Континент как межсетевой экран

Обновлено: 05.07.2024

АПКШ «Континент» (программный комплекс шифрования «Континент») — аппаратно-программный комплекс, позволяющий обеспечить защиту информационных сетей организации от вторжения со стороны сетей передачи данных (Интернет), конфиденциальность при передаче информации по открытым каналам связи (VPN), организовать безопасный доступ пользователей VPN к ресурсам сетей общего пользования, а также защищенное взаимодействие сетей различных организаций.

Является сертифицированным продуктом и обладает сертификатами ФСТЭК и ФСБ. [Источник 1]

Содержание

Назначение

Комплекс обеспечивает криптографическую защиту информации (в соответствии с ГОСТ 28147–89), передаваемой по открытым каналам связи, между составными частями VPN, которыми могут являться локальные вычислительные сети, их сегменты и отдельные компьютеры. [Источник 2] [Источник 3]

Современная ключевая схема, реализуя шифрование каждого пакета на уникальном ключе, обеспечивает гарантированную защиту от возможности дешифрации перехваченных данных.

Для защиты от проникновения со стороны сетей общего пользования комплекс «Континент» 3.7 обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Осуществляет поддержку VoIP, видеоконференций, ADSL, Dial-Up и спутниковых каналов связи, технологии NAT/PAT для сокрытия структуры сети.

Область применения

  • Защита внешнего периметра сети от вредоносного воздействия со стороны сетей общего пользования.
  • Создание отказоустойчивой VPN-сети между территориально распределенными сетями.
  • Защита сетевого трафика в мультисервисных сетях (VoIP, Video conference).
  • Разделение сети на сегменты с различным уровнем доступа.
  • Организация защищенного удаленного доступа к сети для мобильных сотрудников.
  • Защита пользовательского траффика, использующего беспроводную сеть в качестве канала.
  • Организация защищенного межсетевого взаимодействия между конфиденциальными сетями.

Возможности

  • Безопасный доступ пользователей VPN к ресурсам сетей общего пользования
  • Криптографическая защита передаваемых данных в соответствии с ГОСТ 28147–89
  • Межсетевое экранирование – защита внутренних сегментов сети от несанкционированного доступа
  • Безопасный доступ удаленных пользователей к ресурсам VPN-сети
  • Создание информационных подсистем с разделением доступа на физическом уровне
  • Возможность идентификации и аутентификации пользователей, работающих на компьютерах в защищаемой сети криптошлюзов

Основные характеристики

  • Поддержка распространенных каналов связи
  • Прозрачность для любых приложений и сетевых сервисов
  • Работа с высокоприоритетным трафиком
  • Резервирование гарантированной полосы пропускания за определенными сервисами
  • Поддержка VLAN
  • Скрытие внутренней сети. Поддержка технологий NAT/PAT
  • NAT внутри VPN-связей
  • Интеграция с внешними системами анализа событий безопасности
  • L2VPN
  • Поддержка NTP на ЦУСе
  • АРМ генерации ключей
  • Поддержка протокола IPv6
  • Режим повышенной безопасности
  • Возможность удобного защищенного взаимодействия между сетями разных организаций
  • Возможность интеграции с системами обнаружения атак
  • Защита от DoS-атак типа SYN-flood
  • Поддержка внешних 3G-модемов (USB)
  • Функционал DHCP сервера на КШ

Работа через Dial-Up соединения, оборудование ADSL, подключенное непосредственно к криптошлюзу, а также через спутниковые каналы связи. Криптошлюзы «Континент» 3.7 «прозрачны» для любых приложений и сетевых сервисов, работающих по протоколу TCP/IP, включая такие мультимедиасервисы, как IP-телефония и видеоконференции.

Реализованный в АПКШ «Континент» 3.7 механизм приоритизации трафика позволяет защищать голосовой (VoIP) трафик и видеоконференции без потери качества связи.

Резервирование гарантированной полосы пропускания за определенными сервисами обеспечивает прохождение трафика электронной почты, систем документооборота и т.д. даже при активном использовании IP-телефонии на низкоскоростных каналах связи.

Поддержка VLAN гарантирует простое встраивание АПКШ в сетевую инфраструктуру, разбитую на виртуальные сегменты. Поддержка технологии NAT/PAT позволяет скрывать внутреннюю структуру защищаемых сегментов сети при передаче открытого трафика, а также организовывать демилитаризованные зоны и сегментировать защищаемые сети.

