Криптографические шлюзы. Криптошлюзы и методы их построения

Pвзглянуть на этот класс решений под немного иным углом — с точки зрения применения в них криптографии.

Традиция добавлять к межсетевому экрану (FW) функциональность VPN-сервера зародилась довольно давно и является настолько удачной и логичной (некоторые так и пишут - FW/VPN), что найти периметровый (шлюзовой) межсетевой экран (особенно в аппаратном исполнении) без поддержки VPN не так и просто. Возможно, что они есть, но мне такие что-то сходу не припоминаются. Поправьте в комментариях, если ошибаюсь.

Естественно, что при построении VPN (виртуальных частных сетей) хочется получить канал действительно надёжно защищённый, что предполагает использование сильной криптографии (high encryption). А в России, как известно, область сильной криптографии не менее сильно регулируется, ведь VPN-сервер по сути своей является ни чем иным, как криптошлюзом.

Можно утверждать, что сертифицированный в соответствии с российским законодательством VPN-сервер обязательно должен иметь поддержку алгоритма ГОСТ и сертификат ФСБ, коль скоро именно данное ведомство курирует у нас вопросы шифрования.

Даже при сертификации во ФСТЭК в качестве межсетевого экрана в продуктах класса FW/VPN рекомендуется отключать сильную криптографию, оставляя только алгоритм DES с длиной ключа 56 бит. Другое дело, что не все это делают, а если и делают, то, как вариант, могут продать (подарить) ключ активации сильной криптографии, отправив его просто по электронной почте. Впрочем, сейчас не об этом.

Сертификация в ФСБ имеет, конечно, что-то схожее с аналогичной процедурой во ФСТЭК, но она точно гораздо сложнее - косвенно это можно оценить, например, по тому факту, что в значитсяPболее 2000 позиций, а в аналогичном - в пять раз меньше.

Сам перечень средств, сертифицированных ФСБ, конечно, не радует в плане своего оформления, представляя собой таблицу, вставленную в doc-документ. Попытка скопировать эту таблицу в Excel не сильно помогает - некоторые ячейки получаются произвольно-хаотично объединены странными группами, а некоторые (например, изготовитель, название продукта и его описание) наоборот разбиты на произвольное число строк от 2 до 6, даты начала и окончания действия сертификата расположены в соседних по вертикали(!) ячейках и т.д. Наверное, работать можно привыкнуть и с таким представлением информации, но для своего удобства я сделал Перечень в более приятном глазу и автоматическому фильтру Excel виде (доступен по этой ссылке: ).

Однако, если с формой ещё можно что-то сделать, то разобраться в содержании под силу только глубоко разбирающемуся в теме специалисту. Какой-либо классификации продуктов особо не предусмотрено, да ещё и каждый разработчик называет изделие по своему усмотрению. Немного спасают более-менее сходные описания выполняемых функций, но разобраться в них удалось не сразу.

После вдумчивого изучения представленных в Перечне продуктов пришёл к (надеюсь, оправдавшему себя) предположению, что интересующие нас сегодня криптошлюзы - это те изделия, в описании функций которых упоминается протокол и криптографическая защита. Таких сертификатов оказалось целых 80, но реально продуктов гораздо меньше, так как присутствуют отдельные сертификаты на разные версии продуктов или даже их модули, а в некоторых случаях на каждое исполнение выписан отдельный сертификат с отдельным номером.

Итак, отфильтровав строки в Excel, давайте посмотрим, чем же нам можно пользоваться для шифрования IP-трафика.

Из уже встречавшихся в обзорах сертифицированных ФСТЭК межсетевых экранов имеют сертификаты ФСБ такие продукты:


  • ViPNet (разработчик ИнфоТеКС)

  • Континент (разработчик Информзащита, Код Безопасности)

  • CSP VPN (разработчик С-Терра СиЭсПи)

  • ЗАСТАВА (разработчик ЭЛВИС-ПЛЮС)

  • StoneGate SSL VPN (разработчик Новые технологии безопасности)

  • DioNIS (разработчик Фактор-ТС)

  • АТЛИКС-VPN (разработчик НТЦ Атлас)

  • Туннель (разработчик АМИКОН, ИнфоКрипт -P ПАК на основе ФПСУ-IP )

Дополнительно присутствуют два узкоспециальных изделия и два (если я правильно понял) криптографических провайдера:


  • МодульPHSM (разработчик НТЦ Атлас, )

  • М-448-1.4 P(разработчик ГУ спецпрограмм Президента РФ, РЦЗИ ФОРТ, )

  • Барьер IPSec (разработчик Валидата)

  • КриптоПро CSP/IPSec (разработчикP КРИПТО-ПРО)

Как видно, число межсетевых экранов, сертифицированных не только во ФСТЭК, но и в ФСБ крайне мало - фактически можно говорить лишь о семи игроках. Такое малое количество вендоров позволяет сильным - чувствовать себя в относительной безопасности, а остальным - достаточно комфортно находится в своей узкой нише. Любое изменение устоявшегося равновесия не на руку никому из них, ну, лидерам рынка так уж точно.

Второе наблюдение, которое можно сделать - почти все продукты изначально российского производства. Да, компания-разработчик сертифицированного ФСБ СКЗИ может быть только российским юридическим лицом, но и сами продукты в большинстве своём представляют собой отечественные продукты, положа руку на сердце, разрабатываемые исключительно для выполнения требований регуляторов. Каких-либо серьёзных успехов за пределами России (кроме, понятно, сопредельных дружеских государств) никто из представленных отечественных вендоров со своими разработками пока не добился.

Ситуация серьёзно изменилась в прошлом году, когда произошло знаковоеP(но, быть может, тогда ещё не такое значительное) событие: доработанный до требований российских реалий . Изначально разрабатываемый для открытого коммерческого мирового рынка продукт получил сертификат ФСБ - есть ли в Перечне ещё такие примеры?

Но, всё же, это был не классический IPSec криптошлюз, а SSL-решение со всеми вытекающими нюансами, к которым рынку ещё нужно было привыкнуть. Примерно в то же время, что и для StoneGate SSL, была анонсирована сертификация StoneGate FW/VPN.

