БЕЛОРУССКАЯ КРИПТОГРАФИЯ В СЕТЕВЫХ РЕШЕНИЯХ ЛЮБОЙ СЛОЖНОСТИ

Шлюз безопасности Bel VPN Gate

программно-аппаратный комплекс Версия 4.1Версия 3.0.1

Программно-аппаратный комплекс «Шлюз безопасности Bel VPN Gate 4.1» (Bel VPN Gate 4.1) и программно-аппаратный комплекс «Шлюз безопасности Bel VPN Gate 3.0.1» (Bel VPN Gate 3.0.1) предназначены для обеспечения сетевой безопасности корпоративной сети любой топологии: выполняют функции шифрования, контроля целостности (криптографической защиты), а также фильтрацию как трафика подсетей, проходящего через них, так и защиту трафика самих шлюзов безопасности.



Описание

Программно-аппаратный комплекс Bel VPN Gate 4.1 функционирует под управлением операционной системы Debian GNU/Linux 6.

Bel VPN Gate 4.1 обеспечивает:

  • Создание виртуальных защищенных сетей (VPN);
  • Защиту транзитного трафика между различными узлами сети и защиту трафика самого шлюза безопасности на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP;
  • Пакетную stateless фильтрацию трафика;
  • Контекстную (stateful) фильтрацию для протоколов TCP и FTP;
  • Работу по расписанию для правил пакетной фильтрации;
  • Классификацию и маркирование трафика;
  • Различные наборы правил обработки трафика на различных интерфейсах;
  • Возможность задания независимых правил для входящего и исходящего трафика на каждом интерфейсе, как для пакетной, так и контекстной фильтрации трафика;
  • Получение сертификатов открытых ключей по протоколу LDAP;
  • Событийное протоколирование, с возможностью объединять события в группы и задавать для каждой группы свой независимый уровень протоколирования;
  • Сбор статистики для мониторинга;
  • Реализацию заданной дисциплины взаимодействия (аутентификацию и/или защиту трафика) для каждого защищенного соединения, доступ в заданном защищенном режиме только для зарегистрированных, в том числе и для мобильных партнеров по взаимодействию;
  • Регулируемую стойкость защиты трафика;
  • Маскировку топологии защищаемого сегмента сети (туннелирование трафика);
  • Возможность задания дополнительной аутентификации партнера на основе запросов на RADIUS сервер;
  • Загрузку политики из внешнего файла.

В состав Bel VPN Gate 4.1 входит программный модуль Bel VPN L2, обеспечивающий возможность защищенного взаимодействия сегментов сети на канальном уровне.

Bel VPN L2 обеспечивает:

  • Объединение территориально распределенных сетей в один широковещательный домен;
  • Передачу широковещательных (broadcast) и multicast пакетов тестированного трафика (VLAN trunk), меток IPV4 и др;
  • Обработку приоритетного трафика;
  • Минимальные настройки маршрутизации;

Bel VPN L2 применяется для:

  • Организации защищенного канала между ЦОД;
  • Реализации миграции сетевой инфраструктуры;
  • Построения высокопроизводительного, отказоустойчивого решения с балансировкой нагрузки.

Управление шлюзом безопасности осуществляется:

  • Централизованно-удаленно посредством Программного продукта «Bel VPN KP 4.1»;
  • Локально и удаленно по протоколу SSH с помощью интерфейса командной строки. В интерфейсе командной строки в основном используются команды Cisco IOS, что облегчает управление администраторам, имеющим опыт настройки шлюзов безопасности и межсетевых экранов Cisco Systems;
  • При помощи конфигурационного текстового файла, описывающего политику безопасности, и последующей загрузки этого файла на шлюз.

Bel VPN Gate 4.1 совместим со следующими продуктами компаний C-Терра Бел:


Спецификация

Описание Спецификация
Количество одновременно поддерживаемых VPN туннелей От 10 до неограниченного количества
Производительность От 50 Мб/с
Количество сетевых интерфейсов Не менее 2
Носитель ключевой информации AvPass 11-E-02 / AvPass 11-E-04 / AvBign 128-C-01
Операционная система Debian GNU/Linux 6
Алгоритмы шифрования
  • СТБ 34.101.31-2011
  • ГОСТ 28147-89
Алгоритмы электронной цифровой подписи
  • СТБ 34.101.45-2013
  • СТБ 1176.2-99
Алгоритмы вычисления хэш сумм
  • СТБ 34.101.31-2011
  • СТБ 1176.1-99
Алгоритмы контроля целостности (имитозащита)
  • СТБ 34.101.31-2011
  • ГОСТ 28147-89
Алгоритм выработки псевдослучайных данных СТБ 34.101.47-2012
Стандарты IKE/IPsec RFC 2401-2412
Защита трафика Протоколы IPsec:

