Обзор криптографических шлюзов российских и зарубежных производителей. Криптошлюзы и методы их построения Криптографические шлюзы

Pвзглянуть на этот класс решений под немного иным углом — с точки зрения применения в них криптографии.

Традиция добавлять к межсетевому экрану (FW) функциональность VPN-сервера зародилась довольно давно и является настолько удачной и логичной (некоторые так и пишут - FW/VPN), что найти периметровый (шлюзовой) межсетевой экран (особенно в аппаратном исполнении) без поддержки VPN не так и просто. Возможно, что они есть, но мне такие что-то сходу не припоминаются. Поправьте в комментариях, если ошибаюсь.

Естественно, что при построении VPN (виртуальных частных сетей) хочется получить канал действительно надёжно защищённый, что предполагает использование сильной криптографии (high encryption). А в России, как известно, область сильной криптографии не менее сильно регулируется, ведь VPN-сервер по сути своей является ни чем иным, как криптошлюзом.

Можно утверждать, что сертифицированный в соответствии с российским законодательством VPN-сервер обязательно должен иметь поддержку алгоритма ГОСТ и сертификат ФСБ, коль скоро именно данное ведомство курирует у нас вопросы шифрования.

Даже при сертификации во ФСТЭК в качестве межсетевого экрана в продуктах класса FW/VPN рекомендуется отключать сильную криптографию, оставляя только алгоритм DES с длиной ключа 56 бит. Другое дело, что не все это делают, а если и делают, то, как вариант, могут продать (подарить) ключ активации сильной криптографии, отправив его просто по электронной почте. Впрочем, сейчас не об этом.

Сертификация в ФСБ имеет, конечно, что-то схожее с аналогичной процедурой во ФСТЭК, но она точно гораздо сложнее - косвенно это можно оценить, например, по тому факту, что в значитсяPболее 2000 позиций, а в аналогичном - в пять раз меньше.

Сам перечень средств, сертифицированных ФСБ, конечно, не радует в плане своего оформления, представляя собой таблицу, вставленную в doc-документ. Попытка скопировать эту таблицу в Excel не сильно помогает - некоторые ячейки получаются произвольно-хаотично объединены странными группами, а некоторые (например, изготовитель, название продукта и его описание) наоборот разбиты на произвольное число строк от 2 до 6, даты начала и окончания действия сертификата расположены в соседних по вертикали(!) ячейках и т.д. Наверное, работать можно привыкнуть и с таким представлением информации, но для своего удобства я сделал Перечень в более приятном глазу и автоматическому фильтру Excel виде (доступен по этой ссылке: ).

Однако, если с формой ещё можно что-то сделать, то разобраться в содержании под силу только глубоко разбирающемуся в теме специалисту. Какой-либо классификации продуктов особо не предусмотрено, да ещё и каждый разработчик называет изделие по своему усмотрению. Немного спасают более-менее сходные описания выполняемых функций, но разобраться в них удалось не сразу.

После вдумчивого изучения представленных в Перечне продуктов пришёл к (надеюсь, оправдавшему себя) предположению, что интересующие нас сегодня криптошлюзы - это те изделия, в описании функций которых упоминается протокол и криптографическая защита. Таких сертификатов оказалось целых 80, но реально продуктов гораздо меньше, так как присутствуют отдельные сертификаты на разные версии продуктов или даже их модули, а в некоторых случаях на каждое исполнение выписан отдельный сертификат с отдельным номером.

Итак, отфильтровав строки в Excel, давайте посмотрим, чем же нам можно пользоваться для шифрования IP-трафика.

Из уже встречавшихся в обзорах сертифицированных ФСТЭК межсетевых экранов имеют сертификаты ФСБ такие продукты:

• ViPNet (разработчик ИнфоТеКС)


• Континент (разработчик Информзащита, Код Безопасности)


• CSP VPN (разработчик С-Терра СиЭсПи)


• ЗАСТАВА (разработчик ЭЛВИС-ПЛЮС)


• StoneGate SSL VPN (разработчик Новые технологии безопасности)


• DioNIS (разработчик Фактор-ТС)


• АТЛИКС-VPN (разработчик НТЦ Атлас)


• Туннель (разработчик АМИКОН, ИнфоКрипт -P ПАК на основе ФПСУ-IP )

