ViPNet Coordinator HW1000

Можно скачать этот документ в формате MS Word. Скачивание доступно только зарегистрированным пользователям.

Универсальный криптошлюз и межсетевой экран

Общие сведения

Современные мультисервисные распределенные корпоративные системы обработки данных представляют собой совокупность высокоскоростного сетевого оборудования, поддерживающего приоритезацию трафика, а также большого числа всевозможных прикладных платформ и сервисов реального времени (IP-телефонии и видеоконференцсвязи), реализующих IT-фундамент бизнес-процессов и средств общения в компании. Постановка задачи защиты информации в подобных сетях всегда требует поиска ответов на большое число разнонаправленных вопросов и выбора компромисса между возможностями представленных на рынке средств защиты информации (СЗИ), сроками реализации и ценой.

Техническая документация:

ПАК ViPNet Coordinator HW. Руководство администратора

ПАК ViPNet Coordinator HW. Система защиты от сбоев. Руководство администратора

Апплет мониторинга и управления ViPNet-координатором. Руководство пользователя

Базовыми требованиями к СЗИ при этом выступают:

• выполнение целевых функций;
• удобство и простота обслуживания;
• оптимальная производительность;
• высокая надежность в режиме 24/7/365;
• невысокая совокупная стоимость владения на всем жизненном цикле;
• соответствие требованиями регулирующих органов (сертификаты соответствия);
• невозможность или нецелесообразность установки программных средств защиты непосредственно на само оборудование.

ViPNet Coordinator HW1000 — это криптошлюз и межсетевой экран, построенный на аппаратной платформе телекоммуникационных серверов компании «Аквариус». Он легко интегрируется в существующую инфраструктуру, надежно защищает передаваемую по каналам связи информацию от несанкционированного доступа и подмены. Использование адаптированной ОС Linux и надежной аппаратной платформы серверов AquaServer позволяет применять ViPNet Coordinator HW1000 в качестве корпоративного решения, к которому предъявляются самые жесткие требования по функциональности, удобству эксплуатации, надежности и отказоустойчивости.

ViPNet Coordinator HW1000 построен на базе ПО ViPNet Coordinator Linux и выполняет в ViPNet-сети функции ПО ViPNet Coordinator, включая функцию VPN-сервера для доступа удаленных VPN-клиентов, оснащенных ПО ViPNet Client и сервера почтовой программы ViPNet Client [Деловая Почта].

Технические характеристики:

Аппаратная платформа	Телекоммуникационный сервер AquaServer T40 S44, построен на основе процессора Intel® Core™ i3, что позволяет добиться рекордно низкого уровня шума и минимального энергопотребления системы (70 Вт), при сохранении высокого уровня производительности для систем данного класса. Сервер обладает исключительной компактностью и отличается удобством для проведения монтажных, ремонтных и сервисных работ.
Источник питания	220W
Размеры	19” Rack 1U (для установки в стойку глубиной от 480 мм и более) 432х43,6х375 (ШхВхГ)
Операционная система	Адаптированная ОС Linux
Число сетевых портов	4х Ethernet 100/1000 Mbit
Совместимость с другими программами	C любыми VPN-продуктами из линейки ViPNet CUSTOM версий 2.8 и 3.x (ViPNet Coordinator, ViPNet Coordinator "Failover", ViPNet Client)
Протоколы туннелирования	По технологии ViPNet (инкапсуляция любого IP-трафика приложений в IP#241 и UDP)
Шифрование/ Аутентификация	Шифрование по ГОСТ 28147-89 (256 бит), Аутентификация для каждого зашифрованного IP-пакета на основе технологии симметричного распределения ключей ViPNet и уникального идентификатора
Производительность шифрования	UDP-, TCP-трафик – до 280 Мбит/сек.
Число одновременно поддерживаемых защищенных соединений	Без ограничений
Инфраструктура ключей	Парные симметричные ключи шифрования, обеспечивающие гарантированно высокую стойкость шифрования. Симметричная ключевая структура не требует дополнительных открытых процедур синхронизации для формирования ключей, что повышает помехозащищенность системы, исключает задержки в обработке любых сетевых протоколов, обеспечивает мгновенную (по первому поступившему IP-пакету) организацию любых сетевых подключений других участников VPN. Автоматическое распределение симметричной ключевой информации при появлении в сети новых пользователей, задании в Центре управления сетью новых связей или удалении существующих связей, компрометации ключей или штатных процедурах смены ключевой информации.
Маршрутизация	Статическая маршрутизация. Прозрачность для NAT-устройств (для защищенного трафика). Поддержка DHCP. Помимо основных функций по туннелированию трафика между локальными сетями и с удаленным сетевым оборудованием, может выполнять функции сервера доступа для удаленных VPN-клиентов с установленным ПО ViPNet Client. Автоматическая регулировка параметров MSS в TCP-сессиях для исключения излишней фрагментации трафика, которая может возникать при передаче длинных пакетов. Возможность работы при изменении собственных IP-адресов, IP-адресов NAT – устройств, возможность работы за устройствами с динамическими правилами NAT. Возможность каскадирования в сегментированных сетях с целью разграничения доступа. Возможность назначения виртуальных IP-адресов для любых удаленных узлов. Функция динамического NAT для открытых пакетов (организация доступа рабочих станций или сетевого оборудования в открытую сеть/Интернет)
Фильтрация	Пакетная фильтрация по IP-адресу источника и назначения (или диапазону IP-адресов), номерам портов и типам протоколов, типам и кодам сообщений ICMP, направлению пакетов, клиенту или серверу в TCP -соединении. Контроль фрагментированных пакетов, предотвращение DoS-атак. Поддержка режима открытых инициативных соединений (режим невидимости для внешних хостов). Поддержка раздельной фильтрации для открытого IP-трафика (функция межсетевого экрана) и шифруемого IP-трафика (функция криптошлюза); Антиспуфинг.
Настройка и управление	Удаленная/локальная настройка через специализированную консоль ViPNet; Удаленная настройка базовых параметров через ViPNet Administrator; Поддержка SNMP trap для удаленного оповещения о событиях; Удаленный запрос журнала IP-пакетов (через Windows-продукты ViPNet Coordinator и Client ); Java-апплет мониторинга текущего состояния ViPNet SGA v.3; Ведение syslog на удаленном компьютере.
Поддержка QoS	IP TOS-мапирование поверх зашифрованных IP-пакетов (IP#241 или UDP), при шифровании приоритезация трафика, выполненная какими-либо сетевыми устройствами, сохраняется.
Доступность и надежность	Отсутствует понятие защищенных соединений, поэтому нет задержек в сетевых протоколах и их нарушений, любой IP-пакет обрабатывается сразу после получения. Нет потери защищенных соединений и необходимости их восстановления, как в технологии IPSec. Специальная архитектура файловой системы предотвращает возможность порчи образа операционной системы и ПО ViPNet при сбоях питания. Использование в качестве устройства хранения данных (ОС, ПО ViPNet и настроек) SSD-диска. Возможность реализации на базе данного продукта отказоустойчивого решения (failover)
Обновление ПО модуля	Централизованное удаленное обновление ПО ViPNet Coordinator Linux в модуле через ViPNet Administrator с контролем прохождения обновления

Сценарии использования

Совместно с другими программными продуктами из состава комплекса ПО ViPNet CUSTOM ViPNet Coordinator HW 1000 обеспечивает эффективную реализацию множества сценариев защиты информации:

• Межсетевые взаимодействия;
• Защищенный доступ удаленных и мобильных пользователей;
• Защита беспроводных сетей связи;
• Защита мультисервисных сетей (включая IP-телефонию и видеоконференцсвязь);
• Разграничение доступа к информации в локальных сетях; а также любые комбинации перечисленных выше сценариев.

Рис.1. Пример использования ViPNet Coordinator HW 1000.

Преимущества

• Использование в качестве аппаратной платформы надежного промышленного сервера типоразмера 19” 1U;
• Программное обеспечение создано на базе провереннего многолетней эксплуатацией ПО ViPNet Coordinator Linux и технологии защиты информации ViPNet;
• Количество одновременно установленных соединений через криптошлюз не ограничивается;
• Поддержка работы в современных мультисервисных сетях связи с серверами DHCP, WINS, DNS и преобразованием адресов (NAT, PAT);
• Использование в качестве центра генерации ключей шифрования сертифицированного ФСБ России ПО ViPNet Administrator из состава СКЗИ «Домен-КС2/КМ»;
• Низкая стоимость по сравнению с аналогичными по возможностям СЗИ других отечественных компаний;
• Возможность проведения СИиСП оборудования серверов.