Скрытие внутренней структуры защищаемых сегментов корпоративной сети осуществляется:

  • методом инкапсуляции передаваемых пакетов (при шифровании трафика);
  • при помощи технологии трансляции сетевых адресов (NAT) при работе с общедоступными ресурсами.

Реализован механизм виртуальной адресации для обеспечения возможности обмена информацией между защищаемыми IP-подсетями с пересекающимся или одинаковым адресным пространством. В состав АПКШ «Континент» входит модуль «ArcSight коннектор», предназначенный для выгрузки событий в систему ArcSight ESM. Дополнительный модуль ПАК «Криптографический коммутатор» обеспечивает поддержку режима L2VPN для объединения распределенных сетей на канальном уровне L2 без изменения адресного пространства.

Есть возможность автоматической синхронизации времени ЦУС и всей сети криптошлюзов с заданным сервером точного времени по протоколу NTP. В состав комплекса добавлено автоматизированное рабочее место генерации ключей для введения режима управления по схеме трехлетнего хранения ключевой информации. В качестве носителя ключевой информации используются USB-ключи Rutoken ЭЦП, ключи шифрования записывают в защищенную область памяти.

Реализована поддержка работы с каналами связи, использующими протокол IPv6. Режим повышенной безопасности позволяет создавать группы криптографических шлюзов с политиками безопасности, исключающими попадание незашифрованного трафика во внешние сети.

Обеспечивается возможность установления доверительных отношений между криптошлюзами, принадлежащими разным криптографическим сетям и управляемыми разными ЦУС, для организации защищенного обмена между разными организациями. Все настройки производятся централизованно при помощи программы управления ЦУС с использованием собственной инфраструктуры открытых ключей. На каждом криптошлюзе существует возможность специально выделить один из интерфейсов для проверки трафика, проходящего через КШ, на наличие попыток неавторизованного доступа (сетевых атак). Для этого необходимо определить такой интерфейс, как «SPAN-порт», и подключить к нему компьютер с установленной системой обнаружения атак (например RealSecure). После этого на данный интерфейс начинают ретранслироваться все пакеты, поступающие на вход пакетного фильтра криптошлюза.

Для защиты от DoS-атак предусмотрен механизм антиспуфинга. Специальные механизмы борьбы с SYN-flood позволяют либо ограничить количество соединений, используя «агента» (TCP proxy), либо блокировать соединение до целевого сервера до тех пор, пока клиент не ответит на свой собственный запрос подтверждением в рамках стандартного алгоритма работы TCP. Полуоткрытые соединения с просроченным временем ожидания автоматически удаляются из таблицы состояния.Реализована поддержка внешних 3G-модемов (USB) для подключения криптошлюзов через провайдеров сотовых сетей.

Обслуживание и управление

АПКШ «Континент» 3.7 не требует постоянного локального администрирования и может работать в необслуживаемом режиме 24*7х365. Промышленные компьютеры, используемые в производстве комплекса, в совокупности с возможностью горячего и холодного резервирования гарантируют бесперебойную работу комплекса. Комплекс осуществляет оперативное оповещение администраторов о событиях, требующих оперативного вмешательства, в режиме реального времени.

В комплексе решена проблема обновления программного обеспечения криптошлюзов в территориально распределенных системах. Обновление ПО загружается в комплекс централизованно, рассылается на все криптошлюзы, входящие в состав комплекса, и автоматически устанавливается.

Отказоустойчивость комплекса обеспечивается следующими мерами:

  • Аппаратное резервирование криптографических шлюзов (создание кластера высокого доступа). В случае выхода из строя одного из криптошлюзов переключение на резервный производится автоматически без вмешательства администратора и без разрыва установленных соединений.
  • Автоматическое резервное копирование конфигурационных файлов комплекса. Обеспечивает быстрое восстановление работы сети в случае выхода аппаратуры из строя.

Централизованное управление сетью осуществляется при помощи ЦУС и программы управления, которая позволяет в диалоговом режиме изменять настройки всех криптошлюзов сети и вести оперативный мониторинг их текущего состояния. Отображение состояния всех устройств на рабочем месте администратора в масштабе реального времени позволяет своевременно выявлять отклонения от нормального процесса функционирования и оперативно на них реагировать.

Реализована возможность разделения полномочий на администрирование комплекса, например, на управление ключевой информацией, на назначение прав доступа к защищаемым ресурсам, на добавление новых компонентов, на аудит действий пользователей (в том числе и других администраторов).

Взаимодействие с системами управления сетью позволяет контролировать состояние АПКШ «Континент» 3.7 по протоколу SNMPv2 из систем глобального управления сетью (Hewlett-Packard, Cisco и др.)

Вероятно, каждый, кто хоть раз сталкивался с защитой каналов связи согласно требованиям ФСТЭК/ФСБ, слышал о СКЗИ российского производства. Наиболее известны АПКШ «Континент», S-Terra Шлюз, ViPNet Coordinator и Diamond VPN/FW. Все эти решения прошли долгий путь развития. Они весьма самобытны и существенно различаются как функционально, так и эргономически. А первое заметное отличие — это цвет :) Сегодня поговорим о «зеленых решениях» — устройствах серии «Континент» производства Кода Безопасности.

Поскольку это обзорная статья, я кратко расскажу обо всей экосистеме устройств «Континент» и пройдусь по их основным функциям, далее опишу основные плюсы и минусы этих решений, а на десерт я оставил самое интересное — несколько реальных кейсов интеграции устройств «Континент» из моей практики.

Экосистема устройств «Континент»

Аппаратно-Программный Комплекс Шифрования «Континент», как его определяет производитель, – это «централизованный комплекс для защиты сетевой инфраструктуры и создания VPN-сетей с использованием алгоритмов ГОСТ» [1]. Архитектурно комплекс состоит из нескольких решений:

  • собственно, создание VPN-каналов между узлами с использованием ГОСТ 28 147−89;
  • с помощью STUN возможно построение туннеля между устройствами, чей настоящий адрес скрыт за NAT;
  • межсетевое экранирование с поддержкой Port Address Translation и Network Address Translation (PAT и NAT, соответственно);
  • работа с VLAN;
  • статическая и динамическая маршрутизация (поддерживаются в том числе протоколы OSPFv2, RIP и BGPv4, конфигурация задается не через GUI, а в виде текстовых файлов);
  • зеркалирование трафика через SPAN-порт для анализа (например, для DLP или IDS);
  • приоритизация трафика, он же QoS;
  • функции DHCP-сервера или DHCP-релея;
  • защита от DoS-атак типа SYN-Flood;
  • обеспечение отказоустойчивости в режиме High Availability (Active/Passive).

Криптошлюз доступен на множестве аппаратных платформ, начиная от самого маленького форм фактора Mini-ITX для малых офисов и банкоматов и заканчивая устройствами для размещения в серверных шкафах формата 2U. Существует и «защищённое» исполнение" для установки в места с агрессивной окружающей средой.

2. Криптокоммутатор — то же самое, что и криптошлюз, но работает на канальном уровне (L2). Применяется в более редких случаях, например, при объединении территориально распределённых сетей. Легко встраивается без изменения имеющегося адресного пространства. Также возможно объединение устройств в кластер с помощью протокола LACP.

3. Детектор Атак — система обнаружения вторжений, подключаемая к SPAN-порту и обнаруживающая атаки сигнатурными и эвристическими методами. Детектор атак способен в режиме реального времени информировать администратора или аудитора о выявленных инцидентах либо с помощью специального ПО, либо через электронную почту. Данные об инцидентах можно просматривать также в виде весьма симпатичных и информативных графических отчётов.

Кстати говоря, для обладателей Детекторов Атак в рамках услуг Акрибии по мониторингу информационной безопасности доступен специальный сервис по выявлению и расследованию инцидентов информационной безопасности.

4. Центр Управления Сетью, он же ЦУС — средство централизованного управления и мониторинга перечисленных выше устройств «Континент». Сам по себе может выполнять роль криптошлюза, обеспечивая маршрутизацию, функции NAT и построение L3 VPN. ЦУС — это обязательный компонент системы. Без него частная сеть «не заведется». Плюсы и минусы реализации централизованного управления от «Кода Безопасности» рассмотрены ниже по тексту.

5. Также в экосистему входят СПО «Сервер Доступа» и СКЗИ «Континент-АП», используемые для обеспечения защищённого удалённого доступа мобильных клиентов и отдельных рабочих станций. Сервер доступа — серверный компонент, отвечающий за настройку маршрутизации, добавление или удаление клиентов, а также выпуск сертификатов. Сервер Доступа может быть развёрнут либо на Центре Управления Сетью, либо на криптошлюзе. Континент-АП устанавливается на ПК или мобильное устройство пользователя и обеспечивает VPN-туннель до Сервера Доступа. Поддерживаются О С Windows и наиболее популярные дистрибутивы Linux. Что особенно приятно, есть поддержка мобильных устройств iOS и Android.

