Какое оборудование требуется для диагностики криптошлюза

Опыт внедрения криптошлюзов ViPNet в ЕРИС

ЕРИС (Единый Радиологический Информационный Сервис) представляет собой информационную систему, объединяющую высокотехнологичную медицинскую технику, рабочие места рентгенологов и единый архив диагностических изображений. В настоящее время ЕРИС объединяет магнитно-резонансные, цифровые аппараты классического рентгена, аппараты для проведения флюорографии и компьютерные томографы в 64 поликлиниках города Москвы, включая амбулаторные учреждения Зеленограда.

Основные задачи ЕРИС — повысить эффективность лучевой диагностики в Москве, создать единую сеть, объединяющую диагностическую аппаратуру, обеспечить современную и надежную систему хранения получаемых в результате исследований изображений, описаний и заключений.

Необходимость применения криптошлюзов

Так как в информационной системе ЕРИС обрабатываются персональные данные пациентов, то необходимо выполнять требования ФЗ-152 «О персональных данных» и подзаконных актов, связанных с этим законом. Одним из требований по защите персональных данных является организация защищенных каналов связи с помощью средств криптографической защиты информации (СКЗИ). В соответствии с этим требованием мы приступили к проектированию системы защиты персональных данных в целом и СКЗИ в частности.

Критерии выбора, схема тестирования, пилот, финальный выбор

Нашей компании Элефус Заказчик в лице компании Лаваль выдвинул ряд требований, которым должны были соответствовать СКЗИ, среди них основные:

• задержки в канале (это был самый важный критерий, потому что медицинский персонал с помощью клиентского приложения на рабочем месте подключается к серверной части в ЦОДе, и задержки в канале сильно влияют на производительность системы и скорость работы с пациентом);
• наличие сертификата ФСБ России на криптосредства (требование нормативных документов, касающихся защиты персональных данных (Приказ ФСБ №378 от 10 июля 2014 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»));
• масштабируемость решения (предполагается расширение системы на дополнительные объекты, поэтому мы изначально должны были заложить оборудование с запасом и возможность масштабирования как горизонтального, так и вертикального);
• отказоустойчивость (если вы были в московских поликлиниках, то прекрасно знаете, что очередь в радиологические кабинеты всегда присутствует, поэтому немаловажным фактором было обеспечение отказоустойчивости решения);
• достаточная производительность (в радиологические кабинеты необходимо было установить оборудование небольшой производительности, но достаточное, чтобы обеспечить хороший канал связи до ЦОД, нашим ориентиром была полоса пропускания в 20 мб/с);
• мониторинг (так как инфраструктура распределена по всей Москве, необходимо обеспечить постоянный мониторинг оборудования и отслеживать нагрузки на сеть);
• простота обслуживания (выезд на объекты осуществляют инженеры широкого профиля, которые, не обладая глубокими познаниями в ViPNet (потому что это не является их основной задачей), должны решить проблему на месте по инструкции).

• ViPNet Coordinator;
• АПКШ «Континент»;
• КриптоПро IPsec;
• МагПро КриптоПакет исполнение «OpenVPN-ГОСТ»

Схема тестирования была следующая:

Рисунок 1 — Схема тестирования

В ходе тестирования передавались снимки трех типов: КТ, ММГ, ПЭТКТ (они отличаются размерами файлов, частотой взаимодействия клиент-сервер), различные варианты снимков позволили смоделировать различные типы нагрузок на криптошлюзы. Замеры задержек и скорость в канале производились программами WinMTR и iperf3.

По результатам тестирования Континент и ViPNet оказались в лидерах, их результаты были сопоставимы, КриптоПро отставал незначительно, а МагПро сильно влиял как на скорость, так и на задержки в канале.

Дальше после взаимодействия с вендорами Заказчиком было принято финальное решение в пользу ViPNet. Оставим финальный выбор за скобками данной статьи, с технической точки зрения Континент и ViPNet практически одинаковые.

ИнфоТеКС (производитель ViPNet) предоставил для пилотного тестирования следующее оборудование:

• HW50 – 2 шт. для радиологических кабинетов
• HW1000 – 1 шт. для ЦОД

Как внедряли? Схема, сложности, преднастройка

К внедрению нам необходимо было подойти с особой тщательностью. Как я говорил выше, медицинские работники радиологических кабинетов постоянно загружены, поэтому на внедрение СКЗИ на объекте нам отводилось 15 минут. Внедрение мы проводили совместно с инженерами Лаваль, которые хорошо знали местное оборудование.

Внедрение состояло из следующих этапов:

• Преднастройка (оборудование было преднастроено нашими инженерами (выпуск и установка dst-на ПАК, настройка сетевых интерфейсов, настройка snmp-агента, заведение ПАК в ViPNet Administrator);
• Установка криптошлюзов в ЦОД (настройка альтернативного канала для того, чтобы не прерывать работы ЕРИС);
• Установка криптошлюзов в поликлиники (в 15минутный интервал инженеру необходимо было переткнуть оборудование и убедиться, что туннель в ЦОД поднят. Естественно, в идеальных случаях все происходило за минуты, но всегда есть какое-то время на то, чтобы скорректировать возникающие проблемы. В целом, 15-ти минут хватает на то, чтобы выполнить работы);
• Подключение криптошлюзов к системе мониторинга (на этом этапе выявили баг системы, о котором сообщили вендору, периодически snmp агент самопроизвольно отваливался, его приходится перезапускать. Так как мы знаем, что ViPNet работает на базе ОС Linux (Debian), мы написали скрипт, который автоматически перезапускал процесс. В новой версии ИнфоТеКС исправил этот момент).

Мониторинг. Нагрузка на процессор, оперативную память, сеть

Дальше мы покажем скриншоты из системы мониторинга, где можно посмотреть нагрузки на оборудование отдельно за полгода и отдельно за один рабочий день (ЦП, ОЗУ, сеть). Названия сетевых устройств скрыты, с точки зрения смысловой нагрузки это ни на что не влияет.

Нагрузка на ЦП

alt=»image» />
Рисунок 2 — Загрузка ЦП за полгода HW1000

Рисунок 3 — Загрузка ЦП за 1 день HW1000

Рисунок 4 — Загрузка ЦП за полгода HW50

Рисунок 5 — Загрузка ЦП за 1 день HW50

Нагрузка на оперативную память

Рисунок 6 — Загрузка ОЗУ за полгода HW1000

Рисунок 7 — Загрузка ОЗУ за 1 день HW1000

Рисунок 8 — Загрузка ОЗУ за полгода HW50

Рисунок 9 — Загрузка ОЗУ за 1день HW50

Нагрузки на сеть

Рисунок 10 — Загрузка сеть за полгода HW1000

Рисунок 11 — Загрузка сеть за 1 день HW1000

Рисунок 12 — Загрузка сеть за полгода HW50

Рисунок 13 — Загрузка сеть за 1 день HW50

Оборудование для диагностики криптошлюза: список необходимых средств

Диагностика криптошлюза — важный этап обслуживания сети, позволяющий выявить и устранить возможные проблемы с безопасностью и функционированием системы. Для проведения успешной диагностики необходимо правильно подготовить оборудование и использовать специализированные инструменты.

Список оборудования для диагностики криптошлюза включает в себя:

• Сетевой анализатор — устройство, предназначенное для анализа и мониторинга сетевого трафика. С помощью сетевого анализатора можно получить информацию о процессе передачи данных, определить проблемы сети и отследить аномальную активность.
• Лог-анализатор — специальное программное обеспечение, предназначенное для анализа лог-файлов криптошлюза. С его помощью можно проследить последовательность событий, выявить ошибки и уязвимости в работе системы.
• Специализированные тестеры — устройства, предназначенные для проверки работоспособности и безопасности криптошлюза. Они позволяют провести различные виды тестирования, включая атаки на систему, и выявить уязвимости в защите данных.

