Впн Гате

С-Терра Бел - Шлюз безопасности Bel VPN Gate

Описание Спецификация Количество одновременно поддерживаемых VPN туннелей 5/10/50/1000/неограниченное количество Производительность От 50 Мб/с Количество сетевых интерфейсов Не менее 2 Размещение аппаратных платформ Аппаратные платформы, за исключением аппаратных платформ программно-аппаратного комплекса «Шлюз безопасности Bel VPN Gate 4.1» c лицензией до 10 туннелей (Gate 100) до 50 Мбит/c, имеют серверное исполнение и могут быть размещены в серверных шкафах. Размещение программно-аппаратного комплекса «Шлюз безопасности Bel VPN Gate 4.1» c лицензией до 10 туннелей (Gate 100) до 50 Мбит/c в серверных шкафах возможно при приобретении дополнительных комплектующих — Полки металлической. Носитель ключевой информации AvPass 11-E-02 / AvPass 11-E-04 / AvBign 128-C-01 Алгоритмы шифрования

• СТБ 34.101.31-2011
• ГОСТ 28147-89

Алгоритмы контроля целостности (имитозащита)

• СТБ 34.101.31-2011
• ГОСТ 28147-89

Алгоритмы электронной цифровой подписи Алгоритмы вычисления хэш сумм Генерация случайных данных Аппаратный датчик (AvPass 11-E-02 / AvPass 11-E-04 / AvBign 128-C-01), СТБ 34.101.47-2017 Стандарты IKE/IPsec RFC 2401-2412 Защита трафика Протоколы IPsec:

• IPsec Encapsulating Security Payload (ESP) – инкапсуляция пакетов данных
• IPsec Authentication Header (AH) – защищенный заголовок

Управление ключами Протокол IKE Информационные обмены IKE

• Main mode
• Aggressive mode
• Quick mode
• Transaction Exchanges
• Informational Exchanges

Режимы аутентификации IKE

• по сертификатам (СТБ 34.101.45-2013)
• по preshared key

Дополнительные возможности IKE режим IKE-CFG для объединения различных сетевых объектов в виртуальную локальную сеть Работа через NAT протокол NAT Traversal IPsec Обеспечение надежности защищенных соединений протокол Dead Peer Detection (DPD) Управление

• локально (CLI) или удаленно по протоколу SSH
• с помощью программного продукта Bel VPN KP 4.1

Событийное протоколирование Syslog Сбор статистики SNMP v.1, v.2c Формат сертификатов открытых ключей X.509 v.3 (СТБ 34.101.19-2012) Поддерживаемые системы сертификатов открытого ключа ГосСУОК, Mailgov Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом Certificate Enrollment Request (CER), упакованный в PKCS#10 (bin/base 64) Способы передачи сертификатов между устройствами

• протокол IKE
• протокол LDAP v.3
• импорт из файла: PKCS#7 (bin/base64), PKCS#12 (bin/base64)

Способы получения ключевой пары

• генерация продуктом с выдачей CER
• генерация внешним PKI сервисом с доставкой через PKSC#12

Поддержка списка отозванных сертификатов Обработка Certificate Revocation List (CRL) [опционально] Поддерживается CRL v.2. Способы получения CRL:

• протокол LDAP v.3
• импорт из файла: PKCS#7 (bin/base64), PKCS#12(bin/base64)

Поддержка QoS Отображение битов TOS поверх IPsec и приоретизация очередей QoS для обеспечения работы IP-телефонии и видео Межсетевой экран СТБ 34.101.73-2017 (пункты 7.3, 7.4):

• по IP-адресу (диапазон IP, хост) источника и назначения
• по порту и типу протокола
• обработка фрагментированных пакетов

Маршрутизация

• cтатическая маршрутизация
• RIPv2
• OSPF
• контроль фрагментации пакетов в канале
• назначение IP из локального пула адресов (IKE-CFG)

Механизмы обеспечения отказоустойчивости

при использовании технологий туннелирования IKE и STN (STB 34.101.71-2014) по IP-адресам источника и назначения по типу порта и протокола
Строгость применения протокола IPSec (STB 34.101.65-2016) по IP-адресам источника и назначения по порту и типу протокола
Выделение нового интерфейса с помощью протокола IKE (STB 34.101.

