Система криптографічного захисту інформації “Шифр-VPN”

Компанія є дистриб’ютором Система криптографічного захисту інформації “Шифр-VPN”, яка реалізує національні та міжнародні криптографічні алгоритми й протоколи та призначена для забезпечення конфіденційності даних, що передаються відкритими каналами.

Введення

Розвиток інформаційних технологій, а також процесів глобалізації у сучасному суспільстві формує завдання щодо гарантування передачі інформації між територіально рознесеними обчислювальними мережами і забезпечення конфіденційності даних, що передаються відкритими мережами. 

Часто існує необхідність забезпечити конфіденційність передачі  дані, що передаються через мережу Інтернет для вже існуючих інформаційних систем, де не можна вносити зміни для впровадження механізмів захисту. 

Пропонуємо забезпечення конфіденційності під час передачі даних через мережу Інтернет за допомогою віртуальних приватних мереж (VPN-virtual private network). 

При побудові VPN рекомендуємо звернути увагу на:

  • Гнучкість і зручність керування ключами
  • Зручність експлуатації та інтеграції
  • Гнучкість і зручність налаштування мережі
  • Швидкість передачі даних
  • Перспективність (підтримувані алгоритми)
  • Орієнтація на хмарні технології
  • Широкий спектр підтримуваних апаратних платформ і операційних систем (ОС)

Опис

Система криптографічного захисту інформації “Шифр-VPN” (далі – СКЗІ “Шифр-VPN”) представляє програмний або програмно-апаратний комплекс, заснований на поширеному і перевіреному часом протоколі OpenVPN з підтримкою SSL/TLS.

СКЗІ “Шифр-VPN” дозволяє забезпечувати конфіденційність (шифрування) між:

  • Мережа-Мережа (Сервер-Сервер). Такий підхід дозволяє будувати VPN з’єднання між різними мережами, де весь трафік буде захищений.
  • Користувач-Мережа (Клієнт-Сервер). Такий підхід дозволяє будувати VPN з’єднання між комп’ютером користувача і мережею, яка розташована за VPN сервером.

Для забезпечення конфіденційності використовуються криптографічні алгоритми:

  • Реалізовані в бібліотеках криптографічних примітивів Шифр ​​+ v2.1 (є позитивний експертний висновок у сфері КЗІ)
  • З урахуванням багатого досвіду компанії-розробника Сайфер 

СКЗІ “Шифр-VPN” може будувати навколо інфраструктури відкритих ключів (ІВК): 

  • Ключи видані АЦСК/КНЕДП. В цьому випадку для авторизації користувачів в захищену мережу, можуть використовуватися: 
    • Перевірка статусу сертифікату по протоколу OCSP.
    • Ведення списку довірених ЦСК на сервері VPN.
    • Ведення списку дозволених користувачів на сервері VPN.
  • Ключі видані внутрішнім ЦСК. В цьому випадку розгортається власна ІВК, з використанням рішень:
    • СКЗІ “Шифр-X.509” (можлива акредитація).
    • СКЗІ “Шифр-xCA” (для внутрішнього використання).

У якості криптографічних алгоритмів допускається використовувати, як:

  • Національні криптографічні алгоритми: 
    • ДСТУ 4145:2002
    • ГОСТ 34.311-95, ДСТУ 7564:2014
    • ГОСТ 28147-89, ДСТУ 7624:2014
  • Міжнародні криптографічні алгоритми: 
    • RSA, ECDSA
    • SHA-1, SHA-2
    • AES, DEA, TDEA

Ключі користувачів і серверів можуть зберігатися:

  • В вигляді файлу – файлового ключового контейнера
  • На захищеному ключовому носії 

СКЗІ “Шифр-VPN” підтримує широкий спектр апаратних платформ і операційних систем:

  • Апаратні платформи 
    • x86, x86-64 (AES NI, CLMUL, SSE, AVX). Підтримується апаратне прискорення.
    • ARMv6, ARMv7, ARMv8
  • Операційні системи 
    • Сервер: Windows, Linux, FreeBSD
    • Клієнт: Windows, Linux, MacOS, 
    • Клієнт: Android*, iOS* (сторонніх розробників, забезпечується сумісність для міжнародних криптографічних алгоритмів)

Зручність експлуатації СКЗІ “Шифр-VPN” забезпечується:

  • Розвиненою системою управлення Серверами VPN.
  • Розвиненою системою моніторингу Сервера VPN побудованої на базі агентів і розширень для Zabbix v3.0+.
  • Можливістю гнучкого налаштування сервера і клієнтів. Налаштування здійснюється за допомогою розповсюдження серед клієнтів раніше підготовлених файлів налаштувань.

