Cisco Solution Technology Integrator
Защита сетевой инфраструктуры на основе продуктов С-Терра
СТАНДАРТ СЕТЕВОЙ БЕЗОПАСНОСТИ ДЛЯ РОССИЙСКОГО БИЗНЕСА
Cisco Solution Technology Integrator
Защита сетей на основепродуктов CSP VPN версии 4.1
Сведения о производителе
Проект С-Терра СиЭсПи
3
С-Терра СиЭсПи – российская компания, созданная в 2003 году.
С-Терра СиЭсПи разрабатывает программные и программно-аппаратные средства защиты информации под маркой CSP VPN для построения виртуальных частных сетей (VPN).
С-Терра СиЭсПи обладает всеми необходимыми лицензиями ФСТЭК и ФСБ России.
С-Терра СиЭсПи является технологическим партнером компании Cisco Systems (Cisco Solution Technology Integrator).
«CSP» = «Cisco Security Partner»
Cisco Solution Technology Integrator
Защита сетей на основепродуктов CSP VPN версии 4.1
Продуктовая линейка С-Терра
Продукты S-Terra
5
С-Терра Клиент С-Терра Шлюз
СПДС «ПОСТ»
С-Терра L2 С-Терра КП
Виртуальный Шлюз
С-Терра MCM
С-Терра Клиент-М
С-Терра Экспортный Шлюз
Архитектура продукта
С-Терра АгентС-Терра Агент
КриптографияКриптография
Аппаратная платформаАппаратная платформа
Операционная системаОперационная система
DEPO, KraftWay, TONK, HP, CISCO
DEPO, KraftWay, TONK, HP, CISCO
CentOS, Solaris, DebianCentOS, Solaris, Debian
КриптоПРО, S-TerraКриптоПРО, S-Terra
3.1/3.11/4.13.1/3.11/4.1
Масштабируемость шлюзов CSP VPN Gate
7
Шлюзы безопасности масштабированы в шкале естественного деления каналов связи по скоростям передачи данных:
•CSP VPN Gate100 – 10 Мбит/с•CSP VPN Gate1000 – до 100 Мбит/с•CSP VPN Gate3000 – до 500 Мбит/с•CSP VPN Gate7000 – до 3,5 Гбит/с
Производительности шлюзов безопасности CSP VPN Gate от младших серий к старшим различаются почти в сотни раз, цены на них – почти в 10-20 раз
Такая масштабируемость мощности и цены платформ позволяет «дозировать» производительность строго по потребности заказчика и в реальных проектах (где, как правило, доминируют низкоскоростные каналы), снизить суммарную стоимость решения на 30-50% по сравнению с конкурентными предложениями
Специальные скорости для специальных сетей
Для скоростных каналов, связывающих дата центры, на базе VPN-шлюзов версии 4.1, разработано высокоскоростное решение: В сетях с использованием
технологии jambo frames, один шлюз безопасности способен обрабатывать до 7 Гб защищенного трафика в секунду
Путем добавления дополнительных шлюзов решение легко масштабируется для обработки десятков Гб защищенного трафика в секунду
Подобная схема прошла успешные испытания в реальных условиях на площадках наших заказчиков
8
С-Терра Шлюз
9
Применение – VPN, межсетевое экранирование
Криптопровайдер: «КриптоПро CSP», «С-Терра CSP»
Аппаратные платформы: Cisco, Kraftway, НР, Depo
Сертификаты: ФСБ России – КС1, КС2, КС3
ФСТЭК России – НДВ 3, МЭ 3, ОУД 4+, АС 1В, ГИС до 1 кл. вкл., ПДн 1-4 ур.
Обеспечивает:Шифрование и имитозащиту трафика по протоколам IPsec ESP и/или IPsec AH (RFC2401-2412)Аутентификацию устройств по протоколу IKE (RFC2401-2412)Полноценную поддержку инфраструктуры PKIStateful-фильтрацию трафика для протоколов TCP и FTPПакетную фильтрацию трафика с использованием информации в полях заголовков сетевого и транспортного уровнейРазличные наборы правил обработки открытого и шифрованного трафика, в т.ч. split tunnelingМаркировку трафикаИнтеграцию с Radius серверомСобытийное протоколирование Syslog, мониторинг SNMP
GG
Новый функционал CSP VPN Gate версии 4.1
В программных продукта VPN Агент версии 4.1 появилась возможность задавать расширенные сценарии обработки сетевого трафика:
Фильтрация трафика по состоянию TCP-соединения
Тегирование трафика Раскраска трафика Приоритезация пакетов Журналированние пакетов Много уровневая обработка пакетов
VPN Агент версии 4.1 это полноценный сертифицированный межсетевой экрана.
10
11
Решения для динамичных сетей
На основе шлюзов безопасности версии 4.1 разработаны схемы работы, при которых добавление новых VPN-устройств происходит с минимальным участием администратора сети:
Наиболее популярной из таких схем является схема, которая стоится по правилам классической виртуальной сети с возможностью динамического создания туннелей между узлами (DMVPN).
По достоинству администраторы оценят возможность хранения параметров защищенных соединений межу центральным офисом и клиентами на Radius-сервере.
11
Виртуальная среда
В составе линейки продукта Агент версии 4.1 появился образ шлюза безопасности , для работы под управлением виртуальной машиной компании VMware:
Данный образ представляет из себя полнофункциональный шлюз безопасности и сертифицирован по классу KC1.
Виртуализация позволяет забыть о проблеме совместимости с железом и обеспечивает более легкий переход на следующие версии шлюзов безопасности.
12
С-Терра Виртуальный Шлюз
13
Применение – VPN, межсетевое экранирование
Криптопровайдер: «КриптоПро CSP», «С-Терра CSP»
Платформы: VMWare ESXi, Hyper-V, Xen
Сертификаты: ФСБ России – КС1
ФСТЭК России – НДВ 3, МЭ 3, ОУД 4+, АС 1В, ГИС до 1 кл. вкл., ПДн 1-4 ур.
Обеспечивает:Шифрование и имитозащиту трафика по протоколам IPsec ESP и/или IPsec AH (RFC2401-2412)Аутентификацию устройств по протоколу IKE (RFC2401-2412)Полноценную поддержку инфраструктуры PKIStateful-фильтрацию трафика для протоколов TCP и FTPПакетную фильтрацию трафика с использованием информации в полях заголовков сетевого и транспортного уровнейРазличные наборы правил обработки открытого и шифрованного трафика, в т.ч. split tunnelingМаркировку трафикаИнтеграцию с Radius серверомСобытийное протоколирование Syslog, мониторинг SNMP
МСМ (NME-RVPN) и MCM 950
14
Компаниями Cisco Systems и «С-Терра СиЭсПи» разработан криптографический модуль MCM, реализующий стандарты криптографической защиты для протоколов TCP/IP
Интеграция в маршрутизаторы серий 2800, 3800, 2900, 3900 и 4400
MCM (NME-RVPN) – имеет собственную операционную систему и собственную поддержку протокола IPsec, ориентированную на использование шифрования по алгоритмам ГОСТ
СКЗИ КС1, КС2, КС3
CSP VPN Client
15
Применение – защита удаленного доступа
Поддерживаемые ОС: Windows XP, Vista, 7, 8/8.1, Server 2003/2008/2012
Криптопровайдер: «КриптоПро CSP», «С-Терра CSP»
Сертификаты: ФСБ России – КС1, КС2
ФСТЭК России – НДВ 3, МЭ 3, ОУД 4+, АС 1В, ГИС до 1 кл. вкл., ПДн 1-4 ур.
Обеспечивает:Шифрование и имитозащиту трафика по протоколам IPsec ESP и/или IPsec AH (RFC2401-2412)Аутентификацию устройств по протоколу IKE (RFC2401-2412)Полноценную поддержку инфраструктуры PKIStateful-фильтрацию трафика для протоколов TCP и FTPПакетную фильтрацию трафика с использованием информации в полях заголовков сетевого и транспортного уровнейРазличные наборы правил обработки открытого и шифрованного трафика, в т.ч. split tunnelingМаркировку трафикаПолучение IKECFG адресаИнтеграцию с Radius серверомСобытийное протоколирование Syslog, мониторинг SNMP
CC
Удобство управления
16
GUIGUI
LSPLSP
Cisco Security ManagerCisco Security Manager
Cisco-like consoleCisco-like console
С-Терра АгентС-Терра Агент
УтилитыУтилиты
C-Терра КПC-Терра КП
С-Терра КП
17
Применение – централизованная система управления VPN-продуктами С-Терра
Поддерживаемые ОС: Windows Server 2003/2008/2012
Сертификаты: в качестве системы управления в составе линейки продуктов С-Терра
Обеспечивает:Поддержка более 10 тыс. устройствИзменение на VPN-устройствах следующих параметров:
локальная политика безопасности, настройки политики драйвера, настройки протоколирования
предопределенные ключи сертификаты, списки отозванных сертификатов и др.
Контроль активности управляемых устройствКонтроль срока действия сертификатов управляемых устройствФормирование ключевой пары непосредственно на VPN-устройстве (обновление сертификата)Задание настроек VPN-устройств с помощью интерактивных мастеровАвтоматизацию процесса подготовки дистрибутивов для инициализации VPN-устройствСбор, анализ и визуализация статистической информации об управляемых VPN-устройствахАрхивирование и восстановление данных об управляемых VPN-устройствах на сервере управленияИнициализацию, восстановление и обновление шлюзов безопасности с флеш-носителяКонвертацию политик безопасности VPN-устройств с младших версий на старшие
Схема работы С-Терра КП
• Сервер управления устанавливается на отдельный компьютер в защищенной локальной подсети
• Клиент управления формируется на сервере управления и устанавливается на каждом VPN-устройстве
• Все сетевые обмены между сервером управления и клиентами управления осуществляются под защитой IPsec-туннелей, которые строятся между VPN-устройствами и шлюзом безопасности
18
Поддержка протокола управления SNMP
19
Протокол SNMP в продуктах С-Терра применяется для целей:
Сбор информации о параметрах устройств сети (SNMP polling)
Сбор статистики
Выдача событийной информации в целях оперативной сигнализации (SNMP trap)
Поддержка стандартной MIB (management information base)
Совместимость с платформами управления на основе SNMP
Мониторинг и аудит: SNMP Syslog
Cisco Solution Technology Integrator
Защита сетей на основепродуктов С-Терра
Сценарии применения
21
Защищаемая сеть 2
Недоверенная сеть
Защищаемая сеть 1
Шлюз безопасности CSP VPN Gate
Шлюз безопасности CSP VPN Gate
Недоверенная сеть
Защищаемая сеть
Шлюз безопасности CSP VPN Gate
Мобильный клиент:
CSP VPN Client/СПДС ПОСТ/
C-Терра Клиент-М
Remote Access
Site-to-site
Сценарии применения
22
Reverse Route Injection (RRI)
Protocol (VRRP) Virtual Router Redundancy
10G: С-Терра Шлюз + S-Terra L2 + EtherChannel
23
Логика работы: • Для балансировки трафика используются технология
Etherchannel (протоколы LACP или PAgP)• Перехват трафика происходит на канальном уровне
Top Related