S-TERRA Presentations

1. Защита сетевой инфраструктуры
на основе продуктов С-Терра
СТАНДАРТ СЕТЕВОЙ БЕЗОПАСНОСТИ ДЛЯ РОССИЙСКОГО БИЗНЕСА
Cisco Solution Technology Integrator

2. Защита сетей на основе
продуктов
CSP VPN версии 4.1
Cisco Solution Technology Integrator
Сведения о
производителе

3. Проект С-Терра СиЭсПи
3
«CSP» = «Cisco Security Partner»
С-Терра СиЭсПи – российская компания, созданная в 2003 году.
С-Терра СиЭсПи разрабатывает программные и программно-
аппаратные средства защиты информации под маркой CSP VPN
для построения виртуальных частных сетей (VPN).
С-Терра СиЭсПи обладает всеми необходимыми лицензиями
ФСТЭК и ФСБ России.
С-Терра СиЭсПи является технологическим партнером компании
Cisco Systems (Cisco Solution Technology Integrator).

4. Защита сетей на основе
продуктов
CSP VPN версии 4.1
Cisco Solution Technology Integrator
Продуктовая
линейка С-Терра

5. Продукты S-Terra
5
 С-Терра Шлюз  С-Терра Клиент
 С-Терра Клиент-М
 СПДС «ПОСТ»
 Виртуальный Шлюз
 С-Терра MCM
 С-Терра L2  С-Терра КП
 С-Терра Экспортный Шлюз

6. Архитектура продукта
СС--ТТеерррраа А Аггееннтт
ККррииппттооггррааффиияя
ООппееррааццииооннннааяя с сииссттееммаа
ААппппааррааттннааяя п пллааттффооррммаа
33.1.1/3/3.1.111/4/4.1.1
ККррииппттооППРРОО, ,S S--TTeerrrraa
CCeenntOtOSS, ,S Soolalarrisis, ,D Deebbiaiann
DEPO, KraftWay, TONK, HP,
DEPO, KraftWay, TONK, HP,
CISCO
CISCO

7. Масштабируемость шлюзов CSP VPN Gate
7
Шлюзы безопасности
масштабированы в шкале
естественного деления каналов
связи по скоростям передачи данных:
•CSP VPN Gate100 – 10 Мбит/с
•CSP VPN Gate1000 – до 100 Мбит/с
•CSP VPN Gate3000 – до 500 Мбит/с
•CSP VPN Gate7000 – до 3,5 Гбит/с
Производительности шлюзов
безопасности CSP VPN Gate от младших
серий к старшим различаются почти в
сотни раз, цены на них – почти в 10-20 раз
Такая масштабируемость мощности и
цены платформ позволяет «дозировать»
производительность строго по
потребности заказчика и в реальных
проектах (где, как правило, доминируют
низкоскоростные каналы), снизить
суммарную стоимость решения на 30-50%
по сравнению с конкурентными
предложениями

8. Специальные скорости для специальных сетей
 Для скоростных каналов,
связывающих дата центры, на базе
VPN-шлюзов версии 4.1, разработано
высокоскоростное решение:
 В сетях с использованием
технологии jambo frames, один
шлюз безопасности способен
обрабатывать до 7 Гб защищенного
трафика в секунду
 Путем добавления
дополнительных шлюзов решение
легко масштабируется для
обработки десятков Гб
защищенного трафика в секунду
 Подобная схема прошла успешные
испытания в реальных условиях на
площадках наших заказчиков
8

