Общие сведения
В современном мире очень цениться универсальность и масштабируемость используемых в организации решений.
Производимые на текущий момент средства защиты информации конструируется таким образом, чтобы добавление нового функционала происходило без замены оборудования, путем использования плат расширения.
Этот же подход позволяет снизить расходы на разворачивание, обслуживание системы, т.к. добавление платы расширения не требует остановки уже работающего оборудования.
Однако, использование существующих на сегодняшний день средств защиты информации на рынке не всегда возможно в органах государственной власти, т.к. большинство этих средств не отвечает требованиям, предъявляемым к СЗИ со стороны ФСБ и ФСТЭК.
Одновременно следуя современным требованиям рынка и законодательству РФ ОАО «ИнфоТеКС» и компания Huawei Symantec разработали модификацию ПАК ViPNet Coordinator HW-VPNM представляющий собой модуль расширения для универсальных шлюзов безопасности USG 20xx и USG51xx (см. рис. 1 и рис. 2).
| |
|
|
| |
Рис. 1 ViPNet Coordinator HW-VPNM в составе шлюза USG2000
|
Рис. 2 ViPNet Coordinator HW-VPNM
|
Программно-аппаратный комплекс изготовлен по техническому заданию ОАО «ИнфоТеКС», которое учитывает требования ФСБ РФ к программно-аппаратным СЗИ, и включающий в себя криптошлюз и межсетевой экран. ViPNet Coordinator HW-VPNM, являясь модулем расширения для универсальных шлюзов безопасности USG2000 компании Huawei Symantec, легко инсталлируется в существующую инфраструктуру, надежно защищает передаваемую по каналам связи информацию от несанкционированного доступа и подмены. Использование адаптированной ОС Linux и надежной аппаратной платформы позволяет применять указанные криптошлюзы в качестве корпоративных решений, к которым предъявляются самые жесткие требования по функциональности, удобству пользования, маштабируемости решения, надежности и отказоустойчивости.
Спецификация ПАК ViPNet Coordinator HW-VPNM
|
Характеристика
|
Описание
|
|
Аппаратные характеристики модуля –ViPNet Coordinator HW-VPNM
|
|
Процессор
|
Core 2 Duo series CPU, including T7500 and T7400, with socket478
|
|
Память DRAM
|
2Гб
|
|
Сетевые интерфейсы
|
- Один внутренний интерфейс 1000 Мб/с Ethernet
- два внешних интерфейса 10/100/1000 Мб/с Ethernet
|
|
Физические характеристики модуля HW-VPNM
|
|
Физические размеры (В x Ш x Д)
|
3.9 x 18.0 x 18.3 см
|
|
Вес
|
1.4 кг
|
|
Рабочая влажность
|
5% до 95%, без конденсата
|
|
Рабочая температура
|
0- 40°C
|
|
Температура хранения
|
-25°C до 70°C
|
|
Рабочая высота над уровнем моря
|
Макс. 3048 метров при 25 ° C
|
|
Мощность
|
21 Вт
|
Функциональные возможности
Функциональные возможности ПАК ViPNet Coordinator HW-VPNM
|
Характеристика
|
Описание
|
|
Программная совместимость
|
C любыми VPN- продуктами из решения ViPNet CUSTOM 2.8 и 3.0 (ViPNet Coordinator, ViPNet Coordinator Failover, ViPNet Coordinator HW (100, 1000), ViPNet Cluster, ViPNet Client
|
|
Протоколы туннелирования
|
По технологии ViPNet (инкапсуляция IP -трафика в IP #241 и UDP)
|
|
Шифрование
|
Шифрование по ГОСТ 28147-89 (256 бит),
|
|
Аутентификация
|
Аутентификация для каждого зашифрованного IP-пакета на основе технологии симметричного распределения ключей ViPNet и уникального идентификатора
|
|
Инфраструктура ключей
|
Парные симметричные ключи шифрования, обеспечивающие на несколько порядков более высокую стойкость шифрования, чем системы PKI . Симметричная ключевая структура не требует дополнительных открытых процедур синхронизации для формирования ключей, что повышает помехозащищенность системы, исключает задержки в обработке любых сетевых протоколов, обеспечивает мгновенность (по первому поступившему IP-пакету) организацию любых сетевых подключений других участников VPN
Автоматическое распределение симметричной ключевой информации при появлении в сети новых пользователей, задании в Центре управления сетью новых связей или удалении существующих связей, компрометации ключей или штатных процедурах смены ключевой информации
