Комплекс програмний КЗІ "Cisco UVPN"

Загальні відомості

Комплекс програмний криптографічного захисту інформації Cisco UVPN-ZAS (далі – Комплекс) є розробкою IT Engineering.

Комплекс - це набір програмних модулів, що функціонують на апаратнoм забезпеченні компанії Cisco Inc. та під керуванням операційної системи Centos v.5.3.

Комплекс призначений для забезпечення конфіденційності та цілісності інформації, яка передається незахищеними каналами зв’язку. Іншими словами Комплекс забезпечує захист даних, які передаються загальнодоступними (наприклад Інтернет) або відкритими (наприклад орендовані канали, MPLS) каналами, шляхом шифрування даних із використанням вітчизняних алгоритмів шифрування.

Захисту повинна підлягати інформація, яка має максимальний гриф обмеження доступу - конфіденційно. До такої категорії відноситься інформація, вимоги до захисту якої висуваються чинним законодавством України або власними вимогами Організації / Підприємства.

Комплекс дозволяє:

  • забезпечити захист інформації, яка циркулює між двома вузлами розподіленої мережі Підприємства. Наприклад між центральним та обласним рівнями або між двома центрами обробки даних;
  • забезпечити захист інформації, обробка якої виконуються під час доступу віддаленого користувача (який знаходиться поза межами організації) до ресурсів, які розташовані у внутрішній мережі Підприємства (на центральному або на обласному рівні). Наприклад: забезпечується захист інформації, яка циркулює між банкоматом та процесінговим центром або забезпечується захист даних, які зберігаються у СКБД на центральному рівні у випадку доступу до них користувача, який знаходиться у відрядженні.

Принципи роботи

Захист даних реалізується шляхом побудови захищених тунелів за протоколом IPsec. Шифрування даних виконується відповідно до ДСТУ ГОСТ 28147:2009; гешування - відповідно до ГОСТ 34.311-95; процедури генерації параметрів, обчислення та перевіряння електронного цифрового підпису (ЕЦП) - відповідно до ДСТУ 4145-2002.

Переваги Комплексу

До переваг Комплексу відносяться:

  • наявність відповідних позитивних висновків Держспецзв'язку щодо реалізації функцій криптографічних перетворень;
  • унікальна масштабованість: дозволяє врахувати особливості функціонування і розміри автоматизованої системи Підприємства (далі - АС) та при необхідності виконати нарощування потужності без додаткової зміни принципів функціонування і побудови АС;
  • висока пропускна здатність в режимі шифрування: забезпечує шифрування трафіку до 1 Гбіт\сек;
  • механізми забезпечення високого рівню стійкості до відмов: є можливість реалізації різних схем резервування роботи складових частин Комплексу;
  • можливість централізованого керування;
  • підтримка механізмів NAT та QoS;
  • можливість одночасної роботи з декількома ключовими системами;
  • можливість одночасної роботи вітчизняних і зарубіжних криптографічних алгоритмів.

Порівняння можливостей Комплексу з можливостями його найближчих конкурентів наведено на вкладенні "Переваги"

Інші відомості

Детальну інформацію про склад, особливості функціонування Комплексу можливо одержати за результатми огляду існуючих вкладень даної сторінки, завантаження наявних матеріалів та після звернення за адресою: Ця електронна адреса захищена від спам-ботів. вам потрібно увімкнути JavaScript, щоб побачити її..

Сертифікація

Відповідно до “Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації”, затвердженого наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 липня 2007 р. №141 та зареєстрованим в Міністерстві юстиції України за № 862/14129 від 30.07.07, зі змінами та доповненнями, Комплекс є засобом криптографічного захисту інформації, який:

  • за призначенням відноситься до категорій “Ш” та “П”;
  • за видом виконання – “Б2” (програмні вироби, які підключаються до інших засобів та виконують функції криптографічних перетворень у взаємодії з ними або під їх управлінням);
  • за класом – “Б2” (відповідає вимогам забезпечення стійкості криптоперетворення в умовах здійснення порушником навмисного зовнішнього впливу (захист від порушника другого рівня).

Відповідно до “Положення про державну експертизу в сфері криптографічного захисту інформації”, що затверджене наказом №100 та зареєстровано в Міністерстві юстиції України 16 липня 2008 року за №651/15342, Комплекс пройшов державну експертизу в сфері КЗІ та одержав позитивні експертні висновки як на Комплекс в цілому, так і на окремі його складові частини.

