Embed Size (px)
Citation preview
Современные VPN-решения
от компании
«С-Терра СиЭсПи»
От продуктов –
к решениям!
Шпаков Андрей,
ведущий инженер-консультант
Кто мы такие и чем занимаемся?
2
«С-Терра СиЭсПи» основана в 2003 году
Ведущий российский разработчик и производительсертифицированных средств сетевой защиты на основетехнологии IPsec VPN и российских криптографическихалгоритмов
Лицензиат ФСТЭК России и ФСБ России
Первый в России технологический партнер Cisco
Серебряный партнер Samsung
Citrix Ready Partner
Авторизированный партнер Huawei
Наши заказчики
Правительственный сектор
Тяжелая промышленность
Энергетика
Финансовый сектор
Транспорт и коммуникации
3
4
Утечка информации ведет к прямым финансовым потерям
Шифрование – одна из мер по обеспечению безопасности информации
VPN как средство защиты корп. сети
Канал провайдера не является доверенным
Выполнение требований регуляторов
Удобное управление и использование
Различные топологии
Дополнительные сервисы, реализованные в VPN-устройстве
5
Задача – защита от внешнего нарушителя
Программные средства Шлюзы безопасности
С-Терра Клиент
С-Терра Клиент-М
С-Терра Шлюз
МСМ-950
CSP VPN Gate E
С-Терра Виртуальный Шлюз
Специальные решения
С-Терра L2
С-Терра «ПОСТ»
С-Терра КП
Система управления
6
Продукты С-Терра VPN
Архитектура проекта
7
Преимущества разных операционных систем (ОС).
Гибкость в выборе АП для заказчика.
Реализация российских и зарубежных алгоритмов исовместимость версий.
• 3.1 / 3.11 / 4.1С-Терра Агент
• Крипто-ПРО / С-Терра СиЭсПиКриптография
• CentOS / Solaris / DebianОперационная система
• DEPO / Kraftway / TONK / HP / Cisco / HuaweiАппаратная платформа
Новый функционал С-Терра Шлюз версии 4.1
8
В программных продукта VPN Агент версии 4.1 появиласьвозможность задавать расширенные сценарии обработкисетевого трафика:
Фильтрация трафика по состоянию TCP-соединения;тегирование трафика;раскраска трафика;приоритезация пакетов;журналированние пакетов;много уровневая обработка пакетов;IKECFG-сервер;интеграция с Radius-сервером;соответствие требованиям современных ГОСТ.
С-Терра Шлюз версии 4.1 - это полноценный сертифицированныймежсетевой экран.
Масштабируемость
9
ПродуктПроизводительность
(на IMIX трафике)Количество
туннелей
С-Терра Шлюз 100 В до 20 Мбит/с 5
С-Терра Шлюз 100 до 20 Мбит/с 10
С-Терра Шлюз 100 V до 20 Мбит/с 200
С-Терра Шлюз 1000 до 90 Мбит/с 50
С-Терра Шлюз 1000 V до 90 Мбит/с 500
С-Терра Шлюз 3000 от 250 до 600 Мбит/с 1000
С-Терра Шлюз 7000от 700 Мбит/с до 2 Гбит/с(на Jumbo Frame до 7 Гбит/с)
не ограничено
Модуль Cisco МСМ-950 до 250 Мбит/с не ограничено
С-Терра Виртуальный Шлюз
10
Полностью реализует функциипрограммно-аппаратногокомплекса С-Терра Шлюзверсии 4.1.
ФСБ России – КС1
Применение – виртуальные частные сети (VPN),межсетевое экранирование.Криптопровайдер: «КриптоПро CSP», «С-ТерраCSP».Платформы: VMWare ESXi, Hyper-V, Citrix XenServer, KVM.
С-Терра Виртуальный шлюз
VPN-шлюз для защиты сетевого
трафика, проходящего между различными
компонентами виртуальных сред
Защищенный удаленный доступ
11
С-Терра Клиент – сертифицированный программный VPN-клиент для всех современных Windows (в т.ч. Windows8.1)
С-Терра Клиент-М – программный VPN-клиент для ОС Android 4.x
Программный модуль С-Терра L2
12
S-Terra L2- это дополнительныйпрограммный модуль, встраиваемый вшлюз безопасности, для перехвата трафикана канальном уровне с дальнейшимшифрованием на сетевом
ФСБ России – КС1, КС2, КС3, МЭ4ФСТЭК России – НДВ3, МЭ3, ОУД4+, АС 1В, ГИС до 1 кл.вкл., ПДн 1-4 ур.