Для успешной диагностики криптошлюза необходимо правильно выбрать и подготовить оборудование, а также обеспечить его настройку и использование специалистами с соответствующими навыками и знаниями. Правильная диагностика поможет обнаружить и устранить проблемы с безопасностью и функционированием системы, что позволит обеспечить надежную и безопасную работу криптошлюза.

Оборудование для диагностики криптошлюза: полный список

Диагностика криптошлюза — важная часть обеспечения безопасности информационных систем. Для проведения диагностики и анализа работы криптошлюза необходимо использовать специальное оборудование. Вот список основного оборудования, которое может потребоваться при диагностике криптошлюза:

• Сетевой анализатор. С помощью сетевого анализатора можно осуществлять мониторинг трафика, анализировать пакеты данных и обнаруживать аномалии в работе криптошлюза.
• Спектроанализатор. Спектроанализатор используется для анализа частотного диапазона и обнаружения сигналов, которые могут влиять на работу криптошлюза.
• Мультиметр. Мультиметр позволяет измерять электрические параметры, такие как напряжение, ток и сопротивление, что может помочь в выявлении неисправностей в работе криптошлюза.
• Логический анализатор. Логический анализатор используется для анализа цифровых сигналов и работы интерфейсов криптошлюза.
• Осциллограф. Осциллограф позволяет измерять и анализировать аналоговые сигналы и поможет выявить проблемы с работой криптошлюза.
• Программатор. Программатор используется для прошивки и настройки программного обеспечения криптошлюза.
• Специализированный программный обеспечение. Для диагностики криптошлюза могут потребоваться специализированные программы, которые предоставляют возможности анализа и настройки различных параметров работы криптошлюза.

Это лишь основное оборудование, которое может потребоваться при диагностике криптошлюза. В каждом конкретном случае потребности могут различаться в зависимости от типа и модели криптошлюза, а также от поставленных задач.

Важно помнить, что диагностика криптошлюза требует определенных навыков и знаний. Если у вас нет необходимых ресурсов и опыта, рекомендуется обратиться к специалистам, чтобы провести диагностику криптошлюза и обеспечить безопасность ваших информационных систем.

Компьютер

Компьютер является неотъемлемой частью оборудования, необходимого для проведения диагностики криптошлюзов. Для успешной работы и выполнения всех необходимых задач рекомендуется использовать компьютер с соответствующими характеристиками и установленным специализированным программным обеспечением.

Для диагностики криптошлюза целесообразно использовать компьютер со следующими характеристиками:

• Мощный процессор с высокой тактовой частотой и достаточным количеством ядер;
• Большой объем оперативной памяти (рекомендуется не менее 8 ГБ);
• Операционная система, совместимая с требуемым программным обеспечением;
• Большой объем свободного места на жестком диске для установки программ, хранилища данных и создания резервных копий;
• Стабильное подключение к сети Интернет для загрузки обновлений и получения необходимой информации;
• Графическая карта, поддерживающая требуемое разрешение экрана и вывод изображения на монитор;
• Клавиатура и мышь для управления компьютером и взаимодействия с программным обеспечением.

Кроме того, на компьютере должно быть установлено специализированное программное обеспечение для диагностики криптошлюзов. Это могут быть различные инструменты и утилиты, предоставляемые производителями криптошлюзов или сторонними разработчиками.

Основные задачи, которые выполняются на компьютере при диагностике криптошлюза, включают:

• Установку и настройку программного обеспечения;
• Мониторинг и анализ работы криптошлюза;
• Выполнение тестов и проверок;
• Регистрацию и анализ логов работы криптошлюза;
• Выявление и устранение неисправностей;
• Обновление программного обеспечения и настройки криптошлюза;
• Работу с документацией и инструкциями по диагностике и обслуживанию криптошлюза.

Без компьютера и соответствующего программного обеспечения невозможно провести полноценную диагностику криптошлюза и произвести необходимые корректировки в его работе.

Специализированное программное обеспечение

Для диагностики криптошлюза необходимо использовать специализированное программное обеспечение, которое позволяет анализировать работу устройства, выявлять возможные проблемы и решать их. Ниже перечислены основные типы программного обеспечения, которые рекомендуется использовать при диагностике криптошлюза:

• Консольное программное обеспечение: позволяет осуществлять командное управление криптошлюзом, выполнение различных операций и анализ системных параметров.
• Графическое программное обеспечение: обеспечивает визуализацию и удобный интерфейс для управления и мониторинга криптошлюза. Включает в себя различные графические элементы, диаграммы, таблицы и логи, упрощающие взаимодействие с устройством.
• Аналитическое программное обеспечение: используется для анализа и обработки данных, собранных в процессе работы криптошлюза. С помощью этого ПО можно проводить статистический анализ, построение графиков и отчетов о работе устройства.
• Диагностическое программное обеспечение: предназначено для выявления и исправления проблем с работой криптошлюза. Включает в себя механизмы обнаружения идентификации неполадок, а также инструменты для их устранения или обхода.

При выборе специализированного программного обеспечения для диагностики криптошлюза необходимо учитывать его совместимость с устройством, наличие необходимых функций и возможность обновления программного обеспечения. Также рекомендуется уделять внимание пользовательскому интерфейсу, возможностям анализа и мониторинга работы устройства, а также наличию подробной документации и технической поддержки со стороны разработчика.

Сетевой анализатор

Сетевой анализатор – это устройство, которое используется для анализа и мониторинга сетевого трафика. Он позволяет управлять и контролировать работу сети, а также обнаруживать и устранять проблемы связанные с ее функционированием.

Сетевой анализатор выполняет следующие функции:

1. Анализ и фильтрация трафика. С помощью сетевого анализатора можно анализировать передаваемые по сети данные, выявлять проблемные области и фильтровать нежелательный трафик.
2. Мониторинг сети. Сетевой анализатор позволяет контролировать состояние сети, определять пропускную способность, задержки и другие характеристики.
3. Обнаружение и предотвращение атак. Сетевой анализатор позволяет обнаруживать вредоносный трафик и атаки на сеть, а также предоставляет средства для их предотвращения.

В состав сетевого анализатора могут входить следующие компоненты:

• Железо (аппаратная часть). В состав аппаратной части сетевого анализатора могут входить сетевые карты, процессор, память, жесткий диск и другие компоненты.
• Программное обеспечение. Сетевой анализатор работает на основе специального программного обеспечения, которое позволяет выполнять различные операции по анализу и мониторингу сети.
• Интерфейс пользователя. Сетевой анализатор может иметь собственный интерфейс пользователя для управления и настройки его параметров.

Применение сетевого анализатора позволяет значительно улучшить работу сети, повысить ее безопасность и устранить проблемы связанные с ее функционированием. Поэтому сетевой анализатор является важным компонентом в оборудовании для диагностики и мониторинга криптошлюзов.

Устройство записи трафика

Устройство записи трафика является важным компонентом для диагностики криптошлюза. Оно позволяет фиксировать и анализировать сетевой трафик, что помогает выявлять проблемы и находить их источники.

Для записи трафика можно использовать следующие устройства:

• Анализатор сетевого трафика — это специальное программное или аппаратное обеспечение, которое позволяет перехватывать и анализировать пакеты данных, проходящие через сетевой интерфейс. Анализаторы сетевого трафика обычно предоставляют широкий спектр функциональности, включая возможность фильтрации и поиска пакетов по различным параметрам, а также вывод статистики и графическое представление данных.
• Сетевой штатив для записи трафика — это физическое устройство, которое позволяет подключиться к сети и записывать проходящий через него трафик. Штативы обычно имеют несколько сетевых портов, что позволяет подключить к ним несколько сетевых устройств одновременно.
• Пассивные сетевые тапы — это устройства, которые позволяют перехватывать сетевой трафик без его вмешательства. Они подключаются между двумя сетевыми устройствами и записывают проходящие через них пакеты данных. Пассивные сетевые тапы обычно не требуют настройки и не вносят задержку в сетевой трафик.

