Криптошлюз что это такое

Обзоры российского рынка криптошлюзов

Криптошлюз что это такое

В статье кратко описываются тенденции мирового рынка VPN, рассматриваются популярные криптошлюзы, представленные на российском рынке, приводятся их ключевые особенности.

Введение

Криптографический шлюз (криптошлюз, криптомаршрутизатор, VPN-шлюз) — программно-аппаратный комплекс для криптографической защиты трафика, передаваемого по каналам связи, путем шифрования пакетов по различным протоколам.

Криптошлюз предназначен для обеспечения информационной безопасности организации при передаче данных по открытым каналам связи.

Криптошлюзы, представленные на современном рынке, обеспечивают следующие базовые функции:

  • прозрачность для NAT;
  • сокрытие топологии сети за счет инкапсуляции трафика в шифрованный туннель;
  • обеспечение целостности и конфиденциальности IP-пакетов;
  • аутентификация узлов защищенной сети и пользователей.

Предприятия различного масштаба, государственные учреждения, частные компании — основные категории потребителей криптошлюзов.

На сегодняшний день функциональность VPN-шлюза является составной частью практически любого сетевого устройства, будь то маршрутизатор корпоративного уровня, домашний Wi-Fi-роутер или межсетевой экран. С учетом данной специфики ниже будут рассмотрены ключевые представители российского рынка, использующие алгоритм шифрования ГОСТ, а также несколько зарубежных примеров в качестве альтернативы.

Отдельной строкой отметим присутствие на рынке решений для защищенного удаленного доступа на базе протокола TLS (TLS-шлюзы) как российских, так и иностранных производителей. В рамках этого обзора они не рассматриваются.

Мировой рынок криптошлюзов

Непрерывность бизнеса для любой территориально распределенной компании всегда связана с обеспечением защиты передаваемой информации. Уже долгое время эту задачу решают различные VPN-устройства.

Они заметно отличаются по своей реализации: это могут быть специализированные решения, решения на базе программно-аппаратных комплексов, таких как межсетевые экраны/маршрутизаторы, или полностью программные комплексы.

Обратите Внимание!

Подобные продукты на мировом рынке применяют компании из разных сфер деятельности: здравоохранение, промышленные предприятия, транспортные компании, государственные учреждения и многие другие.

В большинстве случаев заказчику необходимо решить одну или несколько из перечисленных задач:

  • защита распределенной корпоративной сети в различных топологиях;
  • подключение удаленных пользователей к корпоративной сети (в том числе с мобильных устройств);
  • защита канального уровня.

На мировом рынке прочно обосновался SSL VPN, что подтверждается исследованиями Alliedmarketresearch. По их данным, глобальный рынок SSL VPN в 2016 году составлял более 3 млрд долларов США. Прогнозируемый рост к 2023 году — до 5,3 млрд.

Среди ключевых игроков на мировом рынке лидерские позиции занимают Cisco Systems, Citrix Systems, Pulse Secure, F5 Networks.

Рисунок 1 наглядно демонстрирует ключевые сегменты роста глобального рынка SSL VPN:

  • режим тонкого клиента;
  • режим полного туннелирования;
  • режим без клиента.

Рисунок 1. Направления роста мирового рынка SSL VPN

Российский рынок криптошлюзов

В России основными потребителями криптошлюзов являются государственные учреждения, а также организации, являющиеся операторами персональных данных. На территории нашей страны действуют несколько нормативных актов, определяющих критерии, по которым средства защиты информации могут использоваться для решения тех или иных задач.

К таким документам можно отнести следующие:

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

Источник: https://www.anti-malware.ru/analytics/Market_Analysis/cryptographic-gateways-russian-and-foreign-manufacturers-2017

Апкш «континент» — ipc-25

Форм-фактор Mini-ITX, высота 1U
Габариты (ВхШxГ) 155 х 275 x 45 мм
Процессор Intel Atom C2358 частотой 1743 МГц
Оперативная память SODIMM DDR3 DRAM, 2 Гбайта, PC-1333
Сетевые интерфейсы 4х 1000BASE-T Ethernet 10/100/1000 RJ45 (выполнены в виде легко заменяемых модулей)
Жесткие диски SATA DOM модуль 4Gb
Блок питания внешний адаптер переменного тока 19В, 220B 80Вт
Считыватель Touch Memory
Персональные идентификаторы Touch Memory iButton DS1992L 2шт.
Встроенный модуль АПМДЗ  ПАК «Соболь» 3.0 (mini-PCIe)
USB-flash drive не менее 512 Мб
Уровень акустического шума при 100% загрузке (методика измерения ISO7779) 37 dBA
Встроенная операционная система Continent OS – усовершенствованная ОС с усиленной безопасностью на основе ядра FreeBSD
Интересно:  Что делать если нашел деньги

