Transcript Cisco UVPN-ZAS Опис Комплексу

Комплекс
програмний КЗІ
Cisco UVPN-ZAS
Опис Комплексу






Загальні відомості
Призначення
Необхідність використання Комплексу
Переваги Комплексу
Криптографічні алгоритми
Потенційні Замовники та приклади прикладних завдань, для
вирішення яких призначений Комплекс
Загальні відомості
 Комплекс є спільною розробкою:
– ТОВ
«Системи
криптографічного
захисту
«Криптософт»;
– ЗАТ «С-Терра СіЕсПі».
– Корпорації Cisco Systems, Inc.
 Комплекс функціонує на апаратній базі корпорації Cisco
Systems, Inc.
 Комплекс пройшов державну експертизу в галузі
криптографічного захисту інформації та має дійсні
позитивні експертні висновки Держспецзв’язку.
Призначення
 Комплекс
призначений
для
забезпечення
конфіденційності та цілісності інформації, яка передається
незахищеними каналами зв’язку. Іншими словами
Комплекс забезпечує захист даних, які передаються
загальнодоступними (наприклад Інтернет) або відкритими
(наприклад орендовані канали, MPLS) каналами, шляхом
шифрування даних із використанням вітчизняних
алгоритмів шифрування.
 Захисту повинна підлягати інформація, яка має
максимальний гриф обмеження доступу – конфіденційно.
Необхідність використання Комплексу
 Вимоги чинної нормативної бази України
 Необхідність захисту критичної для функціонування
Організації інформації, яка циркулює в автоматизованій
системі Організації та передається відкритими /
загальнодоступними каналами
Переваги Комплексу
 масштабованість:
можливість
використовувати
компоненти Комплексу з урахуванням вимог до
необхідної продуктивності та оптимізувати затрати на
закупівлю апаратного забезпечення, яке забезпечує
функціонування Комплексу;
 уніфікація складових частин Комплексу і Cisco:
компоненти Комплексу виконані у максимально можливій
відповідності до дизайну продуктів Cisco Systems;
 відмовостійкість:
реалізуються
різні
варіанти
забезпечення стійкості до відмов (як обладнання, так і
каналів зв'язку);
 захист каналів зв'язку з високою пропускною здатністю
(до 10 Г/біт);
 мобільність
та простота установки: попередньо
налаштоване в центральному офісі обладнання з
інстальованими компонентами Комплексу можна легко
передати у філію для установки в стійці з іншим
обладнанням;
 централізоване керування.
Криптографічні алгоритми
 В Комплексі реалізовані наступні криптографічні
алгоритми:
– алгоритм шифрування даних відповідно до ДСТУ
ГОСТ 28147:2009 у режимі гамування із зворотнім
зв’язком;
– алгоритм обчислення імітовставки відповідно до ДСТУ
ГОСТ 28147:2009;
– алгоритм гешування відповідно до ГОСТ 34.311-95;
– алгоритми генерації параметрів, обчислення та
перевіряння електронного цифрового підпису (ЕЦП)
відповідно до ДСТУ 4145-2002;
– алгоритм генерації псевдовипадкових послідовностей
(ПВП) відповідно до Додатку А ДСТУ 4145-2002.
Потенційні замовники
 Державні установи;
 Фінансові установи;
 Комерційні організації.
Приклад прикладних завдань (для органів
державної
влади
та
комерційних
організацій)
 Захист системи забезпечення інформаційної взаємодії
органів
державної
влади,
органів
місцевого
самоврядування та комерційних організацій у рамках
процесів надання державних і муніципальних послуг, які
надаються в електронному вигляді;
 Захист
системи
міжвідомчого
електронного
документообігу, або документообігу між віддаленими
вузлами в межах одного відомства / організації;
 Захист процесу обміну даними між основним та
резервним центрами обробки даних відомства /
організації;
 Захист конфіденційної інформації, персональних даних
тощо.
