NME-RVPN ViPNet

Категория: Сетевые экраны / Виртуальные частные сети / Шифрование Исполнение: Программно-аппаратный комплекс Тип операционной системы: Linux

Новое решение по защите информации для маршрутизаторов серии Cisco® 2800-3800 Integrated Services Routers в линейке продуктов ViPNet

Общие сведения

В 2006 году компанией Cisco Systems был представлен модуль NME - RVPN (Russia VPN Network Module) для маршрутизаторов серии Cisco ® 2800 и 3800 Integrated Services Routers. На аппаратном уровне модуль представляет собой инновационное решение, интегрированное с маршрутизаторами Cisco и специально разработанное для обеспечения российского рынка высокотехнологичным решением VPN (виртуальные частные сети, ВЧС) с передовыми технологиями Cisco и удовлетворяющим современным требованиям эффективной защиты всех видов сетевых взаимодействий.

Учитывая высокий рейтинг и распространенность на российском рынке программных решений защиты информации ViPNet производства компании «ИнфоТеКС», Cisco Systems санкционировала разработку и выпуск программно-аппаратного решения, объединяющего все преимущества аппаратных решений Cisco Systems и программных решений «ИнфоТеКС». При этом в качестве программного обеспечения, реализующего функции криптографического шлюза и межсетевого экрана, используется Linux-версия программного обеспечения ViPNet Coordinator.

Интеграцией ПО ViPNet Coordinator и модуля NME - RVPN на основании OEM-лицензии компании «ИнфоТеКС» занимается технологический партнер Cisco, компания ЗАО «С-Терра СиЭсПи». Новый программно-аппаратный комплекс (ПАК) получил название NME - RVPN ViPNet.

Рис.1. Внешний вид NME - RVPN ViPNet

Архитектура

Программно-аппаратный комплекс NME - RVPN ViPNet можно установить в маршрутизаторы Cisco ISR 2811, 2821, 2851, 3825 и 3845 с версией IOS 12.4(11) T или выше. При этом ПАК NME - RVPN ViPNet работает независимо от IOS маршрутизатора, используя программное обеспечение ViPNet Coordinator Linux , установленное на компакт флэш-карте (Compact Flash) модуля. Программное обеспечение модуля функционирует под управлением адаптированной ОС Linux.

Аппаратно ПАК NME - RVPN ViPNet представляет собой вычислительную платформу на базе процессора Intel Celeron-M 1.0 ГГц с 512 МБ оперативной памяти и 512 МБ Compact Flash (рисунок 2). Для подключения к локальной сети модуль имеет внешний интерфейс Gigabit Ethernet. Аналогичный внутренний интерфейс осуществляет взаимодействие и передачу данных между модулем и маршрутизатором.

Рис. 2. Архитектура ПАК NME-RVPN ViPNet и Cisco Integrated Services Router

Программное обеспечение ViPNet Coordinator Linux

Программное обеспечение ViPNet Coordinator Linux, входящее в ПАК, является одним из программных продуктов линейки ViPNet CUSTOM и обладает следующей основной функциональностью:

• Криптошлюза для организации защищенных туннелей в рамках виртуальной частной сети ViPNet;
• Межсетевого экрана;
• Сервера IP-адресов виртуальной частной сети (поддержка работы удаленных мобильных пользователей и любых других узлов VPN с динамическими IP -адресами);
• Программное обеспечение ViPNet Coordinator Linux разрабатывается и поддерживается компанией «ИнфоТеКС» уже более 6 лет. Одним из показательных примеров успешного внедрения данного программного обеспечения является проект по защите каналов связи в системе продажи железнодорожных билетов АСУ «Экспресс-3».

Возможности и преимущества

Применение ПАК NME - RVPN ViPNet в составе маршрутизатора Cisco Integrated Services Router 2800/3800 и общей инфраструктуре решений ViPNet обеспечивает эффективную реализацию множества сценариев защиты информации, включая:

• Межсетевые взаимодействия;
• Защищенный доступ удаленных и мобильных пользователей;
• Защита беспроводных сетей;
• Защита мультисервисных сетей (включая IP телефонию и видеоконференцсвязь);
• Защита платежных систем и систем управления технологическими процессами в производстве и на транспорте;
• Разграничение доступа к информации в локальных сетях;
• а также любые комбинации перечисленных выше сценариев.

Межсетевые взаимодействия

Сценарии защиты межсетевых взаимодействий (LAN-to-LAN VPN) применяются для защиты коммуникаций территориально распределенных корпоративных сетей через публичные (открытые, не заслуживающие доверия) сети и каналы связи.

По сути, применение VPN-решений для этих целей не должно приводить к понижению требований к характеристикам непосредственно канала передачи данных, таких как поддержка множественности протоколов, высокая надежность, большая масштабируемость. Наоборот, современные VPN-решения должны обеспечивать большую ценовую эффективность и большую гибкость в реализации таких требований. Большую ценовую эффективность можно получить, например, за счет возможности использовать публичные каналы для передачи информации, что ранее было недоступно.

Использование для этой цели маршрутизаторов Cisco ISR (рисунок 3) с установленным ПАК NME - RVPN ViPNet в полной мере выполняет поставленную выше задачу.

Рис.3. Защита межсетевых взаимодействий.

Существенным преимуществом программного обеспечения ViPNet в этом случае является поддержка технологии виртуальных IP-адресов, которая позволяет, не выполняя перенастройку IP-адресов и маршрутизации, включать в состав VPN локальные сети с перекрывающимися диапазонами IP-адресов.

Разграничение доступа к информации в локальных сетях

Сценарии разграничения доступа к важной информации в локальных сетях путем организации VPN внутри этих сетей являются эффективным дополнением к широко применяемому способу разграничения доступа за счет межсетевых экранов. Такое дополнение позволяет упростить архитектуру локальной сети, так как появляется возможность организовывать логические (виртуальные) подсети без физической перестройки сети с надежными криптографическими способами разграничения доступа.

В решениях ViPNet для реализации таких сценариев (Рисунок 4) существуют следующие функциональные возможности:

• Наличие программного обеспечения ViPNet Client — VPN-клиента с развитыми сервисными возможностями, поддерживающего VPN-соединения типа «точка-точка» (т. е. два компьютера с ПО ViPNet Client могут взаимодействовать напрямую, минуя криптошлюз - POINT-to-POINT, более подробно о ViPNet Client см.ниже);
• Поддержка однокаскадного включения криптошлюзов, реализуемого программным обеспечением ViPNet Coordinator.

Рис.4. Разграничение доступа к информации в локальных сетях.

Использование в качестве криптошлюзов/межсетевых экранов маршрутизаторов Cisco ISR с установленным ПАК NME - RVPN ViPNet позволяет в составе единого комплексного решения получить весь необходимый функционал и большие потенциальные возможности по добавлению новых сервисов (например, IP-телефонии, поддержки видео- и аудиоконференций, приоритезации трафика).

Защищенный доступ удаленных и мобильных пользователей (включая защиту беспроводных каналов связи)

Сценарии удаленного доступа пользователей (Remote Access VPN) применяются для защиты доступа удаленных или мобильных пользователей в корпоративную сеть через публичные (открытые, не заслуживающие доверия) сети или каналы связи к корпоративным сетевым ресурсам.

Для организации удаленного доступа в этом случае необходимо на рабочих станциях и мобильных компьютерах (Рисунок 5) использовать программное обеспечение ViPNet Client, которое функционирует под управлением ОС Windows 2000/ XP /2003 и выполняет следующие функции:

• VPN клиента с поддержкой динамических и виртуальных IP-адресов, обеспечивающего прозрачное шифрование всего IP-трафика любых приложений при обмене с узлами VPN;
• Персонального сетевого экрана с раздельной настройкой фильтрации открытого (Интернет) и закрытого (передаваемого внутри VPN ) IP-трафиков, а также режимом невидимости для открытых ресурсов (технология установления инициативных соединений «Бумеранг»);
• Контроля и ограничения сетевой активности приложений и компонентов операционной системы;
• Встроенной защищенной службы мгновенных сообщений и передачи файлов (чат/конференция и файловый обмен);
• Встроенной защищенной почтовой службы с интегрированными механизмами электронно-цифровой подписи.

Рис. 5. Защищенный доступ удаленных и мобильных пользователей.

ПО ViPNet Client доступно в версиях на русском и английском языках, поддерживает современные технологии проводной и беспроводной связи, прозрачную работу через устройства со статической и динамической трансляцией IP-адресов (Static / Dynamic NAT / PAT), а также содержит в своем составе Microsoft-совместимый криптопровайдер (MS CryptoAPI 2.0) для использования в приложениях пользователя функций шифрования и ЭЦП на алгоритмах ГОСТ.

В рассматриваемом сценарии удаленного доступа маршрутизатор Cisco ISR 2800/3800 с установленным ПАК NME - RVPN ViPNet может выступать в роли единого сервера доступа VPN для удаленных и мобильных пользователей.

Защита мультисервисных сетей

Сценарии защиты мультисервисных сетей являются квинтэссенцией вышеперечисленных сценариев, так как требуют поддержки со стороны технологий VPN и возможности защиты межсетевого обмена, и организации удаленного доступа мобильных клиентов, и разграничения доступа в локальных мультисервисных сетях. Одним из основных требований, выдвигаемых при этом к программным и аппаратным решениям VPN, является требование поддержки приоритезации трафика. Помимо этого работа VPN-компонентов не должна приводить к изменению временных параметров IP-трафика (частоте следовании пакетов, задержек при передаче пакетов по сети и т. п.), а также существенному увеличению накладных расходов на организацию VPN-соединений.

Всем этим требованиям удовлетворяют решения ViPNet (Рисунок 6) при использовании в качестве криптошлюзов маршрутизаторов Cisco ISR с установленным ПАК NME - RVPN ViPNet:

• Наличие VPN-клиента — возможность включения в защищенную мультисервисную сеть программных (software) решений (софт, IP-телефоны, WEB-камеры, ПО для организации аудио-и видеоконференций).
• Поддержка приоритезации трафика — широкие возможности по управлению трафиком оборудования Cisco + мапирование TOS-флагов в ПО ViPNet — обеспечение заданной полосы пропускания для реализации высококачественных мультимедийных услуг в режиме реального времени.
• Произвольное комбинирование различных способов организации VPN — LAN-to- LAN, LAN-to-POINT, POINT-to-POINT, каскадное включение криптошлюзов — гибкость в удовлетворении требований заказчика и минимизация его затрат на изменения в архитектуре сети при добавлении функций защиты.


Рис. 6. Защита мультисервисных сетей.

• Внедрение решений ViPNet с маршрутизаторами Cisco ISR и ПАК NME - RVPN ViPNet при создании защищенных мультисервисных сетей представляется качественно новым предложением, объединившем в себе выполнение высоких требований к устройствам управления трафиком и организации сетей передачи данных и столь же высоких требований, включая требования регулирующих органов Российской Федерации, к устройствам защиты информации.

Преимущества

Сравнивая решение на базе ПАК NME - RVPN ViPNet с другими решениями по организации VPN, представленными на рынке, можно выделить следующие преимущества:

• Возможность использования во множестве сценариев защиты информации в корпоративных локальных и распределенных сетях передачи данных.
• Реализация в виде модуля расширения к хорошо известной архитектуре маршрутизаторов Cisco ISR 2800/3800, что упрощает действия по подключению и коммутации модуля в составе сетеобразующего оборудования.
• Наличие развитого клиентского ПО ViPNet Client, реализующего функции VPN-клиента.

Спецификация

Спецификация ПАК NME - RVPN ViPNet представлена в таблице 1.

Таблица 1. Спецификация продукта.

Характеристика	Описание
Аппаратные характеристики модуля NME - RVPN
Процессор	1 ГГц Intel Celeron-M
Память DRAM	512M Б DDR2
Сетевые интерфейсы	Один внутренний интерфейс 1000 Мб/с Ethernet Один внешний интерфейс10/100/1000 Мб/с Ethernet
Память Flash	512 MБ Compact Flash
Физические характеристики модуля NME - RVPN
Физические размеры (В x Ш x Д)	3.9 x 18.0 x 18.3 см
Вес	567 г
Рабочая влажность	5 % до 95 %, без конденсата
Рабочая температура	0-40°C
Температура хранения	-25°C до 70°C
Рабочая высота над уровнем моря	Макс. 3048 м при 25 ° C
Мощность	21 Вт
Сертификаты по безопасности	· Underwriters Laboratory 1950 · CSA - C 22.2 No . 950 · EN 60950 · IEC 60950
Сертификаты по электромагнитной совместимости	· 47 CFR Part 15 Class A · CISPR22 Class A · EN300386 Class A · EN55022 Class A · EN61000-3-2 · EN61000-3-3 · VCCI Class I · AS/NZS CISPR 22 Class A
Сертификаты по электромагнитной помехоустойчивости	· CISPR24 · EN300386 · EN50082-1 · EN55024 · EN61000-6-1
Сертификат соответствия	№ РОСС US . ME 61. B 03697 от 19.12.2006 по 18.12.2008 по ГОСТ-Р МЭК60950-2002, ГОСТ 26329-84 (п.п. 1.2, 1.3), ГОСТ Р 51318.22-99, ГОСТ Р 51318.2-99, ГОСТ Р 51317.3.2-99, ГОСТ Р 51317.3.3-99

Функциональные возможности

Функциональные возможности ПАК NME - RVPN ViPNet представлены в таблице 2.

Таблица 2.

