CSP VPN Gate 1000

Предназначается для обеспечения сетевой безопасности малых офисов (до 50 компьютеров).

CSP VPN Gate 1000 представляет собой программно-аппаратный комплекс – шлюз безопасности, функционирующий на аппаратной платформе под управлением операционной системы Sun Solaris 8.

CSP VPN Gate 1000 обеспечивает защиту транзитного трафика между различными узлами сети, защиту трафика самого шлюза безопасности, а также пакетную фильтрацию трафика. CSP VPN агенты являются частью решения по безопасности Cisco, адаптированного к российским стандартам информационной безопасности, и предназначены для использования в рамках идеологии CiscoSAFE.

Управление шлюзом безопасности CSP VPN Gate 1000 осуществляется централизованно посредством графического интерфейса центра управления CiscoWorks VPN/Security Management Solution v.2.2 – CiscoWorks Router Management Center (Router MC), Web-base интерфейса (аналог Cisco router SDM) или с помощью интерфейса командной строки. В Web-based интерфейсе и интерфейсе командной строки используются те же принципы управления, что и для Cisco IOS, что облегчает управление администраторам, имеющим опыт конфигурирования шлюзов безопасности и межсетевых экранов Cisco Systems.

CSP VPN Gate 1000 совместим со следующими продуктами компаний Cisco и S-Terra CSP:

Cisco Routers. IOS version 12.2(13)T и выше
Cisco PIX Security Appliance. Software version 6.3 и выше
CSP VPN Client
CSP VPN Server
CSP VPN Gate - 100B/100/1000/3000/7000

Решения CSP VPN обеспечивают построение виртуальных защищенных сетей (VPN) предприятия:

Шифрование (конфиденциальность), электронно-цифровая подпись (целостность, аутентификация) IP пакетов

Гибкость в реализации политики сетевой защиты (множественность алгоритмов шифрования, включая ГОСТ; сложные конфигурации туннелей)
Высокая стойкость защиты информации

Аутентификация узлов сети
Аутентификация пользователей
Контроль доступа на уровне хостов, индивидуальных пользователей и отдельных приложений
Формирование защищенных соединений между

Подсетями
Компьютерами (клиент-сервер, одноранговые клиенты)

Защита для сложных сетевых инфраструктур

Характеристики

Обеспечение защиты трафика на уровне аутентификации/шифрации сетевых пакетов по протоколам IPSec AH и/или IPSec ESP
Обеспечение пакетной фильтрации трафика с использованием информации в полях заголовков сетевого и транспортного уровней
Различные наборы правил обработки трафика на различных интерфейсах
Интеллектуальное обнаружение доступности узла сети (DPD)
Интегрированный межсетевой экран
Поддержка работы мобильного пользователя в соответствии с политикой безопасности внутрикорпоративной сети (IKE-CFG сервер)
Поддержка открытого интерфейса подключения криптографических модулей
Возможность получения сертификатов открытых ключей по протоколу LDAP
Поддержка маскировки реального IP адреса (туннелирование трафика)
Управляемое событийное протоколирование (syslog)
Мониторинг глобальной статистики по протоколу SNMP, совместимость с CiscoWorks VPN Monitor
Прозрачность для работы сервиса QoS
Поддержка инкапсуляции пакета ESP в UDP (NAT traversal)
Совместимость с PKI и LDAP службами зарубежных и российских производителей (RSA Keon, Microsoft, SunONE, КриптоПро, Валидата и Сигнал-КОМ)

Спецификация платформы

CSP VPN Gate 1000 базируется на аппаратной платформе Kraftway Prestige VV20, производства российской компании Kraftway.

Описание	Спецификация
Количество одновременно поддерживаемых VPN туннелей	50
Количество сетевых интерфейсов	2/3 (10/100 Mbps)
Объем оперативной памяти	256МB
Количество и тип процессоров	1 x VIA C3 1.0 GHz
Количество, объем и тип интерфейса жестких дисков	1 x 40GB ATA100/1GB IDE Flash Drive
Корпус	1U, 19'' rack mounted
Операционная система	Sun Solaris 8
Протоколы IKE/IPsec	Стандарты RFC 2401 - 2412
Алгоритмы шифрования	NULL, DES-CBC (IV32), 3DES-K168-CBC, IDEA-CBC, AES-K128-CBC, AES-K192-CBC, AES-K256-CBC, ГОСТ 28147-89
Алгоритмы электронно-цифровой подписи	DSA, RSA, ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001
Алгоритмы вычисления хэш сумм	MD5, SHA1, ГОСТ Р 34.11-94
Подключение внешних криптографических модулей	Возможность встраивания криптобиблиотек в соответствии с RFC 2628. Подключаются модули прикладного уровня и уровня ядра операционной системы. В состав входят: тестовый модуль для подключения западных криптоалгоритмов; модуль для подключения криптобиблиотеки СКЗИ КриптоПро 2.0 (производитель – компания КриптоПро), реализующей российские криптографические алгоритмы и функции; модуль для подключения криптобиблиотеки СКЗИ Крипто-Ком 3.1 (производитель – компания Сигнал КОМ), реализующей российские криптографические алгоритмы и функции
Информационные обмены протокола IKE	Main mode, Aggressive mode, Quick mode, Transaction Exchanges, Informational Exchanges
Режимы аутентификации в протоколе IKE	Preshared key, RSA digital signature, DSA digital signature, ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001
Дополнительные возможности IKE	Режим IKE-CFG для объединения различных сетевых объектов в виртуальную локальную сеть
Обеспечение надежности (пересинхронизации) защищенных соединений	Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)
Событийное протоколирование	Syslog
Сбор статистики	SNMP v.1, v.2c
Формат сертификатов публичных ключей	X.509 v.3 (RSA, DSA, ГОСТ)
Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом	Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат
Способы получения сертификатов	Протоколы IKE, LDAP v.3 Импорт из файла (bin и base64, PKCS7 bin и base64, PKCS#12 bin и base64)
Способ получения ключевой пары	Генерация продуктом с выдачей CER Генерация внешним PKI сервисом с доставкой через PKSC#12, контейнеры КриптоПро или Крипто КОМ
Поддержка списка отозванных сертификатов	Обработка Certificate Revocation List (CRL) опциональна. Поддерживается CRL v.2. Способы получения CRL: Протокол LDAP v.3 Импорт из файла (bin и base64, PKCS7 bin и base64, PKCS#12 bin и base64)
Работа через NAT	Поддержана NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)