CSP VPN Client

Программный комплекс «Клиент безопасности CSP VPN Client» обеспечивает защиту и пакетную фильтрацию трафика сетевых узлов, на которые он установлен. Линейка CSP VPN является частью решения по безопасности Cisco, адаптированного к российским стандартам информационной безопасности, и предназначена для использования в рамках идеологии Cisco SDN.

CSP VPN Client предварительно настраивается для массового развертывания с помощью технологии установки одним нажатием кнопки (One-Click-Installation). Создание политики клиента может быть осуществлено с помощью графического интерфейса административного пакета. При необходимости более тонкой настройки предоставляется возможность создания политики клиента в терминах локальной политики безопасности (LSP), являющейся внутренним представлением конфигурации CSP VPN агентов.

Программный комплекс CSP VPN Client представляет собой Агента Безопасности под управлением операционных систем MS Windows XP Professional (SP3), MS Windows Vista (SP2).

CSP VPN Client совместим со следующими продуктами компаний Cisco и S-Terra CSP:

  • Cisco Routers. IOS version 12.4 и выше;
  • Cisco PIX Security Appliance. Software version 6.3 и выше;
  • CSP VPN Server;
  • CSP VPN Gate – 100B/100/1000/3000/7000;
  • NME-RVPN (МСМ).

Сертификаты:

Характеристики:

  • Поддержка операционных систем MS Windows XP Professional, MS Windows Vista (32-bit).
  • Поддержка One-Click-Installation (OCI) пакета с использованием Windows Installer (MSI).
  • Подготовка OCI пакета с помощью графического пакета администратора.
  • Интеллектуальное отслеживание доступности партнёров обмена (DPD).
  • Аутентификация пользователя и загрузка политики безопасности CSP VPN Client при старте операционной системы.
  • Интегрированный сетевой экран.
  • Возможность работы мобильного пользователя в соответствии с политикой безопасности внутрикорпоративной сети (IKECFG клиент).
  • Обеспечение защиты трафика на уровне аутентификации/шифрации сетевых пакетов по протоколам IPsec AH и/или IPsec ESP.
  • Поддержка транспортного и туннельного режимов работы в рамках протоколов IPsec.
  • Обеспечение пакетной фильтрации трафика с использованием информации в полях заголовков сетевого и транспортного уровней.
  • Возможность получения сертификатов открытых ключей по протоколу LDAP.
  • Управляемое событийное протоколирование (syslog).
  • Мониторинг глобальной статистики по протоколу SNMP, совместимость с CiscoWorks. Monitoring Center for Performance 2.0.2, входящего в состав CiscoWorks VMS 2.3.
  • Прозрачность для работы сервиса QoS.
  • Поддержка инкапсуляции пакета ESP в UDP (NAT traversal).
  • Совместимость с PKI и LDAP службами зарубежных и российских производителей.

Спецификация продукта

Описание Спецификация
Операционные системы MS Windows XP Professional (SP3), MS Windows Vista (32-bit) Business (SP2)
Протоколы IKE/IPsec Стандарты RFC 2401 - 2412
Алгоритмы шифрования NULL, DES-CBC (IV32), 3DES-K168-CBC, IDEA-CBC, AES-K128-CBC, AES-K192-CBC, AES-K256-CBC, ГОСТ 28147-89
Алгоритмы электронно-цифровой подписи DSA, RSA, ГОСТ Р 34.10-2001
Алгоритмы вычисления хэш сумм MD5, SHA1, ГОСТ Р 34.11-94
Подключение внешних криптографических модулей Возможность встраивания криптобиблиотек в соответствии с RFC 2628. Подключаются модули прикладного уровня и уровня ядра операционной системы. В состав входят:
  • тестовый модуль для подключения западных криптоалгоритмов;
  • модуль для подключения криптобиблиотеки СКЗИ «КриптоПро CSP 3.6»(производитель – компания «Крипто-Про»), реализующей российские криптографические алгоритмы и функции;
  • модуль для подключения криптобиблиотеки СКЗИ  Крипто-Ком 3.2» (производитель – компания «Сигнал-КОМ»), реализующей российские криптографические алгоритмы и функции.
Информационные обмены протокола IKE Main mode, Aggressive mode, Quick mode, Transaction Exchanges, Informational Exchanges, VKO ГОСТ Р 34.10-2001
Режимы аутентификации в протоколе IKE Preshared key, RSA digital signature, DSA digital signature, ГОСТ Р 34. 10-2001
Обеспечение надежности (пересинхронизации) защищенных соединений Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)
Событийное протоколирование Syslog
Сбор статистики SNMP v.1, v.2c
Формат сертификатов публичных ключей X.509 v.3 (RSA, DSA, ГОСТ)
Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат
Способы получения сертификатов Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
Способ получения ключевой пары Генерация внешним PKI сервисом с доставкой через PKSC#12
Поддержка списка отозванных сертификатов Обработка Certificate Revocation List (CRL) опциональна
Поддерживается CRL v.2.
Способ получения CRL – протокол LDAP v.3
Работа через NAT Поддержана NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)