Дополнительно присутствуют два узкоспециальных изделия и два (если я правильно понял) криптографических провайдера:

• МодульPHSM (разработчик НТЦ Атлас, )


• М-448-1.4 P(разработчик ГУ спецпрограмм Президента РФ, РЦЗИ ФОРТ, )


• Барьер IPSec (разработчик Валидата)


• КриптоПро CSP/IPSec (разработчикP КРИПТО-ПРО)

Как видно, число межсетевых экранов, сертифицированных не только во ФСТЭК, но и в ФСБ крайне мало - фактически можно говорить лишь о семи игроках. Такое малое количество вендоров позволяет сильным - чувствовать себя в относительной безопасности, а остальным - достаточно комфортно находится в своей узкой нише. Любое изменение устоявшегося равновесия не на руку никому из них, ну, лидерам рынка так уж точно.

Второе наблюдение, которое можно сделать - почти все продукты изначально российского производства. Да, компания-разработчик сертифицированного ФСБ СКЗИ может быть только российским юридическим лицом, но и сами продукты в большинстве своём представляют собой отечественные продукты, положа руку на сердце, разрабатываемые исключительно для выполнения требований регуляторов. Каких-либо серьёзных успехов за пределами России (кроме, понятно, сопредельных дружеских государств) никто из представленных отечественных вендоров со своими разработками пока не добился.

Ситуация серьёзно изменилась в прошлом году, когда произошло знаковоеP(но, быть может, тогда ещё не такое значительное) событие: доработанный до требований российских реалий . Изначально разрабатываемый для открытого коммерческого мирового рынка продукт получил сертификат ФСБ - есть ли в Перечне ещё такие примеры?

Но, всё же, это был не классический IPSec криптошлюз, а SSL-решение со всеми вытекающими нюансами, к которым рынку ещё нужно было привыкнуть. Примерно в то же время, что и для StoneGate SSL, была анонсирована сертификация StoneGate FW/VPN.

Мы можем догадываться и предполагать, с какими трудностями пришлось столкнуться команде, занимавшейся этой сертификации, но все они были успешно преодолены и в октябре StoneGate FW/VPN получил сертификат ФСБ СФ/124-2027 от 04.10.2013 (пока в Перечне от 07.10.2013 почему-то отсутствует). Вот теперь уже можно говорить, что на рынке криптошлюзов появилась прямая угроза для действующих игроков. При этом, если вспомнить, что StoneGate - это коммерчески успешный в мире продукт, настолько успешный, что Pи своим продуктовым портфелем расширила линейку решений данного вендора, то становится ясно - угроза эта более, чем просто немного опасная.

Понятно, что этот рынок достаточно инертен и не стоит ждать резких изменений уже завтра. В конце концов, есть выстроенные каналы сбыта, определённая инсталляционная база, которую вот так единоразово не обновишь, да и какие-то личные человеческие отношения и договорённости, как это водится, наверняка, имеют место быть. Вместе с тем, событие это, без сомнения, важное для всего рынка и теперь у российских заказчиков и интераторов, реализующих проекты, есть отличная альтернатива привычному прежнему набору сертифицированных решений для построения шифрованных каналов передачи данных с использованием российской криптографии.

Возможности

Комплекс обеспечивает криптографическую защиту информации (в соответствии с ГОСТ 28147-89), передаваемой по открытым каналам связи, между составными частями VPN, которыми могут являться локальные вычислительные сети, их сегменты и отдельные компьютеры.

Современная ключевая схема, реализуя шифрование каждого пакета на уникальном ключе, обеспечивает гарантированную защиту от возможности дешифрации перехваченных данных.

Для защиты от проникновения со стороны сетей общего пользования комплекс «Континент» 3.6 обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Осуществляет поддержку VoIP, видеоконференций, ADSL, Dial-Up и спутниковых каналов связи, технологии NAT/PAT для сокрытия структуры сети.

Ключевые возможности и характеристики АПКШ «Континент» 3.6

Эффективная защита корпоративных сетей

• Безопасный доступ пользователей VPN к ресурсам сетей общего пользования
• Криптографическая защита передаваемых данных в соответствии с ГОСТ 28147–89

В АПКШ «Континент» 3.6 применяется современная ключевая схема, реализующая шифрование каждого пакета на уникальном ключе. Это обеспечивает высокую степень защиты данных от расшифровки в случае их перехвата.

