В консоль разграничения доступа добавлены новые команды, позволяющие:

•      останавливать работу системы;

•      устанавливать транспортный пароль для защиты контейнеров с секретными ключами и гаммой, передаваемых на USB-флеш.

В Cisco-like консоль добавлены команды:

•   настройки ip-адресов DNS-серверов;

•      создания групп объектов сети и групп сервисов, а также возможность ссылаться на эти группы из списков доступа;

•   настройки времени жизни IKE SA в килобайтах;

•   ограничения по числу IPsec SA, которые можно сделать c использованием одного IKE-контекста;

•   настройки случайного разброса во времена жизни IKE и IPsec SA;

•   задающие способ получения принудительного (неинтерактивного) идентификатора пользователя для аутентификации на RADIUS-сервере и принудительного пароля пользователя для аутентификации по RADIUS;

•      привязки локального сертификата к криптографической карте;

•   отслеживания состояния групп процессов и изменения состояние VRRP-маршрутизатора в зависимости от статуса процессов;

•      групповой настройки интерфейсов.

•      просмотра:

•   информации об ISAKMP соединениях и IPsec соединениях;

•   информации обо всех сетевых интерфейсах и всех ip-интерфейсах устройства;

•      списков доступа;

•      просмотра групп объектов сети и групп сервисов;

•   просмотра состояния VRRP и статистики VRRP.

Для команды radius-server host добавлена возможность задания UDP портов, используемых внешним RADIUS сервером для аутентификации и авторизации, а также для учёта активности IPsec соединений.

Добавлена регистрация в журнале аудита всех действий администратора, выполненных в cisco-like консоли: создание, удаление пользователей, внесение изменений в политику безопасности, создание/удаление правил фильтрации и пр. В каждой записи аудита отражается дата и время события, идентификатор администратора, код сообщения, источник сообщения, уровень аудита и само сообщение. Обеспечивается ассоциация изменений в конфигурации с идентификатором администратора.

Реализован новый криптографический алгоритм ГОСТ Р 34.12-2015 (Кузнечик в режиме MGM).

Не поддерживается алгоритм защиты целостности ГОСТ 28147-89.

Добавлены поддержка инициализации на основе контейнера закрытого ключа сертификата.

В продукт добавлены утилиты:

•    sname - выводит идентификатор продукта (PID), лицензию, версию и номер сборки продукта;

•    cont_mgr rndinit - инициализирует генератор псевдослучайной последовательности на основе контейнера секретного ключа сертификата;

•    excont_mgr get_gamma - предназначена для получения и сохранения гамма-материала;

•    lsp_mgr set-flag - для активирования создания IPsec SA, для которых установлен специальный флаг, запрещающий создание SA по заданному правилу;

•    proxy_mgr - предназначена для просмотра счетчиков сервиса vpnproxy;

•    sign_mgr - используется для подписи.

 

«Программный комплекс С-Терра Шлюз DP ST. Версия 4.3» работает только с контейнерами формата PKCS#15.