Мы можем догадываться и предполагать, с какими трудностями пришлось столкнуться команде, занимавшейся этой сертификации, но все они были успешно преодолены и в октябре StoneGate FW/VPN получил сертификат ФСБ СФ/124-2027 от 04.10.2013 (пока в Перечне от 07.10.2013 почему-то отсутствует). Вот теперь уже можно говорить, что на рынке криптошлюзов появилась прямая угроза для действующих игроков. При этом, если вспомнить, что StoneGate - это коммерчески успешный в мире продукт, настолько успешный, что Pи своим продуктовым портфелем расширила линейку решений данного вендора, то становится ясно - угроза эта более, чем просто немного опасная.

Понятно, что этот рынок достаточно инертен и не стоит ждать резких изменений уже завтра. В конце концов, есть выстроенные каналы сбыта, определённая инсталляционная база, которую вот так единоразово не обновишь, да и какие-то личные человеческие отношения и договорённости, как это водится, наверняка, имеют место быть. Вместе с тем, событие это, без сомнения, важное для всего рынка и теперь у российских заказчиков и интераторов, реализующих проекты, есть отличная альтернатива привычному прежнему набору сертифицированных решений для построения шифрованных каналов передачи данных с использованием российской криптографии.

Криптошлюзы (VPN-шлюзы, VPN-маршрутизаторы или крипто-маршрутизаторы) выполняют функции обеспечения конфиденциальности данных пользователя путём их шифрования и функции контроля целостности сообщений пользователя на выходе из ГСПД при помощи аутентификаторов сообщений. Центр управления ВЧС выполняет функции мониторинга и управления работой криптошлюзов, а также отвечает за распределение криптографических ключей между ними. В состав ВЧС могут входить отдельные рабочие станции пользователей, ЛВС и другие АС.

В настоящее время существует четыре метода построения криптошлюзов ВЧС:

На базе сетевых операционных систем со встроенными функциями организации ВЧС;

На базе маршрутизаторов/коммутаторов, ПО которых имеет функции построения ВЧС;

На базе МЭ, в ПО которых интегрированы функции по построению ВЧС;

На базе специализированного программно-аппаратного обеспечения, предназначенного только для построения ВЧС.

В рамках ВЧС все данные, как правило, передаются по так называемым «туннелям» , которые представляют собой виртуальное соединение между двумя криптошлюзами ВЧС. Алгоритм передачи сообщений через туннель ВЧС выглядит следующим образом. Перед отправкой сообщений пользователя через туннель криптошлюз их зашифровывает, вычисляет для них аутентификатор, после чего сообщения инкапсулируются (переупаковываются) в новые сообщения, которые и передаются по туннелю. При этом в поле заголовка «Адрес получателя» сформированного сообщения указывается адрес криптошлюза, а не адрес АС пользователя которому на самом деле предназначается сообщение, что позволяет скрыть истинные адреса субъектов соединения. После передачи сообщений на другом конце туннеля криптошлюз извлекает полученные данные, расшифровывает их, проверяет их целостность, после чего данные передаются адресатам. Такой способ передачи сообщений принято называть «туннелированием» . Схема туннелирования сообщений пользователя изображена на рис. 19.2.

Рисунок 19.2 - Схема туннелирования сообщений пользователя

Взаимодействие между криптошлюзами ВЧС реализуется при помощи протоколов специального типа, называемых криптопротоколами. Криптопротоколы могут быть реализованы на различных уровнях модели ВОС (табл. 19.1).

Таблица 19.1. Криптопротоколы различных уровней модели ВОС

В настоящее время наиболее часто для построения ВЧС используется криптопротокол IPSec , спецификация которого является частью базового стандарта шестой версии протокола IP, посредством которого реализуются функции уровня межсетевого взаимодействия стека протоколов TCP/IP.

Построение виртуальных частных сетей (VPN) предполагает создание защищенных от постороннего доступа туннелей между несколькими локальными сетями или удаленными клиентами поверх другой сети с меньшим уровнем доверия (например, Интернет). Уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии. Для создания и обслуживания подобных туннелей необходимы специальные протоколы, программное обеспечение и оборудование. Виртуальные частные сети существенно дешевле глобальной вычислительной сети, так как не требуется платить за кабельные линии, соединяющие локальные сети.

Решения VPN реализуют следующие функции:

  • шифрование;
  • подтверждение подлинности;
  • идентификация;
  • контроль трафика.

Методы реализации VPN:

  • Intranet VPN используется для объединения в единую защищеенную сеть нескольких распределеенных филиалов одной организации, обменивающихся данными по открытым каналам связи.
  • Remote Access VPN используется для создания защищенного канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который подключается удаленно.
  • Extranet VPN используется в сетях, к которым подключаются внешние пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных мер защиты, предотвращающих или ограничивающих доступ к конфиденциальной информации.
  • Client/Server VPN используется при передаче данных между двумя узлами корпоративной сети, находящимися в одном сегменте. Такая необходимость возникает в случае, когда в одной физической сети необходимо создать несколько логических сетей. Вместо разделения трафика используется шифрование.

Компания «Альтирикс системс» является партнером лидеров рынка VPN\криптошлюзов и предлагает решения компаний Stonesoft, «Код Безопасности», «Инфотекс», S-Terra, Cisco.

StoneGate SSL VPN - возможность простого и защищенного удаленного доступа пользователей к корпоративным информационным ресурсам из любого места на базе бесклиентской технологии SSL VPN. Она идеально подходит для организаций с несколькими мобильными пользователями, осуществляющими доступ к сети из разных точек, для которых одинаково важными являются безопасное соединение и легкий доступ к сети. StoneGate SSL VPN обеспечивает пользователям - сотрудникам организации гибкий и защищенный доступ к корпоративной сети, который они могут осуществлять с любых устройств, подключенных к Интернету - ноутбуков, PDA или мобильных телефонов. Корпоративные приложения могут включать электронную почту, интранет и экстранет, приложения клиент/сервер, IP-телефонию, службы терминалов и многое другое. Ключевыми особенностями решения: поддержка до 5000 одновременных соединений; установление соединения с любого устройства вне зависимости от типа клиентского оборудования и способа подключения к сети (UMTS, WLAN); бесплатно предустановленных вместе со шлюзом более 20 методов аутентификации, включая уникальные методы аутентификации с использованием мобильного телефона; автоматическое удаление всех следов соединения при его завершении (временных файлов, кэша, скаченных документов и тд.; поддержка российских криптографических алгоритмов; интеграция с Microsoft Active Directory и MS Outlook ActiveSync; расширенная поддержка Single Sign-On (SSO)); быстрая интеграция с системами контроля доступа и конечными приложениями; встроенная поддержка приложений Outlook Web Access 2000/2003, Domino Web Access 6.5, Citrix MetaFrame Presentation Server, Terminal Server 2000/2003, MS Outlook Client 2000/2003 и др.; возможность удаленного обновления ПО; централизованное управление всеми устройствами и мониторинг в режиме реального времени; возможность резервирования и кластеризации; расширенные парольные политики; контекстный контроль сессий; гибкость установки и простота администрирования. StoneGate SSL VPN имеет сертификаты ФСТЭК России и ФСБ России.

