Криптомаршрутизатор что это такое


Обзоры российского рынка криптошлюзов

В статье кратко описываются тенденции мирового рынка VPN, рассматриваются популярные криптошлюзы, представленные на российском рынке, приводятся их ключевые особенности.

Введение

Криптографический шлюз (криптошлюз, криптомаршрутизатор, VPN-шлюз) — программно-аппаратный комплекс для криптографической защиты трафика, передаваемого по каналам связи, путем шифрования пакетов по различным протоколам.

Криптошлюз предназначен для обеспечения информационной безопасности организации при передаче данных по открытым каналам связи.

Криптошлюзы, представленные на современном рынке, обеспечивают следующие базовые функции:

  • прозрачность для NAT;
  • сокрытие топологии сети за счет инкапсуляции трафика в шифрованный туннель;
  • обеспечение целостности и конфиденциальности IP-пакетов;
  • аутентификация узлов защищенной сети и пользователей.

Предприятия различного масштаба, государственные учреждения, частные компании — основные категории потребителей криптошлюзов.

На сегодняшний день функциональность VPN-шлюза является составной частью практически любого сетевого устройства, будь то маршрутизатор корпоративного уровня, домашний Wi-Fi-роутер или межсетевой экран. С учетом данной специфики ниже будут рассмотрены ключевые представители российского рынка, использующие алгоритм шифрования ГОСТ, а также несколько зарубежных примеров в качестве альтернативы.

Отдельной строкой отметим присутствие на рынке решений для защищенного удаленного доступа на базе протокола TLS (TLS-шлюзы) как российских, так и иностранных производителей. В рамках этого обзора они не рассматриваются.

Мировой рынок криптошлюзов

Непрерывность бизнеса для любой территориально распределенной компании всегда связана с обеспечением защиты передаваемой информации. Уже долгое время эту задачу решают различные VPN-устройства. Они заметно отличаются по своей реализации: это могут быть специализированные решения, решения на базе программно-аппаратных комплексов, таких как межсетевые экраны/маршрутизаторы, или полностью программные комплексы.

Подобные продукты на мировом рынке применяют компании из разных сфер деятельности: здравоохранение, промышленные предприятия, транспортные компании, государственные учреждения и многие другие.

В большинстве случаев заказчику необходимо решить одну или несколько из перечисленных задач:

  • защита распределенной корпоративной сети в различных топологиях;
  • подключение удаленных пользователей к корпоративной сети (в том числе с мобильных устройств);
  • защита канального уровня.

На мировом рынке прочно обосновался SSL VPN, что подтверждается исследованиями Alliedmarketresearch. По их данным, глобальный рынок SSL VPN в 2016 году составлял более 3 млрд долларов США. Прогнозируемый рост к 2023 году — до 5,3 млрд.

Среди ключевых игроков на мировом рынке лидерские позиции занимают Cisco Systems, Citrix Systems, Pulse Secure, F5 Networks.

Рисунок 1 наглядно демонстрирует ключевые сегменты роста глобального рынка SSL VPN:

  • режим тонкого клиента;
  • режим полного туннелирования;
  • режим без клиента.

Рисунок 1. Направления роста мирового рынка SSL VPN

 

Российский рынок криптошлюзов

В России основными потребителями криптошлюзов являются государственные учреждения, а также организации, являющиеся операторами персональных данных. На территории нашей страны действуют несколько нормативных актов, определяющих критерии, по которым средства защиты информации могут использоваться для решения тех или иных задач.

К таким документам можно отнести следующие:

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  • Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
  • Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  • Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005).

Одним из основных требований, предъявляемых к криптошлюзам, является наличие действующих сертификатов соответствия регуляторов рынка — ФСБ России и ФСТЭК России. Сертификат ФСБ России на соответствие требованиям к шифровальным (криптографическим) средствам выдается только в том случае, если криптошлюз реализован с использованием отечественных алгоритмов шифрования по ГОСТ 28147-89.

Зарубежные производители крайне редко поддерживают шифрование по ГОСТ и получают такие сертификаты соответствия на свои решения, чем активно пользуются российские компании-вендоры средств криптографической защиты информации (СКЗИ).

Отдельно необходимо отметить тренд, связанный с кибербезопасностью автоматизированных систем управления технологическими процессами (АСУ ТП). Сегодня некоторые производители СКЗИ предлагают рынку криптошлюзы в защищенном исполнении, отвечающие требованиям по пылевлагозащищенности и специальным температурным диапазонам. Появились и нормативные акты, формирующие требования к защите информации в подобных системах:

  • Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  • Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и окружающей природной среды».

Это позволяет говорить о серьезной перспективе данного направления для производителей СКЗИ в части развития своих продуктов.

Рассмотрим особенности некоторых российских и зарубежных криптошлюзов подробнее.

Российские криптошлюзы

 

Атликс-VPN («НТЦ Атлас»)

Программно-аппаратный комплекс (ПАК) «Атликс-VPN» — продукт российской компании «НТЦ Атлас». ПАК разработан для обеспечения создания и взаимодействия виртуальных частных сетей (VPN) на основе протокола IPsec и стандарта X.509 с использованием российских криптографических алгоритмов.

В качестве поддерживаемых стандартов заявлены ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001.

Отличительной особенностью является способ ввода ключевой информации, необходимой для реализации его функций. Для этого используется «Российская интеллектуальная карта» (РИК) — микропроцессорная карта, разработанная «НТЦ Атлас», ЗАО «Программные системы и технологии», ОАО «Ангстрэм». Карта выполнена на основе отечественного микропроцессора производства ОАО «Ангстрэм».

С аппаратной точки зрения «Атликс-VPN» функционирует на базе сервера специализированной, фиксированной платформы. ПАК обеспечивает относительно небольшую по меркам сегодняшнего дня производительность по шифрованию — 85 Мбит/с. Такая скорость и тип аппаратной платформы обусловлены высоким классом защищенности по требованиям ФСБ России, который обеспечивает ПАК, — КВ2.

Рисунок 2. ПАК «Атликс- VPN»

 

«Атликс-VPN» имеет следующие действующие сертификаты соответствия:

  • ФСБ России №СФ/124-2958, подтверждающий, что ПАК соответствует требованиям к шифровальным (криптографическим) средствам класса КВ2 и может использоваться для криптографической защиты (шифрование и имитозащита IP-трафика) информации, не содержащей сведений, составляющих государственную тайну;
  • ФСТЭК России №1864, подтверждающий, что ПАК соответствует требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» — по 4 классу защищенности.

Подробнее с информацией о ПАК «Атликс-VPN» можно ознакомиться на сайте производителя.

 

ЗАСТАВА (ЭЛВИС-ПЛЮС)

Программно-аппаратные комплексы ЗАСТАВА — разработка российской компании ЭЛВИС-ПЛЮС. ПАК обеспечивает защиту корпоративных информационных систем на сетевом уровне с помощью технологий виртуальных защищенных сетей (VPN) на базе протоколов IPsec/IKE. ЗАСТАВА представляет собой не только VPN-шлюз с поддержкой отечественных криптографических алгоритмов, но и межсетевой экран. ЗАСТАВА является единственным российским продуктом, реализующим текущую версию протокола IKE (IKEv2). Большинство российских вендоров использует протокол IKEv1, который более 10 лет назад официально признан в IETF устаревшим в том числе по причине наличия проблем с безопасностью. По сравнению с ним протокол IKEv2 обладает большей стойкостью к атакам отказа в обслуживании, большей устойчивостью к сетевым проблемам, большей гибкостью в использовании. Протокол IKEv2 в настоящее время продолжает активно развиваться в IETF, включая такие передовые направления в криптографии как, например, защита данных от квантовых компьютеров или использование принципа proof-of-work для противодействия DoS-атакам. ЭЛВИС-ПЛЮС принимает активное участие в этих работах и оперативно добавляет поддержку новых возможностей протокола в ПАК ЗАСТАВА.

ЗАСТАВА состоит из трех отдельных компонентов:

  • ЗАСТАВА-Клиент реализует функциональность клиента удаленного доступа по VPN;
  • ЗАСТАВА-Офис реализует функции VPN-шлюза и межсетевого экрана;
  • ЗАСТАВА-Управление выполняет функции Центра управления политиками безопасности для унифицированного управления сетевой безопасностью.

Отличительные особенности:

  • использование внешних криптографических модулей, реализующих отечественные стандарты ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, ГОСТ 28147-89, в частности, СКЗИ «КриптоПро CSP»;
  • поддержка не только отечественных криптографических алгоритмов, но и зарубежных — RSA, DH, ECDH, DES, 3DES, AES, SHA1, SHA2;
  • аутентификация партнеров с использованием X.509-сертификатов;
  • поддержка централизованного управления ПАК посредством продукта ЗАСТАВА-Управление;
  • реализация функциональности отказоустойчивого кластера, работающего в режиме «активный/пассивный»;
  • в зависимости от аппаратной платформы производительность по шифрованию может варьироваться от 40 Мбит/с до 4 Гбит/с;
  • для обеспечения шифрования канала связи от клиентских рабочих мест до ПАК используется собственная разработка — продукт ЗАСТАВА-Клиент.

ЗАСТАВА имеет несколько действующих сертификатов соответствия требованиям ФСБ России и ФСТЭК России, в частности:

  • ФСБ России №СФ/114-3067, подтверждающий соответствие требованиям к средствам криптографической защиты информации, не содержащей сведений, составляющих государственную тайну, класса КС3; может использоваться для криптографической защиты (шифрование IP-пакетов на базе протокола IPsec ESP, вычисление хэш-функции для IP-пакетов на базе протокола IPsec AH и/или протокола IPsec ESP, криптографическая аутентификация абонентов при установлении соединения на базе протокола IKE v1 или протокола IKE v2) информации, не содержащей сведений, составляющих государственную тайну;
  • ФСТЭК России №2573, удостоверяющий, что ПАК соответствует требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 2 классу защищенности.

Подробнее с информацией о ПАК ЗАСТАВА можно ознакомиться на сайте производителя.

 

«Континент» («Код Безопасности»)

Аппаратно-программный комплекс шифрования «Континент» (АПКШ) — криптографический шлюз производства российской компании «Код Безопасности». АПКШ обеспечивает межсетевое экранирование и криптографическую защиту открытых каналов связи в соответствии с ГОСТ 28147-89.

АПКШ позволяет обеспечить защиту сетевого трафика в мультисервисных сетях, разделить сегменты сети, организовать защищенный удаленный доступ к локальной сети, реализовать межсетевое взаимодействие с другими защищенными сетями (построенными на базе данного продукта). АПКШ функционирует на базе FreeBSD.

АПКШ обладает следующими особенностями:

  • поддерживает централизованное управление и мониторинг с помощью продукта «Центр управления сетью «Континент»;
  • аппаратное резервирование АПКШ в целях реализации отказоустойчивой конфигурации;
  • в модельном ряду АПКШ представлено исполнение для защиты информации в индустриальных системах;
  • широкий модельный ряд с поддержкой скоростей шифрования от 10 Мбит/с до 3.5 Гбит/с при использовании standalone-решения (до 10 Гбит/с — при распределении шифрованного трафика между фермой из АПКШ);
  • поддержка прозрачного объединения сетей на канальном уровне (L2 VPN);
  • фильтрация трафика на уровне сетевых приложений (DPI);
  • фильтрация команд протоколов HTTP, FTP;
  • URL-фильтрация на основе статических списков и регулярных выражений;
  • шлюзы средней и высокой производительности (от IPC-400 и выше) реализованы в форм-факторе 2U;
  • в состав модельного ряда АПКШ входят платформы, имеющие в своем составе до 34 интерфейсов GbE, в том числе до 4 оптических 10 Gb SFP+, до 32 оптических 1 Gb SFP;
  • в качестве VPN-клиента используется программный продукт «Континент-АП».

Рисунок 3. АПКШ «Континент» IPC -3034

 

Необходимо отметить, что АПКШ поставляется со встроенным средством защиты от НСД — программно-аппаратным комплексом «Соболь». Также на уровне формуляра АПКШ и руководства администратора имеется ограничение на максимальное количество криптошлюзов в сети с одним «Центром управления сетью «Континент».

АПКШ входит в реестр отечественного ПО (№310) и имеет ряд действующих сертификатов соответствия, среди которых:

  • ФСБ России №СФ/124-2617, подтверждающий соответствие требованиям к шифровальным (криптографическим) средствам класса КС3 и может использоваться для криптографической защиты (создание и управление ключевой информацией, шифрование и имитозащита данных, передаваемых в IP-пакетах по общим сетям передачи данных) информации, не содержащей сведений, составляющих государственную тайну;
  • ФСТЭК России №3008, подтверждающий соответствие требованиям к межсетевым экранам тип «А» (ИТ.МЭ.А3.ПЗ) и средствам обнаружения вторжения уровня сети (ИТ.СОВ.С3.ПЗ) по 3 классу (на сайте производителя документ к просмотру недоступен, предоставляется по запросу).

