CSP VPN Gate 7000

Продукт CSP VPN Gate 7000 представляет собой высокопроизводительный программный комплекс – шлюз безопасности, функционирующий на аппаратной платформе под управлением операционных систем Red Hat Enterprise Linux 5, CentOS 5, Sun Solaris 10 x86.

Предназначается для обеспечения сетевой безопасности крупных офисов – одновременно может устанавливаться неограниченное количество туннелей.

Аппаратно-программный комплекс CSP VPN Gate 7000 обеспечивает защиту и пакетную фильтрацию как трафика подсетей, проходящего через него, так и защиту трафика самого шлюза безопасности.
Линейка CSP VPN является частью решения по безопасности Cisco, адаптированного к российским стандартам информационной безопасности, и предназначена для использования в рамках идеологии Cisco SDN.

Управление шлюзом безопасности CSP VPN Gate 7000 осуществляется:

  • централизованно удаленно посредством графического интерфейса центра управления CiscoWorks VPN/Security Management Solution v.2.3 – CiscoWorks Router Management Center (Router MC);
  • централизованно удаленно посредством графического интерфейса Cisco Security Manager 3.2 (CSM), который входит в состав Cisco Security Management Suite;
  • локально или удаленно по протоколу SSH с помощью интерфейса командной строки. В интерфейсе командной строки используется подмножество команд Cisco IOS, что облегчает управление администраторам, имеющим опыт настройки шлюзов безопасности и межсетевых экранов Cisco Systems;
  • удаленно с использованием Web-based интерфейса управления.

CSP VPN Gate 7000 совместим со следующими продуктами компаний Cisco и «С-Терра СиЭсПи»:

  • Cisco Routers. IOS version 12.4 (13a) и выше;
  • Cisco PIX Security Appliance. Software version 6.3 и выше;
  • CSP VPN Client;
  • CSP VPN Server;
  • CSP VPN Gate 100B/100/1000/3000;
  • NME-RVPN (МСМ).

Решения CSP VPN обеспечивают построение виртуальных защищенных сетей (VPN) предприятия:

  • Шифрование (конфиденциальность), электронно-цифровая подпись (целостность, аутентификация) IP пакетов:
    • гибкость в реализации политики сетевой защиты (множественность алгоритмов шифрования, включая ГОСТ; сложные конфигурации туннелей);
    • высокая стойкость защиты информации.
  • Аутентификация узлов сети.
  • Аутентификация пользователей.
  • Контроль доступа на уровне хостов, индивидуальных пользователей и отдельных приложений.
  • Формирование защищенных соединений между:
    • подсетями,
    • компьютерами (клиент-сервер, одноранговые клиенты).
  • Защита для сложных сетевых инфраструктур.

Сертификаты:

Характеристики:

    • Обеспечение защиты трафика на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP
    • Обеспечение пакетной фильтрации трафика с использованием информации в полях заголовков сетевого и транспортного уровней
    • Различные наборы правил обработки трафика на различных интерфейсах
    • Интеллектуальное отслеживание доступности партнёров обмена (DPD)
    • Интегрированный межсетевой экран
    • Поддержка работы мобильного пользователя в соответствии с политикой безопасности внутрикорпоративной сети (IKECFG сервер)
    • Возможность получения сертификатов открытых ключей по протоколу LDAP
    • Поддержка маскировки реального IP адреса (туннелирование трафика)
    • Управляемое событийное протоколирование (syslog)
    • Мониторинг глобальной статистики по протоколу SNMP, совместимость с CiscoWorks VPN Monitor
    • Прозрачность для работы сервиса QoS
    • Поддержка инкапсуляции пакета ESP в UDP (NAT traversal)
    • Совместимость с PKI и LDAP службами зарубежных и российских производителей.

    Спецификация платформы

      CSP VPN Gate 7000 выпускается на базе аппаратных платформ:

      • HP Proliant DL160
      • HP Proliant DL360
      • Kraftway Express 100
      • Kraftway Express 200
      • Sun Fire X4170
      • Cisco UCS C200 M2
      Описание Спецификация
      Количество одновременно поддерживаемых VPN туннелей Не ограничено
      Количество сетевых интерфейсов 2/4 (10/100/1000 Mbps)
      Объем оперативной памяти 2 – 4 GB
      Количество и тип процессоров 2 x Intel Xeon
      Количество, объем и тип интерфейса жестких дисков 1 SAS для модификации Standard
      2 SAS (RAID) для модификации High Performance
      Корпус 1U/2U, 19'' rack mounted;
      резервирование блоков питания для модификации HighPerformance
      Операционные системы Red Hat Enterprise Linux 5, CentOS 5, Sun Solaris 10 x86
      Протоколы IKE/IPsec Стандарты RFC 2401 – 2412
      Алгоритмы шифрования NULL, DES-CBC (IV32), 3DES-K168-CBC, IDEA-CBC, AES-K128-CBC, AES-K192-CBC, AES-K256-CBC, ГОСТ 28147-89
      Алгоритмы электронно-цифровой подписи DSA, RSA, ГОСТ Р 34.10-2001
      Алгоритмы вычисления хэш сумм MD5, SHA1, ГОСТ Р 34.11-94
      Подключение внешних криптографических модулей Возможность встраивания криптобиблиотек в соответствии с RFC 2628. Подключаются модули прикладного уровня и уровня ядра операционной системы. В состав входят:
      • тестовый модуль для подключения западных криптоалгоритмов;
      • модуль для подключения криптобиблиотеки СКЗИ «КриптоПро CSP 3.6» (производитель – компания «Крипто-Про»), реализующей российские криптографические алгоритмы и функции;
      • модуль для подключения криптобиблиотеки СКЗИ «Крипто-Ком 3.2» (производитель – компания «Сигнал-КОМ»), реализующей российские криптографические алгоритмы и функции.
      Информационные обмены протокола IKE Main mode, Aggressive mode, Quick mode, Transaction Exchanges, Informational Exchanges, VKO ГОСТ Р 34.10-2001
      Режимы аутентификации в протоколе IKE Preshared key, RSA digital signature, DSA digital signature, ГОСТ Р 34.10-2001
      Дополнительные возможности IKE Режим IKECFG для объединения различных сетевых объектов в виртуальную локальную сеть
      Обеспечение надежности (пересинхронизации) защищенных соединений Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)
      Событийное протоколирование Syslog
      Сбор статистики SNMP v.1, v.2c
      Формат сертификатов публичных ключей X.509 v.3 (RSA, DSA, ГОСТ)
      Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат
      Способы получения сертификатов Протоколы IKE, LDAP v.3
      Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
      Способ получения ключевой пары Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER.
      Генерация внешним PKI сервисом с доставкой через PKSC#12
      Поддержка списка отозванных сертификатов Обработка Certificate Revocation List (CRL) опциональна. Поддерживается CRL v.2. Способы получения CRL:
      • протокол LDAP v.3
      • импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
      Работа через NAT Поддержана NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)