CSP VPN Server v.3.1


CSP VPN Server v.3.1

Назначение

Программный комплекс CSP VPN Server обеспечивает защиту и пакетную фильтрацию трафика сетевых узлов, на которых он установлен. Линейка CSP VPN является частью решения по безопасности Cisco, адаптированного к российским стандартам информационной безопасности, и предназначена для использования в рамках идеологии Cisco SDN. CSP VPN Server предварительно настраивается для массового развертывания с помощью технологии установки одним нажатием кнопки (One-Click-Installation).

Создание политики сервера может быть осуществлено с помощью графического интерфейса административного пакета или утилитами управления из командной строки ОС. При необходимости более тонкой настройки предоставляется возможность управления политикой сетевой безопасности в терминах локальной политики безопасности (LSP), являющейся внутренним представлением конфигурации CSP VPN агентов.

Программный комплекс CSP VPN Server используется в качестве Агента Безопасности автономного сервера.

Программный комплекс CSP VPN ServerB используется в качестве Агента Безопасности специализированных устройств в составе платежных систем: банкоматов, расчетных терминалов, кассовых аппаратов (POS-терминалов) и датчиков автоматизированных систем управления технологическими процессами.

 

CSP VPN Server совместим со следующими продуктами компаний Cisco и S-Terra CSP:

  • Cisco Routers. IOS version 12.4 и выше;
  • Cisco PIX Security Appliance. Software version 6.3 и выше;
  • CSP VPN Client;
  • CSP VPN Gate - 100B/100/1000/3000/7000;
  • NME-RVPN.

Технические характеристики

Операционные системы MS Windows XP Professional SP2 Russian Edition, MS Windows Vista (32-bit) SP1 Russian Edition
Протоколы IKE/IPsec Стандарты RFC 2401 – 2412
Алгоритмы шифрования NULL, DES-CBC (IV32), 3DES-K168-CBC, IDEA-CBC, AES-K128-CBC, AES-K192-CBC, AES-K256-CBC, ГОСТ 28147-89
Алгоритмы электронно-цифровой подписи DSA, RSA, ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001
Алгоритмы вычисления хэш сумм MD5, SHA1, ГОСТ Р 34.11-94
Подключение внешних криптографических модулей Возможность встраивания криптобиблиотек в соответствии с RFC 2628. Подключаются модули прикладного уровня и уровня ядра операционной системы. В состав входят:
  • тестовый модуль для подключения западных криптоалгоритмов;
  • модуль для подключения криптобиблиотеки СКЗИ «КриптоПро CSP 3.0», «КриптоПро CSP 3.6» (производитель – компания «Крипто-Про»), реализующей российские криптографические алгоритмы и функции;
  • модуль для подключения криптобиблиотеки СКЗИ «Крипто-Ком 3.2» (производитель – компания «Сигнал КОМ»), реализующей российские криптографические алгоритмы и функции;
  • модуль для подключения криптобиблиотеки СКЗИ «LirSSL» (производитель – компания «ЛИССИ»), реализующей российские криптографические алгоритмы и функции.
Примечание.
Для работы CSP VPN Server 3.0 на MS Windows Vista (32-bit) с российскими криптографическими алгоритмами и функциями в реализации «Крипто-Про» используется вариант «КриптоПро CSP 3.6» сборка 5009 (соответствующий дистрибутив предоставляется).
Информационные обмены протокола IKE Main mode, Aggressive mode, Quick mode, Transaction Exchanges, Informational Exchanges
Режимы аутентификации в протоколе IKE Preshared key, RSA digital signature, DSA digital signature, ГОСТ Р 34.10-94, ГОСТ Р 34. 10-2001
Обеспечение надежности (пересинхронизации) защищенных соединений Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)
Событийное протоколирование Syslog
Сбор статистики SNMP v.1, v.2c
Формат сертификатов публичных ключей X.509 v.3 (RSA, DSA, ГОСТ)
Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат
Способы получения сертификатов Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
Способ получения ключевой пары Генерация внешним PKI сервисом с доставкой через PKSC#12
Поддержка списка отозванных сертификатов Обработка Certificate Revocation List (CRL) опциональна. Поддерживается CRL v.2.
Способы получения CRL:
  • протокол LDAP v.3;
  • импорт из файла (bin и base64, PKCS7 bin и base64, PKCS#12 bin и base64).
Работа через NAT Поддержана NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)

Область применения

Array

Сертификат

ФСТЭК России №2102 от 1 июня 2010 г. на соответствие  заданию по безопасности S-Teггa.VPN_Server_3.1.ЗБ. Версия 1.0, имеет оценочный уровень доверия ОУД 3+ (усиленный) в соответствии c руководящим документом «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (Гостехкомиссия России, 2002), соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) - по 3 классу уровня контроля.

ФСТЭК России №2197 от 10 ноября 2011 г. на соответствие РД МЭ по 3 классу