Подробнее с информацией об АПКШ «Континент» можно ознакомиться на сайте производителя.

 

ФПСУ-IP (АМИКОН, «ИнфоКрипт»)

Программно-аппаратный комплекс «Фильтр пакетов сетевого уровня — Internet Protocol» (ФПСУ-IP) производства российской компании АМИКОН при участии «ИнфоКрипт». ПАК представляет собой межсетевой экран и средство построения виртуальных частных сетей (VPN).

ФПСУ-IP поддерживает отечественные стандарты ГОСТ 28147-89, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, реализованные с использованием СКЗИ «Туннель 2.0» производства «ИнфоКрипт» (в части криптографии). ПАК функционирует на базе Linux.

ФПСУ-IP обладает следующими особенностями:

  • поддерживает возможность работы в режиме «горячего» резервирования (предлагается производителем как опция);
  • реализуется на базе различных аппаратных платформ типоразмеров как 1U, так и 2U;
  • использует собственный VPN-протокол;
  • в качестве удаленного клиентского компонента используется ПО «ФПСУ-IP/Клиент» (активация возможности взаимодействия с клиентским программным обеспечением на ПАК предлагается производителем как опция);
  • модельный ряд обеспечивает скорость шифрования данных от 10 Мбит/с до 12 Гбит/с (при размере IP-пакета 1450 байт и 56 вычислительных потоках).

Рисунок 4. Шлюз ФПСУ-IP

 

ФПСУ-IP представляет собой решение на базе различных аппаратных платформ и программного обеспечения со встроенным сертифицированным СКЗИ.

Встроенное СКЗИ имеет действующий сертификат ФСБ России №СФ/124-3060 и соответствует требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, классов КС1, КС2, КС3.

Подробнее с информацией о ФПСУ-IP можно ознакомиться на сайте производителя.

 

ALTELL NEO («АльтЭль»)

Программно-аппаратный комплекс ATLELL NEO производства компании «АльтЭль».

Ключевой функциональностью является межсетевое экранирование в сочетании с возможностями построения защищенных каналов связи. Также ALTELL NEO позиционируется как UTM-решение (Unified Threat Management), сочетающее в себе не только возможности межсетевого экрана, VPN-шлюза, но и средства обнаружения и предотвращения вторжений, контент-фильтрации и защиты от вредоносных программ.

Продукт представляет собой аппаратную платформу в сочетании со встроенным сертифицированным программным обеспечением. В качестве протоколов шифрования с использованием ГОСТ 28147-89 поддерживаются IPsec, OpenVPN.

Предлагаемые производителем платформы, за исключением младших (100 и 110), могут функционировать с использованием одной из трех версий ПО: FW (межсетевой экран), VPN (криптошлюз), UTM. Каждый последующий вариант программного обеспечения включает в себя функциональность предыдущих.

ALTELL NEO обладает следующими особенностями:

  • широкий модельный ряд аппаратных платформ различной конфигурации;
  • аппаратная платформа Enterprise-класса (модель 340, форм-фактор 2U) обладает повышенной плотностью сетевых интерфейсов (до 65 портов RJ45 GbE/до 64 портов SFP GbE/до 16 портов SFP+ 10 GbE);
  • производительность по шифрованию (в зависимости от аппаратной платформы) при использовании алгоритма IPsec составляет от 18 Мбит/с до 2,4 Гбит/с, OpenVPN — от 14 Мбит/с до 1,4 Гбит/с.

Рисунок 5. Шлюз ALTELL NEO 340

 

Используемое в составе решения программное обеспечение входит в реестр отечественного ПО (№3768) и имеет следующие сертификаты соответствия:

  • ФСБ России №СФ/СЗИ-0074, подтверждающий выполнение требований к межсетевым экранам 4 класса защищенности и то, что ПО может использоваться для защиты информации от несанкционированного доступа в информационных и телекоммуникационных системах органов государственной власти Российской Федерации;
  • ФСТЭК России №2726, удостоверяющий, что ПО соответствует требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» — по 2 классу защищенности.

Необходимо отметить, что на момент публикации обзора в открытых источниках не удалось обнаружить действующий сертификат ФСБ России на соответствие требованиям к шифровальным (криптографическим) средствам классов КС1/КС2/КС3.

Подробнее с информацией об ALTELL NEO можно ознакомиться на сайте производителя.

 

С-Терра Шлюз 4.1 («С-Терра СиЭсПи»)

Продукт С-Терра Шлюз производства российской компании «С-Терра СиЭсПи» представляет собой программный комплекс (далее — ПК) на базе различных аппаратных платформ.

СС-Терра Шлюз 4.1 обеспечивает шифрование по ГОСТ 28147-89 и имитозащиту передаваемого по открытым каналам связи трафика с использованием протокола IPsec. Помимо VPN, продукт обладает функциональностью межсетевого экрана. В качестве операционной системы используется Debian.

Криптографические функции в ПК реализуются криптобиблиотекой собственной разработки — С-Терра ST, которая совместима с СКЗИ «КриптоПро CSP».

С-Терра Шлюз 4.1 обладает следующими основными особенностями:

  • поддерживает централизованное удаленное управление посредством системы «С-Терра КП»;
  • производительность решения по шифрованию от 60 Мбит/с до 2,5 Гбит/с, в зависимости от модели шлюза и аппаратной платформы;
  • возможно исполнение в виде виртуальной машины (С-Терра Виртуальный Шлюз);
  • возможна установка ПК С-Терра Шлюз на АП заказчика;
  • производитель предлагает решение для защиты канала связи 10 Гбит/с на уровне L2, посредством размещения в двух ЦОД по 4 пары шлюзов модели 7000 High End с программным модулем С-Терра L2 и двух пар коммутаторов (с учетом того, что в защищаемом канале связи трафик преимущественно TCP, IP-телефония отсутствует).

Рисунок 6. С-Терра Шлюз 1000

 

  • С-Терра Шлюз 4.1 сертифицирован ФСБ России в качестве СКЗИ по классам КС1, КС2, КС3 и в качестве МЭ 4 класса, а также ФСТЭК России как межсетевой экран 3 класса (МЭ 3). В числе сертификатов:

- ФСБ России №СФ/124-2517, подтверждающий выполнение требований к шифровальным (криптографическим) средствам класса КС3;

- ФСБ России №СФ/525-2663, подтверждающий выполнение требований к межсетевым экранам 4 класса защищенности;

- ФСТЭК России № 3370, удостоверяющий, что С-Терра Шлюз соответствует требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» — по 3 классу защищенности.

Подробнее с информацией об «С-Терра Шлюз» можно ознакомиться на сайте производителя.

 

Diamond VPN (ТСС)

Программно-аппаратный комплекс Diamond VPN/FW производства компании ТСС представляет собой производительное UTM-решение, сочетающее в себе функции межсетевого экрана, VPN-шлюза, системы обнаружения вторжений (IDS).

ПАК обеспечивает шифрование ГОСТ 28147-89 по протоколу DTLS.

Основными особенностями являются:

  • поддержка создания отказоустойчивой конфигурации в режиме «активный/пассивный»;
  • наличие исполнения (модель 7141), обеспечивающего высокую производительность (шифрование со скоростью до 16 Гбит/с, межсетевое экранирование — до 40 Гбит/с);
  • высокая плотность портов в максимальной аппаратной конфигурации (до 32 портов RJ45 GbE/до 32 портов GbE SFP/до 16 портов 10G SFP+);
  • наличие криптошлюза в индустриальном исполнении (модель Diamond VPN/FW Industrial) для защиты информации в АСУ ТП.

Рисунок 7. ПАК Diamond VPN/FW

 

ПАК входит в реестр отечественного ПО (№1425) и обладает действующим сертификатом ФСТЭК России №2260, подтверждающим соответствие требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» — по 2 классу защищенности.

Необходимо отметить, что действующим сертификатом ФСБ России №124-2702 на соответствие требованиям к шифровальным (криптографическим) средствам класса КС1 и КС2 (в зависимости от вариантов исполнения) обладает СКЗИ Dcrypt 1.0, реализующее функции шифрования и ЭП в составе ПАК.

Подробнее с информацией о Diamond VPN/FW можно ознакомиться на сайте производителя.

 

Dionis-NX («Фактор-ТС»)

Программно-аппаратный комплекс Dionis-NX является разработкой российской компании «Фактор-ТС». ПАК является UTM-устройством, которое может использоваться как межсетевой экран, криптомаршрутизатор, система обнаружения и предотвращения вторжений.

ПАК позволяет строить VPN-туннели по ГОСТ 28147-89 посредством использования протоколов GRE, PPTP, OpenVPN.

Обладает следующими отличительными особенностями:

  • производитель предлагает пять вариантов аппаратных платформ, обеспечивающих скорость шифрования от 100 Мбит/с до 10 Гбит/с;
  • поддержка кластерного исполнения в отказоустойчивой конфигурации (режим «активный/пассивный»);
  • поддержка взаимодействия с программным обеспечением «Дисек», реализующим функциональность VPN-клиента.

Dionis-NX входит в реестр отечественного ПО (№2772) и обладает действующим сертификатом ФСТЭК России №2852, подтверждающим соответствие требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» — по 2 классу защищенности.

Необходимо отметить, что действующим сертификатом ФСБ России №124-2625 на соответствие требованиям к шифровальным (криптографическим) средствам класса КС1 и КС3 (в зависимости от вариантов исполнения) обладает СКЗИ DioNIS-NX, реализующее функции шифрования в составе ПАК.

Подробнее с информацией о «Dionis-NX» можно ознакомиться на сайте производителя.

 

ViPNet Coordinator HW («ИнфоТеКС»)

Программно-аппаратный комплекс ViPNet Coordinator HW разработан российской компанией «ИнфоТеКС» и представляет собой сертифицированный криптошлюз и межсетевой экран.

ViPNet Coordinator HW обеспечивает защиту — шифрование данных, передаваемых по различным каналам связи с помощью построения VPN (как на сетевом, так и на канальном уровнях модели OSI — L3, L2 VPN) по ГОСТ 28147-89. ПАК позволяет организовать защищенный доступ как в ЦОД, так и в корпоративную инфраструктуру. ПАК средней и высокой производительности поставляются в форм-факторе 1U. Функционирует на базе адаптированной ОС Linux.

ViPNet Coordinator HW обладает следующими особенностями:

  • для построения VPN используется собственный протокол ViPNet VPN, который обеспечивает беспрепятственное защищенное взаимодействие независимо от типа канала связи, автоматический роуминг между каналами связи;
  • поддержка работы в современных мультисервисных сетях (с использованием протоколов Cisco SCCP, H.323);
  • производительность по шифрованию от 50 Мбит/с до 5,5 Гбит/с (для standalone-решений) в зависимости от модели;
  • поддержка отказоустойчивой конфигурации (режим «активный/пассивный») для моделей среднего и высокого уровня (от модели HW1000);
  • поддержка централизованного управления и удаленного обновления с помощью ПО ViPNet Administrator;
  • поддержка взаимодействия с клиентскими компонентами (ПО ViPNet Client) на различных операционных системах (Windows, Linux, macOS, iOS, Android).

Рисунок 8. ПАК ViPNet Coordinator HW1000

 

Производитель ПАК в своих решениях использует аппаратные платформы фиксированной конфигурации, что позволяет получить высокий класс криптозащиты (КС3) без использования дополнительных устройств, таких как аппаратно-программные модули доверенной загрузки (АПМДЗ).

ViPNet Coordinator HW входит в реестр отечественного ПО (№2798) и обладает различными действующими сертификатами соответствия, в том числе:

  • ФСБ России №СФ/124-2981, подтверждающим выполнение требований к шифровальным (криптографическим) средствам класса КС3;
  • ФСБ России №СФ/525-3007, подтверждающим выполнение требований к межсетевым экранам 4 класса защищенности;
  • ФСТЭК России № 3692, удостоверяющий, что ПАК является межсетевым экраном типа «А» и соответствует требованиям документов «Требования к межсетевым экранам» (ФСТЭК России, 2016) и «Профиль защиты межсетевого экрана типа А четвертого класса защиты. ИТ.МЭ.А4.ПЗ».

Подробнее с информацией о ViPNet Coordinator HW можно ознакомиться на сайте производителя.

Зарубежные криптошлюзы

В данном разделе более подробно рассмотрим основных иностранных производителей средств защиты информации. Здесь представлены разнообразные варианты решений в программно-аппаратном исполнении.