Применение – защита широковещательные и мультикастовые пакеты,тегированный трафик (VLAN trunk), метки MPLS и другие виды трафика
Сертификаты: не затрагивает сертифицированную часть продукта
С-Терра КП – централизованное управление
13
Сервер управления устанавливается на отдельный компьютер в защищенной локальной подсети.
Клиент управления формируется на сервере управления и устанавливается на каждом VPN-устройстве.
Все сетевые обмены между сервером управления и клиентами управления осуществляются подзащитой IPsec-туннелей, которые строятся между VPN-устройствами и шлюзом безопасности.
Сертификация продуктов
14
Продукты линейки VPN Агент 4.1 обладают всеминеобходимыми сертификатами для работы как VPNустройства и как межсетевые экраны.
ФСБ России:
СКЗИ КС1, КС2, КС3
МЭ 4
ФСТЭК России:
МЭ 3
АС 1В
НДВ 3
ОУД 4+
Сценарии применения и преимущества
15
VDI – удаленный доступ с особенностями
Доставка приложений
Доставка удаленных столов
Принтер
Сканер
Тонкий клиент
Центральный офис
Маршрутизатор
Виртуальные
машины
Ноутбук или
стационар
Бездисковая рабочая станция на нестандартной ОС
Обработка данных в центре, а не на АРМ пользователя
Единая точка входа
Необходимость изолированности среды
12
Технология защиты С-Терра «ПОСТ»
17
При удалённом доступе проверяет доверенную загрузкуцелостной информационной среды и создаетизолированное сетевое соединение с серверомприложений.
Эталон рабочей среды загружается с защищённогоносителя (СЗИ). Обеспечивается строгая двухфакторнаяаутентификация пользователя, криптографическаязащита трафика. Весь трафик рабочего местапользователя защищается российскимикриптоалгоритмами по стандартам ГОСТ.
VPN-клиент полностью исключает неконтролируемыйдоступ из сети в изолированную среду удаленногодоступа
Защита скоростных каналов на сетевом уровне L3
18
Маршрутизаторы Core-уровня создают необходимое количествоGRE-туннелей
Каждый VPN-шлюз шифрует один или несколько GRE-туннелей
Балансировка и отказоустойчивость достигаются с помощью протоколадинамической маршрутизации (OSPF или EIGRP)
Защита скоростных каналов на канальном уровне L2
19
Позволяет совершить “прозрачную” миграцию данных
Используются коммутаторы с поддержкой Etherchannel
Передается весь трафик с “метками”, “тегами” и т.д.
Сценарии резервирования продуктов С-Терра
20
Protocol Virtual Router Redundancy (VRRP)
Protocol Reverse Route Injection (RRI)
Решения для динамичных сетей
21
Наиболее популярной из таких схем являетсясхема, которая стоится по правиламклассической виртуальной сети свозможностью динамического созданиятуннелей между узлами (DMVPN).
По достоинству администраторы оценятвозможность хранения параметровзащищенных соединений межу центральнымофисом и клиентами на Radius-сервере.
На основе шлюзов безопасности версии 4.1 разработаны схемы работы, при которых
добавление новых VPN-устройств происходит с минимальным участием администратора
сети:
Преимущества: классический интерфейс
22
Команды из Cisco IOS
Знакомые термины: ACL,Crypto Map, POOL и т.д.
Централизованное илииндивидуальное управление
Syslog, SNMP.
Реальная производительность
23
Производительность является критически важнымпоказателем для шлюзов безопасности:
запас производительности позволяет использовать сеть безпотери пропускной способности;
высокопроизводительное устройство вносит минимальнуюзадержку при обработке трафика, что критически важно дляподдержания высокого качества сетевого обслуживания(QoS).
Практически во всех измерениях производительностиVPN-шлюзов данные приводятся для IP-пакетовразмером 1,5 кбайт, в то время как для короткихпакетов производительность по потоку падает в 4-5 раз
поэтому номинальная производительность шлюзов должнабыть в несколько раз ниже пиковой производительности.
Криптография КриптоПро
Собственная встроенная криптография
Сертифицирована ФСБ России
Полностью совместима с КриптоПро
Соответствие последним ГОСТ 2012г.
Выгодная стоимость
Соответствие срокам действия сертификатов регуляторов
24
Криптография ST
Используемая криптография
МСМ-950
25
Совместная разработка Cisco и «С-Терра СиЭсПи»
Протокол IPsec
Российские криптографические алгоритмы
Для маршрутизаторов Cisco 2900, 3900 и 4400
ФСБ России – КС1, КС2, КС3, МЭ4ФСТЭК России – НДВ3, МЭ3, ОУД4+, АС 1В, ГИС до 1 кл.вкл., ПДн 1-4 ур.
