Застава

Средства построения виртуальных частных сетей (VPN)

В данной области обеспечения безопасности информации компания «ЭЛВИС-ПЛЮС» предлагает два семейства продуктов: ЗАСТАВА 2.5 (для малого и среднего бизнеса) и ЗАСТАВА 3.3 (для крупных корпоративных информационных систем).

Семейство продуктов ЗАСТАВА 2.5

Продукты семейтва ЗАСТАВА 2.5 предназначены для построения таких VPN. В условиях высокой стоимости и сложности современных информационных систем для защиты вложенных в них инвестиций в продуктах ЗАСТАВА 2.5 реализованы следующие основополагающие принципы в сочетании с постоянным развитием самих продуктов:

  • открытость архитектуры и следование стандартам SKIP;

  • развитые средства аутентификации пользователей;

  • совместимость с сертификатами Х.509 и полноценная поддержка PKI;

  • возможность использования сертифицированных криптографических средств;

  • масштабируемость и полнота продуктового ряда;

  • наличие «неконфигурируемых» VPN-клиентов;

  • прозрачность и независимость VPN для приложений и среды передачи данных;

  • поддержка целого ряда платформ;

  • программная реализация всех продуктов.

Особенности VPN-продуктов ЗАСТАВА 2.5

Следование стандартам и открытость архитектуры

Использование последних достижений информационных технологий, строгое соблюдение международных (и Internet) стандартов и совместимость предлагаемых решений с продуктами третьих производителей (в первую очередь на базе стандарта SKIP) — основы стратегии при разработке продуктов VPN ЗАСТАВА 2.5.

Стандарт SKIP вобрал в себя прогрессивные методики и достижения в области сетевой безопасности, завоевал признание специалистов как надежная и легко интегрируемая система безопасности для IP сетей.

Средства аутентификации пользователей

Продукты VPN ЗАСТАВА 2.5 поддерживают развитые средства аутентификации пользователей и администраторов безопасности, получающих доступ к VPN-устройствам. Аутентификация может осуществляться различными способами: с помощью пароля, устройств SecurID, смарт-карт, а также любых других токен- устройств и даже дискет.

Наличие Сервера Сертификатов ЗАСТАВА

В состав продуктов VPN ЗАСТАВА 2.5 входит Сервер Сертификатов ЗАСТАВА 2.5, который выполняет роль центрального депозитария сертификатов и предоставляет их любым VPN устройствам по CDP запросам, а также поддерживает связь с внешними PKI по LDAP протоколу.

Совместимость с сертификатами Х.509 и поддержка PKI

Управление ключевой инфраструктурой является важнейшим элементом любой системы, основанной на использовании криптографии. VPN ЗАСТАВА 2.5 использует сертификаты X.509 версии 3 для аутентификации защищаемых сетевых объектов. При этом пользователям VPN ЗАСТАВА 2.5 предоставляются все средства для организации инфраструктуры PKI.

Для создания корпоративной PKI пользователи могут воспользоваться любыми средствами генерации сертификатов Х.509 v3, в том числе ЗАСТАВА Центр Сертификации 2.5.

Поддержка PKI в продуктах VPN ЗАСТАВА

Все продукты VPN ЗАСТАВА 2.5 полностью поддерживают многослойную иерархию PKI и способны выполнять иерархические проверки сертификатов: от сертификата центрального сетевого администратора до сертификата конечного пользователя.

Кроме того, продукты VPN ЗАСТАВА 2.5 способны выполнять запросы к серверу сертификатов по CDP (certificate discovery protocol) протоколу, а также автоматически отвечать на запросы других VPN устройств по данному протоколу.

Open CryptoAPI — эффективное решение проблемы использования криптографии

VPN-продукты ЗАСТАВА 2.5 обеспечивают регулируемую стойкость защиты данных, вплоть до 256-битных ключей. Для этого используются внешние по отношению к VPN ЗАСТАВА 2.5 криптомодули, работающие по открытому интерфейсу OpenCryptoAPI.

Открытый интерфейс Open CryptoAPI предоставляет возможность выноса всех криптоопераций во внешние криптомодули, которые поставляют организации, специализирующиеся в области криптографии. Основные криптомодули, поддерживаемые продуктами ЗАСТАВА 2.5:

  • «Crypton-Emulator» на базе СКЗИ «Криптон» производства компании «АНКАД» (сертифицирован ФАПСИ — сертификат № СФ/110-0351);

  • Модуль преобразования информации ВЕСТА-2М на базе ОСТ 51.06.98-51.08.98 производства компании «ЛАН-Крипто».