Централизованное администрирование и отказоустойчивость: плюсы и минусы

Вся экосистема «завязана» на центральное устройство — ЦУС. Первичная инициализация, изменение каких-либо параметров — всё происходит именно через него, так как локальная настройка — скорее, служебная операция с очень ограниченным числом настраиваемых параметров, да и зачастую требующая перезагрузки устройств, что в production environment порой просто недопустимо.

С одной стороны, централизованная настройка — удобный подход: не надо запоминать адреса устройств в сети, поочередно подключаться к каждому, а если ещё и какой-нибудь криптошлюз расположен за NAT’ом, сбор какой-либо диагностической информации с различных устройств также не занимает много времени. Но у всего есть оборотная сторона — у нас появляется точка отказа. Дело в том, что ЦУС может резервироваться только по схеме «холодного устройства». Это означает, что в случае выхода из строя основного ЦУС администраторы должны «вручную» переключить управление на резервное устройство. Только вот рекомендация по приобретению резервного устройства часто игнорируется, либо в нужный момент оно оказывается не настроено должным образом. Кроме того, у некоторых пользователей ЦУС сам по себе выполняет роль криптошлюза. Хотя для более-менее критичной инфраструктуры — это ошибка планирования сети. Не рекомендую так делать.

Что же касается инцидентов выхода из строя прочих устройств АПКШ «Континент», то согласно статистике процент отказов крайне мал. А по моему опыту, если отказы и случаются, то случаются они в период тестовой эксплуатации, когда контракт на интеграцию еще в силе и есть возможность оперативно заменить устройство. Но это вовсе не означает, что можно вообще забыть о резервировании и ставить на критичных точках всего одно устройство. Тем более, что производитель предоставляет возможность резервирования в режиме High Availability по схеме Active/Passive. Время переключения около 30 секунд.

Непосредственно администрирование осуществляется через СПО «ПУ ЦУС», доступное только для ОС Windows. Логичнее, конечно, в подобных ситуациях осуществлять настройку через web-интерфейс, что и реализовано в большинстве сетевых решений, но такой подход обеспечивает больший уровень безопасности.

Само программное обеспечение управления реализовано весьма удачно. Работать в нем вполне комфортно. Производитель во многих аспектах старался максимально упростить жизнь, например, включение VPN-туннеля между устройствами реализуется в пару кликов мыши, при этом нас может не волновать то, что у устройства нет белого IP-адреса.


АПКШ «Континент» обеспечивает криптографическую защиту информации (в соответствии с ГОСТ 28147–89), передаваемой по открытым каналам связи, между составными частями VPN, которыми могут являться локальные вычислительные сети, их сегменты и отдельные компьютеры.

Современная ключевая схема, реализуя шифрование каждого пакета на уникальном ключе, обеспечивает гарантированную защиту от возможности дешифрации перехваченных данных.

Для защиты от проникновения со стороны сетей общего пользования АПКШ «Континент» обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Осуществляет поддержку VoIP, видеоконференций, GPRS, 3G, LTE, ADSL, Dial-Up и спутниковых каналов связи, технологии NAT/PAT для сокрытия структуры сети.

Область применения:

  • Защита внешнего периметра сети от вредоносного воздействия со стороны сетей общего пользования;
  • Создание отказоустойчивой VPN-сети между территориально распределенными сетями;
  • Защита сетевого трафика в мультисервисных сетях (VoIP, Video conference);
  • Разделение сети на сегменты с различным уровнем доступа;
  • Организация защищенного удаленного доступа к сети для мобильных сотрудников;
  • Защита беспроводных сегментов сетей;
  • Организация защищенного межсетевого взаимодействия между конфиденциальными сетями.

Спецификация:

  • Формфактор: 1U для монтажа в 19" стойку
  • Сетевые интерфейсы:
    • 6х 1000BASE-T Ethernet 10/100/1000 RJ45
    • 2x 1000BASE-X оптический Gigabit Ethernet SFP

    Скорость передачи данных:

    Режим работы Производительность
    Криптошлюз До 300 Мбит/с
    Межсетевой экран До 400 Мбит/с
    Криптокоммутатор До 300 Мбит/с
    Детектор атак До 260 Мбит/с

    • Надежная криптозащита
      Шифрование трафика по ГОСТ 28147–89 с современной ключевой схемой обеспечивает гарантированную криптостойкость VPN-сети.