Stonesoft FW/VPN - семейство высокопроизводительных программно-аппаратных межсетевых экранов, в основе которых лежат уникальные архитектурные решения, позволяющие обеспечить непревзойденный уровень защиты информационных систем. В StoneGate FW/VPN используется собственная интегрированная защищенная операционная система, что исключает необходимость выполнения каких-либо специализированных операций по настройке, а также позволяет наращивать функциональность StoneGate лишь за счет добавления новых компонентов без изменения работающей инфраструктуры и без остановки в работе. В StoneGate FW/VPN применены самые современные технологии анализа трафика и обеспечения отказоустойчивости. Запатентованная технология MultiLayer Inspection совмещает в себе достоинства фильтров Application proxy и Stateful Inspection, позволяя добиться большей безопасности соединений и гибкости фильтрации при отсутствии какого-либо значительного снижения скорости. При этом фильтрация трафика с отслеживанием контекста устанавливаемых соединений возможна не только на 3-4 уровнях модели OSI, но и на уровне приложений. На сегодняшний день для инспекции доступно более 20 прикладных протоколов (H.323, SIP, FTP, HTTP(S), SMTP, IMAP, POP3, SSH, NBT, MSRPC, Sun RPC, Oracle TNS и др.), что позволяет инспектировать поток по полному набору правил, осуществляя, помимо всего прочего, контентную и URL-фильтрацию, антивирусную инспекцию и т.д. Еще одной уникальной возможностью, реализованной в межсетевых экранах StoneGate FW/VPN, является поддержка запатентованной технологии MultiLink, которая позволяет обеспечить высокую степень доступности ресурсов путем использования динамической балансировки нагрузки по каналам связи. StoneGate FW/VPN имеет сертификат ФСТЭК России.

АПКШ «Континент» - семейство средств построения виртуальных частных сетей на основе глобальных сетей общего пользования, использующих протоколы семейства TCP/IP. Основные возможности: безопасный доступ пользователей VPN к ресурсам сетей общего пользования; криптографическая защита передаваемых данных в соответствии с ГОСТ 28147-89; межсетевое экранирование - защита внутренних сегментов сети от несанкционированного доступа; безопасный доступ удаленных пользователей к ресурсам VPN-сети; создание информационных подсистем с разделением доступа на физическом уровне; поддержка распространенных каналов связи; работа с высокоприоритетным трафиком; резервирование гарантированной полосы пропускания за определенными сервисами; поддержка VLAN; скрытие внутренней сети; поддержка технологий NAT/PAT; возможность интеграции с системами обнаружения атак; удаленное обновление программного обеспечения криптошлюзов. АПКШ «Континент» имеет сертификаты ФСТЭК России и ФСБ России.

ViPNet CUSTOM - cамая обширная продуктовая линейка корпоративного уровня - конструктор защищенных сетей, предлагающий решение всего спектра задач по организации VPN и PKI. Технические преимущества: ориентация на организацию защищенного взаимодействия «клиент-клиент» (в то время как большинство VPN-решений других производителей обеспечивают только соединения уровня «сервер-сервер» или «сервер-клиент»), что дает возможность реализовать любую необходимую политику разграничения доступа в рамках всей защищенной сети, а также снизить нагрузку на VPN-серверы, так как в общем случае при взаимодействии «клиент-клиент» VPN-сервер не задействован в операциях шифрования трафика между этими клиентами; большое внимание в ViPNet CUSTOM уделено решению проблемы функционирования в условиях наличия разнообразного сетевого оборудования и программного обеспечения, реализующего динамическую или статическую трансляцию адресов и портов (NAT / PAT), что существенно облегчает процесс интеграции системы защиты в существующую инфраструктуру сети; в большинстве случаев настройка ПО ViPNet Client вручную не требуется; в ViPNet CUSTOM реализована раздельная фильтрация открытого и шифруемого трафиков, что позволяет даже среди доверенных сетевых узлов ограничивать возможность работы через несанкционированные порты, протоколы и за счет этого повышать уровень безопасности защищенной сети; каждый компонент ViPNet CUSTOM содержит встроенный сетевой экран и систему контроля сетевой активности приложений или работает совместно с ПО ViPNet Client, что позволяет получить надежную распределенную систему межсетевых и персональных сетевых экранов; для разрешения возможных конфликтов IP-адресов в локальных сетях, включаемых в единую защищенную сеть, ViPNet CUSTOM предлагает развитую систему виртуальных адресов. Во многих случаях она позволяет упростить настройку прикладного ПО пользователя, так как наложенная виртуальная сеть со своими виртуальными адресами скрывает реальную сложную структуру сети. Также становится возможным решение проблем взаимодействия локальных сетей с пересекающейся IP-адресацией. ViPNet CUSTOM поддерживает возможность межсетевого взаимодействия, что позволяет устанавливать необходимые защищенные каналы связи между произвольным числом защищенных сетей, построенных с использованием ViPNet CUSTOM. ViPNet CUSTOM обеспечивает защиту информации в современных мультисервисных сетях связи, предоставляющих услуги IP-телефонии и аудио- и видео-конференц-связи. Поддерживается приоритезация трафика и протоколы H.323, Skinny, SIP. ПО ViPNet Coordinator поддерживает работу на современных многопроцессорных и многоядерных серверных платформах, что позволяет обеспечивать высокую скорость шифрования трафика. ViPNet CUSTOM имеет сертификаты ФСТЭК России и ФСБ России.

