Vipnet совместимость с антивирусами

Обновлено: 06.07.2024

ОАО «Инфотекс» основано в 1989г. В настоящее время Компания является лидером отечественного рынка VPN решений и средств защиты информации в TCP/IP сетях.

Все эти более чем 10 лет Компания развивала собственные запатентованные продукты в области корпоративных сетевых решений и средств защиты информации, осуществляла управление крупными проектами по созданию корпоративных сетей и сетей связи общего пользования.

Направления деятельности

Компания «Инфотекс» создает передовые программные продукты для организации VPN (виртуальных частных сетей), которые позволяют повысить эффективность управления и использовать новейшие достижения информационных технологий на рабочем месте и вне офиса.

Решения Компании «Инфотекс» используются во многих государственных учреждениях и коммерческих структурах. Удобство систем высоко ценится заказчиками. Современные технические решения Компании «Инфотекс» в сочетании с оптимальными ценами отличают продукты Компании от продукции других фирм на рынке частных корпоративных сетей.

В разработанный Компанией «Инфотекс» широкий спектр программных продуктов входят как решения для индивидуального пользователя, так и сложнейшие в техническом плане, но одновременно интуитивно доступные в использовании решения для крупных корпораций и государственных структур.

Лицензии и сертификаты

Технология ViPNet

Для защиты информации, передаваемой по открытым каналам связи, поддерживающим протоколы TCP/IP, компания «Инфотекс» предлагает семейство продуктов ViPNet.

Технология ViPNet предназначена для создания целостной системы доверительных отношений и безопасного функционирования технических средств и информационных ресурсов корпоративной сети, взаимодействующей также и с внешними техническими средствами и информационными ресурсами.

  • Распределенную систему межсетевых и персональных сетевых экранов, защищающую информационные ресурсы пользователей, как от внешних, так и внутренних сетевых атак.
  • Распределенную систему межсетевого и персонального шифрования трафика любых приложений и операционной системы, гарантирующую целостность и конфиденциальность информации, как на внешних, так и внутренних коммуникациях, и обеспечивающую разграничение доступа к техническим и информационным ресурсам.
  • Систему электронной цифровой подписи и шифрования информации на прикладном уровне, обеспечивающую достоверность и юридическую значимость документов и совершаемых действий.
  • Систему создания и работы с виртуальными защищенными дисками для хранения на жестком диске компьютера конфиденциальной информации пользователей с защитой от несанкционированного доступа. Работа с такими дисками происходит в «прозрачном» для всех прикладных программ режиме и не требует дополнительной настройки операционной системы.
  • Систему контроля и управления связями, правами и полномочиями защищенных объектов корпоративной сети, обеспечивающую автоматизированное управление политиками безопасности в корпоративной сети.
  • Комбинированную систему управления ключами, включающую подсистему асимметричного распределения ключей, обеспечивающую информационную независимость пользователей в рамках заданных политик безопасности от центральной администрации. Подсистему распределения симметричных ключей, гарантирующую высокую надежность и безопасность всех элементов централизованного управления средствами ViPNet.
  • Систему, обеспечивающую защищенное взаимодействие между разными виртуальными частными сетями ViPNet путем взаимного согласования между администрациями сетей допустимых межобъектных связей и политик безопасности.

Технология ViPNet представляет собой программный комплекс, позволяющий организовать виртуальную сеть, защищенную от несанкционированного доступа по классу 1В для автоматизированных систем и 3 классу для межсетевых экранов.

В качестве криптографического ядра системы может использоваться разработка ОАО «Инфотекс», сертифицированная ФАПСИ. Уникальное сочетание симметричных и асимметричных процедур распределения ключей, электронной цифровой подписи (ЭЦП), автоматических процедур ключевого взаимодействия обеспечивает высокий уровень безопасности в системе.

Полностью безопасная работа пользователей и использование информационных и технических ресурсов обеспечивается при установке средств защиты на каждый компьютер, участвующий в виртуальной защищенной сети. Информация, которой обменивается пара компьютеров, становится недоступной для любых других компьютеров. Информация, расположенная на самом компьютере, недоступна с компьютеров, не участвующих в VPN. Доступ с компьютеров, участвующих в VPN, определяется наличием соответствующих связей, настройкой фильтров и полностью контролируется администраторами безопасности.

Компьютеры виртуальной сети могут располагаться внутри локальных сетей любого типа, поддерживающих протокол IP, находиться за другими типами сетевых экранов, иметь реальные или виртуальные адреса, подключаться через общедоступные сети путем выделенных или коммутируемых соединений.

Часто при соединении с другими сетями, использующими внутреннюю адресную структуру, возникает проблема конфликта Технология ViPNet предоставляет возможность не перестраивать в этом случае имеющуюся адресную структуру. Каждый из ее объектов автоматически формирует для других объектов уникальный виртуальный адрес, который и может быть использован приложением.

Решения торговой марки ViPNet

  • Интеграция мобильных и удаленных пользователей в корпоративную VPN.
  • Объединение нескольких локальных сетей в одну глобальную.
  • Организация защищенного и защищенного доступа к серверам приложений.
  • Защита встроенными сетевыми экранами информационных ресурсов клиентов (рабочих станций, серверов WWW, баз данных и приложений).
  • Защита TCP/IP трафика в сети, создаваемого любыми стандартными приложениями и программами работающими в ОС Windows 95OSR2/98/Me/NT/2000/XP и Linux, включая программы аудио- и и всевозможные платформы В2В.
  • Защищенный автопроцессинг для финансовых и банковских приложений, защита транзакций для платежных систем, сети финансовой отчетности.

Основой всех программ для виртуальной сети является взаимодействующий непосредственно с драйвером сетевого интерфейса, что обеспечивает максимально возможную независимость программы от операционной системы и ее приложений. Драйвер контролирует весь поступающий и исходящий из компьютера, и выполняет его фильтрацию по многочисленным параметрам и, при необходимости, шифрование и инкапсуляцию в единый тип

ViPNet [Office Firewall]

ViPNet [Office Firewall] является программным межсетевым экраном, обеспечивающим надежную защиту компьютеров локальной сети от несанкционированного доступа при работе по протоколу IP с другими локальными или глобальными сетями, например Интернет. Программное обеспечение (ПО) ViPNet [Office Firewall] устанавливается на (горло локальной сети) и контролирует весь проходящий через этот шлюз в/из локальной сети.

Для установки ViPNet [Office Firewall] необходим компьютер с процессором не ниже PII/Celeron, не менее 64 Мбайт оперативной памяти и операционной системой Windows NT/2000/XP (рабочая станция или сервер) с модемами и/или несколькими сетевыми адаптерами и не менее 100 Мбайт свободного места на жестком диске.

