Сетевая безопасность

Информация о материале

Создано: 04 июля 2018

Разработчик: ИнфоТеКС

ViPNet Coordinator — семейство шлюзов безопасности, входящих в состав продуктовой линейки ViPNet Network Security. В зависимости от настроек ViPNet Coordinator может выполнять следующие функции в защищенной сети ViPNet:

• Маршрутизатор VPN-пакетов: маршрутизация зашифрованных IP-пакетов, передаваемых между сегментами защищенной сети.
• VPN-шлюз: туннелирование (шифрование и имитозащита) открытых IP-пакетов, передаваемых между локальными сегментами сети.
• Межсетевой экран: анализ, фильтрация и регистрация IP-трафика на границе сегмента сети.
• Транспортный сервер: маршрутизация передачи защищенных служебных данных в сети ViPNet, почтовых сообщений, передаваемых программой «ViPNet Деловая почта».
• Сервер IP-адресов, сервер соединений: обеспечивает регистрацию и доступ в реальном времени к информации о состоянии объектов защищенной сети и о текущем значении их сетевых настроек (IP- адресов и т.п.).

Продукты ViPNet Coordinator адаптированы для использования в различных отраслях и сценариях применения. Семейство шлюзов безопасности ViPNet Coordinator подразделяется на решения, в зависимости от особенностей их исполнения, в том числе аппаратной платформы продукта, набора дополнительных сетевых сервисов, производительности, сетевых интерфейсов и др.

Сценарии использования

Совместно с другими программными продуктами линейки ViPNet Network Security, ViPNet Coordinator HW обеспечивает эффективную реализацию множества сценариев защиты информации, например:

• Построение защищенных каналов связи между офисами компании (Site-to-Site и Multi Site-to-Site).
• Защищенный доступ удаленных и мобильных пользователей.
• Взаимодействие с сетями ViPNet других организаций.
• Защита магистральных каналов, соединяющих ЦОДы.
• Защита мультисервисных сетей (включая IP-телефонию и видео-конференц-связь).
• Разграничение доступа к информации в локальных сетях, сегментирование локальных сетей (например, выделение DMZ).
• Защищенный контролируемый доступ в Интернет.
• Организация контролируемого доступа пользователей из публичной сети к предоставляемым организацией ресурсам и сервисам.

Преимущества

• VPN без установления соединения обеспечивает повышенную надежность и устойчивость соединений через шлюз безопасности ViPNet Coordinator HW.
• Поддержка работы в современных мультисервисных сетях связи без ограничений по совместимости
  • со службами DHCP, WINS, DNS;
  • с динамическим преобразованием адресов (NAT, PAT);
  • с использованием мультимедийных протоколов (SIP, H323, SCCP и другие).
• В качестве центра генерации ключей шифрования используется ПО ViPNet Administrator.
• Специальная архитектура файловой системы предотвращает возможность порчи образа операционной системы и ПО ViPNet при сбоях питания.
• Возможность повышения надежности координатора за счет его развертывания в составе кластера горячего резервирования (failover cluster).

Возможности

Сервер в защищенной сети ViPNet

• ViPNet VPN-шлюз сетевого уровня (L3): защита соединений сетевого уровня (OSI) с шифрованием и аутентификацией.
• ViPNet VPN-шлюз канального уровня (L2): защита соединений канального уровня (OSI) с шифрованием и аутентификацией.
• Сервер IP-адресов (оповещение защищенных узлов о параметрах доступа друг к другу).
• Маршрутизатор VPN-пакетов (маршрутизация и контроль целостности зашифрованных IP-пакетов, передаваемых между сегментами защищенной сети).
• Маскирование структуры трафика за счет инкапсуляция в UDP, TCP.

Фильтрация трафика (межсетевой экран)

• Межсетевой экран с контролем состояния сессий и инспекцией прикладных протоколов. Раздельная настройка фильтрации для открытого и шифруемого IP-трафика.
• NAT/PAT.
• Антиспуфинг.
• Сервер Открытого Интернета (организация безопасного подключения компьютеров корпоративной сети к Интернету).
• Прокси-сервер.

Сетевые функции

• Статическая маршрутизация.
• Динамическая маршрутизация.
• Резервирование и балансировка WAN каналов.
• Поддержка VLAN (dot1q).
• Агрегирование интерфейсов (bonding, EtherChannel(LACP)): резервирование и балансировка.
• Поддержка классификации и приоритезации трафика (QoS, ToS, DiffServ).

Сервисные функции

• DNS-сервер.
• NTP-сервер.
• DHCP-сервер.
• DHCP-Relay.
• Поддержка ИБП (UPS).
• Кластер горячего резервирования: отказоустойчивый координатор в конфигурации ViPNet Failover.

Настройка и управление

• Удаленная настройка ViPNet Coordinator с помощью ViPNet Administrator, веб-интерфейса, системной консоли.
• Удаленное обновление ПО ViPNet Coordinator с помощью ViPNet Administrator.
• Локальная настройка с помощью консоли.

Сертификация

• Сертификат соответствия ФСБ России № СФ/124-2981 от 14.11.2016 на соответствие требованиям ГОСТ 28147-89 и требованиям ФСБ России к средствам криптографической защиты класса КС3.
• Сертификат соответствия ФСБ России № СФ/525-3007 от 12.12.2016 на соответствие требованиям ФСБ России к устройствам типа межсетевой экран 4 класса защищенности.
• Сертификат соответствия ФСТЭК России № 3692 на соответствие требованиям документов «Требования к межсетевым экранам» и «Профиль защиты межсетевого экрана типа А четвертого класса защиты. ИТ.МЭ.А4.ПЗ». 

Семейство шлюзов безопасности ViPNet Coordinator HW

ПАК ViPNet Coordinator HW50 — шлюз безопасности для защиты филиалов компаний, небольших удаленных офисов и удаленных рабочих мест, а также терминалов и устройств. Благодаря поддержке каналов Ethernet, Wi-Fi, 3G и 4G, ViPNet Coordinator HW50 позволяет обеспечить безопасное подключение к корпоративной защищенной сети ViPNet по проводным и беспроводным каналам. ПАК ViPNet Coordinator HW50, исполненный в форм-факторе miniPC, потребляет низкое количество электроэнергии, оснащен пассивной системой охлаждения и не требует каких-либо особых условий для размещения и эксплуатации.

ПАК ViPNet Coordinator HW100 — шлюз безопасности для защиты филиалов компаний, небольших удаленных офисов, удаленных рабочих мест, терминалов и устройств. Благодаря поддержке каналов Ethernet, Wi-Fi, 3G и 4G ViPNet Coordinator, HW100 позволяет обеспечить безопасное подключение к корпоративной защищенной сети ViPNet по проводным и беспроводным каналам. ПАК ViPNet Coordinator HW100, исполненный в форм-факторе miniPC, потребляет низкое количество электроэнергии, оснащен пассивной системой охлаждения и не требует особых условий для размещения и эксплуатации.

ViPNet Coordinator HW1000 — шлюз безопасности для защиты компьютерных сетей масштаба предприятия. ViPNet Coordinator HW1000 позволяет организовать защищенный доступ как в ЦОДы, так и в корпоративную облачную инфраструктуру, и поддерживает защиту скоростных каналов связи до 1 Гбит/сек. ПАК ViPNet Coordinator HW1000, исполненный в форм-факторе 1U, потребляет низкое количество электроэнергии, обладает невысоким уровнем тепловыделения и не требует каких-либо особых условий для размещения и эксплуатации, представляя собой высокоэффективное средство сетевой защиты.

ПАК ViPNet Coordinator HW2000 — шлюз безопасности для защиты высокоскоростных каналов связи (до 2,7 Гбит/сек). ViPNet Coordinator HW2000 позволяет организовать защищенный доступ как в ЦОДы, так и в корпоративную облачную инфраструктуру. ПАК ViPNet Coordinator HW2000, исполненный в форм-факторе 1U, потребляет низкое количество электроэнергии, обладает невысоким уровнем тепловыделения и не требует каких-либо особых условий для размещения и эксплуатации, представляя собой высокоэффективное средство сетевой защиты.

ПАК ViPNet Coordinator HW5000 — шлюз безопасности для защиты высокоскоростных каналов связи (до 10 Гбит/сек). ViPNet Coordinator HW5000 позволяет организовать защищенный доступ как в ЦОДы, так и в корпоративную облачную инфраструктуру. ПАК ViPNet Coordinator HW5000, исполненный в форм-факторе 1U, потребляет низкое количество электроэнергии, обладает невысоким уровнем тепловыделения и не требует каких-либо особых условий для размещения и эксплуатации, представляя собой высокоэффективное средство сетевой защиты.

ViPNet Industrial Gateway

Индустриальные шлюзы безопасности с поддержкой промышленных протоколов, обеспечивающие защиту каналов связи и сетевое экранирование.

Программно-аппаратный комплекс ViPNet Coordinator IG10 — это сетевой шлюз безопасности в индустриальном исполнении, предназначенный для защиты каналов в промышленных системах и сегментирования их на домены безопасности. ViPNet Coordinator IG10 обеспечивает эффективную защиту от сетевых атак и несанкционированного доступа путем создания защищенных каналов на основе технологии ViPNet.

