Общие сведения

Next

Программно-аппаратный комплекс «ФПСУ-IP» (сокращенное название от «Фильтр пакетов сетевого уровня IP протокола») является программно-техническим средством защиты от несанкционированного доступа к информации. ФПСУ-IP реализует функции межсетевого экранирования и функции построения VPN-туннелей.

ФПСУ-IP позволяет выделять в открытой сети защищенные области с ограниченным доступом, а также обеспечивать защищенную передачу данных между защищенными областями.

Программное обеспечение ФПСУ-IP является средством криптографической защиты информации «Программно-аппаратный комплекс шифрования «ФПСУ‑IP», изделие Криптомаршрутизатор, сертифицированным ФСБ России.

ФПСУ-IP позволяет осуществить шифрование передаваемой информации в соответствии с ГОСТ 28147-89, ГОСТ 34.12–2015 (блочный шифр «Магма»), ГОСТ Р 1323565.1.026-2019 (МГМ).

ФПСУ-IP работает по протоколу IP и использует формат фрейма Ethernet II.

ФПСУ-IP физически подключается в разрыв цепи между защищаемой локальной подсетью и остальными абонентами таким образом, чтобы все входящие и исходящие из подсети межсетевые потоки данных проходили через ФПСУ-IP.

Основными функциями ФПСУ-IP являются фильтрация IP-пакетов, заключающаяся в анализе их по совокупности критериев и принятии решения о возможности их дальнейшей передаче (с регистрацией результатов фильтрации), и установка VPN-туннелей с аналогичными ФПСУ-IP для организации защищенных режимов передачи данных.

Между прозрачно взаимодействующими через стандартное сетевое оборудование (коммутаторы, модемы, маршрутизаторы) ФПСУ-IP, защищающими IP-подсети, могут быть созданы VPN-туннели. VPN-туннели позволяют ФПСУ-IP скрывать внутреннюю структуру защищаемых сетей. В VPN-туннеле возможно обеспечение средствами ФПСУ‑IP сжатия и шифрования передаваемых данных. При создании VPN-туннеля обеспечиваются взаимные идентификация и аутентификация (как стартовая, так и сеансовая) взаимодействующих комплексов ФПСУ-IP. При включенном режиме шифрования в VPN-туннеле обеспечиваются контроль целостности данных, защита их от просмотра, искажения и подмены. Для формирования межсетевых туннелей на ФПСУ-IP должны быть установлены ключи парно-выборочной связи, выработанные с помощью специального программно-аппаратного комплекса «Центр выработки ключей» (ЦВК).

VPN-туннели могут быть также образованы между ФПСУ-IP и пользователями комплексов «ФПСУ-IP/Клиент», защищающих межсетевое взаимодействие удаленных пользователей. Для формирования туннелей на ФПСУ-IP должны быть установлены общесистемные ключи доступа пользователей комплексов «ФПСУ-IP/Клиент», выработанные с помощью специальной программы «Центр генерации ключей клиентов» (ЦГКК).

В качестве критериев фильтрации пакетов передаваемых данных ФПСУ-IP позволяет задавать:

IP-адреса отправителя и получателя;

идентификационные данные клиентов;

используемые протоколы транспортного и сетевого уровня;

тип передаваемых данных, мобильный код, протоколы приложений;

разрешенные режимы работы абонентов;

разрешенные связи абонентов и маршрутизаторов по конкретным протоколам управления;

разрешенные информационные взаимодействия абонентов (по пересекающейся совокупности параметров: протоколам, TCP/UDP-портам, интервалам времени дней недели и т.п.), приписанных к соответствующим правилам передачи трафика.

Помимо основных функций, в ФПСУ-IP реализован ряд дополнительных возможностей, в частности:

возможность безопасного дистанционного контроля и управления работой из любого фрагмента IP-сетей, которая может быть предоставлена нескольким (максимально тридцати двум) зарегистрированным на ФПСУ-IP удаленным администраторам;

использование технологии DPI (Deep Packet Inspection) для анализа содержимого передаваемых данных;

встроенный HTTP- и SOCKS-proxy;

возможность по заданным администратором критериям разделения общего потока посылаемых через VPN-туннель данных. Данные разделяются на несколько (от 1 до 128) различных потоков с целью поддержки соответствующих функций пограничных маршрутизаторов (например, функция установки приоритетов определенным типам IP трафика).

Для повышения надежности и обеспечения бесперебойной работы локальной сети в условиях возможных отказов аппаратуры, два ФПСУ-IP могут работать в режиме горячего резервирования. В режиме горячего резервирования оба ФПСУ-IP подключаются к локальной сети параллельно, с использованием концентраторов (hub) или коммутаторов (switch) и соединяются между собой отдельной линией передачи данных, при этом обмен информации между ними происходит в защищенном режиме. На каждый момент времени один ФПСУ-IP является активным, выполняя все функциональные операции, а второй находится в резерве в режиме ожидания, периодически проверяя работоспособность первого. В случае отсутствия ответа от активного ФПСУ-IP, или при возникновении аппаратных неполадок на активном, резервный ФПСУ-IP в течение 3 секунд автоматически берет управление на себя. Передача функций резервному ФПСУ-IP может также осуществляться вручную, по команде оператора или удаленного администратора.

Для автоматического возобновления работы после сбоев электропитания (в отсутствие оператора), ФПСУ-IP укомплектован подсистемой автозапуска режима фильтрации.

Программное обеспечение ФПСУ-IP функционирует в собственной изолированной и функционально замкнутой операционной среде, ACCESS-TM SHELL. Среда осуществляет разграничение доступа к операционной системе ФПСУ-IP, защиту программных и информационных модулей на ПЗУ комплекса. ФПСУ-IP предлагает диалоговые средства для управления своей работой (настройки драйверов сетевого оборудования, задания правил фильтрации, установления правил идентификации и аутентификации доступа к операционной системе ФПСУ-IP, просмотра регистрационной информации и т.д.), а также для установки параметров работы.

Разграничение доступа допущенных лиц и контроль их полномочий при запуске ФПСУ-IP и управлении его работой осуществляется подсистемой ACCESS-TM SHELL по предъявляемым допущенными лицами электронным идентификаторам «touch-memory» (в качестве которых могут выступать устройства iButton DS1993 – DS1996, или микроэлектронные USB-устройства «TM-Key» производства ООО «АМИКОН») в соответствии с логическим разделением лиц ФПСУ-IP на две роли и пять условных классов, представленных в нижеследующей таблице:

Таблица. Роли и классы пользователей ФПСУ-IP

Роль/Класс

Разрешенные действия

Пользователь/

Без идентификации пользователя

переинициализация ПДСЧ;

отключение автозапуска.

Пользователь/ Оператор

запуск ФПСУ-IP;

остановка рабочего режима ФПСУ-IP;

просмотр, включение и отключение оповещений о нарушениях правил межсетевого экрана;

передача управления партнеру по горячему резервированию;

удаление текущего соединения из таблицы состояний соединений;

выключение питания ФПСУ-IP по кнопке «Power».

Администратор/ Инженер

Все права класса Оператор и дополнительно:

конфигурирование сетевых адаптеров;

конфигурирование IP-адресов портов ФПСУ-IP;

установка даты и времени;

контроль целостности исполняемых программных модулей ФПСУ-IP (только по хранящимся на ФПСУ-IP контрольным суммам с выводом результата на экран);

запуск процесса функционального самотестирования межсетевого экрана ФПСУ-IP;

сохранение текущей конфигурации ФПСУ-IP на USB-flash;

настройка общих параметров работы ФПСУ-IP (watchdog, аварийный перезапуск, переход на резервный, гашение экрана, запрет работы при сбоях жесткого диска, не сообщать об устаревших ключах, контроль сети);

просмотр регистрационной информации (статистики).

Администратор/ Администратор

Все права класса Инженер и дополнительно:

восстановление с USB-носителя и редактирование конфигурации ФПСУ-IP;

включение режима «Запрет открытых соединений» в общих параметрах работы ФПСУ-IP;

регистрация и предоставление полномочий на определенные действия удаленным администраторам;

регистрация ТМ-идентификаторов;

настройка подсистемы автоматического старта;

установка пароля условно-постоянного действия на администрирование;

установка ключей парно-выборочной связи;

установка общесистемных ключей;

установка ключевых данных для реализации защищенного обмена в режиме горячего резервирования;

установка времени действия ключей;

контроль целостности исполняемых программных модулей ФПСУ-IP (без ограничений на варианты проверки);

установка изменений и дополнений к программным модулям ФПСУ-IP;

контроль целостности конфигурации ФПСУ-IP.

Администратор/ Главный администратор

Все права класса Администратор и дополнительно:

выдача на USB-носитель системного журнала статистики;

переустановка программного обеспечения ФПСУ-IP cо специального средства восстановления (USB-носителя).

Программное обеспечение ФПСУ-IP разработано ООО «АМИКОН» (Лицензия Федеральной службы безопасности Российской Федерации ЛСЗ № 0000055 рег. № 12253 Н от 08 июня 2012 года на осуществление разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем. Лицензии Федеральной службы по техническому и экспортному контролю №0307 от 21 ноября 2006 г., №0536 от 21 ноября 2006 г: на деятельность по разработке и(или) производству средств защиты конфиденциальной информации; на деятельность по технической защите конфиденциальной информации).

ФПСУ-IP является средством криптографической защиты информации «Программно-аппаратный комплекс шифрования «ФПСУ-IP» (изделие Криптомаршрутизатор), поставляемым в соответствии с формуляром на изделие «Средство криптографической защиты информации «Программно-аппаратный комплекс шифрования «ФПСУ‑IP».

ФПСУ-IP следует использовать в соответствии с документом «Правила пользования» изделия «Средство криптографической защиты информации «Программно-аппаратный комплекс шифрования «ФПСУ-IP».