ViPNet [Safe Disk]

Для установки ViPNet [Safe Disk] необходим компьютер с процессором не ниже PII/Celeron, не менее 64 Мбайт оперативной памяти и операционной системой Windows 98/ME/NT/2000/XP и не менее 20 Мбайт свободного места на жестком диске.

ViPNet [DESK]

Для установки ViPNet [Desk] необходим компьютер с процессором не ниже PII/Celeron, не менее 64 Мбайт оперативной памяти и операционной системой Windows 95 OSR2/98/ME/NT/2000/XP с модемом или сетевой картой и не менее 20 Мбайт свободного места на жестком диске компьютера.

ViPNet [Персональный сетевой экран]

Установка программы в режим 1 приведет к полной блокировке всех соединений. Этот режим полезен, если пользователь желает работать полностью автономно (изолированно от локальной сети или Интернет) без необходимости физического отключения компьютера от сети.

В режиме 2 программа позволяет взаимодействовать только с теми компьютерами, которые занесены в окно Сетевые фильтры.

Настройки в окне Сетевые фильтры влияют на работу в режиме «Бумеранг». В этом режиме можно запретить (разрешить) конкретные типы исходящих соединений и разрешить нужные входящие соединения, происходящие по инициативе другой стороны.

Просмотреть (протоколы и порты) компьютеров, с которыми или с которых производились блокированные программой попытки соединения, можно в окне Блокированные Здесь же можно произвести регистрацию таких адресов для того, чтобы в дальнейшем с этих адресов были возможны инициативные соединения.

  • Позволяет просматривать результаты обработки входящего и исходящего в журнале регистрации ведущемся программой. Журнал фиксирует характеристики входящих и исходящих пакетов за заданный промежуток времени.
  • Отображает статистику обработки
  • Позволяет запоминать различные конфигурации, созданные пользователем.
  • Имеет режим администратора, предоставляющий дополнительные возможности по настройке программы и многие другие полезные функции.

ViPNet [Криптомания]

  • Безопасное хранение конфиденциальных материалов на жестких дисках компьютеров.
  • Разграничение доступа к информации, хранимой на компьютере, используемом несколькими лицами.
  • Защиту информации на мобильных и карманных компьютерах, дискетах и любых других носителях.
  • Пересылку конфиденциальных материалов на любых носителях информации с использованием традиционной и электронной почты.

Действие программы построено на принципе кодирования файлов с помощью ключа, параметры которого сложным образом зависят как от идентификационного номера программы, «вшитого» в ее программный код, так и от вводимого пользователем пароля.

Программа обладает высокой стойкостью к взлому, и вскрытие защищенных файлов при переборе всех возможных комбинаций ключа на современных ЭВМ потребует несколько сотен лет. Рекомендуется выбирать длинные и сложные пароли, т.к. стойкость защиты зависит от того, насколько удачно выбран пароль.

Для обнаружения вирусов недостаточно программы сетевой защиты. В связи с этим в комплект поставки входит пакет антивирусных программ.

При работе с неизвестными компьютерами в сети Интернет или при установке неизвестного программного обеспечения на компьютер пользователя могут попасть вирусы и способны незаметно для пользователя похитить секретные пароли или любую другую конфиденциальную информацию. В режиме Бумеранг существует минимальная возможность «заражения» компьютера подобными

Для исключения подобных ситуаций необходимо включить модуль «Контроль приложений», а также одну из предложенных настоящим пакетом программ антивирусной защиты.

ViPNet [DESK] PRO

Для установки ViPNet [Desk] PRO необходим компьютер с процессором не ниже PII/Celeron, не менее 64 Мбайт оперативной памяти и операционной системой Windows 95 OSR2/98/ME/NT/2000/XP с модемом или сетевой картой и не менее 20 Мбайт свободного места на жестком диске.


Жизнь сетевого инженера была счастливой и беззаботной, пока в ней не появился сертифицированный криптошлюз. Согласитесь, разбираться с решениями, предназначенными для шифрования каналов передачи данных по ГОСТу, задача не из легких. Хорошо, если это известные и понятные продукты. Вспомним ту же «С-Терра» (об их «С-Терра Шлюз» мы уже писали). Но что делать с более экзотичными решениями на базе собственных протоколов шифрования, например, «Континент» (от «Кода Безопасности») или ViPNet Coordinator HW (от «Инфотекса»)? В этой статье я постараюсь облегчить погружение в мир ViPNet (про «Континент» тоже когда-нибудь поговорим) и рассказать, с какими проблемами столкнулся сам и как их решал.

Сразу оговорюсь, что мы поговорим о сертифицированной на сегодня ФСБ и ФСТЭК версии 4.2.1. В актуальных версиях 4.3.х появилось много интересного, например, DGD (Dead Gateway Detection) и измененный механизм кластеризации, обеспечивающий практически бесшовное переключение, но пока это будущее. Я не буду глубоко погружаться в недра конфигурационных команд и файлов, акцентировав внимание на ключевых командах и переменных, а подробное описание по этим «ключам» можно будет найти в документации.

Для начала разберемся, как это все работает. Итак, координатор ViPNet выполняет несколько функций. Во-первых, это криптошлюз (КШ), который позволяет реализовать как Site-to-site, так и RA VPN. Во-вторых, он является сервером-маршрутизатором конвертов, содержащих зашифрованные служебные данные (справочники и ключи) или данные клиентских приложений (файловый обмен, деловая почта). Кстати, именно в справочниках хранятся файлы, содержащие информацию об объектах сети ViPNet, в том числе об их именах, идентификаторах, адресах, связях. Координатор также является источником служебной информации для своих клиентов.


Помимо этого, он может туннелировать трафик от компьютеров сети, где не установлено ПО ViPNet. Кстати, специалисты, работающие с этим решением, часто называют открытые хосты не «туннелируемыми узлами», а просто «туннелями». Это может сбить с толку инженеров, которые привыкли к другим VPN-решениям, где под туннелем подразумевают PtP-соединение между КШ.

В качестве протокола шифрования в ViPNet используется IPlir, также разработанный «Инфотексом». Для инкапсуляции трафика применяются транспортные протоколы IP/241 (если трафик не покидает широковещательный домен), UDP/55777 и TCP/80 (при недоступности UDP).

В концепции построения защищенных соединений лежат так называемые «связи», которые бывают двух типов. Первые (на уровне узлов) нужны для построения защищенного соединения между узлами, вторые (на уровне пользователей) необходимы для работы клиентских приложений. Но есть исключение: узлы администратора сети ViPNet требуют обоих типов связи.

Что же может в этой схеме пойти не так? Как показывает практика, особенностей работы действительно много, и далеко не все проблемы можно решить интуитивно, без «помощи зала», а что-то нужно просто принять как данность.

