2. Кто мы такие и чем занимаемся?
2
«С-Терра СиЭсПи» основана в 2003 году
Ведущий российский разработчик и производитель
сертифицированных средств сетевой защиты на основе
технологии IPsec VPN и российских криптографических
алгоритмов
Лицензиат ФСТЭК России и ФСБ России
Первый в России технологический партнер Cisco
Серебряный партнер Samsung
Citrix Ready Partner
Авторизированный партнер Huawei
4. 4
Утечка информации
ведет к прямым
финансовым потерям
Шифрование – одна из мер
по обеспечению
безопасности информации
VPN как средство защиты корп. сети
5. Канал провайдера не является
доверенным
Выполнение требований
регуляторов
Удобное управление и
использование
Различные топологии
Дополнительные сервисы, реализованные в VPN-устройстве
5
Задача – защита от внешнего нарушителя
6. Программные средства Шлюзы безопасности
С-Терра Клиент
С-Терра Клиент-М
С-Терра Шлюз
МСМ-950
CSP VPN Gate E
С-Терра Виртуальный Шлюз
Специальные решения
С-Терра L2
С-Терра «ПОСТ»
С-Терра КП
Система управления
6
Продукты С-Терра VPN
7. Архитектура проекта
7
Преимущества разных операционных систем (ОС).
Гибкость в выборе АП для заказчика.
Реализация российских и зарубежных алгоритмов и
совместимость версий.
• 3.1 / 3.11 / 4.1С-Терра Агент
• Крипто-ПРО / С-Терра СиЭсПиКриптография
• CentOS / Solaris / DebianОперационная система
• DEPO / Kraftway / TONK / HP / Cisco / HuaweiАппаратная платформа
8. Новый функционал С-Терра Шлюз версии 4.1
8
В программных продукта VPN Агент версии 4.1 появилась
возможность задавать расширенные сценарии обработки
сетевого трафика:
Фильтрация трафика по состоянию TCP-соединения;
тегирование трафика;
раскраска трафика;
приоритезация пакетов;
журналированние пакетов;
много уровневая обработка пакетов;
IKECFG-сервер;
интеграция с Radius-сервером;
соответствие требованиям современных ГОСТ.
С-Терра Шлюз версии 4.1 - это полноценный сертифицированный
межсетевой экран.
9. Масштабируемость
9
Продукт
Производительность
(на IMIX трафике)
Количество
туннелей
С-Терра Шлюз 100 В до 20 Мбит/с 5
С-Терра Шлюз 100 до 20 Мбит/с 10
С-Терра Шлюз 100 V до 20 Мбит/с 200
С-Терра Шлюз 1000 до 90 Мбит/с 50
С-Терра Шлюз 1000 V до 90 Мбит/с 500
С-Терра Шлюз 3000 от 250 до 600 Мбит/с 1000
С-Терра Шлюз 7000
от 700 Мбит/с до 2 Гбит/с
(на Jumbo Frame до 7 Гбит/с)
не ограничено
Модуль Cisco МСМ-950 до 250 Мбит/с не ограничено
10. С-Терра Виртуальный Шлюз
10
Полностью реализует функции
программно-аппаратного
комплекса С-Терра Шлюз
версии 4.1.
ФСБ России – КС1
Применение – виртуальные частные сети (VPN),
межсетевое экранирование.
Криптопровайдер: «КриптоПро CSP», «С-Терра
CSP».
Платформы: VMWare ESXi, Hyper-V, Citrix Xen
Server, KVM.
С-Терра Виртуальный шлюз
VPN-шлюз для защиты сетевого
трафика, проходящего между различными
компонентами виртуальных сред
11. Защищенный удаленный доступ
11
С-Терра Клиент – сертифицированный
программный VPN-клиент для всех
современных Windows (в т.ч. Windows
8.1)
С-Терра Клиент-М – программный
VPN-клиент для ОС Android 4.x
12. Программный модуль С-Терра L2
12
S-Terra L2- это дополнительный
программный модуль, встраиваемый в
шлюз безопасности, для перехвата трафика
на канальном уровне с дальнейшим
шифрованием на сетевом
ФСБ России – КС1, КС2, КС3, МЭ4
ФСТЭК России – НДВ3, МЭ3, ОУД4+, АС 1В, ГИС до 1 кл.вкл., ПДн 1-4 ур.