В зависимости от целей и требований диагностики криптошлюза, выбор устройства для записи трафика может различаться. Важно учитывать такие параметры, как пропускная способность сети, требуемая мощность обработки данных, наличие необходимых функций и возможность интеграции с другими инструментами диагностики.

Профессиональный мультиметр

Профессиональный мультиметр является одним из важных инструментов, необходимых для диагностики криптошлюза. Он позволяет измерять различные параметры электрических сигналов и проверять работу различных компонентов шлюза.

Профессиональный мультиметр обычно имеет несколько функций и режимов измерений, среди которых:

• Измерение напряжения. Мультиметр может измерять постоянное и переменное напряжение на различных точках криптошлюза.
• Измерение тока. С помощью мультиметра можно измерять постоянный и переменный ток, что позволяет проверить работу электрических цепей внутри шлюза.
• Измерение сопротивления. Мультиметр может помочь в проверке целостности различных компонентов криптошлюза, таких как резисторы или датчики.
• Диодный тестер. С помощью этой функции мультиметр позволяет проверить диоды на наличие обрывов или коротких замыканий.
• Измерение ёмкости. Мультиметр может помочь в проверке работоспособности конденсаторов, которые часто используются в криптошлюзах.
• Измерение частоты. С помощью мультиметра можно измерить частоту электрического сигнала, что может быть полезно при диагностике шлюза.

Это лишь некоторые из возможностей, которые предоставляет профессиональный мультиметр. Важно выбрать мультиметр с необходимыми функциями и хорошими характеристиками, чтобы обеспечить точные и надежные измерения при диагностике криптошлюза.

Логический анализатор

Логический анализатор – это устройство, используемое для анализа и отладки цифровых сигналов. Он позволяет изучить временное поведение сигналов, осуществлять поиск ошибок и находить неисправности в оборудовании.

Для диагностики криптошлюза полезно обладать логическим анализатором, так как с его помощью можно:

• Анализировать сигналы в реальном времени;
• Фиксировать и сохранять данные для дальнейшего анализа;
• Измерять частоту, задержку и длительность сигналов;
• Поискать различные аномалии и ошибки;
• Выявить проблемы с логикой работы криптошлюза.

Логический анализатор состоит из основного модуля и плат для анализа цифровых сигналов. Основной модуль отображает полученные данные на экране, а платы подключаются к соответствующим контактам криптошлюза и записывают сигналы в реальном времени.

При выборе логического анализатора для диагностики криптошлюза рекомендуется обратить внимание на следующие характеристики:

1. Количество каналов: здесь необходимо учитывать количество сигналов, которые необходимо анализировать одновременно.
2. Максимальная частота семплирования: данное значение определяет скорость, с которой логический анализатор может получать данные.
3. Память: объем памяти важен для сохранения больших объемов данных и анализа длительных временных отрезков.
4. Триггерные возможности: наличие различных триггеров позволяет запускать анализатор в нужный момент и фиксировать только интересующие события.
5. Интерфейс подключения: стандартные интерфейсы, такие как USB или Ethernet, облегчают подключение анализатора к компьютеру или сети.

Логический анализатор является неотъемлемой частью оборудования для диагностики криптошлюза. Он позволяет изучить работу сигналов и выявить возможные проблемы, что облегчает процесс поиска и устранения неисправностей.

Эмулятор криптографического устройства

Эмулятор криптографического устройства – это программа или аппаратное обеспечение, которое позволяет виртуально взаимодействовать с криптографическим устройством. Применение эмулятора позволяет проводить тестирование и диагностику криптошлюза без фактического использования настоящего устройства.

С помощью эмулятора криптографического устройства можно:

• Работать с различными криптографическими протоколами;
• Создавать и управлять ключами шифрования;
• Проводить тестирование и отладку программного обеспечения, использующего криптографию;
• Исследовать безопасность и уязвимости криптографических алгоритмов.

Эмуляторы криптографических устройств обычно позволяют симулировать работу различных криптографических протоколов, алгоритмов и устройств. Они могут эмулировать работу устройств, таких как смарт-карты, USB-токены, аппаратные модули безопасности и даже самых сложных криптографических устройств, таких как HSM (Hardware Security Module).

Эмуляторы криптографических устройств могут быть как программными, так и аппаратными.

Программные эмуляторы криптографических устройств работают на основе специального программного обеспечения, которое эмулирует работу реального устройства. Они обычно предоставляют API (Application Programming Interface) для взаимодействия с программами, которые используют криптографию.

Аппаратные эмуляторы криптографических устройств, как правило, представляют собой отдельное аппаратное устройство, которое эмулирует поведение других устройств. Они могут быть совместимы со стандартным программным обеспечением или поставляться в комплекте с специальным программным обеспечением для управления и взаимодействия с устройством.

Использование эмулятора криптографического устройства позволяет проводить тестирование и отладку криптошлюза без риска повреждения реального устройства, а также упрощает процесс разработки и интеграции криптографического ПО.

Вопрос-ответ

Могу ли я использовать обычный ПК для диагностики криптошлюза?

Да, можно использовать обычный ПК для диагностики криптошлюза. Для этого на ПК нужно установить программное обеспечение для диагностики криптошлюзов. Кроме того, потребуется сетевой кабель для подключения ПК к криптошлюзу и консольный кабель для подключения ПК к консольному порту криптошлюза.

Что такое RS-232 кабель и для чего он нужен при диагностике криптошлюза?

RS-232 кабель – это тип кабеля, использующийся для соединения компьютера с другими устройствами, включая криптошлюзы, посредством последовательного порта. RS-232 кабель используется при диагностике криптошлюза для подключения ПК к порту криптошлюза. Применение этого кабеля позволяет осуществлять контроль и мониторинг работы криптошлюза через ПК.

Какое оборудование требуется для диагностики криптошлюза

Криптошлюзы являются важной составляющей современных информационных систем. Они обеспечивают защиту данных и обмен информацией между различными сетями. Однако, как и любые устройства, криптошлюзы требуют постоянного технического обслуживания и диагностики.

Для проведения диагностики криптошлюза необходимо иметь определенное оборудование. В первую очередь, потребуется компьютер или ноутбук с операционной системой, поддерживающей ssh-протокол и оснащенный необходимыми программными средствами. Также, для подключения криптошлюза к компьютеру потребуется специальный кабель, например, серийный или USB.

Важно отметить, что при диагностике криптошлюза необходимо соблюдать определенные принципы. Во-первых, перед проведением любых работ с устройством, необходимо ознакомиться с его документацией и инструкцией по эксплуатации. Также, крайне важно иметь все необходимые пароли и учетные данные для доступа к устройству.

Важно помнить, что неправильные действия при диагностике криптошлюза могут привести к его отказу или нарушению безопасности системы в целом. Поэтому следует строго соблюдать все инструкции и правила безопасности при работе с устройством.

В итоге, для диагностики криптошлюза необходимо правильно выбрать и подготовить необходимое оборудование, а также соблюдать определенные принципы работы с устройством. Только при условии соблюдения всех требований можно получить достоверные и полезные результаты диагностики, а также провести действенное техническое обслуживание криптошлюза.

Важность диагностики криптошлюза

Криптошлюз – это специализированное устройство, которое обеспечивает безопасную передачу данных между сетями, используя методы шифрования и аутентификации. Криптошлюзы играют важную роль в защите информации и обеспечении безопасности сетевых соединений в организациях.

Однако, как и любое другое сетевое оборудование, криптошлюзы могут подвергаться различным сбоям и неисправностям. Поэтому регулярная диагностика и проверка работоспособности криптошлюза являются важным этапом в обслуживании и обеспечении безопасности сети.

