Embed Size (px)
Citation preview
Современные VPN-решения от компании
«С-Терра СиЭсПи»
От продуктов – к решениям!
Шпаков Андрей, ведущий инженер-консультант
Кто мы такие и чем занимаемся?
2
«С-Терра СиЭсПи» основана в 2003 году Ведущий российский разработчик и производитель сертифицированных средств сетевой защиты на основе технологии IPsec VPN и российских криптографических алгоритмов Лицензиат ФСТЭК России и ФСБ России Первый в России технологический партнер Cisco Серебряный партнер Samsung Citrix Ready Partner Авторизированный партнер Huawei
Наши заказчики
Правительственный сектор
Тяжелая промышленность
Энергетика
Финансовый сектор
Транспорт и коммуникации
3
4
Утечка информации ведет к прямым финансовым потерям
Шифрование – одна из мер по обеспечению безопасности информации
VPN как средство защиты корп. сети
Канал провайдера не является доверенным
Выполнение требований регуляторов
Удобное управление и использование
Различные топологии
Дополнительные сервисы, реализованные в VPN-устройстве
5
Задача – защита от внешнего нарушителя
Программные средства Шлюзы безопасности
С-Терра Клиент
С-Терра Клиент-М
С-Терра Шлюз
МСМ-950
CSP VPN Gate E
С-Терра Виртуальный Шлюз
Специальные решения
С-Терра L2
С-Терра «ПОСТ»
С-Терра КП Система управления
6
Продукты С-Терра VPN
Архитектура проекта
7
Преимущества разных операционных систем (ОС). Гибкость в выборе АП для заказчика. Реализация российских и зарубежных алгоритмов и совместимость версий.
• 3.1 / 3.11 / 4.1 С-Терра Агент
• Крипто-ПРО / С-Терра СиЭсПи Криптография
• CentOS / Solaris / Debian Операционная система
• DEPO / Kraftway / TONK / HP / Cisco / Huawei Аппаратная платформа
Новый функционал С-Терра Шлюз версии 4.1
8
В программных продукта VPN Агент версии 4.1 появилась возможность задавать расширенные сценарии обработки сетевого трафика:
Фильтрация трафика по состоянию TCP-соединения; тегирование трафика; раскраска трафика; приоритезация пакетов; журналированние пакетов; много уровневая обработка пакетов; IKECFG-сервер; интеграция с Radius-сервером; соответствие требованиям современных ГОСТ.
С-Терра Шлюз версии 4.1 - это полноценный сертифицированный межсетевой экран.
Масштабируемость
9
Продукт Производительность (на IMIX трафике)
Количество туннелей
С-Терра Шлюз 100 В до 20 Мбит/с 5
С-Терра Шлюз 100 до 20 Мбит/с 10
С-Терра Шлюз 100 V до 20 Мбит/с 200
С-Терра Шлюз 1000 до 90 Мбит/с 50
С-Терра Шлюз 1000 V до 90 Мбит/с 500
С-Терра Шлюз 3000 от 250 до 600 Мбит/с 1000
С-Терра Шлюз 7000 от 700 Мбит/с до 2 Гбит/с (на Jumbo Frame до 7 Гбит/с) не ограничено
Модуль Cisco МСМ-950 до 250 Мбит/с не ограничено
С-Терра Виртуальный Шлюз
10
Полностью реализует функции программно-аппаратного комплекса С-Терра Шлюз версии 4.1.
ФСБ России – КС1
Применение – виртуальные частные сети (VPN), межсетевое экранирование. Криптопровайдер: «КриптоПро CSP», «С-Терра CSP». Платформы: VMWare ESXi, Hyper-V, Citrix Xen Server, KVM.
С-Терра Виртуальный шлюз VPN-шлюз для защиты сетевого трафика, проходящего между различными компонентами виртуальных сред
Защищенный удаленный доступ
11
С-Терра Клиент – сертифицированный программный VPN-клиент для всех современных Windows (в т.ч. Windows 8.1)
С-Терра Клиент-М – программный VPN-клиент для ОС Android 4.x
Программный модуль С-Терра L2
12
S-Terra L2- это дополнительный программный модуль, встраиваемый в шлюз безопасности, для перехвата трафика на канальном уровне с дальнейшим шифрованием на сетевом
ФСБ России – КС1, КС2, КС3, МЭ4 ФСТЭК России – НДВ3, МЭ3, ОУД4+, АС 1В, ГИС до 1 кл.вкл., ПДн 1-4 ур.
