Сетевая безопасность
ViPNet xFirewall
Разработчик: ИнфоТеКС
ПАК ViPNet xFirewall — это шлюз безопасности — межсетевой экран следующего поколения, который устанавливается на границе сети, обеспечивает фильтрацию трафика на всех уровнях, позволяет создать гранулированную политику безопасности на основе учетных записей пользователей и списка приложений.
DPI (deep packet inspection) — механизм глубокой инспекции протоколов. DPI использует различные техники идентификации трафика пользовательских приложений: на основе портов и протоколов, сигнатурный метод, эвристический метод. Эти подходы позволяют выявить даже те приложения, трафик которых шифруется или маскируется.
Преимущества
- Гранулированная политика безопасности, которая строится в терминах «Пользователь» — «Приложение» — разрешить/запретить
- Обеспечение безопасного использования персональных устройств в рабочих целях с полным соблюдением политик безопасности компании – BYOD (Bring Your Own Device)
- Выявление и блокировка более 2000 прикладных протоколов и приложений: игры, социальные сети, torrent и т.д.
- Снижение расходов на потребление Интернет-трафика
- Минимизация поверхности атак
Возможности
Межсетевой экран
- Межсетевой экран с контролем состояния сессий
- Трансляция адресов NAT/PAT
- Защита от атак Antispoofing
Межсетевое экранирование уровня приложений (DPI – deep packet inspection)
Выявление и блокировка более 2000 прикладных протоколов и приложений среди которых:
- Игры
- Социальные сети
- Сервисы мгновенных сообщений
- Видео трансляции
- Сервисы P2P, torrent
- Хостинг файлов
- Туннелирование, VPN
- Удаленное управление
- Промышленные протоколы
Прокси сервер
- Поддержка протоколов HTTP и FTP
- Проверка и фильтрация трафика по MIME-типу файлов и по типу HTTP-метода запроса
- Проверка трафика сторонним антивирусом, подключаемым по протоколу ICAP
Интеграция с каталогами справочников
- Microsoft AD
- Captive Portal с LDAP каталогом
Сетевые функции
- Развитая статическая маршрутизация
- Динамическая маршрутизация
- Поддержка VLAN (dot1q)
- Агрегирование каналов связи (bonding (LACP), EtherChannel)
- Поддержка QoS, ToS, DiffServ
Сервисные функции
- DNS-сервер
- NTP-сервер
- DHCP-сервер
- DHCP –Relay
Отказоустойчивость и резервирование
- Кластер горячего резервирования — failover
- Поддержка ИБП (UPS)
Сертификация
- Сертификат соответствия ФСТЭК России № 4093 от 13.02.2019 удостоверяет, что программно-аппаратный комплекс ViPNet xFirewall 4 соответствует требования ФСТЭК России к межсетевым экранам типа А 4 класса и межсетевым экранам типа Б 4 класса
Семейство шлюзов безопасности ViPNet xFirewall
ПАК ViPNet xFirewall xF100 — шлюз безопасности для защиты филиалов компаний и небольших удаленных офисов.ПАК, исполненный в форм-факторе miniPC, потребляет низкое количество электроэнергии, оснащен пассивной системой охлаждения и не требует особых условий для размещения и эксплуатации.
ПАК ViPNet xFirewall xF1000 C/D — шлюзы безопасности для защиты компьютерных сетей масштаба предприятия. ПАКи, исполненные в форм-факторе 1U, потребляют низкое количество электроэнергии, обладают невысоким уровнем тепловыделения и не требуют каких-либо особых условий для размещения и эксплуатации, представляя собой высокоэффективные средства сетевой защиты.
ПАК ViPNet xFirewall xF5000 — шлюз безопасности для защиты высокоскоростных каналов связи. ПАК, исполненный в форм-факторе 1U, потребляет низкое количество электроэнергии, обладает невысоким уровнем тепловыделения и не требует каких-либо особых условий для размещения и эксплуатации, представляя собой высокоэффективное средство сетевой защиты.
