580 likes | 1.29k Views
Комплекс програмний КЗІ Cisco UVPN-ZAS. Опис Комплексу. Загальні відомості Призначення Необхідність використання Комплексу Переваги Комплексу Криптографічні алгоритми Потенційні Замовники та приклади прикладних завдань, для вирішення яких призначений Комплекс. Загальні відомості.
E N D
Опис Комплексу • Загальні відомості • Призначення • Необхідність використання Комплексу • Переваги Комплексу • Криптографічні алгоритми • Потенційні Замовники та приклади прикладних завдань, для вирішення яких призначений Комплекс
Загальні відомості • Комплекс є спільною розробкою: • ТОВ «Системи криптографічного захисту «Криптософт»; • ЗАТ «С-Терра СіЕсПі». • КорпораціїCisco Systems, Inc. • Комплекс функціонує на апаратній базі корпорації Cisco Systems, Inc. • Комплекс пройшов державну експертизу в галузі криптографічного захисту інформації та має дійсні позитивні експертні висновки Держспецзв’язку.
Призначення • Комплекс призначений для забезпечення конфіденційності та цілісності інформації, яка передається незахищеними каналами зв’язку. Іншими словами Комплекс забезпечує захист даних, які передаються загальнодоступними (наприклад Інтернет) або відкритими (наприклад орендовані канали, MPLS) каналами, шляхом шифрування даних із використанням вітчизняних алгоритмів шифрування. • Захисту повинна підлягати інформація, яка має максимальний гриф обмеження доступу – конфіденційно.
Необхідність використання Комплексу • Вимоги чинної нормативної бази України • Необхідність захисту критичної для функціонування Організації інформації, яка циркулює в автоматизованій системі Організації та передається відкритими / загальнодоступними каналами
Переваги Комплексу • масштабованість: можливість використовувати компоненти Комплексу з урахуванням вимог до необхідної продуктивності та оптимізувати затрати на закупівлю апаратного забезпечення, яке забезпечує функціонування Комплексу; • уніфікація складових частин Комплексу і Cisco: компоненти Комплексу виконані у максимально можливій відповідності до дизайну продуктів Cisco Systems; • відмовостійкість: реалізуються різні варіанти забезпечення стійкості до відмов (як обладнання, так і каналів зв'язку); • захист каналів зв'язку з високою пропускною здатністю (до 10 Г/біт); • мобільність та простота установки: попередньо налаштоване в центральному офісі обладнання з інстальованими компонентами Комплексу можна легко передати у філію для установки в стійці з іншим обладнанням; • централізованекерування.
Криптографічні алгоритми • В Комплексі реалізовані наступні криптографічні алгоритми: • алгоритм шифрування даних відповідно до ДСТУ ГОСТ 28147:2009 у режимі гамування із зворотнім зв’язком; • алгоритм обчислення імітовставки відповідно до ДСТУ ГОСТ 28147:2009; • алгоритм гешування відповідно до ГОСТ 34.311-95; • алгоритми генерації параметрів, обчислення та перевіряння електронного цифрового підпису (ЕЦП) відповідно до ДСТУ 4145-2002; • алгоритм генерації псевдовипадкових послідовностей (ПВП) відповідно до Додатку А ДСТУ 4145-2002.
Потенційні замовники • Державні установи; • Фінансові установи; • Комерційні організації.
Приклад прикладних завдань (для органів державної влади та комерційних організацій) • Захист системи забезпечення інформаційної взаємодії органів державної влади, органів місцевого самоврядування та комерційних організацій у рамках процесів надання державних і муніципальних послуг, які надаються в електронному вигляді; • Захист системи міжвідомчого електронного документообігу, або документообігу між віддаленими вузлами в межах одного відомства / організації; • Захист процесу обміну даними між основним та резервним центрами обробки даних відомства / організації; • Захист конфіденційної інформації, персональних даних тощо.
Приклад прикладних завдань (для фінансових установ) • Побудова та захист філіальної мережі фінансової установи; • Захист мережі банкоматів банку; • Захист персональних даних; • Виконання вимог міжнародних стандартів в області інформаційної безпеки (PCI DSS); • Захист створюваної інфраструктури універсальної електронної карти.