Просмотр встроенной галереи изображений онлайн на:
http://it-engineering.com.ua/kataloh/24-cisco-uvpn-zas#sigProGalleria4dd5437f3c

Тести

Даний розділ містить результати тестування пропускної здатності програмних модулів, що входять до складу Комплексу, під час їх функціонування на різних апаратних платформах. Методику та детальний опис процесу тестування можливо завантажити у відповідному розділі.

1. Модуль шифрування «Cisco UVPN-ZAS» (шлюз для модулів Cisco SRE в маршрутизатори Cisco)

апаратна база: модуль Cisco SRE-900

Параметри утиліти iperf, яка виступає в якості клієнту

пропускна здатність в режимі шифрування

кількість повторень

тип пакетів

розмір пакету (байт)

інтервал повторень

пропускна здатність каналу зв’язку

1

10

UDP

1400

2

1000M

до 100 Mbit/sec

2

10

UDP

512

2

1000M

до 100 Mbit/sec

3

10

UDP

64

2

1000M

до 17-20 Mbit/sec

4

10

ТСР

-

2

-

до 80-100 Mbit/sec

 

 

 

 

 

 

 

2. Модуль шифрування «Cisco UVPN-ZAS» (шлюз для Cisco UCS С-Series, UCS B-Series та Cisco UCS-E)

апаратна база: сервер Cisco UCS C200 М

Параметри утиліти iperf, яка виступає в якості клієнту

пропускна здатність в режимі шифрування

кількість повторень

тип пакетів

розмір пакету (байт)

інтервал повторень

пропускна здатність каналу зв’язку

1

10

UDP

1400

2

1000M

780-820 Mbit/sec

2

10

UDP

512

2

1000M

500-550 Mbit/sec

3

10

UDP

64

2

1000M

34-39 Mbit/sec

4

10

ТСР

-

2

-

500-550 Mbit/sec

 

 

 

 

 

 

апаратна база: сервер Cisco UCS C210 M2

Параметри утиліти iperf, яка виступає в якості клієнту

пропускна здатність в режимі шифрування

кількість повторень

тип пакетів

розмір пакету (байт)

інтервал повторень

пропускна здатність каналу зв’язку

1

10

UDP

1400

2

1000M

780-820 Mbit/sec

2

10

UDP

512

2

1000M

500-550 Mbit/sec

3

10

UDP

64

2

1000M

34-39 Mbit/sec

4

10

ТСР

-

2

-

500-550 Mbit/sec

 

 

 

 

 

 

апаратна база: сервер Cisco UCS C220 M3

Параметри утиліти iperf, яка виступає в якості клієнту

пропускна здатність в режимі шифрування

кількість повторень

тип пакетів

розмір пакету (байт)

інтервал повторень

пропускна здатність каналу зв’язку

1

10

UDP

1400

2

1000M

950-970 Mbit/sec

2

10

UDP

512

2

1000M

950-970 Mbit/sec

3

10

UDP

64

2

1000M

78-96 Mbit/sec

4

10

ТСР

-

2

-

950-970 Mbit/sec

 

 

 

 

 

 

 

 

 

 

3. Модуль шифрування «Cisco UVPN-ZAS» (клієнт для ОС Windows 7, XP /х32, х64)

 

Параметри утиліти iperf, яка виступає в якості клієнту

пропускна здатність в режимі шифрування

кількість повторень

тип пакетів

розмір пакету (байт)

інтервал повторень

пропускна здатність каналу зв’язку

1

10

UDP

1400

2

1000M

до 80 Mbit/sec

2

10

UDP

512

2

1000M

до 80 Mbit/sec

3

10

UDP

64

2

1000M

до 30 Mbit/sec

4

10

ТСР

-

2

-

40-60 Mbit/sec

 

 

 

 

 

 

 

 

 

 

 

Використання

Складові частини Комплексу можуть використовуватись на різних апаратних платформах, залежно від необхідних показників пропускної здатності та наявного в организації, яка експлуатує Комплекс, обладнання.

В даному розділі будуть використовуватись наступні скорочення:

  • Шлюз UCS - це Модуль шифрування «Cisco UVPN-ZAS» (шлюз для Cisco UCS С-Series, UCS B-Series та Cisco UCS-E);
  • Шлюз SRE - це Модуль шифрування «Cisco UVPN-ZAS» (шлюз для модулів SRE в маршрутизатори Cisco);
  • Шлюз NME- це Модуль шифрування «Cisco UVPN-ZAS» (шлюз для модулів NMEв маршрутизатори Cisco);
  • Клієнт - це Модуль шифрування «Cisco UVPN-ZAS» (клієнт для ОС Windows 7. XP /x32, x64).