Шифрование данных производится в соответствии с ГОСТ 28147–89 в режиме гаммирования с обратной связью. Защита данных от искажения осуществляется по ГОСТ 28147–89 в режиме имитовставки.

Управление криптографическими ключами ведется централизованно из ЦУС.

• Межсетевое экранирование – защита внутренних сегментов сети от несанкционированного доступа

Криптошлюз «Континент» 3.6 обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Это позволяет защитить внутренние сегменты сети от проникновения из сетей общего пользования.

• Безопасный доступ удаленных пользователей к ресурсам VPN-сети

Специальное программное обеспечение «Континент АП», входящее в состав АПКШ «Континент» 3.6, позволяет организовать защищенный доступ с удаленных компьютеров к корпоративной VPN-сети.

• Создание информационных подсистем с разделением доступа на физическом уровне

В АПКШ «Континент» 3.6 можно подключать 1 внешний и 3–9 внутренних интерфейсов на каждом криптошлюзе. Это значительно расширяет возможности пользователя при настройке сети в соответствии с корпоративной политикой безопасности. В частности, наличие нескольких внутренних интерфейсов позволяет разделять на уровне сетевых карт подсети отделов организации и устанавливать необходимую степень взаимодействия между ними.

Основные характеристики и возможности

• Поддержка распространенных каналов связи

Работа через Dial-Up соединения, оборудование ADSL, подключенное непосредственно к криптошлюзу, а также через спутниковые каналы связи.

• «Прозрачность» для любых приложений и сетевых сервисов

Криптошлюзы «Континент» 3.6 «прозрачны» для любых приложений и сетевых сервисов, работающих по протоколу TCP/IP, включая такие мультимедиа-сервисы, как IP-телефония и видеоконференции.

• Работа с высокоприоритетным трафиком

Реализованный в АПКШ «Континент» 3.6 механизм приоритезации трафика позволяет защищать голосовой (VoIP) трафик и видеоконференции без потери качества связи.

• Резервирование гарантированной полосы пропускания за определенными сервисами

Резервирование гарантированной полосы пропускания за определенными сервисами обеспечивает прохождение трафика электронной почты, систем документооборота и т.д. даже при активном использовании IP-телефонии на низкоскоростных каналах связи.

• Поддержка VLAN

Поддержка VLAN гарантирует простое встраивание АПКШ в сетевую инфраструктуру, разбитую на виртуальные сегменты.

• Скрытие внутренней сети. Поддержка технологий NAT/PAT

Поддержка технологии NAT/PAT позволяет скрывать внутреннюю структуру защищаемых сегментов сети при передаче открытого трафика, а так же организовывать демилитаризованные зоны и сегментировать защищаемые сети.

Скрытие внутренней структуры защищаемых сегментов корпоративной сети осуществляется:

• методом инкапсуляции передаваемых пакетов (при шифровании трафика);
• при помощи технологии трансляции сетевых адресов (NAT) при работе с общедоступными ресурсами.

• Возможность интеграции с системами обнаружения атак

На каждом криптошлюзе существует возможность специально выделить один из интерфейсов для проверки трафика, проходящего через КШ, на наличие попыток неавторизованного доступа (сетевых атак). Для этого необходимо определить такой интерфейс как «SPAN-порт» и подключить к нему компьютер с установленной системой обнаружения атак (например, RealSecure). После этого на данный интерфейс начинают ретранслироваться все пакеты, поступающие на вход пакетного фильтра криптошлюза.

• Обслуживание и управление

Удобство и простота обслуживания (необслуживаемый режим 24*7)

АПКШ «Континент» 3.6 не требует постоянного локального администрирования и может работать в необслуживаемом режиме 24*7х365. Промышленные компьютеры, используемые в производстве комплекса, в совокупности с возможностью горячего и холодного резервирования гарантируют бесперебойную работу комплекса.

Комплекс осуществляет оперативное оповещение администраторов о событиях, требующих оперативного вмешательства, в режиме реального времени.

• Удаленное обновление ПО криптошлюзов

В комплексе решена проблема обновления программного обеспечения КШ в территориально-распределенных системах. Обновление ПО загружается в комплекс централизованно, рассылается на все криптошлюзы, входящие в состав комплекса, и автоматически устанавливается.

