Разработчик: ИнфоТеКС

ViPNet Coordinator — семейство шлюзов безопасности, входящих в состав продуктовой линейки ViPNet Network Security. В зависимости от настроек ViPNet Coordinator может выполнять следующие функции в защищенной сети ViPNet:

• Маршрутизатор VPN-пакетов: маршрутизация зашифрованных IP-пакетов, передаваемых между сегментами защищенной сети.
• VPN-шлюз: туннелирование (шифрование и имитозащита) открытых IP-пакетов, передаваемых между локальными сегментами сети.
• Межсетевой экран: анализ, фильтрация и регистрация IP-трафика на границе сегмента сети.
• Транспортный сервер: маршрутизация передачи защищенных служебных данных в сети ViPNet, почтовых сообщений, передаваемых программой «ViPNet Деловая почта».
• Сервер IP-адресов, сервер соединений: обеспечивает регистрацию и доступ в реальном времени к информации о состоянии объектов защищенной сети и о текущем значении их сетевых настроек (IP- адресов и т.п.).

Продукты ViPNet Coordinator адаптированы для использования в различных отраслях и сценариях применения. Семейство шлюзов безопасности ViPNet Coordinator подразделяется на решения, в зависимости от особенностей их исполнения, в том числе аппаратной платформы продукта, набора дополнительных сетевых сервисов, производительности, сетевых интерфейсов и др.

Сценарии использования

Совместно с другими программными продуктами линейки ViPNet Network Security, ViPNet Coordinator HW обеспечивает эффективную реализацию множества сценариев защиты информации, например:

• Построение защищенных каналов связи между офисами компании (Site-to-Site и Multi Site-to-Site).
• Защищенный доступ удаленных и мобильных пользователей.
• Взаимодействие с сетями ViPNet других организаций.
• Защита магистральных каналов, соединяющих ЦОДы.
• Защита мультисервисных сетей (включая IP-телефонию и видео-конференц-связь).
• Разграничение доступа к информации в локальных сетях, сегментирование локальных сетей (например, выделение DMZ).
• Защищенный контролируемый доступ в Интернет.
• Организация контролируемого доступа пользователей из публичной сети к предоставляемым организацией ресурсам и сервисам.

Преимущества

• VPN без установления соединения обеспечивает повышенную надежность и устойчивость соединений через шлюз безопасности ViPNet Coordinator HW.
• Поддержка работы в современных мультисервисных сетях связи без ограничений по совместимости
  • со службами DHCP, WINS, DNS;
  • с динамическим преобразованием адресов (NAT, PAT);
  • с использованием мультимедийных протоколов (SIP, H323, SCCP и другие).
• В качестве центра генерации ключей шифрования используется ПО ViPNet Administrator.
• Специальная архитектура файловой системы предотвращает возможность порчи образа операционной системы и ПО ViPNet при сбоях питания.
• Возможность повышения надежности координатора за счет его развертывания в составе кластера горячего резервирования (failover cluster).

Возможности

Сервер в защищенной сети ViPNet

• ViPNet VPN-шлюз сетевого уровня (L3): защита соединений сетевого уровня (OSI) с шифрованием и аутентификацией.
• ViPNet VPN-шлюз канального уровня (L2): защита соединений канального уровня (OSI) с шифрованием и аутентификацией.
• Сервер IP-адресов (оповещение защищенных узлов о параметрах доступа друг к другу).
• Маршрутизатор VPN-пакетов (маршрутизация и контроль целостности зашифрованных IP-пакетов, передаваемых между сегментами защищенной сети).
• Маскирование структуры трафика за счет инкапсуляция в UDP, TCP.

Фильтрация трафика (межсетевой экран)

• Межсетевой экран с контролем состояния сессий и инспекцией прикладных протоколов. Раздельная настройка фильтрации для открытого и шифруемого IP-трафика.
• NAT/PAT.
• Антиспуфинг.
• Сервер Открытого Интернета (организация безопасного подключения компьютеров корпоративной сети к Интернету).
• Прокси-сервер.