Вот несколько причин, почему диагностика криптошлюза является важной задачей:

1. Обнаружение неисправностей и сбоев: Диагностика криптошлюза позволяет выявить возможные неисправности устройства, такие как проблемы с модулями шифрования, неисправности в программном обеспечении или аппаратных компонентах. Проведение регулярной диагностики позволяет оперативно обнаружить и устранить проблемы до их серьезного влияния на безопасность сети.
2. Соблюдение стандартов безопасности: Для обеспечения безопасности сети и защиты передаваемых данных криптошлюзы должны работать в соответствии с определенными стандартами безопасности. Диагностика позволяет проверить соответствие криптошлюза таким стандартам и убедиться в его правильной работе.
3. Оптимизация производительности: Проверка работоспособности криптошлюза позволяет выявить возможные проблемы производительности, такие как низкая скорость передачи данных, задержки или потери пакетов. Это позволяет оперативно принять меры для оптимизации производительности криптошлюза.
4. Анализ безопасности: Диагностика криптошлюза позволяет проанализировать уровень безопасности устройства и выявить возможные уязвимости. Это помогает принять меры для укрепления безопасности сети и защиты от угроз.

В целом, диагностика криптошлюза является важным этапом в поддержании безопасности сети и обеспечении надежности устройства. Регулярная проверка и анализ работоспособности криптошлюза позволяет предотвратить возможные проблемы, укрепить безопасность сети и обеспечить эффективное функционирование устройства.

Список необходимого оборудования

Для диагностики криптошлюза вам потребуется следующее оборудование:

1. Компьютер или ноутбук для управления и мониторинга криптошлюза;
2. Сетевой кабель для подключения компьютера к криптошлюзу;
3. Консольный кабель для подключения компьютера к криптошлюзу через консольный порт;
4. Тестер сетевых кабелей для проверки целостности и соединения кабелей;
5. Мультиметр для измерения напряжения и проверки электрических соединений;
6. Специальное программное обеспечение для диагностики и настройки криптошлюза.

Это основное оборудование, необходимое для проведения диагностики криптошлюза. Дополнительное оборудование и инструменты могут потребоваться в зависимости от конкретных требований и задач.

Перед началом работы рекомендуется ознакомиться с инструкцией и руководством пользователя для каждого устройства и программного обеспечения, чтобы правильно настроить и использовать оборудование. Также стоит учесть все меры безопасности при работе с электронным оборудованием.

Неправильное использование или несоблюдение рекомендаций может привести к неполадкам и повреждению оборудования.

Сетевой анализатор

Сетевой анализатор – это устройство, предназначенное для анализа и мониторинга сетевого трафика. Оно является неотъемлемой частью инструментария специалистов по диагностике и обслуживанию сетевого оборудования, включая криптошлюзы.

Важным преимуществом сетевых анализаторов является их способность работать в пассивном режиме, то есть без необходимости изменять настройки оборудования или выполнять какие-либо действия на сети. Они просто подключаются к сетевому сегменту и начинают анализировать проходящий через него трафик.

Основные функции сетевого анализатора:

• Захват и анализ пакетов данных – анализатор может захватывать пакеты данных, передаваемые в сети, и анализировать их содержимое. Он позволяет просматривать заголовки и полезную нагрузку (payload) пакетов, идентифицировать протоколы, определять и анализировать аномалии в сетевой активности.
• Статистический анализ – сетевой анализатор способен собирать и агрегировать статистику о передаче данных в сети. Он может отображать графики нагрузки, количество переданных пакетов, объемы трафика, а также распределение протоколов и источников/назначений.
• Поиск и анализ аномалий – анализаторы могут обнаруживать и анализировать аномалии в сетевой активности, такие как необычный трафик, поведение или характеристики протоколов, запросы на запрещенные порты и другие аномалии, которые могут указывать на возможные угрозы или проблемы в сети.
• Идентификация протоколов и приложений – сетевой анализатор способен идентифицировать протоколы и приложения, используемые в сети. Это позволяет обнаружить несанкционированные или нежелательные протоколы или приложения, а также оптимизировать работу сети.

Необходимое оборудование для работы сетевого анализатора:

• Сетевой коммутатор – необходим для подключения сетевого анализатора к сетевому сегменту, который требуется анализировать. Коммутатор должен иметь возможность зеркалировать (спанить) трафик на порт, на который подключается анализатор.
• Сетевой анализатор – основное устройство для анализа и мониторинга сетевого трафика. Существует большое количество различных моделей и производителей сетевых анализаторов, каждый из которых обладает своими особенностями и функционалом.
• Компьютер или сервер – требуется для установки программного обеспечения анализатора, а также для визуализации и анализа собранных данных. Компьютер должен быть достаточно производительным, чтобы эффективно обрабатывать и отображать полученные результаты.

Принципы проверки сетевого анализатора:

1. Проверка функционала – необходимо убедиться, что анализатор способен корректно захватывать и анализировать сетевой трафик. Для этого можно провести тестовую передачу данных в сети и проверить, что анализатор успешно захватывает и анализирует эти данные.
2. Проверка надежности – следует убедиться, что анализатор работает стабильно и надежно в течение длительного времени. Для этого можно провести длительное тестирование, захватывая и анализируя сетевой трафик в течение нескольких часов или дней.
3. Проверка точности – важно удостовериться, что анализатор правильно и точно определяет протоколы, приложения и аномалии в сети. Для этого можно провести сравнение результатов анализа с уже известными данными и установленными стандартами поведения в сети.
4. Проверка совместимости – необходимо убедиться, что анализатор совместим с используемым сетевым оборудованием и протоколами. Он должен успешно работать с сетевым коммутатором и поддерживать необходимые протоколы для анализа и мониторинга трафика.

Сетевой анализатор является важным инструментом для диагностики и обслуживания сетевого оборудования, включая криптошлюзы. Он позволяет анализировать сетевой трафик, обнаруживать аномалии и оптимизировать работу сети. Для работы сетевого анализатора необходимо иметь специальное оборудование, такое как сетевой коммутатор, а также произвести проверку его функционала, надежности, точности и совместимости с используемым сетевым оборудованием и протоколами.

Анализатор трафика

Для проведения диагностики криптошлюза рекомендуется использовать анализатор трафика — специальное устройство или программное обеспечение, предназначенное для мониторинга и анализа сетевого трафика.

Анализатор трафика позволяет изучить и анализировать информацию, проходящую через криптошлюз, что помогает выявить проблемы и недостатки в его работе, а также обеспечивает возможность улучшить безопасность и эффективность сети.

Для проведения анализа трафика необходимо иметь следующее оборудование:

1. Компьютер или сервер с установленным анализатором трафика.
2. Кабель для подключения анализатора трафика к порту криптошлюза.

Процесс анализа трафика может быть следующим:

• Подключите компьютер или сервер с установленным анализатором трафика к порту криптошлюза при помощи кабеля.
• Настройте анализатор трафика для сбора и анализа данных, проходящих через криптошлюз.
• Запустите анализатор трафика и проведите тестовую передачу данных через криптошлюз.
• Анализируйте результаты тестовой передачи данных и идентифицируйте возможные проблемы или недостатки в работе криптошлюза.
• Примите меры для устранения выявленных проблем и недостатков.

Анализатор трафика является неотъемлемой частью процесса диагностики криптошлюза, позволяя выявить и исправить проблемы в его работе, а также улучшить безопасность и эффективность сети.

Программатор для чтения EEPROM

Программатор – это специальное устройство, которое позволяет считывать и записывать данные в память электронных устройств, включая EEPROM (Electrically Erasable Programmable Read-Only Memory).