Приклад
прикладних
фінансових установ)
завдань
(для
 Побудова та захист філіальної мережі фінансової
установи;
 Захист мережі банкоматів банку;
 Захист персональних даних;
 Виконання вимог міжнародних стандартів в області
інформаційної безпеки (PCI DSS);
 Захист створюваної інфраструктури універсальної
електронної карти.
Склад Комплексу







Складові частини Комплексу
Шлюз UCS
Шлюз SRE
Шлюз NME
Клієнт для ОС Windows XP,7
Система керування
Генерація ключових даних
Складові частини Комплексу
 Комплекс складається з наступних компонентів:
– програмний модуль: Модуль шифрування «Cisco UVPNZAS» (шлюз для Cisco UCS С-Series, UCS B-Series та Cisco
UCS-E).
– програмний модуль: Модуль шифрування «Cisco UVPNZAS» (шлюз для модулів Cisco NME в маршрутизатори
Cisco).
– програмний модуль: Модуль шифрування «Cisco UVPNZAS» (шлюз для модулів Cisco SRE в маршрутизатори
Cisco).
– програмний модуль: Модуль шифрування «Cisco UVPNZAS» (клієнт для ОС Windows 7, XP /х32, х64).
– програмний модуль: Система керування «Cisco UVPNZAS».
Шлюз для Cisco UCS
 Призначається для захисту і пакетної фільтрації трафіку,
що проходить через нього.
 Забезпечує максимальну пропускну здатність (до 1
Гбіт/сек.) порівняно з іншими компонентами Комплексу
(окремо надається протокол тестування). Пропускна
здатність
залежить
від
потужності
апаратного
забезпечення.
 Доцільно використовувати для:
– захисту обміну між центральним офісом та обласними /
регіональними офісами;
– захисту трафіку між основним та резервним ЦОД.
 Функціонує під керуванням ОС CentoS v.5.3.
 Апаратне забезпечення: теоретично всі сервери Cisco
UCS С-Series, B-Series та UCS-E. На поточний час перевірена
можливість функціонування на:
– Cisco UCS C210 M2;
– Cisco UCS C200 M2;
– Cisco UCS C220 M3;
– Cisco UCS C22.
Шлюз для Cisco UCS
 Шлюз забезпечує:
– конфіденційність, цілісність IP-пакетів, цілісність потоку
пакетів.
– маскування топології мережі за рахунок інкапсуляції трафіку
в захищений тунель.
– прозорість для NAT.
– аутентифікацію вузлів мережі і користувачів.
– забезпечення надійності з вирівнюванням навантаження в
схемі резервування N +1 (Dead Peer Detection protocol).
– уніфікацію політики безпеки для мобільних і «внутрішніх»
користувачів (динамічне конфігурування корпоративних IPадрес для віддалених користувачів «всередині VPN»).
– збереження класифікації трафіку для захищених пакетів
(мапування ToS поверх IPsec), пріоритетну обробку трафіку
голосу і відео (підтримка QoS), відсутність втрати пакетів
при регенерації сесійних ключів (smooth IKE re-keying).
– гнучке, централізоване ведення журналу реєстрації подій з
можливістю вторинної обробки на основі протоколу Syslog.
Шлюз для Cisco UCS
Шлюз для модулів Cisco SRE
 Призначається для захисту і пакетної фільтрації як трафіку
даних, голосу, відео.
 Пропускна здатність до 100 Мбіт/сек.
 Доцільно використовувати для:
– захисту обміну між центральним офісом та обласними /
регіональними
офісами.
Використання
Шлюзу
передбачається на обласному / регіональному рівні;
– захисту обміну між обласним / регіональним офісом та
віддаленими користувачами.
 Функціонує під керуванням ОС CentoS v.5.3.
 Апаратною платформою функціонування Шлюзу є модулі
SRE в маршрутизатори Cisco ISR серій 2911, 2921, 2951,
3925 и 3945, версія IOS 15.x.x.