ПАК легко встраивается в существующую инфраструктуру. С помощью продукта ViPNet Coordinator IG10 можно строить защищенные каналы в любой телекоммуникационной инфраструктуре, включая сети общего пользования

Сценарии использования

ViPNet Coordinator IG10 совместно с линейкой ViPNet Network Security может использоваться в следующих сценариях для защиты инфраструктуры АСУ ТП и IIoT:

• Защита индустриальной сети, индустриальной беспроводной локальной сети (WLAN).
• Защищенный удаленный мониторинг.
• Эшелонированная защита (использование ПАК для защиты каналов совместно со средствами защиты данных на прикладном уровне).
• Сегментация и защита периметра, разграничение доступа.
• Контроль доступа из индустриальной сети в Интернет.
• Защищенный удаленный доступ в индустриальную сеть, к рабочему столу оператора или инженера, а также к оборудованию. В том числе имеется возможность осуществлять мобильный удаленный доступ.
• Коммуникационный шлюз для взаимодействия с промышленным оборудованием по последовательным интерфейсам.

Преимущества

• Защита распределенных АСУ ТП средствами VPN, фильтрации трафика (межсетевой экран).
• Защита как проводных (Ethernet), так и беспроводных (Wi-Fi, 3G, 4G) каналов управления объектами распределенной АСУ ТП.
• Поддержка промышленных устройств, использующих интерфейсы RS-232/422/485, возможность работы в качестве шлюза Modbus TCP - Modbus RTU.
• Высокая энергоэфективность. 
• Работа при температурах от -20 до +60 °С.
• Индустриальное исполнение.
• Поддержка VLAN.
• В качестве центра генерации ключей шифрования используется ПО ViPNet Administrator 4.6.

Поддержка промышленных протоколов

• Modbus TCP
• PROFINET
• EtherCAT
• EtherNet/IP
• DNP, IEC 60870-104, MMS
• OPC
• PTP
• LonWorks, Bacnet
• KNX, ZigBee, Z-Wave

Информация о материале

Создано: 01 июля 2018

Разработчик: ООО «Код Безопасности»

«Континент TLS VPN Сервер» - Система обеспечения защищенного удаленного доступа к веб-приложениям с использованием алгоритмов шифрования ГОСТ

Возможности

Идентификация и аутентификация удаленных пользователей

Идентификация и аутентификация пользователей выполняются по сертификатам открытых ключей стандарта x.509v3 (ГОСТ Р 31.11–94, 34.10–2001). «Континент TLS VPN» производит проверку сертификатов ключей по спискам отозванных сертификатов (CRL). Выпуск сертификатов осуществляется внешним удостоверяющим центром.
В случае успешного прохождения процедур аутентификации запрос пользователя перенаправляется по протоколу HTTP в защищенную сеть к соответствующему веб-серверу. При этом к каждой HTTP-сессии пользователя добавляются специальные идентификаторы (идентификатор клиента и идентификатор IP).

Криптографическая защита передаваемой информации

«Континент TLS VPN» осуществляет криптографическую защиту HTTP-трафика на сеансовом уровне. Шифрование информации производится по алгоритму ГОСТ 28147–89.
Расчет хэш-функции выполняется по алгоритму ГОСТ Р 34.11–94, ГОСТ Р 34.11–2012.
Формирование и проверка электронной подписи осуществляются в соответствии с алгоритмом ГОСТ Р 34.10–2001, ГОСТ Р 34.10–2012.

Сокрытие защищаемых серверов и трансляция адресов

«Континент TLS VPN» производит фильтрацию запросов и транслирует адреса запросов к веб-серверам корпоративной сети. Трансляция адресов осуществляются в соответствии с правилами, которые устанавливает администратор «Континент TLS VPN».

Отказоустойчивость и масштабируемость

«Континент TLS VPN» поддерживает работу в схеме высокопроизводительного кластера с балансировкой нагрузки (внешним балансировщиком). Повышение отказоустойчивости достигается добавлением в кластер избыточной ноды. При этом наращивания элементов балансирующего кластера может осуществляться неограниченно. Выход из строя элемента кластера не приводит к разрыву соединений, поскольку нагрузка равномерно распределяется между остальными элементами.

Мониторинг и регистрация событий

В «Континент TLS VPN» администратор всегда может получить оперативную информацию о текущем состоянии установленных соединений и статистику его работы. На сервере осуществляется журналирование событий информационной безопасности. Все события могут пересылаться на указанный сервер в формате syslog для дальнейшего анализа, что делает интеграцию с SIEM-системами максимально простой.

Удобные инструменты управления

Сочетание локальных и удаленных средств с веб-интерфейсом и удобной графической консолью управления обеспечивает гибкую настройку «Континент TLS VPN» в соответствии с требованиями политик безопасности.

Поддерживаемые протоколы

«Континент TLS VPN» поддерживает протоколы TLS v.1, TLS v.2.

Работа пользователя через любой веб-браузер

Используя приложение «Континент TLS VPN Клиент», пользователи могут получить доступ к защищенным ресурсам из любого веб-браузера. «Континент TLS VPN Клиент» является локальным прокси, перехватывает трафик браузера к защищаемым веб-серверам и упаковывает его в http-туннель. Благодаря этому пользователь может работать с любым веб-браузером, установленном на его устройстве.

Использование удобного для пользователей программного клиента

Использование удобного для пользователей программного клиента В качестве клиента на устройстве пользователя может быть использован «Континент TLS VPN Клиент» или «КриптоПро CSP».

Информация о материале

Создано: 22 июня 2018

Разработчик: НПО «Эшелон»

Программно-аппаратные комплексы «Рубикон» предназначены для организации эффективной защиты периметра сетей предприятий различного масштаба в соответствии с нормативными требованиями регуляторов. Любое решение «Рубикон» включает функционал маршрутизатора, межсетевого экрана, системы обнаружения вторжений.
Линейка решений состоит из следующих продуктов:
• «Рубикон» - решение, предназначенное для использования в автоматизированных системах военного назначения, в которых обрабатывается информация, составляющая государственную тайну;
• «Рубикон-А» - решение, предназначенное для защиты ГИС, ИСПДн и информационных систем, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну;
• «Рубикон-К» - решение, предназначенное для защиты ГИС, ИСПДн и информационных систем общего пользования;
• Однонаправленный шлюз «Рубикон» - решение, предназначенное для однонаправленной передачи данных в автоматизированных системах военного назначения между сегментами разного уровня секретности на базе 2-х ПАК «Рубикон» с использованием специализированных оптических плат.

Ключевые особенности

• производительность МЭ: до 9 Gb/s;
• производительность СОВ: до 3Gb/s;
• производительность маршрутизации: до 9 Gb/s;
• удобный пользовательский Web-интерфейс для администрирования комплекса;
• возможность горячего резервирования: на уровне устройств (VRRP), на уровне портов (VLAN, bonding), на уровне каналов связи (динамическая маршрутизация OSFP, BGP);
• поддержка мандатных меток отечественных защищенных операционных систем в сетевом трафике (Astra Linux, MCBC)
• интеграция с внешними системами анализа событий безопасности;
• модульная структура аппаратных платформ;
• поддержка трансляции сетевых адресов;
• статическая и динамическая маршрутизация;
• HTTP-, FTP-.

Ключевые схемы работы ПАК «Рубикон»

Схема  «Горячее резервирование»

Одно из устройств работает в активном режиме, второе - в режиме ожидания. Если первое устройство отключается, второе устройство переходит в активный режим. Сетевые настройки на обоих устройствах синхронизируются.

Схема  «Однонаправленный шлюз»

Рубикон 1 в несекретной части скачивает данные с FTP-сервера, передает их Рубикону 2 по однонаправленному каналу в секретную сеть. с использованием протокола UDP. Рубикон 2, в свою очередь, загружает данные на FTP-сервер в секретной части сети.
Отсутствие обратного потока информации обеспечивается на физическом уровне.

Информация о материале

Создано: 22 июня 2018

Разработчик: ИнфоТеКС

ViPNet TLS Gateway – это высокопроизводительный TLS-криптошлюз, использующий российские криптоалгоритмы.
ViPNet TLS Gateway обеспечивает аутентификацию пользователей и организацию защищенных соединений по протоколу TLS v.1.2 при работе с портальными решениями.

Сценарии использования

Удаленный доступ сотрудников к корпоративным ресурсам.
Предоставление электронных услуг через защищенный канал:
• Сдача электронной отчетности
• Электронные торговые площадки
• Дистанционное банковское обслуживание
• Электронный документооборот

Сертификация в ФСБ России

Получен сертификат ФСБ России о соответствии ViPNet TLS Gateway Требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну по классам:
• КС1 для исполнения 5 (TLS VA);
• КС3 для исполнений 1, 2, 3 (TLS 500, 1000, 5000 соответственно).

Функциональные характеристики

• Обратный прокси-сервер, обеспечивающий защищенный удаленный HTTPS-доступ к ресурсам.
• Схемы аутентификации при установлении защищенного TLS-соединения:
o односторонняя: аутентификация сервера;
o Двусторонняя: обоюдная аутентификация сервера и пользователя;
• Пользователи и сервер аутентифицируются по сертификатам ключей проверки электронной подписи;
• ViPNet TLS Gateway контролирует перечень доступных пользователям ресурсов: в зависимости от заданных настроек и правил обработки входящих запросов сервер принимает решение, предоставлять информацию конечному пользователю или нет;
• Автоматическое поддержание актуальности списков аннулированных сертификатов (CRL) для проверки используемых пользователями сертификатов;
• Работа пользователей с использованием сертификатов, изданных в разных удостоверяющих центрах;
• Возможность удаленного администрирования через веб-интерфейс ViPNet TLS Gateway;
• Поддержка кластера с балансировкой нагрузки за счет внешнего балансировщика.