Применение – защита широковещательные и мультикастовые пакеты,
тегированный трафик (VLAN trunk), метки MPLS и другие виды трафика
Сертификаты: не затрагивает сертифицированную часть продукта
13. С-Терра КП – централизованное управление
13
Сервер управления устанавливается на отдельный компьютер в защищенной локальной подсети.
Клиент управления формируется на сервере управления и устанавливается на каждом VPN-
устройстве.
Все сетевые обмены между сервером управления и клиентами управления осуществляются под
защитой IPsec-туннелей, которые строятся между VPN-устройствами и шлюзом безопасности.
14. Сертификация продуктов
14
Продукты линейки VPN Агент 4.1 обладают всеми
необходимыми сертификатами для работы как VPN
устройства и как межсетевые экраны.
ФСБ России:
СКЗИ КС1, КС2, КС3
МЭ 4
ФСТЭК России:
МЭ 3
АС 1В
НДВ 3
ОУД 4+
16. VDI – удаленный доступ с особенностями
Доставка
приложений
Доставка
удаленных столов
Принтер
Сканер
Тонкий клиент
Центральный офис
Маршрутизатор
Виртуальные
машины
Ноутбук или
стационар
Бездисковая рабочая станция на нестандартной ОС
Обработка данных в центре, а не на АРМ пользователя
Единая точка входа
Необходимость изолированности среды
12
17. Технология защиты С-Терра «ПОСТ»
17
При удалённом доступе проверяет доверенную загрузку
целостной информационной среды и создает
изолированное сетевое соединение с сервером
приложений.
Эталон рабочей среды загружается с защищённого
носителя (СЗИ). Обеспечивается строгая двухфакторная
аутентификация пользователя, криптографическая
защита трафика. Весь трафик рабочего места
пользователя защищается российскими
криптоалгоритмами по стандартам ГОСТ.
VPN-клиент полностью исключает неконтролируемый
доступ из сети в изолированную среду удаленного
доступа
18. Защита скоростных каналов на сетевом уровне L3
18
Маршрутизаторы Core-уровня создают необходимое количество
GRE-туннелей
Каждый VPN-шлюз шифрует один или несколько GRE-туннелей
Балансировка и отказоустойчивость достигаются с помощью протокола
динамической маршрутизации (OSPF или EIGRP)
19. Защита скоростных каналов на канальном уровне L2
19
Позволяет совершить “прозрачную” миграцию данных
Используются коммутаторы с поддержкой Etherchannel
Передается весь трафик с “метками”, “тегами” и т.д.
21. Решения для динамичных сетей
21
Наиболее популярной из таких схем является
схема, которая стоится по правилам
классической виртуальной сети с
возможностью динамического создания
туннелей между узлами (DMVPN).
По достоинству администраторы оценят
возможность хранения параметров
защищенных соединений межу центральным
офисом и клиентами на Radius-сервере.
На основе шлюзов безопасности версии 4.1 разработаны схемы работы, при которых
добавление новых VPN-устройств происходит с минимальным участием администратора
сети:
23. Реальная производительность
23
Производительность является критически важным
показателем для шлюзов безопасности:
запас производительности позволяет использовать сеть без
потери пропускной способности;
высокопроизводительное устройство вносит минимальную
задержку при обработке трафика, что критически важно для
поддержания высокого качества сетевого обслуживания
(QoS).
Практически во всех измерениях производительности
VPN-шлюзов данные приводятся для IP-пакетов
размером 1,5 кбайт, в то время как для коротких
пакетов производительность по потоку падает в 4-5 раз
поэтому номинальная производительность шлюзов должна
быть в несколько раз ниже пиковой производительности.
24. Криптография КриптоПро
Собственная встроенная криптография
Сертифицирована ФСБ России
Полностью совместима с КриптоПро
Соответствие последним ГОСТ 2012г.
Выгодная стоимость
Соответствие срокам действия сертификатов
регуляторов
24
Криптография ST
Используемая криптография
25. МСМ-950
25
Совместная разработка Cisco и «С-Терра СиЭсПи»
Протокол IPsec
Российские криптографические алгоритмы
Для маршрутизаторов Cisco 2900, 3900 и 4400
ФСБ России – КС1, КС2, КС3, МЭ4
ФСТЭК России – НДВ3, МЭ3, ОУД4+, АС 1В, ГИС до 1 кл.вкл., ПДн 1-4 ур.