Указанные ниже производители предлагают современному рынку UTM-решения, «комбайны» из разряда «всё-в-одном». Здесь и функциональность NGFW (Next Generation Firewall — межсетевой экран нового поколения), IDS/IPS (системы обнаружения и предотвращения вторжений), потоковый антивирус, и, конечно же, VPN-шлюз. Последний нас особенно интересует в контексте данного обзора.

Необходимо отметить, что зарубежные вендоры для своего VPN используют исключительно иностранные алгоритмы шифрования — DES, 3DES, AES. Соответственно, целевой заказчик таких решений (в части VPN) в России не является государственным учреждением или организацией, ведущей деятельность в соответствии с указанными начале обзора нормативными актами.

Поскольку на территории РФ рынок средств криптозащиты является регулируемым, зарубежным производителям необходимо официально ввезти свои продукты в соответствии со всеми действующими нормами и требованиями. В данном случае возможны два варианта:

  • ввоз по упрощенной схеме (по нотификации, реестр доступен на сайте Евразийского экономического союза);
  • ввоз по лицензии ФСБ России или Минпромторга России.

В связи с использованием иностранных криптографических алгоритмов в системе сертификации ФСБ России рассматриваемые в этом разделе решения не представлены.

Cisco VPN Solutions (Cisco ASA 5500-X, Cisco Firepower, Cisco ASAv, Cisco IOS VPN)

У международной компании Cisco Systems большое портфолио решений для построения VPN, которые отличаются не только особенностями реализации данной возможности, но и основной функциональностью. Например, Cisco ASA 5500-X или Cisco Firepower — это многофункциональные защитные шлюзы, среди функций которых есть и VPN, которая особенно эффективно может использоваться для Remote Access VPN. А вот маршрутизатор Cisco ISR/ASR/GSR/CSR, предназначенный преимущественно для подключения к интернету, обладает продвинутыми возможностями Site-to-Site VPN.

Cisco Adaptive Security Appliance (ASA) и Cisco Firepower — одни из основных продуктов в направлении информационной безопасности Cisco. Эти решения, а также виртуализированный защитный шлюз ASAv и маршрутизатор с функцией IOS VPN, позволяют реализовать взаимодействие по VPN с использованием IPSec, IPSec RA, SSL, SSL clientless, DTLS на скоростях от 100 Мбит/сек до 51 Гбит/сек и с поддержкой до 60000 удаленных пользователей.

Отличительными особенностями являются

  • Резервирование. Возможны два варианта: отказоустойчивое решение (failover) и кластеризация (clustering), в том числе геораспределенная. В первом случае два устройства объединяются в одно логическое. Доступны два режима работы: active/standby и active/active. Во втором — возможно объединение до 16 устройств ASA (для модели 5585-Х) в одно логическое. Такая возможность позволяет существенно повысить производительность решения.
  • Поддержка технологий DMVPN, GET VPN, Easy VPN.
  • Оптимизация защиты мультимедиа-трафика.
  • Поддержка функции per application VPN (дифференцированное шифрование трафика для различных приложений).
  • Поддержка оценки соответствия удаленного узла (мобильного устройства) требованиям безопасности перед созданием VPN-туннеля.
  • Встроенные дополнительные механизмы безопасности, например, встроенный центр сертификатов (CA).
  • Наличие API для интеграции с внешними системами фильтрации и управления сервисами — Web-прокси, AAA и оценки соответствия.
  • Интеграция с защитными возможностями многофункциональной защитной платформы Cisco ASA 5500-X, Cisco Firepower или маршрутизатором Cisco, МСЭ и NGFW, NGIPS, подсистемой защиты от вредоносного кода, подсистемой URL-фильтрации.

Рисунок 9. Cisco Firepower 9300

 

Управление Cisco ASA 5500-X, Cisco Firepower или Cisco ISR осуществляется локально посредством Cisco Adaptive Security Device Manager (ASDM), Cisco Firepower Device Manager или Cisco Security Device Manager, или централизованно с помощью Cisco Security Manager, Cisco Firepower Management Center или Cisco Defense Orchestrator.

Для подключения удаленных клиентских рабочих мест может использоваться локализованный на русский язык Cisco AnyConnect Secure Mobility Client или безклиентскую технологию Cisco SSL clientless, а также встроенные в Apple iOS и Android клиенты VPN.

Решения Cisco ASA 5500-X, Cisco Firepower и Cisco ISR обладают несколькими десятками различных действующих сертификатов соответствия ФСТЭК, в том числе № 3738, удостоверяющий, что ПАК соответствует требованиям к межсетевым экранам по классам А6, Б6, а также сертифицирован на отсутствие недокументированных возможностей. Совместно с компанией С-Терра СиЭсПи компания Cisco разработала модуль шифрования на базе российских алгоритмов шифрования (ГОСТ 28147-89 и др.) и сертифицировала его в ФСБ как СКЗИ по классам КС1/КС2. Этот модуль предназначен для маршрутизатора с интеграцией сервисов Cisco ISR, который может быть использован как платформа для запуска на ней и других VPN-решений. В частности, была проведена интеграция и испытания совместных решений Cisco ISR с решениями VipNet и TSS VPN.

Подробнее с информацией о Cisco ASA 5500-Х, Cisco Firepower, Cisco ISR можно ознакомиться на сайте производителя.

 

F5 Networks VPN Solutions

F5 Networks предлагает комплексные решения и автономные VPN-устройства. С 2016 года компания сделала акцент на комплексных решениях, и изолированные VPN-шлюзы постепенно перестают выпускаться.

Продукт F5 Access Policy Manager (APM) — это специальный модуль программного обеспечения, который включает в себя функциональные возможности VPN, а также множество различных функций, включая BIG-IP — полный 
прокси
 между
 пользователями 
и серверами 
приложений, обеспечивающий
 безопасность,
 оптимизацию
 трафика приложений 
и 
балансировку 
его
 нагрузки.

Клиент BIG-IP VPN использует протоколы TLS и DTLS (Datagram TLS), что позволяет работать чувствительным к задержке приложениям. Этот клиент доступен на всех распространенных настольных и мобильных платформах.

Решения BIG-IP функционируют на базе собственной операционной системы (ОС) F5 TMOS. Среди ее преимуществ можно отметить:

  • Открытый API, который позволяет гибко управлять потоком трафика и увеличить производительность с помощью API Control.
  • Контроль за трафиком производится с помощью F5-устройств, использующих специальный язык сценариев iRules.
  • Шаблоны iApps, которые позволяют развертывать и управлять сетевыми услугами для конкретных приложений.

На сегодняшний день предложения компании F5 начинаются с модели BIG-IP 1600 и заканчиваются BIG-IP 11050, которая является их крупнейшим автономным VPN-устройством.

Самым большим решением на основе блейд-сервера является Viprion 4800. Оно поддерживает до 30000 SSL-транзакций.

Рисунок 10. F5 Viprion 4800

 

В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) продуктов F5 Networks не представлено.

Подробнее с информацией о продукции F5 Networks можно ознакомиться на сайте производителя.

 

NetScaler (Citrix Systems)

NetScaler — линейка продуктов сетевой безопасности от компании Citrix Systems. VPN-решения от Citrix встроены в продукт NetScaler Gateway. Шлюз NetScaler, как и все оборудование фирмы Citrix, штатно интегрируется во многие линейки продуктов компании.

NetScaler Gateway предлагает функциональные возможности SSL VPN, включая безопасный доступ к Citrix XenDesktop, XenApp, XenMobile, MS RDP, VMware horizon, а также web-приложениям и ресурсам внутри корпоративной сети. Также продукт предоставляет возможности безопасного сетевого доступа к любому серверу, наряду с анализом и определением устройства.

Citrix Gateway поддерживает как протокол TLS, так и DTLS, в зависимости от требований к трафику.

Самая младшая MPX-платформа продукта (5550) поддерживает до 1500 SSL-транзакций. Наиболее производительная (22120) — до 560000 SSL-транзакций.

Рисунок 11. Citrix NetScaler MPX-8005

 

В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) шлюзов Citrix NetScaler не представлено.

Подробнее с информацией о продукции Citrix можно ознакомиться на сайте производителя.

 

Pulse Secure (Juniper Networks)

Pulse Secure — серия продуктов американской компании Juniper Networks. Ключевая функциональность — SSL VPN.

Производитель предлагает четыре программно-аппаратных комплекса различной производительности и форм-фактора.

Модель минимальной конфигурации (PSA300) обеспечивает пропускную способность 200 Мбит/с для 200 SSL-соединений. Наиболее производительное решение (PSA7000) — 10 Гбит/с для 25000 SSL-соединений.

Отличительной особенностью в линейке Pulse Secure является наличие двух блоков питания у модели PSA7000.

Рисунок 12. Pulse Secure Appliance 7000

 

В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) шлюзов Pulse Secure не представлен.

Подробнее с информацией о продукции Pulse Secure можно ознакомиться на сайте производителя.

 

SonicWALL

SonicWALL — американская компания-производитель решений для сетевой безопасности. В 2012 году компания была приобретена Dell Software Group. В 2016 же году Dell продала SonicWALL.

Компания предлагает решения различной производительности. В основной массе это UTM-решения, реализующие функциональность NGFW, IPS, VPN, потокового антивируса.

В части VPN производитель поддерживает IPSec, SSL. Наиболее производительное решение, представленное на рисунке ниже, обеспечивает пропускную способность VPN до 14 Гбит/с. Максимальное же число VPN-соединения составляет в этом случае 25000.

Шлюзы SonicWALL находятся под управлением собственной операционной системы — Sonic OS.

Рисунок 13. SonicWALL SuperMassive 9000 Series

 

В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) шлюзов SonicWALL не представлен.

Подробнее с информацией о продукции SonicWALL можно ознакомиться на сайте производителя.

Выводы

Криптографический шлюз — не только специализированное VPN-решение, но и многофункциональный продукт, решающий большой спектр задач информационной безопасности практически любого предприятия или государственного учреждения. Процесс внедрения криптошлюзов может быть непростым, и это требует от организации наличия в штате квалифицированных специалистов.

По данным статистического портала Statista.com, в 2014 году объем мирового рынка VPN составлял 45 млрд долларов США. При этом к 2019 году ожидается его рост до 70 млрд. Это позволяет говорить о том, что устройства для построения VPN станут год от года всё более востребованными.

Несмотря на то, что на территории РФ процессы эксплуатации средств криптозащиты регулируются «Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)», у иностранных разработчиков все еще остается возможность предлагать свои продукты российским заказчикам. В соответствии с ПКЗ-2005, лишь участники обмена информацией (с рядом оговорок), если это не государственные учреждения, определяют необходимость ее криптографической защиты и выбирают применяемые средства криптозащиты.

Вступление в силу с 1 января 2018 года Федерального закона №187-ФЗ «О безопасности критической информационной инфраструктуры РФ» (КИИ) обяжет компании и объекты КИИ и топливно-энергетического комплекса информировать власти о компьютерных инцидентах, предотвращать неправомерные попытки доступа к информации. Такая законодательная инициатива создаст дополнительную возможность для роста сегмента средств криптозащиты в перспективе нескольких ближайших лет.

Современные отечественные криптошлюзы всё быстрее получают функциональности (Next Generation Firewall, IDS, IPS, потоковый антивирус), ещё вчера предлагаемые лишь зарубежными производителями. Рост конкуренции, увеличение числа игроков на рынке позволяет заказчику быть в наиболее выгодном положении и выбирать то, что действительно соответствует его потребностям и возможностям. 

Page 2

В статье кратко описываются тенденции мирового рынка VPN, рассматриваются популярные криптошлюзы, представленные на российском рынке, приводятся их ключевые особенности.

Введение

Криптографический шлюз (криптошлюз, криптомаршрутизатор, VPN-шлюз) — программно-аппаратный комплекс для криптографической защиты трафика, передаваемого по каналам связи, путем шифрования пакетов по различным протоколам.

Криптошлюз предназначен для обеспечения информационной безопасности организации при передаче данных по открытым каналам связи.

Криптошлюзы, представленные на современном рынке, обеспечивают следующие базовые функции:

  • прозрачность для NAT;
  • сокрытие топологии сети за счет инкапсуляции трафика в шифрованный туннель;
  • обеспечение целостности и конфиденциальности IP-пакетов;
  • аутентификация узлов защищенной сети и пользователей.

Предприятия различного масштаба, государственные учреждения, частные компании — основные категории потребителей криптошлюзов.

На сегодняшний день функциональность VPN-шлюза является составной частью практически любого сетевого устройства, будь то маршрутизатор корпоративного уровня, домашний Wi-Fi-роутер или межсетевой экран. С учетом данной специфики ниже будут рассмотрены ключевые представители российского рынка, использующие алгоритм шифрования ГОСТ, а также несколько зарубежных примеров в качестве альтернативы.