VPN-продукты ЗАСТАВА 2.5

VPN-продукты ЗАСТАВА 2.5 в свой состав включают:

  • VPN-агенты: ЗАСТАВА-Сервер, ЗАСТАВА-Офис и ЗАСТАВА-Клиент,

  • Средства управления: ЗАСТАВА-Сервер Сертификатов, ЗАСТАВА-Центр Сертификации, ЗАСТАВА-Администратор Безопасности.

ЗАСТАВА — Клиент 2.5

ЗАСТАВА - Клиент

Программный продукт ЗАСТАВА-Клиент 2.5 поставляется в двух модификациях ЗАСТАВА-Корпоративный Клиент 2.5 и ЗАСТАВА-Персональный Клиент 2.5. Он обеспечивает защиту пользовательских рабочих станций от несанкционированного доступа из внешних сетей, а также организацию защищенных соединений (ассоциаций) с отдельными компьютерами и/или с компьютерами из сегментов локальных сетей, защищенных программными продуктами семейства ЗАСТАВА 2.5 и/или SKIP-продуктами других производителей.

ЗАСТАВА-Клиент 2.5 поставляется как программный пакет, который устанавливается на компьютере пользователя. Перенастройки работающего на этом компьютере программного обеспечения не требуется.

При использовании продукта ЗАСТАВА-Персональный Клиент 2.5 политика информационной безопасности задается самим пользователем с помощью графического интерфейса пользователя или набора конфигурационных правил посредством интерфейса командной строки (только для версии под Solaris).

Отсутствие у ЗАСТАВА-Корпоративный Клиент 2.5 собственного интерфейса пользователя позволяет пользователям использовать продукт без специальной подготовки. Конфигурирование продукта происходит удаленно с помощью средства управления ЗАСТАВА Администратор Безопасности 2.5, которое предназначено для генерирования локальной политики безопасности (ЛПБ), содержащей информацию о клиентских правах доступа к ресурсам корпоративной VPN. ЛПБ загружается на удаленные компьютеры с помощью дискеты, смарт-карты или токенов. В остальном продукты ЗАСТАВА-Персональный Клиент 2.5 и ЗАСТАВА-Корпоративный Клиент 2.5 полностью идентичны. Программный продукт ЗАСТАВА-Клиент 2.5 обеспечивает:

  • контроль списка партнеров по защищенному/незащищенному взаимодействию;

  • защиту информационных ресурсов компьютера от несанкционированного доступа из внешних сетей;

  • реализацию заданной дисциплины взаимодействия (аутентификацию и/или защиту трафика) для каждого защищенного соединения;

  • доступ в заданном защищенном режиме только для зарегистрированных партнеров по взаимодействию;

  • регулируемую стойкость защиты трафика;

  • коммуникационную совместимость с системами защиты, использующими программные продукты семейства ЗАСТАВА 2.5 и/или SKIP-продукты других производителей.

ЗАСТАВА-Сервер 2.5

ЗАСТАВА-Сервер

В отличие от VPN-продуктов других производителей, только в семействе ЗАСТАВА 2.5 имеется специализированный продукт ЗАСТАВА-Сервер 2.5, предназначенный для установки на серверные платформы и, следовательно, поддерживающий все широко используемые сервисные платформы.

Программный продукт ЗАСТАВА-Сервер 2.5 обеспечивает защиту серверов от несанкционированного доступа из внешних сетей, а также организацию защищенных соединений (ассоциаций) с отдельными компьютерами и/или с компьютерами из сегментов локальных сетей, защищенных программными продуктами семейства ЗАСТАВА 2.5 и/или SKIP-продуктами других производителей.

ЗАСТАВА-Сервер 2.5 поставляется как программный пакет, который устанавливается на серверные платформы, в том числе и на многопроцессорные серверные платформы. При установке не требуется какой-либо перенастройки работающего на сервере программного обеспечения.

Политика информационной безопасности задается самим пользователем с помощью набора конфигурационных правил — локально или удаленно посредством интерфейса командной строки или графического интерфейса пользователя.