• Обеспечение отказоустойчивости

Отказоустойчивость Комплекса обеспечивается следующими мерами:

• Аппаратное резервирование криптографических шлюзов (создание кластера высокого доступа). В случае выхода из строя одного из криптошлюзов переключение на резервный производится автоматически без вмешательства администратора и без разрыва установленных соединений.
• Автоматическое резервное копирование конфигурационных файлов комплекса. Обеспечивает быстрое восстановление работы сети в случае выхода аппаратуры из строя.
• Централизованное управление сетью

Централизованное управление сетью осуществляется при помощи ЦУС и программы управления, которая позволяет в диалоговом режиме изменять настройки всех криптошлюзов сети и вести оперативный мониторинг их текущего состояния.

Отображение состояния всех устройств на рабочем месте администратора в масштабе реального времени позволяет своевременно выявлять отклонения от нормального процесса функционирования и оперативно на них реагировать.

• Ролевое управление – разделения полномочий на администрирование комплекса

Реализована возможность разделения полномочий на администрирование комплекса, например, на управление ключевой информацией, на назначение прав доступа к защищаемым ресурсам, на добавление новых компонент, на аудит действий пользователей (в том числе и других администраторов).

• Взаимодействие с системами управления сетью

Позволяет контролировать состояние АПКШ «Континент» 3.6 по протоколу SNMPv2 из систем глобального управления сетью (Hewlett-Packard, Cisco и др.).

Криптошлюзы (VPN-шлюзы, VPN-маршрутизаторы или крипто-маршрутизаторы) выполняют функции обеспечения конфиденциальности данных пользователя путём их шифрования и функции контроля целостности сообщений пользователя на выходе из ГСПД при помощи аутентификаторов сообщений. Центр управления ВЧС выполняет функции мониторинга и управления работой криптошлюзов, а также отвечает за распределение криптографических ключей между ними. В состав ВЧС могут входить отдельные рабочие станции пользователей, ЛВС и другие АС.

В настоящее время существует четыре метода построения криптошлюзов ВЧС:

На базе сетевых операционных систем со встроенными функциями организации ВЧС;

На базе маршрутизаторов/коммутаторов, ПО которых имеет функции построения ВЧС;

На базе МЭ, в ПО которых интегрированы функции по построению ВЧС;

На базе специализированного программно-аппаратного обеспечения, предназначенного только для построения ВЧС.

В рамках ВЧС все данные, как правило, передаются по так называемым «туннелям» , которые представляют собой виртуальное соединение между двумя криптошлюзами ВЧС. Алгоритм передачи сообщений через туннель ВЧС выглядит следующим образом. Перед отправкой сообщений пользователя через туннель криптошлюз их зашифровывает, вычисляет для них аутентификатор, после чего сообщения инкапсулируются (переупаковываются) в новые сообщения, которые и передаются по туннелю. При этом в поле заголовка «Адрес получателя» сформированного сообщения указывается адрес криптошлюза, а не адрес АС пользователя которому на самом деле предназначается сообщение, что позволяет скрыть истинные адреса субъектов соединения. После передачи сообщений на другом конце туннеля криптошлюз извлекает полученные данные, расшифровывает их, проверяет их целостность, после чего данные передаются адресатам. Такой способ передачи сообщений принято называть «туннелированием» . Схема туннелирования сообщений пользователя изображена на рис. 19.2.

Рисунок 19.2 - Схема туннелирования сообщений пользователя

Взаимодействие между криптошлюзами ВЧС реализуется при помощи протоколов специального типа, называемых криптопротоколами. Криптопротоколы могут быть реализованы на различных уровнях модели ВОС (табл. 19.1).

Таблица 19.1. Криптопротоколы различных уровней модели ВОС

В настоящее время наиболее часто для построения ВЧС используется криптопротокол IPSec , спецификация которого является частью базового стандарта шестой версии протокола IP, посредством которого реализуются функции уровня межсетевого взаимодействия стека протоколов TCP/IP.

Материал из Википедии - свободной энциклопедии

Криптошлюз (криптографический шлюз, vpn-шлюз, криптомаршрутизатор) - аппаратно-программный комплекс криптографической защиты трафика данных, голоса, видео на основе шифрования пакетов по протоколам IPsec AH и/или IPsec ESP при установлении соединения, соответствующий требованиям к средствам криптографической защиты информации (СКЗИ ) ФСБ России и обеспечивающий базовую функциональность современного VPN -устройства.