Поддержка криптографических стандартов и рекомендаций

• Электронная подпись: ГОСТ Р 34.10-2001, 34.10-2012;
• Хэширование: ГОСТ 34.11-2012, 34.11-94;
• Имитозащита: ГОСТ 28147-89;
• Шифрование: ГОСТ 28147-89, рекомендации Технического комитета 026 «Криптографическая защита информации».

Информация о материале

Создано: 28 сентября 2014

Разработчик: ООО «Код Безопасности»

Централизованный комплекс для защиты сетевой инфраструктуры и создания VPN-сетей с использованием алгоритмов ГОСТ

Назначение

Комплекс обеспечивает криптографическую защиту информации (в соответствии с ГОСТ 28147–89), передаваемой по открытым каналам связи, между составными частями VPN, которыми могут являться локальные вычислительные сети, их сегменты и отдельные компьютеры.

Современная ключевая схема, реализуя шифрование каждого пакета на уникальном ключе, обеспечивает гарантированную защиту от возможности дешифрации перехваченных данных.

Для защиты от проникновения со стороны сетей общего пользования комплекс «Континент» обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Осуществляет поддержку VoIP, видеоконференций, ADSL, Dial-Up и спутниковых каналов связи, технологии NAT/PAT для сокрытия структуры сети.

Область применения:

Защита внешнего периметра сети от вредоносного воздействия со стороны сетей общего пользования.
Создание отказоустойчивой VPN-сети между территориально распределенными сетями.
Защита сетевого трафика в мультисервисных сетях (VoIP, Video conference).
Разделение сети на сегменты с различным уровнем доступа.
Организация защищенного удаленного доступа к сети для мобильных сотрудников.
Защита пользовательского траффика, использующего беспроводную сеть в качестве канала.
Организация защищенного межсетевого взаимодействия между конфиденциальными сетями.

Возможности

Эффективная защита корпоративных сетей

Безопасный доступ пользователей VPN к ресурсам сетей общего пользования

Криптографическая защита передаваемых данных в соответствии с ГОСТ 28147–89

В АПКШ «Континент» применяется современная ключевая схема, реализующая шифрование каждого пакета на уникальном ключе. Это обеспечивает высокую степень защиты данных от расшифровки в случае их перехвата.
Шифрование данных производится в соответствии с ГОСТ 28147–89 в режиме гаммирования с обратной связью. Защита данных от искажения осуществляется по ГОСТ 28147–89 в режиме имитовставки.
Управление криптографическими ключами ведется централизованно из ЦУС.

Межсетевое экранирование – защита внутренних сегментов сети от несанкционированного доступа

Криптошлюз «Континент» обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Это позволяет защитить внутренние сегменты сети от проникновения из сетей общего пользования.

Безопасный доступ удаленных пользователей к ресурсам VPN-сети

Специальное программное обеспечение «Континент АП», входящее в состав АПКШ «Континент», позволяет организовать защищенный доступ с удаленных компьютеров к корпоративной VPN-сети.

Создание информационных подсистем с разделением доступа на физическом уровне

В АПКШ «Континент» можно подключать 1 внешний и 3–9 внутренних интерфейсов на каждом криптошлюзе. Это значительно расширяет возможности пользователя при настройке сети в соответствии с корпоративной политикой безопасности. В частности, наличие нескольких внутренних интерфейсов позволяет разделять на уровне сетевых карт подсети отделов организации и устанавливать необходимую степень взаимодействия между ними.

Возможность идентификации и аутентификации пользователей, работающих на компьютерах в защищаемой сети криптошлюзов

Идентификация и аутентификация пользователей предназначены для более тонкой настройки доступа сотрудников к корпоративным ресурсам. Идентификация и аутентификация пользователей выполняются с помощью специальной программы «Клиент аутентификации пользователя», установленной на компьютере пользователя защищенной сети.

Основные характеристики и возможности

Поддержка распространенных каналов связи

Работа через Dial-Up соединения, оборудование ADSL, подключенное непосредственно к криптошлюзу, а также через спутниковые каналы связи.

Прозрачность для любых приложений и сетевых сервисов

Криптошлюзы «Континент» «прозрачны» для любых приложений и сетевых сервисов, работающих по протоколу TCP/IP, включая такие мультимедиасервисы, как IP-телефония и видеоконференции.

Работа с высокоприоритетным трафиком

Реализованный в АПКШ «Континент» механизм приоритизации трафика позволяет защищать голосовой (VoIP) трафик и видеоконференции без потери качества связи.

Резервирование гарантированной полосы пропускания за определенными сервисами

Резервирование гарантированной полосы пропускания за определенными сервисами обеспечивает прохождение трафика электронной почты, систем документооборота и т.д. даже при активном использовании IP-телефонии на низкоскоростных каналах связи.

Поддержка VLAN

Поддержка VLAN гарантирует простое встраивание АПКШ в сетевую инфраструктуру, разбитую на виртуальные сегменты.

Скрытие внутренней сети. Поддержка технологий NAT/PAT

Поддержка технологии NAT/PAT позволяет скрывать внутреннюю структуру защищаемых сегментов сети при передаче открытого трафика, а также организовывать демилитаризованные зоны и сегментировать защищаемые сети.
Скрытие внутренней структуры защищаемых сегментов корпоративной сети осуществляется:

- методом инкапсуляции передаваемых пакетов (при шифровании трафика);
- при помощи технологии трансляции сетевых адресов (NAT) при работе с общедоступными ресурсами.

NAT внутри VPN-связей

Реализован механизм виртуальной адресации для обеспечения возможности обмена информацией между защищаемыми IP-подсетями с пересекающимся или одинаковым адресным пространством.

Интеграция с внешними системами анализа событий безопасности

В состав АПКШ «Континент» входит модуль «ArcSight коннектор», предназначенный для выгрузки событий в систему ArcSight ESM.

L2VPN

Дополнительный модуль ПАК «Криптографический коммутатор» обеспечивает поддержку режима L2VPN для объединения распределенных сетей на канальном уровне L2 без изменения адресного пространства.

Поддержка NTP на ЦУСе

Возможность автоматической синхронизации времени ЦУС и всей сети криптошлюзов с заданным сервером точного времени по протоколу NTP.

АРМ генерации ключей

В состав комплекса добавлено автоматизированное рабочее место генерации ключей для введения режима управления по схеме трехлетнего хранения ключевой информации.
В качестве носителя ключевой информации используются USB-ключи Rutoken ЭЦП, ключи шифрования записывают в защищенную область памяти.

Поддержка протокола IPv6

Реализована поддержка работы с каналами связи, использующими протокол IPv6.

Режим повышенной безопасности

Позволяет создавать группы криптографических шлюзов с политиками безопасности, исключающими попадание незашифрованного трафика во внешние сети.

Возможность удобного защищенного взаимодействия между сетями разных организаций

Обеспечивается возможность установления доверительных отношений между криптошлюзами, принадлежащими разным криптографическим сетям и управляемыми разными ЦУС, для организации защищенного обмена между разными организациями.
Все настройки производятся централизованно при помощи программы управления ЦУС с использованием собственной инфраструктуры открытых ключей.

Возможность интеграции с системами обнаружения атак

На каждом криптошлюзе существует возможность специально выделить один из интерфейсов для проверки трафика, проходящего через КШ, на наличие попыток неавторизованного доступа (сетевых атак). Для этого необходимо определить такой интерфейс, как «SPAN-порт», и подключить к нему компьютер с установленной системой обнаружения атак (например RealSecure). После этого на данный интерфейс начинают ретранслироваться все пакеты, поступающие на вход пакетного фильтра криптошлюза.

Защита от DoS-атак типа SYN-flood

Для защиты от DoS-атак предусмотрен механизм антиспуфинга. Специальные механизмы борьбы с SYN-flood позволяют либо ограничить количество соединений, используя «агента» (TCP proxy), либо блокировать соединение до целевого сервера до тех пор, пока клиент не ответит на свой собственный запрос подтверждением в рамках стандартного алгоритма работы TCP. Полуоткрытые соединения с просроченным временем ожидания автоматически удаляются из таблицы состояния.

Поддержка внешних 3G-модемов (USB)

Реализована поддержка внешних 3G-модемов (USB) для подключения криптошлюзов через провайдеров сотовых сетей.

Функционал DHCP сервера на КШ

- Позволяет назначать динамические IP адреса клиентским устройствам
- DHCP relay

Обслуживание и управление

Удобство и простота обслуживания (необслуживаемый режим 24*7)

АПКШ «Континент» не требует постоянного локального администрирования и может работать в необслуживаемом режиме 24*7х365. Промышленные компьютеры, используемые в производстве комплекса, в совокупности с возможностью горячего и холодного резервирования гарантируют бесперебойную работу комплекса.
Комплекс осуществляет оперативное оповещение администраторов о событиях, требующих оперативного вмешательства, в режиме реального времени.

Удаленное обновление ПО криптошлюзов

В комплексе решена проблема обновления программного обеспечения криптошлюзов в территориально распределенных системах.
Обновление ПО загружается в комплекс централизованно, рассылается на все криптошлюзы, входящие в состав комплекса, и автоматически устанавливается.

Обеспечение отказоустойчивости

Отказоустойчивость комплекса обеспечивается следующими мерами:

1. Аппаратное резервирование криптографических шлюзов (создание кластера высокого доступа). В случае выхода из строя одного из криптошлюзов переключение на резервный производится автоматически без вмешательства администратора и без разрыва установленных соединений.
2. Автоматическое резервное копирование конфигурационных файлов комплекса. Обеспечивает быстрое восстановление работы сети в случае выхода аппаратуры из строя.

Централизованное управление сетью

Централизованное управление сетью осуществляется при помощи ЦУС и программы управления, которая позволяет в диалоговом режиме изменять настройки всех криптошлюзов сети и вести оперативный мониторинг их текущего состояния.
Отображение состояния всех устройств на рабочем месте администратора в масштабе реального времени позволяет своевременно выявлять отклонения от нормального процесса функционирования и оперативно на них реагировать.

Ролевое управление – разделение полномочий на администрирование комплекса

Реализована возможность разделения полномочий на администрирование комплекса, например, на управление ключевой информацией, на назначение прав доступа к защищаемым ресурсам, на добавление новых компонентов, на аудит действий пользователей (в том числе и других администраторов).

Взаимодействие с системами управления сетью

Позволяет контролировать состояние АПКШ «Континент» по протоколу SNMPv2 из систем глобального управления сетью (Hewlett-Packard, Cisco и др.).

Локальный контроль работы криптошлюзов

Возможность просмотра средствами локального управления криптошлюзов таблицы состояний (keep-state), отображающей количество установленных соединений.

Архитектура

Центр управления сетью АПКШ «Континент»

Программно-аппаратный комплекс 

Центр управления сетью (ЦУС) осуществляет централизованное управление и мониторинг работы всех компонентов комплекса «Континент».
Управление осуществляется с помощью программы управления ЦУС (ПУ ЦУС).

Криптошлюз

Программно-аппаратный комплекс

Межсетевое экранирование на основе технологии Stateful Packet Inspection (SPI) с поддержкой NAT/PAT.
Создание VPN-каналов между сетями предприятия в соответствии с криптоалгоритмом ГОСТ 28147-89 (позволяет создать L3 VPN-сети).
Маршрутизация трафика: статическая, динамическая и Multicast-маршрутизации.
Приоритизация трафика механизмами QoS.
Поддержка DHCP-сервера.
Обеспечение работы в сетях IPv6.
Защита от DoS-атак.
Обеспечение работы в режиме повышенной безопасности с исключением попадания незашифрованного трафика во внешние сети.
Возможность распределения шифрованного трафика между фермой криптошлюзов для достижения производительности свыше 10 Гбит/с.
Обеспечение отказоустойчивости благодаря поддержке работы в режиме кластера высокой доступности.

Криптографический коммутатор

Программно-аппаратный комплекс 

Прозрачное объединение сетей на канальном уровне без изменения адресного пространства (позволяет создать L2 VPN сети).
Обеспечение отказоустойчивости благодаря поддержке работы в режиме кластера высокой доступности.

Детектор атак

Программно-аппаратный комплекс

Обнаружение сетевых атак сигнатурными и эвристическими методами.
Информирование администратора в режиме реального времени об обнаруженных атаках через ПУ ЦУС, а также по электронной почте.
Построение графических отчетов о работе комплекса и выявленных атаках в ПУ ЦУС.

Сервер доступа

Программно-аппаратный комплекс

Позволяет осуществить защищенное подключение удаленных и мобильных пользователей, использующих программный VPN-клиент «Континент-АП».
Управление осуществляется с помощью программы управления сервером доступа (ПУ СД).

СКЗИ «Континент-АП»

Программный комплекс

Обеспечивает защищенный доступ удаленных и мобильных пользователей к корпоративной сети.
Межсетевое экранирование для безопасного подключения рабочих станций с установленным СКЗИ «Континент-АП» к сетям общего пользования и разграничение доступа к сетевым ресурсам АРМ.

Информация о материале

Создано: 10 ноября 2009

Разработчик: ГК «Смарт-софт»

Traffic Inspector FSTEC

Traffic Inspector FSTEC — шлюз безопасности с межсетевым экраном для контроля и защиты интернет-доступа в корпоративных компьютерных сетях. Сертификат ФСТЭК позволяет применять решения в госструктурах. Обеспечивает защищенное подключение всех компьютеров корпоративной сети к интернету и антивирусную защиту, предотвращает доступ в корпоративную сеть извне, блокирует вредные сайты, в том числе по критерию недопустимого контента, ведет учет сетевого трафика.
Межсетевой экран типа «Б» соответствует требованиям документов «Требования к межсетевым экранам» (ФСТЭК России, 2016) и «Профиль защиты межсетевых экранов типа «Б» пятого класса защиты. ИТ.МЭ.Б5.ПЗ» (ФСТЭК России, 2016).
Traffic Inspector FSTEC устанавливают на персональном компьютере, выполняющем функции шлюза для LAN-сети. Администрирование происходит в графическом режиме, через оснастку Microsoft Management Console.
Основные характеристики решения:
- операционная система: Microsoft Windows 7 x86, Windows 7 x64, Windows 8 x86, Windows 8 x64, Windows 8.1 x86, Windows 8.1 x64, Windows Server 2008 R2 x64, Windows Server 2012, Windows Server 2012 R2;
- SMS-идентификация;
- Layer 7 — фильтрация (интеллектуальное распознавание протоколов прикладного (седьмого) уровня за счет сигнатурного анализа, используется для блокировки приложений вроде Skype и BitTorrent);
- IDS/IPS;
- различные методы аутентификации;
- биллинг;
- интеграция с доменной средой Active Directory (импорт пользователей из домена);
- блокировка сайтов, рекламы, контентная фильтрация и URL-фильтрация, перехват и анализ HTTPS-трафика;
- прокси-сервер;
- ограничение скорости интернета и управление пропускной способностью интернет-доступа, учет трафика с системой лимитов, гибкое управление маршрутизацией;
- почтовый шлюз;
- встроенный веб-сервер для просмотра отчетов и индивидуальной статистики как администраторами, так и допущенными к статистике пользователями;
- дополнительно подключаемые модули: антивирусная защита, антиспам для электронной почты.
Решения компании «Смарт-Софт» защищают компьютеры «Газпрома», «Мегафона», Сбербанка, РЖД, «Роснефти», а также тысяч других компаний крупного, среднего и малого бизнеса и государственных организаций.
Системные требования:
Процессор Intel® Core™ i3
Оперативная память - 4 ГБ
Операционная система - Windows 7 / 8 / 10, Windows Server 2008 R2 / 2012 R2  и старше (x86 или x64)
Жесткий диск - 1000 МБ + дополнительное пространство для хранения кеша прокси и файлов базы данных
Рекомендуемое разрешение - 1024x768
Подключение к Интернет - Требуется для проведения активации программы

Traffic Inspector Anti-Spam powered by Kaspersky

Traffic Inspector Anti-Spam powered by Kaspersky — решение для защиты от спама почтовых серверов в корпоративных сетях. Антиспам-модуль сделан для шлюза безопасности Traffic Inspector по технологии Kaspersky Lab. Проверяет почтовый трафик на вредоносные программы, блокирует спам, составляет подробные отчеты для администраторов сети. Применение на уровне шлюза позволяет организовать централизованную защиту всех сотрудников, в том числе тех, кто пренебрегает правилами ИТ-безопасности.
В основе модуля:
– проверка сообщения по спискам;
– фильтрация по SPF и SURBL;
– анализ формальных признаков письма;
– сигнатурный анализ;
– лингвистические эвристики;
– графические сигнатуры;
– UDS-запросы в режиме реального времени.
Можно задавать правила и настройки, помечая тему, добавляя в заголовки и изменяя весовой коэффициент для сообщений, распознанных как спам, для обычных и сомнительных писем. Предусмотрена установка уровня агрессивности проверки и размера проверяемых сообщений.

Traffic Inspector Anti-Virus powered by Kaspersky

Traffic Inspector Anti-Virus powered by Kaspersky — антивирусная защита трафика в межсетевом экране Traffic Inspector. Модуль разработан по технологии Kaspersky Lab. Лечит зараженные файлы, блокирует вредоносные программы,  за-прещает потенциально опасное содержимое.
Модуль сканирует HTTP- и FTP-трафик, проходящий через прокси-сервер, а также почтовый трафик, передаваемый через SMTP-шлюз программного межсетевого экрана Traffic Inspector. Зараженные объекты лечит, неизлечимые и вредоносные программы удаляет и блокирует. С помощью механизмов эвристического анализа обнаруживает и запрещает получение файлов, которые могут нанести ущерб пользователям.
Высокая скорость проверки обеспечивает незаметное для пользователей сканирование всего проходящего трафика. Автоматическое и ручное обновление антивирусных баз. Отчет по обнаруженным вирусам.

Dr.Web Gateway Security Suite для Traffic Inspector

Dr.Web Gateway Security Suite для Traffic Inspector — антивирусная защита трафика в межсетевом экране Traffic Inspector. Модуль разработан по технологии Dr.Web. Лечит зараженные файлы, блокирует вредоносные программы, запрещает потенциально опасное содержимое.
Модуль сканирует HTTP- и FTP-трафик, проходящий через прокси-сервер, а также почтовый трафик, передаваемый через SMTP-шлюз программного межсетевого экрана Traffic Inspector. Зараженные объекты лечит, неизлечимые и вредоносные программы удаляет и блокирует. С помощью механизмов эвристического анализа обнаруживает и запрещает получение файлов, которые могут нанести ущерб пользователям.
Высокая скорость проверки обеспечивает незаметное для пользователей сканирование всего проходящего трафика. Автоматическое и ручное обновление антивирусных баз. Отчет по обнаруженным вирусам.

NetPolice для Traffic Inspector

NetPolice для Traffic Inspector — модуль контентной фильтра-ции на основе категорий веб-ресурсов. Создан для межсетевого экрана Traffic Inspector.
Модуль NetPolice незаменим в школах, где использует рекомендованные Министерством образования РФ списки фильтрации и актуальную базу запрещенных ресурсов. Запрещает доступ к интернет-ресурсам, несовместимым с задачами воспитания и образования обучающихся (система СИД, внедренная ЦАИР в 2006–2008 годах в рамках приоритетного национального проекта «Образование» более чем в 60 000 российских школ).
База NetPolice включает 100+ категорий (в том числе по спискам категорий, рекомендованным Минобрнауки РФ). По запросу «Лиги безопасного интернета» специально для учебных учреждений были добавлены категории «Белый список» и «Безопасные для детей».
NetPolice применяется и в офисах для запрета нецелевого ис-пользования интернета сотрудниками.

Traffic Inspector Next Generation FSTEC

Traffic Inspector Next Generation FSTEC — программно-аппаратный сетевой шлюз нового поколения, включающий брандмауэр, для организации контролируемого доступа к интернету корпоративных компьютерных сетей и их защиты от внешних угроз. Относится к классу Unified Threat Management (UTM). Сделан на открытом коде проекта OPNsense. Соответствует новым требованиям ФСТЭК от 2016 года. Может использоваться в государственных организациях: школах, вузах, медицинских центрах и др. (имеет соответствующий сертификат ФСТЭК России).
Модели в линейке:
– S 100: для небольших домашних и офисных сетей. В качестве аппаратной платформы используются компьютеры x86-64 малого форм-фактора (152,4 x 152,4 мм);
– M 1000: для среднего бизнеса, учреждений госсектора, образования и здравоохранения. Аппаратная платформа: стоечные серверы DEPO, Lenovo, D-Link форм-фактора 1U;
– L 1000+: топовая модель для крупных коммерческих, государственных, образовательных организаций и учреждений здравоохранения. Использует мощные стоечные серверы DEPO, Lenovo, D-Link форм-фактора 1U.
Traffic Inspector Next Generation FSTEC обеспечивает фильтрацию на разных уровнях модели OSI и управление через веб-интерфейс по защищенному HTTPS-подключению, а также по протоколу SSH с использованием терминальной программы. Решение разворачивается в роли шлюза на границе корпоративной сети и позволяет контролировать информационные потоки между локальной сетью и интернетом.
Технические характеристики Traffic Inspector Next Generation FSTEC:
– сетевой экран (Packet Filter) защищает шлюз и компьютеры пользователей от несанкционированного доступа извне, раздает интернет на пользователей, обеспечивает доступ к внутренним серверам из интернета;
– управление пропускной способностью интернет-доступа динамическим шейпером и приоритизацией трафика (ограничение максимальной скорости работы пользователя, резервирование выделенной полосы для трафика, распределение пропускной способности интернет-канала поровну между пользователями внутренней сети, приоритизация трафика приложения с помощью очередей для трафика, критичного к задержкам);
– различные виды VPN (OpenVPN, IPsec в туннельном режиме, L2TP/IPsec (IPSec в транспортном режиме), Tinc VPN, PPTP, PPPoE);
– кластеризация (использует протоколы CARP (VRRP), PFSYNC (синхронизация состояния межсетевых экранов), XMLRPC Sync (синхронизация прочих настроек шлюза);
– Connection Failover (в данном режиме шлюз переключается на запасные каналы доступа в интернет при выходе из строя основных, обеспечивая тем самым непрерывность доступа);
– система централизованного управления (Central Management System) распределенной инфраструктурой сетевых шлюзов (шлюз может быть мастер-узлом (master node) в центральном офисе и подчиненным узлом (slave node) в удаленном офисе);
– Captive Portal (в том числе с поддержкой SMS-идентификации);
– гибкая маршрутизация;
– прокси-сервер (Squid) поддерживает: HTTP, HTTPS, FTP, про-зрачное проксирование, перехват и дешифрование SSL/TLS-соединений, кеширование веб-контента, фильтрацию;
– фильтрация: по IP-адресам клиентов и сетям, по портам назначения, по типу браузера (User Agent), по типу контента (по MIME-типам), по общим белым и черным URL-спискам, по индивидуальным URL-спискам, назначаемым на доменного или локального пользователя или группу, по скачиваемым URL-спискам (SquidGuard), по категориям с помощью модуля NetPolice (в URL-списках допускается использование синтаксиса регулярных выражений);
– различные методы аутентификации (аутентификация по ло-кальной базе, LDAP, RADIUS, Kerberos, привязка по IP- и MAC-адресам, двухфакторная аутентификация, ваучеры);
– Layer 7 — фильтрация (интеллектуальное распознавание протоколов прикладного (седьмого) уровня за счет сигнатурного анализа, используется для блокировки приложений вроде Skype и BitTorrent);
– шлюзовый антивирус (HTTP Antivirus Proxy + ClamAV) не требует установки на каждом клиентском компьютере, вместо этого устанавливается один раз на шлюзе и проверяет веб-трафик всех пользователей;
– мониторинг сетевой активности и отчеты (NetFlow: отчет по сетевой активности, по наиболее популярным сетевым службам, по наиболее популярным IP-адресам. Веб-прокси: Domains (по посещенным доменам), URLs (по посещенным URL), Users (по пользователям, генерировавшим запросы на прокси), User IPs (по компьютерам, генерировавшим запросы на прокси). Утилиты RRDtool: отчет по состоянию интернет-канала, по использованию процессора, по использованию оперативной памяти, по количеству состояний трассировщика соединений сетевого экрана. Мониторинг загрузки сетевых интерфейсов в реальном времени. Журнал сетевого экрана. Системный журнал и syslog-ng);
– среда: операционная система FreeBSD 11.
Срок действия лицензии — 5 лет, включает 1 год доступа к об-новлениям и расширенной технической поддержке.

Информация о материале

Создано: 08 апреля 2009

Разработчик: ОАО «Инфотекс»

ViPNet Personal Firewall - надежное средство защиты компьютера и персональных данных от сетевых атак и кражи личной информации при подключении к Интернету и локальной сети.
ViPNet Personal Firewall обеспечивает высокий уровень защищенности компьютера и данных, гибкость управления, удобство повседневного использования.

Возможности:

— Режим безопасности "Бумеранг" для разрешения доступа в сеть только по инициативе пользователя;

— Защита от программ-шпионов и троянов;

— Система обнаружения вторжений и блокирования атак (IDS);

— Определение источников сетевых атак;

— Разрешение или запрет создания сетевых соединений для отдельных программ;

— Предустановленные режимы безопасности, гарантируют высокий уровень защиты сразу после установки программы;

— Гибкое управление правилами фильтрации облегчает явное разрешение или запрет соединений по указанным протоколам и портам;

— Поддержка различных способов подключения к сети - домашние сети, обычное модемное подключение, беспроводные технологии связи (GPRS, Wi-Fi);

— Система онлайн-обновления ПО информирующая о выходе новых версий и обеспечивает загрузку обновлений, необходимых для установки новых версий и содержащих как новые функции, так и исправления ошибок;

— Веб-фильтрация блокирующая всплывающие окна, различные рекламные баннеры, интерактивные элементы (Java и ActiveX приложения, Flash-анимация, JavaScript и VB Script сценарии) и персонализирующие пользователя элементы (Referrer и Cookie);

— Информативный журнал IP-пакетов для изучения и устранения сетевых сбоев.

Основные преимущества программы:

— Готовность к работе сразу после установки без дополнительных настроек, обеспечивается наличием встроенных правил и фильтров для DHCP, сети Microsoft, режима инициативных соединений;

— Возможность раздельно осуществлять фильтрацию сетевого трафика и контроль сетевой активности программ способствует уменьшению нагрузки на компьютер и упрощению процесса настройки;

— Усиленная защита входа в операционную систему и быстрая блокировка компьютера и IP-трафика;

— Режим обязательного ввода пароля при входе в операционную систему не позволит войти в систему без ввода пароля программы;

— Журнал IP-пакетов регистрирующий детальную информацию по сетевой активности компьютера;

— Интеграция с Центром безопасности (компонент Microsoft Windows XP SP2) позволяет получить объективную информацию о состоянии защиты компьютера;

— Возможность быстрой блокировки сетевого трафика и "рабочего стола" компьютера;

— Работа сетевых фильтров по заранее заданному расписанию, позволяющая гибко управлять и ограничивать расходы на оплату каналов связи;

— Поддержка протокола FTP для обеспечения возможности работы FTP-клиентов в активном режиме, а также фильтрация команд FTP-протокола для защиты от использования некорректных значений IP-адресов клиента и сервера;

— Поддержка протокола SIP для автоматического открытия портов необходимых для работы SIP-клиентов, обеспечивающих работу VoIP-телефонии.