Cisco VPN - семейство продуктов, которые предлагают весь спектр технологий VPN уровней 2 и 3, рассчитанных на инфраструктуры IP и MPLS. На уровне 2 Cisco VPN решает задачи дифференцирования пакетных инфраструктур провайдеров услуг с помощью двух различных туннельных протоколов уровня 2: Cisco AToM для опорных сетей MPLS и Layer 2 Tunneling Protocol версии 3 (L2TPv3) для опорных сетей IP. Оба названных протокола обеспечивают высокоскоростные соединения уровня 2 между любыми двумя узлами и поддерживают технологии подключения уровня 2 (т.е. Frame Relay, Ethernet, HDLC и ATM). Кроме того, сети VPN уровня 2 поддерживают новые мультиточечные технологии, например, услуги виртуальных частных локальных сетей (Virtual Private LAN). Для уровня 3 Cisco предлагает такие технологии VPN, как Cisco IPsec, GRE и MPLS/BGP VPN. Названные технологии поддерживают транспортировку пакетов IP в качестве компонента решения VPN поверх опорной сети IP/MPLS. Они действуют на уровне IP, обеспечивая интеллектуальный уровень для управления трафиком заказчика и комплексной маршрутизации. Технологии Cisco VPN предлагают заказчикам следующие преимущества: одна сеть; любые средства доступа; наличие полного набора протоколов, платформ и средств создания и настройки услуг; снижение стоимости владения; гибкость, масштабируемость и услуги, необходимые как провайдерам, так и крупным корпоративным клиентам.

S-Terra CSP VPN - семейство продуктов - шлюзов безопасности для защиты индивидуальных пользователей, серверов, отдельных сетей и специализированных устройств. Основные характеристики: обеспечение защиты трафика на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP; обеспечение пакетной фильтрации трафика с использованием информации в полях заголовков сетевого и транспортного уровней; различные наборы правил обработки трафика на различных интерфейсах; интеллектуальное отслеживание доступности партнеров обмена (DPD); интегрированный межсетевой экран; поддержка работы мобильного пользователя в соответствии с политикой безопасности внутрикорпоративной сети (IKECFG-сервер); возможность получения сертификатов открытых ключей по протоколу LDAP; поддержка маскировки реального IP адреса (туннелирование трафика); управляемое событийное протоколирование (syslog); мониторинг глобальной статистики по протоколу SNMP, совместимость с CiscoWorks VPN Monitor; прозрачность для работы сервиса QoS; поддержка инкапсуляции пакета ESP в UDP (NAT traversal); совместимость с PKI- и LDAP-службами зарубежных и российских производителей. S-Terra CSP VPN имеет сертификаты ФСТЭК России и ФСБ России.

Эксперты компании «Альтирикс системс» помогут подобрать и внедрить решение, которое с максимальной эффективностью и минимальными затратами справится с поставленными задачами.

Если Вы хотите получить более подробную информацию о предлагаемых продуктах, решениях и услугах, напишите нам письмо на [email protected]сайт, и не позднее чем через 24 часа с Вами обязательно свяжется наш сотрудник.

Континент-К
Аппаратно-программный комплекс


В современных информационных системах (ИС) в последнее время широкое распространение получили виртуальные частные сети (Virtual Private Network - VPN).

Технология VPN позволяет формировать виртуальные защищенные каналы связи в сетях общего пользования (например, Internet), гарантирующие конфиденциальность и достоверность информации. VPN-сеть представляет собой объединение локальных сетей (ЛВС) или отдельных компьютеров, подключенных к сети общего пользования, в единую защищенную виртуальную сеть.

Растущий интерес к данной технологии обусловлен следующими факторами:

  • низкой стоимостью эксплуатации за счет использования сетей общего пользования вместо собственных или арендуемых линий связи;
  • практически неограниченной масштабируемостью;
  • простотой изменения конфигурации и наращивания корпоративной сети;
  • "прозрачностью" для пользователей и приложений.
Переход от распределенной корпоративной сети на базе выделенных каналов к VPN на основе сетей общего пользования позволяет существенно снизить эксплуатационные расходы.

Но использование сетей общего пользования для организации VPN предъявляет дополнительные требования к обеспечению защиты информационных ресурсов предприятия от несанкционированного доступа (НСД).

Для надежной защиты информации в VPN предназначен аппаратно-программный комплекс "Континент-К", разработанный НИП "Информзащита". Этот комплекс обеспечивает защиту конфиденциальной информации в корпоративных VPN-сетях, использующих протоколы семейства TCP/IP. В качестве составных частей VPN могут выступать ЛВС предприятия или их отдельные фрагменты.

Аппаратно-программный комплекс "Континент-К" обеспечивает:

  • защиту внутренних сегментов сети от несанкционированного доступа со стороны пользователей сетей общего пользования;
  • скрытие внутренней структуры защищаемых сегментов сети;
  • криптографическую защиту данных, передаваемых по каналам связи сетей общего пользования между защищаемыми сегментами сети (абонентскими пунктами);
  • безопасный доступ пользователей VPN к ресурсам сетей общего пользования;
  • централизованное управление настройками VPN-устройств сети.
В настоящее время комплекс "Континент-К" сертифицирован Гостехкомиссией России по 3 классу защищенности для межсетевых экранов (Сертификат Гостехкомиссии России № 352 от 28.08.2000 г.). По результатам сертификационных испытаний в ФАПСИ получено положительное заключение о соответствии комплекса требованиям, предъявляемым к средствам криптографической защиты конфиденциальной информации класса КС2 (письмо командира в/ч 43753-Ф от 13.07.01 г.).

2.1. СОСТАВ КОМПЛЕКСА

Комплекс "Континент-К" включает в свой состав следующие компоненты:
  • центр управления сетью криптографических шлюзов;
  • криптографический шлюз;
  • программа управления сетью криптографических шлюзов;
  • сервер доступа;
  • абонентский пункт;
  • программа управления сервером доступа.
Центр управления сетью (ЦУС) осуществляет управление работой всех (КШ), входящих в состав виртуальной сети. ЦУС осуществляет контроль за состоянием всех зарегистрированных КШ, проводит рассылку ключевой информации, предоставляет администратору функции удаленного управления КШ, обеспечивает получение и хранение содержимого системных журналов КШ, а также ведение журнала событий НСД.