Склад Комплексу • Складові частини Комплексу • Шлюз UCS • Шлюз SRE • Шлюз NME • Клієнт для ОС Windows XP,7 • Система керування • Генерація ключових даних
Складові частини Комплексу • Комплекс складається з наступних компонентів: • програмний модуль: Модуль шифрування «Cisco UVPN-ZAS» (шлюз для Cisco UCS С-Series, UCS B-Series та Cisco UCS-E). • програмний модуль: Модуль шифрування «Cisco UVPN-ZAS» (шлюз для модулів Cisco NME в маршрутизатори Cisco). • програмний модуль: Модуль шифрування «Cisco UVPN-ZAS» (шлюз для модулів Cisco SRE в маршрутизатори Cisco). • програмний модуль: Модуль шифрування «Cisco UVPN-ZAS» (клієнт для ОС Windows 7, XP /х32, х64). • програмний модуль: Система керування «Cisco UVPN-ZAS».
Шлюз для Cisco UCS • Призначається для захисту і пакетної фільтрації трафіку, що проходить через нього. • Забезпечує максимальну пропускну здатність (до 1 Гбіт/сек.) порівняно з іншими компонентами Комплексу (окремо надається протокол тестування). Пропускна здатність залежить від потужності апаратного забезпечення. • Доцільно використовувати для: • захисту обміну між центральним офісом та обласними / регіональними офісами; • захисту трафіку між основним та резервним ЦОД. • Функціонує під керуванням ОС CentoS v.5.3. • Апаратне забезпечення: теоретично всі сервери Cisco UCS С-Series, B-Series та UCS-E. На поточний час перевірена можливість функціонування на: • Cisco UCS C210 M2; • Cisco UCS C200 M2; • Cisco UCS C220 M3; • Cisco UCS C22.
Шлюз для Cisco UCS • Шлюз забезпечує: • конфіденційність, цілісність IP-пакетів, цілісність потоку пакетів. • маскування топології мережі за рахунок інкапсуляції трафіку в захищений тунель. • прозорість для NAT. • аутентифікацію вузлів мережі і користувачів. • забезпечення надійності з вирівнюванням навантаження в схемі резервування N +1 (DeadPeerDetectionprotocol). • уніфікацію політики безпеки для мобільних і «внутрішніх» користувачів (динамічне конфігурування корпоративних IP-адрес для віддалених користувачів «всередині VPN»). • збереження класифікації трафіку для захищених пакетів (мапуванняToS поверх IPsec), пріоритетну обробку трафіку голосу і відео (підтримка QoS), відсутність втрати пакетів при регенерації сесійних ключів (smooth IKE re-keying). • гнучке, централізоване ведення журналуреєстрації подій з можливістю вторинної обробки на основі протоколу Syslog.
Шлюз для модулів Cisco SRE • Призначається для захисту і пакетної фільтрації як трафіку даних, голосу, відео. • Пропускна здатність до 100 Мбіт/сек. • Доцільно використовувати для: • захисту обміну між центральним офісом та обласними / регіональними офісами. Використання Шлюзу передбачається на обласному / регіональному рівні; • захисту обміну між обласним / регіональним офісом та віддаленими користувачами. • Функціонує під керуванням ОС CentoS v.5.3. • Апаратною платформою функціонування Шлюзу є модулі SRE в маршрутизатори CiscoISR серій 2911, 2921, 2951, 3925 и 3945, версія IOS 15.x.x.
Шлюз для модулів Cisco SRE • Шлюз забезпечує: • конфіденційність, цілісність IP-пакетів, потоку пакетів. • маскування топології мережі за рахунок інкапсуляції трафіку в захищений тунель. • прозорість для NAT. • аутентифікацію вузлів мережі і користувачів, контроль доступу на рівні комп'ютерів, користувачів і додатків, інтегрований міжмережевий екран. • забезпечення надійності з вирівнюванням навантаження в схемі резервування N +1 (DeadPeerDetectionprotocol). • уніфікацію політики безпеки для мобільних і «внутрішніх» користувачів (динамічне конфігурування корпоративних IP-адрес для віддалених користувачів «всередині VPN»). • збереження класифікації трафіку для захищених пакетів (мапуванняToS поверх IPsec), пріоритетну обробку трафіку голосу і відео (підтримка QoS), відсутність втрати пакетів при регенерації сесійних ключів (smooth IKE re-keying). • гнучке, централізоване і подієве ведення журналу з можливістю вторинної обробки на основі протоколу Syslog.