EEPROM – это тип памяти, которая позволяет многократно перезаписывать данные без использования внешнего источника питания. Данная память используется во многих электронных устройствах, включая криптошлюзы.

Для диагностики криптошлюза и чтения данных с EEPROM необходим программатор EEPROM. Основной принцип работы программатора заключается в подключении его к криптошлюзу и считывании данных из памяти EEPROM. Некоторые программаторы также позволяют записывать данные в EEPROM или модифицировать существующие данные.

Основные устройства, которые могут быть использованы в качестве программатора EEPROM:

• Универсальный программатор – устройство, которое поддерживает большинство типов EEPROM и других электронных компонентов. Универсальные программаторы являются наиболее универсальным решением, так как они поддерживают широкий диапазон устройств.
• Специализированный программатор – устройство, которое создано специально для работы с определенным типом EEPROM или группой устройств. Специализированные программаторы часто имеют более высокую производительность и функциональность, но они могут быть более дорогими и иметь ограниченную совместимость.
• Адаптер для программатора – это дополнительное устройство, которое необходимо для работы программатора с конкретным типом EEPROM. Адаптеры предназначены для обеспечения подключения программатора к памяти EEPROM, которая имеет определенный разъем или контактную группу.

При выборе программатора для чтения EEPROM криптошлюза необходимо учитывать следующие факторы:

1. Совместимость программатора с типом EEPROM, используемым в криптошлюзе.
2. Наличие необходимых адаптеров или дополнительных устройств.
3. Функциональные возможности программатора, такие как поддержка чтения и записи данных, модификация данных и другие.
4. Удобство использования и наличие документации или поддержки.

При выполнении диагностики криптошлюза и чтении данных с EEPROM рекомендуется использовать программатор, который обеспечивает требуемую совместимость, функциональность и удобство использования.

Принципы проверки криптошлюза

Проверка криптошлюза включает в себя несколько основных принципов, которые помогают определить работоспособность и безопасность данного устройства:

1. Аутентификация: Проверка криптошлюза начинается с проверки и подтверждения его аутентичности. Это включает проверку источника устройства, т.е. убедиться в его подлинности и правильности установки.
2. Актуализация: Далее, необходимо проверить актуальность программного обеспечения криптошлюза. Проверка позволяет обнаружить уязвимости и возможные ошибки в работе устройства.
3. Проверка функциональности: Данный этап включает проверку работоспособности всех функций криптошлюза. Необходимо проверить, что устройство выполняет необходимые операции шифрования и дешифрования, работает с соответствующими алгоритмами и не затрудняет передачу данных.
4. Проверка безопасности: Основная задача криптошлюза — обеспечить безопасность передаваемых данных. Поэтому важно провести проверку на наличие возможных уязвимостей, как в программном обеспечении, так и в аппаратуре криптошлюза. Это включает анализ логов, проверку работы механизмов шифрования, аутентификации и контроля доступа.
5. Проверка совместимости: Криптошлюз должен соответствовать совместимости с другими сетевыми и телекоммуникационными устройствами. Важно проверить, что криптошлюз работает корректно с другими устройствами, не вызывает сбоев или несовместимости при передаче данных.

Знание и понимание этих принципов помогают в проведении качественной и полной проверки криптошлюза. Это необходимо для обеспечения безопасности передаваемых данных и работы всей сети в целом.

Проверка работоспособности интерфейсов

Для диагностики криптошлюза необходимо проверить работоспособность его интерфейсов. В процессе проверки следует убедиться, что все интерфейсы функционируют корректно и обеспечивают стабильное соединение. Для этого можно использовать следующие устройства:

• Сетевой тестер. С помощью сетевого тестера можно проверить соединение между криптошлюзом и другими сетевыми устройствами. Тестер позволяет определить, есть ли связь и какое качество этой связи.
• Сетевой анализатор. С помощью сетевого анализатора можно проанализировать данные, проходящие через интерфейсы криптошлюза. Анализатор позволяет выявить возможные проблемы сети или неполадки в работе интерфейсов.
• Кабельный тестер. Кабельный тестер позволяет проверить качество сетевых кабелей, используемых для подключения криптошлюза. Такой тестер может помочь выявить неполадки в кабеле, такие как обрывы или помехи.

Для проверки работоспособности интерфейсов криптошлюза следует выполнить следующие шаги:

1. Подключите сетевой тестер или сетевой анализатор к интерфейсу криптошлюза.
2. Запустите тестирование или анализ данных, проходящих через интерфейс.
3. Оцените результаты тестирования или анализа данных. Обратите внимание на потери пакетов, задержки, помехи и другие симптомы проблем сети.
4. При необходимости, используйте кабельный тестер для проверки качества сетевых кабелей.
5. Исправьте обнаруженные проблемы, обратившись к специалисту или производителю криптошлюза.

Проверка работоспособности интерфейсов является важной частью диагностики криптошлюза. Неполадки в интерфейсах могут повлиять на работу всей системы защиты, поэтому рекомендуется регулярно проводить такие проверки.

Проверка защищенности

Проверка защищенности криптошлюза включает в себя ряд этапов, направленных на выявление уязвимостей и обеспечение надежности работы устройства.

1. Проверка конфигурации

Первым этапом проверки является анализ конфигурации криптошлюза. Необходимо проверить, что устройство настроено в соответствии с рекомендациями производителя и с учетом сетевой инфраструктуры организации. Проверяем следующие параметры:

• Настройки сетевых интерфейсов и маршрутизации
• Правила фильтрации трафика
• Пользовательские учетные записи и права доступа

2. Проверка безопасности протоколов

Далее необходимо проверить безопасность используемых протоколов связи. При анализе следует обратить внимание на следующие аспекты:

• Использование сильных алгоритмов шифрования
• Использование безопасных протоколов, таких как IPSec или SSL/TLS
• Безопасность используемых сертификатов и ключей

3. Проверка уязвимостей

Для обнаружения потенциальных уязвимостей в работе криптошлюза рекомендуется проводить систематические сканирования на предмет наличия уязвимостей. Это позволяет быстро выявить проблемные места и принять меры по их устранению. Основным инструментом для проведения сканирования является специализированное программное обеспечение для поиска уязвимостей.

4. Проверка логов

Анализ логов работы криптошлюза позволяет выявить подозрительную или потенциально опасную активность. Рекомендуется регулярно проверять логи и настраивать систему мониторинга событий. Это помогает оперативно реагировать на инциденты и предотвращать потенциальные угрозы.

5. Проведение пентеста

Исследование криптошлюза с помощью метода пентестинга может помочь в выявлении уязвимостей и проверке эффективности защитных мероприятий. Пентест – это имитация атаки на систему с целью проверки ее устойчивости к реальным угрозам. Он включает в себя поиск слабых мест и проведение испытаний на проникновение в систему.

6. Исследование новых угроз

С учетом того, что киберугрозы постоянно эволюционируют, важно регулярно изучать новые виды угроз и обновлять защитные механизмы криптошлюза. Следить за выходом новых обновлений программного обеспечения и внедрять их при необходимости. Также стоит обратить внимание на специализированные ресурсы, где публикуются информация о новых уязвимостях и тактиках хакеров.

Обзор рынка криптографических шлюзов — 2023

Мировой и российский рынки криптошлюзов: каковы современные тенденции их развития? Расскажем об актуальных тенденциях мирового рынка VPN, а также рассмотрим популярные криптошлюзы, представленные на российском рынке, и назовём их ключевые особенности.