ViPNet Coordinator HW и ViPNet Coordinator IG
Разработчик: ИнфоТеКС
ViPNet Coordinator — семейство шлюзов безопасности, входящих в состав продуктовой линейки ViPNet Network Security. В зависимости от настроек ViPNet Coordinator может выполнять следующие функции в защищенной сети ViPNet:
- Маршрутизатор VPN-пакетов: маршрутизация зашифрованных IP-пакетов, передаваемых между сегментами защищенной сети.
- VPN-шлюз: туннелирование (шифрование и имитозащита) открытых IP-пакетов, передаваемых между локальными сегментами сети.
- Межсетевой экран: анализ, фильтрация и регистрация IP-трафика на границе сегмента сети.
- Транспортный сервер: маршрутизация передачи защищенных служебных данных в сети ViPNet, почтовых сообщений, передаваемых программой «ViPNet Деловая почта».
- Сервер IP-адресов, сервер соединений: обеспечивает регистрацию и доступ в реальном времени к информации о состоянии объектов защищенной сети и о текущем значении их сетевых настроек (IP- адресов и т.п.).
Продукты ViPNet Coordinator адаптированы для использования в различных отраслях и сценариях применения. Семейство шлюзов безопасности ViPNet Coordinator подразделяется на решения, в зависимости от особенностей их исполнения, в том числе аппаратной платформы продукта, набора дополнительных сетевых сервисов, производительности, сетевых интерфейсов и др.
Сценарии использования
Совместно с другими программными продуктами линейки ViPNet Network Security, ViPNet Coordinator HW обеспечивает эффективную реализацию множества сценариев защиты информации, например:
- Построение защищенных каналов связи между офисами компании (Site-to-Site и Multi Site-to-Site).
- Защищенный доступ удаленных и мобильных пользователей.
- Взаимодействие с сетями ViPNet других организаций.
- Защита магистральных каналов, соединяющих ЦОДы.
- Защита мультисервисных сетей (включая IP-телефонию и видео-конференц-связь).
- Разграничение доступа к информации в локальных сетях, сегментирование локальных сетей (например, выделение DMZ).
- Защищенный контролируемый доступ в Интернет.
- Организация контролируемого доступа пользователей из публичной сети к предоставляемым организацией ресурсам и сервисам.
Преимущества
- VPN без установления соединения обеспечивает повышенную надежность и устойчивость соединений через шлюз безопасности ViPNet Coordinator HW.
- Поддержка работы в современных мультисервисных сетях связи без ограничений по совместимости
- со службами DHCP, WINS, DNS;
- с динамическим преобразованием адресов (NAT, PAT);
- с использованием мультимедийных протоколов (SIP, H323, SCCP и другие).
- В качестве центра генерации ключей шифрования используется ПО ViPNet Administrator.
- Специальная архитектура файловой системы предотвращает возможность порчи образа операционной системы и ПО ViPNet при сбоях питания.
- Возможность повышения надежности координатора за счет его развертывания в составе кластера горячего резервирования (failover cluster).
Возможности
Сервер в защищенной сети ViPNet
- ViPNet VPN-шлюз сетевого уровня (L3): защита соединений сетевого уровня (OSI) с шифрованием и аутентификацией.
- ViPNet VPN-шлюз канального уровня (L2): защита соединений канального уровня (OSI) с шифрованием и аутентификацией.
- Сервер IP-адресов (оповещение защищенных узлов о параметрах доступа друг к другу).
- Маршрутизатор VPN-пакетов (маршрутизация и контроль целостности зашифрованных IP-пакетов, передаваемых между сегментами защищенной сети).
- Маскирование структуры трафика за счет инкапсуляция в UDP, TCP.
Фильтрация трафика (межсетевой экран)
- Межсетевой экран с контролем состояния сессий и инспекцией прикладных протоколов. Раздельная настройка фильтрации для открытого и шифруемого IP-трафика.
