ул. Шотмана, д. 56
(814 2) 77-20-20
-
- О компании
- Направления деятельности
- Продукты
- Аутентификация
- Шифрование дисков
- Сетевое экранирование и VPN
- Средства защиты информации
- Защита приложений от веб-атак
- Системы обнаружения вторжений
- Система контроля защищенности и соответствия стандартам
- Защита виртуальной инфраструктуры
- Средства защиты информации от утечки по техническим каналам
- Антивирусная защита
- Резервное копирование и восстановление данных
- Сетевые сканеры
- Электронные замки
- Общесистемное сертифицированное программное обеспечение
- SIEM
- Контроль доступа к устройствам, внешним накопителям и портам ввода-вывода
- Услуги
- Поддержка
- Обратная связь
NME-RVPN ViPNet
Общие сведения
В 2006 году компанией Cisco Systems был представлен модуль NME - RVPN (Russia VPN Network Module) для маршрутизаторов серии Cisco ® 2800 и 3800 Integrated Services Routers . На аппаратном уровне модуль представляет собой инновационное решение, интегрированное с маршрутизаторами Cisco и специально разработанное для обеспечения российского рынка высокотехнологичным решением VPN (виртуальные частные сети, ВЧС) с передовыми технологиями Cisco и удовлетворяющим современным требованиям эффективной защиты всех видов сетевых взаимодействий.
Учитывая высокий рейтинг и распространенность на российском рынке программных решений защиты информации ViPNet производства компании Инфотекс, Cisco Systems санкционировала разработку и выпуск программно-аппаратного решения, объединяющего все преимущества аппаратных решений Cisco Systems и программных решений Инфотекс. При этом в качестве программного обеспечения, реализующего функции криптографического шлюза и межсетевого экрана используется Linux -версия программного обеспечения ViPNet Coordinator , производства компании Инфотекс.
Интеграцией ПО ViPNet Coordinator и модуля NME - RVPN на основании OEM -лицензии Инфотекс занимается технологический партнер Cisco , компания ЗАО «С-Терра СиЭсПи». Новый программно-аппаратный комплекс (ПАК) получил название «NME - RVPN ViPNet» .
Внешний вид NME - RVPN ViPNet
Архитектура
Программно-аппаратный комплекс NME - RVPN ViPNet можно установить в маршрутизаторы Cisco ISR 2811, 2821, 2851, 3825 и 3845 с версией IOS 12.4(11) T или выше. При этом ПАК NME - RVPN ViPNet работает независимо от IOS маршрутизатора, используя программное обеспечение ViPNet Coordinator Linux , установленное на компакт флэш-карте (Compact Flash) модуля. Программное обеспечение модуля функционирует под управлением адаптированной ОС Linux.
Аппаратно ПАК NME - RVPN ViPNet представляет собой вычислительную платформу на базе процессора Intel Celeron-M 1.0ГГц с 512МБ оперативной памяти и 512МБ Compact Flash. Для подключения к локальной сети модуль имеет внешний интерфейс Gigabit Ethernet. Аналогичный внутренний интерфейс осуществляет взаимодействие и передачу данных между модулем и маршрутизатором.
Архитектура ПАК NME-RVPN ViPNet и Cisco Integrated Services Router
Программное обеспечение ViPNet Coordinator Linux
Программное обеспечение ViPNet Coordinator Linux , работающее в ПАК, является одним из программных продуктов, входящим в решение ViPNet CUSTOM, и обладает следующей основной функциональностью:
- Криптошлюза для организации защищенных туннелей в рамках виртуальной частной сети ViPNet ;
- Межсетевого экрана;
- Сервера IP -адресов виртуальной частной сети (поддержка работы удаленных мобильных пользователей и любых других узлов VPN с динамическими IP -адресами);
Программное обеспечение ViPNet Coordinator Linux разрабатывается и поддерживается компанией Инфотекс уже более 6 лет. Одним из показательных примеров успешного внедрения данного программного обеспечения является проект по защите каналов связи в системе продажи железнодорожных билетов АСУ «Экспресс-3».
Возможности и преимущества
Применение ПАК NME - RVPN ViPNet в составе маршрутизатора Cisco Integrated Services Router 2800/3800 и общей инфраструктуре решений ViPNet обеспечивает эффективную реализацию множества сценариев защиты информации, включая:
- Межсетевые взаимодействия;
- Защищенный доступ удаленных и мобильных пользователей;
- Защита беспроводных сетей;
- Защита мультисервисных сетей (включая IP телефонию и видеоконференцсвязь);
- Защита платежных систем и систем управления технологическими процессами в производстве и на транспорте;
- Разграничение доступа к информации в локальных сетях;
а также любые комбинации перечисленных выше сценариев.