Сертификаты соответствия

Информация о материале

Создано: 19 января 2009

Разработчик: Entensys

UserGate решает проблему защиты современной сетевой инфраструктуры от разнообразных интернет-угроз, связанных с внешними атаками, вредоносным кодом, попытками слежения и другими рисками, а также позволяет применять гранулярные политики к интернет-пользователям в плане контроля как трафика, так и используемых приложений. В основе работы UserGate лежит инновационная платформа, созданная разработчиками UserGate для операторов связи и способная работать в проектах с десятками тысяч пользователей на ширине канала до 40 Гб/c. UserGate является единственным российским шлюзовым решением по интернет-безопасности такого уровня.

UserGate объединяет в себе межсетевой экран, систему обнаружения вторжений, защиту от вредоносных программ и вирусов, систему контент-фильтрации, фильтрацию спама и другие функции в едином решении, удобном для установки и администрирования. В продукте также реализованы различные функции, наиболее востребованные крупными организациями, такие как балансировка нагрузки, управление полосой пропускания, защита от современных угроз, анализ SSL, распознавание приложений и другие. Решение также поддерживает множество различных технологий аутентификации, включая Kerberos, LDAP, Radius, Captive Portal и другие.

Решение поддерживает так называемую концепцию BYOD (Bring Your Own Device), позволяя применять специальные политики к личным устройствам пользователей, таким как смартфоны и планшеты. Также с помощью продукта возможна организация интернет-доступа гостевых пользователей.

UserGate ориентирован на защиту сетей средних и крупных предприятий, включая и те промышленные объекты, где в наибольшей степени требуется бесперебойная работа и высокая производительность. Решение UserGate позволяет строить на базе распределённой кластерной системы эффективные высокоскоростные масштабируемые узлы, обеспечивающие защиту от интернет-угроз, а также контролировать трафик в том числе с разбором протоколов и приложений.

UserGate поставляется в виде виртуального образа, поддерживающего виртуальные платформы VMware, Hyper-V, VirtualBox, OpenStack, KVM, Xen и другие, или в форме программно-аппаратного комплекса. Модели UserGate C, D, E и F адаптированы для разных пользовательских сегментов, от настольной модификации для малого бизнеса до высокопроизводительного серверного решения для компаний с десятками тысяч пользователей.

В основе платформы UserGate лежат следующие новшества:
— Инновационная архитектура с заложенной поддержкой распределённой работы обеспечивает высокую производительность и надежность, возможность широкого масштабирования;
— Собственный механизм контент-анализа гарантирует высокую скорость обработки трафика при произвольных размерах словарных баз;
— Качественный анализ национальных сегментов интернета, в частности Рунета и русскоязычного контента;
— Поддержка используемых в РФ, ЕС и других странах промышленных протоколов (SCADA, ГОСТ Р МЭК 60870-5-104).

UserGate лицензируется по количеству одновременно использующих его пользователей, а точнее IP-адресов, с которых подключаются устройства пользователей. Базовая лицензия является бессрочной, при этом дополнительные модули (Security Updates, Advanced Threat Protection, Kaspersky AV, Mail Security) лицензируются отдельно по модели подписки.

Информация об устройствах UserGate UTM

UserGate C100 – C170

Сети любого размера должны быть защищены от внешних атак, вирусов и разнообразных современных киберугроз.

UserGate С100 является компактным и удобным в настройке сетевым устройством, обеспечивающим безопасность сетей небольших организаций или филиалов.

UserGate D200 – D270, D500

Для защиты корпоративных сетей необходимо использовать многофункциональное решение, способное обеспечить комплексную безопасность сетевой инфраструктуры без негативного влияния на скорость доступа.

UserGate D200 является полноценным сетевым сервером, способным обеспечить безопасность предприятий небольшого и среднего размера с несколькими сотнями пользователей.

UserGate E1000 – E3000

Для больших корпоративных сетей необходимо использование высокопроизводительной платформы, имеющей запас прочности и возможности по масштабированию.

UserGate E1000 является мощным сетевым серверным решением, способным решать задачи по защите от всевозможных интернет-угроз, а также осуществлять дешифрацию и глубокий анализ трафика в сетях с несколькими тысячами пользователей. 

UserGate F8000

Для крупных корпоративных сетей и дата-центров критично использование надежных сетевых решений, обеспечивающих высокую доступность, резервирование, масштабируемость и гибкость относительно встраивания в сетевую инфраструктуру.

UserGate F8000 сочетает все необходимые функции безопасности с возможностями, необходимыми для функционирования максимально стабильного сервиса при предельно высокой нагрузке.

UserGate X1

В современном мире к интернету и различным сетям подключены не только офисные компьютеры, но и многочисленные устройства, управляющие уличной, транспортной, промышленной и другими инфраструктурами. Безопасность таких объектов крайне важна, но ее не всегда можно обеспечить стандартными средствами в силу экстремальных условий эксплуатации.

UserGate Virtual Appliance

Виртуальный образ UserGate позволяет быстро развернуть виртуальную машину, с уже настроенными компонентами. Образ создан в формате OVF (Open Virtualization Format).

Виртуальная платформа обладает теми же функциями, что и аппаратные устройства UserGate. 

Соответствие требованиям

Сертификат ФСТЭК России № 3905 от 16.03.2018

Информация о материале

Создано: 19 декабря 2008

Разработчик: ОАО «Инфотекс»

ViPNet Office Firewall - программный межсетевой экран, предназначенный для небольших и средних компаний. Он позволяет обеспечить защиту локальной сети от любых атак из Интернет, а также дает возможность гибкого управления доступом к Интернет-ресурсам и организации виртуальных локальных сетей.

Возможности:

— динамическая и статическая трансляция сетевых адресов (NAT);

— поддержка протокола FTP;

— веб-фильтрация;

— автозаполнение правил трансляции сетевых адресов (NAT);

— антиспуфинг;

— фильтрация локальных и транзитных IP-пакетов по адресам получателя и отправителя;

— фильтрация широковещательных IP-пакетов по адресам отправителя;

— работа сетевых фильтров по расписанию;

— применение сетевых фильтров в заданном порядке;

— система обнаружения атак (IDS);

— журнал IP-пакетов с учетом пары адресов и трансляции сетевых адресов (NAT);

— создание нескольких конфигураций и быстрое переключение.

Основные преимущества программы:

— поддержка неограниченного количества сетевых адаптеров;

— поддержка различных способов подключения к сети;

— встроенный контроль приложений для обнаружения и ограничения сетевой активности программ «шпионов»;

— обязательный ввод пароля программы при входе в операционную систему;

— использование drag-and-drop в интерфейсе программы для перемещения фильтров;

— возможность быстрой блокировки сетевого трафика и "рабочего стола" компьютера;

— поддержка протокола SIP для автоматического открытия портов необходимых для работы SIP-клиентов, обеспечивающих работу VoIP-телефонии;

— наличие версии, сертифицированной ФСБ, на соответствие требованиям к устройствам типа межсетевые экраны по 4 классу защищенности.

Типовые варианты использования ViPNet Office Firewall:

— Защита локальной сети от атак из Интернет - ViPNet Office Firewall позволяет оградить локальную сеть от злоумышленников, которые не просто сканируют Ваш сервер-шлюз, но и пытаются проникнуть в Вашу локальную сеть. Для этого достаточно установить внешний сетевой адаптер сервера (подключенный к сети Интернет) в режим "Бумеранг" ("Stealth").

— Управление доступом к Интернет-ресурсам из локальной сети - Помимо защиты от атак из Интернет, ViPNet Office Firewall позволяет запретить работу с Интернет определенным компьютерам локальной сети, пользователям которых такой доступ для служебных нужд не требуется или разрешить отдельным компьютерам работать в сети только с определенными сервисами, например, почтовыми серверами. В этом случае достаточно задать фильтры для IP-адресов компьютеров или диапазонов адресов и указать, что трафик с данных адресов должен быть заблокирован или разрешен.

— Организация виртуальных сетей и ДМЗ - ViPNet Office Firewall поддерживает неограниченное количество сетевых адаптеров и для каждого сетевого адаптера можно задать свой режим и свои фильтры. Благодаря этому можно разделить две или три локальные сети, например, так, чтобы из первой сети во вторую доступ был открыт, а наоборот - нет (или только определенным компьютерам был бы разрешен доступ). Также имеется возможность организации так называемой "демилитаризованную зону" (ДМЗ), в которой разместить сервера, открытые для доступа из Интернет. При этом исходящий трафик из ДМЗ в локальные сети, подключенные к другим внутренним адаптерам, можно полностью заблокировать.

Сертификаты соответствия

Информация о материале

Создано: 17 декабря 2008

Разработчик: ОАО «ИнфоТеКС»

Программный комплекс защиты информации «ViPNet 4» является программным средством защиты от несанкционированного доступа к информации, соответствует требованиям руководящих документов по 3 классу защищенности от НСД для межсетевых экранов и по 3 уровню контроля отсутствия недекларированных возможностей по требованиям ФСТЭК России. Отдельные компоненты, входящие в состав «ViPNet 4», сертифицированы в ФСБ России как СКЗИ и МЭ.