Шлюз для модулів Cisco SRE
 Шлюз забезпечує:
– конфіденційність, цілісність IP-пакетів, потоку пакетів.
– маскування топології мережі за рахунок інкапсуляції трафіку
в захищений тунель.
– прозорість для NAT.
– аутентифікацію вузлів мережі і користувачів, контроль
доступу на рівні комп'ютерів, користувачів і додатків,
інтегрований міжмережевий екран.
– забезпечення надійності з вирівнюванням навантаження в
схемі резервування N +1 (Dead Peer Detection protocol).
– уніфікацію політики безпеки для мобільних і «внутрішніх»
користувачів (динамічне конфігурування корпоративних IPадрес для віддалених користувачів «всередині VPN»).
– збереження класифікації трафіку для захищених пакетів
(мапування ToS поверх IPsec), пріоритетну обробку трафіку
голосу і відео (підтримка QoS), відсутність втрати пакетів при
регенерації сесійних ключів (smooth IKE re-keying).
– гнучке, централізоване і подієве ведення журналу з
можливістю вторинної обробки на основі протоколу Syslog.
Шлюз для модулів Cisco SRE
Шлюз для модулів Cisco NME
 Призначається для захисту і пакетної фільтрації як трафіку
даних, голосу, відео.
 Пропускна здатність до 50 Мбіт/сек.
 Доцільно використовувати для:
– захисту обміну між центральним офісом та обласними /
регіональними
офісами.
Використання
Шлюзу
передбачається на обласному / регіональному рівні;
– захисту обміну між обласним / регіональним офісом та
віддаленими користувачами.
 Функціонує під керуванням ОС CentoS v.5.3.
 Апаратною платформою функціонування Шлюзу є модулі
NME в маршрутизатори Cisco ISR:
– першого покоління (серій 2811, 2821, 2851, 3825 и
3845), версія IOS 12.4(11)T або вище;
– другого покоління (серій 2911, 2921, 2951, 3925 и 3945),
версія IOS 15.x.x.
 Функціонал та варіанти використання ідентичні Шлюзу
для модулів SRE.
Клієнт для ОС Windows
 Призначається для захисту трафіку ПЕОМ, на яку Клієнт
встановлено.
 Пропускна здатність до 80 Мбіт/сек.
 Доцільно використовувати для:
– захисту обміну між центральним офісом та обласними /
регіональними
офісами.
Використання
Шлюзу
передбачається на обласному / регіональному рівні;
– захисту обміну між обласним / регіональним офісом та
віддаленими користувачами.
 Функціонує під керуванням ОС Windows XP, Windows 7
(x32, x64).
Клієнт для ОС Windows
 Клієнт забезпечує:
– підготовку OCI пакета за допомогою графічного пакета
адміністратора.
– прихований від користувача режим роботи.
– інтелектуальне відстеження доступності партнерів обміну .
– аутентифікацію користувача та завантаження політики
безпеки Клієнта при старті операційної системи.
– роботу інтегрованого мережевого екрану.
– можливість роботи мобільного користувача відповідно до
політики безпеки внутрішньої корпоративної мережі.
– захист трафіку на рівні аутентифікації / шифрування
мережевих пакетів по протоколах IPSec AH і / або IPsec ESP.
– підтримку транспортного і тунельного режимів роботи в
рамках протоколів IPsec.
– пакетну фільтрацію трафіку з використанням інформації в
полях заголовків мережевого і транспортного рівнів.
– ведення журналу реєстрації подій.
– моніторинг глобальної статистики по протоколу SNMP;
– прозорість для роботи сервісу QoS.
– підтримку інкапсуляції пакета ESP в UDP (NAT Traversal).
Клієнт для ОС Windows
Система керування
 Призначена для автоматизації обслуговування компонентів
Комплексу (модулів шифрування) та дозволяє дистанційно
змінювати їх налаштування, такі як: політики безпеки,
сертифікати тощо.