Криптографический шлюз (КШ) обеспечивает криптографическую защиту информации при ее передаче по открытым каналам сетей общего пользования и защиту внутренних сегментов сети от проникновения извне.

Программа управления обеспечивает отображение состояний КШ, просмотр содержимого системных журналов КШ, изменение настроек маршрутизации и правил фильтрации пакетов.

Абонентский пункт (АП) осуществляет доступ удаленных пользователей к ресурсам защищаемых сетей по выделенным и коммутируемым каналам связи.

Сервер доступа обеспечивает связь между удаленным абонентским пунктом и защищаемой сетью, проводит идентификацию и аутентификацию пользователя, определяет его уровень доступа.

Программа управления сервером доступа (ПУ СД) обеспечивает настройку Сервера доступа, регистрацию пользователей АП и установку прав доступа пользователей АП к ресурсам защищаемых сетей, а также мониторинг подключенных пользователей АП.

2.2. КЛЮЧЕВАЯ СИСТЕМА

В аппаратно-программном комплексе используется симметричная ключевая система. Криптографическое соединение между КШ в сети осуществляется на ключах парной связи. Шифрование каждого пакета производится на индивидуальном ключе, который формируется из ключа парной связи. Для шифрования данных используется алгоритм ГОСТ 28147-89 в режиме гаммирования с обратной связью. Имитозащита данных осуществляется с использованием алгоритма ГОСТ 28147-89 в режиме имитовставки.

Ключи парной связи генерируются центром управления сетью для каждого КШ сети. Передача ключей на КШ с ЦУС производится по защищенному каналу связи (на ключе связи с ЦУС). В качестве ключевого носителя для ключа связи с ЦУС используется дискета.

Ключи парной связи хранятся на диске в зашифрованном виде (на ключе хранения). Ключ хранения находится в защищенной энергонезависимой памяти ЭЗ "Соболь".

Для защиты соединения между управляющей консолью и ЦУС используется специальный административный ключ. Этот ключ хранится на ключевом диске администратора системы.

Плановая смена ключей на КШ осуществляется из ЦУС по каналу связи в защищенном виде на ключе связи с ЦУС.

АПК "Континент-К" использует протокол криптографической защиты разработки НИП "Информзащита". Он разработан на основе известного протокола IPSec. Разработчикам удалось существенно снизить накладные расходы при туннелировании трафика. Они составляют от 26 до 36 байт на пакет (в зависимости от режимов сжатия пакета) против 86 байт у IPSec.

Это преимущество позволяет использовать "Континент-К" в сетях, использующих короткие IP пакеты, например, IP-телефонии или передачи трафика телеконференций.

3.1. КРИПТОГРАФИЧЕСКИЙ ШЛЮЗ

Криптографический шлюз представляет собой специализированное программно-аппаратное устройство, функционирующее под управлением ОС FreeBSD в сокращенной версии, обеспечивающей высокий уровень безопасности.

Криптошлюз обеспечивает:

  • прием и передачу пакетов по протоколам семейства TCP/IP (статическая маршрутизация);
  • шифрование передаваемых и принимаемых IP-пакетов (ГОСТ 28147-89, режим гаммирования с обратной связью);
  • сжатие защищаемых данных;
  • защиту данных от искажения (ГОСТ 28147-89, режим имитовставки);
  • фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации;
  • скрытие внутренней структуры защищаемого сегмента сети;
  • криптографическую аутентификацию удаленных абонентов (при установлении на КШ сервера доступа);
  • периодическое оповещение ЦУС о своей активности;
  • регистрацию событий, связанных с работой КШ;
  • оповещение администратора в режиме реального времени о событиях, требующих оперативного вмешательства;
  • идентификацию и аутентификацию администратора при запуске КШ (средствами ЭЗ "Соболь");
  • контроль целостности программного обеспечения КШ до загрузки операционной системы (средствами ЭЗ "Соболь").

Обработка исходящих IP-пакетов представлена на Рис.4. Все IP-пакеты, поступившие от внутренних абонентов защищаемого сегмента, вначале подвергаются фильтрации.

Фильтрация IP-пакетов осуществляется в соответствии с установленными администратором правилами на основе IP-адресов отправителя и получателя, допустимых значений полей заголовка, используемых портов UDP/TCP и флагов TCP/IP-пакета. Если пакет не удовлетворят правилам фильтрации, он отвергается. Отправитель пакета получает ICMP-сообщение о недоступности абонента.

При установке КШ автоматически генерируются правила, необходимые для обеспечения защищенного взаимодействия с ЦУС, корректной работы механизма маршрутизации пакетов, обработки управляющего трафика коммуникационного оборудования и обеспечения возможности начала работы VPN-функций без дополнительного конфигурирования.

IP-пакеты, удовлетворяющие правилам фильтрации, обрабатываются блоком криптографической защиты и передаются на внешний интерфейс КШ. КШ-отправитель обеспечивает его сжатие, зашифрование и имитозащиту, инкапсуляцию в новый IP-пакет, в котором в качестве IP-адреса приемника выступает IP-адрес КШ-получателя, а в качестве IP-адреса источника выступает IP-адрес КШ-отправителя.

IP-пакеты, адресованные абонентам, внешним по отношению к VPN-сети (Web-сайты, ftp-серверы), передаются в открытом виде. Это позволяет использовать КШ при доступе к общедоступным ресурсам сетей общего пользования в качестве межсетевого экрана пакетного уровня.

Входящие IP-пакеты от открытых абонентов блоком криптографической защиты не обрабатываются и поступают непосредственно в фильтр IP-пакетов.

Для пакетов, полученных от абонентов VPN, блок криптографической защиты осуществляет проверку целостности и расшифровывает их, после чего пакеты поступают в фильтр IP-пакетов. Если целостность пакета нарушена, то он отбрасывается без расшифрования и без оповещения отправителя, с генерацией сообщения о НСД.

IP-пакеты, удовлетворяющие правилам фильтрации, передаются через внутренний интерфейс внутренним абонентам.