Программный комплекс CSP VPN Gate со специальным загрузочным носителем «МАРШ!» реализует принципиально новую концепцию организации защиты рабочих мест удалённых пользователей во время сеанса связи с сервисами распределённой информационной системы. Суть концепции состоит в построении на компьютере пользователя изолированной программной среды, которая предоставляет достаточные условия для защищённой работы с сервисами распределённой информационной системы на определённый период времени. Такой подход позволяет снять значительную часть ограничений (в части установленного ПО, режимов работы и т.д.), неизбежно возникающих при использовании удаленного компьютера для защищенного взаимодействия. Класс защиты при этом не снижается.

Организация доверенного сеанса связи с помощью модуля «МАРШ!» - новинка, представленная на суд рынка минувшей осенью. Стоит отметить, что защита удаленного пользователя является одним из самых узких мест в системах безопасности организаций. Новое решение обеспечивает:

• изоляцию критически важных приложений при работе в недоверенной среде;
• строгую аутентификацию пользователя и криптографически стойкий контроль доступа;
• изоляцию сетевого взаимодействия от внешней сети, целостность передаваемых данных, защиту трафика от внедрения посторонних данных;
• отсутствие недекларированных возможностей и программных закладок;
• масштабируемость сети удаленного доступа до сотен тысяч пользователей;
• высокую экономическую эффективность решения в целом.

В решении используется шлюз безопасности CSP VPN Gate, размещенный либо на отдельной платформе, либо в составе модуля NME-RVPN (МСМ). CSP VPN Gate предназначен для защиты передаваемой по протоколу TCP/IP открытой информации, а также конфиденциальной информации, не содержащей сведений, составляющих государственную тайну, в информационных системах с выполнением таких функций, как пакетная фильтрация трафика, защита трафика на основе шифрования пакетов по протоколам IPSec AH и/или IPSec ESP, идентификация и аутентификация партнеров при установлении соединения, контроль целостности пакетов с использованием хэш-функции.

Специальный загрузочный носитель может использоваться как на модуле NME-RVPN (МСМ) в варианте исполнения «МАРШ!-CF», так и непосредственно на стороне клиента в варианте исполнения «МАРШ!-USB». Он обеспечивает загрузку доверенной вычислительной среды, что позволяет достичь уровня защиты КС2 без применения дополнительных устройств типа «электронный замок».

Внедренные версии модуля сертифицированы ФСБ России как средство криптографической защиты информации (СКЗИ) по классу защиты КС 1. При его использовании в комплексе с загрузочным модулем «МАРШ!» достигается более высокий уровень защиты.

Специальный загрузочный носитель доступен в двух вариантах исполнения: «МАРШ!-USB» (с USB-портом) и «МАРШ!-CF» (с картой CF). Он может использоваться на стороне клиента в исполнении «МАРШ!-USB» совместно с программным шлюзом безопасности CSP VPN Gate. В этом случае обеспечивается построение доверенного сеанса связи удаленного пользователя.

Второй способ использования решения – в исполнении «МАРШ!-CF». Оно может быть установлено, например, на аппаратном шлюзе безопасности NME-RVPN (МСМ), который является совместной разработкой компании Cisco и ее технологического партнера «С-Терры». При этом варианте построения удаленного доступа клиенты получают такое неоспоримое преимущество, как использование технологий мирового лидера в области сетевой безопасности компании Cisco наряду с применением надежной технологии построения сеанса удаленной связи с помощью российских продуктов, использующих российские алгоритмы шифрования канала. Применение «МАРШ!-CF» обеспечивает загрузку доверенной вычислительной среды, что позволяет решению на базе NME-RVPN (МСМ) достичь уровня защиты КС2 без применения дополнительных устройств типа «электронный замок».

120-frag-3/7