ViPNet Administrator

ViPNet Administrator 4 — программный комплекс, предназначенный для настройки и управления защищенной сетью, включающий в себя:

• ViPNet NCC (Центр управления сетью, ЦУС) — приложение для конфигурирования и управления виртуальной защищенной сетью ViPNet.
• ViPNet KCA (Удостоверяющий и ключевой центр, УКЦ) — приложение, которое выполняет функции центра формирования ключей шифрования и персональных ключей пользователей.
• Функции Удостоверяющего центра — издание серти­фикатов для аутентификации, электронной подписи, шифрования и других криптографических операций.
• Криптографические алгоритмы зависят от используемого криптопровайдера в данном случае это ViPNet CSP.

Преимущества

• клиент-серверная архитектура, позволяющая нескольким администраторам удалённо управлять защищённой сетью через удобный графический интерфейс;
• поддержка распределённой установки компонентов программного комплекса позволяет гибко масштабировать систему и обеспечить требуемую производительность;
• эффективное управление защищённой сетью с использованием групп узлов и шаблонов политик;
• настраиваемый автоматический режим работы Ключевого центра позволяет автоматизировать работу с приложением;
• надёжный аудит событий системы и действий администраторов.

Основные функциональные возможности

• Создание и изменение структуры защищённой сети, узлов и пользователей, связей между ними;
• Конфигурирование параметров узлов и полномочий пользователей;
• Генерация ключевой информации, выпуск ключевых контейнеров, автоматизация реагирования на компрометацию ключей пользователей;
• Централизованное (групповое или точечное) обновление ПО на узлах защищённой сети ViPNet;
• Управление лицензией сети;
• Управление журналами событий и журналами аудита.

ViPNet StateWatcher

Программный комплекс мониторинга защищенных сетей ViPNet StateWatcher предназначен для наблюдения за состоянием средств защиты информации ViPNet, а также элементов инфраструктуры сети. ViPNet StateWatcher позволяет осуществлять мониторинг событий безопасности и других событий, происходящих на узлах сети ViPNet, а также своевременно выявлять неполадки в работе узлов и оперативно оповещать пользователей o возникающих проблемах.

Программный комплекс ViPNet StateWatcher состоит из следующих компонентов:

• Сервер мониторинга — программный сервер, который выполняет следующие функции:
  Собирает и хранит информацию о текущем состоянии узлов сети ViPNet и других инфраструктурных элементов сети.
  Выполняет анализ значений параметров состояния и формирует сообщения о выявленных событиях.
  Оповещает операторов и администраторов системы об изменениях состояния объектов мониторинга и выявленных событиях, а также экспортирует сведения во внешние информационные системы.
• АРМ мониторинга — рабочее место оператора или администратора сервера мониторинга, позволяющее управлять одним или несколькими серверами мониторинга через защищенный канал. Доступ к данным и оповещениям о событиях сервера мониторинга осуществляется удалено через веб-интерфейс.
• Узлы мониторинга — элементы сети, состояние которых отслеживается сервером мониторинга.
• Агент мониторинга — компонент клиентского ПО защищенной сети ViPNet или стандартные службы SNMP (SNMP-агент), которые находятся на узле мониторинга и обеспечивают сбор и передачу данных о состоянии узла на сервер мониторинга.

Назначение:

• Мониторинг узлов распределенных сетей ViPNet (определение сбоев, событий безопасности и других событий).
• Мониторинг узлов, оборудования и других компонентов информационных систем (определение сбоев, событий безопасности и других событий).
• Мониторинг мобильных устройств и узлов удаленных пользователей сети ViPNet вне зависимости от способа их подключения к коммуникационной сети.
• Мониторинг объектов сетевой инфраструктуры (маршрутизаторов, коммутаторов и т.д.), периферийного и сопутствующего оборудования (принтеры, ИБП, МФУ), поддерживающего протокол SNMP.

ViPNet Policy Manager

ViPNet Policy Manager — система централизованного управления политиками безопасности для отдельных узлов и групп узлов защищенной сети ViPNet.

Политики безопасности, сведения о сетевых узлах, журналы событий, а также другая важная информация содержатся в централизованной базе данных, которая обеспечивает их надежное хранение.

Преимущества

• Централизованное управление политиками безопасности и возможность объединять узлы защищенной сети по группам.
• Возможность отправки, применения и действия политик безопасности по расписанию.
• Контроль отправки и применения политик безопасности на сетевых узлах ViPNet.
• Гибкое управление доступом разграничения полномочий администраторов безопасности, сетевых администраторов, аудиторов и др.
• Регистрация и аудит действий пользователей программы ViPNet Policy Manager.
• Совместная работа с программным обеспечением ViPNet Client для управления политиками безопасности через защищенный канал.

Возможности

• Создание шаблонов политик безопасности.
• Возможность назначения политик безопасности как на отдельные узлы так и на группы устройств.
• Контроль отправки и применения политик безопасности на сетевых узлах ViPNet.
• Разграничение уровней полномочий и ролей администраторов системы.
• Аудит действий администраторов.

 ViPNet Coordinator

ViPNet Coordinator — программный шлюз безопасности для установки на компьютерные устройства, функционирующие под управлением ОС Microsoft Windows и OS Linux.

Сценарии использования

Совместно с другими программными продуктами линейки ViPNet Network Security, продукт ViPNet Coordinator for Windows обеспечивает эффективную реализацию множества сценариев защиты информации, например:

• Построение защищенных каналов связи между офисами компании (Site-to-Site и Multi Site-to-Site).
• Защищенный доступ удаленных и мобильных пользователей.
• Взаимодействие с сетями ViPNet других организаций.
• Защита мультисервисных сетей (включая IP-телефонию и видеоконференцсвязь).
• Разграничение доступа к информации в локальных сетях, сегментирование локальных сетей (например, выделение DMZ).
• Защищенный контролируемый доступ в Интернет.
• Организация контролируемого доступа пользователей из публичной сети к предоставляемым организацией ресурсам и сервисам.

Преимущества

• Отсутствие лицензионных ограничений на количество одновременно установленных соединений через шлюз безопасности ViPNet Coordinator for Windows.
• Поддержка работы в современных мультисервисных сетях связи без ограничений по совместимости:
  • со службами DHCP, WINS, DNS;
  • с динамическим преобразованием адресов (NAT, PAT);
  • с использованием мультимедийных протоколов (SIP, H323, SCCP и другие).
• Применение ПО ViPNet Administrator в качестве центра генерации ключей шифрования.
• Возможность повышения надежности координатора за счет его развертывания в составе  кластера горячего резервирования (в версии для Linux).

Сервер в защищенной сети ViPNet

• ViPNet VPN-шлюз: шифрование и аутентификация зашифрованных пакетов.
• Сервер IP-адресов (оповещение защищенных узлов о параметрах доступа друг к другу).
• Маршрутизатор VPN-пакетов (маршрутизация и контроль целостности зашифрованных IP-пакетов, передаваемых между сегментами защищенной сети).
• Маскирование структуры трафика за счет инкапсуляции в UDP, TCP.

Фильтрация трафика (межсетевой экран)

• Межсетевой экран с контролем состояния сессий и инспекцией прикладных протоколов. Раздельная настройка фильтрации для открытого и шифруемого IP-трафика.
• NAT/PAT.
• Антиспуфинг.
• Сервер Открытого Интернета (организация безопасного подключения компьютеров корпоративной сети к Интернету).
• Прокси-сервер.

Сервисные функции

• Кластер горячего резервирования: отказоустойчивый координатор в конфигурации ViPNet Failover (в версии для Linux).

Настройка и управление

• Удаленная настройка ViPNet Coordinator с помощью ViPNet Administrator, в версии для Linux также с помощью системной консоли.
• Удаленное обновление ПО ViPNet Coordinator с помощью ViPNet Administrator.
• Локальная настройка с помощью графического интерфейса пользователя (в версии для Windows), консоли (в версии для Linux).

ViPNet Client

Программный комплекс ViPNet Client предназначен для защиты рабочих мест корпоративных пользователей. ViPNet Client надежно защищает от внешних и внутренних сетевых атак за счет фильтрации трафика. Кроме того, ПК ViPNet Client обеспечивает защищенную работу с корпоративными данными через зашифрованный канал, в том числе для удаленных пользователей.

ViPNet Client поддерживает работу на компьютерных устройствах под управлением ОС Microsoft Windows, Linux и OS X.

Сценарии использования

Работа в корпоративной сети, защищенной от внутреннего нарушителя

Соединение с ресурсами, сервисами, а также другими пользователями осуществляется через каналы, функционирующие по принципу «точка-точка». Это позволяет надежно защитить информацию от других пользователей, в том числе внутри корпоративной сети.

Безопасная работа удаленного пользователя с корпоративными ресурсами и сервисами через защищенные каналы

Шифрование трафика защитит работу с внутренними ресурсами и сервисами вашей организации при передаче данных через Интернет.

Защищенное общение пользователей

Обеспечить защиту корпоративных пользователей также позволит совместное использование ПК ViPNet Client с приложениями ViPNet Connect и ViPNet Деловая почта (данная возможность поддерживается определенными модификациями ViPNet Client).  

