Материал из Википедии - свободной энциклопедии
Криптошлюз (криптографический шлюз, vpn-шлюз, криптомаршрутизатор) - аппаратно-программный комплекс криптографической защиты трафика данных, голоса, видео на основе шифрования пакетов по протоколам IPsec AH и/или IPsec ESP при установлении соединения, соответствующий требованиям к средствам криптографической защиты информации (СКЗИ ) ФСБ России и обеспечивающий базовую функциональность современного VPN -устройства.
Криптошлюз предназначен для обеспечения информационной безопасности организации, защиты её информационных сетей от вторжения со стороны сетей передачи данных (Интернет), обеспечения конфиденциальности при передаче информации по открытым каналам связи (VPN), а также организации безопасного доступа пользователей к ресурсам сетей общего пользования.
Криптошлюз обеспечивает базовую функциональность современного VPN-устройства:
Криптошлюзы представлены как в сегменте VPN устройств, так и в сегменте унифицированных устройств (UTM) объединяющих несколько средств безопасности в одном.
Отличие криптошлюзов от обычных VPN маршрутизаторов заключается в том, что они работают на основе протокола IPSec и обеспечивают защиту информации, передаваемой по каналам связи, используя алгоритмы, которые отвечают требованиям российских криптографических стандартов (ГОСТ 28147-89 и ГОСТ Р 34.10-2001) .
Криптошлюзы позволяют осуществить защищённый доступ удаленных абонентов к ресурсам корпоративной информационной системы. Доступ производится с использованием специального программного обеспечения, установленным на компьютере пользователя (VPN-клиент) для осуществления защищённого взаимодействия удаленных и мобильных пользователей с криптошлюзом.
Программное обеспечение криптошлюза (сервер доступа) проводит идентификацию и аутентификацию пользователя и осуществляет его связь с ресурсами защищаемой сети. С помощью криптошлюзов формируют виртуальные защищённые каналы в сетях общего пользования (например, Internet), которые гарантируют конфиденциальность и достоверность информации, и организовывать виртуальные частные сети (Virtual Private Network – VPN), представляющие собой объединение локальных сетей или отдельных компьютеров, подключенных к сети общего пользования в единую защищённую виртуальную сеть. Для управления такой сетью обычно используется специальное программное обеспечение (центр управления), которое обеспечивает централизованное управление локальными политиками безопасности VPN-клиентов и криптошлюзов, рассылает для них ключевую информацию и новые конфигурационные данные, обеспечивает ведение системных журналов.
Когда Пьер вернулся домой, ему подали две принесенные в этот день афиши Растопчина.
В первой говорилось о том, что слух, будто графом Растопчиным запрещен выезд из Москвы, – несправедлив и что, напротив, граф Растопчин рад, что из Москвы уезжают барыни и купеческие жены. «Меньше страху, меньше новостей, – говорилось в афише, – но я жизнью отвечаю, что злодей в Москве не будет». Эти слова в первый раз ясно ыоказали Пьеру, что французы будут в Москве. Во второй афише говорилось, что главная квартира наша в Вязьме, что граф Витгснштейн победил французов, но что так как многие жители желают вооружиться, то для них есть приготовленное в арсенале оружие: сабли, пистолеты, ружья, которые жители могут получать по дешевой цене. Тон афиш был уже не такой шутливый, как в прежних чигиринских разговорах. Пьер задумался над этими афишами. Очевидно, та страшная грозовая туча, которую он призывал всеми силами своей души и которая вместе с тем возбуждала в нем невольный ужас, – очевидно, туча эта приближалась.
«Поступить в военную службу и ехать в армию или дожидаться? – в сотый раз задавал себе Пьер этот вопрос. Он взял колоду карт, лежавших у него на столе, и стал делать пасьянс.
– Ежели выйдет этот пасьянс, – говорил он сам себе, смешав колоду, держа ее в руке и глядя вверх, – ежели выйдет, то значит… что значит?.. – Он не успел решить, что значит, как за дверью кабинета послышался голос старшей княжны, спрашивающей, можно ли войти.
– Тогда будет значить, что я должен ехать в армию, – договорил себе Пьер. – Войдите, войдите, – прибавил он, обращаясь к княжие.