Тип трафика Производительность,Мбит/c
IMIX 250
TCP 480
UDP1400 620
Комплект Huawei - С-Терра
26
Применение – VPN, межсетевое экранирование.
Криптопровайдер: «КриптоПро CSP».
Аппаратные платформы: Huawei SAE220/550
Решение создано на базе маршрутизаторов Huaweiсерии AR и модулей AR01WSX с предустановленнымVPN-шлюзом «С-Терра Виртуальный Шлюз»полностью реализует функции программно-аппаратного комплекса С-Терра Шлюз версии 4.1.
Новый модуль выполненна базе маршрутизаторовSAE220/550
ФСБ России – КС1ФСТЭК России – НДВ3, МЭ3, ОУД4+, АС 1В, ГИС до 1 кл.вкл., ПДн 1-4 ур.
Совместная работа с токенами
ПК С-Терра Клиент поддерживает совместнуюработу с:
Токенами производства компании Aladdin: eTokenPRO32k, eToken PRO64k, eToken NG-FLASH, eToken PRO (Java);
Токенами производства компании Актив: Рутокен S,Рутокен ЭЦП;
Токенами производства компании MultiSoft: MS_KEYK.
В рамках взаимодействия реализуется сценарий применения, где всеполитики безопасности, сертификаты и ключи размещаются наэлектронном токене.
27
Экспортный вариант шлюза - CSP VPN Gate E
28
Упрощенная процедура оформления
разрешения на вывоз
криптографического шлюза из РФ.
Западные алгоритмы шифрования не
поддерживаются.
ФСБ России – КС1
С-Терра Шлюз в экспортном исполнении предназначен длямежгосударственного информационного взаимодействия на основенациональных криптографических стандартов .
• Применение – построение VPN за пределами РФ.• Криптопровайдер: «КриптоПро CSP».
Защищенная виртуальная среда
29
Защита периметра виртуальной среды.
Защита сетевых взаимодействий внутривиртуальной среды.
Безопасный удаленный доступ к виртуальнойсреде.
Защита физических каналов связи междуэлементами виртуальной среды.
VPN-Gate as a service, для подключения коблачным информационным системам.
Недорогое сертифицированное решение длямалого и среднего бизнеса.
30
Стандартный протокол IPSec
Подключение к системе СМЭВ
Удобный интерфейс
Высокая производительность и надежность (3 года гарантии на АП)
Гибкий выбор платформ
Решение для виртуальной среды
Легкость интеграции
Технические преимущества продуктов
31
Сертифицированный маршрутизатор Cisco ST2911R с встроенной криптографией С-Терра
Универсальные сервисные криптомаршрутизаторы Элтекс
Gate 50
С-Терра СОА
С-терра Шлюз 10g
Перспективные продукты
32
Назначение
• Защита информации в СКУД
• Безопасность платежных систем (банкоматов)
• Защита передаваемой информации с IP-камер и IP-телефонии
• Защита АСУ ТП и каналов управления
• Безопасная передача данных с измерительных и контрольных устройств в системе ЖКХ
• Защита передаваемой информации с IP-камер и IP-телефонии
50
Миниатюрный шлюз безопасности
33
• Габариты – 70х45х22 мм
• IPsec VPN, ГОСТ криптоалгоритмы
• Криптография ST
• Интегрированный межсетевой экран
• Поддержка Wi-Fi
• Питание USB 5V
• QoS
• Производительность – до 10 Мбит/с
Характеристики С-Терра Шлюз 50
50
С-Терра Шлюз 50
34
Преимущества решений С-Терра
С-Терра Шлюз 10G
• 10 Гбит/с на одной паре шлюзов
• Отказоустойчивость и Масштабируемость
• Специализированная аппаратная платформа на основе Intel® Compute Module HNS2600TP
• Защита канала 10G одной парой устройств
• Инновационные технологии обработки сетевых пакетов
• Энергопотребление – до 1КВт
35
Функциональность «Все в одном»
Сервисный криптомаршрутизатор ESR-ST
• Мультифункциональный сервисный маршрутизатор и VPN-шлюз
• Российское производство
• Высокая экономическая эффективность
• Система обнаружения атак
• Архитектура MIPS с аппаратным ускорением сетевых функций и функций обработки данных
• Полный набор функций уровня L2
• Поддержка всех протоколов и сервисов уровня L3
Дорожная карта 2015-2016 гг.
36
От продуктов –
к решениям!
Илья Яблонко, CISSP, менеджер по развитию решений ИБ+7 912 607 55 66, [email protected]
Андрей Шпаковведущий инженер-консультант+7 916 518 70 [email protected]@s-terra.com
