Система криптографической защиты информации “Шифр-VPN”

Компания является дистрибьютором Система криптографической защиты информации «Шифр-VPN», которая реализует национальные и международные криптографические алгоритмы и протоколы и предназначена для обеспечения конфиденциальности передаваемых данных по открытым каналам.

Введение

Развитие информационных технологий, а также глобализационные процессы в современном обществе формируют задачи обеспечения передачи информации между геораспределенными вычислительными сетями и обеспечением конфиденциальности для передаваемых данных по публичным сетям.

Зачастую, возникает необходимость в обеспечении конфиденциально передачи данных по сети Интернет для уже существующих информационных систем, где уже нельзя внести изменения для внедрения механизмов защиты.

Предлагаем обеспечение конфиденциальности при передаче данных по сети Интернет решается с помощью технологии виртуальных частных сетей (VPN — virtual private network).

При построении VPN рекомендуют обратить внимание на:

  • Гибкость и удобство управления ключами
  • Удобство эксплуатации и интеграции
  • Гибкость и удобство настройки сети
  • Скорость передачи данных
  • Перспективность (поддерживаемые алгоритмы)
  • Ориентация на облачные технологии
  • Широкий спектр поддерживаемых аппаратных платформ и операционных систем (ОС)

Описание

Система криптографической защиты информации Шифр-VPN представляет программный или программно-аппаратный комплекс, основанный на распространенном и проверенном временем протоколе OpenVPN с поддержкой SSL/TLS.

СКЗИ Шифр-VPN позволяет обеспечивать конфиденциальность (шифрование) между:

  • Сеть-Сеть (Сервер-Сервер). Такой подход позволяет строить VPN соединение между различными сетями, где весь трафик будет защищен.
  • Пользователь-Сеть (Клиент-Сервер). Такой подход позволяет строить VPN соединение между компьютером пользователя и сетью, которая расположена за VPN Сервером.

Для обеспечения конфиденциальности используются криптографические алгоритмы:

  • Реализованные в библиотеках криптографических примитивов Шифр+ v2.1 (имеется действующее позитивное экспертное заключение)
  • С учетом богатого опыта компании Сайфер

СКЗИ Шифр-VPN может строить вокруг инфраструктуры открытых ключей (ИОК):

  • Ключи изданные АЦСК/КПЭДУ. В этом случае для авторизации пользователей в защищенную сеть, могут использоваться:
    • Проверка статуса сертификата по протоколу OCSP.
    • Ведение списка доверенных ЦСК на сервере VPN.
    • Ведение списка разрешенных пользователей на сервере VPN.
  • Ключи изданных внутренним ЦСК. В этом случае разворачивается собственная ИОК, с использованием решений
    • СКЗИ “Шифр-X.509” (возможна аккредитация).
    • СКЗИ “Шифр-xCA” (для внутреннего использования).

В качестве криптографических алгоритмов допускается использовать, как:

  • Национальные криптографические алгоритмы:
    • ДСТУ 4145:2002
    • ГОСТ 34.311-95, ДСТУ 7564:2014
    • ГОСТ 28147-89, ДСТУ 7624:2014
  • Международные криптографические алгоритмы:
    • RSA, ECDSA
    • SHA-1, SHA-2
    • AES, DEA, TDEA

Ключи пользователей и серверов могут храниться:

  • В виде файла — файлового ключевого контейнера
  • На защищенном ключевом носителе

СКЗИ Шифр-VPN поддерживает широкий спектр аппаратных платформ и операционных систем:

  • Аппаратные платформы
    • x86, x86-64 (AES NI, CLMUL, SSE, AVX). Поддерживается аппаратное ускорение.
    • ARMv6, ARMv7, ARMv8
  • Операционные системы
    • Сервер: Windows, Linux, FreeBSD
    • Клиент: Windows, Linux, MacOS, 
    • Клиент: Android*, iOS* (сторонних разработчиков, обеспечивается совместимость для международных криптографических алгоритмов)

Удобств эксплуатации СКЗИ Шифр-VPN обеспечивается:

  • Развитой системой управления Серверами VPN.
  • Развитой системой мониторинга Сервера VPN построенной на базе агентов и расширений для Zabbix v3.0+.
  • Возможность гибкой настройки сервера и клиентов. Настройка осуществляется посредством распространения среди клиентов  ранее подготовленных файлов настроек.

Область применения

Одной из типовых задач, которые могут успешно решаться СКЗИ «Шифр-VPN», является построение защищенного канала между двумя сетями.

С обеих сторон развернут Сервер VPN, который может:

  • управлять трафиком между сетями, находящиеся за VPN
  • возможность прохождения трафика через файерволы и HTTP-proxy
  • шифровать или не шифровать (а тегировать) трафик
  • агрегировать трафик с нескольких сетевых интерфейсов, а также выполнять обратное преобразование
  • на этих серверах используются статические идентичные ключи в PKCS#12 контейнере

Другой типовой задачей, которая может успешно решаться СКЗИ «Шифр-VPN», является построение защищенного канала между пользователем и сетью.

С одной стороны развернут Сервер VPN, а у пользователя Клиент VPN.

На стороне Сервера VPN:

  • управлять трафиком между сетями, находящимися за VPN
  • возможность прохождения трафика через файерволы и HTTP-proxy
  • шифровать или не шифровать (а тегировать) трафик
  • агрегировать трафик с нескольких сетевых интерфейсов, а также выполнять обратное преобразование
  • на этих серверах используются статические идентичные ключи в PKCS#12 контейнере
  • параллельная работа нескольких Серверов VPN
  • балансировка подключений между пулом Серверов VPN
  • аутентификация пользователя по различным признакам

На стороне Клиента VPN:

  • возможность использовать конфигурационные файлы с выполненными настройками для данного Сервера VPN 
  • управлять трафиком между сетями, находящимися за VPN
  • возможность прохождения трафика через файерволы и HTTP-proxy
  • шифровать или не шифровать (а тегировать) трафик
  • возможность хранить ключи в файловых ключевых контейнерах и на защищенных носителях
  • хранить пароль в памяти к защищенному носителю, или требовать его вводить несколько раз

Еще одной типовой задачей, которая может успешно решаться СКЗИ «Шифр-VPN», является построение защищенного канала между пользователем и сетью.

С одной стороны развернут Сервер VPN, а у пользователя Клиент VPN.

На стороне Сервера VPN возможно управление трафиком от клиентских подключений между различными сетями.

Отличительные характеристики

Существует большое количество подходов к построению VPN,  зависимости от сетевого уровня:

  • Сетевой (IP/IPSec).
  • Транспортный (TCP/UDP).

Указанные подходы имеют как положительные, так и отрицательные стороны.

Среди существующих решений и подходов, выделяют протокол OpenVPN с поддержкой SSL/TLS, который позволяет обеспечить:

  • Прозрачность прохождения Firewall, Proxy, NAT по сравнению с LT2P/IPsec
  • Более высокую производительность при меньшем объеме потребляемых вычислительных ресурсов по сравнению с LT2P/IPsec
  • Поддержку протоколов транспортного уровня TCP, UDP
  • Сжатие трафика с помощью алгоритмов LZO, lz4
  • Гибкость настройки на стороне клиентов, посредством предустановленных конфигурационных файлов

Экспертное заключение

СКЗИ «Шифр-VPN» построен на основе библиотек криптографических примитивов «Шифр+» v2.1, которые имеют позитивное экспертное заключение Госспецсвязи Украины 16.05.2017 №04/03/02-1674.

Презентация

Также можно ознакомиться с презентацией Presentation_Cipher-VPN.pdf.