Сетевые функции

• Статическая маршрутизация.
• Динамическая маршрутизация.
• Резервирование и балансировка WAN каналов.
• Поддержка VLAN (dot1q).
• Агрегирование интерфейсов (bonding, EtherChannel(LACP)): резервирование и балансировка.
• Поддержка классификации и приоритезации трафика (QoS, ToS, DiffServ).

Сервисные функции

• DNS-сервер.
• NTP-сервер.
• DHCP-сервер.
• DHCP-Relay.
• Поддержка ИБП (UPS).
• Кластер горячего резервирования: отказоустойчивый координатор в конфигурации ViPNet Failover.

Настройка и управление

• Удаленная настройка ViPNet Coordinator с помощью ViPNet Administrator, веб-интерфейса, системной консоли.
• Удаленное обновление ПО ViPNet Coordinator с помощью ViPNet Administrator.
• Локальная настройка с помощью консоли.

Сертификация

• Сертификат соответствия ФСБ России № СФ/124-2981 от 14.11.2016 на соответствие требованиям ГОСТ 28147-89 и требованиям ФСБ России к средствам криптографической защиты класса КС3.
• Сертификат соответствия ФСБ России № СФ/525-3007 от 12.12.2016 на соответствие требованиям ФСБ России к устройствам типа межсетевой экран 4 класса защищенности.
• Сертификат соответствия ФСТЭК России № 3692 на соответствие требованиям документов «Требования к межсетевым экранам» и «Профиль защиты межсетевого экрана типа А четвертого класса защиты. ИТ.МЭ.А4.ПЗ». 

Семейство шлюзов безопасности ViPNet Coordinator HW

ПАК ViPNet Coordinator HW50 — шлюз безопасности для защиты филиалов компаний, небольших удаленных офисов и удаленных рабочих мест, а также терминалов и устройств. Благодаря поддержке каналов Ethernet, Wi-Fi, 3G и 4G, ViPNet Coordinator HW50 позволяет обеспечить безопасное подключение к корпоративной защищенной сети ViPNet по проводным и беспроводным каналам. ПАК ViPNet Coordinator HW50, исполненный в форм-факторе miniPC, потребляет низкое количество электроэнергии, оснащен пассивной системой охлаждения и не требует каких-либо особых условий для размещения и эксплуатации.

ПАК ViPNet Coordinator HW100 — шлюз безопасности для защиты филиалов компаний, небольших удаленных офисов, удаленных рабочих мест, терминалов и устройств. Благодаря поддержке каналов Ethernet, Wi-Fi, 3G и 4G ViPNet Coordinator, HW100 позволяет обеспечить безопасное подключение к корпоративной защищенной сети ViPNet по проводным и беспроводным каналам. ПАК ViPNet Coordinator HW100, исполненный в форм-факторе miniPC, потребляет низкое количество электроэнергии, оснащен пассивной системой охлаждения и не требует особых условий для размещения и эксплуатации.

ViPNet Coordinator HW1000 — шлюз безопасности для защиты компьютерных сетей масштаба предприятия. ViPNet Coordinator HW1000 позволяет организовать защищенный доступ как в ЦОДы, так и в корпоративную облачную инфраструктуру, и поддерживает защиту скоростных каналов связи до 1 Гбит/сек. ПАК ViPNet Coordinator HW1000, исполненный в форм-факторе 1U, потребляет низкое количество электроэнергии, обладает невысоким уровнем тепловыделения и не требует каких-либо особых условий для размещения и эксплуатации, представляя собой высокоэффективное средство сетевой защиты.

