Криптографический шлюз К -

ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Технологию объединения локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную сеть, обеспечивающую безопасность циркулирующих данных, называют технологией виртуальных защищенных сетей (Virtual Private Network - VPN).

ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Особенности VPN (1) t Виртуальная сеть формируется на основе каналов связи открытой сети. t Термин виртуальная подчеркивает, что физическая инфраструктура сети прозрачна для любого VPN соединения. t Открытая сеть может служить основой для одновременного сосуществования множества виртуальных сетей, количество которых определяется пропускной способностью открытых каналов связи.

ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ t Термин частная подчеркивает, что для всего трафика протекающего в VPN обеспечиваются следующие услуги: –Шифрование трафика; –Аутентификация источника данных; –Целостность данных; –Защищенное генерирование и соблюдение жизненного цикла ключевого материала –Защиту от повторного проигрыша пакетов и подмены адресов Особенности VPN (2)

ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ t Сеть. Хотя и не существуя физически VPN можно воспринимать и трактовать как расширение сетевой инфрастуктуры банка. Это означает, что она должна быть доступна остальной части сети, для всех или указанного подмножества ее устройств и приложений, обычными средствами топологии такими как маршрутизация и адресация Особенности VPN (3)

ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Преимущества организации виртуальных сетей на основе Internet Качество информационного обмена Масштабируемая поддержка удаленного доступа Исключение модемных пулов Сокращение расходов на информационный обмен Снятие проблемы частных и арендуемых каналов связи

ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Основные параметры VPN t Сетевой протокол(ы) (IP, IPX) t Протокол(ы) защищенного соединения (IPSec, собственный) t Предоставляемые криптографические и другие услуги безопасности t Возможность работы с другими инфраструктурами (PKI и т.д.) t Производительность, управляемость и масштабируемость t Поддерживаемые криптографические стандарты t Состав комплекса t Аппаратные требования t Наличие сертификатов ФАПСИ и Гостехкомиссии

ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Основные возможности АПК Континент-К Шифрование и имитозащита данных, передаваемых по открытым каналам связи; Защита внутренних сегментов сети от несанкционированного доступа извне; Скрытие внутренней структуры защищаемых сегментов сети (инкапсуляция); Централизованное управление защитой сети.

ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Виды виртуальных частных сетей внутрикорпоративные VPN (Intranet VPN) VPN с удаленным доступом (Remote Access VPN) межкорпоративные VPN (Extranet VPN)

ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Архитектура комплекса «Континент-К» Криптографический шлюз Центр управления сетью (ЦУС) Криптографический шлюз Программа управления сетью (консоль)

Комплекс «Континент-К» ( корпоративная VPN ) Открытая сеть ЦУС + Континент-К Континент-К АРМ администратора Консольуправления Центральный офис Филиал 1 Защищенная подсеть Защищенная подсеть ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Континент-К Филиал 2 Защищенная подсеть

ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Криптографический шлюз (КШ) Это специализированное аппаратно- программное устройство, функционирующее на платформе Intel под управлением сокращенной версии ОС FreeBSD.

Стандартная комплектация КШ «Континент-К» Компьютер (на основе процессора Intel Celeron 500 МГц) Компьютер (на основе процессора Intel Celeron 500 МГц) 2 сетевых адаптера Ethernet 10/100 Mбит 2 сетевых адаптера Ethernet 10/100 Mбит Защищенная операционная среда (на основе FreeBSD) Защищенная операционная среда (на основе FreeBSD) Специальное программное обеспечение Специальное программное обеспечение Электронный замок «Соболь» Электронный замок «Соболь» ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

АПК Континент-К в корпусе обычного PC

ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ АПК Континент-К в корпусе промышленного PC (2U)

ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ АПК Континент-К в корпусе промышленного PC (4U)

ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Маршрутизация IP-пакетов; Фильтрация IP-пакетов в соответствии с заданными правилами фильтрации; Криптографическое преобразование передаваемых и принимаемых IP-пакетов; Имитозащита IP-пакетов, циркулирующих в VPN; Сжатие передаваемых IP-пакетов; Туннелирование (инкапсуляция) IP-пакетов; Функции КШ

ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Функции КШ (продолжение) Регистрация событий, связанных с работой КШ; Идентификация и аутентификация администратора при запуске КШ; Взаимодействие с центром управления сетью; Контроль целостности программного обеспечения КШ.

ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Центр управления сетью (ЦУС) Основная функция: централизованное управление работой всех КШ, входящих в состав комплекса. ЦУС

Централизованное управление ЦУС + Континент-К Континент-К АРМ администратора Консоль управления БАНК Филиал Открытая сеть ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Функции ЦУС «Континент-К» Обеспечение взаимодействия с консолью управления и со всеми КШ корпоративной сети Обеспечение взаимодействия с консолью управления и со всеми КШ корпоративной сети Управление сменой криптографических ключей на удаленных КШ Управление сменой криптографических ключей на удаленных КШ Реализация удаленного управления параметрами фильтрации КШ Реализация удаленного управления параметрами фильтрации КШ Сбор статистических данных и обеспечение постоянного мониторинга работы КШ Сбор статистических данных и обеспечение постоянного мониторинга работы КШ Сбор и хранение журналов регистрации КШ Сбор и хранение журналов регистрации КШ Ведение журнала НСД, обнаруженных КШ Ведение журнала НСД, обнаруженных КШ ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Программа управления сетью криптографических шлюзов Основная функция: централизованное управление настройками и оперативный контроль состояния всех КШ, входящих в состав комплекса.

Комплекс «Континент-К» ( корпоративная VPN ) Открытая сеть ЦУС + Континент-К Континент-К АРМ администратора Консольуправления Центральный офис Филиал 1 Защищенная подсеть Защищенная подсеть ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Континент-К Филиал 2 Защищенная подсеть

Открытая сеть ЦУС Континент-К Континент-К АРМ администратора Консоль управления БАНК Филиал Защищенная подсеть Защищенная подсеть Защищенная подсеть Злоумышленник НСД ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Схема работы «Континент-К»

Основные подсистемы КШ Фильтр IP-пакетов Блок криптографической защиты ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Континент-К

Подсистема фильтрации пакетов Фильтрация: по интерфейсам КШ по интерфейсам КШ по IP-адресам источника и получателя пакета по IP-адресам источника и получателя пакета по протоколам, флагам TCP и опциям IP пакета по протоколам, флагам TCP и опциям IP пакета по портам TCP/UDP по портам TCP/UDP Криптографическая подсистема Шифрование и имитозащита передаваемых данных по ГОСТ Шифрование и имитозащита передаваемых данных по ГОСТ Статически распределенные секретные ключи Статически распределенные секретные ключи Шифрование каждого пакета на уникальном ключе без его передачи по каналу связи Шифрование каждого пакета на уникальном ключе без его передачи по каналу связи ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Подсистема регистрации Подсистема аутентификации Регистрация начала работы комплекса в энергонезависимой памяти электронного замка «Соболь» Регистрация начала работы комплекса в энергонезависимой памяти электронного замка «Соболь» Передача регистрируемых данных и сведений о состоянии системы по каналу связи на ЦУС Передача регистрируемых данных и сведений о состоянии системы по каналу связи на ЦУС Оповещение в реальном масштабе времени о попытках вмешательства в нормальный процесс функционирования Оповещение в реальном масштабе времени о попытках вмешательства в нормальный процесс функционирования Идентификация локального администратора по Touch Memory до загрузки системы Идентификация локального администратора по Touch Memory до загрузки системы Криптографическая аутентификация ЦУС при установлении управляющих соединений Криптографическая аутентификация ЦУС при установлении управляющих соединений ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Схема обработки исходящих IP-пакетов Удовлетворяет правилам фильтрации? НЕТ ДА отбросить пропустить от внутренних абонентов от внутренних абонентов для сторонних абонентов для внешних абонентов IP-пакеты не преобразуются преобразование IP-пакетов Фильтр IP-пакетов Блок криптографической защиты Защищенная сеть Открытая сеть ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Схема обработки входящих IP-пакетов Удовлетворяет правилам фильтрации? НЕТ ДА отбросить пропустить для внутренних абонентов для внутренних абонентов от сторонних абонентов от внешних абонентов IP-пакеты не преобразуются преобразование IP-пакетов Фильтр IP-пакетов Блок криптографической защиты Защищенная сеть Открытая сеть ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Срабатывание правил фильтрации Сетевой уровень (Протокол IP) Входящий фильтр NIC 1NIC N Исходящий фильтр маршрутизация Канальный уровень NIC 2 …

ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Критерии фильтрации по адресам получателя, отправителя по протоколам (IP, TCP/UDP, ICMP, Crypto) по TCP/UDP портам по дате/времени по флагам TCP, по опциям IP, по типам ICMP по интерфейсам КШ

ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Обработка исходящего трафика Заголовок IP Заголовки верхних уровней Данные Сжатие Заголовок IP Шифрование Служебный заголовок Формирование нового IP-заголовка Заголовок IP Новый IP-заголовок Служебный заголовок Заголовок IP Начало обработки исходного пакета Отправка пакета в сеть ULP + данные

ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Структура пакета Заголовок IP Заголовки верхних уровней Данные Новый IP-заголовок Служебный заголовок Заголовок IP Исходный пакет Зашифровано Аутентифицировано 16 байт 20 байт Пакет после преобразования ULP+ данные

ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Производительность КШ «Континент-К» Маршрутизация и фильтрация Инкапсуляция, имитозащита и шифрование Дополнительное сжатие пакетов (для каналов до 2 Мбит/с) - Без потерь - Без потерь - 28 Мбит/с (сеть 100 Мбит/с) - 28 Мбит/с (сеть 100 Мбит/с) - в 1,5 - 2 раза - в 1,5 - 2 раза Увеличение длины пакетов - не более 36 байт (включая IP заголовок)

Дополнительные меры безопасности Аутентификация администратора при помощи электронного замка «Соболь» Аутентификация администратора при помощи электронного замка «Соболь» Блокирование загрузки с гибкого диска Блокирование загрузки с гибкого диска Контроль целостности операционной среды и программного обеспечения до загрузки системы Контроль целостности операционной среды и программного обеспечения до загрузки системы Регистрация управляющих воздействий Регистрация управляющих воздействий Криптографическая защита управляющих каналов ЦУС-КШ и Консоль управления- ЦУС Криптографическая защита управляющих каналов ЦУС-КШ и Консоль управления- ЦУС ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Варианты применения «Континент-К» Защита соединения точка-точка Защита соединения точка-точка Защищенная корпоративная сеть (VPN) Защищенная корпоративная сеть (VPN) Защищенный доступ к ресурсам сети с абонентских пунктов Защищенный доступ к ресурсам сети с абонентских пунктов ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

VPN на основе «Континент-К»

ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ VPN на основе «Континент-К»

ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ VPN на основе «Континент-К»

ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ VPN на основе «Континент-?»

Достоинства «Континент-К» Эффективная защита, не требующая модификации приложений (прозрачность) Эффективная защита, не требующая модификации приложений (прозрачность) Учет Российской специфики: Учет Российской специфики: каналы связиканалы связи требования ФАПСИтребования ФАПСИ Простота настройки и обслуживания Простота настройки и обслуживания Высокие характеристики и приемлемая стоимость Высокие характеристики и приемлемая стоимость ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ

Перспективы развития «Континент-К» Завершение разработки клиентского программного обеспечения для мобильных пользователей и удаленных АРМ Завершение разработки клиентского программного обеспечения для мобильных пользователей и удаленных АРМ Завершение сертификации «Континент-К» в ФАПСИ Завершение сертификации «Континент-К» в ФАПСИ ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