Шлюз для модулів Cisco NME • Призначається для захисту і пакетної фільтрації як трафіку даних, голосу, відео. • Пропускна здатність до 50 Мбіт/сек. • Доцільно використовувати для: • захисту обміну між центральним офісом та обласними / регіональними офісами. Використання Шлюзу передбачається на обласному / регіональному рівні; • захисту обміну між обласним / регіональним офісом та віддаленими користувачами. • Функціонує під керуванням ОС CentoS v.5.3. • Апаратною платформою функціонування Шлюзу є модулі NME в маршрутизатори CiscoISR: • першого покоління (серій 2811, 2821, 2851, 3825 и 3845), версія IOS 12.4(11)T або вище; • другого покоління (серій 2911, 2921, 2951, 3925 и 3945), версія IOS 15.x.x. • Функціонал та варіанти використання ідентичні Шлюзу для модулів SRE.
Клієнт для ОС Windows • Призначається для захисту трафіку ПЕОМ, на яку Клієнт встановлено. • Пропускна здатність до 80 Мбіт/сек. • Доцільно використовувати для: • захисту обміну між центральним офісом та обласними / регіональними офісами. Використання Шлюзу передбачається на обласному / регіональному рівні; • захисту обміну між обласним / регіональним офісом та віддаленими користувачами. • Функціонує під керуванням ОС Windows XP, Windows 7 (x32, x64).
Клієнт для ОС Windows • Клієнт забезпечує: • підготовку OCI пакета за допомогою графічного пакета адміністратора. • прихований від користувача режим роботи. • інтелектуальне відстеження доступності партнерів обміну . • аутентифікацію користувача та завантаження політики безпеки Клієнта при старті операційної системи. • роботу інтегрованого мережевого екрану. • можливість роботи мобільного користувача відповідно до політики безпеки внутрішньої корпоративної мережі. • захист трафіку на рівні аутентифікації / шифрування мережевих пакетів по протоколах IPSec AH і / або IPsec ESP. • підтримку транспортного і тунельного режимів роботи в рамках протоколів IPsec. • пакетну фільтрацію трафіку з використанням інформації в полях заголовків мережевого і транспортного рівнів. • ведення журналу реєстрації подій. • моніторинг глобальної статистики по протоколу SNMP; • прозорість для роботи сервісу QoS. • підтримку інкапсуляції пакета ESP в UDP (NAT Traversal).
Система керування • Призначена для автоматизації обслуговування компонентів Комплексу (модулів шифрування) та дозволяє дистанційно змінювати їх налаштування, такі як: політики безпеки, сертифікати тощо. • Складові частина Системи керування: • сервер керування - серверна частина продукту, встановлюється на виділений комп'ютер або сервер і призначена для управління настройками модулів шифрування; • клієнт керування - клієнтська частина продукту, встановлюється на апаратне обладнання зі встановленим модулем шифрування і призначена для його оновлення. • Складові частини Системи керування функціонують під керуванням: • Сервер керування: операційних систем Microsoft Windows Server 2003/2008/2008 R2, Windows XP, Windows 7; • Клієнт керування: Windows XP, Windows 7, Centos v 5.3
Система керування • Переваги Системи керування: • всі оновлення відбуваються централізовано і віддалено, скорочується число співробітників, яким необхідно надати доступ до ключової інформації модулів шифрування і фізичний доступ до них; • зниження загальної вартості володіння системою: відпадає необхідність у відрядженнях кваліфікованих фахівців безпосередньо до обладнання; • зниження часу обслуговування модулів шифрування: знижується час недоступності (простою) модулів шифрування і збільшується швидкість настройки; • технологічність: за допомогою Системи керування централізовано обслуговуються всі компоненти Комплексу; • безпека: в процесі оновлення всі дані пересилаються під захистом існуючих VPN-з'єднань; • зручність роботи: сервер оновлення надає єдиний інтерфейс оновлення всіх модулів шифрування; • поряд з розвиненим графічним інтерфейсом сервера оновлення, адміністраторам доступний і командно-рядковий інтерфейс управління; • механізм захисту від невдалого оновлення: у разі невдалого оновлення система автоматично повертає модулю шифрування попередні параметри і оповіщає адміністратора системи.
