Завершены испытания на совместимость продуктов “Криптопро Застава” и “Актив”

Застава — Crossbeam RT

Компания ЭЛВИС-ПЛЮС и совместное предприятие Crossbeam RT вывели осенью 2013 года на российский рынок решение для обеспечения безопасности сети, которое сочетает линейку продуктов информационной безопасности «ЗАСТАВА» на базе программно-аппаратной платформы Crossbeam RT X-серии. «ЗАСТАВА-Crossbeam RT» предназначено для защиты сетей крупных предприятий и организаций.

Отличительная особенность решения – широкое использование ключевых возможностей программно-аппаратной платформы Crossbeam RT X-серии:

• повышенная производительность за счёт объединения вычислительных модулей в единую виртуальную платформу (одну или несколько в рамках одной аппаратной платформы);
• объединение нескольких устройств обеспечения информационной безопасности на одной аппаратной платформе;
• повышенная отказоустойчивость за счет применения модульной структуры (дублирование модулей питания и управления платформой, сетевых и вычислительных модулей).
• Продукт «ЗАСТАВА-Crossbeam RT» состоит из VPN-шлюза, который реализует шифрование на алгоритме ГОСТ, и межсетевого экрана. За счёт высокой производительности платформы Crossbeam RT пропускная способность достигает 10 Гбит/сек при шифровании трафика.

Продукт реализует технологии L3VPN и L2VPN. Первая обеспечивает взаимодействие шлюзов на уровне IP-сетей. Вторая технология позволяет объединить на канальном уровне территориально распределённые площадки, а также упростить процедуры конфигурации устройств шифрования и маршрутизации трафика.

Продукт «ЗАСТАВА-Crossbeam RT» обладает возможностью централизованного управления и администрирования. В настоящий момент поддерживается управление более 8 000 узлами в режиме реального времени. Администраторы систем имеют возможность настраивать гибкие правила по работе с зонами, создавать политики межсетевого экранирования для определённых пользователей, а также управлять доступом пользователей к корпоративным информационным ресурсам, используя удобный графический интерфейс.

Пакетные решения с продуктом

15 продуктов

от 500 р.

от 1 дня

Как защитить ИТ инфраструтуру и какие бывают уровни безопасности.

10 продуктов

от 500 р.

от 1 дня

Защита беспроводных сетей – важный инструмент в работе любых организаций, независимо от их профиля и размера. Узнайте, какие решение помогут избежать киберугроз.

24 продукта

от 500 руб.

от 1 часа

Консалтинг и соответствие требованиям ИБ позволит выполнить проверку всех систем организации и составить чёткую стратегию по повышению уровня безопасности и снижению рисков.

Тестовые испытания ПК «VPN/FW «Застава» в ОС Tizen

21 сентября 2016 года компания ЭЛВИС-ПЛЮС сообщила о завершении тестовых испытаний ПК «VPN/FW «ЗАСТАВА» в программной среде ОС Tizen.

Создание и модернизация действующих защищенных корпоративных и ведомственных сетей вплоть до федерального, уровня – одна из задач, которую ЭЛВИС-ПЛЮС обозначила для себя. Наиболее трудный аспект при этом – обеспечение безопасности мобильных рабочих мест, использование которых создает дополнительные угрозы и риски для компаний.

Взаимодействие с “Заставой” в сети, (2014)

По мнению сотрудников компании, использование ПК «VPN/FW «ЗАСТАВА» в окружении доверенной операционной системы Tizen позволяет повысить уровень безопасности телекоммуникационной инфраструктуры и создать основу для разработки СКЗИ самого высокого класса защиты.

Компания сообщила, что в ходе тестирования решения подтвердилась совместимость указанных программных продуктов. Основные свойства продуктов семейства «ЗАСТАВА» сохранены при функционировании в ОС Tizen.

{{цитата|автор=
Андрей Тихонов, президент ассоциации «Тайзен. Ру»Одна из важнейших целей ассоциации – глобальное развитие Tizen для всех сегментов и сфер применения: от ИТ-инфраструктуры до мобильных устройств и интернета вещей. Для нас очень важным является участие в проекте ведущих системных интеграторов и разработчиков систем и средств безопасности, на которых основываются критически важные вещи. Новые цифровые сервисы возникают только там и тогда, где и когда выполняются два ключевых условия: связь и безопасность. Отличительной особенностью ОС Tizen является интегрированная безопасность, при которой средства защиты, реализующие различные криптографические функции, являются встроенными в операционную систему на низком уровне.
Появление совместного c АО «ЭЛВИС-ПЛЮС» продукта является еще одним подтверждением перспективности и востребованности решений, основанных на использовании ОС Tizen.

Контакты

Подробную
информацию об условиях приобретения ЭЦП для работников организаций, перечне документов, а также о
стоимости уточняйте у специалистов Удостоверяющего центра СберКорус.

БЦ «Поклонка Place»ул. Поклонная, д. 3, стр. 4,
12 этажПН – ПТ 9:00-18:00тел.: 8 800 100-8-812

БЦ «Выборгская застава»Большой Сампсониевский
пр., д.68, лит. Н, пом. 1Н ПН – ПТ 9:00-18:00тел.: 8 800 100-8-812

Как оформить и получить ЭЦП от ФНС

• Купить токен для ЭЦП от ФНС — специальный USB носитель для записи сертификата проверки и
  ключа электронной подписи, сертифицированный ФСТЭК или ФСБ России.
• Купить лицензию на право использования СКЗИ «КриптоПро CSP», чтобы затем установить ПО для
  работы с КЭП от ФНС.

Обратиться в Удостоверяющий центр ФНС

Квалифицированные сертификаты для руководителей ЮЛ, ИП и нотариусов выпускают территориальные
налоговые органы по предварительной записи. Также можно обратиться к доверенным лицам УЦ ФНС (например, в ПАО Сбербанк).