Назначение

Криптошлюз предназначен для обеспечения информационной безопасности организации, защиты её информационных сетей от вторжения со стороны сетей передачи данных (Интернет), обеспечения конфиденциальности при передаче информации по открытым каналам связи (VPN), а также организации безопасного доступа пользователей к ресурсам сетей общего пользования.

Криптошлюз обеспечивает базовую функциональность современного VPN-устройства:

1. конфиденциальность и целостность потока IP-пакетов;
2. маскировку топологии сети за счет инкапсуляции трафика в защищённый туннель;
3. прозрачность для NAT ;
4. аутентификацию узлов сети и пользователей;
5. унификацию политики безопасности для мобильных и «внутренних» пользователей (динамическое конфигурирование корпоративных IP-адресов для удаленных пользователей «внутри VPN»).

Криптошлюзы представлены как в сегменте VPN устройств, так и в сегменте унифицированных устройств (UTM) объединяющих несколько средств безопасности в одном.

Отличие криптошлюзов от обычных VPN маршрутизаторов заключается в том, что они работают на основе протокола IPSec и обеспечивают защиту информации, передаваемой по каналам связи, используя алгоритмы, которые отвечают требованиям российских криптографических стандартов (ГОСТ 28147-89 и ГОСТ Р 34.10-2001) .

Доступ к ресурсам информационной системы

Криптошлюзы позволяют осуществить защищённый доступ удаленных абонентов к ресурсам корпоративной информационной системы. Доступ производится с использованием специального программного обеспечения, установленным на компьютере пользователя (VPN-клиент) для осуществления защищённого взаимодействия удаленных и мобильных пользователей с криптошлюзом.

Программное обеспечение криптошлюза (сервер доступа) проводит идентификацию и аутентификацию пользователя и осуществляет его связь с ресурсами защищаемой сети. С помощью криптошлюзов формируют виртуальные защищённые каналы в сетях общего пользования (например, Internet), которые гарантируют конфиденциальность и достоверность информации, и организовывать виртуальные частные сети (Virtual Private Network – VPN), представляющие собой объединение локальных сетей или отдельных компьютеров, подключенных к сети общего пользования в единую защищённую виртуальную сеть. Для управления такой сетью обычно используется специальное программное обеспечение (центр управления), которое обеспечивает централизованное управление локальными политиками безопасности VPN-клиентов и криптошлюзов, рассылает для них ключевую информацию и новые конфигурационные данные, обеспечивает ведение системных журналов.

Напишите отзыв о статье "Криптошлюз"

Примечания

Литература

1. Жданов, О. Н., Золотарев, В. В. . - Красноярск: СибГАУ, 2007. - 217 с.

Ссылки

• . logic-soft. Проверено 28 февраля 2012. .
• . Компания «Код Безопасности». Проверено 28 февраля 2012. .
• Константин Кузовкин. . i-teco. Проверено 28 февраля 2012. .

Отрывок, характеризующий Криптошлюз

– Qui s"excuse – s"accuse, [Кто извиняется, тот обвиняет себя.] – улыбаясь и махая корпией, говорила Жюли и, чтобы за ней осталось последнее слово, сейчас же переменила разговор. – Каково, я нынче узнала: бедная Мари Волконская приехала вчера в Москву. Вы слышали, она потеряла отца?
– Неужели! Где она? Я бы очень желал увидать ее, – сказал Пьер.
– Я вчера провела с ней вечер. Она нынче или завтра утром едет в подмосковную с племянником.
– Ну что она, как? – сказал Пьер.
– Ничего, грустна. Но знаете, кто ее спас? Это целый роман. Nicolas Ростов. Ее окружили, хотели убить, ранили ее людей. Он бросился и спас ее…
– Еще роман, – сказал ополченец. – Решительно это общее бегство сделано, чтобы все старые невесты шли замуж. Catiche – одна, княжна Болконская – другая.
– Вы знаете, что я в самом деле думаю, что она un petit peu amoureuse du jeune homme. [немножечко влюблена в молодого человека.]
– Штраф! Штраф! Штраф!
– Но как же это по русски сказать?..