ПАК ViPNet Coordinator HW2000 — шлюз безопасности для защиты высокоскоростных каналов связи (до 2,7 Гбит/сек). ViPNet Coordinator HW2000 позволяет организовать защищенный доступ как в ЦОДы, так и в корпоративную облачную инфраструктуру. ПАК ViPNet Coordinator HW2000, исполненный в форм-факторе 1U, потребляет низкое количество электроэнергии, обладает невысоким уровнем тепловыделения и не требует каких-либо особых условий для размещения и эксплуатации, представляя собой высокоэффективное средство сетевой защиты.

ПАК ViPNet Coordinator HW5000 — шлюз безопасности для защиты высокоскоростных каналов связи (до 10 Гбит/сек). ViPNet Coordinator HW5000 позволяет организовать защищенный доступ как в ЦОДы, так и в корпоративную облачную инфраструктуру. ПАК ViPNet Coordinator HW5000, исполненный в форм-факторе 1U, потребляет низкое количество электроэнергии, обладает невысоким уровнем тепловыделения и не требует каких-либо особых условий для размещения и эксплуатации, представляя собой высокоэффективное средство сетевой защиты.

ViPNet Industrial Gateway

Индустриальные шлюзы безопасности с поддержкой промышленных протоколов, обеспечивающие защиту каналов связи и сетевое экранирование.

Программно-аппаратный комплекс ViPNet Coordinator IG10 — это сетевой шлюз безопасности в индустриальном исполнении, предназначенный для защиты каналов в промышленных системах и сегментирования их на домены безопасности. ViPNet Coordinator IG10 обеспечивает эффективную защиту от сетевых атак и несанкционированного доступа путем создания защищенных каналов на основе технологии ViPNet.

ПАК легко встраивается в существующую инфраструктуру. С помощью продукта ViPNet Coordinator IG10 можно строить защищенные каналы в любой телекоммуникационной инфраструктуре, включая сети общего пользования

Сценарии использования

ViPNet Coordinator IG10 совместно с линейкой ViPNet Network Security может использоваться в следующих сценариях для защиты инфраструктуры АСУ ТП и IIoT:

• Защита индустриальной сети, индустриальной беспроводной локальной сети (WLAN).
• Защищенный удаленный мониторинг.
• Эшелонированная защита (использование ПАК для защиты каналов совместно со средствами защиты данных на прикладном уровне).
• Сегментация и защита периметра, разграничение доступа.
• Контроль доступа из индустриальной сети в Интернет.
• Защищенный удаленный доступ в индустриальную сеть, к рабочему столу оператора или инженера, а также к оборудованию. В том числе имеется возможность осуществлять мобильный удаленный доступ.
• Коммуникационный шлюз для взаимодействия с промышленным оборудованием по последовательным интерфейсам.

Преимущества

• Защита распределенных АСУ ТП средствами VPN, фильтрации трафика (межсетевой экран).
• Защита как проводных (Ethernet), так и беспроводных (Wi-Fi, 3G, 4G) каналов управления объектами распределенной АСУ ТП.
• Поддержка промышленных устройств, использующих интерфейсы RS-232/422/485, возможность работы в качестве шлюза Modbus TCP - Modbus RTU.
• Высокая энергоэфективность. 
• Работа при температурах от -20 до +60 °С.
• Индустриальное исполнение.
• Поддержка VLAN.
• В качестве центра генерации ключей шифрования используется ПО ViPNet Administrator 4.6.

Поддержка промышленных протоколов

• Modbus TCP
• PROFINET
• EtherCAT
• EtherNet/IP
• DNP, IEC 60870-104, MMS
• OPC
• PTP
• LonWorks, Bacnet
• KNX, ZigBee, Z-Wave

Разработчик: НПО «Эшелон»