- NAT/PAT.
- Антиспуфинг.
- Сервер Открытого Интернета (организация безопасного подключения компьютеров корпоративной сети к Интернету).
- Прокси-сервер.
Сетевые функции
- Статическая маршрутизация.
- Динамическая маршрутизация.
- Резервирование и балансировка WAN каналов.
- Поддержка VLAN (dot1q).
- Агрегирование интерфейсов (bonding, EtherChannel(LACP)): резервирование и балансировка.
- Поддержка классификации и приоритезации трафика (QoS, ToS, DiffServ).
Сервисные функции
- DNS-сервер.
- NTP-сервер.
- DHCP-сервер.
- DHCP-Relay.
- Поддержка ИБП (UPS).
- Кластер горячего резервирования: отказоустойчивый координатор в конфигурации ViPNet Failover.
Настройка и управление
- Удаленная настройка ViPNet Coordinator с помощью ViPNet Administrator, веб-интерфейса, системной консоли.
- Удаленное обновление ПО ViPNet Coordinator с помощью ViPNet Administrator.
- Локальная настройка с помощью консоли.
Сертификация
- Сертификат соответствия ФСБ России № СФ/124-2981 от 14.11.2016 на соответствие требованиям ГОСТ 28147-89 и требованиям ФСБ России к средствам криптографической защиты класса КС3.
- Сертификат соответствия ФСБ России № СФ/525-3007 от 12.12.2016 на соответствие требованиям ФСБ России к устройствам типа межсетевой экран 4 класса защищенности.
- Сертификат соответствия ФСТЭК России № 3692 на соответствие требованиям документов «Требования к межсетевым экранам» и «Профиль защиты межсетевого экрана типа А четвертого класса защиты. ИТ.МЭ.А4.ПЗ».
Семейство шлюзов безопасности ViPNet Coordinator HW
ПАК ViPNet Coordinator HW50 — шлюз безопасности для защиты филиалов компаний, небольших удаленных офисов и удаленных рабочих мест, а также терминалов и устройств. Благодаря поддержке каналов Ethernet, Wi-Fi, 3G и 4G, ViPNet Coordinator HW50 позволяет обеспечить безопасное подключение к корпоративной защищенной сети ViPNet по проводным и беспроводным каналам. ПАК ViPNet Coordinator HW50, исполненный в форм-факторе miniPC, потребляет низкое количество электроэнергии, оснащен пассивной системой охлаждения и не требует каких-либо особых условий для размещения и эксплуатации.
ПАК ViPNet Coordinator HW100 — шлюз безопасности для защиты филиалов компаний, небольших удаленных офисов, удаленных рабочих мест, терминалов и устройств. Благодаря поддержке каналов Ethernet, Wi-Fi, 3G и 4G ViPNet Coordinator, HW100 позволяет обеспечить безопасное подключение к корпоративной защищенной сети ViPNet по проводным и беспроводным каналам. ПАК ViPNet Coordinator HW100, исполненный в форм-факторе miniPC, потребляет низкое количество электроэнергии, оснащен пассивной системой охлаждения и не требует особых условий для размещения и эксплуатации.
ViPNet Coordinator HW1000 — шлюз безопасности для защиты компьютерных сетей масштаба предприятия. ViPNet Coordinator HW1000 позволяет организовать защищенный доступ как в ЦОДы, так и в корпоративную облачную инфраструктуру, и поддерживает защиту скоростных каналов связи до 1 Гбит/сек. ПАК ViPNet Coordinator HW1000, исполненный в форм-факторе 1U, потребляет низкое количество электроэнергии, обладает невысоким уровнем тепловыделения и не требует каких-либо особых условий для размещения и эксплуатации, представляя собой высокоэффективное средство сетевой защиты.