Пройти идентификацию

Заявителю
необходимо лично посетить госорган, предоставить заявление на выпуск КЭП, паспорт, СНИЛС и
пройти процедуру идентификации.

Получить электронную подпись

Квалифицированный сертификат записывают на предоставленный заявителем токен.

2017

Совместимость с «Ассистентом» от САФИБ

Специалистами компаний САФИБ и «Элвис-Плюс» в ноябре 2017 года на основе проведенных тестовых испытаний подтверждена совместимость программного комплекса удаленного мониторинга и управления «Ассистент» со встроенным средством защиты удаленного доступа с продуктом сетевой безопасности VPN/FW «Застава», обеспечивающим защиту корпоративных информационных систем на сетевом уровне с использованием технологий VPN и распределенного межсетевого экранирования. Результаты проведенных исследований подтвердили корректность совместной работы продуктов компаний, свидетельством которой стал выпуск сертификата совместимости.

«Ассистент» — это многофункциональный инструмент, позволяющий повысить удобство дистанционной работы с компьютерной техникой и эффективность оказания технической поддержки при решении проблем, возникающих у пользователей. Система удаленного мониторинга и управления «Ассистент» предназначена для организации безопасного удаленного доступа, управления и администрирования компьютерной техники и серверного оборудования внутри изолированной защищенной локальной сети или через интернет.

VPN/FW «Застава» — это комплекс программных продуктов, обеспечивающих защиту корпоративных информационных систем на сетевом уровне с помощью технологий виртуальных частных сетей (Virtual Private Networks — VPN) и распределенного межсетевого экранирования (МЭ) на основе интернет-протоколов IPsес/IКЕ. Продукты VPN/FW «Застава» работают на различных аппаратных платформах, под управлением практически всех популярных операционных систем.

Ожидается, что технологический союз САФИБ и «Элвис-Плюс» позволит российским компаниям обеспечить реализацию мер по защите информации, определенных документами регуляторов в области защиты информации.

«Элвис-Плюс» выпустила «Аппаратно-программный комплекс «ЗАСТАВА-ТК»

11 июля 2017 года компания ЭЛВИС-ПЛЮС сообщила о разработке и сертификации в ФСБ России (Сертифицирован в ФСБ России по требованиям к СКЗИ по классу КС3. Сертификат № СФ/124-3150 от 30.06.2017 г) СКЗИ «Аппаратно-программный комплекс «ЗАСТАВА-ТК». Это аппаратный «тонкий клиент», сертифицированный по классу КС3. Обеспечивает защищенный доступ к корпоративным ресурсам и электронную подпись.

Согласно заявлению разработчиков, информационная система, созданная с использованием АПК, устойчива к DDoS-атакам, позволяет реализовать бизнес-логику для случая временного отсутствия связи с возможностью последующей автоматической синхронизации результатов с ЦОД при ее появлении.

Основные свойства релиза

• готовность при развертывании,
• отсутствие проблем несанкционированной установки нештатного ПО и подключения внешних устройств;
• возможность оперативно и централизованно отслеживать и анализировать действия пользователя, не загружая каналы связи событийным трафиком.

По результатам испытаний продукт получил сертификат соответствия ФСБ России № СФ/124-3150 от 30.06.2017г. Он удостоверяет, соответствие изделия требованиям к средствам криптографической защиты информации, не содержащей сведений, составляющих государственную тайну, и требованиям к средствам электронной подписи класса КС3.

2020

Совместимость «Застава-Клиент «VPN/FW «Застава, версия 6» с электронными идентификаторами и смарт-картами Rutoken

16 декабря 2020 года компания «Элвис-Плюс», отечественный разработчик программных и аппаратных средств защиты информации и один из системных интеграторов в сфере информационной безопасности, сообщила, что совместно с «Актив», российским разработчиком средств информационной безопасности, производителем электронных идентификаторов, электронных ключей и решений для защиты программного обеспечения, провели серию тестовых испытаний на совместимость своих продуктов.

На основании полученных результатов выпущен сертификат совместимости, подтверждающий корректную работу программного комплекса «ЗАСТАВА-Клиент «VPN/FW «ЗАСТАВА, версия 6» с электронными идентификаторами и смарт-картами Рутокен.

В исследовании были использованы следующие устройства: Рутокен ЭЦП 2.0 (micro), Рутокен ЭЦП 2.0 2100 (micro/Type C), Рутокен ЭЦП 2.0 3000 (micro/Type-C), Рутокен ЭЦП 2.0 Flash, Рутокен Lite (micro), Рутокен S (micro), Рутокен 2151 и смарт-карт Рутокен ЭЦП 2.0 2100, Рутокен 2151. Тестирование проводилось в операционной среде Windows.

Разработчики также подтвердили корректность совместного функционирования программного комплекса «ЗАСТАВА-Клиент «VPN/FW «ЗАСТАВА, версия 6» и интеллектуального устройства Рутокен ЭЦП 2.0 Flash в образе операционной среды Astra Linux Portable на основе Astra Linux SE 1.6, размещенной во внутренней флеш-памяти токена.

Павел Анфимов, Руководитель отдела продуктов и интеграций Рутокен, Актив

Павел Власов, Директор Департамента специальных работ, ЭЛВИС-ПЛЮС

Совместимость с «Ред ОС»

В рамках технологического партнерства компании «РЕД СОФТ» и «Элвис-Плюс» провели тестирование на совместимость своих продуктов. Разработчики подтвердили корректность работы программного комплекса «ЗАСТАВА-Клиент» (производства «ЭЛВИС-ПЛЮС») с операционной системой РЕД ОС (производства РЕД СОФТ). Об этом компания «Ред Софт» сообщила 11 декабря 2020 года. Результаты испытаний отражены в сертификате совместимости.

