ПАК «С-Терра Шлюз Е» (далее - С-Терра Шлюз, Продукт, ПАК) выполняет функции межсетевого экрана, средства криптографической защиты информации и маршрутизатора.
С-Терра Шлюз обеспечивает создание виртуальных защищенных сетей (VPN), защиту транзитного трафика между различными узлами сети, защиту трафика самого шлюза безопасности, а также stateless фильтрацию IP-трафика и stateful фильтрацию для протоколов TCP и FTP.
Защиту трафика С-Терра Шлюз осуществляет в рамках международных стандартов IKE/IPsec:
• Security Architecture for the Internet Protocol - RFC2401;
• IP Authentication Header (AH) - RFC2402;
• IP Encapsulating Security Payload (ESP) - RFC2406;
• Internet Security Association and Key Management Protocol (ISAKMP) - RFC2408;
• The Internet Key Exchange (IKE) - RFC2409;
• The Internet IP Security Domain of Interpretation for ISAKMP (DOI) - RFC2407;
• Negotiation of NAT-Traversal in the IKE - RFC3947;
• UDP Encapsulation of IPsec ESP Packets - RFC3948.
Также используются национальные стандарты:
• ГОСТ Р 34.11-2012. Информационная технология. Криптографическая защита информации. Функция хэширования.
• ГОСТ Р 34.10-2012. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.
• ГОСТ Р 34.12-2015 Информационная технология. Криптографическая защита информации. Блочные шифры.
• ГОСТ Р 34.13-2015 Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров.
• Р 1323565.1.026-2019 Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров, реализующие аутентифицированное шифрование.
• Р 1323565.1.024-2019 Информационная технология. Криптографическая защита информации. Параметры эллиптических кривых для криптографических алгоритмов и протоколов.
• Р 1323565.1.005-2017 Информационная технология. Криптографическая защита информации. Допустимые объемы материала для обработки на одном ключе при использовании некоторых вариантов режимов работы блочных шифров в соответствии с ГОСТ Р 34.13-2015.
• Р 50.1.110-2016 Информационная технология. Криптографическая защита информации. Контейнер хранения ключей.
• RFC 4357, глава 5.2, «VKO GOST R 34.10-2001» - Additional Cryptographic Algorithms for Use with GOST 28147-89, GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms.
• RFC 4491 - Using the GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms with the Internet X.509 Public Key Infrastructure.
Основные возможности С-Терра Шлюз:
• защита трафика на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP;
• реализация новых криптографических алгоритмов;
• пакетная фильтрация трафика по адресам, протоколам, портам, по любым полям заголовка IP-пакета;
• контекстная фильтрация трафика для протоколов TCP и FTP;
• работа по расписанию для правил пакетной фильтрации;
• различные наборы правил обработки трафика на разных интерфейсах;
• возможность задания независимых правил для входящего и исходящего трафиков на каждом интерфейсе, как для пакетной, так и контекстной фильтрации трафика;
• поддержка качества обслуживания QoS (приоритет по полю TOS, управление очередями, фрагментацией пакетов, сеансами TCP, классификация, защита от перегрузки);
• поддержка в качестве IKECFG-сервера - выдача адресов из локальной подсети, адресов DNS-серверов, DNS-суффиксов партнеру;
• поддержка дополнительной аутентификации (XAuth) удаленных пользователей с использованием RADIUS-сервера, возможность работать без списка CRL;
• статическая и динамическая маршрутизация (по протоколам RIP, OSPF);
• трансляция сетевых адресов в туннельном и транспортном режимах - NAT/PAT;
• шифрование трафика на канальном уровне с использованием Программного продукта «С-Терра L2» (VLAN);
• интеграция с Системой обнаружения вторжений (Программный комплекс «С-Терра СОВ. Версия 4.3»);
• событийное протоколирование, с возможностью объединять события в группы и задавать для каждой группы свой независимый уровень протоколирования;
• сбор статистики для мониторинга по протоколу SNMP;
• использование Radius-сервера в качестве средства мониторинга - сбор и анализ статистической информации по защищенным соединениям с партнерами;
• создание кластера на основе протокола VRRP в режиме горячего резервирования;
• синхронизация системного времени с NTP-сервером.
Управление С-Терра Шлюз осуществляется:
• централизованно-удаленно посредством ПК «С-Терра КП. Версия 4.3», используемого для управления Продуктами компании «С-Терра СиЭсПи» и мониторинга;
• локально и удаленно по протоколу SSH с помощью интерфейса командной строки. В интерфейсе командной строки в основном используются команды Cisco IOS, что облегчает управление администраторам, имеющим опыт настройки шлюзов безопасности и межсетевых экранов Cisco Systems;
На С-Терра Шлюз используется встроенная криптографическая библиотека, разработанная компанией «С-Терра СиЭсПи».
Криптобиблиотека, разработанная компанией «С-Терра СиЭсПи», реализует российские криптографические алгоритмы:
• ГОСТ 28147-89, ГОСТ Р 34.12-2015, ГОСТ З4.13-2015 - алгоритмы шифрования для протокола ESP, ISAKMP;
• ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.12-2015, ГОСТ 34.13-2015 - алгоритмы имитозащиты для протоколов ESP и AH;
• ГОСТ Р 34.11-94, ГОСТ 34.11-12 - алгоритмы хэширования для протокола ISAKMP;
• ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012 - алгоритмы формирования и проверки электронной подписи;
• VKO GOST R 34.10-2001, VKO GOST R 34.10-2012 - алгоритмы согласования ключей для протокола ISAKMP.
Также реализована генерация случайных чисел.
Внимание! |
Рекомендуется отказаться от использования в политике безопасности устаревшего алгоритма ГОСТ 28147-89 и преобразований на основе ГОСТ 28147-89. Для перехода на работу с новыми криптографическими алгоритмами используйте инструкцию по ссылке. |
С-Терра Шлюз работает с криптоалгоритмами ГОСТ.
С-Терра Шлюз совместим со следующими токенами: eToken PRO 72k, JaCarta PKI, JaCarta PKI/ГОСТ, Рутокен Lite, Рутокен ЭЦП, Рутокен ЭЦП 2.0.