Отдельной строкой отметим присутствие на рынке решений для защищенного удаленного доступа на базе протокола TLS (TLS-шлюзы) как российских, так и иностранных производителей. В рамках этого обзора они не рассматриваются.

Мировой рынок криптошлюзов

Непрерывность бизнеса для любой территориально распределенной компании всегда связана с обеспечением защиты передаваемой информации. Уже долгое время эту задачу решают различные VPN-устройства. Они заметно отличаются по своей реализации: это могут быть специализированные решения, решения на базе программно-аппаратных комплексов, таких как межсетевые экраны/маршрутизаторы, или полностью программные комплексы.

Подобные продукты на мировом рынке применяют компании из разных сфер деятельности: здравоохранение, промышленные предприятия, транспортные компании, государственные учреждения и многие другие.

В большинстве случаев заказчику необходимо решить одну или несколько из перечисленных задач:

  • защита распределенной корпоративной сети в различных топологиях;
  • подключение удаленных пользователей к корпоративной сети (в том числе с мобильных устройств);
  • защита канального уровня.

На мировом рынке прочно обосновался SSL VPN, что подтверждается исследованиями Alliedmarketresearch. По их данным, глобальный рынок SSL VPN в 2016 году составлял более 3 млрд долларов США. Прогнозируемый рост к 2023 году — до 5,3 млрд.

Среди ключевых игроков на мировом рынке лидерские позиции занимают Cisco Systems, Citrix Systems, Pulse Secure, F5 Networks.

Рисунок 1 наглядно демонстрирует ключевые сегменты роста глобального рынка SSL VPN:

  • режим тонкого клиента;
  • режим полного туннелирования;
  • режим без клиента.

Рисунок 1. Направления роста мирового рынка SSL VPN

 

Российский рынок криптошлюзов

В России основными потребителями криптошлюзов являются государственные учреждения, а также организации, являющиеся операторами персональных данных. На территории нашей страны действуют несколько нормативных актов, определяющих критерии, по которым средства защиты информации могут использоваться для решения тех или иных задач.

К таким документам можно отнести следующие:

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  • Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
  • Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  • Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005).

Одним из основных требований, предъявляемых к криптошлюзам, является наличие действующих сертификатов соответствия регуляторов рынка — ФСБ России и ФСТЭК России. Сертификат ФСБ России на соответствие требованиям к шифровальным (криптографическим) средствам выдается только в том случае, если криптошлюз реализован с использованием отечественных алгоритмов шифрования по ГОСТ 28147-89.

Зарубежные производители крайне редко поддерживают шифрование по ГОСТ и получают такие сертификаты соответствия на свои решения, чем активно пользуются российские компании-вендоры средств криптографической защиты информации (СКЗИ).

Отдельно необходимо отметить тренд, связанный с кибербезопасностью автоматизированных систем управления технологическими процессами (АСУ ТП). Сегодня некоторые производители СКЗИ предлагают рынку криптошлюзы в защищенном исполнении, отвечающие требованиям по пылевлагозащищенности и специальным температурным диапазонам. Появились и нормативные акты, формирующие требования к защите информации в подобных системах:

  • Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  • Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и окружающей природной среды».

Это позволяет говорить о серьезной перспективе данного направления для производителей СКЗИ в части развития своих продуктов.

Рассмотрим особенности некоторых российских и зарубежных криптошлюзов подробнее.

Российские криптошлюзы

 

Атликс-VPN («НТЦ Атлас»)

Программно-аппаратный комплекс (ПАК) «Атликс-VPN» — продукт российской компании «НТЦ Атлас». ПАК разработан для обеспечения создания и взаимодействия виртуальных частных сетей (VPN) на основе протокола IPsec и стандарта X.509 с использованием российских криптографических алгоритмов.

В качестве поддерживаемых стандартов заявлены ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001.

Отличительной особенностью является способ ввода ключевой информации, необходимой для реализации его функций. Для этого используется «Российская интеллектуальная карта» (РИК) — микропроцессорная карта, разработанная «НТЦ Атлас», ЗАО «Программные системы и технологии», ОАО «Ангстрэм». Карта выполнена на основе отечественного микропроцессора производства ОАО «Ангстрэм».

С аппаратной точки зрения «Атликс-VPN» функционирует на базе сервера специализированной, фиксированной платформы. ПАК обеспечивает относительно небольшую по меркам сегодняшнего дня производительность по шифрованию — 85 Мбит/с. Такая скорость и тип аппаратной платформы обусловлены высоким классом защищенности по требованиям ФСБ России, который обеспечивает ПАК, — КВ2.

Рисунок 2. ПАК «Атликс- VPN»

 

«Атликс-VPN» имеет следующие действующие сертификаты соответствия:

  • ФСБ России №СФ/124-2958, подтверждающий, что ПАК соответствует требованиям к шифровальным (криптографическим) средствам класса КВ2 и может использоваться для криптографической защиты (шифрование и имитозащита IP-трафика) информации, не содержащей сведений, составляющих государственную тайну;
  • ФСТЭК России №1864, подтверждающий, что ПАК соответствует требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» — по 4 классу защищенности.

Подробнее с информацией о ПАК «Атликс-VPN» можно ознакомиться на сайте производителя.

 

ЗАСТАВА (ЭЛВИС-ПЛЮС)

Программно-аппаратные комплексы ЗАСТАВА — разработка российской компании ЭЛВИС-ПЛЮС. ПАК обеспечивает защиту корпоративных информационных систем на сетевом уровне с помощью технологий виртуальных защищенных сетей (VPN) на базе протоколов IPsec/IKE. ЗАСТАВА представляет собой не только VPN-шлюз с поддержкой отечественных криптографических алгоритмов, но и межсетевой экран. ЗАСТАВА является единственным российским продуктом, реализующим текущую версию протокола IKE (IKEv2). Большинство российских вендоров использует протокол IKEv1, который более 10 лет назад официально признан в IETF устаревшим в том числе по причине наличия проблем с безопасностью. По сравнению с ним протокол IKEv2 обладает большей стойкостью к атакам отказа в обслуживании, большей устойчивостью к сетевым проблемам, большей гибкостью в использовании. Протокол IKEv2 в настоящее время продолжает активно развиваться в IETF, включая такие передовые направления в криптографии как, например, защита данных от квантовых компьютеров или использование принципа proof-of-work для противодействия DoS-атакам. ЭЛВИС-ПЛЮС принимает активное участие в этих работах и оперативно добавляет поддержку новых возможностей протокола в ПАК ЗАСТАВА.

ЗАСТАВА состоит из трех отдельных компонентов:

  • ЗАСТАВА-Клиент реализует функциональность клиента удаленного доступа по VPN;
  • ЗАСТАВА-Офис реализует функции VPN-шлюза и межсетевого экрана;
  • ЗАСТАВА-Управление выполняет функции Центра управления политиками безопасности для унифицированного управления сетевой безопасностью.

Отличительные особенности:

  • использование внешних криптографических модулей, реализующих отечественные стандарты ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, ГОСТ 28147-89, в частности, СКЗИ «КриптоПро CSP»;
  • поддержка не только отечественных криптографических алгоритмов, но и зарубежных — RSA, DH, ECDH, DES, 3DES, AES, SHA1, SHA2;
  • аутентификация партнеров с использованием X.509-сертификатов;
  • поддержка централизованного управления ПАК посредством продукта ЗАСТАВА-Управление;
  • реализация функциональности отказоустойчивого кластера, работающего в режиме «активный/пассивный»;
  • в зависимости от аппаратной платформы производительность по шифрованию может варьироваться от 40 Мбит/с до 4 Гбит/с;
  • для обеспечения шифрования канала связи от клиентских рабочих мест до ПАК используется собственная разработка — продукт ЗАСТАВА-Клиент.

ЗАСТАВА имеет несколько действующих сертификатов соответствия требованиям ФСБ России и ФСТЭК России, в частности:

  • ФСБ России №СФ/114-3067, подтверждающий соответствие требованиям к средствам криптографической защиты информации, не содержащей сведений, составляющих государственную тайну, класса КС3; может использоваться для криптографической защиты (шифрование IP-пакетов на базе протокола IPsec ESP, вычисление хэш-функции для IP-пакетов на базе протокола IPsec AH и/или протокола IPsec ESP, криптографическая аутентификация абонентов при установлении соединения на базе протокола IKE v1 или протокола IKE v2) информации, не содержащей сведений, составляющих государственную тайну;
  • ФСТЭК России №2573, удостоверяющий, что ПАК соответствует требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 2 классу защищенности.

Подробнее с информацией о ПАК ЗАСТАВА можно ознакомиться на сайте производителя.

 

«Континент» («Код Безопасности»)

Аппаратно-программный комплекс шифрования «Континент» (АПКШ) — криптографический шлюз производства российской компании «Код Безопасности». АПКШ обеспечивает межсетевое экранирование и криптографическую защиту открытых каналов связи в соответствии с ГОСТ 28147-89.

АПКШ позволяет обеспечить защиту сетевого трафика в мультисервисных сетях, разделить сегменты сети, организовать защищенный удаленный доступ к локальной сети, реализовать межсетевое взаимодействие с другими защищенными сетями (построенными на базе данного продукта). АПКШ функционирует на базе FreeBSD.

АПКШ обладает следующими особенностями:

  • поддерживает централизованное управление и мониторинг с помощью продукта «Центр управления сетью «Континент»;
  • аппаратное резервирование АПКШ в целях реализации отказоустойчивой конфигурации;
  • в модельном ряду АПКШ представлено исполнение для защиты информации в индустриальных системах;
  • широкий модельный ряд с поддержкой скоростей шифрования от 10 Мбит/с до 3.5 Гбит/с при использовании standalone-решения (до 10 Гбит/с — при распределении шифрованного трафика между фермой из АПКШ);
  • поддержка прозрачного объединения сетей на канальном уровне (L2 VPN);
  • фильтрация трафика на уровне сетевых приложений (DPI);
  • фильтрация команд протоколов HTTP, FTP;
  • URL-фильтрация на основе статических списков и регулярных выражений;
  • шлюзы средней и высокой производительности (от IPC-400 и выше) реализованы в форм-факторе 2U;
  • в состав модельного ряда АПКШ входят платформы, имеющие в своем составе до 34 интерфейсов GbE, в том числе до 4 оптических 10 Gb SFP+, до 32 оптических 1 Gb SFP;
  • в качестве VPN-клиента используется программный продукт «Континент-АП».

Рисунок 3. АПКШ «Континент» IPC -3034

 

Необходимо отметить, что АПКШ поставляется со встроенным средством защиты от НСД — программно-аппаратным комплексом «Соболь». Также на уровне формуляра АПКШ и руководства администратора имеется ограничение на максимальное количество криптошлюзов в сети с одним «Центром управления сетью «Континент».

АПКШ входит в реестр отечественного ПО (№310) и имеет ряд действующих сертификатов соответствия, среди которых:

  • ФСБ России №СФ/124-2617, подтверждающий соответствие требованиям к шифровальным (криптографическим) средствам класса КС3 и может использоваться для криптографической защиты (создание и управление ключевой информацией, шифрование и имитозащита данных, передаваемых в IP-пакетах по общим сетям передачи данных) информации, не содержащей сведений, составляющих государственную тайну;
  • ФСТЭК России №3008, подтверждающий соответствие требованиям к межсетевым экранам тип «А» (ИТ.МЭ.А3.ПЗ) и средствам обнаружения вторжения уровня сети (ИТ.СОВ.С3.ПЗ) по 3 классу (на сайте производителя документ к просмотру недоступен, предоставляется по запросу).

Подробнее с информацией об АПКШ «Континент» можно ознакомиться на сайте производителя.

 

ФПСУ-IP (АМИКОН, «ИнфоКрипт»)

Программно-аппаратный комплекс «Фильтр пакетов сетевого уровня — Internet Protocol» (ФПСУ-IP) производства российской компании АМИКОН при участии «ИнфоКрипт». ПАК представляет собой межсетевой экран и средство построения виртуальных частных сетей (VPN).

ФПСУ-IP поддерживает отечественные стандарты ГОСТ 28147-89, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, реализованные с использованием СКЗИ «Туннель 2.0» производства «ИнфоКрипт» (в части криптографии). ПАК функционирует на базе Linux.

