Маскировка топологии защищаемого сегмента сети

Маскировка топологии защищаемого сегмента сети

Программно-аппаратный комплекс (программный комплекс на аппаратной платформе) для обеспечения безопасности сети связи любой топологии (VPN), с любым количеством туннелей. Обеспечивает криптографическую защиту и фильтрацию как трафика подсетей, проходящего через него, так и защиту трафика самого шлюза безопасности.

Надежная защита передаваемого трафика

  • Шифрование и имитозащита передаваемого трафика – по протоколам IPsec (RFC2401-2412), с использованием современных российских криптографических алгоритмов
  • Маскировка топологии защищаемого сегмента сети
  • Аутентификация абонентов – по протоколу IKE (RFC2407, RFC2408, RFC2409, RFC 2412)
  • Интегрированный межсетевой экран со stateless фильтрацией IP-трафика и stateful фильтрацией для протоколов TCP и FTP

Построение защищенных сетей любой сложности

  • Полноценная поддержка инфраструктуры PKI
  • Широкие возможности для администратора: задание гибкой политики безопасности, определение различных наборов правил обработки открытого и шифрованного трафика, в т.ч. реализация сценария split tunneling
  • Поддержка различных топологий, в том числе: точка-точка, звезда, иерархическое дерево, частично- и полносвязная топология
  • Возможность построения нескольких эшелонов защиты, организации перешифрования
  • Возможность применения сценария на базе технологии, аналогичной DMVPN
  • Route-based VPN на основе GRE и протоколов динамической маршрутизации RIP, OSPF, BGP
  • L2 VPN (возможность построения полносвязной оптимальной топологии)
  • Интеграция с системой обнаружения вторжений С-Терра СОВ

Легкая интеграция в существующую инфраструктуру

Совместимость со всеми необходимыми протоколами, в том числе:

  • интеграция с RADIUS сервером
  • выдача IKECFG-адресов для С-Терра Клиент и С-Терра Юнит
  • поддержка расширенной аутентификации при помощи одноразовых паролей на С‑Терра Клиент
  • динамическая маршрутизация RIP, OSPF, BGP
  • поддержка 802.1Q (VLAN) и агрегирование интерфейсов на базе протокола LACP
  • работа через NAT (NAT Traversal)
  • поддержка source NAT и destination NAT на С-Терра Шлюз и С-Терра Юнит
  • событийное протоколирование – Syslog
  • мониторинг SNMP, NetFlow/IPFIX, Zabbix agent
  • инкапсуляция IPsec трафика в HTTP (IPsec-over-HTTP)

Высокая надежность и производительность

  • MultiWAN – резервирование каналов связи в режиме Active/Passive (возможно использование USB модемов)
  • Объединение устройств в кластер по протоколу VRRP
  • Балансировка нагрузки на С-Терра Шлюз при помощи технологии Reverse Route Injection (RRI)
  • Балансировка нагрузки и обеспечение отказоустойчивости С-Терра Шлюз в режиме L2 VPN при помощи протокола LACP
  • Возможность оснащения резервными блоками питания и жесткими дисками, объединенными в RAID – для старших моделей
  • Поддержка сценариев обеспечения отказоустойчивости с резервированием шлюзов безопасности, сетевых интерфейсов и каналов провайдеров
  • Поддержка режима сохранения защищенных туннелей при перезагрузке политики безопасности
  • Высокая производительность
  • Возможность использования для защиты трафика, требовательного к задержкам и потерям пакетов, такого как IP-телефония и ВКС
  • Поддержка QoS
Читайте также:  Компьютерные сети объединяют абонентские системы рассредоточенные на большой территории охватывающей

Операционные системы

Продукт работает под управлением Debian GNU/Linux 9.

Характеристики оборудования должны соответствовать требованиям, предъявляемым операционными системами.

VKO ГОСТ Р 34.10-2012, 256 бит

X.509 v.3 (RSA, ГОСТ). Учтены изменения в соответствии с «Приказ ФСБ России от 27.12.2011 № 795» и «ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом»

Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

  • Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER
  • Генерация внешним PKI сервисом с доставкой на сменных ключевых носителях
  • Генерация внешним PKI сервисом с доставкой через PKSC#12 (RSA)

Обработка Certificate Revocation List (CRL) опциональна.