9. С-Терра Шлюз
9
Применение – VPN, межсетевое экранирование
Криптопровайдер: «КриптоПро CSP», «С-Терра CSP»
Аппаратные платформы: Cisco, Kraftway, НР, Depo
Сертификаты: ФСБ России – КС1, КС2, КС3
ФСТЭК России – НДВ 3, МЭ 3, ОУД 4+, АС 1В, ГИС до 1 кл. вкл., ПДн 1-4
ур.
Обеспечивает:
Шифрование и имитозащиту трафика по протоколам IPsec ESP и/или
IPsec AH (RFC2401-2412)
Аутентификацию устройств по протоколу IKE (RFC2401-2412)
Полноценную поддержку инфраструктуры PKI
Stateful-фильтрацию трафика для протоколов TCP и FTP
Пакетную фильтрацию трафика с использованием информации в
полях заголовков сетевого и транспортного уровней
Различные наборы правил обработки открытого и шифрованного
трафика, в т.ч. split tunneling
Маркировку трафика
Интеграцию с Radius сервером
Событийное протоколирование Syslog, мониторинг SNMP
G G

10. Новый функционал CSP VPN Gate версии 4.1
 В программных продукта VPN Агент
версии 4.1 появилась возможность
задавать расширенные сценарии
обработки сетевого трафика:
 Фильтрация трафика по состоянию TCP-
соединения
 Тегирование трафика
 Раскраска трафика
 Приоритезация пакетов
 Журналированние пакетов
 Много уровневая обработка пакетов
 VPN Агент версии 4.1 это полноценный
сертифицированный межсетевой
экрана.
10

11. 11
Решения для динамичных сетей
 На основе шлюзов безопасности
версии 4.1 разработаны схемы
работы, при которых добавление
новых VPN-устройств происходит с
минимальным участием
администратора сети:
 Наиболее популярной из таких схем
является схема, которая стоится по
правилам классической виртуальной
сети с возможностью динамического
создания туннелей между узлами
(DMVPN).
 По достоинству администраторы
оценят возможность хранения
параметров защищенных соединений
межу центральным офисом и
клиентами на Radius-сервере.

12. Виртуальная среда
 В составе линейки продукта Агент
версии 4.1 появился образ шлюза
безопасности , для работы под
управлением виртуальной машиной
компании VMware:
 Данный образ представляет из себя
полнофункциональный шлюз
безопасности и сертифицирован по
классу KC1.
 Виртуализация позволяет забыть о
проблеме совместимости с железом и
обеспечивает более легкий переход на
следующие версии шлюзов
безопасности.
12

13. С-Терра Виртуальный Шлюз
13
Применение – VPN, межсетевое экранирование
Криптопровайдер: «КриптоПро CSP», «С-Терра CSP»
Платформы: VMWare ESXi, Hyper-V, Xen
Сертификаты: ФСБ России – КС1
ФСТЭК России – НДВ 3, МЭ 3, ОУД 4+, АС 1В, ГИС до 1 кл. вкл., ПДн
1-4 ур.
Обеспечивает:
Шифрование и имитозащиту трафика по протоколам IPsec ESP
и/или IPsec AH (RFC2401-2412)
Аутентификацию устройств по протоколу IKE (RFC2401-2412)
Полноценную поддержку инфраструктуры PKI
Stateful-фильтрацию трафика для протоколов TCP и FTP
Пакетную фильтрацию трафика с использованием информации в
полях заголовков сетевого и транспортного уровней
Различные наборы правил обработки открытого и шифрованного
трафика, в т.ч. split tunneling
Маркировку трафика
Интеграцию с Radius сервером
Событийное протоколирование Syslog, мониторинг SNMP

14. МСМ (NME-RVPN) и MCM 950
14
 Компаниями Cisco Systems и «С-Терра
СиЭсПи» разработан криптографический
модуль MCM, реализующий стандарты
криптографической защиты для протоколов
TCP/IP
 Интеграция в маршрутизаторы серий 2800,
3800, 2900, 3900 и 4400
 MCM (NME-RVPN) – имеет собственную
операционную систему и собственную
поддержку протокола IPsec,
ориентированную на использование
шифрования по алгоритмам ГОСТ
 СКЗИ КС1, КС2, КС3