Когда Пьер вернулся домой, ему подали две принесенные в этот день афиши Растопчина.
В первой говорилось о том, что слух, будто графом Растопчиным запрещен выезд из Москвы, – несправедлив и что, напротив, граф Растопчин рад, что из Москвы уезжают барыни и купеческие жены. «Меньше страху, меньше новостей, – говорилось в афише, – но я жизнью отвечаю, что злодей в Москве не будет». Эти слова в первый раз ясно ыоказали Пьеру, что французы будут в Москве. Во второй афише говорилось, что главная квартира наша в Вязьме, что граф Витгснштейн победил французов, но что так как многие жители желают вооружиться, то для них есть приготовленное в арсенале оружие: сабли, пистолеты, ружья, которые жители могут получать по дешевой цене. Тон афиш был уже не такой шутливый, как в прежних чигиринских разговорах. Пьер задумался над этими афишами. Очевидно, та страшная грозовая туча, которую он призывал всеми силами своей души и которая вместе с тем возбуждала в нем невольный ужас, – очевидно, туча эта приближалась.
«Поступить в военную службу и ехать в армию или дожидаться? – в сотый раз задавал себе Пьер этот вопрос. Он взял колоду карт, лежавших у него на столе, и стал делать пасьянс.
– Ежели выйдет этот пасьянс, – говорил он сам себе, смешав колоду, держа ее в руке и глядя вверх, – ежели выйдет, то значит… что значит?.. – Он не успел решить, что значит, как за дверью кабинета послышался голос старшей княжны, спрашивающей, можно ли войти.
– Тогда будет значить, что я должен ехать в армию, – договорил себе Пьер. – Войдите, войдите, – прибавил он, обращаясь к княжие.
(Одна старшая княжна, с длинной талией и окаменелым лидом, продолжала жить в доме Пьера; две меньшие вышли замуж.)
– Простите, mon cousin, что я пришла к вам, – сказала она укоризненно взволнованным голосом. – Ведь надо наконец на что нибудь решиться! Что ж это будет такое? Все выехали из Москвы, и народ бунтует. Что ж мы остаемся?
– Напротив, все, кажется, благополучно, ma cousine, – сказал Пьер с тою привычкой шутливости, которую Пьер, всегда конфузно переносивший свою роль благодетеля перед княжною, усвоил себе в отношении к ней.
– Да, это благополучно… хорошо благополучие! Мне нынче Варвара Ивановна порассказала, как войска наши отличаются. Уж точно можно чести приписать. Да и народ совсем взбунтовался, слушать перестают; девка моя и та грубить стала. Этак скоро и нас бить станут. По улицам ходить нельзя. А главное, нынче завтра французы будут, что ж нам ждать! Я об одном прошу, mon cousin, – сказала княжна, – прикажите свезти меня в Петербург: какая я ни есть, а я под бонапартовской властью жить не могу.
– Да полноте, ma cousine, откуда вы почерпаете ваши сведения? Напротив…
– Я вашему Наполеону не покорюсь. Другие как хотят… Ежели вы не хотите этого сделать…
– Да я сделаю, я сейчас прикажу.
Княжне, видимо, досадно было, что не на кого было сердиться. Она, что то шепча, присела на стул.
– Но вам это неправильно доносят, – сказал Пьер. – В городе все тихо, и опасности никакой нет. Вот я сейчас читал… – Пьер показал княжне афишки. – Граф пишет, что он жизнью отвечает, что неприятель не будет в Москве.
– Ах, этот ваш граф, – с злобой заговорила княжна, – это лицемер, злодей, который сам настроил народ бунтовать. Разве не он писал в этих дурацких афишах, что какой бы там ни был, тащи его за хохол на съезжую (и как глупо)! Кто возьмет, говорит, тому и честь и слава. Вот и долюбезничался. Варвара Ивановна говорила, что чуть не убил народ ее за то, что она по французски заговорила…
– Да ведь это так… Вы всё к сердцу очень принимаете, – сказал Пьер и стал раскладывать пасьянс.

В современных условиях для эффективной работы организации требуется обеспечение передачи информации между удаленными подразделениями и постоянный доступ к корпоративным сервисам из любой точки земного шара. Для защиты информации при ее передаче по общедоступным каналам связи была разработана технология VPN (Virtual Private Network, виртуальные частные сети). По сути при использовании VPN происходит обмен информацией с удаленной локальной сетью по виртуальному каналу через Интернет с имитацией частного подключения «точка-точка» (создается зашифрованный VPN туннель или целая VPN сеть).