(Одна старшая княжна, с длинной талией и окаменелым лидом, продолжала жить в доме Пьера; две меньшие вышли замуж.)
– Простите, mon cousin, что я пришла к вам, – сказала она укоризненно взволнованным голосом. – Ведь надо наконец на что нибудь решиться! Что ж это будет такое? Все выехали из Москвы, и народ бунтует. Что ж мы остаемся?
– Напротив, все, кажется, благополучно, ma cousine, – сказал Пьер с тою привычкой шутливости, которую Пьер, всегда конфузно переносивший свою роль благодетеля перед княжною, усвоил себе в отношении к ней.
– Да, это благополучно… хорошо благополучие! Мне нынче Варвара Ивановна порассказала, как войска наши отличаются. Уж точно можно чести приписать. Да и народ совсем взбунтовался, слушать перестают; девка моя и та грубить стала. Этак скоро и нас бить станут. По улицам ходить нельзя. А главное, нынче завтра французы будут, что ж нам ждать! Я об одном прошу, mon cousin, – сказала княжна, – прикажите свезти меня в Петербург: какая я ни есть, а я под бонапартовской властью жить не могу.
– Да полноте, ma cousine, откуда вы почерпаете ваши сведения? Напротив…
– Я вашему Наполеону не покорюсь. Другие как хотят… Ежели вы не хотите этого сделать…
– Да я сделаю, я сейчас прикажу.
Княжне, видимо, досадно было, что не на кого было сердиться. Она, что то шепча, присела на стул.
– Но вам это неправильно доносят, – сказал Пьер. – В городе все тихо, и опасности никакой нет. Вот я сейчас читал… – Пьер показал княжне афишки. – Граф пишет, что он жизнью отвечает, что неприятель не будет в Москве.
– Ах, этот ваш граф, – с злобой заговорила княжна, – это лицемер, злодей, который сам настроил народ бунтовать. Разве не он писал в этих дурацких афишах, что какой бы там ни был, тащи его за хохол на съезжую (и как глупо)! Кто возьмет, говорит, тому и честь и слава. Вот и долюбезничался. Варвара Ивановна говорила, что чуть не убил народ ее за то, что она по французски заговорила…
– Да ведь это так… Вы всё к сердцу очень принимаете, – сказал Пьер и стал раскладывать пасьянс.
АПКШ «Континент» IPC-25 компактный криптошлюз для небольшого офиса. АПКШ «Континент» является мощным и гибким инструментом создания виртуальных частных сетей, позволяющим строить VPN любой архитектуры. Обеспечивает криптографическую защиту информации (в соответствии с ГОСТ 28147–89), передаваемой по открытым каналам связи, между составными частями VPN (локальные вычислительные сети, их сегменты и отдельные компьютеры). осуществляет шифрование отдельных пакетов данных уникальными ключами, что гарантирует защиту от дешифровки перехваченных данных. Для защиты от НСД предусмотрена система фильтрация трафика. Осуществляет поддержку VoIP, видеоконференций, GPRS, 3G, LTE, ADSL, Dial-Up и спутниковых каналов связи, технологии NAT/PAT для сокрытия структуры сети.
АПКШ «Континент» предназначен для решения следующих типовых задач:
Производитель : ООО "Код Безопасности"
180 000,00 руб.
Счет сформируется автоматически. Укажите тип плательщика "юридическое лицо" и заполните реквизиты.