В состав АПКШ «Континент» 3.7 входит:

  • Центр управления сетью криптографических шлюзов (ЦУС) – осуществляет аутентификацию КШ и АРМ управления/ мониторинг и протоколирование состояния сети КШ/ хранение журналов и конфигурации КШ/ рассылку ключевой и конфигурационной информации/ централизованное управление криптографическими ключами/ взаимодействие с программой управления.
  • Криптошлюз (КШ) – это специализированное аппаратно-программное устройство, осуществляющее прием и передачу IP-пакетов по протоколам TCP/IP (статическая маршрутизация)/ шифрование пакетов (ГОСТ 28147–89, режим гаммирования с обратной связью, длина ключа 256 бит)/ защиту передаваемых данных от искажения (ГОСТ 28147–89, режим имитовставки)/ фильтрацию пакетов/ скрытие структуры сети/ регистрацию событий/ оповещение ЦУС о своей активности и о событиях, требующих вмешательства/ контроль целостности ПО КШ.
  • Программа управления ЦУС (ПУ ЦУС) – её основная функция – централизованное управление настройками и оперативный контроль состояния всех КШ, входящих в состав комплекса. Устанавливается в защищенной сети на АРМ администратора под управлением ОС MS Windows 2003/2008/7/8.
  • Агент ЦУС и СД осуществляет установление защищенного соединения и обмен данными с ЦУС и ПУ /получение от ЦУС, хранение и передачу ПУ содержимого журналов/ получение от ЦУС и передачу ПУ информации о работе комплекса.
  • Клиент аутентификации пользователя — обеспечивает аутентификацию пользователей, работающих на компьютерах, находящихся в защищенном сегменте сети, при подключении их к криптографическому шлюзу.
  • Абонентский пункт (Континент-АП) осуществляет установление VPN-туннеля между удаленным рабочим местом пользователя и внутренней защищаемой сетью организации. При подключении по сетям общего доступа и Интернет выполняет аутентификацию пользователя/ поддержку динамического распределения адресов/ удаленный доступ к ресурсам защищаемой сети по шифрованному каналу/ доступ по выделенным и коммутируемым каналам связи/ возможность доступа к ресурсам сетей общего пользования.
  • Сервер доступа осуществляет обеспечение связи между удаленным АП и защищаемой сетью, а также определение уровня доступа пользователя и его аутентификацию.
  • Программа управления сервером доступа (ПУ СД) – обеспечивает оперативное оповещение администратора сети о событиях безопасности. Предназначена для управления настройками всех серверов доступа, входящих в состав комплекса.
  • Детектор атак «Континент» — это программный компонент, обеспечивающий анализ трафика, поступающего от криптошлюза, и фильтрацию несанкционированных вторжений. Работает совместно с Центром управления сетью криптографических шлюзов «Континент» версии 3.7 и выше.

Сертификаты 

  • соответствие руководящих документов ФСТЭК России по 2-му уровню контроля на отсутствие НДВ и 2-му классу защищенности для межсетевых экранов. Может использоваться для создания автоматизированных систем до класса защищенности 1Б включительно и при создании информационных систем персональных данных до 1-го класса включительно; 
  • соответствие требованиям ФСБ России к устройствам типа межсетевой экран по 4 классу защищенности; 
  • соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС3 и возможность применения для криптографической защиты информации не содержащей сведений, составляю- щих государственную тайну; 
  • Минкомсвязи России – о соответствие установленным требованиям к оборудованию маршрутизации пакетов информации и возможности применения на сетях связи общего пользования в качестве оборудования коммутации и маршрутизации пакетов информации. 
Интересно:  В чем смысл ипотеки

Источник: https://cryptostore.ru/catalog/kontinent-ipc-25

Интерфейс управления криптошлюзом Ideco МагПро

Внимание! Поставка данного продукта временно приостановлена. Новая версия криптографического ПО будет доступна позже.

Всем пользователям Ideco ICS доступна возможность применения Программно-аппаратного комплекса «Ideco МагПро ГОСТ-VPN» на базе сертифицированного СКЗИ «МагПро КриптоПакет» для построения безопасных каналов связи между филиалами корпоративной сети и передачи персональных данных.