ПАК ViPNet Coordinator HW2000 — шлюз безопасности для защиты высокоскоростных каналов связи (до 2,7 Гбит/сек). ViPNet Coordinator HW2000 позволяет организовать защищенный доступ как в ЦОДы, так и в корпоративную облачную инфраструктуру. ПАК ViPNet Coordinator HW2000, исполненный в форм-факторе 1U, потребляет низкое количество электроэнергии, обладает невысоким уровнем тепловыделения и не требует каких-либо особых условий для размещения и эксплуатации, представляя собой высокоэффективное средство сетевой защиты.
ПАК ViPNet Coordinator HW5000 — шлюз безопасности для защиты высокоскоростных каналов связи (до 10 Гбит/сек). ViPNet Coordinator HW5000 позволяет организовать защищенный доступ как в ЦОДы, так и в корпоративную облачную инфраструктуру. ПАК ViPNet Coordinator HW5000, исполненный в форм-факторе 1U, потребляет низкое количество электроэнергии, обладает невысоким уровнем тепловыделения и не требует каких-либо особых условий для размещения и эксплуатации, представляя собой высокоэффективное средство сетевой защиты.
ViPNet Industrial Gateway
Индустриальные шлюзы безопасности с поддержкой промышленных протоколов, обеспечивающие защиту каналов связи и сетевое экранирование.
Программно-аппаратный комплекс ViPNet Coordinator IG10 — это сетевой шлюз безопасности в индустриальном исполнении, предназначенный для защиты каналов в промышленных системах и сегментирования их на домены безопасности. ViPNet Coordinator IG10 обеспечивает эффективную защиту от сетевых атак и несанкционированного доступа путем создания защищенных каналов на основе технологии ViPNet.
ПАК легко встраивается в существующую инфраструктуру. С помощью продукта ViPNet Coordinator IG10 можно строить защищенные каналы в любой телекоммуникационной инфраструктуре, включая сети общего пользования
Сценарии использования
ViPNet Coordinator IG10 совместно с линейкой ViPNet Network Security может использоваться в следующих сценариях для защиты инфраструктуры АСУ ТП и IIoT:
- Защита индустриальной сети, индустриальной беспроводной локальной сети (WLAN).
- Защищенный удаленный мониторинг.
- Эшелонированная защита (использование ПАК для защиты каналов совместно со средствами защиты данных на прикладном уровне).
- Сегментация и защита периметра, разграничение доступа.
- Контроль доступа из индустриальной сети в Интернет.
- Защищенный удаленный доступ в индустриальную сеть, к рабочему столу оператора или инженера, а также к оборудованию. В том числе имеется возможность осуществлять мобильный удаленный доступ.
- Коммуникационный шлюз для взаимодействия с промышленным оборудованием по последовательным интерфейсам.
Преимущества
- Защита распределенных АСУ ТП средствами VPN, фильтрации трафика (межсетевой экран).
- Защита как проводных (Ethernet), так и беспроводных (Wi-Fi, 3G, 4G) каналов управления объектами распределенной АСУ ТП.
- Поддержка промышленных устройств, использующих интерфейсы RS-232/422/485, возможность работы в качестве шлюза Modbus TCP - Modbus RTU.
- Высокая энергоэфективность.
- Работа при температурах от -20 до +60 °С.
- Индустриальное исполнение.
- Поддержка VLAN.
- В качестве центра генерации ключей шифрования используется ПО ViPNet Administrator 4.6.
Поддержка промышленных протоколов
- Modbus TCP
- PROFINET
- EtherCAT
- EtherNet/IP
- DNP, IEC 60870-104, MMS
- OPC
- PTP
- LonWorks, Bacnet
- KNX, ZigBee, Z-Wave
Рубикон
Разработчик: НПО «Эшелон»
Программно-аппаратные комплексы «Рубикон» предназначены для организации эффективной защиты периметра сетей предприятий различного масштаба в соответствии с нормативными требованиями регуляторов. Любое решение «Рубикон» включает функционал маршрутизатора, межсетевого экрана, системы обнаружения вторжений.