Криптографический шлюз осуществляет регистрацию следующих событий:

  • загрузку и инициализацию системы и ее программный останов;
  • вход (выход) администратора КШ в систему (из системы);
  • запросы на установление виртуальных соединений между криптошлюзами, между КШ и Центром управления;
  • результат фильтрации входящих/исходящих пакетов;
  • попытки НСД;
  • любые внештатные ситуации, происходящие при работе КШ;
  • информацию о потере и восстановлении связи на физическом уровне протоколов.
Перечень регистрируемых событий при эксплуатации КШ определяется администратором. При регистрации события фиксируются:
  • дата, время и код регистрируемого события;
  • адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP,TCP, UDP;
  • результат попытки осуществления регистрируемого события - успешная или неуспешная (или результат фильтрации);
  • идентификатор администратора КШ, предъявленный при попытке осуществления регистрируемого события (для событий локального/удаленного управления).
Оповещение о событиях, требующих вмешательства администратора, осуществляется по протоколу SNMP. Оповещения передаются в открытом виде на ЦУС, откуда могут быть получены консолью управления. Криптографический шлюз обеспечивает сжатие передаваемых данных об однотипных событиях.

Локальная сигнализация о событиях, требующих вмешательства администратора, осуществляется путем вывода соответствующих сообщений на монитор криптошлюза.

Технические характеристики

  • Общая пропускная способность КШ (имитовставка, шифрование, туннелирование) - 30 Мбит/с (Celeron/500).
  • Увеличение размера пакета - 26-36 байт (в зависимости от степени сжатия пакета).
  • Максимальное количество КШ в сети с одним ЦУС - не более 5000;
  • Максимальное количество установленных программ управления - не ограничено;
Комплектация криптографического шлюза
 Предусматривается три варианта комплектации криптографического шлюза:
  • На базе стандартного IBM-совместимого компьютера;
  • На базе промышленного компьютера, предназначенного для монтажа в 19" стойку 2U.
  • На базе промышленного компьютера, предназначенного для монтажа в 19" стойку 4U.
Независимо от комплектации в состав криптографического шлюза входят:
  • плата Электронного замка "Соболь";
  • считыватель Touch Memory;
  • электронные идентификаторы Touch Memory DS1992 (2 шт);
  • сетевые платы Ethernet (от 2 до 16 портов).

3.2. ЦЕНТР УПРАВЛЕНИЯ СЕТЬЮ

Центр управления сетью осуществляет управление работой всех КШ, входящих в состав системы защиты. ЦУС осуществляет контроль состояния всех зарегистрированных КШ, проводит рассылку ключевой информации, предоставляет администратору функции удаленного управления КШ, обеспечивает получение и хранение содержимого системных журналов КШ, а также ведение журнала событий НСД. ЦУС обеспечивает:
  • аутентификацию КШ и консолей управления;
  • контроль текущего состояния всех КШ системы;
  • хранение информации о состоянии системы защиты (сети КШ);
  • централизованное управление криптографическими ключами и настройками каждого КШ сети;
  • взаимодействие с программой управления;
  • регистрацию событий по управлению и изменению параметров КШ;
  • получение журналов регистрации от всех имеющихся КШ и их хранение.
Программное обеспечение ЦУС устанавливается на одном из КШ защищаемой сети.

3.4. ПРОГРАММА УПРАВЛЕНИЯ

Программа управления предназначена для централизованного управления всеми КШ, работающими под управлением одного ЦУС. Эта программа позволяет:
  • отображать информацию о текущем состоянии всех имеющихся КШ;
  • добавлять в систему новые КШ, изменять сведения о существующих КШ или удалять КШ;
  • централизованно управлять настройками КШ;
  • управлять правилами маршрутизации КШ;
  • управлять ключами шифрования;
  • анализировать содержание журналов регистрации КШ.
Программа управления предназначена для работы на компьютерах, оснащенных процессорами семейства Intel x86 или совместимых с ними, и функционирующих под управлением ОС Windows NT 4.0 (Service Pack 4 и выше), Windows 2000. На этих компьютерах должны быть установлены компоненты, обеспечивающие работу с сетевыми протоколами семейства TCP/IP.

Аппаратно-программный комплекс "Континент-К" отличает:

  • эффективная и надежная защита информации в гетерогенных сетях;
  • отсутствие вмешательства в существующие технологии обработки информации, полная прозрачность для приложений и пользователей;
  • централизованное управление настройками системы и оперативный мониторинг ее состояния;
  • совмещение в одном устройстве функций межсетевого экрана и криптографического маршрутизатора;
  • возможность разграничивать доступ от нескольких внутренних защищаемых сегментов;
  • удобный графический интерфейс программы управления;
  • простота в настройке и обслуживании.

3.4. СЕРВЕР ДОСТУПА

Сервер доступа - программное обеспечение, позволяющее устанавливать защищенное соединение с удаленными абонентами. Сервер доступа (СД) устанавливается на один из криптошлюзов "Континент-К". После запроса на соединение СД проводит идентификацию и аутентификацию удаленного пользователя, и определяет его уровень доступа, устанавливаемый администратором "Континент-К". На основании этой информации осуществляется подключение абонента к ресурсам сети. СД позволяет осуществить до 500 одновременных сеансов связи с удаленными пользователями.

В системе используется аутентификация пользователей при помощи сертификатов открытых ключей. В дальнейшем планируется разработка программного обеспечения, реализующего технологию PKI при использовании сторонних сертификационных центров.

Сервер доступа предустанавливается на ЦУС и КШ, что позволяет организовывать гибкую схему подключения абонентских пунктов к сегментам защищаемой сети.

Управление настройками СД, выработка правил и ключевой информации для абонентов осуществляется через программу управления.

3.4. АБОНЕНТСКИЙ ПУНКТ.

Абонентский пункт (АП) - программное обеспечение, позволяющее удаленному пользователю связываться по защищенному каналу с сетью АПК "Континент-К". АП устанавливается на компьютер клиента и позволяет осуществить:
  • удаленный доступ к ресурсам защищаемой сети по шифрованному каналу
  • функционирование под управлением ОС Windows 95/98/NT/2000
  • связь с сервером доступа "Континент-К" со скоростью до 2 Мб/с в шифрующем режиме
  • идентификацию и аутентификацию пользователя
  • функционирование с динамическим распределением IP адресов - возможность удаленного доступа мобильных пользователей
Основу криптографической системы абонентского пункта составляет Средство криптографической защиты информации "КриптоПро CSP", сертифицированное ФАПСИ (Сертификат соответствия ФАПСИ СФ/124-0460 от 20.04.01 г.).