Сравнение версий
АПКШ «Континент» - IPC-25 | АПКШ «Континент» - IPC-100 | АПКШ «Континент» - IPC-400 | АПКШ «Континент» - IPC-1000 | |
Цена | 180 000 Р
Купить | 270 000 Р
Купить | 665 000 Р
Купить | 1 021 000 Р
Купить |
Производительность VPN (шифрования+ фильтрация МЭ) | до 50 Мбит/с | до 300 Мбит/с | до 500 Мбит/с | до 950 Мбит/с |
Производительность МЭ (открытый трафик) | до 100 Мбит/с | до 400 Мбит/с | до 1 Гбит/с | до 1 Гбит/с |
Максимальное количество обрабатываемых конкурирующих TCP сессий (keep-state) | 10000 | 250000 | 350000 | 1000000 |
Количество защищенных соединение (VPN тоннелей) | 25 | не ограничено | не ограничено | не ограничено |
Форм-фактор |
Mini-ITX, высота 1U |
Габариты (ВхШxГ) |
155 х 275 x 45 мм |
Процессор |
Intel Atom C2358 частотой 1743 МГц |
Оперативная память |
SODIMM DDR3 DRAM, 2 Гбайта, PC-1333 |
Сетевые интерфейсы |
4х 1000BASE-T Ethernet 10/100/1000 RJ45 (выполнены в виде легко заменяемых модулей) |
Жесткие диски |
SATA DOM модуль 4Gb |
Блок питания |
внешний адаптер переменного тока 19В, 220B 80Вт |
Считыватель |
Touch Memory |
Персональные идентификаторы |
Touch Memory iButton DS1992L 2 шт. |
Встроенный модуль АПМДЗ |
ПАК «Соболь» 3.0 (mini-PCIe) |
USB-flash drive |
не менее 512 Мб |
Уровень акустического шума при 100% загрузке (методика измерения ISO7779) |
|
Встроенная операционная система |
Continent OS – усовершенствованная ОС с усиленной безопасностью на основе ядра FreeBSD |
Возможности
Комплекс обеспечивает криптографическую защиту информации (в соответствии с ГОСТ 28147-89), передаваемой по открытым каналам связи, между составными частями VPN, которыми могут являться локальные вычислительные сети, их сегменты и отдельные компьютеры.
Современная ключевая схема, реализуя шифрование каждого пакета на уникальном ключе, обеспечивает гарантированную защиту от возможности дешифрации перехваченных данных.
Для защиты от проникновения со стороны сетей общего пользования комплекс «Континент» 3.6 обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Осуществляет поддержку VoIP, видеоконференций, ADSL, Dial-Up и спутниковых каналов связи, технологии NAT/PAT для сокрытия структуры сети.
Ключевые возможности и характеристики АПКШ «Континент» 3.6
Эффективная защита корпоративных сетей
В АПКШ «Континент» 3.6 применяется современная ключевая схема, реализующая шифрование каждого пакета на уникальном ключе. Это обеспечивает высокую степень защиты данных от расшифровки в случае их перехвата.
Шифрование данных производится в соответствии с ГОСТ 28147–89 в режиме гаммирования с обратной связью. Защита данных от искажения осуществляется по ГОСТ 28147–89 в режиме имитовставки.
Управление криптографическими ключами ведется централизованно из ЦУС.
Криптошлюз «Континент» 3.6 обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Это позволяет защитить внутренние сегменты сети от проникновения из сетей общего пользования.
Специальное программное обеспечение «Континент АП», входящее в состав АПКШ «Континент» 3.6, позволяет организовать защищенный доступ с удаленных компьютеров к корпоративной VPN-сети.
В АПКШ «Континент» 3.6 можно подключать 1 внешний и 3–9 внутренних интерфейсов на каждом криптошлюзе. Это значительно расширяет возможности пользователя при настройке сети в соответствии с корпоративной политикой безопасности. В частности, наличие нескольких внутренних интерфейсов позволяет разделять на уровне сетевых карт подсети отделов организации и устанавливать необходимую степень взаимодействия между ними.
Основные характеристики и возможности
Работа через Dial-Up соединения, оборудование ADSL, подключенное непосредственно к криптошлюзу, а также через спутниковые каналы связи.
Криптошлюзы «Континент» 3.6 «прозрачны» для любых приложений и сетевых сервисов, работающих по протоколу TCP/IP, включая такие мультимедиа-сервисы, как IP-телефония и видеоконференции.
Реализованный в АПКШ «Континент» 3.6 механизм приоритезации трафика позволяет защищать голосовой (VoIP) трафик и видеоконференции без потери качества связи.
Резервирование гарантированной полосы пропускания за определенными сервисами обеспечивает прохождение трафика электронной почты, систем документооборота и т.д. даже при активном использовании IP-телефонии на низкоскоростных каналах связи.
Поддержка VLAN гарантирует простое встраивание АПКШ в сетевую инфраструктуру, разбитую на виртуальные сегменты.
Поддержка технологии NAT/PAT позволяет скрывать внутреннюю структуру защищаемых сегментов сети при передаче открытого трафика, а так же организовывать демилитаризованные зоны и сегментировать защищаемые сети.