ФПСУ-IP обладает следующими особенностями:

  • поддерживает возможность работы в режиме «горячего» резервирования (предлагается производителем как опция);
  • реализуется на базе различных аппаратных платформ типоразмеров как 1U, так и 2U;
  • использует собственный VPN-протокол;
  • в качестве удаленного клиентского компонента используется ПО «ФПСУ-IP/Клиент» (активация возможности взаимодействия с клиентским программным обеспечением на ПАК предлагается производителем как опция);
  • модельный ряд обеспечивает скорость шифрования данных от 10 Мбит/с до 12 Гбит/с (при размере IP-пакета 1450 байт и 56 вычислительных потоках).

Рисунок 4. Шлюз ФПСУ-IP

 

ФПСУ-IP представляет собой решение на базе различных аппаратных платформ и программного обеспечения со встроенным сертифицированным СКЗИ.

Встроенное СКЗИ имеет действующий сертификат ФСБ России №СФ/124-3060 и соответствует требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, классов КС1, КС2, КС3.

Подробнее с информацией о ФПСУ-IP можно ознакомиться на сайте производителя.

 

ALTELL NEO («АльтЭль»)

Программно-аппаратный комплекс ATLELL NEO производства компании «АльтЭль».

Ключевой функциональностью является межсетевое экранирование в сочетании с возможностями построения защищенных каналов связи. Также ALTELL NEO позиционируется как UTM-решение (Unified Threat Management), сочетающее в себе не только возможности межсетевого экрана, VPN-шлюза, но и средства обнаружения и предотвращения вторжений, контент-фильтрации и защиты от вредоносных программ.

Продукт представляет собой аппаратную платформу в сочетании со встроенным сертифицированным программным обеспечением. В качестве протоколов шифрования с использованием ГОСТ 28147-89 поддерживаются IPsec, OpenVPN.

Предлагаемые производителем платформы, за исключением младших (100 и 110), могут функционировать с использованием одной из трех версий ПО: FW (межсетевой экран), VPN (криптошлюз), UTM. Каждый последующий вариант программного обеспечения включает в себя функциональность предыдущих.

ALTELL NEO обладает следующими особенностями:

  • широкий модельный ряд аппаратных платформ различной конфигурации;
  • аппаратная платформа Enterprise-класса (модель 340, форм-фактор 2U) обладает повышенной плотностью сетевых интерфейсов (до 65 портов RJ45 GbE/до 64 портов SFP GbE/до 16 портов SFP+ 10 GbE);
  • производительность по шифрованию (в зависимости от аппаратной платформы) при использовании алгоритма IPsec составляет от 18 Мбит/с до 2,4 Гбит/с, OpenVPN — от 14 Мбит/с до 1,4 Гбит/с.

Рисунок 5. Шлюз ALTELL NEO 340

 

Используемое в составе решения программное обеспечение входит в реестр отечественного ПО (№3768) и имеет следующие сертификаты соответствия:

  • ФСБ России №СФ/СЗИ-0074, подтверждающий выполнение требований к межсетевым экранам 4 класса защищенности и то, что ПО может использоваться для защиты информации от несанкционированного доступа в информационных и телекоммуникационных системах органов государственной власти Российской Федерации;
  • ФСТЭК России №2726, удостоверяющий, что ПО соответствует требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» — по 2 классу защищенности.

Необходимо отметить, что на момент публикации обзора в открытых источниках не удалось обнаружить действующий сертификат ФСБ России на соответствие требованиям к шифровальным (криптографическим) средствам классов КС1/КС2/КС3.

Подробнее с информацией об ALTELL NEO можно ознакомиться на сайте производителя.

 

С-Терра Шлюз 4.1 («С-Терра СиЭсПи»)

Продукт С-Терра Шлюз производства российской компании «С-Терра СиЭсПи» представляет собой программный комплекс (далее — ПК) на базе различных аппаратных платформ.

СС-Терра Шлюз 4.1 обеспечивает шифрование по ГОСТ 28147-89 и имитозащиту передаваемого по открытым каналам связи трафика с использованием протокола IPsec. Помимо VPN, продукт обладает функциональностью межсетевого экрана. В качестве операционной системы используется Debian.

Криптографические функции в ПК реализуются криптобиблиотекой собственной разработки — С-Терра ST, которая совместима с СКЗИ «КриптоПро CSP».

С-Терра Шлюз 4.1 обладает следующими основными особенностями:

  • поддерживает централизованное удаленное управление посредством системы «С-Терра КП»;
  • производительность решения по шифрованию от 60 Мбит/с до 2,5 Гбит/с, в зависимости от модели шлюза и аппаратной платформы;
  • возможно исполнение в виде виртуальной машины (С-Терра Виртуальный Шлюз);
  • возможна установка ПК С-Терра Шлюз на АП заказчика;
  • производитель предлагает решение для защиты канала связи 10 Гбит/с на уровне L2, посредством размещения в двух ЦОД по 4 пары шлюзов модели 7000 High End с программным модулем С-Терра L2 и двух пар коммутаторов (с учетом того, что в защищаемом канале связи трафик преимущественно TCP, IP-телефония отсутствует).

Рисунок 6. С-Терра Шлюз 1000

 

  • С-Терра Шлюз 4.1 сертифицирован ФСБ России в качестве СКЗИ по классам КС1, КС2, КС3 и в качестве МЭ 4 класса, а также ФСТЭК России как межсетевой экран 3 класса (МЭ 3). В числе сертификатов:

- ФСБ России №СФ/124-2517, подтверждающий выполнение требований к шифровальным (криптографическим) средствам класса КС3;

- ФСБ России №СФ/525-2663, подтверждающий выполнение требований к межсетевым экранам 4 класса защищенности;

- ФСТЭК России № 3370, удостоверяющий, что С-Терра Шлюз соответствует требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» — по 3 классу защищенности.

Подробнее с информацией об «С-Терра Шлюз» можно ознакомиться на сайте производителя.

 

Diamond VPN (ТСС)

Программно-аппаратный комплекс Diamond VPN/FW производства компании ТСС представляет собой производительное UTM-решение, сочетающее в себе функции межсетевого экрана, VPN-шлюза, системы обнаружения вторжений (IDS).

ПАК обеспечивает шифрование ГОСТ 28147-89 по протоколу DTLS.

Основными особенностями являются:

  • поддержка создания отказоустойчивой конфигурации в режиме «активный/пассивный»;
  • наличие исполнения (модель 7141), обеспечивающего высокую производительность (шифрование со скоростью до 16 Гбит/с, межсетевое экранирование — до 40 Гбит/с);
  • высокая плотность портов в максимальной аппаратной конфигурации (до 32 портов RJ45 GbE/до 32 портов GbE SFP/до 16 портов 10G SFP+);
  • наличие криптошлюза в индустриальном исполнении (модель Diamond VPN/FW Industrial) для защиты информации в АСУ ТП.

Рисунок 7. ПАК Diamond VPN/FW

 

ПАК входит в реестр отечественного ПО (№1425) и обладает действующим сертификатом ФСТЭК России №2260, подтверждающим соответствие требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» — по 2 классу защищенности.

Необходимо отметить, что действующим сертификатом ФСБ России №124-2702 на соответствие требованиям к шифровальным (криптографическим) средствам класса КС1 и КС2 (в зависимости от вариантов исполнения) обладает СКЗИ Dcrypt 1.0, реализующее функции шифрования и ЭП в составе ПАК.

Подробнее с информацией о Diamond VPN/FW можно ознакомиться на сайте производителя.

 

Dionis-NX («Фактор-ТС»)

Программно-аппаратный комплекс Dionis-NX является разработкой российской компании «Фактор-ТС». ПАК является UTM-устройством, которое может использоваться как межсетевой экран, криптомаршрутизатор, система обнаружения и предотвращения вторжений.

ПАК позволяет строить VPN-туннели по ГОСТ 28147-89 посредством использования протоколов GRE, PPTP, OpenVPN.

Обладает следующими отличительными особенностями:

  • производитель предлагает пять вариантов аппаратных платформ, обеспечивающих скорость шифрования от 100 Мбит/с до 10 Гбит/с;
  • поддержка кластерного исполнения в отказоустойчивой конфигурации (режим «активный/пассивный»);
  • поддержка взаимодействия с программным обеспечением «Дисек», реализующим функциональность VPN-клиента.

Dionis-NX входит в реестр отечественного ПО (№2772) и обладает действующим сертификатом ФСТЭК России №2852, подтверждающим соответствие требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» — по 2 классу защищенности.

Необходимо отметить, что действующим сертификатом ФСБ России №124-2625 на соответствие требованиям к шифровальным (криптографическим) средствам класса КС1 и КС3 (в зависимости от вариантов исполнения) обладает СКЗИ DioNIS-NX, реализующее функции шифрования в составе ПАК.

Подробнее с информацией о «Dionis-NX» можно ознакомиться на сайте производителя.

 

ViPNet Coordinator HW («ИнфоТеКС»)

Программно-аппаратный комплекс ViPNet Coordinator HW разработан российской компанией «ИнфоТеКС» и представляет собой сертифицированный криптошлюз и межсетевой экран.

ViPNet Coordinator HW обеспечивает защиту — шифрование данных, передаваемых по различным каналам связи с помощью построения VPN (как на сетевом, так и на канальном уровнях модели OSI — L3, L2 VPN) по ГОСТ 28147-89. ПАК позволяет организовать защищенный доступ как в ЦОД, так и в корпоративную инфраструктуру. ПАК средней и высокой производительности поставляются в форм-факторе 1U. Функционирует на базе адаптированной ОС Linux.

ViPNet Coordinator HW обладает следующими особенностями:

  • для построения VPN используется собственный протокол ViPNet VPN, который обеспечивает беспрепятственное защищенное взаимодействие независимо от типа канала связи, автоматический роуминг между каналами связи;
  • поддержка работы в современных мультисервисных сетях (с использованием протоколов Cisco SCCP, H.323);
  • производительность по шифрованию от 50 Мбит/с до 5,5 Гбит/с (для standalone-решений) в зависимости от модели;
  • поддержка отказоустойчивой конфигурации (режим «активный/пассивный») для моделей среднего и высокого уровня (от модели HW1000);
  • поддержка централизованного управления и удаленного обновления с помощью ПО ViPNet Administrator;
  • поддержка взаимодействия с клиентскими компонентами (ПО ViPNet Client) на различных операционных системах (Windows, Linux, macOS, iOS, Android).

Рисунок 8. ПАК ViPNet Coordinator HW1000

 

Производитель ПАК в своих решениях использует аппаратные платформы фиксированной конфигурации, что позволяет получить высокий класс криптозащиты (КС3) без использования дополнительных устройств, таких как аппаратно-программные модули доверенной загрузки (АПМДЗ).

ViPNet Coordinator HW входит в реестр отечественного ПО (№2798) и обладает различными действующими сертификатами соответствия, в том числе:

  • ФСБ России №СФ/124-2981, подтверждающим выполнение требований к шифровальным (криптографическим) средствам класса КС3;
  • ФСБ России №СФ/525-3007, подтверждающим выполнение требований к межсетевым экранам 4 класса защищенности;
  • ФСТЭК России № 3692, удостоверяющий, что ПАК является межсетевым экраном типа «А» и соответствует требованиям документов «Требования к межсетевым экранам» (ФСТЭК России, 2016) и «Профиль защиты межсетевого экрана типа А четвертого класса защиты. ИТ.МЭ.А4.ПЗ».

Подробнее с информацией о ViPNet Coordinator HW можно ознакомиться на сайте производителя.

Зарубежные криптошлюзы

В данном разделе более подробно рассмотрим основных иностранных производителей средств защиты информации. Здесь представлены разнообразные варианты решений в программно-аппаратном исполнении.

Указанные ниже производители предлагают современному рынку UTM-решения, «комбайны» из разряда «всё-в-одном». Здесь и функциональность NGFW (Next Generation Firewall — межсетевой экран нового поколения), IDS/IPS (системы обнаружения и предотвращения вторжений), потоковый антивирус, и, конечно же, VPN-шлюз. Последний нас особенно интересует в контексте данного обзора.

Необходимо отметить, что зарубежные вендоры для своего VPN используют исключительно иностранные алгоритмы шифрования — DES, 3DES, AES. Соответственно, целевой заказчик таких решений (в части VPN) в России не является государственным учреждением или организацией, ведущей деятельность в соответствии с указанными начале обзора нормативными актами.

Поскольку на территории РФ рынок средств криптозащиты является регулируемым, зарубежным производителям необходимо официально ввезти свои продукты в соответствии со всеми действующими нормами и требованиями. В данном случае возможны два варианта:

  • ввоз по упрощенной схеме (по нотификации, реестр доступен на сайте Евразийского экономического союза);
  • ввоз по лицензии ФСБ России или Минпромторга России.

В связи с использованием иностранных криптографических алгоритмов в системе сертификации ФСБ России рассматриваемые в этом разделе решения не представлены.