Линейка решений состоит из следующих продуктов:
• «Рубикон» - решение, предназначенное для использования в автоматизированных системах военного назначения, в которых обрабатывается информация, составляющая государственную тайну;
• «Рубикон-А» - решение, предназначенное для защиты ГИС, ИСПДн и информационных систем, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну;
• «Рубикон-К» - решение, предназначенное для защиты ГИС, ИСПДн и информационных систем общего пользования;
• Однонаправленный шлюз «Рубикон» - решение, предназначенное для однонаправленной передачи данных в автоматизированных системах военного назначения между сегментами разного уровня секретности на базе 2-х ПАК «Рубикон» с использованием специализированных оптических плат.
Ключевые особенности
• производительность МЭ: до 9 Gb/s;
• производительность СОВ: до 3Gb/s;
• производительность маршрутизации: до 9 Gb/s;
• удобный пользовательский Web-интерфейс для администрирования комплекса;
• возможность горячего резервирования: на уровне устройств (VRRP), на уровне портов (VLAN, bonding), на уровне каналов связи (динамическая маршрутизация OSFP, BGP);
• поддержка мандатных меток отечественных защищенных операционных систем в сетевом трафике (Astra Linux, MCBC)
• интеграция с внешними системами анализа событий безопасности;
• модульная структура аппаратных платформ;
• поддержка трансляции сетевых адресов;
• статическая и динамическая маршрутизация;
• HTTP-, FTP-.
Ключевые схемы работы ПАК «Рубикон»
Схема «Горячее резервирование»
Одно из устройств работает в активном режиме, второе - в режиме ожидания. Если первое устройство отключается, второе устройство переходит в активный режим. Сетевые настройки на обоих устройствах синхронизируются.
Схема «Однонаправленный шлюз»
Рубикон 1 в несекретной части скачивает данные с FTP-сервера, передает их Рубикону 2 по однонаправленному каналу в секретную сеть. с использованием протокола UDP. Рубикон 2, в свою очередь, загружает данные на FTP-сервер в секретной части сети.
Отсутствие обратного потока информации обеспечивается на физическом уровне.
Континент TLS VPN Сервер
Разработчик: ООО «Код Безопасности»
«Континент TLS VPN Сервер» - Система обеспечения защищенного удаленного доступа к веб-приложениям с использованием алгоритмов шифрования ГОСТ
Возможности
Идентификация и аутентификация удаленных пользователей
Идентификация и аутентификация пользователей выполняются по сертификатам открытых ключей стандарта x.509v3 (ГОСТ Р 31.11–94, 34.10–2001). «Континент TLS VPN» производит проверку сертификатов ключей по спискам отозванных сертификатов (CRL). Выпуск сертификатов осуществляется внешним удостоверяющим центром.
В случае успешного прохождения процедур аутентификации запрос пользователя перенаправляется по протоколу HTTP в защищенную сеть к соответствующему веб-серверу. При этом к каждой HTTP-сессии пользователя добавляются специальные идентификаторы (идентификатор клиента и идентификатор IP).
Криптографическая защита передаваемой информации
«Континент TLS VPN» осуществляет криптографическую защиту HTTP-трафика на сеансовом уровне. Шифрование информации производится по алгоритму ГОСТ 28147–89.
Расчет хэш-функции выполняется по алгоритму ГОСТ Р 34.11–94, ГОСТ Р 34.11–2012.
Формирование и проверка электронной подписи осуществляются в соответствии с алгоритмом ГОСТ Р 34.10–2001, ГОСТ Р 34.10–2012.
Сокрытие защищаемых серверов и трансляция адресов
«Континент TLS VPN» производит фильтрацию запросов и транслирует адреса запросов к веб-серверам корпоративной сети. Трансляция адресов осуществляются в соответствии с правилами, которые устанавливает администратор «Континент TLS VPN».