 Складові частина Системи керування:
– сервер керування - серверна частина продукту,
встановлюється на виділений комп'ютер або сервер і
призначена для управління настройками модулів
шифрування;
– клієнт керування - клієнтська частина продукту,
встановлюється на апаратне обладнання зі встановленим
модулем шифрування і призначена для його оновлення.
 Складові частини
керуванням:
Системи
керування
функціонують
під
– Сервер керування: операційних систем Microsoft Windows
Server 2003/2008/2008 R2, Windows XP, Windows 7;
– Клієнт керування: Windows XP, Windows 7, Centos v 5.3
Система керування
 Переваги Системи керування:
– всі оновлення відбуваються централізовано і віддалено,
скорочується число співробітників, яким необхідно надати
доступ до ключової інформації модулів шифрування і
фізичний доступ до них;
– зниження загальної вартості володіння системою: відпадає
необхідність у відрядженнях кваліфікованих фахівців
безпосередньо до обладнання;
– зниження часу обслуговування модулів шифрування:
знижується час недоступності (простою) модулів шифрування і
збільшується швидкість настройки;
– технологічність:
за
допомогою
Системи
керування
централізовано обслуговуються всі компоненти Комплексу;
– безпека: в процесі оновлення всі дані пересилаються під
захистом існуючих VPN-з'єднань;
– зручність роботи: сервер оновлення надає єдиний інтерфейс
оновлення всіх модулів шифрування;
– поряд з розвиненим графічним інтерфейсом сервера
оновлення, адміністраторам доступний і командно-рядковий
інтерфейс управління;
– механізм захисту від невдалого оновлення: у разі невдалого
оновлення
система
автоматично
повертає
модулю
шифрування попередні параметри і оповіщає адміністратора
системи.
Система керування
Генерація ключових даних
 Генерація ключів виконується за допомогою програмного
модуля Центру генерації ключів, який входить до складу
Комплексу
програмного
захисту
інформації
«Криптосервер».
Продуктова
лінійка
Список продуктів
 Крипто-шлюзи:
– Шлюз UCS без обмеження на кількість тунелів;
– Шлюз UCS з обмеженням до 1000 тунелів;
– Шлюз SRE;
– Шлюз NME;
 Віддалений доступ:
– Клієнт для ОС Windows (з інтерфейсом користувача): для
ПЕОМ користувачів автоматизованої системи;
– Клієнт для ОС Windows (без інтерфейсу користувача): для
серверів, що функціонують у складі автоматизованої
системи;
 Засоби керування:
– Система керування.
Склад і позиціонування продуктів
Склад і позиціонування продуктів
Склад і позиціонування продуктів
Варіанти побудови
захищених мереж
Варіанти побудови захищених мереж
 Топологія:
– зірка (подвійна зірка);
– дерево;
– повнозв'язна мережа;
 Криптографічний шлюз розташовується:
– до маршрутизатора;
– після маршрутизатора;
– між двох маршрутизаторів;
– з підключенням на визначені інтерфейси;
 Захищений канал (тунель):
– IPSec;
– IPSec + GRE.
Розташування шлюзу
 До маршрутизатора
 Після маршрутизатора
 Після маршрутизатора
Розташування шлюзу
 З підключенням на визначені інтерфейси
Розташування шлюзу – критерії вибору
 Наявне мережеве обладнання.
 Необхідність використання на прикордонному маршрутизаторі будь-яких
WAN-інтерфейсів, крім Ethernet.
 Необхідність використання на прикордонному маршрутизаторі для
трафіку, що передається захищеним каналом, таких сервісів, як:
– фільтрація;
– пріоритезація;
– IPS;
– WAAS, тощо.
Варіанти організації
відмовостійких
рішень
Механізми забезпечення надійної роботи
мережі
 Резервування шлюзів можливе за допомогою наступних
протоколів та технологій:
– Динамічна маршрутизація;
– GRE;
– RRI;
– VRRP;
– DPD.
