VPN (англ. Virtual Private Network — виртуальная частная сеть) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрованию, аутентификация, инфраструктуры публичных ключей, средствам для защиты от повторов и изменения передаваемых по логической сети сообщений).
Межсетевой экран - это локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС. Межсетевой экран обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС на основе заданных правил, проводя таким образом разграничение доступа субъектов из одной АС к объектам другой АС. Межсетевые экраны могут серьезно повысить уровень безопасности хоста или сети.
Они могут быть использованы:
- Для ограничения или запрещения доступа хостов внутренней сети к сервисам внешней сети Интернет.
- Для ограничения доступа внешних пользователей к внутренним ресурсам корпоративной сети.
- Для поддержки преобразования сетевых адресов (NAT), что позволяет использование во внутренней сети приватных IP адресов.
Существует два основных способа создания наборов правил межсетевого экрана: ''включающий'' и ''исключающий''. Исключающий межсетевой экран позволяет прохождение всего трафика, за исключением трафика, соответствующего набору правил. Включающий межсетевой экран действует прямо противоположным образом. Он пропускает только трафик, соответствующий правилам и блокирует все остальное. Включающие межсетевые экраны обычно более безопасны, чем исключающие, поскольку они существенно уменьшают риск пропуска межсетевым экраном нежелательного трафика.
Использование межсетевых экранов позволяет скрыть от внешних пользователей сети структуру внутренней сети и защитить ее от многих видов атак. Для защиты информационных ресурсов и обеспечения оптимальной работы, распределенных корпоративных информационных систем необходимо применение комплексной системы информационной безопасности, которая позволит эффективно использовать достоинства межсетевых экранов и компенсировать их недостатки с помощью других средств безопасности.
Cертификат соответствия ФСТЭК
Аппаратно-программный комплекс шифрования "Континент"
Сертифицированный ФСБ и ФСТЭК России аппаратно-программный комплекс шифрования «Континент» является средством построения виртуальных частных сетей (VPN) на основе глобальных сетей общего пользования, использующих протоколы семейства TCP/IP.
Применение АПКШ "Континент"
АПКШ «Континент» обладает всеми необходимыми возможностями, чтобы обеспечить:
- Объединение через Интернет локальных сетей предприятия в единую сеть VPN;
- Подключение удаленных и мобильных пользователей к VPN по защищенному каналу;
- Разделение доступа между информационными подсистемами организации;
- Организация защищенного взаимодействия со сторонними организациями;
- Безопасное удаленное управление маршрутизаторами.
Возможности
Комплекс обеспечивает криптографическую защиту информации (в соответствии с ГОСТ 28147–89), передаваемой по открытым каналам связи, между составными частями VPN, которыми могут являться локальные вычислительные сети, их сегменты и отдельные компьютеры.
Современная ключевая схема, реализуя шифрование каждого пакета на уникальном ключе, обеспечивает гарантированную защиту от возможности дешифрации перехваченных данных.
Для защиты от проникновения со стороны сетей общего пользования, комплекс «Континент» обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Осуществляет поддержку VoIP, видеоконференций, ADSL, Dial-Up и спутниковых каналов связи, технологии NAT/PAT для сокрытия структуры сети.
Ключевые возможности и характеристики АПКШ «Континент»
Эффективная защита корпоративных сетей
- Безопасный доступ пользователей VPN к ресурсам сетей общего пользования
- Криптографическая защита передаваемых данных в соответствии с ГОСТ 28147–89
- Межсетевое экранирование – защита внутренних сегментов сети от несанкционированного доступа
- Безопасный доступ удаленных пользователей к ресурсам VPN-сети
- Создание информационных подсистем с разделением доступа на физическом уровне
Основные характеристики и возможности
- Поддержка распространенных каналов связи
- «Прозрачность» для любых приложений и сетевых сервисов
- Работа с высокоприоритетным трафиком
- Резервирование гарантированной полосы пропускания за определенными сервисами
- Поддержка VLAN
- Скрытие внутренней сети. Поддержка технологий NAT/PAT
- Возможность интеграции с системами обнаружения атак
Обслуживание и управление
- Удобство и простота обслуживания (необслуживаемый режим 24*7)
- Удаленное обновление ПО криптошлюзов
- Горячее и холодное резервирование криптошлюзов
- Централизованное управление сетью
- Ролевое управление – разделения полномочий на администрирование комплекса
- Взаимодействие с системами управления сетью
Достоинства АПКШ «Континент»
- Высокая надежность и отказоустойчивость
- Простота внедрения и обслуживания
- Удобство управления и поддержки
- Высокая пропускная способность
- Высокая масштабируемость
- Поддержка всех современных протоколов и технологий
Cертификат соответствия ФСТЭК
Сертифицированный персональный межсетевой экран "Континент АП" предназначен для защиты компьютера от сетевых угроз и обеспечивает безопасное подключение к сетям общего пользования (в том числе Интернет) и разграничение доступа к сетевым ресурсам.
Сертификаты
ПМЭ "Континент АП" разработан в соответствии с требованиями руководящих документов ФСТЭК, имеет сертификат подтверждающий соответствие по 3-му уровню контроля на отсутствие НДВ и 4-му классу защищенности для межсетевых экранов. ПМЭ "Континент АП" может применяться в составе АС до класса 1Г включительно, а также для защиты ИСПДн.
Возможности ПМЭ "Континент АП"
ПМЭ "Континент АП" обеспечивает фильтрацию входящих и исходящих IP-пакетов по следующим признакам:
- IP-адреса отправителя и получателя;
- тип прикладного протокола (POP3, HTTP, SMTP и т. д.);
- сетевой интерфейс, через который пакет был получен или будет отправлен;
- по полям заголовков и содержимому IP-пакетов;
- по типу транспортного протокола (TCP/UDP/ICMP/…);
- по портам TCP/UDP;
- по типам и кодам протокола ICMP.
Проверка входящих и исходящих IP-пакетов осуществляется по правилам фильтрации и в соответствии с заданным расписанием. События, происходящие при фильтрации сетевого трафика, регистрируются в журнале событий и в журнале пакетов.
Достоинства ПМЭ "Континент АП"
Ключевым достоинством продукта является упрощение процедуры аттестации АРМ, на котором он установлен, по требованиям ФСТЭК России к защите конфиденциальной информации и персональных данных.
- Безопасный доступ в сеть: Сертификат ФСТЭК России на соответствие уровням МЭ 4 и НДВ 3
- Безопасное подключение АРМ к сетям общего пользования
- Возможность разграничение доступа к сетевым ресурсам АРМ