Межсетевые взаимодействия
Сценарии защиты межсетевых взаимодействий ( LAN - to - LAN VPN ) применяются для защиты коммуникаций территориально распределенных корпоративных сетей через публичные (открытые, не заслуживающие доверия) сети/каналы связи.
По сути, применение VPN-решений для этих целей не должно приводить к понижению требований к характеристикам непосредственно канала передачи данных, таких как поддержка множественности протоколов, высокая надежность, большая масштабируемость. Наоборот, современные VPN решения должны обеспечивать большую ценовую эффективность и большую гибкость в реализации таких требований. Большую ценовую эффективность можно получить, например, за счет возможности использовать публичные каналы для передачи информации, что ранее было недоступно.
Использование для этой цели маршрутизаторов Cisco ISR с установленным ПАК NME - RVPN ViPNet в полной мере выполняет поставленную выше задачу.
Защита межсетевых взаимодействий.
Существенным преимуществом программного обеспечения ViPNet в этом случае является поддержка технологии виртуальных IP -адресов, позволяющая, не проводя перенастройку IP -адресов и маршрутизации, включать в состав VPN локальные сети с перекрывающимися диапазонами IP -адресов.
Разграничение доступа к информации в локальных сетях
Сценарии разграничения доступа к важной информации в локальных сетях путем организации VPN внутри этих сетей являются эффективным дополнением к широко применяемому способу разграничения доступа за счет межсетевых экранов. Такое дополнение позволяет упростить архитектуру локальной сети, так как появляется возможность организовывать логические (виртуальные) подсети без физической перестройки сети с надежными криптографическими способами разграничения доступа.
В решениях ViPNet для реализации таких сценариев существуют следующие функциональные возможности:
- Наличие программного обеспечения ViPNet Client - VPN клиента с развитыми сервисными возможностями, поддерживающего VPN -соединения типа «точка-точка» (т.е. два компьютера с ПО ViPNet Client могут взаимодействовать напрямую, минуя криптошлюз - POINT - to - POINT ) (более подробно о ViPNet Client см.ниже);
- Поддержка однокаскадного включения криптошлюзов, реализуемого программным обеспечением ViPNet Coordinator .
Разграничение доступа к информации в локальных сетях.
Использование в качестве криптошлюзов/межсетевых экранов маршрутизаторов Cisco ISR с установленным ПАК NME - RVPN ViPNet позволяет в составе единого комплексного решения получить весь необходимый функционал и большие потенциальные возможности по добавлению новых сервисов (например, IP -телефонии, поддержки видео- и аудиоконференций, приоритезации трафика).
Защищенный доступ удаленных и мобильных пользователей (включая защиту беспроводных каналов связи)
Сценарии удаленного доступа пользователей (Remote Access VPN) применяются для защиты доступа удаленных или мобильных пользователей в корпоративную сеть через публичные (открытые, не заслуживающие доверия) сети или каналы связи к корпоративным сетевым ресурсам.
Для организации удаленного доступа в этом случае необходимо на рабочих станциях и мобильных компьютерах использовать программное обеспечение ViPNet Client , функционирующее под управлением ОС Windows 2000/ XP /2003 и реализующее следующие функции:
- VPN клиента с поддержкой динамических и виртуальных IP -адресов, обеспечивающего прозрачное шифрование всего IP -трафика любых приложений при обмене с узлами VPN ;
- Персонального сетевого экрана с раздельной настройкой фильтрации открытого (Интернет) и закрытого (передаваемого внутри VPN ) IP -трафиков, а также режимом невидимости для открытых ресурсов (технология установления инициативных соединений «Бумеранг»);
- Контроля и ограничения сетевой активности приложений и компонентов операционной системы;
- Встроенной защищенной службы мгновенных сообщений и передачи файлов (чат/конференция и файловый обмен);
- Встроенной защищенной почтовой службы с интегрированными механизмами электронно-цифровой подписи.
Защищенный доступ удаленных и мобильных пользователей.
ПО ViPNet Client доступно в версиях на русском и английском языках, поддерживает современные технологии проводной и беспроводной связи, прозрачную работу через устройства со статической и динамической трансляцией IP -адресов ( Static / Dynamic NAT / PAT ), а также содержит в своем составе Microsoft -совместимый криптопровайдер ( MS CryptoAPI 2.0) для использования в приложениях пользователя функций шифрования и ЭЦП на алгоритмах ГОСТ.
В рассматриваемом сценарии удаленного доступа маршрутизатор Cisco ISR 2800/3800 с установленным ПАК NME - RVPN ViPNet может выступать в роли единого сервера доступа VPN для удаленных и мобильных пользователей.
Сценарии защиты мультисервисных сетей являются квинтэссенцией вышеперечисленных сценариев, так как требуют для своей реализации поддержки со стороны технологий VPN и возможности защиты межсетевого обмена, и организации удаленного доступа мобильных клиентов, и разграничения доступа в локальных мультисервисных сетях. Одним из основных требований, выдвигаемых при этом к программным и аппаратным решениям VPN , является требование поддержки приоритезации трафика. Помимо этого работа VPN компонентов не должна приводить к изменению временных параметров IP -трафика (частоте следовании пакетов, задержек при передаче пакетов по сети и т.п.), а также существенному увеличению накладных расходов на организацию VPN -соединений.
Всем этим требованиям удовлетворяют решения ViPNet при использовании в качестве криптошлюзов маршрутизаторов Cisco ISR с установленным ПАК NME - RVPN ViPNet :
- Наличие VPN клиента - возможность включения в защищенную мультисервисную сеть программных ( software ) решений (софт IP -телефоны, WEB - камеры, ПО для организации аудио- и видеоконференций);
- Поддержка приоритезации трафика - широкие возможности по управлению трафиком оборудования Cisco + мапирование TOS -флагов в ПО ViPNet - обеспечение заданной полосы пропускания для реализации высококачественных мультимедийных услуг в режиме реального времени;
- Произвольное комбинирование различных способов организации VPN - LAN - to - LAN , LAN - to - POINT , POINT - to - POINT , каскадное включение криптошлюзов - гибкость в удовлетворении требований заказчика и минимизация его затрат на изменения в архитектуре сети при добавлении функций защиты.
Защита мультисервисных сетей.
Внедрение решений ViPNet с маршрутизаторами Cisco ISR и ПАК NME - RVPN ViPNet при создании защищенных мультисервисных сетей представляется качественно новым предложением, объединившем в себе выполнение высоких требований к устройствам управления трафиком и организации сетей передачи данных и столь же высоких требований, включая требования регулирующих органов Российской Федерации, к устройствам защиты информации.
Сравнивая решение на базе ПАК NME - RVPN ViPNet с другими решениями по организации VPN , представленными на рынке, следует выделить следующий перечень преимуществ:
- Возможность использования во множестве сценариев защиты информации в корпоративных локальных и распределенных сетях передачи данных;
- Реализация в виде модуля расширения к хорошо известной архитектуре маршрутизаторов Cisco ISR 2800/3800, что упрощает действия по подключению и коммутации модуля в составе сетеобразующего оборудования;
- Наличие развитого клиентского ПО ViPNet Client , реализующего функции VPN -клиента.
Сертификация по требованиям ФСТЭК и ФСБ РФ
В состав ПАК входит ПО ViPNet Coordinator Linux версии 3.0, аналогичное и полностью совместимое с программным обеспечением ViPNet Linux , входящим в состав ПО ViPNet Custom 3.0. На ПО ViPNet Custom 3.0 получены следующие сертификаты ФСТЭК:
- Сертификат № 1549 от 17 января 2008 года ФСТЭК России на программный комплекс ViPNet 3.0, о его соответствии оценочному уровню доверия ОУД 4+, 3 классу защиты по требованиям к межсетевым экранам и 3 уровню контроля отсутствия недекларированных возможностей;»
В состав ПО ViPNet Custom входит СКЗИ «Домен-К», на которое получены следующие сертификаты ФСБ:
- Сертификат № СФ/114-1048 от 1 августа 2007 года ФСБ РФ на средство криптографической информационной безопасности (СКЗИ) "Домен-КС2" на соответствие требованиям ГОСТ 28147-89, ГОСТ Р34.10-94, ГОСТ Р34.11-94, ГОСТ Р34.11-2001 и требованиям ФСБ к СКЗИ класса КС1 (вариант комплектации 1) и КС2 (вариант комплектации 2) с целью использования для формирования ключей шифрования и ключей электронной цифровой подписи, шифрования и имитозащиты данных, обеспечения целостности и подлинности информации, не содержащей сведений, составляющих государственную тайну
Планируется проведение сертификации ПАК NME - RVPN ViPNet в ФСБ России по требованиям к СКЗИ и межсетевым экранам.
Системные требования для ПАК NME - RVPN ViPNet представлены в таблице.
|
Требование |
Описание |
|
Оборудование |
Cisco 2811, 2821 или 2851 Integrated Services Routers Cisco 3825 или 3845 Integrated Services Routers |
|
Программное обеспечение |
Cisco IOS ® Software Release 12.4(11) T или более поздний, установленный на маршрутизаторе, программный комплекс ViPNet CUSTOM версий 2.8 и 3.0 |