Генерація ключових даних • Генерація ключів виконується за допомогою програмного модуля Центру генерації ключів, який входить до складу Комплексу програмного захисту інформації «Криптосервер».
Список продуктів • Крипто-шлюзи: • Шлюз UCS без обмеження на кількість тунелів; • Шлюз UCS з обмеженням до 1000 тунелів; • Шлюз SRE; • Шлюз NME; • Віддалений доступ: • Клієнт для ОС Windows (з інтерфейсом користувача): для ПЕОМ користувачів автоматизованої системи; • Клієнт для ОС Windows (без інтерфейсу користувача): для серверів, що функціонують у складі автоматизованої системи; • Засоби керування: • Система керування.
Склад і позиціонування продуктів
Склад і позиціонування продуктів
Склад і позиціонування продуктів
Варіанти побудови захищених мереж • Топологія: • зірка (подвійна зірка); • дерево; • повнозв'язна мережа; • Криптографічний шлюз розташовується: • до маршрутизатора; • після маршрутизатора; • між двох маршрутизаторів; • з підключенням на визначені інтерфейси; • Захищений канал (тунель): • IPSec; • IPSec + GRE.
Розташування шлюзу • До маршрутизатора • Після маршрутизатора • Після маршрутизатора
Розташування шлюзу • З підключенням на визначені інтерфейси
Розташування шлюзу – критерії вибору • Наявне мережеве обладнання. • Необхідність використання на прикордонному маршрутизаторі будь-яких WAN-інтерфейсів, крім Ethernet. • Необхідністьвикористання на прикордонному маршрутизаторі для трафіку, що передається захищеним каналом, таких сервісів, як: • фільтрація; • пріоритезація; • IPS; • WAAS, тощо.
Варіанти організації відмовостійких рішень
Механізми забезпечення надійної роботи мережі • Резервування шлюзів можливе за допомогою наступних протоколів та технологій: • Динамічна маршрутизація; • GRE; • RRI; • VRRP; • DPD.
Схема резервування Active / Standby (VRRP) • Одна віртуальна ІР-адреса на два шлюзи як зі сторони LAN, так і зі сторони WAN; • Балансування навантаження неможливе; • Не потребує механізмів детектування відмови з боку віддаленого шлюзу; • Повторне створення тунелів (до 5 хв. для шлюзу UCS)
Схема резервування Routing Reverse Injection технологія • Обмежена можливість балансування навантаження; • Можливість використання більше 2-х шлюзів; • За фактом створення / знищення тунелю (SA) динамічно прописується / знищується зворотний маршрут; • Використовується механізм детектування відмови (DPD) з боку віддаленого шлюзу; • Рішення масштабується до кількості віддалених сайтів / клієнтів в декілька 1000 і більше без використання дорогого обладнання.
Схема резервування GRE тунелювання • Задіяні обидва канали, забезпечується балансування навантаження; • Можливість використання більше 2-х шлюзів; • Непотрібно DPD на віддаленому шлюзі; • Одночасно піднято декілька IPsec тунелів до кожного віддаленого сайту (за кількістю шлюзів); • Вимагає дорогого обладнання при одночасній роботі з 500 і більше віддаленими сайтами
Впровадження Комплексу • З серпня 2012 р. на поточний час було виконано близько 10 впроваджень; • Наприклад, Комплекс впроваджено в: • Центральній виборчий комісії України; • Генеральній прокуратурі України; • Пенсійному фонді України; • ДП «Державний центр інформаційних ресурсів України»; • КМДА; • та інших установах.
Схема 1 (приклад впровадження) • Кількість Клієнтів: 2000 • Забезпечення відмовостійкості шляхом використання протоколу маршрутизації RIP
Схема 2 (приклад впровадження) • Одночасно функціонують всі Шлюзи • Кількість клієнтів: 1000 • Забезпечення відмовостійкості шляхом визначення пріоритету підключення Клієнтів до Шлюзу