Графический интерфейс пользователя версий ЗАСТАВА-Сервер 2.5 для ОС Solaris состоит из двух частей — клиентской и серверной. Серверная часть устанавливается на управляемом объекте (на компьютере с установленным программным продуктом ЗАСТАВА-Сервер 2.5), клиентская — на любом (в том числе и на одном с серверной частью) компьютере под управлением ОС SolarisTM или ОС Windows NT/2000TM. Графический интерфейс предоставляет пользователю все возможности для конфигурирования программного продукта ЗАСТАВА-Сервер 2.5, за исключением процедур установки криптомодулей, которые производятся стандартными средствами ОС. Клиентская и серверная части графического интерфейса пользователя работают по защищенному каналу связи. Программный продукт ЗАСТАВА-Сервер 2.5 обеспечивает:

  • контроль списка партнеров по защищенному/незащищенному взаимодействию независимо на каждом физическом интерфейсе;

  • защиту информационных ресурсов сервера от несанкционированного доступа из внешних сетей независимо на каждом физическом интерфейсе;

  • реализацию заданной дисциплины взаимодействия (аутентификацию и/или защиту трафика) для каждого защищенного соединения независимо на каждом физическом интерфейсе;

  • доступ в заданном защищенном режиме только для зарегистрированных, в том числе и для мобильных (nomadic) партнеров по взаимодействию;

  • регулируемую стойкость защиты трафика;

  • коммуникационную совместимость с системами защиты, использующими программные продукты семейства ЗАСТАВА 2.5 и/или SKIP-продукты других производителей.

ЗАСТАВА-Офис 2.5

ЗАСТАВА-Офис

Программный продукт ЗАСТАВА-Офис 2.5 обеспечивает коллективную защиту сегмента локальной сети от несанкционированного доступа из внешних сетей, а также организацию защищенных соединений (ассоциаций) с отдельными компьютерами и/или с компьютерами из сегментов локальных сетей, защищенных программными продуктами семейства ЗАСТАВА 2.5 и/или SKIP-продуктами других производителей.

ЗАСТАВА-Офис 2.5 поставляется как программный пакет, устанавливающийся на компьютере, который выполняет функции сетевого шлюза (Gateway) между защищаемым сегментом сети и внешними локальными (LAN) или глобальными (WAN) сетями.

Политика информационной безопасности задается самим пользователем с помощью набора конфигурационных правил — локально или удаленно посредством интерфейса командной строки или графического интерфейса пользователя.

Графический интерфейс пользователя версий ЗАСТАВА-Офис 2.5 для ОС Solaris состоит из двух частей — клиентской и серверной. Серверная часть устанавливается на управляемом объекте (на компьютере с установленным программным продуктом ЗАСТАВА-Офис 2.5), клиентская — на любом (в том числе и на одном с серверной частью) компьютере под управлением ОС SolarisTM или ОС Windows NT/2000TM. Графический интерфейс предоставляет пользователю все возможности для конфигурирования программного продукта ЗАСТАВА-Офис 2.5, за исключением процедур установки криптомодулей, которые производятся стандартными средствами ОС.

Программный продукт ЗАСТАВА-Офис 2.5 обеспечивает:

  • контроль списка партнеров по защищенному/незащищенному взаимодействию независимо на каждом физическом интерфейсе;

  • защиту информационных ресурсов сегмента локальной сети от несанкционированного доступа из внешних сетей независимо на каждом физическом интерфейсе;

  • реализацию заданной дисциплины взаимодействия (аутентификацию и/или защиту трафика) для каждого защищенного соединения независимо на каждом физическом интерфейсе;

  • доступ в заданном защищенном режиме только для зарегистрированных, в том числе и для мобильных (nomadic), партнеров по взаимодействию;

  • регулируемую стойкость защиты трафика;

  • маскировку топологии защищаемого сегмента путем туннелирования трафика.

  • коммуникационную совместимость с системами защиты, использующими программные продукты семейства ЗАСТАВА 2.5 и/или SKIP-продукты других производителей;

  • выполнение функций маршрутизатора;

  • совместную работу с любым межсетевым экраном, в частности, с Межсетевым экраном ЗАСТАВА 2.5 и Check Point FireWall-1, что позволяет эффективно сочетать организацию виртуальных защищенных каналов корпоративной VPN с безопасным взаимодействием с внешними открытыми сетями.

Аппаратная платформа, на которую устанавливается программный продукт ЗАСТАВА-Офис, должна иметь не менее двух сетевых адаптеров (например, Ethernet), один из которых подключается к внутренней сети, а другой — к внешней.

