Общие сведения
Общие сведения |
|
|
Криптомаршрутизатор и межсетевой экран «ФПСУ Amigo» (сокращенное название от «Фильтр пакетов сетевого уровня») версии 4 является средством защиты от несанкционированного доступа к информации. ФПСУ выпускается в программном и программно-аппаратном исполнениях. ФПСУ позволяет выделять в открытой сети защищенные области с ограниченным доступом, а также обеспечивать защищенную передачу данных между защищенными областями. ФПСУ поддерживает следующие криптоалгоритмы: •вычисление и проверку значения хэш-функции в соответствии с ГОСТ Р 34.11-2012; •генерацию пар секретный/открытый ключей в соответствии с ГОСТ Р 34.10-2012; •шифрование и выработку имитовставки в соответствии с ГОСТ 28147-89, ГОСТ 34.12-2018, ГОСТ 34.13-2018, Р 1323565.1.026-2019; •генерацию открытого ключа, формирование, проверка ЭП, в соответствии с ГОСТ Р 34.10-2012 / RSA; •алгоритм согласования ключей в соответствии с рекомендацией Р 50.1.113-2016. ФПСУ работает по протоколу IP и использует формат фрейма Ethernet II. ФПСУ подключается в сеть передачи данных таким образом, чтобы входящие и исходящие из защищаемой сети межсетевые потоки данных проходили через ФПСУ. Подключение может быть физическое (в случае программно-аппаратного исполнения) или логическое (в случае программного исполнения для виртуальных машин). Основными функциями ФПСУ являются фильтрация передаваемых данных, заключающаяся в анализе их по совокупности критериев и принятии решения о возможности их дальнейшей передачи (с регистрацией результатов фильтрации), и установка VPN-туннелей с другими ФПСУ для организации защищенной передачи данных. Между прозрачно взаимодействующими через стандартное сетевое оборудование (коммутаторы, модемы, маршрутизаторы) ФПСУ, защищающими IP-подсети, могут быть созданы VPN-туннели. VPN-туннели позволяют ФПСУ скрывать внутреннюю структуру защищаемых сетей. В VPN-туннеле возможно обеспечение средствами ФПСУ‑IP сжатия и шифрования передаваемых данных. При создании VPN-туннеля обеспечиваются взаимные идентификация и аутентификация (как стартовая, так и сеансовая) взаимодействующих комплексов ФПСУ. При включенном режиме шифрования в VPN-туннеле обеспечиваются контроль целостности данных, защита их от просмотра, искажения и подмены. Для формирования межсетевых туннелей на ФПСУ должны быть установлены ключи парно-выборочной связи, выработанные с помощью специального программно-аппаратного комплекса «Центр выработки ключей» (ЦВК). Так же поддерживается получение ключевой информации от совместимых с ФПСУ устройств системы выработки квантового распределения ключей (квантовых ключей и квантово защищенных ключей). VPN-туннели могут быть образованы между ФПСУ и рабочими станциями пользователей, оснащенными программой «ФПСУ Клиент PKI». Решение предназначено для защиты доступа отдельной рабочей станции к ресурсам сети передачи данных, защищенным ФПСУ с использованием инфраструктуры открытых ключей (Public Key Infrastructure, PKI). Взаимная двухсторонняя аутентификация клиентов PKI и ФПСУ производится с использованием сертификата открытого ключа пользователя и собственного сертификата ФПСУ. Для формирования туннелей на рабочую станцию и на ФПСУ должны быть установлены сертификаты удостоверяющего центра: •закрытый ключ и сертификат открытого ключа для рабочей станции пользователя; •закрытый ключ и собственный сертификат самого ФПСУ, а также сертификаты Удостоверяющих центров, выдавших клиентские сертификаты клиентам PKI - на ФПСУ. VPN-туннели также могут быть образованы между ФПСУ и рабочими станциями, оснащенными комплексами «ФПСУ-IP/Клиент». Решение предназначено для защиты межсетевого взаимодействия удаленных рабочих станций и защищаемой IP-сети. Для формирования туннелей на ФПСУ должны быть установлены общесистемные ключи доступа пользователей комплексов «ФПСУ-IP/Клиент», выработанные с помощью специальной программы «Центр генерации ключей клиентов» (ЦГКК). В качестве критериев фильтрации пакетов передаваемых данных ФПСУ позволяет задавать: •IP-адреса отправителя и получателя; •идентификационные данные клиентов; •используемые протоколы транспортного и сетевого уровня; •тип передаваемых данных, мобильный код, протоколы приложений; •разрешенные режимы работы абонентов; •разрешенные связи абонентов и маршрутизаторов по конкретным протоколам управления; •разрешенные информационные взаимодействия абонентов (по пересекающейся совокупности параметров: протоколам, TCP/UDP-портам, интервалам времени дней недели и т.п.), приписанных к соответствующим правилам передачи трафика. Помимо основных функций, в ФПСУ реализован ряд дополнительных возможностей, в частности: •возможность безопасного дистанционного контроля и управления работой из любого фрагмента IP-сетей, которая может быть предоставлена нескольким (максимально 128) зарегистрированным на ФПСУ удаленным администраторам; •использование технологии DPI (Deep Packet Inspection) для анализа содержимого передаваемых данных; •встроенный HTTP- и SOCKS-proxy; •возможность разделения общего потока отправляемых через VPN-туннель данных по заданным администратором критериям. Данные разделяются на несколько (от 1 до 128) различных потоков с целью поддержки соответствующих функций пограничных маршрутизаторов (например, функция установки приоритетов определенным типам IP трафика). Для повышения надежности и обеспечения бесперебойной работы локальной сети в условиях возможных отказов аппаратуры, два ФПСУ могут работать в режиме горячего резервирования. В режиме горячего резервирования оба ФПСУ подключаются к локальной сети параллельно, с использованием концентраторов (hub) или коммутаторов (switch) и соединяются между собой отдельной линией передачи данных, при этом обмен информации между ними происходит в защищенном режиме. На каждый момент времени один ФПСУ является активным, выполняя все функциональные операции, а второй находится в резерве в режиме ожидания, периодически проверяя работоспособность первого. В случае отсутствия ответа от активного ФПСУ, или при возникновении аппаратных неполадок на активном, резервный ФПСУ в течение 3 секунд автоматически берет управление на себя. Передача функций резервному ФПСУ может также осуществляться вручную, по команде оператора или удаленного администратора. Для автоматического возобновления работы после сбоев электропитания (в отсутствие оператора), ФПСУ укомплектован подсистемой автозапуска режима фильтрации пакетов. Программное обеспечение ФПСУ разработано ООО «АМИКОН» (лицензия Федеральной службы безопасности Российской Федерации ЛСЗ № 0000055 рег. № 12253 Н от 08 июня 2012 года на осуществление разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем; лицензии Федеральной службы по техническому и экспортному контролю №0307 от 21 ноября 2006 г. на деятельность по разработке и(или) производству средств защиты конфиденциальной информации и №0536 от 21 ноября 2006 г. на деятельность по технической защите конфиденциальной информации). С чем ознакомиться далее: |