Применение – защита широковещательные и мультикастовые пакеты, тегированный трафик (VLAN trunk), метки MPLS и другие виды трафика Сертификаты: не затрагивает сертифицированную часть продукта
С-Терра КП – централизованное управление
13
Сервер управления устанавливается на отдельный компьютер в защищенной локальной подсети.
Клиент управления формируется на сервере управления и устанавливается на каждом VPN-устройстве.
Все сетевые обмены между сервером управления и клиентами управления осуществляются под защитой IPsec-туннелей, которые строятся между VPN-устройствами и шлюзом безопасности.
Сертификация продуктов
14
Продукты линейки VPN Агент 4.1 обладают всеми необходимыми сертификатами для работы как VPN устройства и как межсетевые экраны. ФСБ России: СКЗИ КС1, КС2, КС3 МЭ 4
ФСТЭК России: МЭ 3 АС 1В НДВ 3 ОУД 4+
Сценарии применения и преимущества
15
VDI – удаленный доступ с особенностями
Доставка приложений
Доставка удаленных столов
Принтер
Сканер
Тонкий клиент
Центральный офис
Маршрутизатор
Виртуальные машины
Ноутбук или стационар
Бездисковая рабочая станция на нестандартной ОС Обработка данных в центре, а не на АРМ пользователя Единая точка входа Необходимость изолированности среды
12
Технология защиты С-Терра «ПОСТ»
17
При удалённом доступе проверяет доверенную загрузку целостной информационной среды и создает изолированное сетевое соединение с сервером приложений.
Эталон рабочей среды загружается с защищённого носителя (СЗИ). Обеспечивается строгая двухфакторная аутентификация пользователя, криптографическая защита трафика. Весь трафик рабочего места пользователя защищается российскими криптоалгоритмами по стандартам ГОСТ.
VPN-клиент полностью исключает неконтролируемый доступ из сети в изолированную среду удаленного доступа
Защита скоростных каналов на сетевом уровне L3
18
Маршрутизаторы Core-уровня создают необходимое количество GRE-туннелей Каждый VPN-шлюз шифрует один или несколько GRE-туннелей Балансировка и отказоустойчивость достигаются с помощью протокола динамической маршрутизации (OSPF или EIGRP)
Защита скоростных каналов на канальном уровне L2
19
Позволяет совершить “прозрачную” миграцию данных Используются коммутаторы с поддержкой Etherchannel Передается весь трафик с “метками”, “тегами” и т.д.
Сценарии резервирования продуктов С-Терра
20
Protocol Virtual Router Redundancy (VRRP)
Protocol Reverse Route Injection (RRI)
Решения для динамичных сетей
21
Наиболее популярной из таких схем является схема, которая стоится по правилам классической виртуальной сети с возможностью динамического создания туннелей между узлами (DMVPN).
По достоинству администраторы оценят возможность хранения параметров защищенных соединений межу центральным офисом и клиентами на Radius-сервере.
На основе шлюзов безопасности версии 4.1 разработаны схемы работы, при которых добавление новых VPN-устройств происходит с минимальным участием администратора сети:
Преимущества: классический интерфейс
22
Команды из Cisco IOS Знакомые термины: ACL, Crypto Map, POOL и т.д. Централизованное или индивидуальное управление Syslog, SNMP
.
Реальная производительность
23
Производительность является критически важным показателем для шлюзов безопасности:
запас производительности позволяет использовать сеть без потери пропускной способности;
высокопроизводительное устройство вносит минимальную задержку при обработке трафика, что критически важно для поддержания высокого качества сетевого обслуживания (QoS).
Практически во всех измерениях производительности VPN-шлюзов данные приводятся для IP-пакетов размером 1,5 кбайт, в то время как для коротких пакетов производительность по потоку падает в 4-5 раз
поэтому номинальная производительность шлюзов должна быть в несколько раз ниже пиковой производительности.
Криптография КриптоПро
Собственная встроенная криптография
Сертифицирована ФСБ России
Полностью совместима с КриптоПро
Соответствие последним ГОСТ 2012г.
Выгодная стоимость
Соответствие срокам действия сертификатов регуляторов
24
Криптография ST
Используемая криптография
МСМ-950
25
Совместная разработка Cisco и «С-Терра СиЭсПи» Протокол IPsec Российские криптографические алгоритмы Для маршрутизаторов Cisco 2900, 3900 и 4400
ФСБ России – КС1, КС2, КС3, МЭ4 ФСТЭК России – НДВ3, МЭ3, ОУД4+, АС 1В, ГИС до 1 кл.вкл., ПДн 1-4 ур.
