Разработчик: ООО «Код Безопасности»
Централизованный комплекс для защиты сетевой инфраструктуры и создания VPN-сетей с использованием алгоритмов ГОСТ
Назначение
Комплекс обеспечивает криптографическую защиту информации (в соответствии с ГОСТ 28147–89), передаваемой по открытым каналам связи, между составными частями VPN, которыми могут являться локальные вычислительные сети, их сегменты и отдельные компьютеры.
Современная ключевая схема, реализуя шифрование каждого пакета на уникальном ключе, обеспечивает гарантированную защиту от возможности дешифрации перехваченных данных.
Для защиты от проникновения со стороны сетей общего пользования комплекс «Континент» обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Осуществляет поддержку VoIP, видеоконференций, ADSL, Dial-Up и спутниковых каналов связи, технологии NAT/PAT для сокрытия структуры сети.
Область применения:
Защита внешнего периметра сети от вредоносного воздействия со стороны сетей общего пользования.
Создание отказоустойчивой VPN-сети между территориально распределенными сетями.
Защита сетевого трафика в мультисервисных сетях (VoIP, Video conference).
Разделение сети на сегменты с различным уровнем доступа.
Организация защищенного удаленного доступа к сети для мобильных сотрудников.
Защита пользовательского траффика, использующего беспроводную сеть в качестве канала.
Организация защищенного межсетевого взаимодействия между конфиденциальными сетями.
Возможности
Эффективная защита корпоративных сетей
Безопасный доступ пользователей VPN к ресурсам сетей общего пользования
Криптографическая защита передаваемых данных в соответствии с ГОСТ 28147–89
В АПКШ «Континент» применяется современная ключевая схема, реализующая шифрование каждого пакета на уникальном ключе. Это обеспечивает высокую степень защиты данных от расшифровки в случае их перехвата.
Шифрование данных производится в соответствии с ГОСТ 28147–89 в режиме гаммирования с обратной связью. Защита данных от искажения осуществляется по ГОСТ 28147–89 в режиме имитовставки.
Управление криптографическими ключами ведется централизованно из ЦУС.
Межсетевое экранирование – защита внутренних сегментов сети от несанкционированного доступа
Криптошлюз «Континент» обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Это позволяет защитить внутренние сегменты сети от проникновения из сетей общего пользования.
Безопасный доступ удаленных пользователей к ресурсам VPN-сети
Специальное программное обеспечение «Континент АП», входящее в состав АПКШ «Континент», позволяет организовать защищенный доступ с удаленных компьютеров к корпоративной VPN-сети.
Создание информационных подсистем с разделением доступа на физическом уровне
В АПКШ «Континент» можно подключать 1 внешний и 3–9 внутренних интерфейсов на каждом криптошлюзе. Это значительно расширяет возможности пользователя при настройке сети в соответствии с корпоративной политикой безопасности. В частности, наличие нескольких внутренних интерфейсов позволяет разделять на уровне сетевых карт подсети отделов организации и устанавливать необходимую степень взаимодействия между ними.
Возможность идентификации и аутентификации пользователей, работающих на компьютерах в защищаемой сети криптошлюзов
Идентификация и аутентификация пользователей предназначены для более тонкой настройки доступа сотрудников к корпоративным ресурсам. Идентификация и аутентификация пользователей выполняются с помощью специальной программы «Клиент аутентификации пользователя», установленной на компьютере пользователя защищенной сети.
Основные характеристики и возможности
Поддержка распространенных каналов связи
Работа через Dial-Up соединения, оборудование ADSL, подключенное непосредственно к криптошлюзу, а также через спутниковые каналы связи.
Прозрачность для любых приложений и сетевых сервисов
Криптошлюзы «Континент» «прозрачны» для любых приложений и сетевых сервисов, работающих по протоколу TCP/IP, включая такие мультимедиасервисы, как IP-телефония и видеоконференции.
Работа с высокоприоритетным трафиком
Реализованный в АПКШ «Континент» механизм приоритизации трафика позволяет защищать голосовой (VoIP) трафик и видеоконференции без потери качества связи.
Резервирование гарантированной полосы пропускания за определенными сервисами
Резервирование гарантированной полосы пропускания за определенными сервисами обеспечивает прохождение трафика электронной почты, систем документооборота и т.д. даже при активном использовании IP-телефонии на низкоскоростных каналах связи.