Схема резервування
Active / Standby (VRRP)
 Одна віртуальна ІР-адреса на два шлюзи як зі сторони LAN, так і зі
сторони WAN;
 Балансування навантаження неможливе;
 Не потребує механізмів детектування відмови з боку віддаленого
шлюзу;
 Повторне створення тунелів (до 5 хв. для шлюзу UCS)
Схема резервування
Routing Reverse Injection технологія
 Обмежена можливість балансування навантаження;
 Можливість використання більше 2-х шлюзів;
 За фактом створення / знищення тунелю (SA) динамічно прописується /
знищується зворотний маршрут;
 Використовується механізм детектування відмови (DPD) з боку
віддаленого шлюзу;
 Рішення масштабується до кількості віддалених сайтів / клієнтів в
декілька 1000 і більше без використання дорогого обладнання.
Схема резервування
GRE тунелювання




Задіяні обидва канали, забезпечується балансування навантаження;
Можливість використання більше 2-х шлюзів;
Непотрібно DPD на віддаленому шлюзі;
Одночасно піднято декілька IPsec тунелів до кожного віддаленого сайту
(за кількістю шлюзів);
 Вимагає дорогого обладнання при одночасній роботі з 500 і більше
віддаленими сайтами
Впровадження
Впровадження Комплексу
 З серпня 2012 р. на поточний час було виконано близько 10
впроваджень;
 Наприклад, Комплекс впроваджено в:
– Центральній виборчий комісії України;
– Генеральній прокуратурі України;
– Пенсійному фонді України;
– ДП «Державний центр інформаційних ресурсів України»;
– КМДА;
– та інших установах.
Схема 1 (приклад впровадження)
 Кількість Клієнтів: 2000
 Забезпечення
відмовостійкості
маршрутизації RIP
шляхом
використання
протоколу
Схема 2 (приклад впровадження)
 Одночасно функціонують всі Шлюзи
 Кількість клієнтів: 1000
 Забезпечення відмовостійкості шляхом визначення пріоритету підключення
Клієнтів до Шлюзу
Результати
тестування
Схема тестової ділянки
Результати тестування
Параметри утиліти iperf, яка виступає в якості клієнту
№
t - кількість
повторень
u - тип
пакетів
L- розмір
пакету (байт)
i - інтервал
повторень
b - пропускна здатність
каналу зв’язку
1
2
3
4
10
10
10
10
UDP
UDP
UDP
ТСР
1400
512
64
-
2
2
2
2
1000M
1000M
1000M
-
Параметри утиліти iperf, яка виступає в якості клієнту
№ t - кількість
повторень
1
2
3
4
10
10
10
10
u - тип
пакетів
L- розмір пакету
(байт)
i - інтервал
повторень
b - пропускна здатність
каналу зв’язку
UDP
UDP
UDP
ТСР
1400
512
64
-
2
2
2
2
1000M
1000M
1000M
1000M
Шлюз на базі модуля Cisco
SRE-900 : пропускна
здатність в режимі
шифрування
До 100 Mbit/sec
До 100 Mbit/sec
17-20 Mbit/sec
80-100 Mbit/sec
Шлюз на базі Cisco UCS
C200 M2 : пропускна
здатність в режимі
шифрування
780-820 Mbit/sec
500-550 Mbit/sec
34-39 Mbit/sec
500-550 Mbit/sec
Результати тестування
1
10
UDP
1400
2
1000M
Шлюз на базі серверу Cisco
UCS C210 M2: пропускна
здатність в режимі
шифрування
950-970 Mbit/sec
2
10
UDP
512
2
1000M
600-620 Mbit/sec
3
10
UDP
64
2
1000M
72-74 Mbit/sec
4
10
ТСР
-
2
1000M
670-690 Mbit/sec
Параметри утиліти iperf, яка виступає в якості клієнту
№ t - кількість
повторень
u - тип
пакетів
L- розмір
пакету (байт)
i - інтервал
повторень
b - пропускна здатність
каналу зв’язку
Параметри утиліти iperf, яка виступає в якості клієнту
№ t - кількість