Область застосування

Однією з типових задач, які можуть успішно вирішуватися СКЗІ “Шифр-VPN”, є побудова захищеного каналу між двома мережами.

З обох сторін розгортається Сервер VPN, який може:

  • керувати трафіком між мережами, що знаходяться за VPN
  • можливість проходження трафіку через фаєрволи і HTTP-proxy
  • шифрувати або не шифрувати (а тегувати) трафік
  • агрегувати трафік з кількох мережевих інтерфейсів, а також виконувати зворотне перетворення
  • на цих серверах використовуються статичні ідентичні ключі в PKCS # 12 контейнері

Іншою типовою задачею, яка може успішно вирішуватися СКЗІ “Шифр-VPN”, є побудова захищеного каналу між користувачем і мережею.

З одного боку розгорнуть Сервер VPN, а у користувача Клієнт VPN.

На стороні Сервера VPN:

  • керувати трафіком між мережами, що знаходяться за VPN
  • можливість проходження трафіку через фаєрволи і HTTP-proxy
  • шифрувати або не шифрувати (а тегувати) трафік
  • агрегувати трафік з кількох мережевих інтерфейсів, а також виконувати зворотне перетворення
  • на цих серверах використовуються статичні ідентичні ключі в PKCS#12 контейнері
  • паралельна робота декількох серверів VPN
  • балансування підключень між пулом серверів VPN
  • аутентифікація користувача за різними ознаками

На стороні Клієнта VPN:

  • можливість використовувати конфігураційні файли до вибраних установок для даного Сервера VPN
  • керувати трафіком між мережами, що знаходяться за VPN
  • можливість проходження трафіку через фаєрволи і HTTP-proxy
  • шифрувати або не шифрувати (а тегувати) трафік
  • можливість зберігати ключі в файлових ключових контейнерах і на захищених носіях
  • зберігати пароль у пам’яті до захищеного носія, або вимагати його вводити кілька разів

Ще одною типовою задачею, яка може успішно вирішуватися СКЗІ “Шифр-VPN”, є побудова захищеного каналу між користувачем і мережею.

З одного боку розгорнуть Сервер VPN, а у користувача Клієнт VPN.

На стороні Сервера VPN можна керувати трафіком від клієнтських підключень між різними мережами.

Відмінні характеристики

Існує велика кількість підходів до побудови VPN, залежно від мережевого рівня:

  • Мережевий (IP/IPSec).
  • Транспортний (TCP/UDP).

Зазначені підходи мають як позитивні, так і негативні сторони.

Серед існуючих рішень і підходів, виділяють протокол OpenVPN з підтримкою SSL / TLS, який дозволяє забезпечити:

  • Прозорість проходження Firewall, Proxy, NAT в порівнянні з LT2P/IPsec
  • Більш високу продуктивність при меншому обсязі споживаних обчислювальних ресурсів у порівнянні з LT2P/IPsec
  • Підтримку протоколів транспортного рівня TCP, UDP
  • Стиснення трафіку за допомогою алгоритмів LZO, lz4
  • Гнучкість налаштування на стороні клієнтів, за допомогою встановлених конфігураційних файлів

Експертний висновок

СКЗИ “Шифр-VPN” побудована на основі бібліотек криптографічних примітивів “Шифр+” v2.1, які мають позитивний експертний висновок за результатами державної експертизи у сфері КЗІ від Адміністрації Держспецзв’язку № 04/03/02-1674 від 16.05.2017.

Презентація

Також можливо ознайомитися з презентацією Presentation_Cipher-VPN