Поддержка VLAN
Поддержка VLAN гарантирует простое встраивание АПКШ в сетевую инфраструктуру, разбитую на виртуальные сегменты.
Скрытие внутренней сети. Поддержка технологий NAT/PAT
Поддержка технологии NAT/PAT позволяет скрывать внутреннюю структуру защищаемых сегментов сети при передаче открытого трафика, а также организовывать демилитаризованные зоны и сегментировать защищаемые сети.
Скрытие внутренней структуры защищаемых сегментов корпоративной сети осуществляется:
- методом инкапсуляции передаваемых пакетов (при шифровании трафика);
- при помощи технологии трансляции сетевых адресов (NAT) при работе с общедоступными ресурсами.
NAT внутри VPN-связей
Реализован механизм виртуальной адресации для обеспечения возможности обмена информацией между защищаемыми IP-подсетями с пересекающимся или одинаковым адресным пространством.
Интеграция с внешними системами анализа событий безопасности
В состав АПКШ «Континент» входит модуль «ArcSight коннектор», предназначенный для выгрузки событий в систему ArcSight ESM.
L2VPN
Дополнительный модуль ПАК «Криптографический коммутатор» обеспечивает поддержку режима L2VPN для объединения распределенных сетей на канальном уровне L2 без изменения адресного пространства.
Поддержка NTP на ЦУСе
Возможность автоматической синхронизации времени ЦУС и всей сети криптошлюзов с заданным сервером точного времени по протоколу NTP.
АРМ генерации ключей
В состав комплекса добавлено автоматизированное рабочее место генерации ключей для введения режима управления по схеме трехлетнего хранения ключевой информации.
В качестве носителя ключевой информации используются USB-ключи Rutoken ЭЦП, ключи шифрования записывают в защищенную область памяти.
Поддержка протокола IPv6
Реализована поддержка работы с каналами связи, использующими протокол IPv6.
Режим повышенной безопасности
Позволяет создавать группы криптографических шлюзов с политиками безопасности, исключающими попадание незашифрованного трафика во внешние сети.
Возможность удобного защищенного взаимодействия между сетями разных организаций
Обеспечивается возможность установления доверительных отношений между криптошлюзами, принадлежащими разным криптографическим сетям и управляемыми разными ЦУС, для организации защищенного обмена между разными организациями.
Все настройки производятся централизованно при помощи программы управления ЦУС с использованием собственной инфраструктуры открытых ключей.
Возможность интеграции с системами обнаружения атак
На каждом криптошлюзе существует возможность специально выделить один из интерфейсов для проверки трафика, проходящего через КШ, на наличие попыток неавторизованного доступа (сетевых атак). Для этого необходимо определить такой интерфейс, как «SPAN-порт», и подключить к нему компьютер с установленной системой обнаружения атак (например RealSecure). После этого на данный интерфейс начинают ретранслироваться все пакеты, поступающие на вход пакетного фильтра криптошлюза.
Защита от DoS-атак типа SYN-flood
Для защиты от DoS-атак предусмотрен механизм антиспуфинга. Специальные механизмы борьбы с SYN-flood позволяют либо ограничить количество соединений, используя «агента» (TCP proxy), либо блокировать соединение до целевого сервера до тех пор, пока клиент не ответит на свой собственный запрос подтверждением в рамках стандартного алгоритма работы TCP. Полуоткрытые соединения с просроченным временем ожидания автоматически удаляются из таблицы состояния.
Поддержка внешних 3G-модемов (USB)
Реализована поддержка внешних 3G-модемов (USB) для подключения криптошлюзов через провайдеров сотовых сетей.
Функционал DHCP сервера на КШ
- Позволяет назначать динамические IP адреса клиентским устройствам
- DHCP relay
Обслуживание и управление
Удобство и простота обслуживания (необслуживаемый режим 24*7)
АПКШ «Континент» не требует постоянного локального администрирования и может работать в необслуживаемом режиме 24*7х365. Промышленные компьютеры, используемые в производстве комплекса, в совокупности с возможностью горячего и холодного резервирования гарантируют бесперебойную работу комплекса.
Комплекс осуществляет оперативное оповещение администраторов о событиях, требующих оперативного вмешательства, в режиме реального времени.