Установка и конфигурирование абонентского пункта непосредственно на рабочем месте включает:

  • установку программного обеспечения СКЗИ "КриптоПро CSP" и абонентского пункта
  • определение места хранения ключевых материалов;
  • указания IP-адреса сервера доступа (одного или нескольких), с которым устанавливается защищенное взаимодействие.
Информация о правилах фильтрации и правах доступа передается на абонентский пункт с сервера доступа. Абонентский пункт обеспечивает прозрачный для прикладных программ обмен с защищенными сегментами сети.

4.1. СОЗДАНИЕ КОРПОРАТИВНОЙ VPN

АПК "Континент-К" является средством создания виртуальных частных сетей на основе сетей TCP/IP. В качестве транспортной среды может быть использована любая сеть, работающая по протоколу TCP/IP, например, Интернет. Такой вариант существенно дешевле использования сети на основе выделенных каналов при сохранении высокого уровня безопасности.

При связывании локальных сетей предприятия "Континент-К", как правило, подключается к LAN порту внешнего маршрутизатора. К внутренним портам криптошлюза подключаются локальные сети предприятия. Наличие нескольких внутренних интерфейсов позволяет гибко осуществлять изменение конфигурации сети. Одним из вариантов, повышающих общую безопасность сети, является вынос управляющих консолей для "Континент-К", для управления маршрутизатором и т.д. на отдельный внутренний интерфейс КШ.

При создании VPN на основе "Континент-К" через внешние сети по умолчанию пропускается только зашифрованный трафик. Администратор может создавать на криптошлюзе правила, разрешающие прохождение трафика наружу в открытом виде, т.е. возможность работать с внешними ресурсами - серверами, web-хостами и т.д. (Схема 2) Администратор также может управлять разграничением доступа между подсетями, если они связаны только через "Континент-К". Таким образом, можно разделять трафик между разными подразделениями, как это показано на примере (Схема 3)

4.2. ЗАЩИЩЕННОЕ УПРАВЛЕНИЕ МАРШРУТИЗАТОРАМИ

АПК "Континент-К" позволяет также реализовать функцию защищенного управления удаленными маршрутизаторами. Управление ведется "реверсным" методом, когда управляющий трафик, зашифрованный в ядре, проходит через маршрутизатор на "Континент-К", где расшифровывается и направляется обратно на маршрутизатор (Схема 4). Таким образом, открытый трафик не проходит через сеть общего пользования (исходим из того, что кабель между "Континент-К" и маршрутизатором контролируется администратором. На практике, как правило, они находятся рядом).

4.3. УДАЛЕННЫЙ ДОСТУП ПО ЗАЩИЩЕННОМУ КАНАЛУ.

АПК "Континент" позволяет осуществлять защищенный доступ удаленных абонентов к ресурсам VPN. Доступ производится при помощи специальной программы - абонентского пункта устанавливаемой на компьютер пользователя. Запрос на соединение осуществляется на сервере доступа , установленном на одном из криптошлюзов. Сервер доступа проводит идентификацию и аутентификацию пользователя, и осуществляет его связь с ресурсами защищаемой сети (Схема 5).

Данную схему выгодно используется, когда требуется связь с офисом мобильных сотрудников через Интернет. Для организации доступа достаточно установить АП на любой компьютер, например, ноутбуке, и получить доступ в Интернет.
АПК "Континент-К" позволяет создавать виртуальные частные сети, обладающие большими возможностями в конфигурировании и управлении. При помощи "Континент-К" реализуются функции передачи шифрованного трафика через сеть общего пользования, защиты локальных сетей от проникновения извне, сокрытия внутренней структуры сети, работы по открытым каналам с внешними ресурсами, создания параллельных сетей в пределах одной VPN, защищенного управления удаленными маршрутизаторами. Эти возможности делают "Континент-К" удобным и эффективным инструментом создания VPN.

Материал из Википедии - свободной энциклопедии

Криптошлюз (криптографический шлюз, vpn-шлюз, криптомаршрутизатор) - аппаратно-программный комплекс криптографической защиты трафика данных, голоса, видео на основе шифрования пакетов по протоколам IPsec AH и/или IPsec ESP при установлении соединения, соответствующий требованиям к средствам криптографической защиты информации (СКЗИ ) ФСБ России и обеспечивающий базовую функциональность современного VPN -устройства.

Назначение

Криптошлюз предназначен для обеспечения информационной безопасности организации, защиты её информационных сетей от вторжения со стороны сетей передачи данных (Интернет), обеспечения конфиденциальности при передаче информации по открытым каналам связи (VPN), а также организации безопасного доступа пользователей к ресурсам сетей общего пользования.

Криптошлюз обеспечивает базовую функциональность современного VPN-устройства:

  1. конфиденциальность и целостность потока IP-пакетов;
  2. маскировку топологии сети за счет инкапсуляции трафика в защищённый туннель;
  3. прозрачность для NAT ;
  4. аутентификацию узлов сети и пользователей;
  5. унификацию политики безопасности для мобильных и «внутренних» пользователей (динамическое конфигурирование корпоративных IP-адресов для удаленных пользователей «внутри VPN»).

Криптошлюзы представлены как в сегменте VPN устройств, так и в сегменте унифицированных устройств (UTM) объединяющих несколько средств безопасности в одном.

Отличие криптошлюзов от обычных VPN маршрутизаторов заключается в том, что они работают на основе протокола IPSec и обеспечивают защиту информации, передаваемой по каналам связи, используя алгоритмы, которые отвечают требованиям российских криптографических стандартов (ГОСТ 28147-89 и ГОСТ Р 34.10-2001) .

Доступ к ресурсам информационной системы

Криптошлюзы позволяют осуществить защищённый доступ удаленных абонентов к ресурсам корпоративной информационной системы. Доступ производится с использованием специального программного обеспечения, установленным на компьютере пользователя (VPN-клиент) для осуществления защищённого взаимодействия удаленных и мобильных пользователей с криптошлюзом.