Скрытие внутренней структуры защищаемых сегментов корпоративной сети осуществляется:
На каждом криптошлюзе существует возможность специально выделить один из интерфейсов для проверки трафика, проходящего через КШ, на наличие попыток неавторизованного доступа (сетевых атак). Для этого необходимо определить такой интерфейс как «SPAN-порт» и подключить к нему компьютер с установленной системой обнаружения атак (например, RealSecure). После этого на данный интерфейс начинают ретранслироваться все пакеты, поступающие на вход пакетного фильтра криптошлюза.
Удобство и простота обслуживания (необслуживаемый режим 24*7)
АПКШ «Континент» 3.6 не требует постоянного локального администрирования и может работать в необслуживаемом режиме 24*7х365. Промышленные компьютеры, используемые в производстве комплекса, в совокупности с возможностью горячего и холодного резервирования гарантируют бесперебойную работу комплекса.
Комплекс осуществляет оперативное оповещение администраторов о событиях, требующих оперативного вмешательства, в режиме реального времени.
В комплексе решена проблема обновления программного обеспечения КШ в территориально-распределенных системах. Обновление ПО загружается в комплекс централизованно, рассылается на все криптошлюзы, входящие в состав комплекса, и автоматически устанавливается.
Отказоустойчивость Комплекса обеспечивается следующими мерами:
Централизованное управление сетью осуществляется при помощи ЦУС и программы управления, которая позволяет в диалоговом режиме изменять настройки всех криптошлюзов сети и вести оперативный мониторинг их текущего состояния.
Отображение состояния всех устройств на рабочем месте администратора в масштабе реального времени позволяет своевременно выявлять отклонения от нормального процесса функционирования и оперативно на них реагировать.
Реализована возможность разделения полномочий на администрирование комплекса, например, на управление ключевой информацией, на назначение прав доступа к защищаемым ресурсам, на добавление новых компонент, на аудит действий пользователей (в том числе и других администраторов).
Позволяет контролировать состояние АПКШ «Континент» 3.6 по протоколу SNMPv2 из систем глобального управления сетью (Hewlett-Packard, Cisco и др.).
Криптошлюзы (VPN-шлюзы, VPN-маршрутизаторы или крипто-маршрутизаторы) выполняют функции обеспечения конфиденциальности данных пользователя путём их шифрования и функции контроля целостности сообщений пользователя на выходе из ГСПД при помощи аутентификаторов сообщений. Центр управления ВЧС выполняет функции мониторинга и управления работой криптошлюзов, а также отвечает за распределение криптографических ключей между ними. В состав ВЧС могут входить отдельные рабочие станции пользователей, ЛВС и другие АС.
В настоящее время существует четыре метода построения криптошлюзов ВЧС:
На базе сетевых операционных систем со встроенными функциями организации ВЧС;
На базе маршрутизаторов/коммутаторов, ПО которых имеет функции построения ВЧС;
На базе МЭ, в ПО которых интегрированы функции по построению ВЧС;
На базе специализированного программно-аппаратного обеспечения, предназначенного только для построения ВЧС.
В рамках ВЧС все данные, как правило, передаются по так называемым «туннелям» , которые представляют собой виртуальное соединение между двумя криптошлюзами ВЧС. Алгоритм передачи сообщений через туннель ВЧС выглядит следующим образом. Перед отправкой сообщений пользователя через туннель криптошлюз их зашифровывает, вычисляет для них аутентификатор, после чего сообщения инкапсулируются (переупаковываются) в новые сообщения, которые и передаются по туннелю. При этом в поле заголовка «Адрес получателя» сформированного сообщения указывается адрес криптошлюза, а не адрес АС пользователя которому на самом деле предназначается сообщение, что позволяет скрыть истинные адреса субъектов соединения. После передачи сообщений на другом конце туннеля криптошлюз извлекает полученные данные, расшифровывает их, проверяет их целостность, после чего данные передаются адресатам. Такой способ передачи сообщений принято называть «туннелированием» . Схема туннелирования сообщений пользователя изображена на рис. 19.2.
Рисунок 19.2 - Схема туннелирования сообщений пользователя
Взаимодействие между криптошлюзами ВЧС реализуется при помощи протоколов специального типа, называемых криптопротоколами. Криптопротоколы могут быть реализованы на различных уровнях модели ВОС (табл. 19.1).