Шлюз UCS

Доцільно використовувати для:
  • захисту обміну між центральним офісом та обласними / регіональними офісами;
  • захисту трафіку між основним та резервним ЦОД.
Функціонує під керуванням ОС CentoS v.5.3.
На поточний час перевірена можливість функціонування на наступному обладнанні:
  • сервер Cisco UCS C22.
  • сервер Cisco UCS C220 M3;
  • сервер Cisco UCS C200 M2;
  • сервер Cisco UCS C210 M2.

 

 

 

 

 

 

Рис. 1 Використання Шлюзу UCS для захисту трафіку, що циркулює між ЦОДами

 

 

 

 

 

  

Рис. 2 Використання Шлюзу UCS для захисту трафіку, що циркулює між різними рівнями Організації

  Рис. 3 Використання Шлюзу UCS для захисту трафіку, що циркулює між різними рівнями Організації

Шлюз SRE

Доцільно використовувати для:

  • захисту обміну між центральним офісом та обласними / регіональними офісами. Використання Шлюзу передбачається на обласному / регіональному рівні;
  • захисту обміну між обласним / регіональним офісом та віддаленими користувачами.

Функціонує під керуванням ОС CentoS v.5.3.

Апаратною платформою функціонування Шлюзу є модулі SRE в маршрутизатори Cisco ISR серій 2911, 2921, 2951, 3925 и 3945, версія IOS 15.x.x.

 

 

  

  

 

 

Рис. 4 Варіант використання Шлюзу SRE / NME для захисту трафіку Організації

Шлюз NME

Доцільно використовувати для:

  • захисту обміну між центральним офісом та обласними / регіональними офісами. Використання Шлюзу передбачається на обласному / регіональному рівні;
  • захисту обміну між обласним / регіональним офісом та віддаленими користувачами.

Функціонує під керуванням ОС CentoS v.5.3.

Апаратною платформою функціонування Шлюзу є модулі NME в маршрутизатори Cisco ISR:

  • першого покоління (серій 2811, 2821, 2851, 3825 и 3845), версія IOS 12.4(11)T або вище;
  • другого покоління (серій 2911, 2921, 2951, 3925 и 3945), версія IOS 15.x.x.

Клієнт

Призначається для захисту виключно трафіку робочого місця, на яке Клієнт встановлено. Не дозволяє виконати транзит даних в мережу.

Доцільно використовувати для захисту обміну між центральним офісом / обласними / регіональними офісами та віддаленими користувачами.

Функціонує під керуванням ОС Windows XP, Windows 7 (x32, x64).

 

 

 

 

 

 

 

 

 

 

 

 

 Рис. 5 Варіант використання Клієнта

Розповсюдження

Принцип розповсюдження ліцензій на право використання програмних модулів, що входять до складу Комплексу, наведений в Таблиці 1.

Для одержання цінової пропозиції щодо обраних варіантів ліцензій, з визначенням необхідної їх кількості, необхідно надати запит (Ця електронна адреса захищена від спам-ботів. вам потрібно увімкнути JavaScript, щоб побачити її.) .

Для інтеграторів передбачаються заохочення.

Таблиця 1.

Назва ліцензії

Опис

Примітка

Модуль шифрування «Cisco UVPN-ZAS» (шлюз для Cisco UCS С-Series, UCS B-Series та Cisco UCS-E)

UCS_ZAS

Не визначає жодних обмежень на функціонування Шлюзу.

Призначена для використання на центральному рівні Організації, в ЦОДах

UCS_1000_ZAS

Визначено обмеження на функціонування Шлюзу: максимальна кількість одночасно встановлених каналів – 1000.

Призначена для використання на обласному, регіональному рівнях Організації

UCS_10_ZAS

Визначено обмеження на функціонування Шлюзу: максимальна кількість одночасно встановлених каналів – 10.

Призначено для захисту віддаленого малого офісу Організації

Модуль шифрування «Cisco UVPN-ZAS» (шлюз для модулів Cisco NME в маршрутизатори Cisco)

Модуль шифрування «Cisco UVPN-ZAS» (шлюз для модулів Cisco SRE в маршрутизатори Cisco)

SRE_ZAS

 

NME_ZAS

Не визначає жодних обмежень на функціонування Шлюзу.

Призначена для використання на обласному, регіональному рівнях Організації

     

Модуль шифрування «Cisco UVPN-ZAS» (клієнт для ОС Windows 7, XP /х32, х64)

 

Існує наступний поділ ліцензій (за кількістю):

Призначена для захисту робочого місця користувача

Server_ZAS

Існує наступний поділ ліцензій (за кількістю):

Призначена для захисту серверів, банкоматів

Система керування «Cisco UVPN-ZAS»

Updater10-ZAS

Updater100-ZAS

Updater500-ZAS

Існує наступний поділ ліцензій (за кількістю):

- кількість засобів КЗІ, що підлягають керуванню / моніторингу, до 10;

- кількість засобів КЗІ до 100;

- кількість засобів КЗІ до 500;

 

 

Переваги

В даному розділі наводиться порівняння можливостей складових частин Комплексу з можливостями (або характеристиками), які властиві найбільш потужним конкурентам.

Характеристика /властивість/особливість

Шлюз

Конкурент

Пропускна здатність у режимі шифрування

Від 500 до 900 Мбіт\секунду - апаратна платформа сервер Cisco UCS
До 100 Мбіт\секунду - апаратна платформа модуль SRE
Діапазон значень залежить від апаратної платформи і дозволяє оптимізувати вартість рішення в залежності від потреб Замовника

До 350

Можливість захисту високошвидкісних каналів передачі даних1 Гбіт\сек і вище

Так

Ні

Можливість балансування навантаження

Так

Ні

Схеми відмовостійкості

Так
3 схеми відмовостійкості :
1) Active / Standby ( VRRP ) (один шлюз в стані Standby і включається у разі відключення активного , балансування не здійснюється у такому рішенні)
2 ) Routing Reverse Injection технологія ( шлюзи працюють одночасно , балансування здійснюється шляхом використання протоколів маршрутизації RIP , OSPF і т.п.)
3 ) GRE тунелювання ( шлюзи працюють одночасно за кількома піднятим декільком
IPsec тунелям до шкірного віддаленого сайту )
в тому числі розглядається варіант , при якому задіяне все обладнання в робочому режимі і реалізується його резервування

Так

1 схема відмовостійкості:


відмовостійкий кластер(2 шлюзи). один шлюз в стані Standby і включається у разі відключення активного, балансування навантаження не виконується

Рекомендована кількість каналів на 1 шлюз (з врахуванням існуючих та функціонуючих систем)

до 2000

100

Підтримка QOS(якість обслуговування)

Так

Ні

Одночасна робота з 2-ма (і більшою кількістю) провайдерами (у тому числі і різні середовища передачі даних)

Так

Ні

Одночасна робота з різними ключовими системами (для декількох організацій, які взаємодіють між собою)

Так

Ні

Використання системи реєстрації подій з використанням стандарту syslog

Так

Ні

Підтримка стандарту SNMP

Так

Ні

Можливість роботи через NAT

Так

Ні

Вбудований фаєрвол

Так

Ні

Можливість тонкого налаштування трафіку (різні правила блокувань і пропускання /шифрування/ трафіку в залежності від архітектури системи і необхідності захисту)

Так

Ні

Масштабування мережі (нарощування потужності без істотних змін в інфраструктурі організації)

Так

Ні

Гарантійне обслуговування апаратної платформи

забезпечуєтьсяCisco

 

Перспектива:

Швидкість до 2 Гбіт/сек
Взаємодія з андроїд-системами
L2шифрування

?

 

Завантаження

Завантаження
Скачати цей файл (ED_admin_gate.pdf)ED_admin_gate.pdfЕксплуатаційна документація. Налаштування Шлюзу
Скачати цей файл (ED_RRI.pdf)ED_RRI.pdfЕксплуатаційна документація. Використання технології RRI
Скачати цей файл (ED_update.pdf)ED_update.pdfЕксплуатаційна документація. Інструкція з віддаленого оновлення ключів
Скачати цей файл (PR_cisco_bank.pdf)PR_cisco_bank.pdfПрезентація. Комплекс КЗІ Cisco UVPN-ZAS. Опис рішення для банків
Скачати цей файл (PR_cisco_opis.pdf)PR_cisco_opis.pdfПрезентація. Загальний опис Комплексу КЗІ Cisco-UVPN-ZAS