Где я могу найти описание для криптопровайдера Соболь и ПАК Соболь 3?

ViPNet Client – программный комплекс для защиты рабочих мест

запросить цену

ViPNet Client (ВипНет Клиент) – это программный комплекс для ОС Windows,  Linux  выполняющий на рабочем месте пользователя или сервере с прикладным ПО функции VPN-клиента, персонального экрана, клиента защищенной почтовой системы, а также криптопровайдера для прикладных программ, использующих функции подписи и шифрования.

Электронный замок «Соболь»  – это аппаратно-программное средство защиты компьютера от несанкционированного доступа (аппаратно-программный модуль доверенной загрузки).

Электронный замок «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.

Приобрести ПАК “Соболь”

Основные модули программы

• Шифратор трафика IP. Этот компонент способен надежно зашифровать любой трафик, передающийся в пределах сети, находящейся под защитой. Шифрующий драйвер характеризуется огромной производительностью, благодаря чему имеется возможность работы на современных мощных компьютерах, а также проведения защиты в режиме реального времени, к примеру, в процессе важных видеопереговоров.
• Установка ViPNet Client for Windows, linux необходима и для того, чтобы иметь возможность передавать защищенные текстовые сообщения в пределах сети.
• Модуль передачи файлов. Позволяет передавать информацию внутри защищенной сети, к которой невозможно получить доступ извне.

Установка «КриптоПро CSP»» на Windows

Программу «КриптоПро CSP» вы можете загрузить:

После успешной загрузки программы можно приступить к её установке:

• Запустите установочный файл (CSP Setup.exe);
• Нажмите «Установить»;
• Введите серийный номер лицензии на использование «КриптоПро CSP»: Перейдите в меню «Пуск» – «Все программы» – «КриптоПро» – «КриптоПро CSP» и нажмите «Ввод лицензии»; В открывшемся окне: укажите сведения о пользователе и организации, введите серийный номер с бланка лицензии.После ввода данных нажмите «ОК».
• Перейдите в меню «Пуск» – «Все программы» – «КриптоПро» – «КриптоПро CSP» и нажмите «Ввод лицензии»;
• В открывшемся окне: укажите сведения о пользователе и организации, введите серийный номер с бланка лицензии.
• укажите сведения о пользователе и организации,
• введите серийный номер с бланка лицензии.
• После ввода данных нажмите «ОК».

Важно! В процессе установки потребуется принять условия лицензионного соглашения и ввести серийный номер «КриптоПро CSP», находящийся в бланке лицензии на использование программы или в «Карточке настройки Абонента», выданной при подключении. При вводе серийного номера нужно следить за переключателями регистра (заглавные/маленькие буквы) и раскладки клавиатуры (русский/английский язык).

Важно! После завершения установки необходимо перезагрузить компьютер.

Далее можно включить режим кэширования. В этом случае считанные с носителя ключи остаются в памяти сервиса до завершения работы системы. Например, при представлении отчетности достаточно один раз подключить к компьютеру носитель ключевой информации (флеш-карту, Token и т. Больше этого делать не потребуется до перезагрузки компьютера.

Для установки режима кэширования необходимо:

• открыть программу «КриптоПро CSP»;
• перейти на закладку «Безопасность»;
• установить переключатель в положение «Использовать службу хранения ключей»;
• поставить галочку в поле «Включить кэширование»;
• нажать кнопку «ОК».

Информация об установке «КриптоПро CSP» на других операционных системах есть на сайте «КриптоПро».

Установка «КриптоПро CSP» на Linux

Вам необходимо воспользоваться любым из способов:

• При помощи терминала

• При помощи пользовательского интерфейса

• Загрузить архив с дистрибутивом «КриптоПро CSP» с сайта разработчика;
• После завершения разархивирования перейти в распакованную папку;
• Найти в папке файл install_gui.sh, нажать на него ПКМ – «Свойства»;
• В открывшемся окне перейти на вкладку «Права» и выставить галки напротив «Выполнять» или аналогичного пункта, который разрешает запуск файла как приложения. После закрыть окно свойств;
• Нажать по файлу дважды ЛКМ для запуска установки. Откроется пользовательский интерфейс для установки. Если после открытия файла не появляется интерфейс установки «КриптоПро», воспользоваться установкой через терминал; В окне установки навигация выполняется только при помощи клавиатуры: для установки/снятия метки выбора нужно использовать кнопку «Пробел»; для перемещения между разными списками выбора (например, между списком и кнопками «далее/назад») нужно использовать кнопки стрелок влево/вправо; для подтверждения выбора нажать Enter.
• для установки/снятия метки выбора нужно использовать кнопку «Пробел»;
• для перемещения между разными списками выбора (например, между списком и кнопками «далее/назад») нужно использовать кнопки стрелок влево/вправо;
• для подтверждения выбора нажать Enter.
• В окне установки выбрать Next;
• Выбрать необходимые для установки пакеты и выбрать Next и Install:
• Дождаться завершения установки (интерфейс может закрыться и процесс установки будет отображаться в терминале);
• Ввести серийный номер, выбрав соответствующий пункт интерфейса. Пункт необязателен при установке. В дальнейшем ввести серийный номер можно при помощи команды: /opt/cprocsp/sbin/amd64/cpconfig -license -set <серийный_номер>
• Выбрать Exit.

ПАК Соболь 3 — это электронный замок. Представляет собой плату, которая вставляется в сервер или рабочую станцию. Безопасность — нашё всё. Ставится сей продукт не по желанию админа, а если есть такие требования. Производитель: ООО “Код Безопасности”. Поставим на сервер HPE Proliant DL360 Gen10. СсылкиЛистовка Соболь 3: Sobol-R3_Listovka_2018_WEB. pdfЗачем нужен

• Защита информации от несанкционированного доступа.
• Контроль целостности компонентов ИС.
• Запрет загрузки ОС с внешних носителей.
• Защита конфиденциальной информации и гостайны в соответствии с требованиями нормативных документов.
• Повышение класса защиты СКЗИ.

• Контроль целостности системного реестра Windows, аппаратной конфигурации компьютера и файлов до загрузки ОС.
• Усиленная (чем усиленная? – масло масляное) двухфакторная аутентификация с помощью современных персональных электронных идентификаторов (если считать ключ от домофона современным электронным идентификатором).
• Простота установки, настройки и администрирования.
• Возможность программной инициализации без вскрытия системного блока.
• Аппаратный датчик случайных чисел, соответствующий требованиям ФСБ.

• PCI Express 57×80
• Mini PCI Express
• Mini PCI Express Half Size
• M.2 A-E

Размышления админаПри получении злоумышленником полного доступа к удалённой консоли сервера данный электронный замок не поможет. Достаточно переключиться в режим загрузки UEFI и Соболь не пашет – двухфакторка превращается в тыкву. Вроде бы у Соболя 4-й версии появилась возможность работы в UEFI, не смотрел что там. Обратил внимание на фразу “Простота администрирования”. Просто? Да, не сложно. Удобно? Нифига не удобно. Перезагрузился сервер — езжай в ЦОД. Нет нормальных средств удалённой двухфакторной аутентификации. Контроль целостности реестра — сомнительная штука. Да, контролирует. Винда обновилась — поездка в ЦОД. Винду вообще небезопасно оставлять без обновлений, а Соболь этим обновлениям мешает. Случайная перезагрузка в результате сбоя ПО — поездка в ЦОД. Да, есть способы не ездить в ЦОД, но тогда смысл двухфакторки теряется. Ну, или сервер под столом держать. Комплектация

Внешний видОдна сторона. На плате есть джамперы, они нам потом понадобятся. Джамперы в плоскости платы не влияют на работу, влияют только те, что стоят перпендикулярно плоскости платы. Один джампер J0 установлен – видимо, Соболь уже стоял где-то. По идее он должен определить, что изменилась аппаратная часть и не дать работать, проверим это при установке.

Вид на разъём.

УстановкаУстанавливаем в сервер.

Подключаем внешний считыватель для iButton.

Включаем сервер. Входим в BIOS и переключаем режим загрузки на Legacy.

Сохраняемся — перезагружаем сервер.

Обнаружено новое устройство. Рекомендую ребутнуться второй раз. Для того чтобы Соболь сработал, система должна попытаться загрузиться. У меня сейчас на диске ничего нет, тогда монтирую ISO образ с инсталлятором ОС.

Соболь перехватывает управление.

И не разрешает загрузку.

Потому что он раньше на другом сервере стоял. Работает защита. Выключаем всё. Разбираем всё. Добираемся до джамперов на Соболе.

Снимаем джампер J0. Собираем всё.

Соболь без джампера J0 переходит в режим инициализации. Выбираем “Инициализация платы”.

Открывается окно “Общие параметры системы”. Можно установить необходимые параметры. Нажимаем Esc.

Открывается окно “Контроль целостности”. Можно установить необходимые параметры. Нажимаем Esc.

Ждём. Соболь любит тестировать датчик случайных чисел.

Производится первичная регистрация администратора.

Указываем пароль. Enter.

Повторяем пароль. Enter.

Нас просят воткнуть ключ. Втыкаем первый из того что был в комплекте.

Предупреждение, что ключ отформатируется.

Вы уверены? Винду напоминает.

Создать резервную копию идентификатора администратора? Конечно, у нас же два ключа. Вынимаем первый ключ. Выбираем Да.

Втыкаем второй ключ.

Нам говорят, чтобы мы перемычку вернули обратно. Сервер выключается. Добираемся до платы соболя и ставим обратно джампер на J0.

Грузимся в Legacy. Соболь перехватывает управление.

Нас просят воткнуть ключ. Втыкаем.

Нажимаем любую клавишу.

Выбираем “Загрузка операционной системы”. Enter.

И вот теперь загрузка ОС началась. И так будет каждый раз при перезагрузке сервера.

Возможности ПАК Соболь

• Идентификация и аутентификация пользователей по электронным идентификаторам
  Идентификация и аутентификация пользователей обеспечивается до загрузки операционной системы при помощи ключей iButton, iKey2032, eToken PRO, eToken PRO (Java), смарт-карт eToken PRO (через USB-считыватель Athena ASEDrive IIIe USB V2), Rutoken, Rutoken RF.
• Контроль целостности программной и аппаратной среды
  Электронный замок «Соболь» контролирует неизменность аппаратной конфигурации компьютера (PCI-устройств, ACPI, SMBIOS и оперативной памяти), BIOS, файлов ОС и реестра Windows, прикладных программ.
• Обеспечение доверенной загрузки
  ПАК Соболь обеспечивается запрет загрузки ОС с внешних носителей (USB, FDD, DVD/CD-ROM, LPT, SCSI-порты и др.), что гарантирует загрузку штатной доверенной операционной системы.
• Регистрация попыток доступа
  Электронный замок «Соболь» осуществляет ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти.
• Аппаратный ДСЧ
  Сертифицированный аппаратный датчик случайных чисел может быть использован в СКЗИ для генерации надежных ключей шифрования
• Сторожевой таймер
  Дополнительный модуль сторожевого таймера блокирует доступ к компьютеру при обнаружении попытки отключения электронного замка «Соболь».
• Защита от подбора пароля
• Использование ПАК Соболь в Secret Net и АПКШ «Континент»

Технические характеристики

ViPNet Client for Windows

ViPNet Client for Linux

Поддержка и совместимость

Поддерживаемые операционные системы

Windows 8 (32/64-разрядная). Windows 8. 1 (32/64-разрядная). Windows Server 2008 R2 (64-разрядная). Windows Server 2012 (64-разрядная). Windows Server 2012 R2 (64-разрядная)*. Windows 10 (32/64 разрядная). Windows Server 2016 (64-разрядная)*. * Операционная система отсутствует в формуляре на продукт, но технически поддерживается. Архитектура x86:

Astra Linux SE «Смоленск» 1. 4 (x86_64), ядро 3. 0-16-generic;Astra Linux SE «Смоленск» 1. 5 (x86_64), ядро 4. 0-23-generic;Debian 8. 7 (x86_64), ядро 3. 0-4, среда рабочего стола GNOME 3;Ubuntu 16. 04 (x86_64), ядро 4. 0-21-generic — 4. 0-112-generic;Альт Линукс СПТ 7. 0 (x86_64), ядро 3. 59-std-def-alt1. M70C. 5 — 4. 127-std-def-alt0. M70C. 1;Альт Рабочая станция 8 (x86_64), ядро 4. 34-std-def-alt0. M80H. 1;Альт 8 СП (x86_64), ядро 4. 116 -std-def-alt0. M80C. 1;ГосЛинукс 6. 6 IC4-RTM (x86_64), ядро 3. 104-1. el6;ЛОТОС (x86_64), ядро 3. 43;
РОСА «КОБАЛЬТ» 7. 3 (x86_64), ядро 3. 0-514. el7. Поддерживаемые виртуальные среды

Microsoft Hyper-V. VMWare Workstation. VMWare vSphere ESXi. VMware Workstation 12 Pro 12. х;VMware Player 12. х;VMware vSphere ESX 6. 0;VirtualBox 5. Поддерживаемые каналы связи

Поддерживаются любые каналы связи, используемые в IP-сетях, в том числе:Ethernet. беспроводные: мобильные, Wi-Fi. Функционал узла защищенной сети ViPNet

Фильтрация трафика (сетевой экран)

Есть

Есть

Шифрование

ГОСТ 28147-89 на ключах длиной 256 бит

Встроенные сервисы и расширения

Поддержка приложения ViPNet Connect для защищенной коммуникации

Есть

Нет

Поддержка приложения ViPNet Деловая почта для защищенного обмена электронными письмами

Есть

Нет

Контроль сетевой активности приложений и компонентов операционной системы

Есть

Нет

Варианты поставки

Программный комплекс ViPNet Client 4 поставляется в трех вариантах исполнения, соответствующих классам защищенности от КС1 до КС3.

ViPNet Client имеет полный перечень сертификатов ФСБи ФСТЭК России

Сертификаты ПАК Соболь

ПАК Соболь имеет сертификаты соответствия ФСТЭК и ФСБ России и может использоваться для

• обеспечения 1 класса защищенности персональных данных в ИСПДн,
• обеспечения 1 уровня защищенности в государственных и муниципальных информационных системах и в автоматизированных системах управления техническими процессами и производством на критически важных объектах,
• защиты информации, содержащей сведения, составляющие государственную тайну, в автоматизированных систем до класса 1Б включительно.

Согласно сертификатам соответствия ФСБ России №СФ/527–2623 от 30. 2015 (Соболь версии 3. 0) и средство криптографической защиты информации Программно-аппаратный комплекс «Соболь» соответствует требованиям к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и может использования для защиты информации, содержащей сведения, составляющие государственную тайну.

Согласно сертификату соответствия ФСТЭК России №1967 действительному до 07. 2018, Программно-аппаратный комплекс «Соболь», версия 3. 0 проверен на отсутствие НДВ по 2 классу.

Заключение Министерства обороны РФ Соболь 8 УГШ МО от 07. 2011 №317/9/1053 подтверждает соответствия соответствие ПАК «Соболь» версии 3. 0 руководящим документам по 2 уровню контроля на отсутствие НДВ и возможность использования в автоматизированных системах до класса защищенности 1Б включительно.

Электронный замок ПАК «СОБОЛЬ»

Электронный замок (ПАК) «Соболь» – представляет собой программно-аппаратное средство, предназначенное для

• защиты компьютера от несанкционированного доступа и обеспечения доверенной загрузки,
• создания доверенной программной среды для повышения класса защиты СКЗИ (например, КриптоПро CSP).

Программно-аппаратный комплекс «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.

Поддерживаемые ОС

Электронный замок (ПАК) Соболь поддерживается Windows и Linux/Unix операционные системы:

ПАК Соболь поддерживает работу с файловыми системами NTFS5, NTFS, FAT 32, FAT 16, UFS, UFS2, EXT4, EXT3, EXT2.