Координатор недоступен

«У нас недоступен координатор/клиент/туннель. Что делать?» – самый частый вопрос, с которым приходят новички при настройке ViPNet. Единственно верное действие в такой ситуации – включать регистрацию всего трафика на координаторах и смотреть в журнал IP-пакетов, который является важнейшим инструментом траблшутинга всевозможных сетевых проблем. Этот способ спасает в 80% случаев. Работа с журналом IP-пакетов также помогает лучше усвоить механизмы работы узлов ViPNet-сети.

Конверт не доставлен

Из этого следуют два вывода. Во-первых, между клиентами не обязательно должна проверяться связь (по нажатию на F5 и соответствующей иконки в меню) для доставки конвертов. Во-вторых, если связь межу ними все-таки проверяется, это не гарантирует доставку, так как проблема может быть в одном из межсерверных каналов.

Диагностировать прохождение конвертов межсерверным каналам или между клиентом и координатором в неочевидных случаях можно с помощью журнала и очереди конвертов, а также логов на координаторе. Также транспортный модуль ViPNet-клиента можно настроить на прямую доставку конвертов, доставку через общую папку или SMTP/POP3 (но это совсем экзотичный вариант). Погружаться в эти настройки мы не будем.

Последствия перепрошивки

Неинформативные конфиги

Основным конфигурационным файлом HW является «iplir.conf», однако он не всегда отражает текущие параметры. Дело в том, что в момент загрузки драйвера IPlir происходит интерпретация этого конфига в соответствии с заложенной логикой, и не вся информация может быть загружена в драйвер (например, при наличии конфликтов IP-адресов). Инженеры, работавшие с программным координатором для Linux, наверняка знают о существовании команды «iplirdiag», которая отображает текущие настройки узлов, прогруженные в драйвер. В HW эта команда также присутствует в режиме «admin escape».

Немного остановимся на режиме «admin escape». По сути это выход из ViPNet shell в bash. Тут я солидарен с вендором, который рекомендует использовать данный режим только для диагностики и вносить какие-либо модификации только под присмотром техподдержки вендора. Это вам не обычный Debian, здесь любое неосторожное движение может вывести из строя ОС, защитные механизмы которой воспримут вашу «самодеятельность» как потенциальную угрозу. В связке с заблокированным по умолчанию BIOS это обрекает вас на негарантийный (читай «дорогой») ремонт.

(Un)split tunneling

Служебные порты и TCP-туннель

Однажды я столкнулся с приложением, которое ни в какую не хотело работать через координатор. Так я узнал, что у координатора есть служебные порты, по которым незашифрованный трафик блокируется без возможности какой-либо настройки. К ним относятся UDP/2046,2048,2050 (базовые службы ViPNet), TCP/2047,5100,10092 (для работы ViPNet Statewatcher) и TCP/5000-5003 (MFTP). Тут подвела функции TCP-туннеля. Не секрет, что провайдеры любят фильтровать высокие порты UDP, поэтому администраторы, стремясь улучшить доступность своих КШ, включают функцию TCP-туннеля. Ресурсы в зоне DMZ (по порту TCP-туннеля) при этом становятся недоступны. Это происходит из-за того, что порт TCP-туннеля также становится служебным, и никакие правила межсетевых экранов и NAT (Network Address Translation) на него уже не действуют. Затрудняет диагностику тот факт, что данный трафик не регистрируется в журнале IP-пакетов, как будто его вовсе нет.

Замена координатора

Рано или поздно встает вопрос о замене координатора на более производительный или временный вариант. Например, замена HW1000 на HW2000 или программного координатора – на ПАК и наоборот. Сложность заключается в том, что у каждого исполнения своя «роль» в ЦУС (Центре управления сетью). Как правильно изменить роль, не потеряв связность? Сначала в ЦУС меняем роль на новую, формируем справочники, но не отправляем(!) их. Затем в УКЦ выпускаем новый DST-файл и проводим инициализацию нового Координатора. После производим замену и, убедившись, что все взаимодействия работоспособны, отправляем справочники.

Кластеризация и сбой ноды

Горячий резерв – это must have для любой крупной площадки, поэтому на них всегда закупался кластер старших моделей (HW1000, HW2000, HW5000). Однако создание кластера из более компактных криптошлюзов (HW50 и HW100) было невозможно из-за лицензионной политики вендора. В итоге владельцам небольших площадок приходилось серьезно переплачивать и покупать HW1000 (ну, или никакой отказоустойчивости). В этом году вендор, наконец, сделал дополнительные лицензии и для младших моделей координаторов. Так что с выходом версий 4.2.x появилась возможность собирать в кластер и их.

При первичной настройке кластера можно серьезно сэкономить время, не настраивая интерфейсы в режиме мастера или командами CLI. Можно сразу вписывать необходимые адреса в конфигурационный файл кластера (failover config edit), только не забудьте указать маски. При запуске демона failover в кластерном режиме он сам назначит адреса на соответствующие интерфейсы. Многие при этом боятся останавливать демон, предполагая, что адреса сменяются на пассивные или адреса сингл-режима. Не волнуйтесь: на интерфейсах останутся те адреса, которые были на момент остановки демона.

В кластерном исполнении существует две распространенные проблемы: циклическая перезагрузка пассивной ноды и ее непереключение в активный режим. Для того чтобы понять суть этих явлений, разберемся в механизме работы кластера. Итак, активная нода считает пакеты на интерфейсе и в случае, если за отведенное время пакетов нет, отправляет пинг на testip. Если пинг проходит, то счетчик запускается заново, если не проходит, то регистрируется отказ интерфейса и активная нода уходит в перезагрузку. Пассивная нода при этом отправляет регулярные ARP-запросы на всех интерфейсах, описанных в failover.ini (конфигурационный файл кластера, где указаны адреса, которые принимает активная и пассивная ноды). Если ARP-запись хоть одного адреса пропадает, то пассивная нода переключается в активный режим.

Вернемся к кластерным проблемам. Начну с простого – неперключение в активный режим. В случае если активная нода отсутствует, но на пассивной в ARP-таблице (inet show mac-address-table) ее mac-адрес все еще присутствует, необходимо идти к администраторам коммутаторов (либо так настроен ARP-кэш, либо это какой-то сбой). С циклической перезагрузкой пассивной ноды немного сложнее. Происходит это из-за того, что пассивная не видит ARP-записи активной, переходит в активный режим и (внимание!) по HB-линку опрашивает соседа. Но сосед-то у нас в активном режиме и аптайм у него больше. В этот момент пассивная нода понимает, что что-то не так, раз возник конфликт состояний, и уходит в перезагрузку. Так продолжается до бесконечности. В случае возникновения данной проблемы необходимо проверить настройки IP-адресов в failover.ini и коммутацию. Если все настройки на координаторе верны, то пришло время подключить к вопросу сетевых инженеров.

Пересечения адресов

В нашей практике нередко встречается пересечение туннелируемых адресов за разными координаторами.


