Засоби захисту IP-трафіку

Апаратні IP-шифратори

  • CryptoIP-459

IP-шифратор "CryptoIP-459" (ТУ У 26.2-32248356-022:2014, експертний висновок ДССЗЗІ України 04/03/02-1056 від 29.04.2020) призначений для криптографічного захисту інформації з обмеженим доступом (крім службової інформації та інформації, що становить державну таємницю) та відкритої інформації, вимога щодо захисту якої встановлена законом.

ІР-шифратор забезпечує крізне шифрування IP-трафіку, який передається між захищеними локально обчислювальними мережами через ІР-мережу загального користування. "CryptoIP-459" є основою для створення віртуальних приватних мереж (VPN) з шифруванням інформації.

У пристрої реалізуються алгоритми криптографічного захисту інформації:

  • шифрування — ДСТУ ГОСТ 28147:2009
  • функція ґешування — ГОСТ 34.311-95
  • електронного цифрового підпису - ДСТУ 4145-2002
  • формування сеансового ключа - ДСТУ ISO/IEC 15946-3:2006

На базі пристроїв можуть бути побудовані криптографічні системи:

  • з відкритими ключами і підтримкою архітектури PKI
  • з відкритими ключами і ручним розподілом сертифікатів абонентів

Пристрій підтримує:

  • Два інтерфейси 10/100Base-Т(TX) для підключення до глобальної мережі
  • Два інтерфейси 10/100Base-Т(TX) для підключення до локальної мереж
  • USB 2.0 — для підключення до ПК локальне управління
  • CryptoIP-459D/DL

ІP-шифратори "CryptoIP-459D/DL" призначені для криптографічного захисту службової інформації, забезпечують крізне шифрування IP-трафику, який передається між захищеними локально обчислювальними мережами через ІР-мережу загального користування. "CryptoIP-459D/DO" є основою для створення віртуальних приватних мереж (VPN) з шифруванням інформації

В пристроях реалізуються алгоритми:

  • Шифрування — ДСТУ ГОСТ 28147:2009
  • Функція ґешування — ГОСТ 34.311-95
  • Електронного цифрового підпису — ДСТУ 4145-2002
  • Формування сеансового ключа — ДСТУ ISO/IEC 15946-3:2006

На базі пристроїв можуть бути побудовані криптографічні системи:

  • З відкритими ключами і підтримкою архітектури PKI
  • З відкритими ключами і ручним розподілом сертифікатів абонентів
  • З симетричною криптографією

Пристрої підтримують інтерфейси:

  • Два 10/100Base-Т для підключення до глобальної мережі
  • Два 10/100Base-Т в "CryptoIP-459D" для підключення до локальної мережі
  • Один 100Base-FX в "CryptoIP-459DO" для підключення до локальної мережі
  • USB 2.0 — для підключення до ПЕВМ (конфігурація)

Програмний IP-шифратор CryptoIP VPN Client/Server

Програмний ІР-шифратор CryptoIP VPN Client /Server – представлений двома модифікаціями програмного забезпечення, що реалізують два режими роботи:

  • CryptoIP VPN Client – режим "станція";
  • CryptoIP VPN Server – режим "шлюз".

Модифікації надають різні можливості щодо їх підключення до мережі та не є взаємозамінними.

Режим "станція" передбачає встановлення ПЗ ІР-шифратора безпосередньо на клієнтський ПК, при цьому ПК клієнта підключається до мережі загального користування, але одночасно містить в собі також сегмент мережі, що захищається. З цією метою на ПК встановлюється додатковий логічний мережевий інтерфейс, що призначений для передачі зашифрованої інформації.

Режим "шлюз" передбачає встановлення ІР-шифратора на виділений сервер, який має два фізичних мережевих інтерфейси. Один інтерфейс підключається до мережі загального користування, другий інтерфейс підключається до ЛОМ, в якій обробляється інформація, що підлягає криптографічному захисту. Інформація, що проходить крізь шлюз зашифровуються та розшифровується (в залежності від напрямку) ІР-шифратором в режимі реального часу.

CryptoIP VPN Client/Server здійснює шифрування пакетів IP-трафіку, інкапсуляцію зашифрованих пакетів в нові пакети і передачу останніх IP- шифратору абонента, якому адресуються дані. При цьому забезпечується конфіденційність, цілісність і автентичність змісту IP-пакетів.

Криптографічні алгоритми, що реалізуються:

  • Шифрування — ДСТУ 7624:2014 «Калина-128/256», AES-256, ДСТУ ГОСТ 28147:2009
  • Функція хешування — ДСТУ 7564:2014 «Купина-256», SHA-256, ГОСТ 34311:95
  • Електронний цифровий підпис — ДСТУ 4145-2002
  • Формування сеансового ключа — по схемі Діффі-Хеллмана з використанням еліптичних кривих згідно ДСТУ ISO/IEC 15946-3:2006, RFC 2631 (для ДСТУ 7624:2014), ДСТУ ISO/IEC 15946-3:2006, RFC 2631 (для AES-256), Наказу Адміністрації Державної служби спеціального зв’язку та захисту інформації України 18.12.2012 № 739 (для ДСТУ ГОСТ 28147:2009)

У шифраторі реалізована можливість одночасного використання всіх заявлених алгоритмів шифрування у одній захищеній мережі для усіх видів криптографічних систем.