Сотвестимость “Застава-Клиент” VPN/FW “Застава” версии 6 с USB-токенами и смарт-картами JaCarta

Компании “Аладдин Р.Д.” и Элвис-Плюс провели серию тестовых испытаний на совместимость своих продуктов. Об этом “Аладдин Р.Д.” сообщил 1 октября 2020 года.

На основании полученных результатов выпущен сертификат совместимости, подтверждающий корректную работу USB-токенов и смарт-карт JaCarta от “Аладдин Р.Д.” с программным комплексом “ЗАСТАВА-Клиент” VPN/FW “ЗАСТАВА”, версия 6″ от Элвис-Плюс. Подробнее здесь.

В составе защищенного решения для удаленного доступа к объектам КИИ

12 мая 2020 года компания ЭЛВИС-ПЛЮС представила защищенное решение для удаленного доступа к объектам критической информационной инфраструктуры.

По информации компании, для промышленных предприятий, энергетических компаний и иных организаций, которые согласно Федеральному закону №187-ФЗ относятся к субъектам критической информационной инфраструктуры (КИИ), переход на удаленную работу представляет значительные трудности. При организации удаленного доступа к технологической сети объекта КИИ необходимо выполнить все требования нормативных документов ФСТЭК России и ФСБ России, обеспечить полный контроль действий пользователей и полностью исключить риски несанкционированного доступа к критичным системам управления. Для объектов КИИ использование в качестве удаленных рабочих мест домашних компьютеров и собственных мобильных устройств сотрудников не представляется возможным из-за высоких рисков несанкционированного доступа и распространения вредоносного кода.

«Застава-ТК»

ЭЛВИС-ПЛЮС предлагает комплексное и максимально защищенное решение для удаленного доступа к объектам КИИ, которое включает в себя:

• аппаратный тонкий клиент АПК «ЗАСТАВА-ТК», осуществляющий подключение к сети объекта КИИ с использованием терминального доступа и VDI с высокой степенью защищённости;
• смарт-карты/USB-токены ESMART Token ГОСТ производства компании ISBC для двухфакторной аутентификации и хранения ключей/сертификатов пользователей;
• систему контроля действий администраторов и пользователей на основе решений CyberArk Privileged Access Security Solution или IT-Bastion СКДПУ, которая обеспечивает полный контроль и мониторинг удаленных подключений при выполнении задач по администрированию и контролю функционирования объектов КИИ.

ЗАСТАВА-ТК позволяет удаленно подключиться к виртуальной рабочей среде на серверных фермах или к стандартному компьютеру сотрудника на объекте КИИ, сохранив при этом всю привычную корпоративную информационную среду. Использование АПК «ЗАСТАВА-ТК» позволяет исключить все риски, связанные с нарушением защищенности технологической сети объектов КИИ, даже при наличии скомпрометированных устройств в домашней сети сотрудников, которые могут стать плацдармом для атаки злоумышленников.

Всем сотрудникам выдаются ключи и сертификаты на USB-токенах ESMART Token ГОСТ для установления защищенного шифрованного удаленного подключения сотрудников к технологической сети объекта КИИ. При этом решение не требует локальных настроек при развертывании и обеспечивает надежную двухфакторную аутентификацию пользователей с помощью смарт-карт/USB-токенов ESMART Token ГОСТ. АПК «ЗАСТАВА-ТК» не позволяет подключать к внешним портам носители информации, что гарантирует отсутствие возможности случайного или намеренного внесения вредоносного кода в корпоративную сеть, а также исключает копирование конфиденциальной информации на съемные носители.

Настройки, изменение политики безопасности, обновление ключей и сертификатов, а также обновление ПО АПК «ЗАСТАВА-ТК» производятся централизованно средствами ЗАСТАВА-Управление.

АПК «ЗАСТАВА-ТК» работает на базе сертифицированных ФСТЭК России и ФСБ России операционных систем Альт Линукс СПТ 7.0/Альт 8 СП и создает полностью замкнутую защищенную рабочую среду с возможностью VPN-подключения к корпоративной сети.

АПК «ЗАСТАВА-ТК» имеет сертификат ФСБ России на СКЗИ по классу КС3 и обеспечивает защиту трафика за счет шифрования IP-пакетов на основе протоколов IPsec AH и/или IPsec ESP в соответствии с ГОСТ 28147-89.

Входящее в состав АПК «ЗАСТАВА-ТК» ПО «ЗАСТАВА-Клиент» выполняет фильтрацию трафика и сертифицировано ФСТЭК России как МЭ класса В по уровню 4.

Применение АПК «ЗАСТАВА-ТК» в комплексе с USB-токенами ESMART Token ГОСТ и решением по контролю действий привилегированных пользователей с использованием средств CyberArk Privileged Access Security Solution или IT-Bastion СКДПУ позволяет не только обеспечить выполнение требований Приказа ФСТЭК России от 25.12.2017 №239 о запрете непосредственного (прямого) доступа к программным и программно-аппаратным средствам значимых объектов КИИ для управления (обновления) лицами, не являющимися работниками субъекта КИИ, но и реализовать механизмы контроля (наблюдения за выполняемыми операциями в режиме реального времени), регистрации (фиксации вводимых команд, видеозаписи сессий администрирования), анализа действий (возможности проведения ретроспективного анализа и расследования инцидентов ИБ) при выполнении удаленного администрирования и управления (контроля) объектами КИИ как работниками внешних сервисных организаций, так и администраторами субъектов КИИ.

АПК «ЗАСТАВА-ТК» обеспечивает необходимый уровень информационной безопасности, соответствующий требованиям, предъявляемым к средствам защиты информации для обеспечения безопасности объектов КИИ первой категории значимости, государственных информационных систем (ГИС) первого класса защищенности (К1), а также информационных систем персональных данных (ИСПДн) УЗ1.

Совместное решение «Элвис-Плюс» и ISBC на базе продуктов «Застава» и ESMART Token ГОСТ

27 марта 2020 года компании «Элвис-Плюс» и ISBC представили решение для обеспечения безопасной удаленной работы сотрудников.

Возможность оперативного перевода сотрудников на удаленную работу является единственным способом обеспечения непрерывности функционирования бизнеса и государственных структур. Системы информационной безопасности, применяемые для удаленной работы, должны гарантировать всестороннюю безопасность защищаемой информации и быть максимально удобными и незаметными, «прозрачными» для пользователей и приложений.

Совместное решение ЭЛВИС-ПЛЮС и ISBC на базе линейки продуктов «ЗАСТАВА» и смарт-карт/USB-токенов ESMART Token ГОСТ в полной мере соответствует предъявляемым требованиям к защите информации при удаленной работе. Решение предполагает установку в центральном офисе компании отказоустойчивого кластера шлюзов СКЗИ «ЗАСТАВА» и центра управления «ЗАСТАВА», которые могут быть поставлены также в виде виртуальных машин. Всем сотрудникам выдаются ключи и сертификаты на USB-токенах ESMART Token ГОСТ для установления защищенного шифрованного удаленного подключения сотрудников к корпоративной сети.

ЭЛВИС-ПЛЮС и ISBC предлагают несколько вариантов решений для защиты удаленного рабочего места:

• Установка пакета СКЗИ ПО «ЗАСТАВА-Клиент» на собственный либо служебный ноутбук/компьютер сотрудника. Пакет содержит дистрибутив и необходимые для подключения настройки, разворачивается `в один клик`.
• Использование аппаратно–программного комплекса «ЗАСТАВА-ТК» в качестве готового решения для удаленного рабочего места. ЗАСТАВА-ТК позволяет максимально быстро развернуть удаленные рабочие места и подключиться к корпоративной сети без установки дополнительного ПО на удаленные компьютеры сотрудников. При использовании тонкого клиента ЗАСТАВА-ТК обеспечивается максимальный уровень информационной безопасности, соответствующий требованиям к государственным информационным системам ГИС К1, а также ИСПДн УЗ1 и СКЗИ уровня КС3.

Линейка продуктов «ЗАСТАВА» имеет все необходимые сертификаты ФСБ России и ФСТЭК России, что позволяет использовать их для организации удаленной работы государственных структур и крупных корпораций.

Компании ЭЛВИС-ПЛЮС и ISBC готовы обеспечить всем заказчикам создание безопасного удаленного доступа сотрудников «под ключ» в максимально сжатые сроки.

Популярные сравнения с КриптоПро CSP

Популярные сравнения с КриптоПро CSP

Безопасный веб-серфинг без снижения скорости соединения.

Эффективное решение, которое позволяет организовать безопасную и надёжную онлайн среду для общения и совместной работы внутри компании.

KasperskySmall Office Security – это базовая защита для малого бизнеса.

Инструмент безопасности конечных точек, который устраняет различные типы угроз – вирусы, вредоносное ПО, программы-вымогатели, руткиты, черви и шпионское ПО.

Пакет безопасности, защищающий веб-сайты от хакеров, ботов и угроз, с плагинами для WordPress, OpenCart и Magento.

Решение для обеспечения безопасности корпоративной сети против вирусов, атак хакеров и спама.

Антивирусное ПО, помогающее защитить компьютер от троянов, баннеров, кейлоггеров, дозвонщиков, вредоносных программ.

PT Sandbox закрывает все основные векторы проникновения вредоносных файлов в вашу сеть.

2011

Застава 6

4 октября 2013 года компания «Элвис-Плюс» представила VPN/FW «Застава» версии 6 – первый отечественный продукт, полностью на основе протокола IKEv2 (один из набора протоколов IPsec, отвечающий за безопасную передачу криптографических ключей между сторонами VPN-соединения). Благодаря тому, что новая версия базируется на международном стандарте IKEv2, повысилась производительность и безопасность работы системы.

Шифрование в версии

IKEv2 обладает несколькими ключевыми преимуществами по сравнению с IKEv1 (на котором построена «Застава 5.3»):

• допускается более гибкое использование криптоалгоритмов;
• улучшена защита от DoS-атак;
• снижается нагрузка на сетевую инфраструктуру и аппаратное обеспечение;
• выросла надежность работы протокола в условиях, когда велика вероятность потери сетевых пакетов;
• возможно использование расширений IKEv2 (например, QCD и IKE Fragmentation).

Существенно переработана система централизованного управления продуктами «Застава». Одно из ключевых преимуществ обновленной системы централизованного управления «Застава 6» – лучшая масштабируемость, которая достигается благодаря использованию доменной системы. Это особенно актуально для масштабных (нескольких тысяч агентов) и территориально распределенных сетей. Такая система позволяет объединить агентов «Застава» в домены по различным признакам (например, географическому или по принадлежности к определенному подразделению) и задать параметры работы для каждого домена в отдельности. «Застава-Управление» версии 6 также позволит назначать администраторов, которые будут обладать полномочиями только в своем домене, и передать часть процессов управления сертификатами, хранения ключей и протоколирования на уровень домена.

Новая версия полностью адаптирована к современным ОС (Windows 7, Windows 8, Windows Server 2008, ALT Linux 6.0 — как в 32-, так и в 64-разрядном исполнении), прошла этап предварительного тестирования на этих платформах. Обеспечена полная совместимость с предыдущими версиями ПО «Застава».