Именно для таких случаев в продуктах ViPNet существует виртуализация адресов. Виртуализация – это своеобразный NAT без контроля состояния соединения один к одному или диапазон в диапазон. По умолчанию на координаторах эта функция выключена, хотя потенциальные виртуальные адреса вы можете найти в iplir.conf в строке «tunnel» после «to» в секциях соседних координаторов. Для того, чтобы включить виртуализацию глобально для всего списка, необходимо в секции [visibility] изменить параметр «tunneldefault» на «virtual». Если же хотите включить для конкретного соседа, то необходимо в его секцию [id] добавить параметр «tunnelvisibility=virtual». Также стоит убедиться, что параметр tunnel_local_networks находится в значении «on». Для редактирования виртуальных адресов параметр tunnel_virt_assignment необходимо перевести в режим «manual». На противоположной стороне нужно выполнить аналогичные действия. За настройки туннелей также отвечают параметры «usetunnel» и «exclude_from_tunnels». Результат выполненной работы можно проверить с помощью утилиты «iplirdiag», о которой я говорил выше.

Конечно, виртуальные адреса приносят некоторые неудобства, поэтому администраторы инфраструктуры предпочитают минимизировать их использование. Например, при подключении организаций к информационным системам (ИС) некоторых госорганов этим организациям выдается DST-файл c фиксированным диапазоном туннелей из адресного плана ИС. Как мы видим, пожелания подключающегося при этом не учитываются. Как вписываться в этот пул, каждый решает для себя сам. Кто-то мигрирует рабочие станции на новую адресацию, а кто-то использует SNAT на пути от хостов к координатору. Не секрет, что некоторые администраторы применяют SNAT для обхода лицензионных ограничений младших платформ. Не беремся оценивать этичность такого «лайфхака», однако не стоит забывать, что производительность самих платформ все-таки имеет предел, и при перегрузке начнется деградация качества канала связи.


Невозможность работы GRE

Само собой, у каждого решения в IT есть свои ограничения по поддерживаемым сценариям использования, и ViPNet Coordinator не исключение. Достаточно назойливой проблемой является невозможность работы GRE (и протоколов, которые его используют) от нескольких источников к одному адресу назначения через SNAT. Возьмем, к примеру, систему банк-клиент, которая поднимает PPTP-туннель к публичному адресу банка. Проблема в том, что протокол GRE не использует порты, поэтому после прохождения трафика через NAT, socketpair такого трафика становится одинаковым (адрес назначения у нас одинаковый, протокол тоже, а трансляцию адреса источника мы только что произвели также в один адрес). Координатор реагирует на такое блокировкой трафика на фоне ошибки 104 – Connection already exists. Выглядит это так:


Поэтому, если вы используете множественные GRE-подключения, необходимо избегать применения NAT к этим подключениям. В крайнем случае выполнять трансляцию 1:1 (правда, при использовании публичных адресов это достаточно непрактичное решение).


Не забываем про время

Тему блокировок продолжаем событием номер 4 – IP packet timeout. Тут все банально: это событие возникает при расхождении абсолютного (без учета часовых поясов) времени между узлами сети ViPNet (координаторы и ViPNet-клиенты). На координаторах HW максимальная разница составляет 7200 секунд и задается в параметре «timediff» конфигурационного файла IPlir. Я не рассматриваю в этой статье координаторы HW-KB, но стоит отметить, что в версии KB2 timediff по умолчанию 7 секунд, а в KB4 – 50 секунд, и событие там может генерироваться не 4, а 112, что, возможно, собьет с толку инженера, привыкшего к «обычным» HW.

Нешифрованный трафик вместо зашифрованного

Новичкам бывает сложно понять природу 22 события – Non-encrypted IP Packet from network node – в журнале IP-пакетов. Оно означает, что координатор ждал с этого IP-адреса шифрованный трафик, а пришел нешифрованный. Чаще всего это происходит так:

  1. пользователь забыл залогиниться в ViPNet-клиент, или случайно разлогинился, но при этом пытается попасть на защищаемые ресурсы. В этом случае драйвер IPlir неактивен, а трафик, который по маршрутизации дошел до координатора, не был зашифрован на АРМ пользователя. По заголовкам пакета координатор видит, что все легально: адрес источника принадлежит АРМ с ViPNet-клиентом, адрес назначения – защищенному или туннелируемому узлу. Значит, и трафик должен приходить зашифрованным, но это не так, поэтому его надо заблокировать. Частным случаем данного сценария является ситуация, когда в сети поменялись адреса, и на том адресе, на котором был защищенный ViPNet-клиент, АРМ оказался туннелируемый. Но координатор все еще считает, что на этом адресе есть ViPNet-клиент, и поэтому нешифрованный трафик блокируется;
  2. с одной стороны взаимодействия отсутствуют связи. Например, вы связали два координатора, а справочники и ключи отправили только на один (или до второго они не дошли). В этом случае первый будет ждать зашифрованный трафик, но второй, так как не знает о существовании первого, будет присылать только незашифрованный;
  3. туннели прописываются вручную локально на КШ. Чтобы смоделировать такой сценарий, нужно два связанных координатора. На одном прописываем собственные туннели и туннели соседа, на втором «забываем» это сделать. При такой настройке трафик, исходящий от туннелей второго координатора к туннелям первого, шифроваться не будет, и на первом координаторе возникнет 22 событие.

Обработка прикладных протоколов (ALG)

На многих межсетевых экранах, включая ViPNet Coordinator, могут возникать проблемы с прохождением SIP через NAT. С учетом того, что виртуальные адреса – это внутренний NAT, проблема может возникать, даже когда в явном виде NAT не используется, а используются только виртуальные адреса. Координатор обладает модулем обработки прикладных протоколов (ALG), который должен эти проблемы решать, но не всегда это работает так, как хотелось бы. Не буду останавливаться на механизме работы ALG (на эту тему можно написать отдельную статью), принцип одинаков на всех МСЭ, изменяются лишь заголовки прикладного уровня. Для корректной работы протокола SIP через координатор необходимо знать следующее:

  • при использовании NAT должен быть включен ALG;
  • при использовании виртуальной адресации ALG должен быть включен на обоих узлах, участвующих во взаимодействии (координатор-координатор, координатор-клиент), даже если виртуальная видимость установлена только с одной стороны;
  • при использовании реальной видимости и отсутствии NAT необходимо выключить ALG для того, чтобы он не вмешивался в работу SIP;
  • ALG-линейки 3.х и 4.х несовместимы (строго говоря, в линейке 3.х вообще не было возможности как-то им управлять). В таком сценарии гарантировать корректную работу SIP вендор не может.

В заключение

Я постарался рассмотреть самые злободневные проблемы, обозначить их корни и рассказать о решениях. Конечно, это далеко не все особенности ViPNet, поэтому рекомендую не стесняться – обращаться в поддержку и спрашивать совета в коммьюнити (на форуме вендора, в телеграмм-канале, в комментариях под этим постом). А если вам не хочется погружаться во все сложности работы с ViPNet или это слишком трудозатратно, то всегда можно отдать управление вашей ViPNet-сетью в руки профессионалов.