Кроме того, ViPNet Client поддерживает защищенные каналы для корпоративных коммуникаций на основе сторонних решений, в том числе IP-телефонии, видео-конференц-связи и так далее.

Защита виртуальной машины

ViPNet Client поддерживает работу на виртуальных машинах и позволяет использовать средства защиты ViPNet в VDI-средах.

Преимущества

• Высокая производительность шифрования и фильтрации трафика позволяет в реальном времени осуществлять защиту трафика служб голосовой и видеосвязи в сетях TCP/IP, а также обеспечивать одновременную работу с ресурсами разных сегментов корпоративной сети.
• Равный доступ к ресурсам корпоративных информационных систем независимо от места и способа подключения пользователя к телекоммуникационной сети (при использовании решения ViPNet Network Security).
• Защита канала не влияет на работу сторонних приложений на компьютере пользователя.
• Ключи шифрования, политики безопасности и обновления ПО ViPNet доставляются на компьютер через надежный защищенный канал.

Варианты поставки

Программный комплекс ViPNet Client 4 поставляется в трех вариантах исполнения, соответствующих классам защищенности от КС1 до КС3.

• Поставка ПК ViPNet Client 4 в варианте исполнения 1 в соответствии с формуляром ФРКЕ.00116-03 30 01 ФО обеспечивает класс защищенности КС1.
• Поставка ПК ViPNet Client 4 в варианте исполнения 2 в соответствии с формуляром ФРКЕ.00116-03 30 01 ФО обеспечивает класс защищенности КС2 при совместном использовании с сертифицированным аппаратно-программным модулем доверенной загрузки (АПМДЗ).
• Поставка ПК ViPNet Client 4 в варианте исполнения 3 в соответствии с формуляром ФРКЕ.00116-03 30 01 ФО обеспечивает класс защищенности КС3 при совместном использовании с сертифицированным АПМДЗ и специализированным ПО ViPNet SysLocker (входящим в комплект поставки) для создания и контроля замкнутой программной среды.

Сертификация в ФСБ России

ViPNet Client for Windows имеет сертификат соответствия требованиям к СКЗИ класса КС1, КС2 и КС3.

ViPNet Client 4 внесен в «Единый реестр нотификаций о характеристиках шифровальных (криптографических) средств и товаров, их содержащих» под номером RU0000036196 от 14 марта 2018 г., сроком действия до 28.02.2021 г. Данный документ позволяет перемещать продукт ViPNet Client 4 через границу Таможенного союза любому юридическому или физическому лицу без оформления дополнительных разрешающих документов.

ViPNet Client Mobile (ViPNet Client for Android, ViPNet Client for iOS , ViPNet Client for Sailfish)

ViPNet Client – решение для эффективной защиты мобильных устройств от внешних и внутренних сетевых атак, созданное на основе флагманской технологии ViPNet. Продукт ViPNet Client обеспечивает конфиденциальность передачи информации и ее защиту на вашем персональном устройстве, а также надежно защищает работу с корпоративными данными через Интернет.

Сценарии использования

Безопасная работа с корпоративными ресурсами через защищенные каналы

Шифрование трафика с использованием алгоритма ГОСТ 28147-89 (длина ключа 256 бит) дает возможность пользователям безопасно работать через Интернет с любыми внутренними ресурсами организации. Передаваемые данные недоступны для посторонних.

Защищенное общение пользователей (доступно в некоторых модификациях)

Продукт ViPNet Client может успешно функционировать с еще одним решением компании ИнфоТеКС – приложением ViPNet Connect. Оно предназначено для защищенного общения корпоративных пользователей (звонки, чат, файловый обмен).

Безопасная работа в Интернете с централизованной очисткой трафика (доступно в некоторых модификациях)

Приложение ViPNet Client позволяет использовать конфигурацию, блокирующую прямой доступ в Интернет даже в тех случаях, когда устройство находится вне корпоративной сети. При этом устройство может обращаться в Интернет только через корпоративный центр очистки трафика: прокси-серверы, межсетевые экраны и другие средства фильтрации.

Такой подход обеспечивает многоуровневую защиту мобильного устройства и позволяет применять корпоративные механизмы информационной безопасности к планшетам и смартфонам так же, как и к обычным рабочим компьютерам в офисе. У пользователей исчезает необходимость устанавливать на мобильные устройства специализированные версии средств контроля трафика.

Фильтрация трафика на устройстве (доступно в некоторых модификациях)

ViPNet Client защищает мобильное устройство от сетевых атак с помощью встроенного сетевого экрана, который управляется централизованно администратором защищенной сети.

Преимущества

• Максимально быстрое соединение и стабильная работа приложения на каналах связи любого качества (для построения защищенного канала ViPNet не требуется установки предварительного соединения).
• Автоматическое восстановление защищенного соединения при временных разрывах связи.
• Процесс шифрования начинается с первой фазы установления соединения и не позволяет злоумышленникам встраиваться в защищенное соединение и осуществлять MITM-атаки.
• Использование корпоративного центра очистки трафика в целях удаленной защиты устройства снижает нагрузку по обработке трафика.
• Прозрачная защита канала для сторонних приложений на устройстве.
• ViPNet Client позволяет работать без прав суперпользователя на платформах iOS и Android.
• ViPNet Client управляется централизованно. Ключи шифрования, политики безопасности, обновления ПО доставляются через защищенный канал.

Сертификация в ФСБ России

• ViPNet Client for Android имеет действующий сертификат ФСБ России на соответствие требованиям к СКЗИ класса КС1.
• ViPNet Client for iOS находится на сертификации ФСБ России на соответствие требованиям к СКЗИ класса КС1.

ViPNet Client 2 for Android внесен в «Единый реестр нотификаций о характеристиках шифровальных (криптографических) средств и товаров, их содержащих» под номером RU0000036408 от 14 марта 2018 г., сроком действия до 01.06.2027 г. Данный документ позволяет перемещать продукт ViPNet Client 2 for Android через границу Таможенного союза любому юридическому или физическому лицу без оформления дополнительных разрешающих документов.

Информация о материале

Создано: 31 июля 2008

В области сетевой безопасности наша компания предлагает различные средства межсетевого экранирования и построения Виртуальных частных сетей (Virtual Private Network, VPN).

Межсетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа.

Виртуальная частная сеть — виртуальный канал связи через открытые сети передачи данных, построенный на основе применения методов туннелирования сетевого трафика и его криптографической защиты (с преобразованием данных и надежной аутентификацией участников обмена).

ПКЗИ ViPNet >>

Программный комплекс защиты информации «ViPNet» предназначен для объединения в единую защищенную виртуальную сеть произвольного числа рабочих станций, мобильных пользователей и локальных сетей

ViPNet Coordinator HW и ViPNet Coordinator IG >>

ViPNet Coordinator HW — семейство шлюзов безопасности, входящих в состав продуктовой линейки ViPNet Network Security. Программно-аппаратный комплекс ViPNet Coordinator IG — это сетевой шлюз безопасности в индустриальном исполнении, предназначенный для защиты каналов в промышленных системах и сегментирования их на домены безопасности

АПКШ «Континент» >>

Централизованный комплекс для защиты сетевой инфраструктуры и создания VPN-сетей с использованием алгоритмов ГОСТ

ViPNet TLS Gateway >>

ViPNet TLS Gateway – это высокопроизводительный TLS-криптошлюз, использующий российские криптоалгоритмы. ViPNet TLS Gateway обеспечивает аутентификацию пользователей и организацию защищенных соединений по протоколу TLS v.1.2 при работе с портальными решениями.

«Континент TLS VPN Сервер» >>

Система обеспечения защищенного удаленного доступа к веб-приложениям с использованием алгоритмов шифрования ГОСТ

ViPNet xFirewall >>

Межсетевой экран следующего поколения, обеспечивающий фильтрацию трафика на всех уровнях.

Рубикон >>

Программно-аппаратные комплексы «Рубикон» предназначены для организации эффективной защиты периметра сетей предприятий различного масштаба в соответствии с нормативными требованиями регуляторов. Любое решение «Рубикон» включает функционал маршрутизатора, межсетевого экрана, системы обнаружения вторжений.

Traffic Inspector >>

Traffic Inspector, Traffic Inspector Next Generation – комплексные системы защиты информации и управления интернет-доступом для бизнеса, предприятий и организаций госсектора, образовательных и медицинских учреждений, учреждений культуры.

UserGate >>

UserGate решает проблему защиты современной сетевой инфраструктуры от разнообразных интернет-угроз, связанных с внешними атаками, вредоносными приложениями, скриптами и другими рисками, а также позволяет применять гранулярные политики к интернет-пользователям в плане контроля как трафика, так и используемых приложений. В основе работы UserGate лежит инновационная платформа, способная работать в проектах с десятками тысяч пользователей на ширине канала до 40 Гб/c. 

ViPNet Personal Firewall >> 

ViPNet Personal Firewall - надежное средство защиты компьютера и персональных данных от сетевых атак и кражи личной информации при подключении к Интернету и локальной сети, обеспечивающее высокий уровень защищенности компьютера и данных, гибкость управления, удобство повседневного использования.

ViPNet Office Firewall >>

ViPNet Office Firewall - программный межсетевой экран, предназначенный для небольших и средних компаний. Он позволяет обеспечить защиту локальной сети от любых атак из Интернет, а также дает возможность гибкого управления доступом к Интернет-ресурсам и организации виртуальных локальных сетей.