Общие сведения
Общие сведения |
|
|
Криптомаршрутизатор и межсетевой экран «ФПСУ Amigo» (сокращенное название от «Фильтр пакетов сетевого уровня») версии 4 является средством защиты от несанкционированного доступа к информации. ФПСУ выпускается в программном и программно-аппаратном исполнениях. ФПСУ позволяет выделять в открытой сети защищенные области с ограниченным доступом, а также обеспечивать защищенную передачу данных между защищенными областями. Программное обеспечение ФПСУ представляет собой модификацию 4.0.1 вариантов исполнений «ФПСУ-IP КС1», «ФПСУ-IP КС2» или «ФПСУ-IP КС3» средства криптографической защиты информации «ФПСУ‑IP Amigo», сертифицированного ФСБ России. ФПСУ позволяет осуществить шифрование и имитозащиту передаваемой информации в соответствии с ГОСТ 28147-89, ГОСТ 34.12–2018. ФПСУ поддерживает следующие криптоалгоритмы: •вычисление и проверку значения хэш-функции в соответствии с ГОСТ Р 34.11-2012; •генерацию пар секретный/открытый ключей в соответствии с ГОСТ Р 34.10-2012; •шифрование и выработку имитовставки в соответствии с ГОСТ 28147-89, ГОСТ 34.12-2018, ГОСТ 34.13-2018, Р 1323565.1.026-2019. ФПСУ работает по протоколу IP и использует формат фрейма Ethernet II. ФПСУ подключается в сеть передачи данных таким образом, чтобы входящие и исходящие из защищаемой сети межсетевые потоки данных проходили через ФПСУ. Подключение может быть физическое (в случае программно-аппаратного исполнения) или логическое (в случае программного исполнения для виртуальных машин). Основными функциями ФПСУ являются фильтрация передаваемых данных, заключающаяся в анализе их по совокупности критериев и принятии решения о возможности их дальнейшей передачи (с регистрацией результатов фильтрации), и установка VPN-туннелей с другими ФПСУ для организации защищенной передачи данных. Между прозрачно взаимодействующими через стандартное сетевое оборудование (коммутаторы, модемы, маршрутизаторы) ФПСУ, защищающими IP-подсети, могут быть созданы VPN-туннели. VPN-туннели позволяют ФПСУ скрывать внутреннюю структуру защищаемых сетей. В VPN-туннеле возможно обеспечение средствами ФПСУ‑IP сжатия и шифрования передаваемых данных. При создании VPN-туннеля обеспечиваются взаимные идентификация и аутентификация (как стартовая, так и сеансовая) взаимодействующих комплексов ФПСУ. При включенном режиме шифрования в VPN-туннеле обеспечиваются контроль целостности данных, защита их от просмотра, искажения и подмены. Для формирования межсетевых туннелей на ФПСУ должны быть установлены ключи парно-выборочной связи, выработанные с помощью специального программно-аппаратного комплекса «Центр выработки ключей» (ЦВК). VPN-туннели также могут быть образованы между ФПСУ и рабочими станциями, оснащенными комплексами «ФПСУ-IP/Клиент». Решение предназначено для защиты межсетевого взаимодействия удаленных рабочих станций и защищаемой IP-сети. Для формирования туннелей на ФПСУ должны быть установлены общесистемные ключи доступа пользователей комплексов «ФПСУ-IP/Клиент», выработанные с помощью специальной программы «Центр генерации ключей клиентов» (ЦГКК). В качестве критериев фильтрации пакетов передаваемых данных ФПСУ позволяет задавать: •IP-адреса отправителя и получателя; •идентификационные данные клиентов; •используемые протоколы транспортного и сетевого уровня; •тип передаваемых данных, мобильный код, протоколы приложений; •разрешенные режимы работы абонентов; •разрешенные связи абонентов и маршрутизаторов по конкретным протоколам управления; •разрешенные информационные взаимодействия абонентов (по пересекающейся совокупности параметров: протоколам, TCP/UDP-портам, интервалам времени дней недели и т.п.), приписанных к соответствующим правилам передачи трафика. Помимо основных функций, в ФПСУ реализован ряд дополнительных возможностей, в частности: •возможность безопасного дистанционного контроля и управления работой из любого фрагмента IP-сетей, которая может быть предоставлена нескольким (максимально 128) зарегистрированным на ФПСУ удаленным администраторам; •использование технологии DPI (Deep Packet Inspection) для анализа содержимого передаваемых данных; •встроенный HTTP- и SOCKS-proxy; •возможность разделения общего потока отправляемых через VPN-туннель данных по заданным администратором критериям. Данные разделяются на несколько (от 1 до 128) различных потоков с целью поддержки соответствующих функций пограничных маршрутизаторов (например, функция установки приоритетов определенным типам IP трафика). Для повышения надежности и обеспечения бесперебойной работы локальной сети в условиях возможных отказов аппаратуры, два ФПСУ могут работать в режиме горячего резервирования. В режиме горячего резервирования оба ФПСУ подключаются к локальной сети параллельно, с использованием концентраторов (hub) или коммутаторов (switch) и соединяются между собой отдельной линией передачи данных, при этом обмен информации между ними происходит в защищенном режиме. На каждый момент времени один ФПСУ является активным, выполняя все функциональные операции, а второй находится в резерве в режиме ожидания, периодически проверяя работоспособность первого. В случае отсутствия ответа от активного ФПСУ, или при возникновении аппаратных неполадок на активном, резервный ФПСУ в течение 3 секунд автоматически берет управление на себя. Передача функций резервному ФПСУ может также осуществляться вручную, по команде оператора или удаленного администратора. Для автоматического возобновления работы после сбоев электропитания (в отсутствие оператора), ФПСУ укомплектован подсистемой автозапуска режима фильтрации пакетов. Программное обеспечение ФПСУ разработано ООО «АМИКОН» (лицензия Федеральной службы безопасности Российской Федерации ЛСЗ № 0000055 рег. № 12253 Н от 08 июня 2012 года на осуществление разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем; лицензии Федеральной службы по техническому и экспортному контролю №0307 от 21 ноября 2006 г. на деятельность по разработке и(или) производству средств защиты конфиденциальной информации и №0536 от 21 ноября 2006 г. на деятельность по технической защите конфиденциальной информации). ФПСУ поставляeтся в соответствии с формуляром на модификации 4.0.1 вариантов исполнений «ФПСУ-IP КС1», «ФПСУ-IP КС2», «ФПСУ-IP КС3» средства криптографической защиты информации «ФПСУ‑IP Amigo». ФПСУ следует использовать в соответствии с правилами пользования модификациями 4.0.1 вариантов исполнений «ФПСУ-IP КС1», «ФПСУ-IP КС2», «ФПСУ-IP КС3» средства криптографической защиты информации «ФПСУ-IP Amigo». СКЗИ «ФПСУ‑IP Amigo» разработано ООО «АМИКОН», имеет сертификат соответствия требованиям ФСБ России к шифровальным (криптографическим) средствам класса КС1, КС2 и КС3. С чем ознакомиться далее: |