Cisco VPN Solutions (Cisco ASA 5500-X, Cisco Firepower, Cisco ASAv, Cisco IOS VPN)

У международной компании Cisco Systems большое портфолио решений для построения VPN, которые отличаются не только особенностями реализации данной возможности, но и основной функциональностью. Например, Cisco ASA 5500-X или Cisco Firepower — это многофункциональные защитные шлюзы, среди функций которых есть и VPN, которая особенно эффективно может использоваться для Remote Access VPN. А вот маршрутизатор Cisco ISR/ASR/GSR/CSR, предназначенный преимущественно для подключения к интернету, обладает продвинутыми возможностями Site-to-Site VPN.

Cisco Adaptive Security Appliance (ASA) и Cisco Firepower — одни из основных продуктов в направлении информационной безопасности Cisco. Эти решения, а также виртуализированный защитный шлюз ASAv и маршрутизатор с функцией IOS VPN, позволяют реализовать взаимодействие по VPN с использованием IPSec, IPSec RA, SSL, SSL clientless, DTLS на скоростях от 100 Мбит/сек до 51 Гбит/сек и с поддержкой до 60000 удаленных пользователей.

Отличительными особенностями являются

  • Резервирование. Возможны два варианта: отказоустойчивое решение (failover) и кластеризация (clustering), в том числе геораспределенная. В первом случае два устройства объединяются в одно логическое. Доступны два режима работы: active/standby и active/active. Во втором — возможно объединение до 16 устройств ASA (для модели 5585-Х) в одно логическое. Такая возможность позволяет существенно повысить производительность решения.
  • Поддержка технологий DMVPN, GET VPN, Easy VPN.
  • Оптимизация защиты мультимедиа-трафика.
  • Поддержка функции per application VPN (дифференцированное шифрование трафика для различных приложений).
  • Поддержка оценки соответствия удаленного узла (мобильного устройства) требованиям безопасности перед созданием VPN-туннеля.
  • Встроенные дополнительные механизмы безопасности, например, встроенный центр сертификатов (CA).
  • Наличие API для интеграции с внешними системами фильтрации и управления сервисами — Web-прокси, AAA и оценки соответствия.
  • Интеграция с защитными возможностями многофункциональной защитной платформы Cisco ASA 5500-X, Cisco Firepower или маршрутизатором Cisco, МСЭ и NGFW, NGIPS, подсистемой защиты от вредоносного кода, подсистемой URL-фильтрации.

Рисунок 9. Cisco Firepower 9300

 

Управление Cisco ASA 5500-X, Cisco Firepower или Cisco ISR осуществляется локально посредством Cisco Adaptive Security Device Manager (ASDM), Cisco Firepower Device Manager или Cisco Security Device Manager, или централизованно с помощью Cisco Security Manager, Cisco Firepower Management Center или Cisco Defense Orchestrator.

Для подключения удаленных клиентских рабочих мест может использоваться локализованный на русский язык Cisco AnyConnect Secure Mobility Client или безклиентскую технологию Cisco SSL clientless, а также встроенные в Apple iOS и Android клиенты VPN.

Решения Cisco ASA 5500-X, Cisco Firepower и Cisco ISR обладают несколькими десятками различных действующих сертификатов соответствия ФСТЭК, в том числе № 3738, удостоверяющий, что ПАК соответствует требованиям к межсетевым экранам по классам А6, Б6, а также сертифицирован на отсутствие недокументированных возможностей. Совместно с компанией С-Терра СиЭсПи компания Cisco разработала модуль шифрования на базе российских алгоритмов шифрования (ГОСТ 28147-89 и др.) и сертифицировала его в ФСБ как СКЗИ по классам КС1/КС2. Этот модуль предназначен для маршрутизатора с интеграцией сервисов Cisco ISR, который может быть использован как платформа для запуска на ней и других VPN-решений. В частности, была проведена интеграция и испытания совместных решений Cisco ISR с решениями VipNet и TSS VPN.

Подробнее с информацией о Cisco ASA 5500-Х, Cisco Firepower, Cisco ISR можно ознакомиться на сайте производителя.

 

F5 Networks VPN Solutions

F5 Networks предлагает комплексные решения и автономные VPN-устройства. С 2016 года компания сделала акцент на комплексных решениях, и изолированные VPN-шлюзы постепенно перестают выпускаться.

Продукт F5 Access Policy Manager (APM) — это специальный модуль программного обеспечения, который включает в себя функциональные возможности VPN, а также множество различных функций, включая BIG-IP — полный 
прокси
 между
 пользователями 
и серверами 
приложений, обеспечивающий
 безопасность,
 оптимизацию
 трафика приложений 
и 
балансировку 
его
 нагрузки.

Клиент BIG-IP VPN использует протоколы TLS и DTLS (Datagram TLS), что позволяет работать чувствительным к задержке приложениям. Этот клиент доступен на всех распространенных настольных и мобильных платформах.

Решения BIG-IP функционируют на базе собственной операционной системы (ОС) F5 TMOS. Среди ее преимуществ можно отметить:

  • Открытый API, который позволяет гибко управлять потоком трафика и увеличить производительность с помощью API Control.
  • Контроль за трафиком производится с помощью F5-устройств, использующих специальный язык сценариев iRules.
  • Шаблоны iApps, которые позволяют развертывать и управлять сетевыми услугами для конкретных приложений.

На сегодняшний день предложения компании F5 начинаются с модели BIG-IP 1600 и заканчиваются BIG-IP 11050, которая является их крупнейшим автономным VPN-устройством.

Самым большим решением на основе блейд-сервера является Viprion 4800. Оно поддерживает до 30000 SSL-транзакций.

Рисунок 10. F5 Viprion 4800

 

В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) продуктов F5 Networks не представлено.

Подробнее с информацией о продукции F5 Networks можно ознакомиться на сайте производителя.

 

NetScaler (Citrix Systems)

NetScaler — линейка продуктов сетевой безопасности от компании Citrix Systems. VPN-решения от Citrix встроены в продукт NetScaler Gateway. Шлюз NetScaler, как и все оборудование фирмы Citrix, штатно интегрируется во многие линейки продуктов компании.

NetScaler Gateway предлагает функциональные возможности SSL VPN, включая безопасный доступ к Citrix XenDesktop, XenApp, XenMobile, MS RDP, VMware horizon, а также web-приложениям и ресурсам внутри корпоративной сети. Также продукт предоставляет возможности безопасного сетевого доступа к любому серверу, наряду с анализом и определением устройства.

Citrix Gateway поддерживает как протокол TLS, так и DTLS, в зависимости от требований к трафику.

Самая младшая MPX-платформа продукта (5550) поддерживает до 1500 SSL-транзакций. Наиболее производительная (22120) — до 560000 SSL-транзакций.

Рисунок 11. Citrix NetScaler MPX-8005

 

В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) шлюзов Citrix NetScaler не представлено.

Подробнее с информацией о продукции Citrix можно ознакомиться на сайте производителя.

 

Pulse Secure (Juniper Networks)

Pulse Secure — серия продуктов американской компании Juniper Networks. Ключевая функциональность — SSL VPN.

Производитель предлагает четыре программно-аппаратных комплекса различной производительности и форм-фактора.

Модель минимальной конфигурации (PSA300) обеспечивает пропускную способность 200 Мбит/с для 200 SSL-соединений. Наиболее производительное решение (PSA7000) — 10 Гбит/с для 25000 SSL-соединений.

Отличительной особенностью в линейке Pulse Secure является наличие двух блоков питания у модели PSA7000.

Рисунок 12. Pulse Secure Appliance 7000

 

В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) шлюзов Pulse Secure не представлен.

Подробнее с информацией о продукции Pulse Secure можно ознакомиться на сайте производителя.

 

SonicWALL

SonicWALL — американская компания-производитель решений для сетевой безопасности. В 2012 году компания была приобретена Dell Software Group. В 2016 же году Dell продала SonicWALL.

Компания предлагает решения различной производительности. В основной массе это UTM-решения, реализующие функциональность NGFW, IPS, VPN, потокового антивируса.

В части VPN производитель поддерживает IPSec, SSL. Наиболее производительное решение, представленное на рисунке ниже, обеспечивает пропускную способность VPN до 14 Гбит/с. Максимальное же число VPN-соединения составляет в этом случае 25000.

Шлюзы SonicWALL находятся под управлением собственной операционной системы — Sonic OS.

Рисунок 13. SonicWALL SuperMassive 9000 Series

 

В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) шлюзов SonicWALL не представлен.

Подробнее с информацией о продукции SonicWALL можно ознакомиться на сайте производителя.

Выводы

Криптографический шлюз — не только специализированное VPN-решение, но и многофункциональный продукт, решающий большой спектр задач информационной безопасности практически любого предприятия или государственного учреждения. Процесс внедрения криптошлюзов может быть непростым, и это требует от организации наличия в штате квалифицированных специалистов.

По данным статистического портала Statista.com, в 2014 году объем мирового рынка VPN составлял 45 млрд долларов США. При этом к 2019 году ожидается его рост до 70 млрд. Это позволяет говорить о том, что устройства для построения VPN станут год от года всё более востребованными.

Несмотря на то, что на территории РФ процессы эксплуатации средств криптозащиты регулируются «Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)», у иностранных разработчиков все еще остается возможность предлагать свои продукты российским заказчикам. В соответствии с ПКЗ-2005, лишь участники обмена информацией (с рядом оговорок), если это не государственные учреждения, определяют необходимость ее криптографической защиты и выбирают применяемые средства криптозащиты.

Вступление в силу с 1 января 2018 года Федерального закона №187-ФЗ «О безопасности критической информационной инфраструктуры РФ» (КИИ) обяжет компании и объекты КИИ и топливно-энергетического комплекса информировать власти о компьютерных инцидентах, предотвращать неправомерные попытки доступа к информации. Такая законодательная инициатива создаст дополнительную возможность для роста сегмента средств криптозащиты в перспективе нескольких ближайших лет.

Современные отечественные криптошлюзы всё быстрее получают функциональности (Next Generation Firewall, IDS, IPS, потоковый антивирус), ещё вчера предлагаемые лишь зарубежными производителями. Рост конкуренции, увеличение числа игроков на рынке позволяет заказчику быть в наиболее выгодном положении и выбирать то, что действительно соответствует его потребностям и возможностям. 

www.anti-malware.ru

Криптошлюз - это... Что такое Криптошлюз?

Криптошлюз (криптографический шлюз, vpn-шлюз, криптомаршрутизатор) — аппаратно-программный комплекс криптографической защиты трафика данных, голоса, видео на основе шифрования пакетов по протоколам IPsec AH и/или IPsec ESP при установлении соединения, соответствующий требованиям к средствам криптографической защиты информации (СКЗИ[1]) ФСБ России и обеспечивающий базовую функциональность современного VPN-устройства.

Назначение

Криптошлюз предназначен для обеспечения информационной безопасности организации, защиты её информационных сетей от вторжения со стороны сетей передачи данных (Интернет), обеспечения конфиденциальности при передаче информации по открытым каналам связи (VPN), а также организации безопасного доступа пользователей к ресурсам сетей общего пользования.

Криптошлюз обеспечивает базовую функциональность современного VPN-устройства:

Криптошлюзы представлены как в сегменте VPN устройств, так и в сегменте унифицированных устройств (UTM) объединяющих несколько средств безопасности в одном.

Отличие криптошлюзов от обычных VPN маршрутизаторов заключается в том, что они работают на основе протокола IPSec и обеспечивают защиту информации, передаваемой по каналам связи, используя алгоритмы, которые отвечают требованиям российских криптографических стандартов (ГОСТ 28147-89 и ГОСТ Р 34.10-2001)[2].

Доступ к ресурсам информационной системы

Криптошлюзы позволяют осуществить защищенный доступ удаленных абонентов к ресурсам корпоративной информационной системы. Доступ производится с использованием специального программного обеспечения, установленным на компьютере пользователя (VPN-клиент) для осуществления защищенного взаимодействия удаленных и мобильных пользователей с криптошлюзом.

Программное обеспечение криптошлюза (сервер доступа) проводит идентификацию и аутентификацию пользователя и осуществляет его связь с ресурсами защищаемой сети. С помощью криптошлюзов формируют виртуальные защищенные каналы в сетях общего пользования (например, Internet), которые гарантируют конфиденциальность и достоверность информации, и организовывать виртуальные частные сети (Virtual Private Network – VPN), представляющие собой объединение локальных сетей или отдельных компьютеров, подключенных к сети общего пользования в единую защищенную виртуальную сеть. Для управления такой сетью обычно используется специальное программное обеспечение (центр управления), которое обеспечивает централизованное управление локальными политиками безопасности VPN-клиентов и криптошлюзов, рассылает для них ключевую информацию и новые конфигурационные данные, обеспечивает ведение системных журналов.

Примечания

dic.academic.ru

Криптомаршрутизаторы KM И KM Server

Криптомаршрутизаторы KM и KM Server – полнофункциональное решение для построения VPN-сетей на основе протоколов SSLv3/TLSv1, с помощью которого можно решить широкий круг задач по обеспечению безопасного обмена информацией, включая подключение удаленных пользователей к корпоративной сети, безопасную связь между удаленными офисами, решения для удаленного доступа масштаба предприятий с поддержкой балансировки нагрузки, отказоустойчивости и четко разграниченным контролем доступа.

Комплекс обеспечивает криптографическую защиту информации (в соответствии с ГОСТ 28147–89), передаваемой по открытым каналам связи, между составными частями VPN, которыми могут являться локальные вычислительные сети, их сегменты и отдельные компьютеры.

В качестве протокола транспортного уровня криптомаршрутизатор может использовать как TCP, так и UDP. Авторизация узлов может проводиться как на разделяемых ключах и шифровании трафика в режиме CFB, так и на сертификатах X509 и шифровании через SSLv3/TLSv1.

Криптомаршрутизатор основан на Новой гарвардской архитектуре. Программное обеспечение размещено в памяти с физически устанавливаемым доступом read only (RO), что исключает искажения программного обеспечения и обеспечивает неизменность среды функционирования СКЗИ. Существует также возможность доверенного обновления ПО, что отличает данный криптомаршрутизатор от остальных решений на рынке.

Существует два варианта исполнения криптомаршрутизатора:

  1. Исполнение 1 – VPN-сервер.
  2. Исполнение 2 –VPN-сервер и сервер IP-телефонии – добавлен Voice over IP шлюз с 4 FXS портами и развернут сервер IP-телефонии. Такое решение позволяет осуществлять звонки между аналоговыми телефонами, подключенными к криптомаршрутизатору, и IP-телефонами, подключенными куда угодно. При этом трафик телефонов идет по VPN, а значит, защищен.

Исполнение 1 может быть выпущено в виде сервера в стойку и в виде микрокомпьютера MKT-card long.

Исполнение в виде микрокомпьютера называются KM Center (с серверными ключами) и KM Point (с клиентскими ключами), а исполнения в виде сервера – KM Center Server и KM Point Server, соответственно, а также  KM-Phone Center Server и KM-Phone Point Server – с IP-телефонией.

Возможна поддержка разных VPN-решений по требованию заказчика, так как не всегда удобна поддержка в одной организации разных ключевых систем.

Стоит также отметить, что стоимость платформы (аппаратной части) криптомаршрутизатора на порядок ниже стоимости традиционных платформ с аналогичными вычислительными характеристиками и аналогичным уровнем защищенности. Учитывая это, совокупная стоимость создания VPN-инфраструктуры обходится намного дешевле.

Характеристики аппаратной части сервера:

Характеристика

Исполнение 1

Исполнение 2

Форм-фактор

1U для монтажа в 19» стойку

либо

микрокомпьютер MKT-card long

1U для монтажа в 19» стойку

Габариты (ВхШxГ)

Процессор

4-ядерный, 1,6 ГГц, Cortex A9

4-ядерный, 1,6 ГГц, Cortex A9

ОЗУ

2GB DRR3

2GB DRR3

Сетевые интерфейсы

4 порта Ethernet 100 Мбит/с

4 порта Ethernet 100 Мбит/с

Память

SD (TF card) до 32GB

SD (TF card) до 32GB

Порт HDMI

1

1

Порт USB

1

1

FXS порт

4

Характеристики программной части сервера:

Характеристика

Исполнение 1

Исполнение 2

ОС

ОС Linux собственной сборки

ОС Linux собственной сборки

VPN-сервер (СКЗИ)

ПК «LirVPN» (КС1 и КС2)

(разработчик – ООО «ЛИССИ-Софт»)

ПК «LirVPN» (КС1 и КС2)

 (разработчик – ООО «ЛИССИ-Софт»)

Сервер IP-телефонии

Есть

Доверенное обновление ПО

Есть

Есть

Возможно централизованное управление стандартизированным средством управления R-Vision (то есть можно управлять одновременно и другими криптомаршрутизаторами, если в системе применяется несколько видов).

Количество портов от 1 до много, но суммарная пропускная способность по всем одновременно (если одновременно несколько пользователей «сидят» на разных каналах) – не выше 240 мегабит в сумме на все порты.

Пропускная способность между двумя портами – 80 мегабит (при использовании ГОСТ шифрования LirVPN).

www.trustedcloudcomputers.ru

Особенности использования средств криптографической защиты::БИТ 07.2015

Особенности использования средств криптографической защиты

Рубрика: Тема номера /  Технологии безопасности

Андрей Бирюков, системный архитектор

Особенности использования средств криптографической защиты

Использование криптографии в России имеет ряд особенностей и ограничений. О некоторых из них мы поговорим в этой статье

Большинство крупных компаний имеет удаленные офисы и филиалы, соединенные между собой высокопроизводительными каналами связи. Кроме того, зачастую сотрудникам необходим доступ в корпоративную сеть во время командировок или из дома. Однако в таком случае при передаче корпоративного трафика используются открытые каналы связи, в которых можно организовать прослушивание трафика в целях сбора конфиденциальной информации, например, паролей от пользовательских учетных записей.

Дополняет актуальность проблемы с прослушиванием трафика также и развитие технологий беспроводной передачи информации. Сейчас во многих публичных местах имеется доступ к Wi-Fi, который зачастую не защищен вообще никаким шифрованием. В случае если пользователь захочет почитать корпоративную почту, например, из кафе, то есть риск перехвата его учетных данных и другой информации, передаваемых по беспроводной сети.

Решение проблемы

Для обеспечения защиты передаваемой информации от прослушивания используются виртуальные частные сети (VPN), в которых для защиты данных применяется шифрование. Сегодня на рынке существует множество средств для создания собственной VPN. При этом большинство из них позволяет организовать межсетевое взаимодействие как между филиалами, так и сделать доступным удаленное подключение пользователей с мобильных устройств.

Набор этих средств достаточно разнообразен. Можно воспользоваться решениями с открытым исходным кодом, таким как Open VPN [1], а можно внедрить дорогостоящие аппаратные решения. Но при выборе подходящего решения нужно обязательно учитывать ряд обстоятельств, пренебрежение которыми может привести к серьезным расходам и даже к проблемам с регулирующими органами.

Шифрование только по ГОСТ

Как уже упоминалось выше, неотъемлемой частью VPN является шифрование. И вот здесь очень важный аспект заключается в том, какие данные передаются по этим защищенным каналам связи. В случае если по ним не передаются персональные данные, то есть информация, по которой однозначно можно идентифицировать человека (например, ФИО, паспортные данные, адрес проживания, телефон и другие), то в таком случае можно использовать любой алгоритм шифрования. Естественно, мы не рассматриваем случаи, когда по каналам передаются сведения, составляющие государственную тайну. Здесь речь идет лишь об обычном, «гражданском», трафике. Но если по каналам связи начинают передаваться персональные данные, тогда в соответствии с ФЗ №152 и другими нормативными актами контролирующие органы предписывают нам использовать только сертифицированные криптографические алгоритмы.  

Очень важный аспект заключается в том, какие данные передаются по этим защищенным каналам связи

В России единственным сертифицированным государственными органами, а точнее, ФСБ, криптоалгоритмом является ГОСТ 28147-89. Все оборудование, использующее шифрование, должно задействовать именно этот алгоритм. И вот тут все многообразие предлагаемых на рынке ИТ-решений по построению VPN становится нам практически полностью недоступным.

Программные и аппаратные комплексы иностранного производства не поддерживают алгоритм шифрования ГОСТ и соответственно не имеют сертификатов ФСБ. В связи с этим для создания VPN-соединений мы можем использовать лишь ограниченное число решений российского производства. В своей статье я не буду упоминать все сертифицированные ФСБ решения, однако полный список со сроками действия сертификатов можно найти на следующей странице [1]. Наиболее распространенными средствами криптографической защиты каналов связи являются АПКШ Континент от компании «Код безопасности» [2], ПАК ViPNet от «Инфотекса» [3] и программно-аппаратные решения S-Terra [4], известные своими возможностями по встраиванию в оборудование Cisco Systems.

Сертифицированные средства создания VPN-каналов имеют ряд ограничений и особенностей, о которых мы поговорим далее.

Цена вопроса

Вопрос стоимости сертифицированных средств защиты информации всегда стоял остро. В прежние времена, когда доллар стоил немногим более 30 рублей, несертифицированное устройство Cisco вполне могло стоить столько же, сколько средство с сертификатом ФСБ отечественного производства. После роста курса доллара, естественно, все иностранное оборудование тоже существенно подорожало. Однако отечественные устройства, собранные из иностранных комплектующих (как правило, даже на базе серверов из Юго-Восточной Азии), также выросли в цене, но пропасть между решениями российского и иностранного производства все же несколько уменьшилась.

Однако я не случайно упомянул об оборудовании, построенном на основе серверов, дело в том, что крупные иностранные гиганты, такие как Cisco, HP, McAfee, Fortinet и другие, используют при производстве своего «железа» собственные разработки, которые, естественно, более производительны, чем обычный сервер с установленной, пусть даже и специально собранной версией Unix. В результате мы имеем ту разницу в производительности, о которой я подробно расскажу далее.

Производительность каналов

Прежде всего необходимо понимать, что любая VPN использует часть пропускной способности канала связи для шифрования. Эта утилизация может достигать 20 процентов в зависимости от вида передаваемого трафика. Причем насколько «просядет канал», предвидеть заранее крайне сложно опять-таки из-за того, что вряд ли кто-то может точно сказать, какого размера сетевые пакеты преобладают в трафике. Чем меньше пакеты, тем больше  загружается канал.

В связи с этим перед внедрением VPN необходимо сначала определиться с загруженностью каналов связи. Причем важно обратить внимание не на то, какой канал вам предоставляет провайдер (например, 1 или 10 Гбит), а то, на сколько процентов этот канал загружен. Возможно, у вас канал связи уже используется более чем на 90 процентов (помимо веб и почты, днем по нему идут IP-телефония и ВКС, а ночью перекачиваются бэкапы и другой служебный трафик). В результате, когда весь этот трафик будет помещен в VPN-туннель, канал будет загружен на все 100% и начнутся проблемы с пропускной способностью, особенно заметные при работе сервисов ВКС и IP-телефонии. Поэтому перед началом внедрения VPN необходимо собрать всех ответственных за сетевые сервисы и четко определиться с тем, как эти сервисы утилизируют канал, насколько они критичны, как приоретизируются.

Производительность сетевых каналов связи постоянно растет, сейчас провайдеры доступа в интернет уже могут предложить своим заказчикам каналы шириной в 10 Гбит

Далее необходимо провести пилотное внедрение VPN в целях проверки на практике степени загрузки каналов связи. В случае проблем с работой каналов связи можно либо ограничить или снизить приоритет для некоторых видов трафика (например, заблокировать доступ пользователей к сайтам социальных сетей), либо арендовать у провайдера более «широкий» канал.

Эти недостижимые 10 гигабит

Производительность сетевых каналов связи постоянно растет, сейчас провайдеры доступа в интернет уже могут предложить своим заказчикам каналы шириной в 10 Гбит. Особенно часто такая пропускная способность требуется при обеспечении отказоустойчивости. Например, если необходимо связать два центра обработки данных (ЦОД), основной и резервный. При этом в резервном ЦОД должна находиться точная копия всех обрабатываемых данных, естественно, включая и персональные. Таким образом, возникает необходимость в использовании сертифицированных средств шифрования. И вот здесь возникают серьезные трудности с тем, как обеспечить необходимую пропускную способность VPN-канала в совокупности с требованиями регуляторов, предъявляемыми к шифрованию каналов связи.

Дело в том, что сертифицированные ФСБ криптомаршрутизаторы в большинстве своем могут обеспечить производительность немногим более двух Гбит/c. Причем объединение нескольких устройств в кластер не помогает увеличить производительность. Кластеризация применяется для обеспечения отказоустойчивости.

Например, пусть у нас имеется два криптомаршрутизатора, объединенных в кластер, каждый из которых обеспечивает скорость в 2 Гбит/c. При этом суммарная производительность VPN-канала все равно будет два гигабита, так как кластер обеспечивает лишь защиту от выхода из строя одного из устройств, но не позволяет увеличить общую скорость. Но здесь исключением являются решения S-Terra. Их криптомаршрутизатор С-Терра Шлюз позволяет распределять нагрузку между устройствами. Например, чтобы обеспечить VPN-канал на 10 Гбит/с, необходимо развернуть кластер из четырех устройств С-Терра Шлюз 7000.