Решение функционирует на уровне отдельного программно-аппаратного устройства «Ideco МагПро ГОСТ-VPN», выполненного на базе СКЗИ «МагПро КриптоПакет», которое работает под управлением операционной системы Debian.

Настройка «Ideco МагПро ГОСТ-VPN» может быть в полной мере осуществлена через веб-интерфейс Ideco ICS, что позволяет внедрить решение в кратчайшие сроки и с минимальными усилиями.

Программно-аппаратный комплекс «Ideco МагПро ГОСТ-VPN» это комплект из двух и более программно-аппаратных устройств, которые могут администрироваться через интерфейс интернет-шлюза Ideco ICS.

Преимущества Ideco МагПро

  • Простота внедрения и поддержки – удобный графический интерфейс делает непростой процесс настройки криптографической защиты понятным и быстрым.
  • Соответствие нормативным требованиям – средство криптографической защиты информации «МагПро Криптопакет», лежащее в основе продукта, соответствует ГОСТ 28147-89, ГОСТ Р 34.10 2001, ГОСТ Р 34.10-94 и требованиям ФСБ России к СКЗИ по классам КС1 и КС2. Сертификат ФСБ N СФ/124-2767 от 05 февраля 2016г.
  • Высокая масштабируемость – в любой момент времени и в короткие сроки вы можете осуществить подключение дополнительного удаленного офиса. Не требуется приобретение дополнительных пользовательских лицензий.
  • Прозрачность для пользователей – защищенный VPN-туннель создаётся и функционирует абсолютно прозрачно для конечных пользователей.

Условия поставки

В комплект поставки входят:

  • аппаратные комплексы «Ideco МагПро» (по количеству приобретенных, минимум 2);
  • USB-накопители с программным обеспечением «Ideco МагПро ГОСТ-VPN» (по количеству приобретенных, минимум 2);
  • 2 формуляра: на «МагПро OpenVPN-ГОСТ» и на СКЗИ «МагПро Криптопакет».

Интерфейс управления криптошлюзами Ideco МагПро ГОСТ-VPN доступен пользователям версии Ideco ICS 5.3 и старше.

Поставка программных продуктов для криптографической защиты соединения в комплектации, установленной нормативными требованиями, выполняется со стороны производителя СКЗИ – компанией «Криптоком».

На уровне Интернет-шлюза Ideco ICS встраивания криптографического ПО и криптографических вычислений не происходит. Все программные компоненты СКЗИ «МагПро КриптоПакет» базируются на отдельном аппаратном сервере, под управлением собственной встроенной ОС.

Лицензия Аппаратный сервер
Лицензия А1(до 30 Мбит/сек) Atom D510/1Gb/GigEth
Лицензия А3(до 60 Мбит/сек) Intel Celeron Dual-Core E3400 2.60/SATA 250GB/1Gb/GigEth/DVD/mATX
Лицензия А9(до 90 Мбит/сек) Intel G860 Dual-core 3.00GHz,3MB/SATA 250Gb/4Gb/2xGigEth/DVD

Стоимость

Итоговая стоимость зависит от количества соединяемых офисов (минимум 2) и скорости передачи данных.

Сценарии применения

Необходимость применения сертифицированных средств криптографической защиты возникает в следующих случаях:

  • защита персональных данных в организации;
  • защита информации конфиденциального характера, подлежащей защите в соответствии с законодательство РФ — к примеру, если речь идет о коммерческой или профессиональной тайне, сведений о застрахованных лицах и т.д.;
  • защита информации в органах исполнительной власти РФ;
  • защита информации в коммерческих организациях при выполнении ими заказов на поставку товаров или оказание услуг в рамках государственной деятельности;
  • защита информации, обладателем которой являются государственные органы или организации, выполняющие государственные заказы.

Архитектура

В головном офисе программно-аппаратный комплекс Ideco МагПро ГОСТ-VPN подключается к выделенному сетевому интерфейсу интернет-шлюза Ideco ICS и настраивается в режиме сервера.

В дочерних подразделениях комплекс настраивается в режиме клиента. Между сервером и клиентами создаются VPN-туннели, по которым передается трафик, зашифрованный с применением криптографических алгоритмов, соответствующих ГОСТ.

Интересно:  В каких случаях банк может заблокировать карту

Скриншоты

Купить Договор-оферта Документация

Источник: https://ideco.ru/products/magpro

Криптографические шлюзы (VPN)

Криптографические шлюзы (криптошлюзы, VPN) — это программно-аппаратные или программные комплексы, реализующие технологию VPN, обеспечивающие «прозрачное» шифрование сетевых информационных потоков между территориально удалёнными объектами. Применение криптошлюзов необходимо в тех случаях, когда требуется обеспечить конфиденциальность и целостность данных, передаваемых по незащищённым или недоверенным каналам связи.

VPN (виртуальные частные сети) могут быть организованы по принципу «сеть — сеть» или «сеть – удаленный пользователь». При реализации принципа «сеть — сеть» криптошлюзы устанавливаются с обеих сторон канала связи — в точках подключения локальной сети объекта к оператору связи, и трафик между ними шифруется.

Существует множество технологий и схем организации защищённых сетей. Среди наиболее известных топологий: средства криптографической защиты класса Hub-and-Spoke — каждый филиал соединяется с центром, и Full Mesh — каждый объект соединяется с каждым. У различных производителей существует множество собственных технологий и вариантов реализации VPN.

С точки зрения используемых протоколов можно выделить несколько типов VPN:

  • использующие протоколы семейства IPSec/IKE;
  • использующие протоколы семейства SSL/TLS;
  • использующие проприетарные (собственной разработки) протоколы, несовместимые с другими решениями (в основном это Российские решения VPN).

Основные функции криптошлюзов

  • Обеспечение конфиденциальности и целостности данных, передаваемых по незащищенным и недоверенным каналам связи

Зачастую криптографические шлюзы одновременно выполняют функции межсетевых экранов. Однако далеко не всегда гибкость, полнота функций и другие параметры криптошлюзов могут сравниться с аналогичными характеристиками специализированных межсетевых экранов.

Законодательные требования

Использование средств криптографической защиты данных в России регулируется законодательно. Для государственных организаций и органов госвласти, а также во всех случаях при защите персональных данных должны использоваться сертифицированные ФСБ России криптографические шлюзы.

Результат применения решения

  • конфиденциальность и целостность информации в защищаемых каналах связи;
  • ликвидация риска по утечке или компрометации данных в каналах связи, и связанных с этими угрозами убытков;
  • соответствие требованиям законодательства, в том числе ФЗ-152.

Предлагаемые решения

Компания «Микротест» предлагает профессиональные услуги по консалтингу, выбору оптимального решения, проектированию, внедрению следующих криптографических шлюзов:

Источник: http://security-microtest.ru/resheniya/network-security/vpn/

SecRating

Криптографические шлюзы (криптошлюзы, VPN) — это программно-аппаратные или программные комплексы, реализующие технологию VPN, обеспечивающие «прозрачное» шифрование сетевых информационных потоков между территориально удалёнными объектами. Применение криптошлюзов необходимо в тех случаях, когда требуется обеспечить конфиденциальность и целостность данных, передаваемых по незащищённым или недоверенным каналам связи.

VPN (виртуальные частные сети) могут быть организованы по принципу «сеть — сеть» или «сеть — удаленный пользователь». При реализации принципа «сеть — сеть» криптошлюзы устанавливаются с обеих сторон канала связи — в точках подключения локальной сети объекта к оператору связи, и трафик между ними шифруется.

Существует множество технологий и схем организации защищённых сетей. Среди наиболее известных топологий: Hub-and-Spoke — каждый филиал соединяется с центром, и Full Mesh — каждый объект соединяется с каждым. У различных производителей существует множество собственных технологий и вариантов реализации VPN.

С точки зрения используемых протоколов можно выделить несколько типов VPN:

  • использующие протоколы семейства IPSec/IKE;
  • использующие протоколы семейства SSL/TLS;
  • использующие проприетарные (собственной разработки) протоколы, несовместимые с другими решениями (в основном это Российские решения VPN).

Результат применения решения

  • конфиденциальность и целостность информации в защищаемых каналах связи;
  • ликвидация риска по утечке или компрометации данных в каналах связи, и связанных с этими угрозами убытков;
  • соответствие требованиям законодательства, в том числе ФЗ-152.

Предлагаемые решения

Компания «Микротест» предлагает профессиональные услуги по консалтингу, выбору оптимального решения, проектированию, внедрению следующих криптографических шлюзов:

  • Cisco Systems;
  • StoneSoft;
  • Juniper Networks;
  • S-Terra CSP;
  • Код Безопасности;
  • ИнфоТеКС;
  • Fortinet;
  • Check Point;
  • и других.

Источник: http://secrating.ru/companies/mikrotest/kriptograficheskie-shljuzy-vpn

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *