Клиент ДСП 4.5

программно-аппаратное устройство
Версия 4.5


Описание

Устройство программно-аппаратное «Клиент ДСП 4.5» (ПАУ «Клиент ДСП 4.5») предназначено для защиты информации (сетевого трафика), поступающей на персональное устройство пользователя (ПЭВМ, смартфон, планшет) и/или выходящей из него, обеспечивающим защиту персонального устройства посредством фильтрации потока информации.

ПАУ «Клиент ДСП 4.5» обеспечивает:

  • создание виртуальных защищенных сетей (VPN);
  • защиту транзитного трафика между персональным устройством пользователя и различными узлами сети и защиту трафика самого устройства безопасности на уровне аутентификации/шифрования сетевых пакетов по протоколам IPsec AH и/или IPsec ESP в рамках международных стандартов:
    — Security Architecture for the Internet Protocol – RFC2401IP Authentication Header (AH) – RFC2402;
    — IP Encapsulating Security Payload (ESP) – RFC2406;
    — Internet Security Association and Key Management Protocol (ISAKMP) – RFC2408;
    — The Internet Key Exchange (IKE) – RFC2409;
    — The Internet IP Security Domain of Interpretation for ISAKMP (DOI) – RFC2407;
  • пакетную stateless фильтрацию трафика;
  • контекстную (stateful) фильтрацию для протоколов TCP и FTP;
  • работу по расписанию для правил пакетной фильтрации;
  • классификацию и маркирование трафика;
  • различные наборы правил обработки трафика на различных интерфейсах;
  • возможность задания независимых правил для входящего и исходящего трафиков на каждом интерфейсе, как для пакетной, так и контекстной фильтрации трафика;
  • получение сертификатов открытых ключей по протоколу LDAP;
  • событийное протоколирование, с возможностью объединять события в группы и задавать для каждой группы свой независимый уровень протоколирования;
  • сбор статистики для мониторинга;
  • реализацию заданной дисциплины взаимодействия (аутентификацию и/или защиту трафика) для каждого защищенного соединения, доступ в заданном защищенном режиме только для зарегистрированных, в том числе и для мобильных партнеров по взаимодействию;
  • регулируемую стойкость защиты трафика;
  • маскировку сетевых интерфейсов ПЭВМ (туннелирование трафика);
  • загрузку политики из внешнего файла.

Управление ПАУ «Клиент ДСП 4.5» осуществляется:

  • централизованно-удаленно посредством Программного продукта «Система централизованного управления Bel VPN KP 4.5»;
  • локально Serial (COM) соединение, с помощью интерфейса командной строки. В интерфейсе командной строки в основном используются команды Cisco IOS, что облегчает управление администраторам, имеющим опыт настройки шлюзов безопасности и межсетевых экранов Cisco Systems.

ПАУ «Клиент ДСП 4.5» совместим со следующими продуктами компаний C-Терра Бел:

Описание Спецификация
Количество одновременно поддерживаемых VPN туннелей 1
Производительность До 10 Мб/с
Алгоритмы шифрования СТБ 34.101.31-2020
Алгоритмы контроля целостности (имитозащита) СТБ 34.101.31-2020
Алгоритмы электронной цифровой подписи СТБ 34.101.45-2013
Алгоритмы вычисления хэш сумм СТБ 34.101.31-2020
Генерация случайных данных СТБ 34.101.47-2017
Стандарты IKE/IPsec RFC 2401-2412
Защита трафика

Протоколы IPsec:

  • IPsec Encapsulating Security Payload (ESP) – инкапсуляция пакетов данных
  • IPsec Authentication Header (AH) – защищенный заголовок
Управление ключами Протокол IKE
Информационные обмены IKE
  • Main mode
  • Aggressive mode
  • Quick mode
  • Transaction Exchanges
  • Informational Exchanges
Режимы аутентификации IKE
  • по предопределенным ключам (PSK)
  • по сертификатам (СТБ 34.101.45-2013)
Дополнительные возможности IKE режим IKE-CFG для объединения различных сетевых объектов в виртуальную локальную сеть
Работа через NAT протокол NAT Traversal IPsec
Обеспечение надежности защищенных соединений протокол Dead Peer Detection (DPD)
Управление
  • локально
  • с помощью программного продукта Bel VPN KP 4.5
Событийное протоколирование Syslog
Сбор статистики SNMP v.1, v.2c
Формат сертификатов открытых ключей X.509 v.3 (СТБ 34.101.19-2012)
Поддерживаемые системы сертификатов открытого ключа ГосСУОК
Формат запроса на регистрацию сертификата при генерации ключевой пары (RSA/DSA) продуктом Certificate Enrollment Request (CER), упакованный в PKCS#10 (bin/base 64)
Способы передачи сертификатов между устройствами
  • протокол IKE
  • протокол LDAP v.3
  • импорт из файла: PKCS#7 (bin/base64), PKCS#12 (bin/base64)
Способы получения ключевой пары
  • генерация продуктом с выдачей CER
  • генерация внешним PKI сервисом с доставкой через PKSC#12
Поддержка списка отозванных сертификатов

Обработка Certificate Revocation List (CRL) [опционально]
Поддерживается CRL
Способы получения CRL:

  • протокол LDAP v.3
  • импорт из файла: PKCS#7 (bin/base64), PKCS#12(bin/base64)
Поддержка QoS Отображение битов TOS поверх IPsec и приоретизация очередей QoS для обеспечения работы IP-телефонии и видео