Таблица 19.1. Криптопротоколы различных уровней модели ВОС
В настоящее время наиболее часто для построения ВЧС используется криптопротокол IPSec , спецификация которого является частью базового стандарта шестой версии протокола IP, посредством которого реализуются функции уровня межсетевого взаимодействия стека протоколов TCP/IP.
Криптошлюз
Криптошлюз (криптографический шлюз, vpn-шлюз, криптомаршрутизатор) - аппаратно-программный комплекс криптографической защиты трафика данных, голоса, видео на основе шифрования пакетов по протоколам IPsec AH и/или IPsec ESP при установлении соединения, соответствующий требованиям к средствам криптографической защиты информации (СКЗИ ) ФСБ России и обеспечивающий базовую функциональность современного VPN -устройства.
Криптошлюз предназначен для обеспечения информационной безопасности организации, защиты её информационных сетей от вторжения со стороны сетей передачи данных (Интернет), обеспечения конфиденциальности при передаче информации по открытым каналам связи (VPN), а также организации безопасного доступа пользователей к ресурсам сетей общего пользования.
Криптошлюз обеспечивает базовую функциональность современного VPN-устройства:
Криптошлюзы представлены как в сегменте VPN устройств, так и в сегменте унифицированных устройств (UTM) объединяющих несколько средств безопасности в одном.
Отличие криптошлюзов от обычных VPN маршрутизаторов заключается в том, что они работают на основе протокола IPSec и обеспечивают защиту информации, передаваемой по каналам связи, используя алгоритмы, которые отвечают требованиям российских криптографических стандартов (ГОСТ 28147-89 и ГОСТ Р 34.10-2001) .
Криптошлюзы позволяют осуществить защищенный доступ удаленных абонентов к ресурсам корпоративной информационной системы. Доступ производится с использованием специального программного обеспечения, установленным на компьютере пользователя (VPN-клиент) для осуществления защищенного взаимодействия удаленных и мобильных пользователей с криптошлюзом.
Программное обеспечение криптошлюза (сервер доступа) проводит идентификацию и аутентификацию пользователя и осуществляет его связь с ресурсами защищаемой сети. С помощью криптошлюзов формируют виртуальные защищенные каналы в сетях общего пользования (например, Internet), которые гарантируют конфиденциальность и достоверность информации, и организовывать виртуальные частные сети (Virtual Private Network – VPN), представляющие собой объединение локальных сетей или отдельных компьютеров, подключенных к сети общего пользования в единую защищенную виртуальную сеть. Для управления такой сетью обычно используется специальное программное обеспечение (центр управления), которое обеспечивает централизованное управление локальными политиками безопасности VPN-клиентов и криптошлюзов, рассылает для них ключевую информацию и новые конфигурационные данные, обеспечивает ведение системных журналов.
Wikimedia Foundation . 2010 .
криптошлюз - КШ криптошлюз криптографический шлюз …
Запрос «Software» перенаправляется сюда. Cм. также другие значения. Программное обеспечение (произношение обеспечение не рекомендуется, точнее, не рекомендовалось) наряду с аппаратными средствами, важнейшая составляющая информационных … Википедия
Запрос «Software» перенаправляется сюда. Cм. также другие значения. Программное обеспечение (произношение обеспечение не рекомендуется, точнее, не рекомендовалось) наряду с аппаратными средствами, важнейшая составляющая информационных … Википедия
Запрос «Software» перенаправляется сюда. Cм. также другие значения. Программное обеспечение (произношение обеспечение не рекомендуется, точнее, не рекомендовалось) наряду с аппаратными средствами, важнейшая составляющая информационных … Википедия
Запрос «Software» перенаправляется сюда. Cм. также другие значения. Программное обеспечение (произношение обеспечение не рекомендуется, точнее, не рекомендовалось) наряду с аппаратными средствами, важнейшая составляющая информационных … Википедия
КШ - координационный штаб Словарь: Словарь сокращений и аббревиатур армии и спецслужб. Сост. А. А. Щелоков. М.: ООО «Издательство АСТ», ЗАО «Издательский дом Гелеос», 2003. 318 с. КШ кран на шасси Словарь: С. Фадеев. Словарь сокращений современного… … Словарь сокращений и аббревиатур