Основные отличия

По сравнению с предыдущей версией улучшены инструменты анализа и протоколирования:

• усовершенствованы параметры протоколирования для лучшего анализа возникающих проблем (формат и детальность сообщения;
• работа с несколькими журналами одновременно;
• приоритет локальных настроек протоколирования, что уменьшает нагрузку оператора «Застава-Управление» при разрешении проблем).

Журнал событий может быть передан в SIEM-системы различных производителей для дальнейшего анализа.

Расширены возможности работы с текущими соединениями:

• просмотр параметров активных IKE и ESP соединений,
• удаление активных соединений,
• сортировка и выборка активных соединений.

При использовании алгоритма шифрования ГОСТ масштабирование позволяет получить пропускную способность до 10 Гбит/с.

Тесты функций межсетевого экранирования комплекса «VPN/FW «ЗАСТАВА» версия 5

22 декабря 2011 года НР совместно с компанией «ЭЛВИС-ПЛЮС» объявили о завершении очередного тестирования программного комплекса «VPN/FW «ЗАСТАВА» версия 5.3», реализующего функции межсетевого экранирования и криптографической защиты канала связи на основе протокола IPSec.

Целью совместной работы «ЭЛВИС-ПЛЮС» и российского представительства компании Hewlett-Packard является подбор серверной конфигурации, позволяющей достичь высокой производительности комплекса криптографической защиты информации «VPN/FW «ЗАСТАВА» версия 5.3».

На очередном этапе тестирования определялась скорость передачи данных по защищенному каналу связи, организованному с использованием программного комплекса «VPN/FW «ЗАСТАВА» версия 5.3», установленного на серверы HP ProLiant с 10-гигабитными сетевыми картами. Наличие портов 10Гб Ethernet позволило решить проблему ограниченности сетевых соединений. В ходе тестирования определялась пропускная способность шифрованного канала, устанавливалась ее зависимость от характеристик процессоров и количества используемых ядер.

Тестирование проводилось в удаленном режиме на стенде, расположенном в центральном офисе компании HP в Москве (Россия). Для тестирования использовались серверы HP ProLiant DL380 G7 под управлением ОС AltLinux, оснащенные шестиядерными процессорами Intel® Xeon® X5660 (2.80 ГГц) и 10-гигабитными сетевыми картами. В ходе тестирования определялась производительность системы в режиме межсетевого экрана с шифрованием трафика в соответствии с алгоритмом ГОСТ 28147-89, а также, с контролем целостности пакетов посредством вычисления значения хэш-функции по ГОСТ Р 34.11-94.

При тестировании системы в режиме «Межсетевой экран» без шифрования передаваемого трафика пропускная способность канала передачи данных составила 9800 Мбит/сек.

При шифровании трафика по алгоритму ГОСТ 28147-89 с использованием криптоядра Crypto Pro CSP 3.6 средняя пропускная способность защищенного канала передачи данных составила 1740 Мбит/сек, максимальная доходила до 2260 Мбит/сек.

Загруженность процессоров в ходе тестов с шифрованием трафика была близка к 100%. Загруженность процессорных ядер в ходе тестов была равномерной, при этом, производительность системы линейно зависела от числа задействованных процессорных ядер.

Показатели производительности программного комплекса «VPN/FW «ЗАСТАВА» версия 5.3» на серверах HP ProLiant DL380 G7, зафиксированные во время тестирования, признаны соответствующими требованиям, предъявляемым к системам безопасности такого уровня, включая системы защиты персональных данных.

Результаты тестирования могут быть использованы при планировании сопряженных с комплексом «VPN/FW «ЗАСТАВА» версия 5.3» систем, в том числе, сетей передачи данных и внешних подключений клиентского оборудования.

Следующим этапом работ является определение производительности «VPN/FW «ЗАСТАВА» версия 5.3» на серверах HP ProLiant с четырьмя многоядерными процессорами.

Тестовые испытания комплекса «VPN / FW ЗАСТАВА» версии 5

В апреле 2011 года было сообщено об успешном завершении тестовых испытаний программного комплекса «VPN / FW ЗАСТАВА» версии 5.3 со средствами аутентификации и хранения ключевой информации eToken. Полученный в результате тестирования сертификат подтвердил корректную работу и полную совместимость продуктов.

Сертификация комплекса «VPN/FW «ЗАСТАВА, версия 5

В марте 2011 года было объявлено о завершении сертификации программного комплекса «VPN/FW «ЗАСТАВА, версия 5.3» в системе сертификации средств криптографической защиты информации РОСС.RU.0001.030001 ФСБ России. Новая версия известного семейства программных продуктов ЗАСТАВА, имеющая обозначение «VPN/FW «ЗАСТАВА, версия 5.3», получило положительное заключение экспертной организации о соответствии требованиям ФСБ России к криптографическим (шифровальным) средствам по классам КС1 или КС2.

Преимуществом новой версии продукта является его соответствие, с одной стороны, международным стандартам обеспечения безопасного сетевого взаимодействия, а с другой – требованиям российского законодательства по использованию криптографических средств. Поэтому сертифицированная ФСБ версия продукта теперь предоставляет заказчикам готовое решение, позволяющее органично интегрировать продукт в любые информационные системы без необходимости получения дополнительных заключений о правильности встраивания и обеспечивающее полную легитимность его использования для защиты конфиденциальной информации, включая персональные данные.

Другим неоспоримым преимуществом является широчайший спектр вариантов исполнения и комплектации, на которые распространяется действие сертификата. Продукт работает под управлением операционных систем Solaris 10 для платформ ia32 и х64, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 для платформ ia32 и х64, ALT Linux 4.0 Server, ALT Linux 5.0 «Ковчег», иных программно-аппаратных сред, удовлетворяющих стандарту LSB 3.1 для платформы ia32.