Характеристика	Описание
Совместимость с другими программами	C любыми VPN-продуктами из линейки ViPNet CUSTOM версий 2.8 и 3.0 (ViPNet Coordinator, ViPNet Coordinator Failover, ViPNet Client)
Протоколы туннелирования	По технологии ViPNet (инкапсуляция IP-трафика в IP #241 и UDP)
Шифрование/ Аутентификация	Шифрование по ГОСТ 28147-89 (256 бит), Аутентификация для каждого зашифрованного IP-пакета на основе технологии симметричного распределения ключей ViPNet и уникального идентификатора
Инфраструктура ключей	Парные симметричные ключи шифрования, обеспечивающие на несколько порядков более высокую стойкость шифрования, чем системы PKI. Симметричная ключевая структура не требует дополнительных открытых процедур синхронизации для формирования ключей, что повышает помехозащищенность системы, исключает задержки в обработке любых сетевых протоколов, обеспечивает мгновенность (по первому поступившему IP-пакету) организацию любых сетевых подключений других участников VPN. Автоматическое распределение симметричной ключевой информации при появлении в сети новых пользователей, задании в Центре управления сетью новых связей или удалении существующих связей, компрометации ключей или штатных процедурах смены ключевой информации.
Маршрутизация	Статическая маршрутизация; Прозрачность для NAT -устройств (для защищенного трафика); VPN-клиент, поддержка DHCP, DNS, WINS ; Туннелирование трафика между локальными сетями и с удаленными пользователями, организация прямого взаимодействия удаленных VPN-клиентов между собой, удаленных VPN-клиентов с локальными VPN-клиентами, локальных VPN-клиентов внутри локальной сети. Это достигается за счет технологии оповещения ViPNet-координаторами каждого участника VPN напрямую или через другие ViPNet-координаторы о способах подключения, IP-адресах связанных между собой участников VPN. Автоматическая регулировка параметров MSS в TCP-сессиях для исключения излишней фрагментации трафика, которая может возникать при передаче длинных пакетов. Возможность работы при изменении собственных IP-адресов, IP-адресов NAT–устройств, возможность работы за устройствами с динамическими правилами NAT. Возможность каскадирования в сегментированных сетях с целью разграничения доступа. Возможность назначения виртуальных IP-адресов для любых удаленных узлов.
Фильтрация	Фильтрация по IP-адресу источника и назначения (или диапазону IP-адресов), номерам портов и типам протоколов, типам и кодам сообщений ICMP, направлению пакетов, клиенту или серверу в TCP-соединении. Контроль фрагментированных пакетов, DoS-атаки Фильтрация сессии FTP; Поддержка режима открытых инициативных соединений (режим невидимости для внешних хостов); Поддержка раздельной фильтрации для открытого IP-трафика (функция межсетевого экрана) и шифруемого IP-трафика (функция криптошлюза).
Настройка и управление	Настройка через специализированную консоль ПО ViPNet Coordinator; Удаленная настройка базовых параметров через ViPNet Administrator; Поддержка SNMP trap для удаленного оповещения о событиях; Удаленный запрос журнала IP-пакетов (через Windows-продукты ViPNet Coordinator и Client); Java-апплет мониторинга текущего состояния ПАК.
Поддержка QoS	IP TOS мапирование поверх зашифрованных IP-пакетов (IP #241 или UDP), то есть сохраняется классификации трафика для защищенных пакетов, приоритетная обрабока голосового и видеотрафика
Высокая доступность и надежность	Отсутствует понятие защищенных соединений, поэтому нет задержек в сетевых протоколах и их нарушений (любой IP-пакет обрабатывается сразу после получения), а также потери соединений и необходимости их восстановления, как в технологии IPSec. Специальная архитектура файловой системы предотвращает возможность порчи образа операционной системы и ПО ViPNet при сбоях питания. На базе данного продукта можно реализовать отказоустойчивое решение (failover).
Обновление ПО модуля	Централизованное удаленное обновление ПО ViPNet Coordinator Linux в модуле через ViPNet Administrator с возможностью контроля за прохождением обновления.

Сертификация по требованиям ФСТЭК и ФСБ РФ

ПАК NME-RVPN ViPNet создан на базе ПО ViPNet Coordinator Linux, которое успешно прошло сертификацию на соответствие требованиям ФСБ РФ к СКЗИ, МЭ и на соответствие требованиям ФСТЭК РФ к МЭ.

ПАК NME-RVPN ViPNet в виде самостоятельного изделия сертификацию по требованиям ФСБ РФ и ФСТЭК РФ не проходил.

Системные требования

Системные требования для ПАК NME - RVPN ViPNet представлены в таблице 3 .

Таблица 3. Системные требования

Требование	Описание
Оборудование	Cisco 2811, 2821 или 2851 Integrated Services Routers Cisco 3825 или 3845 Integrated Services Routers
Программное обеспечение	Cisco IOS ® Software Release 12.4(11) T или более поздний, установленный на маршрутизаторе, программный комплекс ViPNet CUSTOM версий 2.8 и 3.0

Заказы

ПАК NME-RVPN ViPNet можно заказать непосредственно в компании «ИнфоТеКС» или у её бизнес-партнеров.

Техническое сопровождение

Техническая поддержка решений на базе ПАК NME-RVPN ViPNet для конечных пользователей оказывается компанией «ИнфоТеКС» или системными интеграторами, которые являются бизнес-партнерами компании «ИнфоТеКС».
За дополнительными разъяснениями Вы можете обратиться в компанию «ИнфоТеКС» по телефону + 7 (495) 737-6196 или отправить сообщение на e-mail: hotline@infotecs.ru.
Примечание:
Пожалуйста, не обращайтесь в Cisco Technical Assistance Center (TAC) по вопросам, связанным с программно-аппаратным комплексом NME - RVPN ViPNet.