повторень
1
2
3
4
10
10
10
10
u - тип
пакетів
L- розмір
пакету (байт)
i - інтервал
повторень
b - пропускна здатність
каналу зв’язку
UDP
UDP
UDP
ТСР
1400
512
64
-
2
2
2
2
1000M
1000M
1000M
1000M
Шлюз на базі серверу
Cisco UCS C220 M3:
пропускна здатність в
режимі шифрування
950-970 Mbit/sec
950-970 Mbit/sec
78-96 Mbit/sec
950-970 Mbit/sec
Результати тестування
Параметри утиліти iperf, яка виступає в якості клієнту
№
1
2
3
4
t - кількість
повторень
u - тип
пакетів
10
10
10
10
UDP
UDP
UDP
ТСР
L- розмір пакету i - інтервал
(байт)
повторень
1400
512
64
-
2
2
2
2
b - пропускна здатність
каналу зв’язку
1000M
1000M
1000M
-
Клієнт для ОС
Windows XP, 7:
пропускна здатність
режимі шифрування
До 80 Mbit/sec
До 80 Mbit/sec
До 30 Mbit/sec
40-60 Mbit/sec
Плани щодо
розвитку
Плани щодо розвитку
 Перехід на іншу версію операційної системи (Debian):
пов'язано з завершенням офіційної підтримки ОС Centos з
боку Cisco;
 Доробка з метою реалізації шифрування на канальному
рівні моделі OSI;
 Виправлення виявлених під час експлуатації помилок;
 Аналіз та реалізація побажань Замовників за результатами
експлуатації Комплексу;
 Розробка нових компонентів Комплексу, призначених для
захисту смартфонів та планшетів (ОС Android);
 Організація навчання.
Висновки
Що саме потрібно Замовнику?
… пропозиції з боку «Криптософт» та Cisco..
 Стандартизація
– повна та протестована підтримка протоколів та
алгоритмів IPSec (RFC 2401-RFC 2412), IKE, ДСТУ
ГОСТ 28147:2009 ;
 Сумісність з інфраструктурою Cisco
– протестована інтеграція з обладнанням Cisco.
Підтримка GRE, NAT, VLAN 802.1q.
– з підключенням на визначені інтерфейси;
 Висока пропускна здатність окремого шлюзу криптозахисту
(див. результати тестування).
 Висока надійність функціонування та відмовостійкість
– відмовостійкість мережі (декілька сценаріїв забезпечення
надійності);
– висока утилізація обчислювальних потужностей (резервні
шлюзи не працюють «вхолосту»);
Що саме потрібно Замовнику?
… пропозиції з боку «Криптософт» та Cisco..
 Підтримка якості мережевого обслуговування (QoS)
– можливість побудови та підтримки якості функціонування
мультисервісних мереж;
– захист ІР-телефонії, відеоконференцзв'язку;
 Віддалене та централізоване керування
– централізоване керування з використанням власного
програмного модуля Система керування;
– керування за допомогою CLI;
– єдина платформа керування для комутаційного
обладнання Cisco, засобів захисту Cisco та компонентів
Комплексу– Cisco Security Manager;
 Моніторинг та аудит безпеки мережі
– централізація моніторингу та аудиту;
– підтримка SNMP та Syslog;
– можливість використання промислових платформ
моніторингу та аудиту, наприклад, CiscoWorks LMS, HP
OpenView, Tivoli;
Що саме потрібно Замовнику?
… пропозиції з боку «Криптософт» та Cisco..
 Простота експлуатації, низька сукупна вартість володіння
– зручність і простота експлуатації;
– економія витрат на експлуатацію;
– єдність технологічного процесу експлуатації для засобів
захисту інформації та комунікаційного обладнання
 Масштабованість автоматизованої системи залежно від
потреб;
 Відповідність чинній нормативній базі України в галузі
криптографічного захисту інформації.