Амикон ФПСУ-IP

Семейство комплексов «ФПСУ-IP» целиком базируется на отечественных разработках и стандартах. Предназначено для межсетевого экранирования и разграничения доступа в Intranet / Extranet на сетевом и транспортном уровнях, построения частных сетей на базе общедоступных, оптимизации и повышения пропускной способности каналов связи. Комплекс обладает широким спектром предоставляемых сервисов, в том числе с применением технологии VPN на базе построения множественных защищенных туннелей для обмена данными.

Качество и надежность комплекса подтверждены сертификатом Гостехкомиссии при Президенте РФ (Сертификат № 233/1 от 16.10.2002г, 3 Класс РД межсетевые экраны по схеме серийное производство). В настоящее время на криптоядро комплекса получен сертификат ФАПСИ по классу КС1 и выполнены работы по сертификации комплексов ФПСУ-IP/Клиент, как средства криптографической защиты (СКЗИ «Туннель/Клиент»). Семейство успешно выдержало разносторонние испытания в независимых организациях и принято в качестве базового VPN-средства рядом крупных заказчиков, имеющих сильно распределенные и разнородные сети передачи данных.

Принципиальными отличительными особенностями комплексов являются:

• Высокая производительность при умеренной стоимости. При построении эффективных и высокозащищенных VPN со строгой двухсторонней аутентификацией взаимодействующих комплексов обеспечивают полосу пропускания свыше 65 Mбит/с при задействовании всех режимов защиты (фильтрация + сжатие + шифрование).
• Обеспечение минимума накладных расходов на организацию туннелей. К исходному пакету добавляется не более 22 байт (при несжимаемых данных), а при сжимаемых данных осуществляется повышение пропускной способности VPN в 2 и более раз за счет проходного сжатия.
• Организация VPN-каналов для управления пограничными маршрутизаторами. Для протоколов SMNP/SMNP-Trap, Telnet, TFTP, HTTP реализован оригинальный механизм проксирования, позволяющий управлять удаленными устройствами не с внешнего (открытого) порта, а с внутреннего порта устройства, при этом через общедоступную сеть весь трафик управления проходит в закрытом виде.
• Наличие механизмов адаптивного управления потоками данных. При формировании туннелей используются специальные процедуры маршрутизации, способствующие быстрому восстановлению связи при перегрузках или повреждениях внешних сетей.
• Организация до 8 независимых друг от друга туннелей в рамках одного парного соединения, в том числе с индивидуальными значениями MTU. В качестве критериев могут выступать как адреса отправителя и получателя, так и конкретные протоколы. Данный механизм обеспечивает приоритезацию VPN-потоков при их прохождении внешней сети, что позволяет обеспечивать требуемые значения QoS.
• Защищенное дистанционное (удаленное) управление и мониторинг. Обеспечивает централизованный контроль состояния комплексов и анализ статистических данных их работы, наглядное отображение состояния системы защиты и защищаемых сетей, сигнализацию событий.
• Сокрытие существования самих комплексов защиты. Эффективно противостоят активным и пассивным информационным воздействиям разведывательного характера, скрывают реальную топологию, корректно эмулируют отсутствие запрещенных адресов и сервисов.
• Каскадное включение комплексов. В рамках защищаемых LAN позволяет выделить отдельные сегменты сети в изолированные зоны повышенной защищенности.
• Тотальный аудит информационных и управленческих взаимодействий с «неуничтожимыми» следами аудита.

Основные характеристики

• Сертификаты Гостехкомиссии при Президенте РФ и ФАПСИ СКЗИ Туннель для ФПСУ IP, ISO9000
• Операционная система 32-битная ДОС-подобная
• Стек протоколов собственный
• Интерфейсы 2×10/100 Ethernet, FDDI, третий интерфейс для комплексов по схеме «горячий резерв«
• Алгоритм шифрования ГОСТ 28147-89
• VPN-протокол собственный
• Избыточность не более 22 байт на пакет
• Ключевая система симметричная
• Распределение ключей централизованное
• Обрабатываемые уровни OSI сетевой+транспортный, сеансовый и прикладной
• Управление и мониторинг локальное и удаленное, с механизмами «отката» сбоев; до 1024 комплексов на одно АРМ
• Протокол удаленного управления собственный туннельный протокол со строгой двухсторонней аутентификацией согласно Х.509
• Собственная безопасность полный аудит событий и действий персонала, разграничение доступа с помошью iButton и USB-Key
• Дополнительные защитные функции сокрытие топологии сети, трансляция адресов, сокрытие факта присутствия комплекса, проксирование протоколов управления
• Удаленный клиент для Windows 98, NT/2000
• Производительность более 90 Мбит/с
• Число абонентов/подсетей на порт до 3000
• Число независимых VPN-туннелей до 1024х8

До 36 месяцев гарантии и годовое авторское сопровождение эксплуатируемых комплексов в режиме «горячей линии». Постгарантийное обслуживание.