1. 4.1. ALTELL NEO («АльтЭль»)
2. 4.2. Dionis DPS («Фактор-ТС»)
3. 4.3. NGate («КриптоПро»)
4. 4.4. ViPNet Coordinator HW («ИнфоТеКС»)
5. 4.5. «Атликс-VPN» («НТЦ Атлас»)
6. 4.6. «ЗАСТАВА» («ЭЛВИС-ПЛЮС»)
7. 4.7. «Континент» («Код Безопасности»)
8. 4.8. МКСЗ «Diamond VPN/FW» (ТСС)
9. 4.9. «С-Терра Шлюз» («С-Терра СиЭсПи»)
10. 4.10. «ФПСУ-IP» («АМИКОН», «ИнфоКрипт»)

Введение

Криптографический шлюз (криптошлюз, криптомаршрутизатор, VPN-шлюз) — программный или программно-аппаратный комплекс для криптографической защиты трафика, передаваемого по каналам связи, путём шифрования пакетов по различным протоколам. Программно-аппаратные комплексы состоят из оборудования (платформы) и среды функционирования криптосредства, а среда, в свою очередь, включает в себя индивидуализированную операционную систему и криптомодуль, который и выполняет криптографические функции: шифрование, расшифровку, формирование и проверку кода аутентификации сообщения.

Основные категории потребителей криптошлюзов — организации различного масштаба, государственные учреждения, частные компании. На сегодняшний день функциональность VPN-шлюза является составной частью практически любого сетевого устройства, будь то маршрутизатор корпоративного уровня, домашний вайфай-роутер или межсетевой экран. С учётом этой специфики ниже будут рассмотрены продукты ключевых игроков российского рынка, использующие ГОСТ-шифрование.

В фокусе этого обзора — межсайтовое шифрование L2 / L3. Отдельной строкой отметим присутствие на рынке продуктов для защищённого удалённого доступа на базе протокола TLS (TLS-шлюзов), а также средств криптографической защиты уровня L1, которые в рамках этого обзора не рассматриваются.

Мировой рынок криптошлюзов

Согласно исследованию компании Global Market Insights, ожидается, что к 2032 году VPN с удалённым доступом принесёт около 50 % прибыли. Многие организации внедряют его, потому что заинтересованы в его способности обеспечивать защищённую связь, гибкость и повышенную производительность за счёт расширения корпоративной сети, а также её приложений, стимулируя расширение сегмента. Растущий спрос на более гибкие возможности в удалённых рабочих средах также является стимулом.

Рынок VPN демонстрирует сильный рост в том числе благодаря банковскому сегменту, который занимал 35 % рынка в 2022 году. Растущая склонность потребителей к онлайн-банкингу повышает доходы в сегменте.

Прогресс удалённой работы ещё больше повысил спрос на организацию зашифрованных соединений через интернет. Программное обеспечение VPN позволяет сотрудникам безопасно получать доступ к компьютерной сети своей организации во время удалённой работы.

Также сегмент растёт благодаря интересу к возможности свободно перемещаться по интернету без идентификации, отслеживания или мониторинга.

Рисунок 1. Динамика глобального рынка VPN, 2018–2032 годы (Global Market Insights)

Ожидается, что рынок виртуальных частных сетей будет расти примерно на 20 % в год до 2032 года, что обусловлено расширением проникновения интернета в ряде регионов. По данным GSMA Intelligence, к концу 2020 года более 280 миллионов человек на Ближнем Востоке и в Африке (45 % населения) были подключены к мобильному интернету. Рост также может объясняться спросом на укрепление институциональной устойчивости предприятий к потенциальным кибератакам.

Согласно исследованию компании Verified Market Research, рынок VPN сегментируется на программное обеспечение, аппаратное обеспечение (криптошлюзы или UTM с функциями VPN) и услуги. При этом с точки зрения географии аналитики делят его на следующие макрорегионы: Северная Америка, Европа, Азиатско-Тихоокеанский регион и остальной мир.

Рисунок 2. Сегментация глобального рынка VPN, 2021–2028 годы (Verified Market Research)

Рыночный ландшафт на мировой арене составляют:

• Check Point;
• Cisco Systems;
• Citrix Systems;
• F5 Networks;
• Juniper Networks;
• SonicWall;
• Riverbed Technology.

Как можно увидеть, на сегодняшний день выбор поставщиков VPN на мировом рынке весьма велик.

Российский рынок криптошлюзов

Российский рынок криптошлюзов является вполне зрелым: он начал формироваться ещё в девяностых. Одной из главных причин востребованности криптошлюзов на российском рынке является необходимость выполнения требований действующего законодательства и нормативных актов в области защиты информации: приказов ФСТЭК и ФСБ России.

Согласно исследованию Anti-Malware.ru, в 2020 году объём продаж VPN-шлюзов в России составил 5 млрд рублей (14,4 % рынка сетевой безопасности). Высокие результаты связаны в большей мере с организацией удалённой работы сотрудников в периоды самоизоляции.

Российский рынок VPN-шлюзов, как и многие другие сферы информационной безопасности, переживает времена турбулентности. Уход зарубежных игроков предоставил отечественным вендорам широкое поле для деятельности.

На российском рынке представлены продукты следующих российских вендоров:

• ALTELL NEO («АльтЭль»);
• Diamond VPN (ТСС);
• Dionis-NX («Фактор-ТС»);
• NGate («КриптоПро»);
• ViPNet Coordinator HW («ИнфоТеКС»);
• «Атликс-VPN» («НТЦ Атлас»);
• «ЗАСТАВА» («ЭЛВИС-ПЛЮС»);
• «Континент» («Код Безопасности»);
• «С-Терра Шлюз» («С-Терра СиЭсПи»);
• «ФПСУ-IP» («АМИКОН», «ИнфоКрипт»).

Краткий обзор продуктов, представленных на российском рынке, приведён ниже.

Краткий обзор криптошлюзов, представленных на российском рынке

ALTELL NEO («АльтЭль»)

ALTELL NEO — российские аппаратные межсетевые экраны нового поколения, сертифицированные ФСТЭК России. Главная особенность этих устройств — сочетание возможностей фильтрации трафика с функциями построения защищённых каналов связи (VPN), обнаружения и предотвращения вторжений (IDS / IPS) и контент-фильтрации (антивирусы, веб- и спам-фильтры, контроль приложений), что обеспечивает соответствие современной концепции унифицированной защиты сети (Unified Threat Management, UTM).

Рисунок 3. Внешний вид ALTELL NEO 340

Модельный ряд ALTELL NEO позволяет удовлетворить запросы любой организации: от небольшой компании или регионального филиала до штаб-квартиры крупного территориально распределённого холдинга или центра обработки данных. В настоящее время «АльтЭль» предлагает семь моделей ALTELL NEO с производительностью от 18 до 2 400 Мбит/с.

Особенности:

• Сертификаты соответствия требованиям безопасности ФСТЭК России для межсетевых экранов.
• Широкая линейка аппаратных платформ.
• Модульная архитектура аппаратной и программной составляющих (три варианта системного ПО: FW, VPN, UTM, дополнительные модули и опции).

Узнать больше о продукте можно здесь.

Dionis DPS («Фактор-ТС»)

Dionis DPS — это единый центр управления защитой сети, сертифицированный ФСБ и ФСТЭК России. Шлюз гарантирует безопасность передачи конфиденциальной информации через незащищённые сети общего пользования. Dionis DPS обеспечивает криптографическую защиту, выполняет функции маршрутизатора и межсетевого экрана, включает в себя систему обнаружения и предотвращения вторжений (IPS / IDS). Маршрутизаторы работают под управлением операционной системы Dionis NX 2.0.

Статические криптотуннели создаются с использованием симметричных ключей и на ключевых парах Dikey, c шифрованием и имитозащитой IP-трафика по алгоритму ГОСТ 28147-89 (совместимы с хостами Dionis всех версий, в том числе DOS и LX и ПО DiSec). Динамические — по протоколу IPsec (IKEv1, ESP), с шифрованием и имитозащитой передаваемых IP-пакетов и двусторонней криптографической аутентификацией по алгоритмам ГОСТ 281470-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.11-2012, ГОСТ Р 34.10-2012, в инфраструктуре открытых ключей (сертификаты X.509), с контролем состояния туннеля; обеспечивается совместимость с изделиями семейства Dionis и с клиентским ПО семейства DiSec, а также с VPN-решениями от «КриптоПро», Stonesoft, «С-Терра». Шифратор имеет синхронный режим работы, исключающий перемешивание пакетов (out-of-order).

Рисунок 4. Внешний вид Dionis DPS 7000

Модельный ряд ориентирован как на небольшие компании, так и на крупные организации с большими центрами обработки данных. Обеспечивается скорость шифрования от 100 до 8 000 Мбит/с.

Особенности:

• Сертификат ФСТЭК России на МЭ типа «А» 2-го класса защиты и на СОВ уровня сети 2-го класса защиты, сертификат ФСБ России для СКЗИ по классам КС1, КС3.
• Широкая линейка аппаратных платформ.
• Централизованное управление.

Узнать больше о продукте можно здесь.

NGate («КриптоПро»)

«КриптоПро NGate» — это универсальный криптографический шлюз удалённого доступа и VPN, объединяющий в себе четыре режима доступа. В частности, режим TLS-сервера используется для безопасного подключения к веб-сайтам (государственным порталам, сайтам организаций и ДБО и пр.) и снятия нагрузки по обработке TLS-соединений с веб-серверов. NGate обеспечивает одновременную поддержку TLS с ГОСТ и зарубежными криптоалгоритмами. Это позволяет реализовать плавный перевод защиты доступа к веб-сайтам на ГОСТ.

Режим сервера портального доступа используется для организации персонального доступа пользователей к опубликованным на портале NGate веб-ресурсам в соответствии с корпоративными политиками ИБ. Режим VPN-сервера удалённого доступа предназначен для подключения к произвольным ресурсам с помощью VPN-клиента‚ поддерживающего все популярные платформы. При этом разграничение доступа возможно на уровне подсетей, в том числе виртуальных (VLAN). Наконец, режим VPN-сервера межсетевого доступа (site-to-site) используется для объединения нескольких территориально распределённых площадок (в том числе ЦОДов) в единую защищённую логическую сеть.

Рисунок 5. Внешний вид NGate 3000

Имеется широкая линейка высокопроизводительных аппаратных платформ (один узел шлюза NGate поддерживает до 45 000 соединений с обработкой информационных потоков до 20 Гбит/с в режиме TLS-сервера). Возможно также функционирование в виртуальных средах.

Особенности:

• Сертификаты соответствия по требованиям безопасности ФСБ России (есть исполнения КС1, КС2, КС3). Информация о действующих сертификатах доступна здесь.
• Возможность использования ключей PSK (Pre-Shared Key) и сертификатов шлюзов для аутентификации сторон при построении межсайтового IPsec VPN.
• Поддержка многофакторной аутентификации (по сертификату, LDAP / AD, RADIUS) и гибкое разграничение прав доступа к ресурсам.
• Поддержка аппаратных ключевых носителей: «Рутокен», eToken, JaCarta, ESMART и др., а также ПАК «КриптоПро HSM» для хранения серверных ключей.
• Поддержка всех современных стационарных и мобильных ОС (в т. ч. «Аврора»).

С обзором продукта на нашем сайте можно ознакомиться здесь.

Узнать больше о продукте можно здесь.

ViPNet Coordinator HW («ИнфоТеКС»)

VIPNet Coordinator HW — линейка шлюзов безопасности, нацеленных на построение виртуальной сети и обеспечение защиты при передаче информации. Coordinator HW также производят фильтрацию IP-трафика. Встроенные криптографические механизмы и межсетевое экранирование делают ПАК VIPNet Coordinator HW отличным инструментом для предотвращения неправомерного доступа к корпоративным ресурсам.

В конце 2022 года было представлено новое поколение шлюзов безопасности ViPNet Coordinator HW 5, которое объединяет в одном устройстве VPN-шлюз, межсетевой экран уровня приложений (DPI) и средство обнаружения и предотвращения вторжений (IDS / IPS). ViPNet Coordinator HW 5 в настоящее время проходит сертификацию в ФСБ и ФСТЭК России.

Рисунок 6. Внешний вид HW5000

Модельный ряд включает в себя оборудование с широким диапазоном производительности: от 75 до 10 000 Мбит/с.

Особенности:

• Сертификаты соответствия по требованиям безопасности ФСБ России (СКЗИ класса КС3, МЭ 4-го класса) и ФСТЭК России (МЭ типа «А» и типа «Б» 4-го класса защиты). Информация о действующих сертификатах доступна здесь.
• Широкая линейка аппаратных платформ, включённых в Единый реестр радиоэлектронной продукции (ПП РФ № 719 и ПП РФ № 878).
• Доступно виртуализированное исполнение — ViPNet Coordinator VA (СКЗИ класса КС1) для развёртывания на популярных платформах виртуализации (KVM, VMware ESXi, Microsoft Hyper-V, Oracle VM).
• Построение VPN на сетевом (L3) и канальном (L2) уровнях модели OSI.
• Отказоустойчивый кластер высокой доступности с синхронизацией сессий позволяет минимизировать время переключения между элементами кластера до 1 секунды.

Узнать больше о продукте можно здесь.

«Атликс-VPN» («НТЦ Атлас»)

«Атликс-VPN» предназначен для создания и организации взаимодействия высокозащищённых виртуальных сетей (VPN) на основе протокола IPsec и стандарта Х.509 с использованием российских криптографических алгоритмов. Обеспечивает шифрование, целостность и достоверность передаваемой информации в рамках доступных IP-сетей (в том числе сети «Интернет»). Скорость работы криптотуннеля — 85 Мбит/с.

Аппаратная часть разработана на основе специализированной платформы. Программная часть выполнена на основе специально доработанной (с целью повышения её защищенности от несанкционированных воздействий по каналам связи) операционной системы Linux.

Рисунок 7. Внешний вид «Атликс-VPN»

В части защиты от сетевых атак «Атликс-VPN» обеспечивает фильтрацию входящих и исходящих IP-пакетов.

ПАК предусматривает возможность единого централизованного управления конфигурациями, а также имеет веб-интерфейс для диагностики и администрирования.

Особенности:

• Сертификаты соответствия ФСБ России (соответствует классу КВ2).
• Для ввода ключевой информации используется микропроцессорная карта «Микрик».

Узнать больше о продукте можно здесь.

«ЗАСТАВА» («ЭЛВИС-ПЛЮС»)

Комплекс «VPN/FW “ЗАСТАВА”» версии 6 предназначен для защиты корпоративных вычислительных ресурсов на сетевом уровне модели OSI с использованием технологий VPN и распределённого межсетевого экранирования на основе интернет-протоколов семейства IPsec.

«ЗАСТАВА» обеспечивает конфиденциальность передаваемой информации за счёт её шифрования в соответствии с ГОСТ 28147-89, защиту доступа к корпоративным вычислительным ресурсам за счёт использования протоколов двухсторонней криптографической аутентификации при установлении соединений на базе протокола IKEv2, контроль целостности данных посредством вычисления значения их хеш-функции в соответствии с ГОСТ Р 34.11-94 и/или ГОСТ Р 34.11-2012 (в зависимости от комплектации). Поддерживается схема открытого распределения ключей шифрования Диффи — Хеллмана на основе алгоритмов ГОСТ Р 34.10-2001 и/или ГОСТ Р 34.10-2012 (также в зависимости от комплектации).

Рисунок 8. Внешний вид устройства «ЗАСТАВА‑6000»

В линейку продуктов «Застава» входят аппаратные платформы со скоростью шифрования от 200 до 6 000 Мбит/с.