Сервер сертификатов и Центр сертификации ЗАСТАВА 2.5

Сервер сертификатов ЗАСТАВА 2.5 является программным обеспечением уровня корпорации. Он выполняет роль сервера распределения сертификатов и поддерживает интеграцию VPN продуктов ЗАСТАВА 2.5 со стандартными системами PKI.

Построение корпоративной PKI

Построение корпоративной PKI

Сервер сертификатов ЗАСТАВА 2.5 выполняет следующие действия:

  • загружает X.509 сертификаты, сгенерированные Центром Сертификации ЗАСТАВА 2.5, в собственную базу данных,

  • проверяет электронно-цифровую подпись сертификатов и их валидность,

  • сохраняет сертификаты в базе данных

  • распределяет сертификаты автоматически VPN-устройствам по открытым сетям по протоколу CDP (Certificate Discovery Protocol).

Центр Сертификации предназначен для генерации, проверки, экспорта, импорта и хранения в защищенной БД информации о корпоративных пользователях VPN, включая цифровые сертификаты стандарта Х.509, которые необходимы для построения защищенных соединений между различными VPN устройствами. Продукт поддерживает многочисленные возможности импорта и экспорта данных, включая импорт ключей и сертификатов с PKCS#11 токенов или дискет.

VPN-продукты ЗАСТАВА 3.3

VPN ЗАСТАВА 3.3 является продолжателем хороших традиций VPN продуктов предыдущего поколения — VPN ЗАСТАВА 2.5. Приверженность передовым мировым стандартам в области безопасности, тщательная проработка технических и архитектурных решений, широкая программа тестирования и, как следствие, высокая надежность являются отличительными особенностями продуктов с торговой маркой ЗАСТАВА.

Комплекс программных продуктов VPN ЗАСТАВА 3.3 состоит из следующих функциональных элементов:

VPN/FW агенты ЗАСТАВА 3.31 (ЗАСТАВА-Клиент, ЗАСТАВА-Сервер, ЗАСТАВА-Офис) - программные средства защиты информации, устанавливаемые на рабочие станции пользователей, серверные платформы и шлюзы (gateways), размещаемые на периметре корпоративной сети или внутреннего сетевого сегмента:

  • Застава Клиент 3.3. Программные продукты Застава-Клиент обеспечивают защиту пользовательских рабочих станций от несанкционированного доступа из внешних сетей, а также организацию защищенных соединений (ассоциаций) с отдельными компьютерами и/или с компьютерами из сегментов локальных сетей, защищенных программными продуктами семейства ЗАСТАВА и/или продуктами других производителей.

  • Застава Сервер 3.3. Программный продукт Застава-Сервер обеспечивает защиту серверов от несанкционированного доступа из внешних сетей, а также организацию защищенных соединений (ассоциаций) с отдельными компьютерами и/или с компьютерами из сегментов локальных сетей, защищенных программными продуктами семейства ЗАСТАВА и/или продуктами других производителей.

  • Застава Офис 3.3. Предназначен для размещения на периметре корпоративной сети или сегмента внутренней сети, при этом обеспечивается авторизованный и защищенный доступ из внешних сетей ко всем АРМ, серверам, приложениям и базам данных.

VPN/FW-агенты ЗАСТАВА 3.3 обеспечивают полную реализацию принципа «сквозной безопасности» (end-to-end security) корпоративной политики безопасности; надежную защиту от атак, осуществляемых методами сетевого доступа как из локальной сети, так и из Интернет. Продукт разработан в полном соответствии с последними спецификациями комплекса протоколов IPSec/IKE, что обеспечивает высочайший уровень безопасности информационных ресурсов и совместимость с аналогичными средствами безопасности других производителей (Cisco, Microsoft, HP, Sun, Nortel и др.).

Центр управления ЗАСТАВА — консоль управления VPN/FW агентами ЗАСТАВА 3.3, а также наиболее популярными на рынке VPN/FW агентами Cisco (IOS/PIX) и Check Point FW-1/VPN-1. Центр управления не является традиционной графической консолью для управления удаленными объектами. Фактически, продукт представляет собой высокоинтеллектуальный интерфейс между глобальной политикой безопасности компании (т. е. бизнес-логикой взаимодействия различных бизнес-объектов в интересах корпоративной безопасности) и средствами реализации этой политики — VPN/FW агентами. Тем самым Центр управления позволяет достигнуть высочайший уровень безопасности, поскольку продукт полностью автоматизирует рутинную и изобилующую ошибками работу администратора безопасности по настройке конкретных средств защиты информации на местах. Другими словами, применение Центра для управления безопасностью распределенной корпоративной сети позволяет значительно снизить расходы на сопровождение системы защиты информации — все настройки можно выполнить силами всего одного администратора безопасности.

