Режим сервера портального доступа используется для организации персонального доступа пользователей к опубликованным на портале NGate веб-ресурсам в соответствии с корпоративными политиками ИБ. Режим VPN-сервера удалённого доступа предназначен для подключения к произвольным ресурсам с помощью VPN-клиента‚ поддерживающего все популярные платформы. При этом разграничение доступа возможно на уровне крипто шлюз подсетей, в том числе виртуальных (VLAN).
Межсетевые экраны — программно-аппаратные комплексы
Финальный опрос зрителей прямого эфира, как всегда, был посвящён итогам онлайн-конференции. Как оказалось, после просмотра дискуссии 34 % опрошенных собираются тестировать отечественные криптошлюзы, 24 % убедились в правильности выбранного ими решения. Мы попросили экспертов остановиться на некоторых особенностях применения решений этого класса в российских реалиях.
АПКШ “Континент” 3.9. Криптошлюз. Платформа IPCR50. KC3
Данное комплексное решение позволяет организовать выявление и блокирование атак, обнаружение уязвимостей и отслеживание периметра с дообучением на основе анализа отслеживаемого трафика. При этом NGate может поставляться с уже протестированными профилями безопасности. Будут ли вендоры предлагать криптошлюзы вне NGFW и других систем информационной безопасности?
Сертификация ФСБ России и ФСТЭК России
Программная часть выполнена на основе специально доработанной (с целью повышения её защищенности от несанкционированных воздействий по каналам связи) операционной системы Linux. Российский рынок VPN-шлюзов, как и многие другие сферы информационной безопасности, переживает времена турбулентности. Прогресс удалённой работы ещё больше повысил спрос на организацию зашифрованных соединений через интернет. Программное обеспечение VPN позволяет сотрудникам безопасно получать доступ к компьютерной сети своей организации во время удалённой работы. В этом году мы выпустили наш первый ViPNet Coordinator IG100 с поддержкой технологии PoE. На мастер-классе показали преимущества использования данной технологии в новых криптошлюзах, а также рассказали о всех возможностях ViPNet Coordinator IG.
- Комплекс «ФПСУ-IP» в основном предназначен для межсетевого экранирования и разграничения доступа на сетевом и транспортном уровнях, а также для построения виртуальных частных сетей на базе общедоступных (VPN), для оптимизации и повышения пропускной способности каналов связи.
- В данном режиме решение также может использоваться для обеспечения криптографической защиты конфиденциальной информации в системах видеоконференцсвязи, телемедицины и других информационных системах, предоставляющих доступ пользователей через браузер.
- ПАК предусматривает возможность единого централизованного управления конфигурациями, а также имеет веб-интерфейс для диагностики и администрирования.
- ПАК ViPNet Coordinator IG — это отечественный индустриальный шлюз безопасности для защиты промышленных сетей.
- Именно это назвали в качестве основного сценария применения шлюза 49 % респондентов.
- «С-Терра Шлюз» предназначен для обеспечения безопасности сети связи любой топологии (VPN) и с любым количеством туннелей.
- Опрос зрителей прямого эфира показал, что большинство из них используют VPN для удалённого доступа к ресурсам.
Ещё 39 % респондентов считают, что необходимо тестировать подобные разработки. Собираются оставаться на зарубежной аппаратной базе 7 % участников опроса, а 5 % предпочитают виртуальные шлюзы. Опрос зрителей прямого эфира показал, что большинство из них используют VPN для удалённого доступа к ресурсам. Именно это назвали в качестве основного сценария применения шлюза 49 % респондентов. Ещё 29 % отметили вариант объединения площадок (site-to-site), а 9 % — удалённый безагентский доступ к ресурсам.
Таким образом, эффективность применения мини-компьютеров АТБ-АТОМ-1 и АТБ-АТОМ-2 в связке с операционной системой ASTRA Linux является мощным решением в области информационной безопасности. Криптошлюз перенаправляет весь сетевой трафик через себя, при этом осуществляя его шифрование с применением выбранного криптографического алгоритма шифрования. В настоящее время существует два основных архитектурных способа применения криптошлюзов на сети, а именно, архитектуры «клиент-сервер» и «клиент-клиент» (точка-точка). В первом случае, криптошлюз устанавливается на сервере хранения и обработки данных, а клиентское устройство получает доступ к серверу с использованием специализированного программного обеспечения или веб-интерфейса.
Программно-аппаратный комплекс (ПАК) ViPNet Coordinator KB — шлюз безопасности, предназначенный для организации защищенных каналов связи по классу КВ. Решение позволяет обеспечить защищенную работу на произвольном, в том числе на недоверенном ПК, а также защищенный удаленный доступ к ресурсам организации с такого ПК. Для этой цели NGate используется совместно с Рутокен ЭЦП 2.0 Flash, во Flash память которого устанавливается операционная система и VPN-клиент NGate. При работе данного решения пользователь подключает Рутокен ЭЦП 2.0 Flash к произвольному ПК и выбирает загрузку с USB-токена.
Доступ к публичным сайтам по HTTPS назвали в качестве основного сценария 6 % опрошенных. Для этой цели NGate может использоваться совместно с решением FortiGate в составе шлюза безопасности «Граница». Где NGate обеспечивает криптографическую защиту передаваемой информации, а FortiGate – межсетевое экранирование и обнаружение вторжений. В данном режиме решение также может использоваться для обеспечения криптографической защиты конфиденциальной информации в системах видеоконференцсвязи, телемедицины и других информационных системах, предоставляющих доступ пользователей через браузер.