Тип трафика Производительность,
Мбит/c
IMIX 250
TCP 480
UDP1400 620
26. Комплект Huawei - С-Терра
26
Применение – VPN, межсетевое экранирование.
Криптопровайдер: «КриптоПро CSP».
Аппаратные платформы: Huawei SAE220/550
Решение создано на базе маршрутизаторов Huawei
серии AR и модулей AR01WSX с предустановленным
VPN-шлюзом «С-Терра Виртуальный Шлюз»
полностью реализует функции программно-
аппаратного комплекса С-Терра Шлюз версии 4.1.
Новый модуль выполнен
на базе маршрутизаторов
SAE220/550
ФСБ России – КС1
ФСТЭК России – НДВ3, МЭ3, ОУД4+, АС 1В, ГИС до 1 кл.вкл., ПДн 1-4 ур.
27. Совместная работа с токенами
ПК С-Терра Клиент поддерживает совместную
работу с:
Токенами производства компании Aladdin: eToken
PRO32k, eToken PRO64k, eToken NG-FLASH, eToken PRO (Java);
Токенами производства компании Актив: Рутокен S,
Рутокен ЭЦП;
Токенами производства компании MultiSoft: MS_KEY
K.
В рамках взаимодействия реализуется сценарий применения, где все
политики безопасности, сертификаты и ключи размещаются на
электронном токене.
27
28. Экспортный вариант шлюза - CSP VPN Gate E
28
Упрощенная процедура оформления
разрешения на вывоз
криптографического шлюза из РФ.
Западные алгоритмы шифрования не
поддерживаются.
ФСБ России – КС1
С-Терра Шлюз в экспортном исполнении предназначен для
межгосударственного информационного взаимодействия на основе
национальных криптографических стандартов .
• Применение – построение VPN за пределами РФ.
• Криптопровайдер: «КриптоПро CSP».
29. Защищенная виртуальная среда
29
Защита периметра виртуальной среды.
Защита сетевых взаимодействий внутри
виртуальной среды.
Безопасный удаленный доступ к виртуальной
среде.
Защита физических каналов связи между
элементами виртуальной среды.
VPN-Gate as a service, для подключения к
облачным информационным системам.
Недорогое сертифицированное решение для
малого и среднего бизнеса.
30. 30
Стандартный протокол IPSec
Подключение к системе СМЭВ
Удобный интерфейс
Высокая производительность и
надежность (3 года гарантии на АП)
Гибкий выбор платформ
Решение для виртуальной среды
Легкость интеграции
Технические преимущества продуктов
32. 32
Назначение
• Защита информации в СКУД
• Безопасность платежных систем (банкоматов)
• Защита передаваемой информации
с IP-камер и IP-телефонии
• Защита АСУ ТП и каналов управления
• Безопасная передача данных с измерительных и контрольных
устройств в системе ЖКХ
• Защита передаваемой информации
с IP-камер и IP-телефонии
50
Миниатюрный шлюз безопасности
33. 33
• Габариты – 70х45х22 мм
• IPsec VPN, ГОСТ криптоалгоритмы
• Криптография ST
• Интегрированный межсетевой экран
• Поддержка Wi-Fi
• Питание USB 5V
• QoS
• Производительность – до 10 Мбит/с
Характеристики С-Терра Шлюз 50
50
С-Терра Шлюз 50
34. 34
Преимущества решений С-Терра
С-Терра Шлюз 10G
• 10 Гбит/с на одной паре шлюзов
• Отказоустойчивость и Масштабируемость
• Специализированная аппаратная платформа на основе
Intel® Compute Module HNS2600TP
• Защита канала 10G одной парой устройств
• Инновационные технологии обработки сетевых пакетов
• Энергопотребление – до 1КВт
35. 35
Функциональность «Все в одном»
Сервисный криптомаршрутизатор ESR-ST
• Мультифункциональный сервисный маршрутизатор и VPN-
шлюз
• Российское производство
• Высокая экономическая эффективность
• Система обнаружения атак
• Архитектура MIPS с аппаратным ускорением сетевых
функций и функций обработки данных
• Полный набор функций уровня L2
• Поддержка всех протоколов и сервисов уровня L3
37. От продуктов –
к решениям!
Илья Яблонко, CISSP,
менеджер по развитию решений ИБ
+7 912 607 55 66,
IYablonko@USSC.ru
Андрей Шпаков
ведущий инженер-консультант
+7 916 518 70 26
ashpakov@s-terra.com
presale@s-terra.com