Описание продуктного ряда ЗАСТАВА

Аген — ЗАСТАВА-Офис 5.3, ЗАСТАВА-Клиент 5.3 предназначены для использования в качестве межсетевых экранов с функциями расширенной пакетной фильтрации, и организации.

VPN-соединений в сетях связи общего пользования. На их основе строятся территориально распределенные, защищенные корпоративные информационные системы, обеспечивающие конфиденциальность, целостность и аутентичность сетевого трафика на базе стандартных протоколов IPSec. Аутентификация пользователей, а также взаимная аутентификация агентов, производится с использованием сертификатов цифрового ключа.

ЗАСТАВА-Агенты нечувствительны к наличию в сети промежуточных NAT-устройств, обеспечивают «прозрачное» прохождение через них VPN-трафика с помощью стандартных методов протокольной.

Высокая устойчивость ЗАСТАВА-Агентов к отказам VPN-шлюзов обеспечивается поддержкой стандартного протокола DPD (Dead Peer Detection) разработки компании Cisco Systems. С его помощью ЗАСТАВА-Агенты автоматически и в реальном масштабе времени определяют недоступность шлюза на втором конце VPN — канала и создают дублирующие каналы с другими VPN-шлюзами на том же сетевом периметре.

Поддержка приоритезации типов трафика (QoS) позволяет эффективно использовать продукты ЗАСТАВА для защиты приложений, чувствительных к задержкам, например, IP-телефонии и видеоконференций.

При работе по протоколам IPSec ЗАСТАВА-Агенты совместимы с VPN-продуктами сетевой безопасности известных зарубежных и российских производителей: Cisco IOS Router, Cisco PIX Firewall, Check Point VPN-1/FW-1 Gateway, Microsoft 2000/XP/2003 IPSec Agent. В качестве инфраструктуры открытых ключей продукты ЗАСТАВА могут использовать PKI-платформы RSA Keon, SunONE, Microsoft CA, Baltimore UNICERT, Entrust/PKI, КриптоПро, Верба. ЗАСТАВА-Агенты поддерживают многофакторную аутентификацию пользователей с помощью PKCS#11совместимых токенов: Aladdin eToken, Rutoken, Rainbow iKey1000/iKey2000, ActiveCARD Gold, а также программной эмуляции токена на дискете или жестком диске. Кроме того, для аутентификации пользователей удаленных ЗАСТАВА-Клиентов шлюз ЗАСТАВА-Офис может использовать протокол XAUTH и внешние RADIUS-совместимые серверы аутентификации. А VPN-агент ЗАСТАВА-Офис реализует функции прикладного проксирования популярных сетевых сервисов и протоколов (Telnet, FTP, SMTP, HTTP, SOCKS), а также маскирование топологии защищаемой сети в режиме VPN-туннелирования, либо с использованием встроенного централизованно управляемого NAT-сервера.

ЗАСТАВА поддерживает ряд типовых сценариев применения VPN и МЭ:

• — защита внешнего сетевого периметра КИС и сегментирование КИС;
• — обеспечение безопасного доступа в Интернет для внутренних пользователей сети; объединение нескольких удаленных офисов в единую виртуальную сеть;
• — защищенный удаленный доступ мобильных пользователей к корпоративной ИС; клиент-сервер, клиент-клиент, сервер-шлюз, сервер-сервер;
• — сетевая защита «виртуальных рабочих групп», включая группы мобильных пользователей в проводных и беспроводных локальных сетях;
• — централизованная онлайн-активация аварийных политик сетевой безопасности.

Эффективная реализация многопоточных вычислений и использование возможностей многопроцессорных и многоядерных архитектур позволили шлюзу ЗАСТАВА-Офис достичь высоких показателей производительности VPN-каналов. Так, при использовании алгоритма ГОСТ 28 147–89 получены показатели: 280 Мбит/с на однопроцессорном компьютере, 440 Мбит/с на двухпроцессорной машине, 640 Мбит/с на сервере с двумя двухъядерными процессорами и 800 Мбит/с на системе с четырьмя двухъядерными процессорами. Работы по повышению производительности ЗАСТАВА-Офис проводились в тесном технологическом сотрудничестве с компаниями Intel и SUN Microsystems.

Операционные платформы ЗАСТАВА-Офис: компьютеры на базе процессоров Intel или SPARC, и ОСMicrosoft Windows 2003/2008/VISTA/7, Solaris 9/10 и Alt Linux. Персональный межсетевой экран и VPN-агент ЗАСТАВА-Клиент обеспечивает полный набор функций сетевой защиты для отдельных рабочих станций и мобильных пользователей — например, при работе из Интернет, включая режим выделения мобильному пользователю внутреннего локального адреса для удаленного VPN-доступа в защищенную корпоративную сеть.

Работа программы ЗАСТАВА-Клиент на персональных компьютерах не требует обучения пользователей, или какого-либо их участия в администрировании продукта. Не менее важно, что пользователи не могут ни блокировать работу ЗАСТАВА-Клиент, ни изменить централизованно задаваемые для их компьютеров политики безопасности — включая конфигурации VPN и МЭ — вне зависимости от того, работают ли они в корпоративной сети или удаленно.

Затраты на эксплуатацию системы ИБ значительно снижаются благодаря поддержке ЗАСТАВА-Клиентам процедуры удаленного автоматического обновления, при которой загрузка и установка новых патчей и версий продукта осуществляется без участия пользователей и без перезагрузки компьютеров. Конфигурирование режимов обновления может выполняться как через локальные настройки Клиента, так и с центра ЗАСТАВА-Управление. ЗАСТАВА-Клиент работает на компьютерах на базе процессоров Intel, на которых установлены ОС семейства Microsoft Windows и Alt Linux. информационный технология электронный бизнес Семейство продуктов информационной безопасности ЗАСТАВА 5.3 ЦУП ЗАСТАВА-Управление в составе компонентов ЦУП-Сервер, ЦУП-Консоль и База Данных ЦУП предназначено для централизованного оперативного управления конфигурациями VPN и МЭ, правилами NAT и прикладным проксированием на ЗАСТАВА-Агентах в локальных и глобальных IP сетях. Дополнительно на шлюзах ЗАСТАВА-Офис поддержано управление аутентификацией пользователей по протоколу XAUTH с использованием внешних RADIUS серверов, а также выделением ЗАСТАВА-Клиентам локальных IP адресов по протоколу IKE-CFG.

ЗАСТАВА-Управление позволяет создавать, редактировать, транслировать, хранить, подписывать, доставлять по защищенным каналам и активировать политики сетевой безопасности на управляемых агентах. Ведется мониторинг состояния агентов, есть возможность собирать и просматривать данные событийных журналов по протоколу SYSLOG, вести и контролировать внутренний журнал регистрации событий, поддерживать базу управляющей информации SNMP (MIB). ЗАСТАВА-Управление может использовать отчуждаемые носители информации (PKCS#11-совместимые токены) для хранения критической информации пользователей, цифровых ключей и их сертификатов.

ЗАСТАВА-Управление работает не только с агентами ЗАСТАВА-Офис и ЗАСТАВА-Клиент, но и обеспечивает управление конфигурациями VPN и МЭ продуктов сетевой защиты лидеров зарубежного рынка информационной безопасности: Cisco IOS Router, МЭ Cisco PIX Firewall, шлюзов Check Point VPN-1/FireWall-1 Gateway, а также встроенных в ОС семейства Microsoft Windows агентов IPSec Agent. Это обеспечивает автоматическую согласованность политик сетевой безопасности в многовендорных VPN-сетях и — как следствие — более высокий уровень защищенности.

Компоненты ЗАСТАВА-Управление могут быть установлены на одном или отдельных компьютерах и работают под управлением ОС Microsoft Windows Server 2003/2003 SP1/2003 R2, Windows 2008/VISTA.

В ЗАСТАВА-Управление поддержаны несколько ролей администраторов безопасности, реализована активация политик по конфигурируемому расписанию, встроена функция импорта политик VPN/FW агентов третьих производителей. Гибкий лицензионный механизм позволяет без приобретения лицензии опробовать полный процесс конфигурирования, редактирования, трансляции и отображения политик безопасности в графическом интерфейсе пользователя (ГИП).

ЗАСТАВА-Управление генерирует Глобальную Политику Безопасности (ГПБ) — набор правил для КИС как единого целого на уровне бизнес-объектов и ролей. ГПБ-проект создается в ЦУП-Консоли и включает в себя сведения о топологии сети (описания объектов с их идентификационной информацией), и правила взаимодействия объектов. ГПБ соответствует бизнес-процессам и основывается на бизнесролях защищаемых объектов в структуре организации, что позволяет удобным для администраторов безопасности способом задавать и отображать правила защищенного взаимодействия пользователей и информационных ресурсов.