Программное обеспечение криптошлюза (сервер доступа) проводит идентификацию и аутентификацию пользователя и осуществляет его связь с ресурсами защищаемой сети. С помощью криптошлюзов формируют виртуальные защищённые каналы в сетях общего пользования (например, Internet), которые гарантируют конфиденциальность и достоверность информации, и организовывать виртуальные частные сети (Virtual Private Network – VPN), представляющие собой объединение локальных сетей или отдельных компьютеров, подключенных к сети общего пользования в единую защищённую виртуальную сеть. Для управления такой сетью обычно используется специальное программное обеспечение (центр управления), которое обеспечивает централизованное управление локальными политиками безопасности VPN-клиентов и криптошлюзов, рассылает для них ключевую информацию и новые конфигурационные данные, обеспечивает ведение системных журналов.

Напишите отзыв о статье "Криптошлюз"

Примечания

Литература

  1. Жданов, О. Н., Золотарев, В. В. . - Красноярск: СибГАУ, 2007. - 217 с.

Ссылки

  • . logic-soft. Проверено 28 февраля 2012. .
  • . Компания «Код Безопасности». Проверено 28 февраля 2012. .
  • Константин Кузовкин. . i-teco. Проверено 28 февраля 2012. .

Отрывок, характеризующий Криптошлюз

– Qui s"excuse – s"accuse, [Кто извиняется, тот обвиняет себя.] – улыбаясь и махая корпией, говорила Жюли и, чтобы за ней осталось последнее слово, сейчас же переменила разговор. – Каково, я нынче узнала: бедная Мари Волконская приехала вчера в Москву. Вы слышали, она потеряла отца?
– Неужели! Где она? Я бы очень желал увидать ее, – сказал Пьер.
– Я вчера провела с ней вечер. Она нынче или завтра утром едет в подмосковную с племянником.
– Ну что она, как? – сказал Пьер.
– Ничего, грустна. Но знаете, кто ее спас? Это целый роман. Nicolas Ростов. Ее окружили, хотели убить, ранили ее людей. Он бросился и спас ее…
– Еще роман, – сказал ополченец. – Решительно это общее бегство сделано, чтобы все старые невесты шли замуж. Catiche – одна, княжна Болконская – другая.
– Вы знаете, что я в самом деле думаю, что она un petit peu amoureuse du jeune homme. [немножечко влюблена в молодого человека.]
– Штраф! Штраф! Штраф!
– Но как же это по русски сказать?..

Когда Пьер вернулся домой, ему подали две принесенные в этот день афиши Растопчина.
В первой говорилось о том, что слух, будто графом Растопчиным запрещен выезд из Москвы, – несправедлив и что, напротив, граф Растопчин рад, что из Москвы уезжают барыни и купеческие жены. «Меньше страху, меньше новостей, – говорилось в афише, – но я жизнью отвечаю, что злодей в Москве не будет». Эти слова в первый раз ясно ыоказали Пьеру, что французы будут в Москве. Во второй афише говорилось, что главная квартира наша в Вязьме, что граф Витгснштейн победил французов, но что так как многие жители желают вооружиться, то для них есть приготовленное в арсенале оружие: сабли, пистолеты, ружья, которые жители могут получать по дешевой цене. Тон афиш был уже не такой шутливый, как в прежних чигиринских разговорах. Пьер задумался над этими афишами. Очевидно, та страшная грозовая туча, которую он призывал всеми силами своей души и которая вместе с тем возбуждала в нем невольный ужас, – очевидно, туча эта приближалась.
«Поступить в военную службу и ехать в армию или дожидаться? – в сотый раз задавал себе Пьер этот вопрос. Он взял колоду карт, лежавших у него на столе, и стал делать пасьянс.
– Ежели выйдет этот пасьянс, – говорил он сам себе, смешав колоду, держа ее в руке и глядя вверх, – ежели выйдет, то значит… что значит?.. – Он не успел решить, что значит, как за дверью кабинета послышался голос старшей княжны, спрашивающей, можно ли войти.
– Тогда будет значить, что я должен ехать в армию, – договорил себе Пьер. – Войдите, войдите, – прибавил он, обращаясь к княжие.
(Одна старшая княжна, с длинной талией и окаменелым лидом, продолжала жить в доме Пьера; две меньшие вышли замуж.)
– Простите, mon cousin, что я пришла к вам, – сказала она укоризненно взволнованным голосом. – Ведь надо наконец на что нибудь решиться! Что ж это будет такое? Все выехали из Москвы, и народ бунтует. Что ж мы остаемся?
– Напротив, все, кажется, благополучно, ma cousine, – сказал Пьер с тою привычкой шутливости, которую Пьер, всегда конфузно переносивший свою роль благодетеля перед княжною, усвоил себе в отношении к ней.
– Да, это благополучно… хорошо благополучие! Мне нынче Варвара Ивановна порассказала, как войска наши отличаются. Уж точно можно чести приписать. Да и народ совсем взбунтовался, слушать перестают; девка моя и та грубить стала. Этак скоро и нас бить станут. По улицам ходить нельзя. А главное, нынче завтра французы будут, что ж нам ждать! Я об одном прошу, mon cousin, – сказала княжна, – прикажите свезти меня в Петербург: какая я ни есть, а я под бонапартовской властью жить не могу.
– Да полноте, ma cousine, откуда вы почерпаете ваши сведения? Напротив…
– Я вашему Наполеону не покорюсь. Другие как хотят… Ежели вы не хотите этого сделать…
– Да я сделаю, я сейчас прикажу.
Княжне, видимо, досадно было, что не на кого было сердиться. Она, что то шепча, присела на стул.
– Но вам это неправильно доносят, – сказал Пьер. – В городе все тихо, и опасности никакой нет. Вот я сейчас читал… – Пьер показал княжне афишки. – Граф пишет, что он жизнью отвечает, что неприятель не будет в Москве.
– Ах, этот ваш граф, – с злобой заговорила княжна, – это лицемер, злодей, который сам настроил народ бунтовать. Разве не он писал в этих дурацких афишах, что какой бы там ни был, тащи его за хохол на съезжую (и как глупо)! Кто возьмет, говорит, тому и честь и слава. Вот и долюбезничался. Варвара Ивановна говорила, что чуть не убил народ ее за то, что она по французски заговорила…
– Да ведь это так… Вы всё к сердцу очень принимаете, – сказал Пьер и стал раскладывать пасьянс.