Программно-аппаратные комплексы «Рубикон» предназначены для организации эффективной защиты периметра сетей предприятий различного масштаба в соответствии с нормативными требованиями регуляторов. Любое решение «Рубикон» включает функционал маршрутизатора, межсетевого экрана, системы обнаружения вторжений.
Линейка решений состоит из следующих продуктов:
• «Рубикон» - решение, предназначенное для использования в автоматизированных системах военного назначения, в которых обрабатывается информация, составляющая государственную тайну;
• «Рубикон-А» - решение, предназначенное для защиты ГИС, ИСПДн и информационных систем, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну;
• «Рубикон-К» - решение, предназначенное для защиты ГИС, ИСПДн и информационных систем общего пользования;
• Однонаправленный шлюз «Рубикон» - решение, предназначенное для однонаправленной передачи данных в автоматизированных системах военного назначения между сегментами разного уровня секретности на базе 2-х ПАК «Рубикон» с использованием специализированных оптических плат.

Ключевые особенности

• производительность МЭ: до 9 Gb/s;
• производительность СОВ: до 3Gb/s;
• производительность маршрутизации: до 9 Gb/s;
• удобный пользовательский Web-интерфейс для администрирования комплекса;
• возможность горячего резервирования: на уровне устройств (VRRP), на уровне портов (VLAN, bonding), на уровне каналов связи (динамическая маршрутизация OSFP, BGP);
• поддержка мандатных меток отечественных защищенных операционных систем в сетевом трафике (Astra Linux, MCBC)
• интеграция с внешними системами анализа событий безопасности;
• модульная структура аппаратных платформ;
• поддержка трансляции сетевых адресов;
• статическая и динамическая маршрутизация;
• HTTP-, FTP-.

Ключевые схемы работы ПАК «Рубикон»

Схема  «Горячее резервирование»

Одно из устройств работает в активном режиме, второе - в режиме ожидания. Если первое устройство отключается, второе устройство переходит в активный режим. Сетевые настройки на обоих устройствах синхронизируются.

Схема  «Однонаправленный шлюз»

Рубикон 1 в несекретной части скачивает данные с FTP-сервера, передает их Рубикону 2 по однонаправленному каналу в секретную сеть. с использованием протокола UDP. Рубикон 2, в свою очередь, загружает данные на FTP-сервер в секретной части сети.
Отсутствие обратного потока информации обеспечивается на физическом уровне.

Разработчик: ООО «Код Безопасности»

«Континент TLS VPN Сервер» - Система обеспечения защищенного удаленного доступа к веб-приложениям с использованием алгоритмов шифрования ГОСТ

Возможности

Идентификация и аутентификация удаленных пользователей

Идентификация и аутентификация пользователей выполняются по сертификатам открытых ключей стандарта x.509v3 (ГОСТ Р 31.11–94, 34.10–2001). «Континент TLS VPN» производит проверку сертификатов ключей по спискам отозванных сертификатов (CRL). Выпуск сертификатов осуществляется внешним удостоверяющим центром.
В случае успешного прохождения процедур аутентификации запрос пользователя перенаправляется по протоколу HTTP в защищенную сеть к соответствующему веб-серверу. При этом к каждой HTTP-сессии пользователя добавляются специальные идентификаторы (идентификатор клиента и идентификатор IP).

Криптографическая защита передаваемой информации

«Континент TLS VPN» осуществляет криптографическую защиту HTTP-трафика на сеансовом уровне. Шифрование информации производится по алгоритму ГОСТ 28147–89.
Расчет хэш-функции выполняется по алгоритму ГОСТ Р 34.11–94, ГОСТ Р 34.11–2012.
Формирование и проверка электронной подписи осуществляются в соответствии с алгоритмом ГОСТ Р 34.10–2001, ГОСТ Р 34.10–2012.

Сокрытие защищаемых серверов и трансляция адресов

«Континент TLS VPN» производит фильтрацию запросов и транслирует адреса запросов к веб-серверам корпоративной сети. Трансляция адресов осуществляются в соответствии с правилами, которые устанавливает администратор «Континент TLS VPN».