Автор: Игорь Виноходов, инженер 2-ой линии администрирования «Ростелеком-Солар»

Для удаления ViPNet в данном случае вам необходимо выполнить следующее:

  1. Выполнить запуск Операционной Системы в безопасном режиме(клавиша F8).
  2. Запустите редактор реестра: Пуск - Выполнить, укажите regedit.exe и нажмите ОК
  3. В реестре найдите слева ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
  4. В этой ветке создайте раздел с названием MSIServer (путь должен получиться HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer)
  5. Откройте этот раздел. Справа дважды щелкните по "(По умолчанию)"
  6. Введите значение service и нажмите на ОК.
  7. Запустите Пуск - Все выполнить , укажите services.msc и нажмите на ОК
  8. Найдите службу Установщик Windows, щелкните правой кнопкой и запустите ее.
  9. Теперь можно удалить ViPNet через Установку и удаление программ в Панели управления.

Некорректно удалилась предыдущая версия программы ViPNet

  1. Нажмите на Пуск -> Выполнить (или на клавиатуре Win+R)
  2. В появившемся окне введите regedit.exe и нажмите на ОК
  3. Открыть папку HKEY_LOCAL_MACHINE\Software\InfoTecs\Setup\Products
    1. Если в ней есть папка Infotecs-Client, переименовать ее в -Infotecs-Client(поставить вначале -)
    1. Если в ней есть папка Infotecs-Client, переименовать ее в -Infotecs-Client(поставить вначале -)

    Недостаточно места на диске C

    На диске C: должно быть не менее 10 ГБ свободного места. Удалите (перенесите) лишние файлы с этого диска и заного Установите ViPNet в программе обновления.

    Отключена служба Брандмауэр Windows

    При этом в логе C:\ProgramData\InfoTeCS\InstallerData\ViPNet Client\Logs\Setup.msi_XXX можно увидеть строчку вида

    Failed to start service MpsSvc. Error code = 1058, (0x422) - Указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены.

    1. Откройте Пуск -> Панель управления -> (проверьте что справа-вверху стоит вид "Мелкие значки" или "Крупные значки") -> Администрирование
    2. Запустите Службы
    3. Найдите службу Брандмауэр Windows. Дважды кликните на ней, зайдя в свойства.
    4. В окне свойств убедитесь, что Тип запуска отличен от "Отключено". Если установлено "Отключено", выберите вариант "Автоматически" и нажмите на ОК.
    5. Попробуйте переустановить ViPNet

    Проблемы с антивирусным ПО

    Выключите антивирус полностью и попробуйте установить ViPNet снова, возможно потребуется удаление антивируса.

    Отсутствуют обновления ОС

    Работает только на лицензионной Windows!

    Установите все последние обновления ОС

    Проблемы с установкой драйвера ViPNet (что-то, вероятнее всего драйвера, блокирует изменение одной ветки реестра)

    Также эту проблему (0x80070005) можно увидеть в логе C:\ProgramData\InfoTeCS\InstallerData\DrvInstall\InstallIpLirim.log :

    2017/11/17 14:59:58 - Installing component "IplirLwf"
    2017/11/17 15:00:01 - INetCfgClassSetup::Install successful
    2017/11/17 15:00:01 - Successfully installed, apply the changes
    2017/11/17 15:00:01 - Operation failed with error 0x80070005.

    Установку ViPNet необходимо производить в безопасном режиме с загрузкой сетевых драйверов (решение для Windows 7):

    1. Перезагрузитесь и в начале загрузки жмите много раз F8
    2. Выберите вариант загрузки Безопасный режим с загрузкой сетевых драйверов
    3. Загрузитесь до рабочего стола, ошибки Secret Net игнорируйте
    4. Запустите редактор реестра: Пуск - Выполнить, укажите regedit.exe и нажмите ОК
    5. В реестре найдите слева ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
    6. В этой ветке создайте раздел ("папку") с названием MSIServer (путь должен получиться HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSIServer)
    7. Откройте этот раздел. Справа дважды щелкните по "(По умолчанию)"
    8. Введите значение service и нажмите на ОК.
    9. Запустите Пуск - Все выполнить , укажите services.msc и нажмите на ОК
    10. Найдите службу Установщик Windows, щелкните правой кнопкой и запустите ее.
    11. Запустите установку ViPNet снова.

    Неверные настройка даты, времени и часового пояса.
    Проверьте настройки даты и времени. Должно быть точное московское время. Максимальная допустимая раница 2 часа.

    Не запустилась служба ViPNet.

    1. Зайдите в ViPNet под администратором.
    2. Файл - Конфигурации - Отключить защиту.
    3. Файл - Конфигурации - Включить защиту.
    4. Проверьте доступность узлов.

    Блокирует трафик от ViPNet клиента

    1. Проверьте наличие ПО, которое может блокировать трафик. Это может быть любой Firewall или Антивирус.
    2. Если вы используете прокси, то необходимо разрешить прохождение пакетов от ViPNet, добавить необходимы адреса в исключение.
    3. Попробуйте подключить ПК к другой сети. Если узлы стали доступны, то возможно трафик блокируется сетевым оборудованием.

    Проблемы с ОС или сетевыми драйверами

    1. Попробуйте установить ViPNet с этой ключевой на другой ПК. Если все узлы доступны, то скорее всего проблема в ПК.
    2. Удалите ViPNet клиент, и полностью переустановить сетевые драйвера. Установите клиент повторно.

    Проблемы с самой ключевой информацией

    Ничего не помогло, вы ипользовали свежую ключевую, у вас в сети ничего не блокируется и на соседнем ПК все работает, а переустановка не помогает.

    В данном случае потребуется переустановка ОС.

    Проверьте наличие прокси. Необходимо добавить адрес системы в исключение.

    Прокси нет, а в браузере вы видите ошибку DNS.

    • В инструкции по установке ViPNet есть пункт настройка DNS. Выполните настройку DNS.
    • Можно добавить адрес в файл host, в виде IP адрес DNS имя. В файле host есть примеры добавления.
    1. Зайдите в ViPNet под администратором.
    2. Сервис - Настройка приложения.
    3. Прикладные протоколы.
    4. Выберите протокол Передача файлов FTP и снимите галочку с tcp 21.

    В данном случае велика вероятность того, что MFTP на данном узле сломан.
    Для проверки на наличие ошибок необходимо сделать следующее:

    Для проверки доступа в сеть Интернет можно отключить ViPNet клиент. Для этого необходимо:

    1. Зайдите в ViPNet под администратором.
    2. Файл - Конфигурации - Отключить защиту.

