описание
Аппаратные характеристики ПАК ViPNet Coordinator HW-VPNM 
Процессор Core 2 Duo series CPU, including T7500 and T7400, with socket478
Память DRAM 2Гб
Сетевые интерфейсы • Один внутренний интерфейс 1000 Мб/с Ethernet 
• два внешних интерфейса 10/100/1000 МБ/с Ethernet
Память Flash 1Гб
Физические характеристики ПАК ViPNet Coordinator HW-VPNM
Физические размеры (В x Ш x Д) 3.9 x 18.0 x 18.3 см
Вес 1.4 кг
Рабочая влажность 5 % до 95 %, без конденсата
Рабочая температура от 0 до +40°C
Температура хранения -25°C до +70°C
Рабочая высота над уровнем моря Макс. 3048 м при 25 ° C
Мощность 21 Вт

 

 

Функциональные возможности

Функциональные возможности модуля ПАК ViPNet Coordinator HW-VPNM

 

Характеристика Описание
Совместимость с другими программами C любыми VPN-продуктами из линейки ViPNet CUSTOM версий 2.8 и 3.0 (ViPNet Coordinator, ViPNet Coordinator Failover, ViPNet Coordinator HW (100, 1000), ViPNet Cluster, ViPNet Client)
Протоколы туннелирования По технологии ViPNet (инкапсуляция IP-рафика в IP #241 и UDP)
Шифрование/ 
Аутентификация
Шифрование по ГОСТ 28147-89 (256 бит), 
Аутентификация для каждого зашифрованного IP-пакета на основе технологии симметричного распределения ключей ViPNet и уникального идентификатора
Инфраструктура ключей

Парные симметричные ключи шифрования, обеспечивающие на несколько порядков более высокую стойкость шифрования, чем системы PKI. Симметричная ключевая структура не требует дополнительных открытых процедур синхронизации для формирования ключей, что повышает помехозащищенность системы, исключает задержки в обработке любых сетевых протоколов, обеспечивает мгновенность (по первому поступившему IP-пакету) организацию любых сетевых подключений других участников VPN. 
Автоматическое распределение симметричной ключевой информации при появлении в сети новых пользователей, задании в Центре управления сетью новых связей или удалении существующих связей, компрометации ключей или штатных процедурах смены ключевой информации

Маршрутизация Статическая маршрутизация;
  • Прозрачность для NAT-устройств (для защищенного трафика);
  • VPN-клиент, поддержка DHCP, DNS, WINS;
  • Помимо основных функций по туннелированию трафика между локальными сетями и с удаленными пользователями, организация прямого взаимодействия удаленных VPN-клиентов между собой, удаленных VPN-клиентов с локальными VPN-клиентами, локальных VPN- клиентов внутри локальной сети. Это достигается за счет технологии оповещения ViPNet-координаторами каждого участника VPN напрямую или через другие ViPNet-координаторы о способах подключения, IP-адресах связанных между собой участников VPN;
  • Автоматическая регулировка параметров MSS в TCP-сессиях для исключения излишней фрагментации трафика, которая может возникать при передаче длинных пакетов;
  • Возможность работы при изменении собственных IP-адресов, IP-адресов NAT – устройств, возможность работы за устройствами с динамическими правилами NAT;
  • Возможность каскадирования в сегментированных сетях с целью разграничения доступа;
  • Технология назначения виртуальных IP -адресов для любых удаленных улов.
Фильтрация
  • Фильтрация по IP-адресу источника и назначения (или диапазон IP-адресов), номерам портов и типам протоколов, типам и кодам сообщений ICMP, направлению пакетов, клиенту или серверу в TCP-соединении,
  • Контроль фрагментированных пакетов, DoS-атаки
  • Фильтрация сессии FTP;
  • Поддержка режима открытых инициативных соединений (режим невидимости для внешних хостов);
  • Поддержка раздельной фильтрации для открытого IP -трафика (функция межсетевого экрана) и шифруемого IP -трафика (функция криптошлюза).
Настройка и управление
  • Настройка через специализированную консоль ПО ViPNet Coordinator;
  • Удаленная настройка базовых параметров через ViPNet Administrator;
  • Поддержка SNMP trap для удаленного оповещения о событиях;
  • Удаленный запрос журнала IP-пакетов (через Windows-продукты ViPNet Coordinator и Client);
  • Java-апплет мониторинга текущего состояния ПАК.
Поддержка QoS IP TOS мапирование поверх зашифрованных IP-пакетов (IP #241 или UDP), то есть сохраняется классификации трафика для защищенных пакетов, приоритетная обработка трафика голоса и видео
Высокая доступность и надежность Отсутствует понятие защищенных соединений, поэтому нет задержек в сетевых протоколах и их нарушений (любой IP-пакет обрабатывается сразу после получения), а также потери соединений и необходимости их восстановления, как в технологии IPSec. 
Специальная архитектура файловой системы предотвращает возможность порчи образа операционной системы и ПО ViPNet при сбоях по питанию.
Обновление ПО модуля Централизованное удаленное обновление ПО ViPNet Coordinator Linux в модуле через ViPNet Administrator с контролем прохождения обновления

 

 

Сценарии использования

Совместно с другими программными продуктами линейки ViPNet CUSTOM ViPNet Coordinator HW-VPNM в составе шлюза USG2000 обеспечивает эффективную реализацию множества сценариев защиты информации:

  • Межсетевые взаимодействия;
  • Защищенный доступ удаленных и мобильных пользователей к ресурсам локальной сети;
  • Защита беспроводных сетей;
  • Защита мультисервисных сетей (включая IP телефонию и видеоконференцсвязь);
  • Защита платежных систем и систем управления технологическими процессами в производстве и на транспорте;
  • Разграничение доступа к информации в локальных сетях;
  • а также любые комбинации перечисленных выше сценариев (см. рис.3).

Рис.3. Пример использования ViPNet Coordinator HW-VPNM.

Сертификация по требованиям ФСБ РФ

«Программно-аппаратный комплекс «ViPNet Coordinator HW» (в модификациях HW100/HW1000/HW2000/HW-VPNM) получил сертификат соответствия ФСБ России №СФ/124-1459 от 09.05.10 г. по требованиям к СКЗИ класса КС3. Сертификат действителен до 09 мая 2013 года.

«Программно-аппаратный комплекс ViPNet Coordinator HW» (модификации ViPNet Coordinator HW100 (типы А,B,C), ViPNet Coordinator HW1000, ViPNet Coordinator HW2000, ViPNet Coordinator HW-VPNM) получил сертификат соответствия ФСБ России №СФ/515-1530 от 04.10.10 г по требованиям к к устройствам типа межсетевые экраны по 4 классу защищенности и может использоваться для защиты информации от несанкционированного доступа в информационно-телекоммуникационных системах органов государственной власти Российской Федерации. Сертификат действителен до 15 ноября 2012 года.

 

Сертификация по требованиям ФСТЭК РФ

Программно-аппаратный комплекс ViPNet Coordinator HW (модификации HW100/1000/VPNM) соответствует требованиям ФСТЭК России к устройствам типа межсетевые экраны по 3 классу и 3 уровню контроля отсутствия недекларированных возможностей. По совокупности требований ПАК ViPNet Coordinator HW можно использовать при создании автоматизированных систем до уровня 1В и в защите информационных систем обработки персональных данных до 1 класса включительно.

Наши клиенты