При этом, правда, предъявляются дополнительные требования к каналообразующему оборудованию провайдера связи на обоих концах канала, так как необходима поддержка больших пакетов (Jumbo Frames, 9600 байт). Кроме того, коммутаторы, подключенные к кластеру криптомаршрутизаторов, должны поддерживать технологию LACP – объединение сетевых интерфейсов с использованием Link Aggregation Control Protocol, – которая позволяет обеспечивать динамическое распределение пакетов между несколькими интерфейсами. Но, несмотря на все эти трудности, обеспечить криптографическую защиту каналов связи шириной в 10 Гбит вполне возможно.

Всеобщая мобилизация

Широкое распространение мобильных устройств не оставило в стороне и криптографию. Сейчас существует множество приложений, предназначенных для получения VPN-доступа с мобильных устройств. Однако проблема сертифицированной криптографии здесь также актуальна.

Для решения этой проблемы предлагается использовать специализированное устройство – планшет. «Код безопасности» предлагает свой Континент Т-10 [5]. По сути, это планшет под управлением специальной версии Android, на который установлено все необходимое ПО для подключения к VPN сети на основе АПКШ Континент.

Альтернативным решением проблемы с криптографической защитой соединений является использование программных решений, таких как ViPNet Client for Android от «Инфотекс» [6]. Это приложение позволяет установить защищенное удаленное соединение с сетью ViPNet. Такое решение дает возможность избежать дополнительных затрат на приобретение отдельного устройства. Кроме того, сотрудники могут использовать свои собственные мобильные устройства для работы.

В этой небольшой статье я постарался охватить несколько критичных аспектов использования криптографии при защите каналов связи. При внедрении VPN важно помнить как о технических ограничениях при внедрении и использовании виртуальных частных сетей, так и о требованиях регуляторов к использованию шифрования. бит

Комментарии могут отставлять только зарегистрированные пользователи

bit.samag.ru

Криптошлюзы и методы их построения

Криптошлюзы (VPN-шлюзы, VPN-маршрутизаторы или крипто-маршрутизаторы) выполняют функции обеспечения конфиденциальности данных пользователя путём их шифрования и функции контроля целостности сообщений пользователя на выходе из ГСПД при помощи аутентификаторов сообщений. Центр управления ВЧС выполняет функции мониторинга и управления работой криптошлюзов, а также отвечает за распределение криптографических ключей между ними. В состав ВЧС могут входить отдельные рабочие станции пользователей, ЛВС и другие АС.

В настоящее время существует четыре метода построения криптошлюзов ВЧС:

• на базе сетевых операционных систем со встроенными функциями организации ВЧС;

• на базе маршрутизаторов/коммутаторов, ПО которых имеет функции построения ВЧС;

• на базе МЭ, в ПО которых интегрированы функции по построению ВЧС;

• на базе специализированного программно-аппаратного обеспечения, предназначенного только для построения ВЧС.

В рамках ВЧС все данные, как правило, передаются по так называемым «туннелям», которые представляют собой виртуальное соединение между двумя криптошлюзами ВЧС. Алгоритм передачи сообщений через туннель ВЧС выглядит следующим образом. Перед отправкой сообщений пользователя через туннель криптошлюз их зашифровывает, вычисляет для них аутентификатор, после чего сообщения инкапсулируются (переупаковываются) в новые сообщения, которые и передаются по туннелю. При этом в поле заголовка «Адрес получателя» сформированного сообщения указывается адрес криптошлюза, а не адрес АС пользователя которому на самом деле предназначается сообщение, что позволяет скрыть истинные адреса субъектов соединения. После передачи сообщений на другом конце туннеля криптошлюз извлекает полученные данные, расшифровывает их, проверяет их целостность, после чего данные передаются адресатам. Такой способ передачи сообщений принято называть «туннелированием». Схема туннелирования сообщений пользователя изображена на рис. 19.2.

Рисунок 19.2 - Схема туннелирования сообщений пользователя

Взаимодействие между криптошлюзами ВЧС реализуется при помощи протоколов специального типа, называемых криптопротоколами. Криптопротоколы могут быть реализованы на различных уровнях модели ВОС (табл. 19.1).

Таблица 19.1. Криптопротоколы различных уровней модели ВОС

Наименование уровня модели ВОС Наименование криптопротокола
Уровень представления SSL (Secure Sockets Layer) TLS (Transport Layer Security) SOCKS
Сетевой уровень IPSec (Internet Protocol Security) SKIP
Канальный уровень PPTP (Point-to-Point Tunneling Protocol) L2F (Layer 2 Forwarding Protocol) L2TP (Layer 2 Tunneling Protocol)

В настоящее время наиболее часто для построения ВЧС используется криптопротокол IPSec, спецификация которого является частью базового стандарта шестой версии протокола IP, посредством которого реализуются функции уровня межсетевого взаимодействия стека протоколов TCP/IP.

studopedia.su

(Российские криптошлюзы)++

4 Ноября, 2013

Про сертифицированные ФСТЭК межсетевые экраны (МЭ) писал уже много раз  (полный список обзоров доступен на отдельной странице ). Теперь же появился повод Pвзглянуть на этот класс решений под немного иным углом — с точки зрения применения в них криптографии.

Традиция добавлять к межсетевому экрану (FW) функциональность VPN-сервера зародилась довольно давно и является настолько удачной и логичной (некоторые так и пишут — FW/VPN), что найти периметровый (шлюзовой) межсетевой экран (особенно в аппаратном исполнении) без поддержки VPN не так и просто. Возможно, что они есть, но мне такие что-то сходу не припоминаются. Поправьте в комментариях, если ошибаюсь.

Естественно, что при построении VPN (виртуальных частных сетей) хочется получить канал действительно надёжно защищённый, что предполагает использование сильной криптографии (high encryption). А в России, как известно, область сильной криптографии не менее сильно регулируется, ведь VPN-сервер по сути своей является ни чем иным, как криптошлюзом.

Можно утверждать, что сертифицированный в соответствии с российским законодательством VPN-сервер обязательно должен иметь поддержку алгоритма ГОСТ и сертификат ФСБ, коль скоро именно данное ведомство курирует у нас вопросы шифрования.

Даже при сертификации во ФСТЭК в качестве межсетевого экрана в продуктах класса FW/VPN рекомендуется отключать сильную криптографию, оставляя только алгоритм DES с длиной ключа 56 бит. Другое дело, что не все это делают, а если и делают, то, как вариант, могут продать (подарить) ключ активации сильной криптографии, отправив его просто по электронной почте. Впрочем, сейчас не об этом.

Сертификация в ФСБ имеет, конечно, что-то схожее с аналогичной процедурой во ФСТЭК, но она точно гораздо сложнее — косвенно это можно оценить, например, по тому факту, что в реестре сертифицированных средств ФСТЭК значитсяPболее 2000 позиций, а в аналогичном Перечне от ФСБ  - в пять раз меньше.

Сам перечень средств, сертифицированных ФСБ, конечно, не радует в плане своего оформления, представляя собой таблицу, вставленную в doc-документ. Попытка скопировать эту таблицу в Excel не сильно помогает — некоторые ячейки получаются произвольно-хаотично объединены странными группами, а некоторые (например, изготовитель, название продукта и его описание) наоборот разбиты на произвольное число строк от 2 до 6, даты начала и окончания действия сертификата расположены в соседних по вертикали(!) ячейках и т.д. Наверное, работать можно привыкнуть и с таким представлением информации, но для своего удобства я сделал Перечень в более приятном глазу и автоматическому фильтру Excel виде (доступен по этой ссылке:  Перечень средств защиты информации, сертифицированных ФСБ России ).

Однако, если с формой ещё можно что-то сделать, то разобраться в содержании под силу только глубоко разбирающемуся в теме специалисту. Какой-либо классификации продуктов особо не предусмотрено, да ещё и каждый разработчик называет изделие по своему усмотрению. Немного спасают более-менее сходные описания выполняемых функций, но разобраться в них удалось не сразу.

После вдумчивого изучения представленных в Перечне продуктов пришёл к (надеюсь, оправдавшему себя) предположению, что интересующие нас сегодня криптошлюзы — это те изделия, в описании функций которых упоминается протокол IP и криптографическая защита. Таких сертификатов оказалось целых 80, но реально продуктов гораздо меньше, так как присутствуют отдельные сертификаты на разные версии продуктов или даже их модули, а в некоторых случаях на каждое исполнение выписан отдельный сертификат с отдельным номером.

Итак, отфильтровав строки в Excel, давайте посмотрим, чем же нам можно пользоваться для шифрования IP-трафика.

Из уже встречавшихся в обзорах сертифицированных ФСТЭК межсетевых экранов имеют сертификаты ФСБ такие продукты:

  • ViPNet (разработчик ИнфоТеКС)
  • Континент (разработчик Информзащита, Код Безопасности)
  • CSP VPN (разработчик С-Терра СиЭсПи)
  • ЗАСТАВА (разработчик ЭЛВИС-ПЛЮС)
  • StoneGate SSL VPN (разработчик Новые технологии безопасности)
  • DioNIS (разработчик Фактор-ТС)
  • АТЛИКС-VPN (разработчик НТЦ Атлас)
  • Туннель (разработчик АМИКОН, ИнфоКрипт -P ПАК на основе ФПСУ-IP)

Дополнительно присутствуют два узкоспециальных изделия и два (если я правильно понял) криптографических провайдера:

  • МодульPHSM (разработчик НТЦ Атлас, описание )
  • М-448-1.4P(разработчик ГУ спецпрограмм Президента РФ, РЦЗИ ФОРТ,  описание )
  • Барьер IPSec (разработчик Валидата)
  • КриптоПро CSP/IPSec (разработчикP КРИПТО-ПРО)

Как видно, число межсетевых экранов, сертифицированных не только во ФСТЭК, но и в ФСБ крайне мало — фактически можно говорить лишь о семи игроках. Такое малое количество вендоров позволяет сильным — чувствовать себя в относительной безопасности, а остальным — достаточно комфортно находится в своей узкой нише. Любое изменение устоявшегося равновесия не на руку никому из них, ну, лидерам рынка так уж точно.

Второе наблюдение, которое можно сделать — почти все продукты изначально российского производства. Да, компания-разработчик сертифицированного ФСБ СКЗИ может быть только российским юридическим лицом, но и сами продукты в большинстве своём представляют собой отечественные продукты, положа руку на сердце, разрабатываемые исключительно для выполнения требований регуляторов. Каких-либо серьёзных успехов за пределами России (кроме, понятно, сопредельных дружеских государств) никто из представленных отечественных вендоров со своими разработками пока не добился.

Ситуация серьёзно изменилась в прошлом году, когда произошло знаковоеP(но, быть может, тогда ещё не такое значительное) событие: доработанный до требований российских реалий продукт StoneGate SSL был сертифицирован ФСБ . Изначально разрабатываемый для открытого коммерческого мирового рынка продукт получил сертификат ФСБ — есть ли в Перечне ещё такие примеры?

Но, всё же, это был не классический IPSec криптошлюз, а SSL-решение со всеми вытекающими нюансами, к которым рынку ещё нужно было привыкнуть. Примерно в то же время, что и для StoneGate SSL, была анонсирована сертификация StoneGate FW/VPN.

Мы можем догадываться и предполагать, с какими трудностями пришлось столкнуться команде, занимавшейся этой сертификации, но все они были успешно преодолены и в октябре StoneGate FW/VPN получил сертификат ФСБ СФ/124-2027 от 04.10.2013 (пока в Перечне от 07.10.2013 почему-то отсутствует). Вот теперь уже можно говорить, что на рынке криптошлюзов появилась прямая угроза для действующих игроков. При этом, если вспомнить, что StoneGate — это коммерчески успешный в мире продукт, настолько успешный, что компания Stonesoft даже стала лакомым кусочком для McAfee Pи своим продуктовым портфелем расширила линейку решений данного вендора, то становится ясно — угроза эта более, чем просто немного опасная.

Понятно, что этот рынок достаточно инертен и не стоит ждать резких изменений уже завтра. В конце концов, есть выстроенные каналы сбыта, определённая инсталляционная база, которую вот так единоразово не обновишь, да и какие-то личные человеческие отношения и договорённости, как это водится, наверняка, имеют место быть. Вместе с тем, событие это, без сомнения, важное для всего рынка и теперь у российских заказчиков и интераторов, реализующих проекты, есть отличная альтернатива привычному прежнему набору сертифицированных решений для построения шифрованных каналов передачи данных с использованием российской криптографии.

www.securitylab.ru


Смотрите также