Общие сведения |
Криптомаршрутизатор и межсетевой экран «ФПСУ-IP» (сокращенное название от «Фильтр пакетов сетевого уровня IP протокола») версии 4 является средством защиты от несанкционированного доступа к информации. ФПСУ-IP выпускается в программном и программно-аппаратном исполнениях. ФПСУ-IP позволяет выделять в открытой сети защищенные области с ограниченным доступом, а также обеспечивать защищенную передачу данных между защищенными областями. В системе средств защиты ФПСУ-IP реализованы следующие криптоалгоритмы: •вычисление и проверка значения хэш-функции в соответствии с ГОСТ Р 34.11-2012/ SHA256; •генерация пар секретный/открытый ключей в соответствии с ГОСТ Р 34.10-2012; •шифрование и выработка имитовставки в соответствии с ГОСТ Р 34.12-2015 (Магма), ГОСТ Р 34.13-2015 (Кузнечик); •шифрование и выработка имитовставки в соответствии с ГОСТ 28147-89; •генерация открытого ключа, формирование, провека ЭП, в соответствии с ГОСТ Р 34.10-2012 / RSA; •алгоритм согласования ключей рекомендация Р 50.1.113-2016. ФПСУ-IP работает по протоколу IP и использует формат фрейма Ethernet II. ФПСУ-IP подключается в разрыв цепи между защищаемой локальной подсетью и остальными абонентами таким образом, чтобы все входящие и исходящие из подсети межсетевые потоки данных проходили через ФПСУ-IP. Подключение может быть физическое (в случае программно-аппаратного исполнения) или логическое (в случае программного исполнения). Основными функциями ФПСУ-IP являются фильтрация передаваемых данных, заключающаяся в анализе их по совокупности критериев и принятии решения о возможности их дальнейшей передаче (с регистрацией результатов фильтрации), и установка VPN-туннелей с аналогичными ФПСУ-IP для организации защищенных режимов передачи данных. Между прозрачно взаимодействующими через стандартное сетевое оборудование (коммутаторы, модемы, маршрутизаторы) ФПСУ-IP, защищающими IP-подсети, могут быть созданы VPN-туннели. VPN-туннели позволяют ФПСУ-IP скрывать внутреннюю структуру защищаемых сетей. В VPN-туннеле возможно обеспечение средствами ФПСУ‑IP сжатия и шифрования передаваемых данных. При создании VPN-туннеля обеспечиваются взаимные идентификация и аутентификация (как стартовая, так и сеансовая) взаимодействующих комплексов ФПСУ-IP. При включенном режиме шифрования в VPN-туннеле обеспечиваются контроль целостности данных, защита их от просмотра, искажения и подмены. Для формирования межсетевых туннелей на ФПСУ-IP должны быть установлены ключи парно-выборочной связи, выработанные с помощью специального программно-аппаратного комплекса «Центр выработки ключей» (ЦВК). Так же поддерживается получение ключевой информации от совместимых с ФПСУ-IP устройств системы выработки квантового распределения ключей (квантовых ключей и квантово защищенных ключей). VPN-туннели могут быть образованы между ФПСУ-IP и рабочими станциями пользователей, оснащенными программой «ФПСУ Клиент PKI». Решение предназначено для защиты доступа отдельной рабочей станции к ресурсам сети передачи данных, защищенным ФПСУ-IP с использованием инфраструктуры открытых ключей (Public Key Infrastructure, PKI). Взаимная двухсторонняя аутентификация клиентов PKI и ФПСУ-IP производится с использованием сертификата открытого ключа пользователя и собственного сертификата ФПСУ-IP. Для формирования туннелей на рабочую станцию и на ФПСУ-IP должны быть установлены сертификаты удостоверяющего центра: •закрытый ключ и сертификат открытого ключа для рабочей станции пользователя; •закрытый ключ и собственный сертификат самого ФПСУ-IP, а также сертификаты Удостоверяющих центров, выдавших клиентские сертификаты клиентам PKI - на ФПСУ-IP. VPN-туннели также могут быть образованы между ФПСУ-IP и рабочими станциями, оснащенными комплексами «ФПСУ-IP/Клиент». Решение предназначено для защиты межсетевого взаимодействия удаленных рабочих станций и защищаемой IP-сети. Для формирования туннелей на ФПСУ-IP должны быть установлены общесистемные ключи доступа пользователей комплексов «ФПСУ-IP/Клиент», выработанные с помощью специальной программы «Центр генерации ключей клиентов» (ЦГКК). В качестве критериев фильтрации пакетов передаваемых данных ФПСУ-IP позволяет задавать: •IP-адреса отправителя и получателя; •идентификационные данные клиентов; •используемые протоколы транспортного и сетевого уровня; •тип передаваемых данных, мобильный код, протоколы приложений; •разрешенные режимы работы абонентов; •разрешенные связи абонентов и маршрутизаторов по конкретным протоколам управления; •разрешенные информационные взаимодействия абонентов (по пересекающейся совокупности параметров: протоколам, TCP/UDP-портам, интервалам времени дней недели и т.п.), приписанных к соответствующим правилам передачи трафика. Помимо основных функций, в ФПСУ-IP реализован ряд дополнительных возможностей, в частности: •возможность безопасного дистанционного контроля и управления работой из любого фрагмента IP-сетей, которая может быть предоставлена нескольким (максимально тридцати двум) зарегистрированным на ФПСУ-IP удаленным администраторам; •использование технологии DPI (Deep Packet Inspection) для анализа содержимого передаваемых данных; •встроенный HTTP- и SOCKS-proxy; •возможность по заданным администратором критериям разделения общего потока посылаемых через VPN-туннель данных. Данные разделяются на несколько (от 1 до 128) различных потоков с целью поддержки соответствующих функций пограничных маршрутизаторов (например, функция установки приоритетов определенным типам IP трафика). Для повышения надежности и обеспечения бесперебойной работы локальной сети в условиях возможных отказов аппаратуры, два ФПСУ-IP могут работать в режиме горячего резервирования. В режиме горячего резервирования оба ФПСУ-IP подключаются к локальной сети параллельно, с использованием концентраторов (hub) или коммутаторов (switch) и соединяются между собой отдельной линией передачи данных, при этом обмен информации между ними происходит в защищенном режиме. На каждый момент времени один ФПСУ-IP является активным, выполняя все функциональные операции, а второй находится в резерве в режиме ожидания, периодически проверяя работоспособность первого. В случае отсутствия ответа от активного ФПСУ-IP, или при возникновении аппаратных неполадок на активном, резервный ФПСУ-IP в течение 3 секунд автоматически берет управление на себя. Передача функций резервному ФПСУ-IP может также осуществляться вручную, по команде оператора или удаленного администратора. Для автоматического возобновления работы после сбоев электропитания (в отсутствие оператора), ФПСУ-IP укомплектован подсистемой автозапуска режима фильтрации. Программное обеспечение ФПСУ-IP разработано ООО «АМИКОН» (Лицензия Федеральной службы безопасности Российской Федерации ЛСЗ № 0000055 рег. № 12253 Н от 08 июня 2012 года на осуществление разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем. Лицензии Федеральной службы по техническому и экспортному контролю №0307 от 21 ноября 2006 г., №0536 от 21 ноября 2006 г: на деятельность по разработке и(или) производству средств защиты конфиденциальной информации; на деятельность по технической защите конфиденциальной информации). С чем ознакомиться далее: |