  • протокол LDAP v.3
  • протокол HTTP
  • импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

MultiWAN (резервирование каналов связи)

NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)

  • Удаленно Протокол SSH с помощью интерфейса командной строки с подмножеством команд Cisco IOS
  • Токены: — eToken Java 72К — JaCarta PKI, JaCarta PKI/ГОСТ — Рутокен Lite, Рутокен ЭЦП, Рутокен ЭЦП 2.0
  • В части реализации протоколов IPsec/IKE и их расширений: — с Cisco IOS v.12.4 и v.15.x.x — с СКЗИ КриптоПро CSP 5.0

Комплект поставки лицензии включает 1 (один) год технической поддержки (не распространяется на обновление до новой версии). Рекомендуем приобрести услугу «Сервис технической поддержки» на последующий период эксплуатации продукта.

Комплект поставки аппаратной платформы включает 3 (три) года гарантии от производителя аппаратной платформы. Информация о гарантийном обслуживании АП.

Источник

Маскировка топологии защищаемого сегмента сети

Компактный программно-аппаратный комплекс для криптографической защиты низкоскоростных каналов связи. Обеспечивает защиту и фильтрацию трафика как отдельных устройств, в том числе тех, на которые установка VPN-клиента невозможна, так и подсетей с общим трафиком не более 10 Мбит/c.

ФСБ: СКЗИ КС1, СКЗИ КС2, СКЗИ КС3
ФСТЭК: МЭ А4, 4 ур. доверия

С-Терра Юнит обеспечивает защиту и фильтрацию трафика как отдельных устройств, на которые установка VPN-клиента невозможна – IP-телефоны и видеокамеры, компоненты АСУ ТП, мобильные устройства, – так и подсетей с общим трафиком не более 10 Мбит/c.

Sterra-Unit.jpg

Назначение

  • Защита трафика мобильных устройств на любой операционной системе.
  • Защита доступа с удаленных рабочих мест.
  • Защита АСУ ТП.
  • Безопасная передача данных с измерительных и контрольных устройств в системе ЖКХ.
  • Защита банкоматов.
  • Защита каналов видеоконференцсвязи и IP-телефонии.
  • Защита информации, передаваемой с IP-камер (камеры наблюдения, видеорегистраторы и пр.).
  • Защита беспроводных каналов связи.
  • Защита интерфейсов управления (iLO, CIMC, IPMI).
Читайте также:  Охрана труда и техника безопасности компьютерные сети

Обзор С-Терра Юнит на портале AntiMarware.Ru

Источник

Маскировка топологии защищаемого сегмента сети

Программный комплекс, функционирующий в виртуальной машине, для криптографической защиты сети связи любой топологии (VPN), с любым количеством туннелей. Обеспечивает защиту и фильтрацию как трафика подсетей, проходящего через него, так и защиту трафика самого шлюза безопасности.

ФСБ: СКЗИ КС1
ФСТЭК: МЭ Б4, 4 ур. доверия

Предназначен для работы в виртуальной среде. Используется для защиты как периметра облачной инфраструктуры, так и взаимодействия между отдельными виртуальными машинами.

Надежная защита передаваемого трафика

  • Шифрование и имитозащита передаваемого трафика – по протоколам IPsec (RFC2401-2412), с использованием современных российских криптографических алгоритмов
  • Маскировка топологии защищаемого сегмента сети
  • Аутентификация абонентов – по протоколу IKE (RFC2407, RFC2408, RFC2409, RFC 2412)
  • Интегрированный межсетевой экран со stateless фильтрацией IP-трафика и stateful фильтрацией для протоколов TCP и FTP

Построение защищенных сетей любой сложности

  • Полноценная поддержка инфраструктуры PKI
  • Широкие возможности для администратора: задание гибкой политики безопасности, определение различных наборов правил обработки открытого и шифрованного трафика, в т.ч. реализация сценария split tunneling
  • Возможность построения нескольких эшелонов защиты, организации перешифрования
  • Возможность применения сценария на базе технологии, аналогичной DMVPN
  • Route-based VPN на основе GRE и протоколов динамической маршрутизации RIP, OSPF, BGP
  • L2 VPN (возможность построения полносвязной оптимальной топологии)
  • Интеграция с системой обнаружения вторжений С-Терра СОВ

Легкая интеграция в существующую инфраструктуру

Совместимость со всеми необходимыми протоколами, в том числе:

  • Интеграция с RADIUS сервером
  • Выдача IKECFG-адресов для С-Терра Клиент и С-Терра Юнит
  • поддержка расширенной аутентификации при помощи одноразовых паролей на С‑Терра Клиент
  • динамическая маршрутизация RIP, OSPF, BGP
  • поддержка 802.1Q (VLAN) и агрегирование интерфейсов на базе протокола LACP
  • работа через NAT (NAT Traversal)
  • поддержка source NAT и destination NAT на С-Терра Виртуальный Шлюз и С‑Терра Юнит
  • событийное протоколирование – Syslog
  • мониторинг SNMP, NetFlow/IPFIX, Zabbix agent
  • инкапсуляция IPsec трафика в HTTP (IPsec-over-HTTP)

Высокая надежность и производительность

  • Поддержка сценариев обеспечения отказоустойчивости с резервированием шлюзов безопасности, сетевых интерфейсов и каналов провайдеров
  • Поддержка режима сохранения защищенных туннелей при перезагрузке политики безопасности
  • Высокая производительность (см. таблицу на данной странице выше)
  • Возможность использования для защиты трафика, требовательного к задержкам и потерям пакетов, такого как IP-телефония и ВКС
  • Поддержка QoS

Операционные системы

Продукт работает под управлением Debian GNU/Linux 9 в одном из наиболее популярных гипервизоров (VMware, Citrix XenServer, MS Hyper-V, KVM).

Характеристики оборудования должны соответствовать требованиям, предъявляемым операционными системами.

  • 1/4/12 (в зависимости от лицензии) ядер процессора
  • 4 Гб HDD
  • 2 Гб RAM
  • двух виртуальных сетевых интерфейсов
Читайте также:  Sp006 устройство грозозащиты для локальной вычислительной сети

VKO ГОСТ Р 34.10-2012, 256 бит

X.509 v.3 (RSA, ГОСТ). Учтены изменения в соответствии с «Приказ ФСБ России от 27.12.2011 № 795» и «ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом»

Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

  • Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER
  • Генерация внешним PKI сервисом с доставкой на сменных ключевых носителях
  • Генерация внешним PKI сервисом с доставкой через PKSC#12 (RSA)

Обработка Certificate Revocation List (CRL) опциональна.

  • протокол LDAP v.3
  • протокол HTTP
  • импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

MultiWAN (резервирование каналов связи)

NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)

Наименование Условия измерений: Vmware 6.5, vmxnet3, CPU E5-2643v4 3.40 Ghz
Максимальная производительность шифрования, Мбит/c Максимальная производительность шифрования IMIX, Мбит/c
С-Терра Виртуальный Шлюз (1 ядро) 340 270
С-Терра Виртуальный Шлюз (4 ядра) 1350 1000
С-Терра Виртуальный Шлюз (12 ядер * ) 3050 2000

* Данные значения могут быть получены только при использовании passthrough или SR-IOV для сетевых адаптеров.

  • Удаленно — Web-based интерфейс управления — Протокол SSH с помощью интерфейса командной строки с подмножеством команд Cisco IOS
  • Токены: — eToken Java 72К — JaCarta PKI, JaCarta PKI/ГОСТ — Рутокен Lite, Рутокен ЭЦП, Рутокен ЭЦП 2.0
  • В части реализации протоколов IPsec/IKE и их расширений: — с Cisco IOS v.12.4 и v.15.x.x — с СКЗИ КриптоПро CSP 5.0
  • Все продукты компании «С-Терра СиЭсПи» независимо от версии, кроме С-Терра Шлюз 10G и С-Терра Шлюз 40G

Комплект поставки лицензии включает 1 (один) год технической поддержки (не распространяется на обновление до новой версии). Рекомендуем приобрести услугу «Сервис технической поддержки» на последующий период эксплуатации продукта.

Комплект поставки аппаратной платформы включает 3 (три) года гарантии от производителя аппаратной платформы. Информация о гарантийном обслуживании АП.

Криптографическое преобразование ENCR_KUZNYECHIK_MGM_KTREE по проекту спецификации ТК26 на базе криптоалгоритма «Кузнечик».

Поддержка групповых операций при работе со списками доступа для межсетевого экранирования и шифрования.

Расширенные возможности мониторинга средствами ОС, в том числе температуры компонентов шлюза и жестких дисков.

L2 VPN – возможность построения полносвязной оптимальной топологии, совмещение L2/L3 функций на порту захвата фреймов.

Улучшена работа VRRP кластера (поддержка расширенных сценариев из CLI, новые команды проверки состояния кластера).

Улучшена работа MultiWAN (возможность задавать произвольные маршруты для резервирования, поддержка механизма uRPF).

Источник

Оцените статью
Adblock
detector