Продукты ЗАСТАВА также сертифицированы ФСТЭК России по 2-му классу защищенности межсетевых экранов и 2-му уровню контроля отсутствия недекларированных возможностей, а также по 3-му классу защищенности межсетевых экранов и 3-му уровню контроля отсутствия недекларированных возможностей согласно РД Гостехкомиссии России. Продукты могут быть использованы (и рекомендованы некоторыми ведомствами) для защиты персональных данных до 1 категории включительно.

Вы можете купить всё необходимое для ЭЦП от
ФНС в СберКорус

Если нужно заказать ЭЦП в Федеральной налоговой службе для ИП, ЮЛ или
нотариуса, у нас можно приобрести комплект:

• Рутокен Lite или Рутокен ЭЦП 2.0. Они соответствуют установленным требованиям и
  сертифицированы ФСТЭК России и ФСБ России соответственно. Купить такие носители в виде
  флешки для ЭЦП в налоговой означает обеспечить конфиденциальность ключей электронной подписи
  пользователя и исключить риск их компрометации и использования без ведома владельца. Рутокен
  Lite 64 КБ необходим для генерации сертификата в ФНС или у его доверенных лиц. Рутокен ЭЦП
  2.0 – для дистанционного создания заявки и генерации сертификата.

• Лицензированное ПО «КриптоПро CSP» версии 5.0 для одного рабочего места. Это
  криптопровайдер нового поколения, который также соответствует установленным требованиям к
  использованию КЭП.

Закажите все необходимое для работы с ЭЦП от
ФНС

• Рутокен Lite 64 КБ с сертификатом подлинности ФСТЭК для УЦ ФНС
• Рутокен ЭЦП 2.0
• Лицензию на право использования СКЗИ «КриптоПро CSP» версии 5.0 на одном рабочем месте

Вы также можете приобрести

Для подписания документов от имени ЮЛ или ИП*

Для сдачи отчётности в ФНС, ПФР, ФСС и Росстат

Для обмена с контрагентами юридически значимыми документами

*на основании
машиночитаемой доверенности или квалифицированного сертификата, выданного по старым правилам (с ИНН
компании)

Зарубежные криптошлюзы

В данном разделе более подробно рассмотрим основных иностранных производителей средств защиты информации. Здесь представлены разнообразные варианты решений в программно-аппаратном исполнении.

Указанные ниже производители предлагают современному рынку UTM-решения, «комбайны» из разряда «всё-в-одном». Здесь и функциональность NGFW (Next Generation Firewall — межсетевой экран нового поколения), IDS/IPS (системы обнаружения и предотвращения вторжений), потоковый антивирус, и, конечно же, VPN-шлюз. Последний нас особенно интересует в контексте данного обзора.

Необходимо отметить, что зарубежные вендоры для своего VPN используют исключительно иностранные алгоритмы шифрования — DES, 3DES, AES. Соответственно, целевой заказчик таких решений (в части VPN) в России не является государственным учреждением или организацией, ведущей деятельность в соответствии с указанными начале обзора нормативными актами.

Поскольку на территории РФ рынок средств криптозащиты является регулируемым, зарубежным производителям необходимо официально ввезти свои продукты в соответствии со всеми действующими нормами и требованиями. В данном случае возможны два варианта:

• ввоз по упрощенной схеме (по нотификации, реестр доступен на сайте Евразийского экономического союза);
• ввоз по лицензии ФСБ России или Минпромторга России.

В связи с использованием иностранных криптографических алгоритмов в системе сертификации ФСБ России рассматриваемые в этом разделе решения не представлены.

Cisco VPN Solutions (Cisco ASA 5500-X, Cisco Firepower, Cisco ASAv, Cisco IOS VPN)

У международной компании Cisco Systems большое портфолио решений для построения VPN, которые отличаются не только особенностями реализации данной возможности, но и основной функциональностью. Например, Cisco ASA 5500-X или Cisco Firepower — это многофункциональные защитные шлюзы, среди функций которых есть и VPN, которая особенно эффективно может использоваться для Remote Access VPN. А вот маршрутизатор Cisco ISR/ASR/GSR/CSR, предназначенный преимущественно для подключения к интернету, обладает продвинутыми возможностями Site-to-Site VPN.

Cisco Adaptive Security Appliance (ASA) и Cisco Firepower — одни из основных продуктов в направлении информационной безопасности Cisco. Эти решения, а также виртуализированный защитный шлюз ASAv и маршрутизатор с функцией IOS VPN, позволяют реализовать взаимодействие по VPN с использованием IPSec, IPSec RA, SSL, SSL clientless, DTLS на скоростях от 100 Мбит/сек до 51 Гбит/сек и с поддержкой до 60000 удаленных пользователей.

Отличительными особенностями являются

• Резервирование. Возможны два варианта: отказоустойчивое решение (failover) и кластеризация (clustering), в том числе геораспределенная. В первом случае два устройства объединяются в одно логическое. Доступны два режима работы: active/standby и active/active. Во втором — возможно объединение до 16 устройств ASA (для модели 5585-Х) в одно логическое. Такая возможность позволяет существенно повысить производительность решения.
• Поддержка технологий DMVPN, GET VPN, Easy VPN.
• Оптимизация защиты мультимедиа-трафика.
• Поддержка функции per application VPN (дифференцированное шифрование трафика для различных приложений).
• Поддержка оценки соответствия удаленного узла (мобильного устройства) требованиям безопасности перед созданием VPN-туннеля.
• Встроенные дополнительные механизмы безопасности, например, встроенный центр сертификатов (CA).
• Наличие API для интеграции с внешними системами фильтрации и управления сервисами — Web-прокси, AAA и оценки соответствия.
• Интеграция с защитными возможностями многофункциональной защитной платформы Cisco ASA 5500-X, Cisco Firepower или маршрутизатором Cisco, МСЭ и NGFW, NGIPS, подсистемой защиты от вредоносного кода, подсистемой URL-фильтрации.