Так как технология VPN включает в себя криптографию (шифрование), то, в соответствии с законами Российской Федерации, на территории России возможно использование криптографических средств (криптомаршрутизатор/криптошлюз/VPN шлюз) следующих типов:

• западная криптография (длина ключа до 56* бит включительно);
• западная криптография (длина ключа от 56 бит) - с уведомлением заказчиком ФСБ России;
• российская криптография (ГОСТ 28147—89, ГОСТ 34.10—2012, ГОСТ 34.11—2012).

В ответ на требования рынка и законодательства по криптографическим средствам компания «АльтЭль» встроила в VPN шлюз ALTELL NEO криптографическое ядро собственной разработки на базе алгоритма ГОСТ 28147—89. Это позволяет использовать ALTELL NEO для объединения удаленных филиалов в единую VPN сеть, предоставления доступа к локальной сети организации с мобильных сотрудников (с помощью ПО ALTELL VPN клиент для мобильных устройств) к ресурсам компании и обмену данными между филиалами и контрагентами в защищенном режиме. Широкий модельный ряд ALTELL NEO удовлетворяет потребности в безопасном объединении компаний любого размера: как небольшого удаленного офиса, так и головного подразделения крупного холдинга с штатом в несколько тысяч сотрудников.

Как криптошлюз ALTELL NEO позволяет организовать подключение удаленных пользователей по защищенному каналу (через VPN туннель) к локальной сети организации без снижения уровня ее защищенности. Пользователям может быть разрешен доступ только к определенным серверам или отдельным службам. Для удаленной работы на мобильных устройствах должен быть установлен VPN клиент.

Топология

Ниже представлена схема организации VPN соединения между филиалами компании с помощью криптомаршрутизатора ALTELL NEO (рис. 1). VPN туннель строится на основе отечественных или западных криптоалгоритмов (ГОСТ/AES128 по протоколам IPsec или OpenVPN). Внутри VPN туннеля может передаваться трафик из конвергентных сетей: данные, голос, видео.

Рис.1 Организация соединения VPN между филиалами.

На рисунке 2 представлена схема организации VPN соединения с удаленными пользователями. На мобильных устройствах установлен VPN клиент, с помощью которого пользователь получает защищенный доступ в сеть организации.

Рис.2 Организация VPN соединения с мобильными пользователями.

В настоящее время VPN шлюз ALTELL NEO поддерживает следующие типы VPN соединений:

Преимущества

• возможность доступа к внутренним ИТ-ресурсам предприятия из удаленных филиалов;
• защита трафика с помощью отечественных или западных криптоалгоритмов (ГОСТ/AES128 по протоколам IPsec или OpenVPN);
• бесперебойность работы за счет организации схемы с резервным провайдером или применения резервных маршрутизируемых колец в топологии;
• организация схемы высокой доступности;
• возможность защищенной работы во внутренней сети предприятия отдельных единичных пользователей из домашнего офиса или любой точки интернета;
• фильтрация нежелательного трафика в VPN-канале;
• возможность выделения защищенных сегментов в существующих сетях;
• неизменность существующей ИТ-инфраструктуры;
• масштабируемая VPN сеть;
• широкий спектр средств построения VPN сети;
• быстрое развертывание и первоначальная настройка;
• простота эксплуатации системы.

Сертификаты

Криптошлюз ALTELL NEO обладает всеми необходимыми сертификатами для использования в качестве средства защиты информации, в том числе сертификаты ФСТЭК России по классам МЭ2/МЭ3/МЭ4 и НДВ2/НДВ3, позволяющие использовать этот VPN шлюз для защиты автоматизированных систем до класса 1Б включительно и создания защищенных ИСПДн в соответствии с 152-ФЗ «О персональных данных» до класса К1 включительно.

Бесплатное тестирование

Все модели ALTELL NEO доступны для тестирования в вашей организации совершенно бесплатно. Для получения интересующей вас модели необходимо заполнить заявку. Вы также можете подобрать конфигурацию устройства (дополнительная память, модули расширения, версия ПО и т. д.) и рассчитать приблизительную цену устройства с помощью