Особенности:

• Сертификаты соответствия по требованиям безопасности ФСТЭК, ФСБ (есть исполнения КС1, КС2 и КС3) и Минобороны России. Информация о действующих сертификатах доступна здесь.
• Широкая линейка аппаратных платформ.
• Возможность оперативного управления десятками тысяч шлюзов и агентов одновременно.
• Поддержка L3 VPN и L2 VPN.

Узнать больше о продукте можно здесь.

«Континент» («Код Безопасности»)

«Континент 3» — централизованный комплекс для защиты сетевой инфраструктуры и создания VPN-сетей с использованием алгоритмов ГОСТ. Модельный ряд позволяет подобрать решение для организации связи с удалёнными подразделениями, филиалами или партнёрами по каналам связи с различной пропускной способностью.

Рисунок 9. Внешний вид устройства «Континент 3.9 IPC-3000FC»

Производительность L2 VPN варьируется от 120 до 40 000 Мбит/с. При этом на специализированной аппаратной платформе «Континент 3.9 IPC-3000FC-40G» реализован криптоускоритель с производительностью VPN ГОСТ до 40 Гбит/с и задержками обработки трафика около 50 мкс.

Особенности:

• Сертификаты соответствия по требованиям безопасности ФСТЭК, ФСБ (есть исполнения КС2, КС3 и КВ), Минкомсвязи и Минобороны России. Информация о действующих сертификатах доступна здесь.
• Возможность централизованного управления.
• Собственная разработка аппаратных платформ (локализованное в РФ производство).
• Поддержка VPN-клиента с возможностью контроля внешней среды удалённых устройств пользователей.
• Поддержка L3 VPN и L2 VPN.

С обзором продукта на нашем сайте можно ознакомиться здесь.

Узнать больше о продукте можно здесь.

МКСЗ «Diamond VPN/FW» (ТСС)

Многофункциональный комплекс сетевой защиты (МКСЗ) «Diamond VPN/FW» является UTM-решением, которое обеспечивает безопасность каналов передачи данных, межсетевое экранирование, обнаружение и отражение атак. За криптографическую защиту в Diamond VPN/FW отвечает СКЗИ Dcrypt. Реализация криптографических функций осуществляется по ГОСТ 28147-89, ГОСТ Р 34.12-2015, ГОСТ Р 34.13-2015, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012 и требованиям ФСБ России. Защищённое соединение устанавливается на четвёртом уровне стандартной сетевой модели по протоколу UDP.

Такой подход позволяет беспрепятственно строить защищённые каналы передачи данных через устройства, которые осуществляют трансляцию IP-адресов (NAT / PAT), без дополнительных настроек и дополнительной инкапсуляции сетевых пакетов. При установке защищённого соединения используется модель «клиент — сервер». Устройство в режиме «сервер» ожидает подключения к заданному сетевому порту, а в режиме «клиент» — инициирует подключение к заданному сетевому адресу и порту.

Рисунок 10. Внешний вид МКСЗ «Diamond VPN/FW» 71хх

Модельный ряд включает в себя оборудование с широким диапазоном производительности, что позволяет подобрать решения для любого предприятия.

Особенности:

• Сертификат ФСБ России для СКЗИ по классам КС1, КС2, КС3 (информация о действующих сертификатах доступна здесь).
• Широкая линейка аппаратных платформ.
• Централизованное управление.

Узнать больше о продукте можно здесь.

«С-Терра Шлюз» («С-Терра СиЭсПи»)

«С-Терра Шлюз» предназначен для обеспечения безопасности сети связи любой топологии (VPN) и с любым количеством туннелей. Криптографическая защита и фильтрация распространяются как на трафик подсетей, проходящий через шлюз, так и на его собственный поток данных.

«С-Терра Шлюз» обеспечивает шифрование и имитозащиту передаваемого трафика по протоколам IPsec (RFC 2401-2412) и с использованием современных российских криптографических алгоритмов, маскировку топологии защищаемого сегмента сети, аутентификацию абонентов по протоколу IKE (RFC 2407, RFC 2408, RFC 2409, RFC 2412), stateless-фильтрацию IP-трафика и stateful-фильтрацию для протоколов TCP и FTP. Применение одного устройства «С-Терра Шлюз» решает сразу несколько типов задач: удалённый доступ с мультифакторной аутентификацией, межсетевая связь (site-to-site), L2 VPN, DM VPN.

Рисунок 11. Внешний вид «С-Терра Шлюз 8000»

Модельный ряд включает в себя оборудование с широким диапазоном производительности: от 150 до 9 290 Мбит/с.

Особенности:

• Вся линейка «С-Терра Шлюз» версии 4.3 сертифицирована ФСБ России в качестве СКЗИ по классам КС1, КС2, КС3, а также ФСТЭК России в качестве межсетевого экрана типа «А» 4-го класса защиты (с информацией о действующих сертификатах можно ознакомиться здесь).
• Наличие аппаратных платформ российского производства, в том числе специализированной разработки (СТК-100).
• Наличие системы централизованного управления и мониторинга (подробнее — здесь).
• Построение VPN на сетевом (L3) и канальном (L2) уровнях модели OSI.

Узнать больше о продукте можно здесь.

«ФПСУ-IP» («АМИКОН», «ИнфоКрипт»)

Семейство криптомаршрутизаторов «ФПСУ-IP» разработано ООО «АМИКОН» при участии ООО «ИнфоКрипт», целиком базируется на отечественных разработках и стандартах.

Комплекс «ФПСУ-IP» в основном предназначен для межсетевого экранирования и разграничения доступа на сетевом и транспортном уровнях, а также для построения виртуальных частных сетей на базе общедоступных (VPN), для оптимизации и повышения пропускной способности каналов связи.

Режим работы VPN-соединения «мост» реализовывает шифрование и туннелирование пользовательских данных на уровне Ethernet-кадров (L2-шифрование). Этот режим предназначен для «прозрачного» объединения сегментов защищаемой сети через общедоступные каналы связи.

Рисунок 12. Внешний вид «ФПСУ-IP» на базе платформы ULT-1U-10G

Модельный ряд позволяет подобрать решение для организации связи с удалёнными подразделениями, филиалами или партнёрами по каналам связи с различной пропускной способностью. Модель начального уровня ORD4 предназначена для защиты каналов связи до 50 Мбит/с, а «ФПСУ-IP» на базе платформ ULT-1U-10G обеспечивает производительность до 12 Гбит/c при размере IP-пакета 1450 байт.

Особенности:

• Сертификаты соответствия по требованиям безопасности ФСТЭК и ФСБ России (есть исполнения КС1, КС2, КС3). Информация о действующих сертификатах доступна здесь.
• Широкая линейка аппаратных платформ.
• Наличие аппаратных платформ российского производства.
• Поддержка L3 VPN и L2 VPN.

Узнать больше о продукте можно здесь.

Выводы

В настоящее время рынок VPN хорошо развит, ведь построение VPN-сетей является одной из базовых составляющих защиты географически распределённых сетей. На мировом рынке представлены десятки решений от ветеранов отрасли сетевой безопасности (Cisco Systems, Citrix Systems, Check Point, Juniper Networks, F5 Networks, SonicWall, Riverbed Technology).

Российский рынок криптошлюзов — вполне зрелый и развивается ещё с начала девяностых. На рынке представлены многочисленные решения от российских вендоров («НТЦ Атлас», «Элвис-Плюс», «Код Безопасности», «Амикон», «АльтЭль», «С-Терра СиЭсПи», ТСС, «Фактор-ТС», «КриптоПро», «ИнфоТеКС»).

При этом одним из драйверов востребованности криптошлюзов на российском рынке является необходимость выполнения требований действующего законодательства и нормативных актов в области защиты информации.

Сегодня российский рынок криптошлюзов, как и многие другие сферы информационной безопасности, переживает времена турбулентности. Уход зарубежных игроков предоставил отечественным вендорам широкое поле для деятельности.