15. CSP VPN Client
Применение – защита удаленного доступа
Поддерживаемые ОС: Windows XP, Vista, 7, 8/8.1, Server
2003/2008/2012
Криптопровайдер: «КриптоПро CSP», «С-Терра CSP»
Сертификаты: ФСБ России – КС1, КС2
ФСТЭК России – НДВ 3, МЭ 3, ОУД 4+, АС 1В, ГИС до 1 кл.
вкл., ПДн 1-4 ур.
Обеспечивает:
Шифрование и имитозащиту трафика по протоколам IPsec
ESP и/или IPsec AH (RFC2401-2412)
Аутентификацию устройств по протоколу IKE (RFC2401-
2412)
Полноценную поддержку инфраструктуры PKI
Stateful-фильтрацию трафика для протоколов TCP и FTP
Пакетную фильтрацию трафика с использованием
информации в полях заголовков сетевого и транспортного
уровней
Различные наборы правил обработки открытого и
шифрованного трафика, в т.ч. split tunneling
Маркировку трафика
Получение IKECFG адреса
Интеграцию с Radius сервером
Событийное протоколирование Syslog, мониторинг SNMP
15
C C

16. Удобство управления
16
GGUUII
LLSSPP
CCisisccoo S Seeccuurritiyty M Maannaaggeerr
CCisisccoo--lilkikee c coonnssoolele
CC--ТТеерррраа К КПП
СС--ТТеерррраа А Аггееннтт
УУттииллииттыы

17. С-Терра КП
Применение – централизованная система управления VPN-продуктами С-Терра
Поддерживаемые ОС: Windows Server 2003/2008/2012
Сертификаты: в качестве системы управления в составе линейки продуктов С-
Терра
Обеспечивает:
Поддержка более 10 тыс. устройств
Изменение на VPN-устройствах следующих параметров:
17
- локальная политика безопасности, настройки политики драйвера, настройки
протоколирования
- предопределенные ключи
- сертификаты, списки отозванных сертификатов и др.
Контроль активности управляемых устройств
Контроль срока действия сертификатов управляемых устройств
Формирование ключевой пары непосредственно на VPN-устройстве (обновление
сертификата)
Задание настроек VPN-устройств с помощью интерактивных мастеров
Автоматизацию процесса подготовки дистрибутивов для инициализации VPN-устройств
Сбор, анализ и визуализация статистической информации об управляемых VPN-
устройствах
Архивирование и восстановление данных об управляемых VPN-устройствах на сервере
управления
Инициализацию, восстановление и обновление шлюзов безопасности с флеш-носителя
Конвертацию политик безопасности VPN-устройств с младших версий на старшие

18. Схема работы С-Терра КП
• Сервер управления устанавливается на отдельный компьютер в
защищенной локальной подсети
• Клиент управления формируется на сервере управления и
устанавливается на каждом VPN-устройстве
• Все сетевые обмены между сервером управления и клиентами
управления осуществляются под защитой IPsec-туннелей,
которые строятся между VPN-устройствами и шлюзом
безопасности
18

19. Поддержка протокола управления SNMP
19
 Протокол SNMP в продуктах
С-Терра применяется для
целей:
­Сбор
информации о
параметрах устройств сети
(SNMP polling)
­Сбор
статистики
­Выдача
событийной
информации в целях
оперативной сигнализации
(SNMP trap)
 Поддержка стандартной MIB
(management information
base)
 Совместимость с
платформами управления на
основе SNMP
 Мониторинг и аудит:
­SNMP
­Syslog

20. Защита сетей на основе
продуктов
С-Терра
Cisco Solution Technology Integrator

21. Сценарии применения
21
Site-to-site
Remote Access

22. Сценарии применения
22
Protocol (VRRP) Virtual Router Redundancy
Reverse Route Injection (RRI)

23. 10G: С-Терра Шлюз + S-Terra L2 + EtherChannel
23
Логика работы:
• Для балансировки трафика используются технология
Etherchannel (протоколы LACP или PAgP)
• Перехват трафика происходит на канальном уровне