Отказоустойчивость и масштабируемость
«Континент TLS VPN» поддерживает работу в схеме высокопроизводительного кластера с балансировкой нагрузки (внешним балансировщиком). Повышение отказоустойчивости достигается добавлением в кластер избыточной ноды. При этом наращивания элементов балансирующего кластера может осуществляться неограниченно. Выход из строя элемента кластера не приводит к разрыву соединений, поскольку нагрузка равномерно распределяется между остальными элементами.
Мониторинг и регистрация событий
В «Континент TLS VPN» администратор всегда может получить оперативную информацию о текущем состоянии установленных соединений и статистику его работы. На сервере осуществляется журналирование событий информационной безопасности. Все события могут пересылаться на указанный сервер в формате syslog для дальнейшего анализа, что делает интеграцию с SIEM-системами максимально простой.
Удобные инструменты управления
Сочетание локальных и удаленных средств с веб-интерфейсом и удобной графической консолью управления обеспечивает гибкую настройку «Континент TLS VPN» в соответствии с требованиями политик безопасности.
Поддерживаемые протоколы
«Континент TLS VPN» поддерживает протоколы TLS v.1, TLS v.2.
Работа пользователя через любой веб-браузер
Используя приложение «Континент TLS VPN Клиент», пользователи могут получить доступ к защищенным ресурсам из любого веб-браузера. «Континент TLS VPN Клиент» является локальным прокси, перехватывает трафик браузера к защищаемым веб-серверам и упаковывает его в http-туннель. Благодаря этому пользователь может работать с любым веб-браузером, установленном на его устройстве.
Использование удобного для пользователей программного клиента
Использование удобного для пользователей программного клиента В качестве клиента на устройстве пользователя может быть использован «Континент TLS VPN Клиент» или «КриптоПро CSP».
ViPNet TLS Gateway
Разработчик: ИнфоТеКС
ViPNet TLS Gateway – это высокопроизводительный TLS-криптошлюз, использующий российские криптоалгоритмы.
ViPNet TLS Gateway обеспечивает аутентификацию пользователей и организацию защищенных соединений по протоколу TLS v.1.2 при работе с портальными решениями.
Сценарии использования
Удаленный доступ сотрудников к корпоративным ресурсам.
Предоставление электронных услуг через защищенный канал:
• Сдача электронной отчетности
• Электронные торговые площадки
• Дистанционное банковское обслуживание
• Электронный документооборот
Сертификация в ФСБ России
Получен сертификат ФСБ России о соответствии ViPNet TLS Gateway Требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну по классам:
• КС1 для исполнения 5 (TLS VA);
• КС3 для исполнений 1, 2, 3 (TLS 500, 1000, 5000 соответственно).
Функциональные характеристики
• Обратный прокси-сервер, обеспечивающий защищенный удаленный HTTPS-доступ к ресурсам.
• Схемы аутентификации при установлении защищенного TLS-соединения:
o односторонняя: аутентификация сервера;
o Двусторонняя: обоюдная аутентификация сервера и пользователя;
• Пользователи и сервер аутентифицируются по сертификатам ключей проверки электронной подписи;
• ViPNet TLS Gateway контролирует перечень доступных пользователям ресурсов: в зависимости от заданных настроек и правил обработки входящих запросов сервер принимает решение, предоставлять информацию конечному пользователю или нет;
• Автоматическое поддержание актуальности списков аннулированных сертификатов (CRL) для проверки используемых пользователями сертификатов;
• Работа пользователей с использованием сертификатов, изданных в разных удостоверяющих центрах;
• Возможность удаленного администрирования через веб-интерфейс ViPNet TLS Gateway;
• Поддержка кластера с балансировкой нагрузки за счет внешнего балансировщика.
Поддержка криптографических стандартов и рекомендаций
• Электронная подпись: ГОСТ Р 34.10-2001, 34.10-2012;
• Хэширование: ГОСТ 34.11-2012, 34.11-94;
• Имитозащита: ГОСТ 28147-89;
• Шифрование: ГОСТ 28147-89, рекомендации Технического комитета 026 «Криптографическая защита информации».