    Если при отключении защиты ViPNet, доступ в сеть Интернет есть, то фильтры открытой сети были настроены неверно или не настраивались. Необходимо настроить фильтры открытой сети на доступ в сеть Интернет.

    Если при откллючении защиты ViPNet, Доступ в сеть Интернет не появился, значит проблема не связанна с клиентом ViPNet. Рекомендуется проверить сеть в организации и настройки сети на рабочем месте. Возможно стоит обновить сетевые драйвера.

    Отключить обрабуотку прикладного протокола DNS.

    1. Зайти в режим администратора.
    2. Сервис.
    3. Настройка приложения.
    4. Прикладные протоколы.
    5. Двойной клик по строке "Система доменных имен (DNS)"
    6. Снять галочки с используемых портов и нажать ОК.
    7. Нажать кнопку применить.

    Настройте фильтры открытой сети по инструкции.

    Добавление фильтра открытой сети открывающего весь трафик.

    Есть 2 способа устранить данную проблему.

    1. Переинициализировать ViPNet клиент свежей ключевой. Для получени нового файла ключевой информации ViPNet, необходимо сделать обращение в ГАУ РК ЦИТ. Пример обращения на получение ключевой информации можно найти ниже.
    2. Запросить обновления справочников и ключей. Для этого необходимо сделать обращение в ГАУ РК ЦИТ. Пример обращения на рассылку справочников и ключей можно найти ниже. Данный способ поможет устранить проблему только, если ваш ViPNet клиент обновлен до версии 4 и работает исправно.

    О статусе письма можно узнать в справке приложения Деловая почта.


    Не рекомендуется устанавливать ViPNet клиент и Континент АП на одно рабочее место. Это приведёт к конфликту между двумя программами и вы не сможете получить доступ к информационным системам.

    Для получения доступа к системе СУФД через ViPNet, необходимо оформить обращение в ГАУ РК ЦИТ с просьбой открыть доступ и настроить рабочее место.

    Необходимо будет настроить файл hosts. По умолчнию файл находится тут: "Системный диск:\Windows\System32\drivers\etc\ ". Файл hosts необходимо открыть в любом текстовом редакторе с правами администратора и добавить следующие строки:
    10.136.7.36 s0700w03.ufk07.roskazna.local
    10.136.7.36 sufd.s0700w03.ufk07.roskazna.local

    • Континент АП или иные клиенты VPN
    • Антивирус Dr.Web
    • Программные межсетевые экраны

    В обращении необходимо указать следующую информацию:

    1. ID узла ViPNet клиента, ключевая которого вам нужна.
    2. ID узла ViPNet клиента, на Деловую почту которого вам будет направлена данная ключевая.

    Можно указать список из ID узлов ViPNet.

    Важно! Убедитесь в том, что вы указываете именно ID узла (в 3 версии ViPNet клиента Номер АП), а не ID пользователя. Они очень похожи друг на друга. У некоторых узлов эти значения могут быть одинаковыми. Инструкцию Как узнать ID узла? можно посмотреть тут.

    Важно! Убедитесь в том, что узел, который вы указываете в качестве получателя может получить письмо по Деловой почте. Он должен быть рабочим, а узел ЦИТ_S_B_Сыктывк_Коммун-я 8;Core доступен.

    Пример:

    Просьба выслать ключевую информацию для узла *ID узла (1)* по Деловой почте на узел *ID узла (2)*.

    В обращении необходимо указать следующую информацию:

    1. ID узла ViPNet клиента на который необходимо выслать обновления.
    2. Описать проблему. Рекомендуется приложить скриншот с ошибкой.

    Важно! Узел, который вы указываете в качестве получателя может быть сломан, и обновления до узла не дойдут. В данном случае поможет только переинициализация ключей или переустановка клиента.

    Пример:

    Просьба выслать обновление справочников и ключей для узла *ID узла (1)* , так как Описание проблемы(2).

    В обращении необходимо указать следующую информацию:

    1. ID узла ViPNet клиента которому необходимо открыть доступ.
    2. IP адрес, DNS имя и наименование системы, к которой необходимо открыть доступ.

    Важно! Рекомендуется указывать как можно больше информации о системе. Если вы укажите только название информационной системы, есть вероятность того, что мы будем запрашивать у вас дополнительную информацию.

    Важно! Мы можем открыть доступ только к системам, которые сопровождает ГАУ РК ЦИТ. Доступ к другим системам, например ФРДО, Промед или ТФОМС открывают администраторы соответствующих сетей. Со своей стороны ГАУ РК ЦИТ может только сделать связь между вашим узлом и узлом чужой сети, поэтому открытие доступа к таким системам может занять значительно больше времени.

    Пример:

    Просьба открыть доступ для узла *ID узла (1)* к Информация о системе(2).

    ViPNet CSP — российский криптопровайдер, сертифицированный ФСБ России как средство криптографической защиты информации (СКЗИ) и электронной подписи.

    Возможности криптопровайдера позволяют создавать ключи ЭП, формировать и проверять ЭП, хэшировать данные, а также осуществлять шифрование и имитозащиту данных с применением отечественных криптоалгоритмов.

    Получение сертификата ФСБ России о соответствии требованиям класса КС1, КС2, КС3

    23 августа 2021 года компания Infotecs сообщила о том, что получен сертификат ФСБ России о соответствии криптопровайдера ViPNet CSP 4.4.2 требованиям к средствам криптографической защиты информации класса КС1, КС2, КС3 и средствам электронной подписи.



    Сертификат СФ/124-4103 подтверждает, что ViPNet CSP 4.4.2 соответствует требованиям к СКЗИ, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну. Сертификат действителен до 10.08.2024.

    ViPNet CSP 4 — российский криптопровайдер, предназначенный для защищенной работы с веб-сервисами. Использование ViPNet CSP 4 рекомендуется при работе с системами юридически значимого защищенного электронного документооборота и при сдаче электронной отчетности в государственные органы. Помимо этого, криптопровайдер может использоваться для встраивания криптографических функций в сторонние приложения.

    ViPNet CSP 4.4 позволяет:

    • Формировать и проверять ЭП по ГОСТ Р 34.10-2012.
    • Хэшировать данные по ГОСТ Р 34.11-2012.
    • Шифровать данные по ГОСТ Р 34.12-2015 и ГОСТ Р 34.13-2015

    Совместимость с ВКС VideoMost и «Протей-ВКС»

    19 февраля 2021 года компания ИнфоТеКС сообщила о результатах комплексного тестирования продуктов ViPNet с решениями компаний российского рынка в сфере разработки систем видеоконференцсвязи (ВКС): с программным ВКС-сервером «VideoMost с клиентами на ПК и мобильных» от компании SPIRIT, ВКС под брендом «Протей-ВКС» от Научно-Технического Центра «ПРОТЕЙ» и другими системами ВКС.