    Аппаратно-программный комплекс шифрования «Континент» предназначен для криптографической защиты информации, передаваемой по открытым каналам связи, организации безопасного доступа пользователей к ресурсам корпоративной сети, объединения территориально распределённых филиалов организации в единую виртуальную частную сеть и защиты периметра сети. Представляет собой сертифицированный VPN -шлюз для защиты сети предприятия.

    АПКШ подойдет как малым компаниям, так и крупным, имеющим разветвлённую сеть филиалов.

    • криптографическая защита данных,передаваемых по сети;
    • создание VPN -сети между территориально распределёнными сетями;
    • организация защищенного доступа к корпоративной сети для удалённых работников и мобильных сотрудников;
    • защита внутренних сегментов сети от несанкционированного доступа;
    • идентификация и аутентификация пользователей, работающих за компьютерами, расположенными внутри защищаемой сети;
    • защита периметра сети;
    • управление полосой пропускания,управление приоритетом и маршрутизация траффика;
    • скрытие внутренней структуры вычислительной сети компании.

    Применение АПКШ «Континент» позволит компании построить виртуальную частную сеть на основе сетей передачи данных общего пользования. Построение VPN сети с применением комплекса«Континент» позволит не просто создать защищённый канал передачи данных, но и защитить существующие вычислительные сети компании.

    АПКШ«Континент» – сложный комплекс, состоящий из множества программных и программно-аппаратных средств. Объединение локальных вычислительных сетей организации осуществляется при помощи криптографических шлюзов, которые устанавливаются на границах сетей филиалов\подразделений. Именно через криптографический шлюз (КШ) абоненты защищаемой локальной сети получают доступ в общедоступную сеть. Применение КШ позволяет осуществлять криптографическую защиту информации и скрыть реальную структуру защищаемой локальной сети. КШ также осуществляет маршрутизацию всего траффика, проходящего через него, но существует возможность использования дополнительного маршрутизатора. Централизованное управление работой всех составляющих комплекса осуществляется через так называемый центр управления сетью: программное средство,устанавливаемое на один из криптографических шлюзов. Администратор осуществляет управление всеми криптошлюзами через центр управления сетью. Доступ удалённых пользователей осуществляется через сервер доступа, инсталлируемый на один из криптографических шлюзов. В состав АПКШ «Континент» также входит детектор атак,представляющий собой программно-аппаратное средство, обеспечивающее обнаружение угроз безопасности со стороны как внутренних, так и внешних нарушителей.

    • Криптографическая защита информации в соответствии с ГОСТ 28147-89 в режиме гаммирования с обратной связью и в режиме выработки имитовставки
    • Шифрование каждого пакета на уникальном ключе
    • Пропускная способность VPN до 3 Гбит\с
    • Наличие централизованной системы управления и мониторинга
    • Детектор атак, позволяющий вовремя обнаружить угрозы безопасности со стороны внешних и внутренних нарушителей
    • Возможность приобретения защищённого планшетного компьютера для мобильных пользователей
    • Конфигурирование криптографических шлюзов не требует последующей перезагрузки, что является неоспоримым преимуществом для критичных к разрывам соединения сетей.

    Внедрение АПКШ «Континент» проходит в несколько этапов: инициализация и подключение первого криптошлюза и центра управления сетью, подготовка АРМ администратора, настройка базы данных журналов безопасности, запуск системы управления, настройка устройств и агентов,подготовка ключей, подключение устройств и ввод их в эксплуатацию. Завершающей стадией является настройка комплекса.

    Для того, чтобы администратор мог централизованно управлять криптографическими шлюзами, требуется выделенный компьютер, на который впоследствии будет установлена программа управления,через которую администратор будет управлять криптошлюзами посредством центра управления сетью.

    Если в создаваемой VPN сети планируется устанавливать более 5 криптографических шлюзов, необходимо выделить отдельный сегмент сети, в котором будут находиться АРМ администратора сети криптографических шлюзов и тот криптошлюз, на котором будет установлен центр управления сетью.


    А.В. Белев, начальник Управления защиты государственной тайны и информационной безопасности Приморского края:

    Также хотелось бы отметить достоинства аппаратно-программного комплекса шифрования «Континент»:

    • Высокая надежность и отказоустойчивость.
    • Простота внедрения и обслуживания.
    • Удобство управления и поддержки.
    • Высокая пропускная способность.
    • Высокая масштабируемость.

    Поддержка всех современных протоколов и технологий».

    Построенная в Управлении записи актов гражданского состояния Приморского края ИСПДн аттестована и активно используется в повседневной работе сотрудников с информационными активами.»

    105318, Москва,
    ул. Щербаковская, д.3, оф. 708

    Читайте также: