CSP VPN Server

Программный комплекс CSP VPN Server обеспечивает защиту и пакетную фильтрацию трафика сетевых узлов, на которых он установлен. CSP VPN Server предварительно настраивается для массового развертывания с помощью технологии установки одним нажатием кнопки (One-Click-Installation).

Создание политики сервера может быть осуществлено с помощью графического интерфейса административного пакета или или с помощью системы управления "С-Терра КП". При необходимости более тонкой настройки предоставляется возможность управления политикой сетевой безопасности в терминах локальной политики безопасности (LSP), являющейся внутренним представлением конфигурации CSP VPN агентов.

Программный комплекс CSP VPN Server представляет собой Агента Безопасности, используемого в качестве Агента Безопасности автономного сервера под управлением операционных систем:

  • MS Windows XP Professional (SP3)
  • MS Windows Vista (SP2)
  • Microsoft Windows Server 2003/2008 (поддерживается в версии 3.11)

Управление сервером безопасности CSP VPN Server осуществляется централизованно удаленно с использованием системы управления "С-Терра КП".

Программный комплекс CSP VPN Server B используется в качестве Агента Безопасности специализированных устройств в составе платежных систем: банкоматов, расчетных терминалов, кассовых аппаратов (POS-терминалов) и датчиков автоматизированных систем управления технологическими процессами.

CSP VPN Server совместим со следующими продуктами компаний Cisco и S-Terra CSP:

  • Cisco Routers. IOS version 12.4 и выше
  • Cisco PIX Security Appliance. Software version 6.3 и выше
  • CSP VPN Client
  • CSP VPN Gate - 100B/100/1000/3000/7000
  • NME-RVPN (МСМ)
  • Система управления "С-Терра КП"

Сертификаты

Версия 3.1 Версия 3.11
  • Сертификат ФСТЭК России (МЭ-3, НДВ-3, ИСПДн 1 класс)

  • Сертификат ФСТЭК России (ОУД 3+, ИСПДн 1 класс, класс 1Г)

  • Сертификат ФСБ России (КС1)

  • Сертификат ФСБ России (КС2)

  • Сертификат ФСТЭК России (НДВ-3, МЭ-3, ОУД 4)

  • Формуляр, согласованный ФСТЭК России (АС 1В, ГИС до 1 кл.вкл., ПДн 1-4 ур.защиты)



Характеристики

  • Обеспечение защиты трафика на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP. В версии 3.11 для защиты трафика может применяться комбинированное преобразование ESP_GOST-4M-IMIT в соответствии с документом “Методические рекомендации по использованию комбинированного алгоритма шифрования вложений IPsec на основе ГОСТ 28147-89”
  • Совместимость с токенами MS_KEY K производства компании MultiSoft, Рутокен S, Рутокен ЭЦП производства компании Актив, eToken PRO32k, eToken PRO64k, eToken NG-FLASH, eToken NG-OTP, eToken PRO (Java) производства компании Aladdin (в версии 3.11)
  • Интеллектуальное отслеживание доступности партнёров обмена (DPD)
  • Интегрированный сетевой экран
  • Обеспечение пакетной фильтрации трафика с использованием информации в полях заголовков сетевого и транспортного уровней
  • Возможность получения сертификатов открытых ключей по протоколу LDAP
  • Поддержка маскировки реального IP адреса (туннелирование трафика)
  • Управляемое событийное протоколирование (syslog)
  • Мониторинг глобальной статистики по протоколу SNMP, совместимость с CiscoWorks Monitoring Center for Performance 2.0.2, входящий в состав CiscoWorks VMS 2.3
  • Прозрачность для работы сервиса QoS
  • Поддержка инкапсуляции пакета ESP в UDP (NAT traversal)
  • Совместимость с PKI и LDAP службами зарубежных и российских производителей
Технические характеристики
Вернуться
к описанию

Спецификация

Описание Спецификация
Операционные системы MS Windows XP Professional SP3 Russian Edition, MS Windows Vista (32-bit) Business SP2 Russian Edition, Microsoft Windows Server 2003/2008 (поддерживается в версии 3.11)
Протоколы IKE/IPsec Стандарты RFC 2401 – 2412
Алгоритмы шифрования NULL, DES-CBC (IV32), 3DES-K168-CBC, IDEA-CBC, AES-K128-CBC, AES-K192-CBC, AES-K256-CBC, ГОСТ 28147-89
Алгоритмы электронно-цифровой подписи DSA, RSA, ГОСТ Р 34.10-2001
Алгоритмы вычисления хэш сумм MD5, SHA1, ГОСТ Р 34.11-94
Подключение внешних криптографических модулей Возможность встраивания криптобиблиотек в соответствии с RFC 2628. Подключаются модули прикладного уровня и уровня ядра операционной системы. В состав входят:
  • тестовый модуль для подключения западных криптоалгоритмов;
  • модуль для подключения криптобиблиотеки СКЗИ «КриптоПро CSP 3.6 (версия 3.1/3.11), 3.6R2 (3.1/3.11), 3.6R3 (3.11)» (производитель – компания «Крипто-Про»), реализующей российские криптографические алгоритмы и функции
  • модуль для подключения криптобиблиотеки СКЗИ «Крипто-Ком 3.2» (производитель – компания «Сигнал КОМ»), реализующей российские криптографические алгоритмы и функции. Данное СКЗИ используется в версии 3.1
Информационные обмены протокола IKE Main mode, Aggressive mode, Quick mode, Transaction Exchanges, Informational Exchanges, VKO ГОСТ Р 34.10-2001
Режимы аутентификации в протоколе IKE Preshared key, RSA digital signature, DSA digital signature, ГОСТ Р 34. 10-2001
Обеспечение надежности (пересинхронизации) защищенных соединений Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)
Событийное протоколирование Syslog
Сбор статистики SNMP v.1, v.2c
Формат сертификатов публичных ключей X.509 v.3 (RSA, DSA, ГОСТ). В версии 3.11 учтены изменения в соответствии с "Приказ ФСБ России от 27.12.2011 № 795" и "ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом"
Формат запроса на регистрацию сертификата при генерации ключевой пары  Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат
Способы получения сертификатов Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
Способ получения ключевой пары Генерация внешним PKI сервисом с доставкой через PKSC#12 (DSA, RSA).
Поддержка списка отозванных сертификатов Обработка Certificate Revocation List (CRL) опциональна. Поддерживается CRL v.2.
Способы получения CRL:
  • протокол LDAP v.3;
  • импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64).
Работа через NAT Поддержана NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)
Оформить заявку
Вернуться
к описанию