Полнофункциональные VPN/FW-агенты

ЗАСТАВА-Клиент, ЗАСТАВА-Сервер и ЗАСТАВА-Офис 3.3 обладают уникальным набором функциональных и потребительских характеристик, делающих эти продукты лидерами на рынке VPN/FW агентов.

Гибкая политика безопасности

Развитая функциональность VPN/FW-агентов ЗАСТАВА 3.3 — защита информации на серверах и рабочих станциях сети, защита трафика между локальными сетями, отдельными пользователями и группами пользователей, защита клиент-серверных архитектур, защита мобильного доступа, защита информационных потоков отдельных приложений и др. — дает возможность обеспечить надежную защиту любых информационных ресурсов и потоков, необходимых для реализации корпоративной политики безопасности

Вертикальная и горизонтальная масштабируемость

VPN/FW-агенты ЗАСТАВА 3.3 функционально совместимы по IPSec-протоколам с VPN-модулями всех ведущих мировых производителей сетевого оборудования, аппаратного и программного обеспечения (Cisco, Microsoft, Check Point, HP, Novell, Sun и др.), а также с ПО Центров сертификации (PKI) (Baltomore UniCERT, iPlanet CMS, RSA Keon, Microsoft CA, Entrust Authority и др.), средствами аутентификации пользователей, службами каталогов и мониторинга. Все это позволяет использовать VPN/FW-агентов ЗАСТАВА 3.3 как важный элемент корпоративной архитектуры безопасности.

Распределенный межсетевой экран

Поддержка функций расширенной пакетной фильтрации на всех VPN/FW-агентах ЗАСТАВА 3.3 и наличие уникальной возможности по их централизованному управлению с консоли Центра управления ЗАСТАВА позволяет гибко настраивать политику безопасности как для отдельных пользователей, так и для групп пользователей, отдельных подсетей и периметров защиты. Правила пакетной фильтрации могут базироваться на параметрах IP-пакета, данных о протоколах и сервисах более высоких уровней и даже на данных отдельных полей сертификатов пользователей.

Аутентификация пользователя

ПО ЗАСТАВА-Клиент 3.3 поддерживает как традиционные механизмы аутентификации пользователя по паролю и на базе протоколов двухсторонней аутентификации (RADIUS, SecurID и др.), так и с использованием аппаратных токенов (iKey, Aladdin, Gemplus и др.). При этом токен используется не только для идентификации пользователя, но и для хранения его персональных настроек политики безопасности, сертификата открытого ключа, сертификатов Центра управления и внешних Центров сертификации и др.

Быстрое развертывание системы

Поддержка режима «инсталляция одним щелчком мыши» (one-click installation) существенно ускоряет и упрощает процедуру администрирования удаленных и мобильных пользователей корпоративной сети. Для инсталляции ЗАСТАВА-Клиент 3.3 пользователю достаточно «скачать» ПО с корпоративного сервера или web-сайта и запустить (одним нажатием кнопки мыши!) инсталляцию заранее подготовленного администратором безопасности дистрибутива, содержащего все необходимые настройки политики безопасности.

Открытый криптоинтерфейс

VPN ЗАСТАВА 3.3 унаследовала от предыдущей версии VPN ЗАСТАВА 2.5 открытый интерфейс к внешним провайдерам криптографических сервисов (OpenCryptoAPITM), который может поддерживать неограниченное количество криптосервисов от различных производителей (ГОСТ 28147-89, ОСТ 51.6-51.8.-98, DES, 3DES, AES и др.). Такой подход позволяет пользователю корпоративной сети по своему усмотрению выбирать криптосервисы доверенного поставщика, а администратору задавать различные криптоалгоритмы для различных VPN-соединений в составе единой системы безопасности. Такая возможность особенно важна для создания трансграничных защищенных каналов связи.


1Программные продукты ЗАСТАВА-Клиент 3.3., ЗАСТАВА-Сервер 3.3., ЗАСТАВА-Офис 3.3. содержат лицензированную технологию TrustWorks Systems B. V.


Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2003 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS