«С-Терра СиЭсПи» – российский разработчик и производитель средств сетевой информационной безопасности. Решения компании для построения виртуальных частных сетей (VPN) обеспечивают защиту межсетевых взаимодействий, беспроводных и мультисервисных сетей, безопасность работы удаленных и мобильных пользователей.
Цель компании – обеспечить российский рынок современными решениями для построения VPN. При создании продуктов компания опирается на следующие принципы:
- использовать международные технические стандарты (в частности, IP Security Architecture);
- приблизить решения по идеологии к индустриальным стандартам де-факто;
- обеспечить возможность работы на российских криптографических алгоритмах и сертификацию в российских органах технического регулирования (ФСБ России; ФСТЭК России).
Основанная в 2003 г. компания за короткий срок заняла прочные позиции на российском рынке информационной безопасности. Команда «С-Терра СиЭсПи» обладает уникальным многолетним опытом разработки VPN-технологий: сотрудники компании были в числе создателей первых продуктов в архитектуре IPSec.
Мы предлагаем российским заказчикам технически совершенные, органически входящие в сетевую инфраструктуру решения, базирующиеся на трех китах: функциональность, производительность, масштабируемость.
Семейство продуктов сетевой защиты CSP VPN реализует любые сценарии построения виртуальных частных сетей (site-to-site, client-to-site). Гибкость обеспечивается применением множества сценариев защиты информации (от периметрических сценариев до защиты трафика отдельных приложений из конца в конец), подбором индивидуальной политики защиты (при необходимости это возможно для каждого отдельно взятого сетевого соединения.) Решения компании характеризуются высокой масштабируемостью, что, наряду с корректным техническим балансом надежности и производительности, обеспечивает высокую экономическую эффективность для конечного заказчика.
Продукты семейства CSP VPN сертифицированы в соответствии с требованиями национального технического регулирования, в том числе как средства защиты криптографической информации (СКЗИ) по классу защиты КС1, КС2, КС3 что подтверждено сертификатами ФСБ и ФСТЭК России.
Продукты компании с легкостью могут интегрироваться в архитектурные решения мирового лидера сетевой индустрии – Cisco Systems. «С-Терра СиЭсПи» первой в России получила статус технологического партнера Cisco (Cisco Solution Technology Integrator).В результате сотрудничества был разработан ряд продуктов, интегрирующихся в сетевую инфраструктуру Cisco, в частности, сетевой модуль NME-RVPN (МСМ), использующий в качестве платформы маршрутизаторы Cisco ISR серий 2800/3800 или 2900/3900. Модуль может использоваться как средство криптографической информации по классу защиты КС1, КС2, КС3.
Продуктная линия:
Полный комплект средств сетевой защиты CSP VPN обеспечивает:
- защиту индивидуальных пользователей;
- защиту серверов;
- защиту отдельных сетей;
- защиту специализированных устройств.
Продуктная линия CSP VPN включает программные средства:
- CSP VPN Client. Программный комплекс для защиты индивидуальных пользователей.
Подробнее о CSP VPN Client:
Программный комплекс «Клиент безопасности CSP VPN Client» обеспечивает защиту и пакетную фильтрацию трафика сетевых узлов, на которые он установлен.
CSP VPN Client предварительно настраивается для массового развертывания с помощью технологии установки одним нажатием кнопки (One-Click-Installation). Создание политики клиента может быть осуществлено с помощью графического интерфейса административного пакета или с помощью системы управления «С-Терра КП». При необходимости более тонкой настройки предоставляется возможность создания политики клиента в терминах локальной политики безопасности (LSP), являющейся внутренним представлением конфигурации CSP VPN агентов.
Программный комплекс CSP VPN Client представляет собой Агента Безопасности под управлением операционных систем :
- MS Windows XP Professional (SP3)
- MS Windows Vista (SP2)
- MS Windows 7
- Microsoft Windows Server 2003/2008 (поддерживается в версии 3.11)
Управление клиентом безопасности CSP VPN Client осуществляется централизованно удаленно с использованием системы управления «С-Терра КП».
CSP VPN Client совместим со следующими продуктами компаний Cisco и S-Terra CSP:
- Cisco Routers. IOS version 12.4 и выше
- Cisco PIX Security Appliance. Software version 6.3 и выше
- CSP VPN Server
- CSP VPN Gate – 100B/100/1000/3000/7000
- NME-RVPN (МСМ)
- Система управления «С-Терра КП»
Сертификаты
Характеристики:
- Обеспечение защиты трафика на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP. В версии 3.11 для защиты трафика может применяться комбинированное преобразование ESP_GOST-4M-IMIT в соответствии с документом “Методические рекомендации по использованию комбинированного алгоритма шифрования вложений IPsec на основе ГОСТ 28147-89”
- Совместимость с токенами MS_KEY K производства компании MultiSoft, eToken PRO32k, eToken PRO64k, eToken NG-FLASH, eToken NG-OTP, eToken PRO (Java) производства компании Aladdin (в версии 3.11)
- Поддержка One-Click-Installation (OCI) пакета с использованием Windows Installer (MSI)
- Подготовка OCI пакета с помощью графического пакета администратора
- Интеллектуальное отслеживание доступности партнёров обмена (DPD)
- Аутентификация пользователя и загрузка политики безопасности CSP VPN Client при старте операционной системы
- Интегрированный сетевой экран
- Возможность работы мобильного пользователя в соответствии с политикой безопасности внутрикорпоративной сети (IKECFG клиент)
- Поддержка транспортного и туннельного режимов работы в рамках протоколов IPsec
- Обеспечение пакетной фильтрации трафика с использованием информации в полях заголовков сетевого и транспортного уровней
- Возможность получения сертификатов открытых ключей по протоколу LDAP
- Управляемое событийное протоколирование (syslog)
- Мониторинг глобальной статистики по протоколу SNMP, совместимость с CiscoWorks. Monitoring Center for Performance 2.0.2, входящего в состав CiscoWorks VMS 2.3
- Прозрачность для работы сервиса QoS
- Поддержка инкапсуляции пакета ESP в UDP (NAT traversal)
- Совместимость с PKI и LDAP службами зарубежных и российских производителей
Спецификация продукта:
| Описание |
Спецификация |
| Операционные системы |
MS Windows XP Professional (SP3), MS Windows Vista Business (SP2), MS Windows 7, Microsoft Windows Server 2003/2008 (поддерживается в версии 3.11) |
| Протоколы IKE/IPsec |
Стандарты RFC 2401 — 2412 |
| Алгоритмы шифрования |
NULL, DES-CBC (IV32), 3DES-K168-CBC, IDEA-CBC, AES-K128-CBC, AES-K192-CBC, AES-K256-CBC, ГОСТ 28147-89 |
| Алгоритмы электронно-цифровой подписи |
DSA, RSA, ГОСТ Р 34.10-2001 |
| Алгоритмы вычисления хэш сумм |
MD5, SHA1, ГОСТ Р 34.11-94 |
| Подключение внешних криптографических модулей |
Возможность встраивания криптобиблиотек в соответствии с RFC 2628. Подключаются модули прикладного уровня и уровня ядра операционной системы. В состав входят:
- тестовый модуль для подключения западных криптоалгоритмов;
- модуль для подключения криптобиблиотеки СКЗИ «КриптоПро CSP 3.6 (версия 3.1/3.11), 3.6R2 (3.1/3.11), 3.6R3 (3.11)» (производитель – компания «Крипто-Про»), реализующей российские криптографические алгоритмы и функции
- модуль для подключения криптобиблиотеки СКЗИ Крипто-Ком 3.2» (производитель – компания «Сигнал-КОМ»), реализующей российские криптографические алгоритмы и функции. Данное СКЗИ используется в версии 3.1
|
| Информационные обмены протокола IKE |
Main mode, Aggressive mode, Quick mode, Transaction Exchanges, Informational Exchanges, VKO ГОСТ Р 34.10-2001 |
| Режимы аутентификации в протоколе IKE |
Preshared key, RSA digital signature, DSA digital signature, ГОСТ Р 34. 10-2001 |
| Обеспечение надежности (пересинхронизации) защищенных соединений |
Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04) |
| Событийное протоколирование |
Syslog |
| Сбор статистики |
SNMP v.1, v.2c |
| Формат сертификатов публичных ключей |
X.509 v.3 (RSA, DSA, ГОСТ). В версии 3.11 учтены изменения в соответствии с «Приказ ФСБ России от 27.12.2011 № 795» и «ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом» |
| Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом |
Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат |
| Способы получения сертификатов |
Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64) |
| Способ получения ключевой пары |
Генерация внешним PKI сервисом с доставкой через PKSC#12 |
| Поддержка списка отозванных сертификатов |
Обработка Certificate Revocation List (CRL) опциональна
Поддерживается CRL v.2.
Способ получения CRL – протокол LDAP v.3 |
| Работа через NAT |
Поддержана NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02) |
- CSP VPN Server. Программный комплекс для сетевой защиты серверов.
Подробнее о CSP VPN Server:
Программный комплекс CSP VPN Server обеспечивает защиту и пакетную фильтрацию трафика сетевых узлов, на которых он установлен. CSP VPN Server предварительно настраивается для массового развертывания с помощью технологии установки одним нажатием кнопки (One-Click-Installation).
Создание политики сервера может быть осуществлено с помощью графического интерфейса административного пакета или или с помощью системы управления «С-Терра КП». При необходимости более тонкой настройки предоставляется возможность управления политикой сетевой безопасности в терминах локальной политики безопасности (LSP), являющейся внутренним представлением конфигурации CSP VPN агентов.
Программный комплекс CSP VPN Server представляет собой Агента Безопасности используемого в качестве Агента Безопасности автономного сервера под управлением операционных систем:
- MS Windows XP Professional (SP3)
- MS Windows Vista (SP2)
- Microsoft Windows Server 2003/2008 (поддерживается в версии 3.11)
Управление сервером безопасности CSP VPN Server осуществляется централизованно удаленно с использованием системы управления «С-Терра КП».
Программный комплекс CSP VPN Server B используется в качестве Агента Безопасности специализированных устройств в составе платежных систем: банкоматов, расчетных терминалов, кассовых аппаратов (POS-терминалов) и датчиков автоматизированных систем управления технологическими процессами.
CSP VPN Server совместим со следующими продуктами компаний Cisco и S-Terra CSP:
- Cisco Routers. IOS version 12.4 и выше
- Cisco PIX Security Appliance. Software version 6.3 и выше
- CSP VPN Client
- CSP VPN Gate — 100B/100/1000/3000/7000
- NME-RVPN (МСМ)
- Система управления «С-Терра КП»
Сертификаты
Характеристики:
- Обеспечение защиты трафика на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP. В версии 3.11 для защиты трафика может применяться комбинированное преобразование ESP_GOST-4M-IMIT в соответствии с документом “Методические рекомендации по использованию комбинированного алгоритма шифрования вложений IPsec на основе ГОСТ 28147-89”
- Совместимость с токенами MS_KEY K производства компании MultiSoft, eToken PRO32k, eToken PRO64k, eToken NG-FLASH, eToken NG-OTP, eToken PRO (Java) производства компании Aladdin (в версии 3.11)
- Интеллектуальное отслеживание доступности партнёров обмена (DPD)
- Интегрированный сетевой экран
- Обеспечение пакетной фильтрации трафика с использованием информации в полях заголовков сетевого и транспортного уровней
- Возможность получения сертификатов открытых ключей по протоколу LDAP
- Поддержка маскировки реального IP адреса (туннелирование трафика)
- Управляемое событийное протоколирование (syslog)
- Мониторинг глобальной статистики по протоколу SNMP, совместимость с CiscoWorks Monitoring Center for Performance 2.0.2, входящий в состав CiscoWorks VMS 2.3
- Прозрачность для работы сервиса QoS
- Поддержка инкапсуляции пакета ESP в UDP (NAT traversal)
- Совместимость с PKI и LDAP службами зарубежных и российских производителей
Спецификация
| Описание |
Спецификация |
| Операционные системы |
MS Windows XP Professional SP3 Russian Edition, MS Windows Vista (32-bit) Business SP2 Russian Edition, Microsoft Windows Server 2003/2008 (поддерживается в версии 3.11) |
| Протоколы IKE/IPsec |
Стандарты RFC 2401 – 2412 |
| Алгоритмы шифрования |
NULL, DES-CBC (IV32), 3DES-K168-CBC, IDEA-CBC, AES-K128-CBC, AES-K192-CBC, AES-K256-CBC, ГОСТ 28147-89 |
| Алгоритмы электронно-цифровой подписи |
DSA, RSA, ГОСТ Р 34.10-2001 |
| Алгоритмы вычисления хэш сумм |
MD5, SHA1, ГОСТ Р 34.11-94 |
| Подключение внешних криптографических модулей |
Возможность встраивания криптобиблиотек в соответствии с RFC 2628. Подключаются модули прикладного уровня и уровня ядра операционной системы. В состав входят:
- тестовый модуль для подключения западных криптоалгоритмов;
- модуль для подключения криптобиблиотеки СКЗИ «КриптоПро CSP 3.6 (версия 3.1/3.11), 3.6R2 (3.1/3.11), 3.6R3 (3.11)» (производитель – компания «Крипто-Про»), реализующей российские криптографические алгоритмы и функции
- модуль для подключения криптобиблиотеки СКЗИ «Крипто-Ком 3.2» (производитель – компания «Сигнал КОМ»), реализующей российские криптографические алгоритмы и функции. Данное СКЗИ используется в версии 3.1
|
| Информационные обмены протокола IKE |
Main mode, Aggressive mode, Quick mode, Transaction Exchanges, Informational Exchanges, VKO ГОСТ Р 34.10-2001 |
| Режимы аутентификации в протоколе IKE |
Preshared key, RSA digital signature, DSA digital signature, ГОСТ Р 34. 10-2001 |
| Обеспечение надежности (пересинхронизации) защищенных соединений |
Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04) |
| Событийное протоколирование |
Syslog |
| Сбор статистики |
SNMP v.1, v.2c |
| Формат сертификатов публичных ключей |
X.509 v.3 (RSA, DSA, ГОСТ). В версии 3.11 учтены изменения в соответствии с «Приказ ФСБ России от 27.12.2011 № 795» и «ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом» |
| Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом |
Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат |
| Способы получения сертификатов |
Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64) |
| Способ получения ключевой пары |
Генерация внешним PKI сервисом с доставкой через PKSC#12 |
| Поддержка списка отозванных сертификатов |
Обработка Certificate Revocation List (CRL) опциональна. Поддерживается CRL v.2.
Способы получения CRL:
- протокол LDAP v.3;
- импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64).
|
| Работа через NAT |
Поддержана NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02) |
Линия шлюзов безопасности CSP VPN сетевого уровня масштабирована по шкале скоростей каналов передачи информации:
- CSP VPN Gate 100B. Программно-аппаратный комплекс – шлюз безопасности, ориентированный на защиту специализированных устройств (банкоматов и/или платежных терминалов).
- CSP VPN Gate 100 (100V). Программно-аппаратный комплекс – шлюз безопасности, ориентированный на защиту малых офисов до 10 компьютеров (до 200 компьютеров) и для каналов с пропускной способностью до 2 Мбит/c.
- CSP VPN Gate 1000 (1000V). Программно-аппаратный комплекс – шлюз безопасности, ориентированный на защиту малых офисов до 50 компьютеров (до 500 компьютеров) и для каналов с пропускной способностью до 10 Мбит/c.
- CSP VPN Gate 3000. Программно-аппаратный комплекс – шлюз безопасности,ориентированный на защиту средних офисов (до 250 компьютеров) и для каналов с пропускной способностью не менее 200 Мбит/c, 300 Мбит/c, 400 Мбит/c.
- CSP VPN Gate 7000. Программно-аппаратный комплекс – шлюз безопасности, ориентированный на защиту крупных офисов (свыше 250 компьютеров) и для каналов с пропускной способностью не менее 500 Мбит/c,1 Гбит/c.
Общее описание линейки CSP VPN Gate:
Продукты CSP VPN Gate представляют собой программный комплекс – шлюз безопасности, функционирующий на аппаратной платформе под управлением ОС Red Hat Enterprise Linux 5, ОС CentOS 5,
Предназначается для обеспечения информационной безопасности одного или нескольких автономных терминальных устройств (банкоматов и/или платежных терминалов) в системах автоматизированных платежей, в которых предъявляются повышенные требования к габаритным размерам. Одновременно может устанавливаться до 5 туннелей.
Аппаратно — программный комплекс CSP VPN Gate обеспечивает защиту и пакетную фильтрацию как трафика банкоматов, проходящего через него, так и защиту трафика самого шлюза безопасности.
Управление шлюзом безопасности CSP VPN Gate осуществляется:
- централизованно удаленно посредством графического интерфейса Cisco Security Manager 3.2 (CSM) и Cisco Security Manager 4.3 (совместимо с версией 3.11) , который входит в состав Cisco Security Management Suite
- централизованно удаленно с использованием системы управления «С-Терра КП»
- локально или удаленно по протоколу SSH с помощью интерфейса командной строки. В интерфейсе командной строки используется подмножество команд Cisco IOS, что облегчает управление администраторам, имеющим опыт настройки шлюзов безопасности и межсетевых экранов Cisco Systems
- удаленно с использованием Web-based интерфейса управления
CSP VPN Gate совместим со следующими продуктами компаний Cisco и «С-Терра СиЭсПи»:
- Cisco Routers. IOS version 12.4 (13a) и выше
- Cisco PIX Security Appliance. Software version 6.3 и выше
- CSP VPN Client
- CSP VPN Server
- CSP VPN Gate 100B/100/1000/3000/7000
- NME-RVPN (МСМ)
- Система управления «С-Терра КП»
Решения CSP VPN обеспечивают построение виртуальных защищенных сетей (VPN) предприятия:
- Шифрование (конфиденциальность), электронно-цифровая подпись (целостность, аутентификация) IP пакетов:
- гибкость в реализации политики сетевой защиты (множественность алгоритмов шифрования, включая ГОСТ; сложные конфигурации туннелей)
- высокая стойкость защиты информации
- Аутентификация узлов сети
- Аутентификация пользователей
- Контроль доступа на уровне хостов, индивидуальных пользователей и отдельных приложений
- Формирование защищенных соединений между
- подсетями
- компьютерами (клиент-сервер, одноранговые клиенты)
- Защита для сложных сетевых инфраструктур
Сертификаты
| Версия 3.1 |
Версия 3.11 |
Сертификат ФСБ России (КС1)
Сертификат ФСТЭК (МЭ-3, ИСПДн 1 класс )
Сертификат ФСТЭК (ОУД 3+, НДВ-3, ИСПДн 1 класс, класс 1Г ) |
Завершается сертификация:
Сертификат ФСБ России (КС1)
Сертификат ФСТЭК (НДВ-3, МЭ-3, ИСПДн 1 класс, ОУД 4+, класс 1В) |
Характеристики:
- Обеспечение защиты трафика на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP. В версии 3.11 для защиты трафика может применяться комбинированное преобразование ESP_GOST-4M-IMIT в соответствии с документом“Методические рекомендации по использованию комбинированного алгоритма шифрования вложений IPsec на основе ГОСТ 28147-89”
- Возможность работы шлюза безопасности CSP VPN Gate версии 3.11 в соответствии с политикой безопасности внутрикорпоративной сети (IKECFG клиент)
- Обеспечение пакетной фильтрации трафика с использованием информации в полях заголовков сетевого и транспортного уровней
- Различные наборы правил обработки трафика на различных интерфейсах
- Интеллектуальное отслеживание доступности партнёров обмена (DPD)
- Интегрированный межсетевой экран
- Поддержка работы мобильного пользователя в соответствии с политикой безопасности внутрикорпоративной сети (IKECFG сервер)
- Возможность получения сертификатов открытых ключей по протоколу LDAP
- Поддержка маскировки реального IP-адреса (туннелирование трафика)
- Управляемое событийное протоколирование (syslog)
- Мониторинг глобальной статистики по протоколу SNMP, совместимость с CiscoWorks VPN Monitor.
- Прозрачность для работы сервиса QoS
- Поддержка инкапсуляции пакета ESP в UDP (NAT traversal)
- Совместимость с PKI и LDAP службами зарубежных и российских производителей
Спецификация платформы
CSP VPN Gate выпускается на базе аппаратных платформ: Kraftway,HP Proliant,Cisco UCS
| Описание |
Спецификация |
| Количество одновременно поддерживаемых VPN туннелей |
от 5 до Не ограничено |
| Количество сетевых интерфейсов |
от 3 (10/100 Mbps) до 4 (10/100/1000 Mbps) |
| Объем оперативной памяти |
от 512MB до 4GB |
| Количество и тип процессоров |
от 1 x VIA EDEN 500 MHz до 2 x Intel Xeon |
| Количество, объем и тип интерфейса жестких дисков |
1 x IDE DoM 1GB / 1 SAS для модификации Standard /2 SAS (RAID) для модификации High Performance |
| Габариты, мм |
235х180х48 / 1U/ 2U в зависимости от платформы |
| Операционная система |
Red Hat Enterprise Linux 5, CentOS 5, Sun Solaris 10 x86 |
| Протоколы IKE/IPsec |
Стандарты RFC 2401 – 2412 |
| Алгоритмы шифрования |
NULL, DES-CBC (IV32), 3DES-K168-CBC, IDEA-CBC, AES-K128-CBC, AES-K192-CBC, AES-K256-CBC, ГОСТ 28147-89 |
| Алгоритмы электронно-цифровой подписи |
DSA, RSA, ГОСТ Р 34.10-2001 |
| Алгоритмы вычисления хэш сумм |
MD5, SHA1, ГОСТ Р 34.11-94 |
| Подключение внешних криптографических модулей |
Возможность встраивания криптобиблиотек в соответствии с RFC 2628. Подключаются модули прикладного уровня и уровня ядра операционной системы. В состав входят:
- тестовый модуль для подключения западных криптоалгоритмов;
- модуль для подключения криптобиблиотеки СКЗИ «КриптоПро CSP 3.6 (версия 3.1/3.11), 3.6R2 (3.1/3.11), 3.6R3 (3.11)» (производитель – компания «Крипто-Про»), реализующей российские криптографические алгоритмы и функции
- модуль для подключения криптобиблиотеки СКЗИ Крипто-Ком 3.2» (производитель – компания «Сигнал-КОМ»), реализующей российские криптографические алгоритмы и функции. Данное СКЗИ используется в версии 3.1
|
| Информационные обмены протокола IKE |
Main mode, Aggressive mode, Quick mode, Transaction Exchanges, Informational Exchanges, VKO ГОСТ Р 34.10-2001 |
| Режимы аутентификации в протоколе IKE |
Preshared key, RSA digital signature, DSA digital signature, ГОСТ Р 34.10-2001 |
| Дополнительные возможности IKE |
Режим IKECFG для объединения различных сетевых объектов в виртуальную локальную сеть |
| Обеспечение надежности (пересинхронизации) защищенных соединений |
Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04) |
| Событийное протоколирование |
Syslog |
| Сбор статистики |
SNMP v.1, v.2c |
| Формат сертификатов публичных ключей |
X.509 v.3 (RSA, DSA, ГОСТ). В версии 3.11 учтены изменения в соответствии с «Приказ ФСБ России от 27.12.2011 № 795» и «ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом» |
| Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом |
Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат |
| Способы получения сертификатов |
Протоколы IKE, LDAP v.3.
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64) |
| Способ получения ключевой пары |
Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER.
Генерация внешним PKI сервисом с доставкой через PKSC#12. |
| Поддержка списка отозванных сертификатов |
Обработка Certificate Revocation List (CRL) опциональна. Поддерживается CRL v.2. Способы получения CRL:
- протокол LDAP v.3
- импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
|
| Работа через NAT |
Поддержана NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02) |
- Модуль NME-RVPN (МСМ). Программно-аппаратный комплекс – шлюз безопасности, предназначенный для использования в составе маршрутизаторов серии Cisco® 2800/3800 и 2900/3900 Integrated Services Routers.
Подробнее о NME-RVPN:
Модуль NME-RVPN (МСМ) в составе маршрутизаторов серии Cisco® 2800/3800 и 2900/3900 Integrated Services Routers предлагает российским потребителям уникальное устройство, позволяющее обеспечить как эффективную маршрутизацию, так и защиту трафика данных, голоса, видео. При этом устройство управляется как единое целое, используя интерфейс Cisco для формирования правил маршрутизации и защиты сетевых взаимодействий. Подобная глубокая интеграция позволяет существенно уменьшить сложность сети, не предъявлять дополнительных требований к квалификации персонала и, как результат, снизить затраты на развертывание и поддержку, а также сроки развертывания подсистемы информационной безопасности.
Централизованное удаленное управление продуктами:
- С-Терра КП. Программный продукт для централизованного управления продуктами линейки CSP VPN Client/ CSP VPN Server/ CSP VPN Gate/NME-RVPN (МСМ)/СПДС «ПОСТ» версий 3.1, 3.11.
Среда построения доверенного сеанса (СПДС):
- СПДС «ПОСТ». Технология СПДС для удалённого доступа обеспечивает доверенную загрузку целостной информационной среды и изолированное сетевое соединение с сервером приложений.
Сертификаты ФСБ РФ и ФСТЭК РФ позволяют использовать CSP VPN Client, CSP VPN Server и CSP VPN Gate:
- как средство криптографической защиты класса КС1/КС2/КС3 информации (СКЗИ), не содержащей сведений, составляющих государственную тайну;
- как средство защиты информации (СЗИ) от несанкционированного доступа (НСД) с оценочным уровнем доверия ОУД 4+ (усиленный);
- как межсетевой экран 3 класса.
Продукты имеют 3 уровень контроля на отсутствие недекларированных возможностей (НДВ) и применяются для:
- защиты конфиденциальной информации, за исключением государственной тайны, в автоматизированных системах до класса 1В включительно;
- защиты информационных систем персональных данных до 1 класса включительно.