Рисунок 9. Cisco Firepower 9300

Управление Cisco ASA 5500-X, Cisco Firepower или Cisco ISR осуществляется локально посредством Cisco Adaptive Security Device Manager (ASDM), Cisco Firepower Device Manager или Cisco Security Device Manager, или централизованно с помощью Cisco Security Manager, Cisco Firepower Management Center или Cisco Defense Orchestrator.

Для подключения удаленных клиентских рабочих мест может использоваться локализованный на русский язык Cisco AnyConnect Secure Mobility Client или безклиентскую технологию Cisco SSL clientless, а также встроенные в Apple iOS и Android клиенты VPN.

Решения Cisco ASA 5500-X, Cisco Firepower и Cisco ISR обладают несколькими десятками различных действующих сертификатов соответствия ФСТЭК, в том числе № 3738, удостоверяющий, что ПАК соответствует требованиям к межсетевым экранам по классам А6, Б6, а также сертифицирован на отсутствие недокументированных возможностей. Совместно с компанией С-Терра СиЭсПи компания Cisco разработала модуль шифрования на базе российских алгоритмов шифрования (ГОСТ 28147-89 и др.) и сертифицировала его в ФСБ как СКЗИ по классам КС1/КС2. Этот модуль предназначен для маршрутизатора с интеграцией сервисов Cisco ISR, который может быть использован как платформа для запуска на ней и других VPN-решений. В частности, была проведена интеграция и испытания совместных решений Cisco ISR с решениями VipNet и TSS VPN.

Подробнее с информацией о Cisco ASA 5500-Х, Cisco Firepower, Cisco ISR можно ознакомиться на сайте производителя.

F5 Networks VPN Solutions

F5 Networks предлагает комплексные решения и автономные VPN-устройства. С 2016 года компания сделала акцент на комплексных решениях, и изолированные VPN-шлюзы постепенно перестают выпускаться.

Продукт F5 Access Policy Manager (APM) — это специальный модуль программного обеспечения, который включает в себя функциональные возможности VPN, а также множество различных функций, включая BIG-IP — полный 
прокси
 между
 пользователями 
и серверами 
приложений, обеспечивающий
 безопасность,
 оптимизацию
 трафика приложений 
и 
балансировку 
его
 нагрузки.

Клиент BIG-IP VPN использует протоколы TLS и DTLS (Datagram TLS), что позволяет работать чувствительным к задержке приложениям. Этот клиент доступен на всех распространенных настольных и мобильных платформах.

Решения BIG-IP функционируют на базе собственной операционной системы (ОС) F5 TMOS. Среди ее преимуществ можно отметить:

• Открытый API, который позволяет гибко управлять потоком трафика и увеличить производительность с помощью API Control.
• Контроль за трафиком производится с помощью F5-устройств, использующих специальный язык сценариев iRules.
• Шаблоны iApps, которые позволяют развертывать и управлять сетевыми услугами для конкретных приложений.

На сегодняшний день предложения компании F5 начинаются с модели BIG-IP 1600 и заканчиваются BIG-IP 11050, которая является их крупнейшим автономным VPN-устройством.

Самым большим решением на основе блейд-сервера является Viprion 4800. Оно поддерживает до 30000 SSL-транзакций.

Рисунок 10. F5 Viprion 4800

В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) продуктов F5 Networks не представлено.

Подробнее с информацией о продукции F5 Networks можно ознакомиться на сайте производителя.

NetScaler (Citrix Systems)

NetScaler — линейка продуктов сетевой безопасности от компании Citrix Systems. VPN-решения от Citrix встроены в продукт NetScaler Gateway. Шлюз NetScaler, как и все оборудование фирмы Citrix, штатно интегрируется во многие линейки продуктов компании.

NetScaler Gateway предлагает функциональные возможности SSL VPN, включая безопасный доступ к Citrix XenDesktop, XenApp, XenMobile, MS RDP, VMware horizon, а также web-приложениям и ресурсам внутри корпоративной сети. Также продукт предоставляет возможности безопасного сетевого доступа к любому серверу, наряду с анализом и определением устройства.

Citrix Gateway поддерживает как протокол TLS, так и DTLS, в зависимости от требований к трафику.

Самая младшая MPX-платформа продукта (5550) поддерживает до 1500 SSL-транзакций. Наиболее производительная (22120) — до 560000 SSL-транзакций.

Рисунок 11. Citrix NetScaler MPX-8005

В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) шлюзов Citrix NetScaler не представлено.

Подробнее с информацией о продукции Citrix можно ознакомиться на сайте производителя.

Pulse Secure (Juniper Networks)

Pulse Secure — серия продуктов американской компании Juniper Networks. Ключевая функциональность — SSL VPN.

Производитель предлагает четыре программно-аппаратных комплекса различной производительности и форм-фактора.

Модель минимальной конфигурации (PSA300) обеспечивает пропускную способность 200 Мбит/с для 200 SSL-соединений. Наиболее производительное решение (PSA7000) — 10 Гбит/с для 25000 SSL-соединений.

Отличительной особенностью в линейке Pulse Secure является наличие двух блоков питания у модели PSA7000.

Рисунок 12. Pulse Secure Appliance 7000

В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) шлюзов Pulse Secure не представлен.

Подробнее с информацией о продукции Pulse Secure можно ознакомиться на сайте производителя.

SonicWALL

SonicWALL — американская компания-производитель решений для сетевой безопасности. В 2012 году компания была приобретена Dell Software Group. В 2016 же году Dell продала SonicWALL.

Компания предлагает решения различной производительности. В основной массе это UTM-решения, реализующие функциональность NGFW, IPS, VPN, потокового антивируса.

В части VPN производитель поддерживает IPSec, SSL. Наиболее производительное решение, представленное на рисунке ниже, обеспечивает пропускную способность VPN до 14 Гбит/с. Максимальное же число VPN-соединения составляет в этом случае 25000.

