Программный комплекс «С-Терра Клиент А ST. Версия 4.3» (далее ПК «С-Терра Клиент А», Продукт, С-Терра Клиент А) выполняет роль персонального экрана и VPN клиента.
ПК «С-Терра Клиент А» предназначен для защиты от несанкционированного доступа, сетевых атак, создания защищенных VPN соединений между устройством, на котором он установлен, и другими взаимодействующими с ним доверенными VPN-шлюзами и VPN-клиентами.
ПК «С-Терра Клиент А» выполняет следующие функции:
• защиту трафика на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP;
• пакетную и контекстную фильтрацию любого исходящего и входящего трафика на хост с использованием информации в полях заголовков сетевого, транспортного и прикладного уровней;
• фильтрацию с учетом входного и выходного сетевого интерфейса;
• фильтрацию запросов на установление виртуальных соединений;
• фильтрацию по любым значимым полям IP-заголовка и полям данных сетевого пакета;
• фильтрацию с учетом даты и времени;
• аутентификацию пользователя и аутентификацию узла сети;
• идентификацию и аутентификацию администратора при доступе с целью администрирования;
• событийное протоколирование;
• реализацию заданной дисциплины взаимодействия (аутентификацию и/или защиту трафика) для каждого защищенного соединения, доступ в заданном защищенном режиме только для зарегистрированных, в том числе и для мобильных партнеров по взаимодействию;
• регулируемую стойкость защиты трафика.
ПК «С-Терра Клиент А» осуществляет защиту трафика протоколов семейства TCP/IP в рамках международных стандартов IKE/IPsec:
• Security Architecture for the Internet Protocol – RFC2401.
• IP Authentication Header (AH) – RFC2402.
• IP Encapsulating Security Payload (ESP) – RFC2406.
• Internet Security Association and Key Management Protocol (ISAKMP) – RFC2408.
• The Internet Key Exchange (IKE) – RFC2409.
• The Internet IP Security Domain of Interpretation for ISAKMP (DOI) – RFC2407.
• Negotiation of NAT-Traversal in the IKE – RFC3947;
• UDP Encapsulation of IPsec ESP Packets – RFC3948.
Также используются национальные стандарты:
• ГОСТ Р 34.11-2012. Информационная технология. Криптографическая защита информации. Функция хэширования.
• ГОСТ Р 34.10-2012. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.
• ГОСТ Р 34.12–2015 Информационная технология. Криптографическая защита информации. Блочные шифры.
• ГОСТ Р 34.13–2015 Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров.
• Р 1323565.1.026–2019 Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров, реализующие аутентифицированное шифрование.
• Р 1323565.1.024–2019 Информационная технология. Криптографическая защита информации. Параметры эллиптических кривых для криптографических алгоритмов и протоколов.
• Р 1323565.1.005-2017 Информационная технология. Криптографическая защита информации. Допустимые объемы материала для обработки на одном ключе при использовании некоторых вариантов режимов работы блочных шифров в соответствии с ГОСТ Р 34.13-2015.
• Р 50.1.110–2016 Информационная технология. Криптографическая защита информации. Контейнер хранения ключей.
• RFC 4357, глава 5.2, «VKO GOST R 34.10-2001» – Additional Cryptographic Algorithms for Use with GOST 28147-89, GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms.
• RFC 4491 – Using the GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms with the Internet X.509 Public Key Infrastructure.
ПК «С-Терра Клиент А» использует встроенную криптографическую библиотеку, разработанную компанией «С-Терра СиЭсПи».
Криптографическая библиотека, разработанная компанией «С-Терра СиЭсПи», реализует российские криптографические алгоритмы:
• ГОСТ 28147-89, ГОСТ Р 34.12-2015, ГОСТ Р 34.13-2015 – шифрование/расшифрование данных,
• ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.12-2015, ГОСТ Р 34.13-2015 – имитозащита трафика,
• ГОСТ Р 34.11-94, ГОСТ Р 34.11-2012 – алгоритмы хэширования,
• ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012 – формирование и проверка электронно-цифровой подписи (ЭЦП),
• VKO GOST R 34.10-2001 [RFC 4357], VKO GOST R 34.10-2012 (256 бит) – выработка общего сессионного ключа,
• а также генерацию случайных чисел.
Внимание! |
Рекомендуется отказаться от использования в политике безопасности устаревшего алгоритма ГОСТ 28147-89 и преобразований на основе ГОСТ 28147-89. Для перехода на работу с новыми криптографическими алгоритмами используйте инструкцию по ссылке. |
ПК «С-Терра Клиент А» работает не только с криптоалгоритмами ГОСТ, но и с международными алгоритмами.
ПК «С-Терра Клиент А» (исполнение класса защиты КС1) обеспечивает защиту конфиденциальной информации от внешнего нарушителя.
ПК «С-Терра Клиент А» (исполнение класса защиты КС2) и сертифицированное средство доверенной загрузки «Соболь» обеспечивают защиту конфиденциальной информации от внутреннего нарушителя.
ПК «С-Терра Клиент А» является Продуктом для корпоративного использования в том смысле, что политику безопасности и настройки режимов этого Продукта осуществляет администратор безопасности предприятия, но он может дать разрешение на дальнейшее управление Продуктом конечному пользователю.
Управление ПК «С-Терра Клиент А» осуществляется:
• централизованно-удаленно с использованием Программного комплекса «С-Терра КП. Версия 4.3» (ПК «С-Терра КП. Версия 4.3») для управления Продуктами компании «С-Терра СиЭсПи» и мониторинга;
• локально с использованием конфигурационного текстового файла, описывающего политику безопасности, и последующей загрузки его на хост.
Основное управление настройками ПК «С-Терра Клиент А» осуществляется централизованно-удаленно с использованием ПК «С-Терра КП. Версия 4.3». С его помощью можно обновить сертификаты, ключи, политику безопасности, лицензии и др.
В ПК «С-Терра Клиент А» по умолчанию для всех интерфейсов задается одинаковая политика безопасности. Для задания разной политики безопасности на интерфейсах используйте структуру NetworkInterface конфигурационного файла с локальной политикой безопасности или ПК «С-Терра КП. Версия 4.3».