  • IPsec Encapsulating Security Payload (ESP)
  • IPsec Authentication Header (AH)
Управление ключами Протокол IKE
Информационные обмены IKE
  • Main mode
  • Aggressive mode
  • Quick mode
  • Transaction Exchanges
  • Informational Exchanges
Режимы аутентификации IKE
  • по сертификатам (СТБ 34.101.45-2013, СТБ 1176.2-99)
  • по preshared key
Дополнительные возможности IKE режим IKE-CFG для объединения различных сетевых объектов в виртуальную локальную сеть
Работа через NAT протокол NAT Traversal IPsec
Обеспечение надежности защищенных соединений протокол Dead Peer Detection (DPD)
Управление
  • локально или удаленно по протоколу SSH
  • с помощью программного продукта Bel VPN KP 4.1
Событийное протоколирование Syslog
Сбор статистики SNMP v.1, v.2c
Формат сертификатов публичных ключей X.509 v.3 (СТБ 34.101.19-2012)
Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом Certificate Enrollment Request (CER), упакованный в PKCS#10 (bin/base 64)
Способы получения сертификатов
  • протокол IKE
  • протокол LDAP v.3
  • импорт из файла: PKCS#7 (bin/base64), PKCS#12 (bin/base64)
Способы получения ключевой пары
  • генерация продуктом с выдачей CER
  • генерация внешним PKI сервисом с доставкой через PKSC#12
Поддержка списка отозванных сертификатов Обработка Certificate Revocation List (CRL) [опционально] Поддерживается CRL v.2.
Способы получения CRL:

  • протокол LDAP v.3
  • импорт из файла: PKCS#7 (bin/base64), PKCS#12(bin/base64)
Поддержка QoS Отображение битов TOS поверх IPsec и приоретизация очередей QoS для обеспечения работы IP-телефонии и видео
Фильтрация
  • по IP-адресу (диапазон IP, хост) источника и назначения
  • по порту и типу протокола
  • обработка фрагментированных пакетов
Маршрутизация
  • cтатическая маршрутизация
  • RIPv2
  • OSPF
  • контроль фрагментации пакетов в канале
  • назначение IP из локального пула адресов (IKE-CFG)
Механизмы обеспечения отказоустойчивости
  • VRRP
  • RRI

Масштабируемость

Программно-аппаратные комплексы «Шлюз безопасности Bel VPN Gate 4.1» подразделяются как по необходимому значению производительности шифрования (по аппаратной платформе), так и по типу лицензии.

 Типы лицензии  Bel VPN Gate 4.1:

  • Bel VPN Gate 100B — шлюз безопасности для защиты платежных терминалов с количеством туннелей шифрования до 5;
  • Bel VPN Gate 100 — шлюз безопасности для защиты сетей малых офисов (до 10 компьютеров) с количеством туннелей шифрования до 10;
  • Bel VPN Gate 1000 — шлюз безопасности для защиты сетей малых и средних офисов (10-50 компьютеров) с количеством туннелей шифрования до 50;
  • Bel VPN Gate 3000 — шлюз безопасности для защиты сетей средних офисов (до 250 компьютеров) с количеством туннелей шифрования до 1 000;
  • Bel VPN Gate 7000 — шлюз безопасности для защиты сетей крупных офисов (свыше 250 компьютеров) с неограниченным количеством туннелей шифрования.

Документация


Сертификат соответствия

BelVPNGate41_page1_800x600



Описание

Bel VPN Gate 3.0.1 функционирует под управлением операционной системы Linux.

Bel VPN 3.0.1 обеспечивает:

  • Конфиденциальность, целостность и аутентификацию IP пакетов;
  • Гибкость в реализации политики сетевой защиты:
    • Использование различных алгоритмов шифрования;
    • Построение сложных конфигураций туннелей;
  • Высокая стойкость защиты информации;
  • Аутентификация пользователей и узлов сети;
  • Контроль доступа на уровне хостов, индивидуальных пользователей и отдельных приложений;
  • Формирование защищенных соединений между:
    • Подсетями;
    • Компьютерами (клиент-сервер, одноранговые клиенты);
  • Защиту для сложных сетевых инфраструктур.

Управление шлюзом безопасности осуществляется локально или удаленно по протоколу SSH с помощью интерфейса командной строки. В интерфейсе командной строки используется подмножество команд Cisco IOS, что облегчает управление администраторам, имеющим опыт настройки шлюзов безопасности и межсетевых экранов Cisco Systems.

Bel VPN Gate 3.0.1 совместим со следующими продуктами компаний С-Терра Бел:


Спецификация

Описание Спецификация
Количество одновременно поддерживаемых VPN туннелей От 10 до неограниченного количества
Носитель ключевой информации  AvPass 11-E-02
Операционные системы Red Hat Linux 9
Криптографический модуль Криптобиблиотека «AvCrypt ver 5.1» (производитель ЗАО «Авест»), реализующая белорусские криптографические алгоритмы и протоколы.
Алгоритмы шифрования
  • ГОСТ 28147-89
  • возможно использование: 3DES-K168-CBC, IDEA-CBC, AES-K128-CBC, AES-K192-CBC, AES-K256-CBC
Алгоритмы электронной цифровой подписи
  • СТБ 1176.2-99
  • возможно использование: DSA, RSA
Алгоритмы вычисления хэш сумм
  • СТБ 1176.1-99
  • возможно использование: MD5, SHA1
Алгоритмы контроля целостности
  • Имитозащита по ГОСТ 28147-89
  • СТБ 34.101.31-2011 в режиме HMAC
Процедура выработки псевдослучайных данных РД РБ 07040.1202-2003
Стандарты IKE/IPsec RFC 2401-2412
Защита трафика Протоколы IPsec:

  • IPsec Encapsulating Security Payload (ESP)
  • IPsec Authentication Header (AH)
Управление ключами Протокол IKE
Информационные обмены IKE
  • Main mode
  • Aggressive mode
  • Quick mode
  • Transaction Exchanges
  • Informational Exchanges
Режимы аутентификации IKE
  • по сертификатам (СТБ 1176.2-99, возможно также RSA digital signature, DSA digital signature)
  • по preshared key
Дополнительные возможности IKE режим IKE-CFG для объединения различных сетевых объектов в виртуальную локальную сеть
Работа через NAT протокол NAT Traversal IPsec
Обеспечение надежности (пересинхронизации) защищенных соединений протокол Dead Peer Detection (DPD)
Управление
  • локально или удаленно по протоколу SSH
  • централизованно удаленно посредством графического интерфейса центра управления CiscoWorks VPN/Security Management Solution v.2.3 – CiscoWorks Router Management Center (Router MC)
  • централизованно удаленно посредством графического интерфейса Cisco Security Manager 3.2 (CSM), который входит в состав Cisco Security Management Suite
  • удаленно с использованием web-интерфейса управления
Событийное протоколирование Syslog
Сбор статистики SNMP v.1, v.2c
Формат сертификатов публичных ключей X.509 v.3
Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом Certificate Enrollment Request (CER), упакованный в PKCS#10 (bin/base 64)
Способы получения сертификатов
  • протоколы IKE, LDAP v.3
  • импорт из файла: PKCS#7 (bin/base64), PKCS#12 (bin/base64)
Способы получения ключевой пары
  • генерация продуктом с выдачей CER
  • генерация внешним PKI сервисом с доставкой через PKSC#12, контейнеры Авест
Поддержка списка отозванных сертификатов Обработка Certificate Revocation List (CRL) [opt] Поддерживается CRL v.2.
Способы получения CRL:

  • протокол LDAP v.3
  • импорт из файла: PKCS#7 (bin/base64), PKCS#12(bin/base64)
Поддержка QoS Отображение битов TOS поверх IPsec и приоретизация очередей QoS для обеспечения работы IP-телефонии и видео
Фильтрация
  • по IP-адресу (диапазон IP, хост) источника и назначения
  • по порту и типу протокола
  • обработка фрагментированных пакетов
Маршрутизация
  • cтатическая маршрутизация
  • управляемый политикой IPsec контроль фрагментации пакетов в канале
  • обнаружения отказов удаленных узлов: IKE keep-alive extension — Dead Peer Detection
  • удаленный клиент IP, назначение IP из локального пула адресов (IKECFG)

Масштабируемость

Типы лицензии Bel VPN Gate 3.0.1:

  • Bel VPN Gate 100 — шлюз безопасности для защиты сетей малых офисов (до 10 компьютеров) с количеством туннелей шифрования до 10;
  • Bel VPN Gate 1000 — шлюз безопасности для защиты сетей малых и средних офисов (10-50 компьютеров) с количеством туннелей шифрования до 50;
  • Bel VPN Gate 3000 — шлюз безопасности для защиты сетей средних офисов (до 250 компьютеров) с количеством туннелей шифрования до 1 000;
  • Bel VPN Gate 7000 — шлюз безопасности для защиты сетей крупных офисов (свыше 250 компьютеров) с неограниченным количеством туннелей шифрования.

Документация


Сертификат соответствия

Bel_VPN_Gate_301_BY_2013-027-BY_h1150px


Основные отличия версии 3.0.1 от версии 4.1

Bel VPN Gate 3.0.1 Bel VPN Gate 4.1
Операционная система Red Hat Linux 6 Debian GNU\Linux 6
Криптографические алгоритмы
ЭЦП СТБ 1176.2-99 СТБ 1176.2-99
СТБ 34.101.45-2013
Шифрование ГОСТ 28147-89 ГОСТ 28147-89
СТБ 34.101.31-2011 (6.4)
Вычисление хэш-значений СТБ 1176.1-99 СТБ 1176.1-99
СТБ 34.101.31-2011 (6.9)
Контроль целостности ГОСТ 28147-89 (имитовставка)
СТБ 34.101.31-2011 (6.9 HMAC)
ГОСТ 28147-89 (имитовставка)
СТБ 1176.1-99 (HMAC)
СТБ 34.101.31-2011 (6.6)
Производительность поставляется только на аппаратной платформе S-TERRA GATE 1000 с производительностью до 160Мбит/с поставляется на различных аппаратных платформах с производительностью от 50Мбит/с до 3.5Гбит/с