Шлюзы SonicWALL находятся под управлением собственной операционной системы — Sonic OS.

Рисунок 13. SonicWALL SuperMassive 9000 Series

В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) шлюзов SonicWALL не представлен.

Подробнее с информацией о продукции SonicWALL можно ознакомиться на сайте производителя.

Аналоги КриптоПро CSP

Безопасный веб-серфинг без снижения скорости соединения.

Защита ПК и серверов от вирусов / вредоносных программ с помощью сканеров при доступе и запланированных сканирований по …

Инструмент безопасности конечных точек, который устраняет различные типы угроз – вирусы, вредоносное ПО, программы-вымог…

Эффективное решение, которое позволяет организовать безопасную и надёжную онлайн среду для общения и совместной работы в…

Решение для обеспечения безопасности корпоративной сети против вирусов, атак хакеров и спама.

Антивирусное ПО, помогающее защитить компьютер от троянов, баннеров, кейлоггеров, дозвонщиков, вредоносных программ.

Пакет безопасности, защищающий веб-сайты от хакеров, ботов и угроз, с плагинами для WordPress, OpenCart и Magento.

PT Sandbox закрывает все основные векторы проникновения вредоносных файлов в вашу сеть.

Удобное и бесплатное решение для деления жёстких дисков на разделы.

Как организовать безопасный удаленный доступ с помощью продуктов Рутокен

Если в вашей компании уже есть токен или смарт-карта Рутокен, вы можете использовать их не только для электронного документооборота, но и организовать безопасное удаленное подключение к рабочему компьютеру и другим корпоративным ресурсам.

Существует два варианта организации удаленной работы – с использованием корпоративных ноутбуков с установленным необходимым программным обеспечением, либо на домашних ПК с использованием удаленного рабочего стола. В первом случае сотрудники будут подключаться к сети предприятия для доступа к необходимым ресурсам – серверам приложений, файловым хранилищам и базам данных. Во втором – будет осуществляться подключение к корпоративному серверу RDP или VDI.

В обоих случаях для подключения используются публичные каналы передачи данных сети Интернет. Это опасно, потому что передаваемые данные могут быть перехвачены и изменены. А если пароль будет украден, то злоумышленник сможет бесконтрольно подключаться к серверам предприятия. Это в офисе понятно кто за каким компьютером работает, а при удаленной работе сотрудником считается тот, кто знает пароль.

Поэтому для защиты передаваемых данных используется шифрование канала. А для предотвращения несанкционированного доступа к сети – двухфакторная аутентификация c помощью токенов и смарт-карт Рутокен. Для входа в сеть предприятия сотруднику необходимо подключить к своему ПК токен или смарт-карту и ввести PIN-код устройства. Владение устройством является первым фактором аутентификации, а PIN-код – вторым. Украв только токен или только PIN-код, злоумышленник подключиться не сможет. А когда сотрудник обнаружит пропажу токена, то уведомит системного администратора и доступ будет заблокирован.

С помощью сервера виртуальной частной сети (Virtual Private Network – VPN) можно организовать при работе из дома безопасный шифрованный канал между корпоративной сетью и рабочими компьютерами, а также двухфакторную аутентификацию удаленных пользователей на основе токенов и смарт-карт.

А при подключении к удаленным рабочим столам шифрование канала осуществляется с помощью встроенных средств серверов VDI и RDP, либо с использованием дополнительного сервера VPN. Двухфакторной аутентификацию можно внедрить с помощью встроенных возможностей операционной системы (требуется установка инфраструктуры открытых ключей – PKI, например, microsoft Certification Service), либо использовать сервер VPN.

Устройства Рутокен помогут быстро защитить и упростить вход в удаленные рабочие столы или внутреннюю сеть предприятия, заменяя однофакторную парольную аутентификацию двухфакторной.

При двухфакторной аутентификации с использованием продуктов Рутокен к знанию пароля доступа к устройству (PIN-кода) добавляется второй фактор –  владение физическим устройством. PIN-код защищен от перебора операционной системой Рутокен. После определенного количества неудачных попыток ввода PIN-код блокируется.

Использование двухфакторной аутентификации с помощью электронной подписи гарантирует серверу личность пользователя, поскольку аутентификационные данные лежат в специальной защищенной PIN-кодом памяти устройства Рутокен. Таким образом, продукты Рутокен защищены от несанкционированного доступа и копирования.

Рутокен VPN позволяет в короткие сроки организовать удаленный доступ сотрудников ко внутренним ресурсам компании с использованием двухфакторной аутентификации.

Подключение возможно с персональных компьютеров и мобильных устройств.

Вы получите готовый образ одной из виртуальных машин VmWare Workstation, VmWare ESXi или VirtualBox.

Чтобы развернуть VPN, нужно выполнить всего несколько шагов. Мы подготовили подробную инструкцию по настройке.

С помощью веб-интерфейса вы сможете установить настройки сети и центра сертификации, добавить пользователей вручную или через Active Directory.

Наши ключевые носители работают с промышленными отечественными VPN-решениями: ViPNet Coordinator, S-Terra VPN, КриптоПро NGate, Континент, Застава и другими. А также корпоративными зарубежными: Cisco, Check Point,  Viscocity, Palo Alto и другими.

Кроме того, они интегрированы в открытый кроссплатформенный продукт OpenVPN и в мобильный OpenVPN for Android.

Безопасный удаленный доступ к удаленным рабочим столам обеспечивается с помощью технологий Citrix, Microsoft, VMWare, Рутокен. При терминальном доступе смарт-карта или токен может использоваться для аутентификации и вычисления электронной подписи на удаленном рабочем столе, как будто устройство подключено к нему напрямую.