|
|
Маршрутизация
|
Статическая маршрутизация;
Прозрачность для NAT -устройств (для защищенного трафика);
VPN - клиент, поддержка DHCP , DNS , WINS ;
Помимо основных функций по туннелированию трафика между локальными сетями и с удаленными пользователями, организация прямого взаимодействия удаленных VPN - клиентов между собой, удаленных VPN - клиентов с локальными VPN - клиентами, локальных VPN - клиентов внутри локальной сети. Это достигается за счет технологии оповещения ViPNet-координаторами каждого участника VPN напрямую или через другие ViPNet-координаторы о способах подключения, IP-адресах связанных между собой участников VPN ;
Автоматическая регулировка параметров MSS в TCP-сессиях для исключения излишней фрагментации трафика, которая может возникать при передаче длинных пакетов ;
Возможность работы при изменении собственных IP-адресов, IP-адресов NAT – устройств, возможность работы за устройствами с динамическими правилами NAT;
Возможность каскадирования в сегментированных сетях с целью разграничения доступа;
Технология назначения виртуальных IP -адресов для любых удаленных улов.
|
|
Фильтрация
|
IP адрес (диапазон IP ) источника и назначения, номера портов и тип протокола, типы и коды сообщений ICMP , направление пакетов, клиент или сервер в TCP -соединении,
Контроль фрагментированных пакетов, DoS -атаки
Фильтрация сессии FTP;
Поддержка режима открытых инициативных соединений (режим невидимости для внешних хостов);
Поддержка раздельной фильтрации для открытого IP -трафика (функция межсетевого экрана) и шифруемого IP -трафика (функция криптошлюза).
|
|
Настройка и управление
|
Настройка через специализированную консоль ПО ViPNet Coordinator ;
Удаленная настройка базовых параметров через ViPNet Administrator ;
Поддержка SNMP trap для удаленного оповещения о событиях;
Удаленный запрос журнала IP -пакетов (через Windows -продукты ViPNet Coordinator и Client );
Java -апплет мониторинга текущего состояния ПАК.
|
|
Поддержка QoS
|
IP TOS мапирование поверх зашифрованных IP -пакетов ( IP #241 или UDP ), то есть сохраняется классификации трафика для защищенных пакетов, приоритетная обработка трафика голоса и видео
|
|
Высокая доступность и надежность
|
Отсутствует понятие защищенных соединений, поэтому нет проблем задержек в сетевых протоколах и их нарушений, любой IP -пакет обрабатывается сразу после получения, а также проблем потери соединений и необходимости их восстановления как в технологии IPSec
Специальная архитектура файловой системы предотвращает возможность порчи образа операционной системы и ПО ViPNet при сбоях по питанию. Возможность реализации на базе данного продукта отказоустойчивого решения (failover)
|
|
Обновление ПО модуля
|
Централизованное удаленное обновление ПО ViPNet Coordinator Linux в модуле через ViPNet Administrator с контролем прохождения обновления
|
Сценарии использования
Совместно с другими программными продуктами из состава комплекса ПО ViPNet CUSTOM ViPNet Coordinator HW-VPNM в составе шлюза USG2000 обеспечивает эффективную реализацию множества сценариев защиты информации:
- Межсетевые взаимодействия;
- Защищенный доступ удаленных и мобильных пользователей к ресурсам локальной сети;
- Защита беспроводных сетей;
- Защита мультисервисных сетей (включая IP телефонию и видеоконференцсвязь);
- Защита платежных систем и систем управления технологическими процессами в производстве и на транспорте;
- Разграничение доступа к информации в локальных сетях;
, а также любые комбинации перечисленных выше сценариев (см. рис.3).
Рис.3. Пример использования ViPNet Coordinator HW-VPNM.
Сертификация по требованиям ФСБ РФ
На ПАК ViPNet Coordinator HW (в модификациях HW100/1000/2000/VPNM ) получен сертификат соответствия ФСБ России СФ/124-1459 по требованиям к СКЗИ класса КС3.
|
Семейство ViPNet
СКЗИ «Домен-К»