Переваги використання:

  • Високий рівень захисту ключової інформації за рахунок використання, спеціального контролера безпеки на рівні Common Сriteria EAL5+
  • Високий рівень захисту доступу до захищеної мережі за рахунок використання носія ключової інформації і двофакторної аутентифікації
  • Низькі витрати на придбання (порівняно з апаратними шифраторами)
  • Зручний інтерфейс користування
  • Робота до 4 років без необхідності зміни ключів на носії ключових даних
  • Відповідність законодавчій базі України

Інфраструктурне програмне забезпечення

  • CryptoProxy

Комп’ютерна програма "Спеціальне програмне забезпечення сервера "CryptoProxy"

Використання протокольного шлюзу CryptoProxy забезпечує простоту реструктуризації і масштабування захищених мереж VPN. Програмне забезпечення CryptoProxy призначене для обслуговування запитів IP-шифраторів абонентів, які належать до однієї захищеної VPN.

CryptoProxy виконує наступні функції:

  • приймання запитів IP-шифраторів на здобуття відкритих ключів користувачів VPN, з якими необхідно встановити з'єднання;
  • передачу IP-шифраторам запитаних відкритих ключів або відмову в передачі ключів.

CryptoProxy безпосередньо не бере участь в передачі конфіденційної інформації і не забезпечує її конфіденційність. Протокольний шлюз CryptoProxy забезпечує цілісність передачі сертифікатів і самих відкритих ключів до IP-шифраторів.

  • CryptoIP-403

Центр генерації та запису ключових даних (ЦГЗКД) "CryptoIP-403" призначений для генерації ключових і інших документів управління ключами криптографічно захищених IP мереж.

ЦГЗКД забезпечує управління ключами захищених IP мереж на базі апаратних та програмних IP-шифраторів, призначених для захисту конфіденційної інформації.

ЦГЗКД задає один з трьох режимів роботи кожної захищеної мережі:

  • з відкритими ключами і підтримкою архітектури PKI;
  • з відкритими ключами і ручним розподілом сертифікатів абонентів;
  • з симетричною криптографією.

ЦГЗКД виконує наступні основні функції:

  • введення структури захищеної мережі;
  • генерацію і запис ключових даних на носії ключової інформації;
  • генерацію файлів запитів на отримання сертифікатів відкритих ключів і генерацію даних про структуру мережі для ЦУ VPN;
  • персоналізацію IP-шифраторів;
  • збереження інформації про структуру і абонентів мережі;
  • формування вихідних документів (звітів) про виконані дії.
  • CryptoIP-411D

ПЗ "Центр управління засобами криптографічного захисту ІР-трафіку "CryptoIP-411D"

Складається з двох комп’ютерних програм:

  1. ЦУ-менеджер (експертний висновок ДССЗЗІ України № 04/03/02-882 від 09.04.2020р)
  2. ЦУ-монітор (експертний висновок ДССЗЗІ України № 04/03/02-884 від 09.04.2020 р)

Центр управління "менеджер" – це програмно-апаратний засіб, призначений для обслуговування носіїв ключової інформації, що використовуються в системі засобів криптографічного захисту інформації CryptoIP.

Комп’ютерна програма виконує наступні функції:

  • введення структури мережі або завантаження і редагування раніше введеної структури мережі, збереження відредагованої структури мережі у файлі;
  • генерацію ключових даних для кожного абонента мережі відповідно до схеми зв'язності абонентів і збереження структури;
  • завдання режиму і параметрів роботи мережі;
  • запис ключових даних на мікропроцесорний НКІ (USB-ключ, SIM-карту, смарт-карту);
  • персоналізація IP-шифраторів і збереження ключових даних персоналізації;
  • формування і експорт файлу структури мережі для центру управління VPN;
  • видачу звіту про генерацію ключових даних і їх запису на носії;
  • знищення всіх ключових даних і параметрів після завершення роботи;
  • ведення журналу подій.

Загальний вигляд головного вікна складається з трьох вікон:

  • Вікно головної форми відображує список всіх абонентів.
  • Друге вікно відображує параметри генерації ключових даних.
  • Третє вікно відображує структуру мережі і стан процесу формування КД для кожного абонента.

Центр управління "Монітор" призначений для моніторингу криптографічної мережі, побудованої на базі систем засобів CryptoIP

Комп’ютерна програма  реалізує безперервний процес управління, протягом якого здійснюється:

  • збір інформації про стан елементів VPN;
  • відображення стану елементів мережі і історії зміни параметрів для оцінки поточного стану мережі;
  • підтримка вироблення рішення про втручання в роботу мережі;
  • інтерактивний набір і видачу команд;
  • протоколювання подій в мережі і команд управління.