Отказоустойчивость и масштабируемость

«Континент TLS VPN» поддерживает работу в схеме высокопроизводительного кластера с балансировкой нагрузки (внешним балансировщиком). Повышение отказоустойчивости достигается добавлением в кластер избыточной ноды. При этом наращивания элементов балансирующего кластера может осуществляться неограниченно. Выход из строя элемента кластера не приводит к разрыву соединений, поскольку нагрузка равномерно распределяется между остальными элементами.

Мониторинг и регистрация событий

В «Континент TLS VPN» администратор всегда может получить оперативную информацию о текущем состоянии установленных соединений и статистику его работы. На сервере осуществляется журналирование событий информационной безопасности. Все события могут пересылаться на указанный сервер в формате syslog для дальнейшего анализа, что делает интеграцию с SIEM-системами максимально простой.

Удобные инструменты управления

Сочетание локальных и удаленных средств с веб-интерфейсом и удобной графической консолью управления обеспечивает гибкую настройку «Континент TLS VPN» в соответствии с требованиями политик безопасности.

Поддерживаемые протоколы

«Континент TLS VPN» поддерживает протоколы TLS v.1, TLS v.2.

Работа пользователя через любой веб-браузер

Используя приложение «Континент TLS VPN Клиент», пользователи могут получить доступ к защищенным ресурсам из любого веб-браузера. «Континент TLS VPN Клиент» является локальным прокси, перехватывает трафик браузера к защищаемым веб-серверам и упаковывает его в http-туннель. Благодаря этому пользователь может работать с любым веб-браузером, установленном на его устройстве.

Использование удобного для пользователей программного клиента

Использование удобного для пользователей программного клиента В качестве клиента на устройстве пользователя может быть использован «Континент TLS VPN Клиент» или «КриптоПро CSP».

Разработчик: ИнфоТеКС

ViPNet TLS Gateway – это высокопроизводительный TLS-криптошлюз, использующий российские криптоалгоритмы.
ViPNet TLS Gateway обеспечивает аутентификацию пользователей и организацию защищенных соединений по протоколу TLS v.1.2 при работе с портальными решениями.

Сценарии использования

Удаленный доступ сотрудников к корпоративным ресурсам.
Предоставление электронных услуг через защищенный канал:
• Сдача электронной отчетности
• Электронные торговые площадки
• Дистанционное банковское обслуживание
• Электронный документооборот

Сертификация в ФСБ России

Получен сертификат ФСБ России о соответствии ViPNet TLS Gateway Требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну по классам:
• КС1 для исполнения 5 (TLS VA);
• КС3 для исполнений 1, 2, 3 (TLS 500, 1000, 5000 соответственно).

Функциональные характеристики

• Обратный прокси-сервер, обеспечивающий защищенный удаленный HTTPS-доступ к ресурсам.
• Схемы аутентификации при установлении защищенного TLS-соединения:
o односторонняя: аутентификация сервера;
o Двусторонняя: обоюдная аутентификация сервера и пользователя;
• Пользователи и сервер аутентифицируются по сертификатам ключей проверки электронной подписи;
• ViPNet TLS Gateway контролирует перечень доступных пользователям ресурсов: в зависимости от заданных настроек и правил обработки входящих запросов сервер принимает решение, предоставлять информацию конечному пользователю или нет;
• Автоматическое поддержание актуальности списков аннулированных сертификатов (CRL) для проверки используемых пользователями сертификатов;
• Работа пользователей с использованием сертификатов, изданных в разных удостоверяющих центрах;
• Возможность удаленного администрирования через веб-интерфейс ViPNet TLS Gateway;
• Поддержка кластера с балансировкой нагрузки за счет внешнего балансировщика.

Поддержка криптографических стандартов и рекомендаций

• Электронная подпись: ГОСТ Р 34.10-2001, 34.10-2012;
• Хэширование: ГОСТ 34.11-2012, 34.11-94;
• Имитозащита: ГОСТ 28147-89;
• Шифрование: ГОСТ 28147-89, рекомендации Технического комитета 026 «Криптографическая защита информации».