Удаленное обновление ПО криптошлюзов
В комплексе решена проблема обновления программного обеспечения криптошлюзов в территориально распределенных системах.
Обновление ПО загружается в комплекс централизованно, рассылается на все криптошлюзы, входящие в состав комплекса, и автоматически устанавливается.
Обеспечение отказоустойчивости
Отказоустойчивость комплекса обеспечивается следующими мерами:
1. Аппаратное резервирование криптографических шлюзов (создание кластера высокого доступа). В случае выхода из строя одного из криптошлюзов переключение на резервный производится автоматически без вмешательства администратора и без разрыва установленных соединений.
2. Автоматическое резервное копирование конфигурационных файлов комплекса. Обеспечивает быстрое восстановление работы сети в случае выхода аппаратуры из строя.
Централизованное управление сетью
Централизованное управление сетью осуществляется при помощи ЦУС и программы управления, которая позволяет в диалоговом режиме изменять настройки всех криптошлюзов сети и вести оперативный мониторинг их текущего состояния.
Отображение состояния всех устройств на рабочем месте администратора в масштабе реального времени позволяет своевременно выявлять отклонения от нормального процесса функционирования и оперативно на них реагировать.
Ролевое управление – разделение полномочий на администрирование комплекса
Реализована возможность разделения полномочий на администрирование комплекса, например, на управление ключевой информацией, на назначение прав доступа к защищаемым ресурсам, на добавление новых компонентов, на аудит действий пользователей (в том числе и других администраторов).
Взаимодействие с системами управления сетью
Позволяет контролировать состояние АПКШ «Континент» по протоколу SNMPv2 из систем глобального управления сетью (Hewlett-Packard, Cisco и др.).
Локальный контроль работы криптошлюзов
Возможность просмотра средствами локального управления криптошлюзов таблицы состояний (keep-state), отображающей количество установленных соединений.
Архитектура
Центр управления сетью АПКШ «Континент»
Программно-аппаратный комплекс
Центр управления сетью (ЦУС) осуществляет централизованное управление и мониторинг работы всех компонентов комплекса «Континент».
Управление осуществляется с помощью программы управления ЦУС (ПУ ЦУС).
Криптошлюз
Программно-аппаратный комплекс
Межсетевое экранирование на основе технологии Stateful Packet Inspection (SPI) с поддержкой NAT/PAT.
Создание VPN-каналов между сетями предприятия в соответствии с криптоалгоритмом ГОСТ 28147-89 (позволяет создать L3 VPN-сети).
Маршрутизация трафика: статическая, динамическая и Multicast-маршрутизации.
Приоритизация трафика механизмами QoS.
Поддержка DHCP-сервера.
Обеспечение работы в сетях IPv6.
Защита от DoS-атак.
Обеспечение работы в режиме повышенной безопасности с исключением попадания незашифрованного трафика во внешние сети.
Возможность распределения шифрованного трафика между фермой криптошлюзов для достижения производительности свыше 10 Гбит/с.
Обеспечение отказоустойчивости благодаря поддержке работы в режиме кластера высокой доступности.
Криптографический коммутатор
Программно-аппаратный комплекс
Прозрачное объединение сетей на канальном уровне без изменения адресного пространства (позволяет создать L2 VPN сети).
Обеспечение отказоустойчивости благодаря поддержке работы в режиме кластера высокой доступности.
Детектор атак
Программно-аппаратный комплекс
Обнаружение сетевых атак сигнатурными и эвристическими методами.
Информирование администратора в режиме реального времени об обнаруженных атаках через ПУ ЦУС, а также по электронной почте.
Построение графических отчетов о работе комплекса и выявленных атаках в ПУ ЦУС.
Сервер доступа
Программно-аппаратный комплекс
Позволяет осуществить защищенное подключение удаленных и мобильных пользователей, использующих программный VPN-клиент «Континент-АП».
Управление осуществляется с помощью программы управления сервером доступа (ПУ СД).
СКЗИ «Континент-АП»
Программный комплекс
Обеспечивает защищенный доступ удаленных и мобильных пользователей к корпоративной сети.
Межсетевое экранирование для безопасного подключения рабочих станций с установленным СКЗИ «Континент-АП» к сетям общего пользования и разграничение доступа к сетевым ресурсам АРМ.