    Оперативность управления территориально-распределенной компанией (персоналом, проектами, ресурсами) приобретает все большую значимость. Для обеспечения оперативного управления многие компании используют системы аудио- и видеосвязи. Как правило, при построении такого рода систем применяются сети общего пользования: Интернет и арендованные у провайдера каналы. При этом информация, передаваемая по данным каналам, является конфиденциальной, а, следовательно, требует защиты. Продукты линейки ViPNet компании «ИнфоТеКС» способны ее обеспечить.

    ИнфоТеКС совместно с обозначенными выше компаниями организовал и провел встречное тестирование продуктов ViPNet с каждой из этих систем ВКС, в ходе которого были подтверждены возможности технологии ViPNet по прозрачной и надежной защите систем ВКС.

    В рамках данного тестирования была разработана программа и методика испытаний, в соответствии с которой было выполнено тестирование. Результаты данного тестирования подтверждены подписанными сертификатами технологической совместимости.

    Кроме этого компания «ИнфоТеКС» ведет работу по интеграции собственного защищенного мессенджера ViPNet Connect с указанными системами ВКС, что позволит обеспечить единую точку коммуникаций и защиту подключения к корпоративному периметру.

    отмечает Владимир Фрейнкман, директор по маркетингу и системным исследованиям НТЦ ПРОТЕЙ. заявляет Дмитрий Гусев, заместитель генерального директора компании «ИнфоТеКС».

    Совместимость ViPNet CSP версий 4.4 c линейкой продуктов «Рутокен»

    30 июля 2020 года компания «Актив-софт» сообщила, что линейки продуктов Рутокен: Рутокен Lite (+micro), Рутокен S (+micro), Рутокен ЭЦП 2.0 (+micro), смарт-карта Рутокен ЭЦП SC были протестированы на совместимость в том числе и с криптопровайдером ViPNet CSP (версий 4.4 для Windows и Linux) — средством. Подробнее здесь.

    Совместимость ViPNet CSP 4.4 с Ред ОС версии 7.2

    Компании «ИнфоТеКС» и «РЕД СОФТ» в рамках соглашения о технологическом партнерстве провели тестирование на совместимость обновленных версий продуктов. По итогам была подтверждена корректность работы криптопровайдера ViPNet CSP 4.4 и программного комплекса ViPNet Client 4U for Linux (версия 4.8 и 4.10) (производства «ИнфоТеКС») на российской операционной системе РЕД ОС версии 7.2 (производства РЕД СОФТ). Об этом Red Soft сообщил 3 июня 2020 года. Подробнее здесь.

    Совместимость ViPNet CSP версии 4.4 с USB-токенами и смарт-картами JaCarta

    24 декабря 2019 года компания "Аладдин Р.Д." сообщила, что совместно с "ИнфоТеКС" завершили тестовые испытания на совместимость своих продуктов. Результаты тестирования показали, что электронные ключи JaCarta могут использоваться совместно с программным комплексом защиты рабочих мест ViPNet Client версий 4.5.1 и 4.5.2, СКЗИ версии 4.4 и модулем доверенной загрузки для UEFI BIOS ViPNet SafeBoot версии 1.4. Подробнее здесь.

    Совместимость ViPNet CSP Linux 4.4 с Ред ОС

    10 декабря 2019 года «РЕД СОФТ» сообщил, что совместно с «ИнфоТеКС» провели тестирование на совместимость своих продуктов. Результаты испытаний подтвердили корректную работу программных продуктов ViPNet Client 4 for Linux (версия 4.6) и ViPNet CSP Linux 4.4 (производства «ИнфоТеКС») на операционной системе РЕД ОС (производства РЕД СОФТ). Подробнее здесь.

    Совместимость ViPNet CSP с Ред ОС

    15 апреля 2019 года «РЕД СОФТ» сообщил, что совместно с «ИнфоТеКС» в рамках соглашения о технологическом сотрудничестве, провели тестирование на совместимость своих продуктов. Результаты испытаний подтвердили корректную работу программных комплексов ViPNet Client for Linux и ViPNet CSP на операционной системой РЕД ОС. Подробнее здесь.

    2018: Совместимость ViPNet CSP 4.2 с JaCarta

    Компания «ИнфоТеКС» и компания «Аладдин Р.Д.» — российские разработчики продуктов и решений в области информационной безопасности — в феврале 2018 года завершили испытания своих разработок на совместимость.

    По итогам проведённых испытаний подтверждена корректность совместной работы USB-токенов и смарт-карт линейки JaCarta со средством криптографической защиты информации (СКЗИ) ViPNet CSP 4.2 (исполнения 1, 2 и 3 под управлением операционных систем семейства Microsoft Windows и исполнения 4 и 5 под управлением операционных систем семейства Linux).

    Испытаниями подтверждено, что СКЗИ ViPNet CSP 4.2 корректно работает со следующими моделями USB-токенов и смарт-карт JaCarta: JaCarta PKI, JaCarta PRO, JaCarta ГОСТ, JaCarta PKI/ГОСТ, JaCarta PRO/ГОСТ, JaCarta LT, JaCarta PKI/Flash, JaCarta ГОСТ/Flash и JaCarta PKI/ГОСТ/Flash. Смарт-карты JaCarta тестировались с использованием смарт-картридеров ASEDrive. Для совместной работы СКЗИ ViPNet CSP 4.2 c устройствами линейки JaCarta необходимо использовать ПО "Единый Клиент JaCarta" версии 2.9 и выше.

    Совместимость с Secret Disk 5

    Компании "Аладдин Р.Д." и "ИнфоТеКС" 19 сентября 2017 года объявили о подтверждении в ходе тестирования работоспособности и корректности работы системы защиты конфиденциальной информации и персональных данных Secret Disk 5 с СКЗИ ViPNet CSP 4.2. Для корректного функционирования должен быть предустановлен пакет расширения Crypto Extension Pack версии 4.13 или выше. Подробнее здесь.

    Адаптация для Sailfish Mobile OS Rus

    Компании «Инфотекс» и «Открытая Мобильная Платформа» 15 августа объявили о завершении работы по адаптации провайдера криптографических функций ViPNet CSP 4.2 для Sailfish Mobile OS Rus.

    «Открытая Мобильная Платформа» развивает на базе Sailfish OS отечественный продукт Sailfish Mobile OS Rus, предназначенный для корпоративных пользователей и государственных учреждений. При его разработке основное внимание уделяется обеспечению безопасности обработки и передачи бизнес-данных.

    Библиотеки реализуют следующие криптографические механизмы:

    Продукты ViPNet CSP и Sailfish Mobile OS RUS внесены в «Единый реестр российских программ для электронных вычислительных машин и баз данных». Инициированы работы по сертификации продукта ViPNet CSP 4.2 Linux for Sailfish по требованиям регулятора.