Тип трафика Производительность, Мбит/c
IMIX 250
TCP 480
UDP1400 620
Комплект Huawei - С-Терра
26
Применение – VPN, межсетевое экранирование. Криптопровайдер: «КриптоПро CSP».
Аппаратные платформы: Huawei SAE220/550 Решение создано на базе маршрутизаторов Huawei серии AR и модулей AR01WSX с предустановленным VPN-шлюзом «С-Терра Виртуальный Шлюз» полностью реализует функции программно-аппаратного комплекса С-Терра Шлюз версии 4.1.
Новый модуль выполнен на базе маршрутизаторов SAE220/550
ФСБ России – КС1 ФСТЭК России – НДВ3, МЭ3, ОУД4+, АС 1В, ГИС до 1 кл.вкл., ПДн 1-4 ур.
Совместная работа с токенами
ПК С-Терра Клиент поддерживает совместную работу с:
Токенами производства компании Aladdin: eToken PRO32k, eToken PRO64k, eToken NG-FLASH, eToken PRO (Java);
Токенами производства компании Актив: Рутокен S, Рутокен ЭЦП;
Токенами производства компании MultiSoft: MS_KEY K.
В рамках взаимодействия реализуется сценарий применения, где все политики безопасности, сертификаты и ключи размещаются на электронном токене.
27
Экспортный вариант шлюза - CSP VPN Gate E
28
Упрощенная процедура оформления разрешения на вывоз криптографического шлюза из РФ. Западные алгоритмы шифрования не поддерживаются.
ФСБ России – КС1
С-Терра Шлюз в экспортном исполнении предназначен для межгосударственного информационного взаимодействия на основе национальных криптографических стандартов . • Применение – построение VPN за пределами РФ. • Криптопровайдер: «КриптоПро CSP».
Защищенная виртуальная среда
29
Защита периметра виртуальной среды. Защита сетевых взаимодействий внутри виртуальной среды. Безопасный удаленный доступ к виртуальной среде. Защита физических каналов связи между элементами виртуальной среды. VPN-Gate as a service, для подключения к облачным информационным системам. Недорогое сертифицированное решение для малого и среднего бизнеса.
30
Стандартный протокол IPSec
Подключение к системе СМЭВ
Удобный интерфейс
Высокая производительность и надежность (3 года гарантии на АП)
Гибкий выбор платформ
Решение для виртуальной среды
Легкость интеграции
Технические преимущества продуктов
31
Сертифицированный маршрутизатор Cisco ST2911R с встроенной криптографией С-Терра
Универсальные сервисные криптомаршрутизаторы Элтекс
Gate 50
С-Терра СОА
С-терра Шлюз 10g
Перспективные продукты
32
Назначение • Защита информации в СКУД
• Безопасность платежных систем (банкоматов)
• Защита передаваемой информации с IP-камер и IP-телефонии
• Защита АСУ ТП и каналов управления
• Безопасная передача данных с измерительных и контрольных устройств в системе ЖКХ
• Защита передаваемой информации с IP-камер и IP-телефонии
50
Миниатюрный шлюз безопасности
33
• Габариты – 70х45х22 мм
• IPsec VPN, ГОСТ криптоалгоритмы
• Криптография ST
• Интегрированный межсетевой экран
• Поддержка Wi-Fi
• Питание USB 5V
• QoS
• Производительность – до 10 Мбит/с
Характеристики С-Терра Шлюз 50
50
С-Терра Шлюз 50
34
Преимущества решений С-Терра
С-Терра Шлюз 10G
• 10 Гбит/с на одной паре шлюзов • Отказоустойчивость и Масштабируемость • Специализированная аппаратная платформа на основе
Intel® Compute Module HNS2600TP • Защита канала 10G одной парой устройств
• Инновационные технологии обработки сетевых пакетов
• Энергопотребление – до 1КВт
35
Функциональность «Все в одном»
Сервисный криптомаршрутизатор ESR-ST
• Мультифункциональный сервисный маршрутизатор и VPN-шлюз
• Российское производство
• Высокая экономическая эффективность
• Система обнаружения атак
• Архитектура MIPS с аппаратным ускорением сетевых функций и функций обработки данных
• Полный набор функций уровня L2
• Поддержка всех протоколов и сервисов уровня L3
Дорожная карта 2015-2016 гг.
36
От продуктов – к решениям!
Илья Яблонко, CISSP, менеджер по развитию решений ИБ +7 912 607 55 66, [email protected]
Андрей Шпаков ведущий инженер-консультант +7 916 518 70 26 [email protected] [email protected]
