Назначение и функции Продукта

ПК «С-Терра Клиент E» функционирует на аппаратных платформах в архитектуре Intel x86/x86-64 под управлением операционных систем Microsoft Windows.

ПК «С-Терра Клиент E» выполняет роль персонального экрана и VPN клиента.

 

С-Терра Клиент может устанавливаться на:

      персональный компьютер пользователя – для защиты индивидуального рабочего места пользователя при работе как в локальных, так и в открытых сетях (Интернет);

      автономный сервер;

      специализированные устройства в составе платежных систем: банкоматы, расчетные терминалы, кассовые аппараты (POS-терминалы) и датчики автоматизированных систем управления технологическими процессами.

С-Терра Клиент предназначен для защиты от несанкционированного доступа, сетевых атак, создания защищенных VPN соединений между устройством, на котором он установлен, и другими взаимодействующими с ним доверенными VPN-шлюзами и VPN-клиентами.

 

ПК С-Терра Клиент Е выполняет следующие функции:

      защиту трафика на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP

      пакетную и контекстную фильтрацию любого исходящего и входящего трафика на хост с использованием информации в полях заголовков сетевого, транспортного и прикладного уровней;

      фильтрацию с учетом входного и выходного сетевого интерфейса;

      фильтрацию запросов на установление виртуальных соединений;

      фильтрацию по любым значимым полям IP-заголовка и полям данных сетевого пакета;

      фильтрацию с учетом даты и времени;

      аутентификацию пользователя и аутентификацию узла сети;

      идентификацию и аутентификацию администратора при доступе с целью администрирования;

      событийное протоколирование;

      реализацию заданной дисциплины взаимодействия (аутентификацию и/или защиту трафика) для каждого защищенного соединения, доступ в заданном защищенном режиме только для зарегистрированных, в том числе и для мобильных партнеров по взаимодействию;

      регулируемую стойкость защиты трафика.

 

С-Терра Клиент осуществляет защиту трафика протоколов семейства TCP/IP в рамках международных стандартов IKE/IPsec:

      Security Architecture for the Internet Protocol – RFC2401.

      IP Authentication Header (AH) – RFC2402.

      IP Encapsulating Security Payload (ESP) – RFC2406.

      Internet Security Association and Key Management Protocol (ISAKMP) – RFC2408.

      The Internet Key Exchange (IKE) – RFC2409.

      The Internet IP Security Domain of Interpretation for ISAKMP (DOI) – RFC2407.

      Negotiation of NAT-Traversal in the IKE – RFC3947;

      UDP Encapsulation of IPsec ESP Packets – RFC3948.

 

Также используются национальные стандарты:

      ГОСТ Р 34.11-2012. Информационная технология. Криптографическая защита информации. Функция хэширования.

      ГОСТ Р 34.10-2012. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.

      ГОСТ Р 34.12–2015 Информационная технология. Криптографическая защита информации. Блочные шифры.

      ГОСТ Р 34.13–2015 Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров.

      Р 1323565.1.026–2019 Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров, реализующие аутентифицированное шифрование.

      Р 1323565.1.024–2019 Информационная технология. Криптографическая защита информации. Параметры эллиптических кривых для криптографических алгоритмов и протоколов.

      Р 1323565.1.005-2017 Информационная технология. Криптографическая защита информации. Допустимые объемы материала для обработки на одном ключе при использовании некоторых вариантов режимов работы блочных шифров в соответствии с ГОСТ Р 34.13-2015.

      Р 50.1.110–2016 Информационная технология. Криптографическая защита информации. Контейнер хранения ключей.

      RFC 4357, глава 5.2, «VKO GOST R 34.10-2001» – Additional Cryptographic Algorithms for Use with GOST 28147-89, GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms.

      RFC 4491 – Using the GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms with the Internet X.509 Public Key Infrastructure.

Управление ПК «С-Терра Клиент Е» осуществляется:

      централизованно-удаленно посредством Программного комплекса «С-Терра КП. Версия 4.3», используемого для управления Продуктами компании «С-Терра СиЭсПи» и мониторинга.

      с использованием конфигурационного текстового файла, описывающего политику безопасности, и последующей ее загрузкой.

При осуществлении локального доступа к ПК «С-Терра Клиент Е» поддерживаются две роли:

      Администратор МЭ - администратор межсетевого экрана, имеющий полномочия для конфигурирования и изменения настроек ПК (далее: “администратор”, “администратор безопасности”),

      Пользователь МЭ - пользователь межсетевого экрана, обладающий правами только на просмотр настроек МЭ (далее “пользователь”). При получении разрешения на управление, получает роль администратора с возможностью управления.

ПК «С-Терра Клиент» Е использует встроенную криптографическую библиотеку, разработанную компанией «С-Терра СиЭсПи».

 

Криптографическая библиотека, разработанная компанией «С-Терра СиЭсПи», реализуeт российские криптографические алгоритмы:

      ГОСТ 28147-89, ГОСТ Р 34.12-2015, ГОСТ Р 34.13-2015 – шифрование/расшифрование данных,

      ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.12-2015, ГОСТ Р 34.13-2015 – имитозащита трафика,

      ГОСТ Р 34.11-94, ГОСТ Р 34.11-2012 – алгоритмы хэширования,

      ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012 – формирование и проверка электронной подписи (ЭП),

      VKO GOST R 34.10-2001 [RFC 4357], VKO GOST R 34.10-2012 (256 бит) – выработка общего сессионного ключа,

      а также генерацию случайных чисел.

 

Внимание!

Рекомендуется отказаться от использования в политике безопасности устаревшего алгоритма ГОСТ 28147-89 и преобразований на основе ГОСТ 28147-89. Для перехода на работу с новыми криптографическими алгоритмами используйте инструкцию по ссылке.

 

ПК «С-Терра Клиент E» в режиме КС1 и КС2 обеспечивают защиту конфиденциальной информации от внешнего нарушителя.

 

С-Терра Клиент Е является Продуктом для корпоративного использования в том смысле, что политику безопасности и настройки режимов этого Продукта осуществляет администратор безопасности предприятия, но он может дать разрешение на дальнейшее управление Продуктом конечному пользователю.

 

Возможно централизованно-удаленное управление настройками С-Терра Клиент с использованием Продукта ПК «С-Терра КП. Версия 4.3». С его помощью можно обновить сертификаты, ключи, политику безопасности, лицензии и др.

 

В ПК «С-Терра Клиент E» по умолчанию для всех интерфейсов задается одинаковая политика безопасности. Для задания разной политики безопасности на интерфейсах используйте структуру NetworkInterface конфигурационного файла с локальной политикой безопасности или ПК «С-Терра КП. Версия 4.3».