В таблице ниже приведены доступные на сегодня характеристики продуктов CSP VPN и продуктов прочих российских производителей продуктов сетевой безопасности. Сравнительный анализ российских продуктов CSP VPN проведен в базе критериев, разработанных в статье П.А. Тимофеева «Средства криптографической защиты информации компьютерных систем и сетей», Information Security, март, 2004. Данные из этой статьи:
| Средство | Разработчик/поставщик | Используемые алгоритмы шифрования | Протокол передачи данных | Сетевая среда | Скорость шифрования | Фильтрация пакетов | Поддерживаемые операционные системы | Ведение журнала | Дополнительные функциональные возможности и особенности продукта |
| Широкополосный аппаратный IP-шифратор «Заслон» (М-543 и М-543К) | ЗАО «Голлард» | ГОСТ 28147-89 | IP v. 4 | Основанная на протоколе IP | 22,5 Мбайт/с (180 Мбит/с); 200 000 пакетов/с |
По адресной информации и имитовставкам | Любые | Вскрытие устройства | Поддержка работы приложений
реального времени (видеоконференции, IP-телефония и др.). Функционирование
в полнодуплексном режиме. Обеспечивается шифрованный обмен данными между
100 локальными сетями, включающими до 64 оконечных устройств каждая.
Топология сети - «Звезда» или «Полная матрица». Индивидуальный ключ для
каждого направления обмена. Носитель ключевой информации - ГМД
3½”. Сертификаты ФСБ РФ № СФ/124-0692 и СФ/024-0691 от 20.04.2004 |
| Сертифицированный комплекс средств криптографической защиты информации М-448 | ЗАО «СПб РЦЗИ» | ГОСТ 28147-89; заданный заказчиком и загружаемый в эксплуатации | PPP, UDP/IP, TCP/IP, ESP/IP-Sec | Двухточечное соединение, IP-сеть | От 115,2 до 6000 Кбит/с | Есть | MS DOS, Windows 98/XP, МС ВС | Есть, с дистанционным контролем и сбором журналов НСД, ведущихся непосредственно в аппаратуре | Независимость от средств
информационных систем. Несекретность аппаратуры. Оперативное управление
ключевой сетью по открытым каналам связи. Реализация набора
криптографических алгоритмов защиты файлов для организации защищенного
документооборота, в том числе формирование/проверка ЭЦП; API-интерфейс для
разработки защищенных АРМ. Серийные поставки аппаратуры с 2003 года |
| Комплекс средств криптографической защиты информации М-484 | ЗАО «СПб РЦЗИ» | ГОСТ 28147-89 | Любой для двухточечного соединения | Двухточечное соединение | 115,2 Кбит/с | Нет | Без ограничений | Нет | Модификации для конфиденциальной, секретной и сов.секретной информации, защита голоса, работа с сотовыми с спутниковыми средствами связи |
| Криптомаршрутизатор КМ | НИИ «Энергия»/ООО «Фактор-ТС» | ГОСТ 28147-89 | TCP/IP, TCP/IP over X.25 | TCP/IP, X.25 | 20 Мбит/с | TCP, UDP, SMTP, FTP, HTTP и др. | Собственная, DOS | Есть | Поддержка QOS,
Multicasting. Соответствует требованиям к стойкости шифровальных средств класса КДС-1.02 и может использоваться в сетях шифрованной связи 1 класса |
| Многоуровневый криптомаршрутизатор DioNIS FW/KM | ООО «Фактор-ТС» | ГОСТ 28147-89 | TCP/IP, TCP/IP over X.25 | TCP/IP, X.25 | 100 Мбит/с | TCP, UDP, SMTP, FTP, HTTP и др. | Собственная, DOS | Есть | Поддержка QOS,
Multicasting. Маршрутизация на прикладном уровне - сообщений |
| SmartNet | ЛАН Крипто | - NUSH (фирменная разработка); - AES; - Triple DES; - ГОСТ 28147-89 |
Выработка общего ключа: - ISAKMP; - IKE v.1; - IKE v.2; Передача данных: - IP AH; - IP ESP |
Ethernet | Алгоритм
кодирования/раскодирования - NUSH 68\102 - ГОСТ 28147 40\40 - AES 45\45 (Pentium IV 2 ГГц) |
По: - IP-адресу или отрезку адресов источника/приемника; - вышележащему протоколу; - номеру порта или отрезку номеров источника/приемника; - полю Flow Label для IP-пакета версии 6; - IP Security Options заголовка; - данным IP-пакета |
Windows 2000/XP | Есть | |
| Аппаратное СКЗИ «Вектор-01» | Специализированный центр программных систем (СЦПС) «Спектр» и Центр речевых технологий (ЦРТ) | ГОСТ 28147-89 | Модемные протоколы | СКЗИ устанавливается в канале между COM-портом компьютера (RS232) и внешним модемом | 115,2 Кбит/с (0,0144 Мбайт/с) | Нет | Windows 98/2000/XP/2003 | Автоматическое тестирование. Регистрация сеансов и попыток НСД | Ключевой носитель - Dallas Touch Memory. Поддержка до 125 корреспондентов. Увеличение времени передачи данных за счет шифрования - не более 4-6% |
| Программный комплекс ViPNet | ОАО «ИнфоТеКС» | ГОСТ 28147-89 | TCP/IP | Ethernet | До 100 Мбит/с | Есть | Windows 98/ME/NT/2000/2003/XP, Linux, Solaris 8 | Есть | Есть контроль целостности ОС (при использовании СКЗИ «Домен-К» в комплектации 2). Завершается сертификация в ФСБ России |
| Программно-аппаратный VPN-агент «КРИПТОН IP Mobile» | ООО Фирма «Анкад» | ГОСТ 28147-89 | Ethernet/Fast Ethernet, TCP/IP | Ethernet/Fast Ethernet | До 10 Мбайт/с | Нет | Windows 2000 | Нет | Есть: - контроль целостности передаваемой информации; - идентификация и аутентификация пользователя при запуске компьютера; - аутентификация источников и получателей IP-пакетов; - задание правил безопасности |
| Аппаратный комплекс «КРИПТОН AncNet 10/100» | ООО Фирма «Анкад» | ГОСТ 28147-89 | Fast Ethernet 802.3, 2000 Edition, 802.3 U, 802.3X; TCP/IP | 100 Base-FX, 10/100 Base-TX, 10 Base-T, 10 Base-FL (применение трансивера, поддержка интерфейса AUI) | 9 Мбайт/с | Есть | MS DOS, Windows NT/2000/XP, Linux | Есть | Есть: - контроль целостности загружаемой ОС; - идентификация и аутентификация пользователя при запуске компьютера; - защита от НСД ресурсов шифратора; - защита от НСД аппаратно-программных ресурсов компьютера; - контроль целостности передаваемой информации; - аппаратная блокировка от загрузки ОС с внешних носителей; - блокировка компьютера при НСД |
| Программно-аппаратный криптомаршрутизатор «КРИПТОН IP» | ООО Фирма «Анкад» | ГОСТ 28147-89 | Ethernet/Fast Ethernet, PPP, TCP/IP | Ethernet/Fast Ethernet | До 2 Мбайт/с | Есть | MS DOS | Есть | Есть: - аутентификация источников и получателей IP-пакетов; - сокрытие топологии локальной сети; - контроль целостности передаваемой информации; - защита от модификации программных модулей криптомаршрутизатора; - задание правил безопасности |
| Аппаратно-программный комплекс шифрования «Континент» | НИП «Информзащита» | ГОСТ 28147-89 | Собственный. Накладные расходы на шифрование трафика - 36 байт на пакет | До 80 Мбит/с (на процессоре Pentium IV, 2,4 МГц) | Фильтрация осуществляется по: - IP-адресам; - протоколам; - номерам портов; - состоянию соединения (stateful inspection) и т.д. |
Аппаратно-программная реализация. Собственная ОС на базе FreeBSD | Все события, связанные с работой
криптошлюза, регистрируются в журналах, в том числе события, связанные с
работой подсистем КШ; - события НСД; - информация о работе фильтра IP-пакетов |
Реализован механизм горячего резервирования компонент системы | |
| СКЗИ «Континент-АП» (из состава АПКШ «Континент») | НИП «Информзащита» | ГОСТ 28147-89 | Собственный. Накладные расходы на шифрование трафика - 36 байт на пакет | 14 Мбит/с (на процессоре Pentium III, 1,8 МГц) | Правила фильтрации хранятся централизованно и передаются на «Континент-АП» во время установления соединения | Windows 98/NT/2000/XP | В журнале фиксируются факты установления защищенного соединения | Существует возможность выдачи «Континенту-АП» внутрисетевого адреса |
| Средство | Разработчик/ поставщик |
Используемые алгоритмы шифрования | Протокол передачи данных | Сетевая среда | Скорость шифрования | Фильтрация пакетов | Поддерживаемые операционные системы | Ведение журнала | Дополнительные функциональные возможности и особенности продукта |
| VPN-клиент CSP VPN Client | ЗАО "С-Терра СиЭсПи" |
Российские
криптостандарты (сертифицированные криптопровайдеры "Крипто-Про",
"Сигнал-КОМ"; открытая криптоархитектура RFC 2628 позволяет встроить любую
внешнюю криптобиблиотеку и обеспечить унификацию криптосистем в рамках
корпоративного решения): - ГОСТ 28147-89, - ГOCT P 34-10-94, - ГOCT P 34-10-2001, - ГОСТ Р 34.11-94 Западные криптостандарты (не сертифицированы; используются в режиме теста/совместимости с западными продуктами): - DES, 3DES, AES - RSA - MD5, SHA-1 |
Протоколы защиты информации: - IPsec (RFC 2401) - AH (RFC 2402) - ESP (RFC 2406) - IKE (RFC 2409) - OAKLEY (RFC 2412) - ISAKMP (RFC 2408), ISAKMP DOI (RFC 2407) - XAUTH (двухфакторная аутентификация IKE) - IKE CFG (динамическое конфигурирование IP-адресов внутри VPN) Накладные расходы зависят от политики безопасности и составляют от 42 байт (IPsec ESP, ГОСТ 28147, транспортный режим) на пакет. Оттестированная совместимость по протоколам IPsec c Cisco IOS. Оттестированная устойчивость к IKE vulnerability test. |
Ethernet 10/100/1000 BaseT | До 230 Мбит/с (IPsec ESP ГОСТ 28147) на одном процессоре Intel Xeon 3.06 ГГц. Примечание. Производительность зависит от аппаратной платформы. Масштаб
платформы подбирается под скорость канала передачи данных.
См.
дополнительно. |
Межсетевой экран класса 4 по РД Гостехкимиссии, осуществляющий фильтрацию по
параметрам: по полям IP-заголовка - сетевой протокол (IP, ICMP, фильтрация команд ICMP) - транспортный протокол (TCP, UDP) - IP-aдреса по полям заголовка транспортного уровня - протокол прикладного уровня - направление TCP-соединения по параметрам протоколов IPsec - IKE identity, SPI (обеспечивается режим полной изоляции защищаемой сети, сокрытия топологии). |
Windows 2000/XP | Локальный или удаленный
(серверный) журнал на основе протокола Syslog. Сигнализация и сбор статистики на основе протокола SNMP (поддержка стандартного IPsec MIB). Интеграция с системами мониторинга CiscoWorks. HP Open View, Tivoli. |
Дистанционное управление
(консоль команд Cisco и графинтерфейс), централизованное управление
(CiscoWorks). Резервирование устройств с выравниванием нагрузки. Ключевые носители: контейнеры "КриптоПро", "Сигнал-КОМ" на произвольном носителе информации, электронные ключи eToken, ruToken. Сертификаты и PKI: интеграция с основными российскими производителями (X.509, LDAP). Поддержка QoS, реальный тест защиты сетей IP-телефонии. Управление загрузкой процессора шлюза при обработке трафика (антиблокировка, повышенная стойкость к DoS-атаке). |
| Шлюз безопасности CSP VPN Gate | ЗАО "С-Терра СиЭсПи" |
Ethernet 10/100/1000 BaseT V.35, RS530, X.21, G.703, G.704, G823 (в шлюзах CSP VPN Gate 3000, 7000 при использовании сетевых адаптеров Cronyx) |
Solaris 8, Linux |