Подсистемы

В комплекс могут опционально встраиваться следующее подсистемы:

• подсистема удаленного OnLine защищенного управления и контроля
• подсистема разделения IP-пакетов на независимые туннели для поддержки QoS
• подсистема Proxy-поддержки управления маршрутизаторами
• подсистема поддержки и координации работы с Клиентами
• подсистема горячего резервирования

Центр выработки ключей

Подготовка и распределение ключевой информации, а также смена и вывод из действия действующих ключей, являются функциями Центра выработки ключей (ЦВК), который создается в подразделении, ответственном за безопасность информационных технологий эксплуатирующей организации. Надежность защиты и подлинность информации, передаваемой между комплексами «ФПСУ-IP» (по VPN- туннелю), обеспечивается только при условии сохранения от компрометации (утрата, временная потеря контроля, копирование и т. п.) действующих на этих комплексах ключей.

К работе в ЦВК допускаются специально выделенные сотрудники, обученные обращению с программными и аппаратными средствами, устанавливаемыми в ЦВК, и обращению с ключевыми документами. Работа в ЦВК с ключевой информацией должна осуществляться под контролем специально уполномоченного лица — Администратора безопасности ЦВК.

Программное обеспечение ЦВК устанавливается на специально выделенный для этих целей компьютер, оснащаемый программно-аппаратным комплексом защиты от несанкционированного доступа АККОРД-АМДЗ/5 (Аппаратный Модуль Доверенной Загрузки, использующий контроллер «Аккорд-5»).

В ЦВК генерируются комплекты ключевой информации, используемые для формирования VPN-туннелей между взаимодействующими «ФПСУ-IP» и для защиты передаваемых по VPN-туннелям данных. Ключи шифрования передаются под роспись Администратору безопасности комплекса, осуществляющему ввод ключевой информацией на «ФПСУ-IP».

Основным носителем ключевой информации является гибкий магнитный диск. Для каждого комплекса ЦВК может изготавливать 4 комплекта ключевой информации, предусматривающей организацию туннелей с взаимодействующими комплексами. Эти комплекты изготавливаются и передаются на «ФПСУ-IP» по очереди, по мере надобности (в случае компрометации действующего комплекта ключей на данном «ФПСУ-IP»). Ключевой комплект (или несколько комплектов) выдаются на ключевой диск в зашифрованном на транспортном ключе виде. Транспортный ключ к каждому созданному комплекту ключей выдаётся на отдельную дискету. Полученные из ЦВК комплекты ключевой информации устанавливаются на жесткий диск комплекса в зашифрованном виде на главном ключе «ФПСУ-IP». Главный ключ используется при инициализации средств шифрования комплекса.

Администраторами безопасности должен быть обеспечен режим хранения ключевых дисков, исключающий компрометацию (утрату, несанкционированный доступ и копирование) ключевой информации.

Горячее резервирование

В целях обеспечения повышенной надежности работы программно-аппаратных комплексов «ФПСУ-IP» разработана система горячего резервирования. Данная система состоит из двух программно-аппаратных комплексов «ФПСУ-IP», связанных между собой через Ethernet при использовании дополнительных сетевых карт.

Первый (основной) комплекс «ФПСУ-IP» находится в активном состоянии и обеспечивает связь, второй (резервный) комплекс одновременно находится в пассивном состоянии (режим ожидания). При возникновении аварийных ситуаций с основным комплексом или по команде удаленного или локального администратора, резервный комплекс переходит в активный режим и выполняет функцию основного комплекса по обеспечению связи, о чем незамедлительно уведомляется рабочая станция удаленного администрирования.

Необходимо отметить, что соответствующие порты обоих программно-аппаратных комплексов «ФПСУ-IP» имеют идентичные MAC-адреса (передающиеся от основного к резервному комплексу посредством таблетки Touch-memory). Наличие МАС-адресов позволяет избежать возникновения проблем, связанных с установкой связи при переключении программно-аппаратных комплексов.

Настройка данных комплексов дает возможность определить направления синхронизации, что, в свою очередь, позволяет осуществить передачу от основного комплекса к резервному конфигурации и аутентификационных данных при их изменении или дополнении.