Результирующие конфигурации VPN и МЭ — Локальные Политики Безопасности (ЛПБ) — для всех управляемых агентов сетевой защиты автоматически генерируются из ГПБ. При этом производится контроль непротиворечивости и согласованность конфигураций VPN и МЭ всех управляемых агентов, что значительно снижает риски несанкционированного доступа либо — наоборот — недоступности сервисов КИС, возникающие из-за несогласованностей или ошибок при раздельном или ручном конфигурировании агентов.

Комплекс обеспечивает автоматическое восстановление работоспособности агентов Застава в случае:

• — аппаратного отказа оборудования одного из узлов кластера;
• — отказа каналов связи с одним из узлов;
• — отказа программного обеспечения Застава на одном из узлов.

Работу кластера поддерживает Застава-Управление, которое формирует и транслирует глобальную политику безопасности, отслеживает состояние узлов комплекса. Каждый из узлов кластера работает в двух режимах — активном и пассивном. В один момент времени работает только активный узел, а пассивный узел не участвует в сетевом взаимодействии. При возникновении нештатной ситуации кластер автоматически восстанавливает работоспособность, за несколько секунд заменяя вышедший из строя узел или канал связи на резервный, пассивный. Процесс смены активного узла практически не влияет на работу систем и приложений в защищаемой зоне.

Серверные узлы кластера работают под управлением операционных систем SUN Solaris (SPARC и x86) 32 и 64 Бит Рисунок 2.2 Кластерная реализация ПАК ЗАСТАВА.

В качестве аппаратной платформы для VPN-шлюзов Застава-Офис, установленных на кластерном узле, могут использоваться как SPARC — серверы SUN Microsystems, так и компьютеры других производителей на Intel процессорах, иначе говоря, любые серверы на которых работает ОС SUN Solaris (SPARC и x86). Использование комплексов высокой доступности Застава позволяет обеспечить стабильный удаленный доступ к корпоративной информационной системе и организовать надежное разделение ее на зоны, в которых обрабатывается информация разной степени секретности. Высокая производительность системы и автоматическая замена активных узлов кластера в случае отказа делают работу средств защиты практически незаметной для пользователя. Наличие сертификатов ФСТЭК на основное программное обеспечение и криптоалгоритмы позволяет применять кластерные комплексы высокой доступности. Застава для защиты конфиденциальной информации предприятиях оборонного комплекса, и федеральных органах власти, в государственных учреждениях и организациях.

Основные технические характеристики программного продукта ЗАСТАВА — Офис приведены в таблице 2.1.

Таблица 2.1 Основные технические характеристики программного продукта ЗАСТАВА — Офис.

Аппаратная платформа, на которую устанавливается программный продукт ЗАСТАВА — Офис, должна иметь не менее двух сетевых адаптеров, один из которых подключается к внутренней сети, а другой — к внешней [11].

Использование VPN-продуктов ЗАСТАВА для защиты информации в распре-деленных сетевых информационных системах масштаба предприятия характери-зуется следующими достоинствами:

• — с помощью средств защиты ЗАСТАВА может быть защищена вся корпора-тивная сеть — от крупных локальных сетей офисов до отдельных рабочих мест. Защита может быть распространена на все звенья сети — от сегментов локальных сетей до коммуникационных каналов глобальных сетей, в том числе выделенных и коммутируемых линий;
• — с полной безопасностью для информационных ресурсов организации могут использоваться ресурсы открытых сетей в качестве отдельных коммуникационных звеньев корпоративной сети — все угрозы, возникающие при использо-вании сетей общего пользования, будут компенсироваться средствами защи-ты информации;
• — наряду с защитой трафика обеспечиваются подконтрольность работы сети и достоверная идентификация всех источников информации. При необходимости может быть обеспечена аутентификация трафика на уровне отдельных пользователей;
• — программные и программно-аппаратные средства защиты информации по-зволяют сегментировать информационную систему и организовать безопас-ную эксплуатацию системы, обрабатывающей данные различных уровней конфиденциальности;
• — система защиты информации не накладывает ограничений на приложения и легко интегрируется с существующими системами защиты информации прикладного уровня и общей администрацией безопасности организации [11].

VPN-продукты ЗАСТАВА обладают целым рядом преимуществ, определяющих их эффективность в защите как информации критичных информационных ресурсов корпораций, так и корпоративных инвестиций в информационные технологии.