    Финал этапа создания малоресурсной криптографии

    26 апреля 2017 года компания ИнфоТеКС сообщила о завершении промежуточного этапа работ по созданию малоресурсной криптографии для использования в технологических продуктах межмашинного взаимодействия (M2M), IoT и индустриальных системах.

    По результатам измерений производительности продукта получено подтверждение повышенной эффективности алгоритма ГОСТ 28147-89 в сравнении с зарубежными аналогами с точки зрения их использования в сфере малоресурсной криптографии.

    Некоторые результаты сравнений производительности.

    Завершен перенос ПО на платформу Эльбрус

    24 марта 2017 года компания ИнфоТеКС объявила о завершении этапа работ по переносу продуктов на платформу Эльбрус.

    На платформе Эльбрус, функционирующей на микропроцессоре Эльбрус-4С, доступны криптобиблиотеки для встраивания в прикладное и системное программное обеспечение. Криптобиблиотеки входят в состав продукта ViPNet CSP.

    Криптобиблиотеки обеспечивают работу криптографических механизмов:

    • ГОСТ-алгоритмы шифрования, хеширования, электронной подписи, выработки ключевой информации, экспорта и импорта ключей.
    • Выработка ключей из пароля, симметричного или асимметричного ключа.
    • Разграничение доступа к данным, хранящимся на программном токене: использование PIN-кодов пользователя и администратора.
    • Очистка оперативной памяти компьютера (удаление ключевой информации).
    • Организация TLS-соединений по алгоритмам ГОСТ.
    • Выполнение функций УЦ (поддержка PKI на основе стандарта X.509).
    • Поддержка CMS с использованием алгоритмов ГОСТ.

    2016: ViPNet CSP 4.2 совместим с Рутокен

    26 августа 2016 года компании ИнфоТеКС и «Актив» сообщили о завершении тестовых испытаний на совместимость продукта ViPNet CSP 4.2 с токенами и смарт-картами Рутокен.

    Сертификаты совместимости подтверждают возможность использования решений линейки Рутокен и ряда продуктов компании ИнфоТеКС для создания на токенах квалифицированной электронной подписи, хранения на них персональных ключей пользователей ViPNet.

    В ходе испытаний специалисты компаний протестировали связку криптопровайдера ViPNet CSP 4.2 с токенами с неизвлекаемыми ключами электронной подписи Рутокен ЭЦП 2.0.

    Совместимая с продуктами ИнфоТеКС модель Рутокен ЭЦП 2.0 с аппаратной реализацией криптографических стандартов (ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012 и VKO ГОСТ Р 34.10-2012) позволит заказчику не перестраивать работающую инфраструктуру в конце 2018 года, чтобы соответствовать новым требованиям ФСБ России.

    2014: СКЗИ ViPNet CSP версии 4.0

    Компания «ИнфоТеКС» сообщила в феврале 2014 года о получении выписки из положительного заключения ФСБ России (исх. № 149/3/2/2-153 от 31.01.2014) о соответствии криптопровайдера ViPNet CSP 4.0 требованиям ФСБ России к СКЗИ по классам KC1/KC2/KC3, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну.

    Криптопровайдер ViPNet CSP — это средство криптографической защиты информации, предназначенное для выполнения криптографических операций, доступ к которым осуществляет посредством встраивания криптопровайдера в приложения через стандартизованные интерфейсы. ViPNet CSP реализует криптографические алгоритмы, соответствующие российским стандартам.

    Ознакомиться с новой версией криптопровайдера ViPNet CSP 4.0 можно на сайте компании.

    Описание СКЗИ ViPNet CSP 4.0, а также дистрибутивы и документация доступны на сайте «ИнфоТеКС» в разделе данного продукта.

    2011: СКЗИ ViPNet CSP версии 3.2

    Компания «Инфотекс» объявила в марте 2011 года о том, что по результатам сертификационных испытаний криптопровайдер ViPNet CSP (разработка «Инфотекс») получил положительное заключение ФСБ России, подтверждающее соответствие продукта требованиям, предъявляемым ФСБ к шифровальным (криптографическим) средствам, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, по классам КС1 и КС2.

    Криптопровайдер ViPNet CSP реализует криптографические алгоритмы, соответствующие требованиям ГОСТ 28147-89, ГОСТ Р 34.10-2001 и ГОСТ Р 34.11-94. Использовать ViPNet CSP можно как в информационных системах общего пользования, так и в государственных и корпоративных информационных системах, отметили в компании. Криптопровайдер встраивается в прикладное программное обеспечение, отвечающее за хранение и обработку персональных данных, конфиденциальной, служебной, коммерческой и другой информации. В то же время, ViPNet CSP как средство электронной цифровой подписи позволяет обеспечить юридическую силу электронных документов.

    По информации «Инфотекс», криптопровайдер разработан в соответствии с технологией Microsoft Cryptographic Service Provider. Его применение в программах пакета Microsoft Office обеспечивает подпись и шифрование данных. ViPNet CSP версии 3.2. был протестирован корпорацией Microsoft на производительность, надежность и безопасность. В результате была подтверждена его совместимость с 32-разрядной и 64-разрядной версиями операционной системы Windows 7, сообщили в компании. Кроме того, ViPNеt CSP совместим с сертифицированными криптопровайдерами других российских производителей.

    СКЗИ ViPNet CSP версии 3.2 предназначено для реализации функций шифрования, имитозащиты, электронной подписи и вычисления хэш-функции для пользовательских данных, генерации случайных последовательностей и выработки криптографических ключей подписи и шифрования, а также сетевой аутентификации и защиты данных с использованием протокола TLS. Для хранения ключевой информации криптопровайдер поддерживает широкий спектр ключевых носителей, включая носители с неизвлекаемыми ключами электронной подписи, например, eToken ГОСТ и ruToken ЭЦП, что обеспечивает строгую двухфакторную аутентификацию пользователей, гарантируя высокий уровень безопасности. Во всех случаях применения ViPNet CSP обеспечивает вычисление и проверку квалифицированной электронной подписи в соответствии с требованиями федерального закона №63-ФЗ «Об электронной подписи».

    Использовать ViPNet CSP можно как в информационных системах общего пользования, так и в государственных и корпоративных информационных системах, например в системах электронных торгов, системах электронного юридически значимого документооборота, защищенных веб-сервисах, в системах сдачи отчетности в электронном виде, при предоставлении государственных и муниципальных электронных услуг, в системах дистанционного банковского обслуживания и многих других.

    Продукт уже давно используется компанией «Калуга Астрал». «Использование ViPNet CSP в наших продуктах для сдачи отчетности и проектах внутрикорпоративного обмена данными позволило значительно повысить доступность предоставления услуг конечным пользователям, — утверждает руководитель проекта «Астрал Отчет» Сергей Финогин. — Выбранная `Инфотексом` политика распространения позволяет любому физическому и юридическому лицу бесплатно получить СКЗИ, сертифицированное ФСБ».

    Читайте также: