Оглавление
- Общие сведения
- Архитектура
- Программное обеспечение ViPNet Coordinator Linux
- Возможности и преимущества
- Межсетевые взаимодействия
- Разграничение доступа к информации в локальных сетях
- Защищенный доступ удаленных и мобильных пользователей (включая защиту беспроводных каналов связи)
- Защита мультисервисных сетей
- Преимущества
- Спецификация
- Функциональные возможности
- Сертификация по требованиям ФСТЭК и ФСБ РФ
- Системные требования
- Заказы
- Техническое сопровождение
Общие сведения
В 2006 году компанией Cisco Systems был представлен модуль NME - RVPN (Russia VPN Network Module) для маршрутизаторов серии Cisco ® 2800 и 3800 Integrated Services Routers . На аппаратном уровне модуль представляет собой инновационное решение, интегрированное с маршрутизаторами Cisco и специально разработанное для обеспечения российского рынка высокотехнологичным решением VPN (виртуальные частные сети, ВЧС) с передовыми технологиями Cisco и удовлетворяющим современным требованиям эффективной защиты всех видов сетевых взаимодействий.
Учитывая высокий рейтинг и распространенность на российском рынке программных решений защиты информации ViPNet производства компании Инфотекс, Cisco Systems санкционировала разработку и выпуск программно-аппаратного решения, объединяющего все преимущества аппаратных решений Cisco Systems и программных решений Инфотекс. При этом в качестве программного обеспечения, реализующего функции криптографического шлюза и межсетевого экрана используется Linux -версия программного обеспечения ViPNet Coordinator , производства компании Инфотекс.
Интеграцией ПО ViPNet Coordinator и модуля NME - RVPN на основании OEM -лицензии Инфотекс занимается технологический партнер Cisco , компания ЗАО «С-Терра СиЭсПи». Новый программно-аппаратный комплекс (ПАК) получил название «NME - RVPN ViPNet» .
Рис.1. Внешний вид NME - RVPN ViPNet
Вернуться к оглавлению
Архитектура
Программно-аппаратный комплекс NME - RVPN ViPNet можно установить в маршрутизаторы Cisco ISR 2811, 2821, 2851, 3825 и 3845 с версией IOS 12.4(11) T или выше. При этом ПАК NME - RVPN ViPNet работает независимо от IOS маршрутизатора, используя программное обеспечение ViPNet Coordinator Linux , установленное на компакт флэш-карте (Compact Flash) модуля. Программное обеспечение модуля функционирует под управлением адаптированной ОС Linux.
Аппаратно ПАК NME - RVPN ViPNet представляет собой вычислительную платформу на базе процессора Intel Celeron-M 1.0ГГц с 512МБ оперативной памяти и 512МБ Compact Flash (рисунок 2). Для подключения к локальной сети модуль имеет внешний интерфейс Gigabit Ethernet. Аналогичный внутренний интерфейс осуществляет взаимодействие и передачу данных между модулем и маршрутизатором.
Рис. 2. Архитектура ПАК NME-RVPN ViPNet и Cisco Integrated Services Router
Вернуться к оглавлению
Программное обеспечение ViPNet Coordinator Linux
Программное обеспечение ViPNet Coordinator Linux , работающее в ПАК, является одним из программных продуктов, входящим в решение ViPNet CUSTOM, и обладает следующей основной функциональностью:
- Криптошлюза для организации защищенных туннелей в рамках виртуальной частной сети ViPNet ;
- Межсетевого экрана;
- Сервера IP -адресов виртуальной частной сети (поддержка работы удаленных мобильных пользователей и любых других узлов VPN с динамическими IP -адресами);
Программное обеспечение ViPNet Coordinator Linux разрабатывается и поддерживается компанией Инфотекс уже более 6 лет. Одним из показательных примеров успешного внедрения данного программного обеспечения является проект по защите каналов связи в системе продажи железнодорожных билетов АСУ «Экспресс-3».
Вернуться к оглавлению
Возможности и преимущества
Применение ПАК NME - RVPN ViPNet в составе маршрутизатора Cisco Integrated Services Router 2800/3800 и общей инфраструктуре решений ViPNet обеспечивает эффективную реализацию множества сценариев защиты информации, включая:
- Межсетевые взаимодействия;
- Защищенный доступ удаленных и мобильных пользователей;
- Защита беспроводных сетей;
- Защита мультисервисных сетей (включая IP телефонию и видеоконференцсвязь);
- Защита платежных систем и систем управления технологическими процессами в производстве и на транспорте;
- Разграничение доступа к информации в локальных сетях;
а также любые комбинации перечисленных выше сценариев.
Вернуться к оглавлению
Межсетевые взаимодействия
Сценарии защиты межсетевых взаимодействий ( LAN - to - LAN VPN ) применяются для защиты коммуникаций территориально распределенных корпоративных сетей через публичные (открытые, не заслуживающие доверия) сети/каналы связи.
По сути, применение VPN-решений для этих целей не должно приводить к понижению требований к характеристикам непосредственно канала передачи данных, таких как поддержка множественности протоколов, высокая надежность, большая масштабируемость. Наоборот, современные VPN решения должны обеспечивать большую ценовую эффективность и большую гибкость в реализации таких требований. Большую ценовую эффективность можно получить, например, за счет возможности использовать публичные каналы для передачи информации, что ранее было недоступно.
Использование для этой цели маршрутизаторов Cisco ISR (рисунок 3) с установленным ПАК NME - RVPN ViPNet в полной мере выполняет поставленную выше задачу.
Рис.3. Защита межсетевых взаимодействий.
Существенным преимуществом программного обеспечения ViPNet в этом случае является поддержка технологии виртуальных IP -адресов, позволяющая, не проводя перенастройку IP -адресов и маршрутизации, включать в состав VPN локальные сети с перекрывающимися диапазонами IP -адресов.
Вернуться к оглавлению
Разграничение доступа к информации в локальных сетях
Сценарии разграничения доступа к важной информации в локальных сетях путем организации VPN внутри этих сетей являются эффективным дополнением к широко применяемому способу разграничения доступа за счет межсетевых экранов. Такое дополнение позволяет упростить архитектуру локальной сети, так как появляется возможность организовывать логические (виртуальные) подсети без физической перестройки сети с надежными криптографическими способами разграничения доступа.
В решениях ViPNet для реализации таких сценариев (Рисунок 4) существуют следующие функциональные возможности:
- Наличие программного обеспечения ViPNet Client – VPN клиента с развитыми сервисными возможностями, поддерживающего VPN -соединения типа «точка-точка» (т.е. два компьютера с ПО ViPNet Client могут взаимодействовать напрямую, минуя криптошлюз - POINT - to - POINT ) (более подробно о ViPNet Client см.ниже);
- Поддержка однокаскадного включения криптошлюзов, реализуемого программным обеспечением ViPNet Coordinator .
Рис.4. Разграничение доступа к информации в локальных сетях.
Использование в качестве криптошлюзов/межсетевых экранов маршрутизаторов Cisco ISR с установленным ПАК NME - RVPN ViPNet позволяет в составе единого комплексного решения получить весь необходимый функционал и большие потенциальные возможности по добавлению новых сервисов (например, IP -телефонии, поддержки видео- и аудиоконференций, приоритезации трафика).
Вернуться к оглавлению
Защищенный доступ удаленных и мобильных пользователей (включая защиту беспроводных каналов связи)
Сценарии удаленного доступа пользователей (Remote Access VPN) применяются для защиты доступа удаленных или мобильных пользователей в корпоративную сеть через публичные (открытые, не заслуживающие доверия) сети или каналы связи к корпоративным сетевым ресурсам.
Для организации удаленного доступа в этом случае необходимо на рабочих станциях и мобильных компьютерах (Рисунок 5) использовать программное обеспечение ViPNet Client , функционирующее под управлением ОС Windows 2000/ XP /2003 и реализующее следующие функции:
- VPN клиента с поддержкой динамических и виртуальных IP -адресов, обеспечивающего прозрачное шифрование всего IP -трафика любых приложений при обмене с узлами VPN ;
- Персонального сетевого экрана с раздельной настройкой фильтрации открытого (Интернет) и закрытого (передаваемого внутри VPN ) IP -трафиков, а также режимом невидимости для открытых ресурсов (технология установления инициативных соединений «Бумеранг»);
- Контроля и ограничения сетевой активности приложений и компонентов операционной системы;
- Встроенной защищенной службы мгновенных сообщений и передачи файлов (чат/конференция и файловый обмен);
- Встроенной защищенной почтовой службы с интегрированными механизмами электронно-цифровой подписи.
Рис. 5. Защищенный доступ удаленных и мобильных пользователей.
ПО ViPNet Client доступно в версиях на русском и английском языках, поддерживает современные технологии проводной и беспроводной связи, прозрачную работу через устройства со статической и динамической трансляцией IP -адресов ( Static / Dynamic NAT / PAT ), а также содержит в своем составе Microsoft -совместимый криптопровайдер ( MS CryptoAPI 2.0) для использования в приложениях пользователя функций шифрования и ЭЦП на алгоритмах ГОСТ.
В рассматриваемом сценарии удаленного доступа маршрутизатор Cisco ISR 2800/3800 с установленным ПАК NME - RVPN ViPNet может выступать в роли единого сервера доступа VPN для удаленных и мобильных пользователей.
Вернуться к оглавлению
Защита мультисервисных сетей
Сценарии защиты мультисервисных сетей являются квинтэссенцией вышеперечисленных сценариев, так как требуют для своей реализации поддержки со стороны технологий VPN и возможности защиты межсетевого обмена, и организации удаленного доступа мобильных клиентов, и разграничения доступа в локальных мультисервисных сетях. Одним из основных требований, выдвигаемых при этом к программным и аппаратным решениям VPN , является требование поддержки приоритезации трафика. Помимо этого работа VPN компонентов не должна приводить к изменению временных параметров IP -трафика (частоте следовании пакетов, задержек при передаче пакетов по сети и т.п.), а также существенному увеличению накладных расходов на организацию VPN -соединений.
Всем этим требованиям удовлетворяют решения ViPNet (Рисунок 6) при использовании в качестве криптошлюзов маршрутизаторов Cisco ISR с установленным ПАК NME - RVPN ViPNet :
- Наличие VPN клиента – возможность включения в защищенную мультисервисную сеть программных ( software ) решений (софт IP -телефоны, WEB - камеры, ПО для организации аудио- и видеоконференций);
- Поддержка приоритезации трафика – широкие возможности по управлению трафиком оборудования Cisco + мапирование TOS -флагов в ПО ViPNet – обеспечение заданной полосы пропускания для реализации высококачественных мультимедийных услуг в режиме реального времени;
- Произвольное комбинирование различных способов организации VPN – LAN - to - LAN , LAN - to - POINT , POINT - to - POINT , каскадное включение криптошлюзов – гибкость в удовлетворении требований заказчика и минимизация его затрат на изменения в архитектуре сети при добавлении функций защиты.
Рис. 6. Защита мультисервисных сетей.
Внедрение решений ViPNet с маршрутизаторами Cisco ISR и ПАК NME - RVPN ViPNet при создании защищенных мультисервисных сетей представляется качественно новым предложением, объединившем в себе выполнение высоких требований к устройствам управления трафиком и организации сетей передачи данных и столь же высоких требований, включая требования регулирующих органов Российской Федерации, к устройствам защиты информации.
Вернуться к оглавлению
Преимущества
Сравнивая решение на базе ПАК NME - RVPN ViPNet с другими решениями по организации VPN , представленными на рынке, следует выделить следующий перечень преимуществ:
- Возможность использования во множестве сценариев защиты информации в корпоративных локальных и распределенных сетях передачи данных;
- Реализация в виде модуля расширения к хорошо известной архитектуре маршрутизаторов Cisco ISR 2800/3800, что упрощает действия по подключению и коммутации модуля в составе сетеобразующего оборудования;
- Наличие развитого клиентского ПО ViPNet Client , реализующего функции VPN -клиента.
Вернуться к оглавлению
Спецификация
Спецификация ПАК NME - RVPN ViPNet представлена в таблице 1.
Таблица 1. Спецификация продукта.
Характеристика |
Описание |
Аппаратные характеристики модуля NME - RVPN |
Процессор |
1 ГГц Intel Celeron-M |
Память DRAM |
512M Б DDR2 |
Сетевые интерфейсы |
- Один внутренний интерфейс 1000 Мб/с Ethernet
- Один внешний интерфейс10/100/1000 Мб/с Ethernet
|
Память Flash |
512 M Б Compact Flash |
Физические характеристики модуля NME - RVPN |
Физические размеры (В x Ш x Д) |
3.9 x 18.0 x 18.3 см |
Вес |
567 грамм |
Рабочая влажность |
5% до 95%, без конденсата |
Рабочая температура |
0- 40°C |
Температура хранения |
-25°C до 70°C |
Рабочая высота над уровнем моря |
Макс. 3048 метров при 25 ° C |
Мощность |
21 Вт |
Сертификаты по безопасности |
· Underwriters Laboratory 1950
· CSA - C 22.2 No . 950
· EN 60950
· IEC 60950 |
Сертификаты по электромагнитной совместимости |
· 47 CFR Part 15 Class A
· CISPR22 Class A
· EN300386 Class A
· EN55022 Class A
· EN61000-3-2
· EN61000-3-3
· VCCI Class I
· AS/NZS CISPR 22 Class A |
Сертификаты по электромагнитной помехоустойчивости |
· CISPR24
· EN300386
· EN50082-1
· EN55024
· EN61000-6-1 |
Сертификат соответствия |
№ РОСС US . ME 61. B 03697 от 19.12.2006 по 18.12.2008
по ГОСТ-Р МЭК60950-2002, ГОСТ 26329-84 (п.п. 1.2, 1.3), ГОСТ Р 51318.22-99, ГОСТ Р 51318.2-99, ГОСТ Р 51317.3.2-99, ГОСТ Р 51317.3.3-99 |
|
Вернуться к оглавлению
Функциональные возможности
Функциональные возможности ПАК NME - RVPN ViPNet представлены в таблице 2.
Таблица 2.
Характеристика |
Описание |
Программная совместимость |
C любыми VPN- продуктами из решения ViPNet CUSTOM 2.8 и 3.0 (ViPNet Coordinator, ViPNet Coordinator Failover, ViPNet Client) |
Протоколы туннелирования |
По технологии ViPNet (инкапсуляция IP -трафика в IP #241 и UDP ) |
Шифрование/
Аутентификация |
Шифрование по ГОСТ 28147-89 (256 бит),
Аутентификация для каждого зашифрованного IP-пакета на основе технологии симметричного распределения ключей ViPNet и уникального идентификатора |
Инфраструктура ключей |
Парные симметричные ключи шифрования, обеспечивающие на несколько порядков более высокую стойкость шифрования, чем системы PKI . Симметричная ключевая структура не требует дополнительных открытых процедур синхронизации для формирования ключей, что повышает помехозащищенность системы, исключает задержки в обработке любых сетевых протоколов, обеспечивает мгновенность (по первому поступившему IP-пакету) организацию любых сетевых подключений других участников VPN .
Автоматическое распределение симметричной ключевой информации при появлении в сети новых пользователей, задании в Центре управления сетью новых связей или удалении существующих связей, компрометации ключей или штатных процедурах смены ключевой информации |
Маршрутизация |
Статическая маршрутизация;
Прозрачность для NAT -устройств (для защищенного трафика);
VPN - клиент, поддержка DHCP , DNS , WINS ;
Помимо основных функций по туннелированию трафика между локальными сетями и с удаленными пользователями, организация прямого взаимодействия удаленных VPN - клиентов между собой, удаленных VPN - клиентов с локальными VPN - клиентами, локальных VPN - клиентов внутри локальной сети. Это достигается за счет технологии оповещения ViPNet-координаторами каждого участника VPN напрямую или через другие ViPNet-координаторы о способах подключения, IP-адресах связанных между собой участников VPN ;
Автоматическая регулировка параметров MSS в TCP-сессиях для исключения излишней фрагментации трафика, которая может возникать при передаче длинных пакетов ;
Возможность работы при изменении собственных IP-адресов, IP-адресов NAT – устройств, возможность работы за устройствами с динамическими правилами NAT;
Возможность каскадирования в сегментированных сетях с целью разграничения доступа;
Технология назначения виртуальных IP -адресов для любых удаленных улов. |
Фильтрация |
IP адрес (диапазон IP ) источника и назначения, номера портов и тип протокола, типы и коды сообщений ICMP , направление пакетов, клиент или сервер в TCP -соединении,
Контроль фрагментированных пакетов, DoS -атаки
Фильтрация сессии FTP ;
Поддержка режима открытых инициативных соединений (режим невидимости для внешних хостов);
Поддержка раздельной фильтрации для открытого IP -трафика (функция межсетевого экрана) и шифруемого IP -трафика (функция криптошлюза). |
Настройка и управление |
Настройка через специализированную консоль ПО ViPNet Coordinator ;
Удаленная настройка базовых параметров через ViPNet Administrator ;
Поддержка SNMP trap для удаленного оповещения о событиях;
Удаленный запрос журнала IP -пакетов (через Windows -продукты ViPNet Coordinator и Client );
Java -апплет мониторинга текущего состояния ПАК. |
Поддержка QoS |
IP TOS мапирование поверх зашифрованных IP -пакетов ( IP #241 или UDP ), то есть сохраняется классификации трафика для защищенных пакетов, приоритетная обработка трафика голоса и видео |
Высокая доступность |
Отсутствует понятие защищенных соединений, поэтому нет проблем задержек в сетевых протоколах и их нарушений, любой IP -пакет обрабатывается сразу после получения, а также проблем потери соединений и необходимости их восстановления как в технологии IPSec . |
Обновление ПО модуля |
Централизованное удаленное обновление ПО ViPNet Coordinator Linux в модуле через ViPNet Administrator с контролем прохождения обновления |
|
Вернуться к оглавлению
Сертификация по требованиям ФСТЭК и ФСБ РФ
В состав ПАК входит ПО ViPNet Coordinator Linux версии 2.8, аналогичное и полностью совместимое с программным обеспечением ViPNet Linux , входящим в состав ПО ViPNet Custom 2.8. На ПО ViPNet Custom 2.8 получены следующие сертификаты ФСТЭК:
- Сертификат № 545/1 от 29 марта 2005 года ФСТЭК России на программный комплекс ViPNet, о его соответствии 3 классу защиты по требованиям к межсетевым экранам и 3 уровню контроля отсутствия недекларированных возможностей;
В состав ПО ViPNet Custom входит СКЗИ «Домен-К», на которое получены следующие сертификаты ФСБ:
- Сертификат № СФ/114-0940 от 18 сентября 2006 года ФСБ РФ на аппаратно-программное средство криптографической информационной безопасности (СКЗИ) "Домен-К" (версия 2.01) на соответствие требованиям ГОСТ 28147-89, ГОСТ Р34.10-94, ГОСТ Р34.11-94, ГОСТ Р34.11-2001 и требованиям ФСБ к СКЗИ класса КС1 (вариант комплектации 1) и КС2 (вариант комплектации 2) с целью использования для формирования ключей шифрования и ключей электронной цифровой подписи, шифрования и имитозащиты данных, обеспечения целостности и подлинности информации, не содержащей сведений, составляющих государственную тайну
Планируется проведение сертификации ПАК NME - RVPN ViPNet в ФСБ России по требованиям к СКЗИ и межсетевым экранам.
Вернуться к оглавлению
Системные требования
Системные требования для ПАК NME - RVPN ViPNet представлены в таблице 3 .
Таблица 3. Системные требования
Требование |
Описание |
Оборудование |
Cisco 2811, 2821 или 2851 Integrated Series Routers
Cisco 3825 или 3845 Integrated Series Routers |
Программное обеспечение |
Cisco IOS ® Software Release 12.4(11) T или более поздний, установленный на маршрутизаторе, программный комплекс ViPNet CUSTOM версий 2.8 и 3.0 |
|
Вернуться к оглавлению
Заказы
ПАК NME-RVPN ViPNet можно заказать непосредственно в компании Инфотекс или у её бизнес-партнеров.
Вернуться к оглавлению
Техническое сопровождение
- Техническая поддержка решений на базе ПАК NME-RVPN ViPNet для конечных пользователей оказывается компанией Инфотекс или системными интеграторами, являющимися бизнес партнерами компании Инфотекс
- За дополнительными разъяснениями Вы можете обратиться в компанию Инфотекс по телефону + 7 (495) 737-6196 или отправить сообщение на e-mail: hotline@infotecs.ru.
Примечание:
- Пожалуйста, не обращайтесь в Cisco Technical Assistance Center (TAC) по вопросам, связанным с программно-аппаратным комплексом NME - RVPN ViPNet.
Вернуться к оглавлению
|
|
Семейство ViPNet
СКЗИ «Домен-К»