Виртуальная частная сеть (VPN) – это механизм создания безопасного соединения между вычислительным устройством и компьютерной сетью или между двумя сетями с использованием небезопасного средства связи, такого как общедоступный Интернет. VPN может предоставлять доступ к частной сети (той, которая запрещает или ограничивает публичный доступ) пользователям, у которых нет прямого доступа к ней, например, офисной сети, обеспечивающей безопасный доступ извне через Интернет. Преимущества VPN включают безопасность, снижение затрат на выделенные линии связи и большую гибкость для сотрудников, находящихся на удаленности. VPN создается путем установления виртуального соединения «точка-точка» с использованием туннельных протоколов по существующим сетям. На сегодняшний день разработано много технологических и схемных решений для организации защищенной передачи данных через сеть. Самая распространенная технология – средство криптографической защиты класса Hub-and-Spoke, в котором каждый канал связи соединяется с центром, и Full Mesh, при котором все каналы соединяются между собой.
Наряду с использованием мобильного VPN-клиента NGate, возможно также использовать собственное мобильное приложение, посредством встраивания в него КриптоПро CSP, реализующего поддержку TLS с ГОСТ для операционных систем iOS, Android и Аврора. ViPNet TLS Gateway – это высокопроизводительный TLS-криптошлюз, использующий российские и иностранные криптоалгоритмы. Модельный ряд включает в себя оборудование с широким диапазоном производительности, что позволяет подобрать решения для любого предприятия.
АТБ-АТОМ-1 и АТБ-АТОМ-2, могут использоваться в качестве криптошлюза, межсетевого экрана, маршрутизатора, сетевого контроллера и пр. Устройства совместимы с отечественными программными средствами защиты информации. Как криптошлюз ALTELL NEO позволяет организовать подключение удаленных пользователей по защищенному каналу (через VPN туннель) к локальной сети организации без снижения уровня ее защищенности.
Со стороны решения обеспечивается совместимость с различными продуктами, реализующими протокол TLS (SSL) на российском рынке в соответствии с методическими рекомендациями технического комитета по стандартизации ТК 26 (Криптографическая защита информации). ЦУС необходимо устанавливать отдельно в тех случаях, когда необходимо управлять шлюзами, распределенными по инфраструктуре организации или при объединении нескольких шлюзов в кластер. Для аутентификации сторон при построении Site-to-Site IPsec VPN можно использовать как PSK-ключи (Pre-Shared Key), так и сертификаты шлюзов. Для доступа к целевому ресурсу пользователю достаточно знать имя портала (например, employees.corp.ru), к которому ему необходимо подключиться. При этом администратор может создавать любое количество порталов доступа с разными политиками безопасности для различных групп пользователей (сотрудников, подрядчиков, заказчиков и т.д.).
Что касается Remote Access (удалённого доступа — ред.), то история с ГОСТ TLS для доступа к сайтам ещё недостаточно раскрутилась, однако со временем этот сегмент шагнёт вверх. Интеграция NGate с VDI-системами позволяет обеспечить защиту передаваемой конфиденциальной информации, в том числе персональных данных, в соответствии с требованиями законодательства РФ по информационной безопасности. Таким образом, режим VPN-сервера используется для предоставления пользователям доступа к произвольным ресурсам корпоративной сети с помощью VPN-клиента, поддерживающего все популярные платформы. При реализации VPN-доступа, также, как и в других режимах, возможно использование любых поддерживаемых методов аутентификации.
В результате загружается ОС, которая гарантированно свободна от вирусов и не взаимодействует с файловой системой ПК. Для повышения уровня защищенности при этом применяется многофакторная аутентификация. При этом сотрудник может работать со своими документами локально, используя входящее в состав офисное ПО и сохраняя их в защищенном разделе флеш-памяти, а также может обращаться к корпоративным ресурсам, используя защищенное VPN-соединение между VPN-клиентом и VPN-шлюзом NGate. Российский рынок криптошлюзов — вполне зрелый и развивается ещё с начала девяностых. На рынке представлены многочисленные решения от российских вендоров («НТЦ Атлас», «Элвис-Плюс», «Код Безопасности», «Амикон», «АльтЭль», «С-Терра СиЭсПи», ТСС, «Фактор-ТС», «КриптоПро», «ИнфоТеКС»). В настоящее время рынок VPN хорошо развит, ведь построение VPN-сетей является одной из базовых составляющих защиты географически распределённых сетей.
На мобильных устройствах установлен VPN клиент, с помощью которого пользователь получает защищенный доступ в сеть организации. Ведущий и модератор онлайн-конференции — Алексей Лукацкий, бизнес-консультант по безопасности компании Positive Technologies. Комплект поставки аппаратной платформы включает 3 (три) года гарантии от производителя аппаратной платформы. Данный функционал реализуется за счет интеграции NGate с системами класса Mobile Device Management (MDM), позволяющей производить централизованную установку VPN-клиентов, а также централизованную загрузку на них политик безопасности.
Обеспечивает шифрование, целостность и достоверность передаваемой информации в рамках доступных IP-сетей (в том числе сети «Интернет»). В качестве российского криптошлюза АТБ-АТОМ-1 и АТБ-АТОМ-2 целесообразно использовать во всех сфера деятельности, где существует необходимость защиты передаваемых данных. Сетевые интерфейсы и компоненты АТБ-АТОМ-1 и АТБ-АТОМ-2 гальванически развязаны между собой, что обеспечивает максимальную защиту передаваемых данных. Мини-компьютеры АТБ-АТОМ-1 и АТБ-АТОМ-2 полностью совместимы с отечественными операционными системами REDOS, ASTRA Linux и ALT Linux. Блок криптографической защиты входящий в состав криптошлююза обеспечивает сжатие IP-пакетов их шифрование и имитозащиту.
Leave a Reply