СПДС «ПОСТ»

Решение для удаленного доступа СПДС «ПОСТ» основано на технологии среды построения доверенного сеанса (СПДС).

Технология СПДС обеспечивает при удалённом доступе доверенную загрузку целостной информационной среды и изолированное сетевое соединение с сервером приложений.

Среда построения доверенного сеанса включает следующие средства защиты информации:

  • Специальный загрузочный носитель (СЗН) емкостью от 1 до 4 ГБ. Конструкция СЗН гарантирует целостность размещенных на носителе данных и программного обеспечения.
  • Аппаратная аутентификация
  • Среда функционирования (СФ) прикладного программного обеспечения на основе специально подготовленной ОС Linux (CentOS 5). В составе СФ работают средства криптографической защиты информации «CSP VPN Gate», «КриптоПро 3.6».
  • Прикладное программное обеспечение – веб-браузер, клиент терминального доступа на основе протокола RDP.

Эталон рабочей среды загружается с защищённого носителя. Обеспечивается строгая двухфакторная аутентификация пользователя, криптографическая защита трафика. Весь трафик рабочего места пользователя защищается на основе технологий IPSecVPN.

Технология СПДС совместима со следующими продуктами компаний S-Terra CSP:

  • CSP VPN Gate – 100B/100/1000/3000/7000;
  • NME-RVPN (МСМ);
  • CSP VPN Server;
  • Система управления С-Терра КП;

Сертификаты

  • Сертификат ФСБ России (КС2). Версия 3.1
  • Сертификат ФСБ России (КС2). Версия 3.11

Характеристики

  • Операционная система:Linux (CentOS 5).
  • Подготовка пакета настроек с помощью системы управления.
  • Интеллектуальное отслеживание доступности партнёров обмена (DPD).
  • Аутентификация пользователя и загрузка политики безопасности при старте операционной системы.
  • Интегрированный сетевой экран.
  • Защита трафика на основе шифрования пакетов по протоколам IPsec AH и/или IPsec ESP.
  • Поддержка транспортного и туннельного режимов работы в рамках протоколов IPsec.
  • Обеспечение пакетной фильтрации трафика с использованием информации в полях заголовков сетевого и транспортного уровней.
  • Возможность получения сертификатов и CRL по протоколу LDAP.
  • Управляемое событийное протоколирование (syslog).
  • Мониторинг глобальной статистики по протоколу SNMP, совместимость с CiscoWorks. MonitoringCenterforPerformance 2.0.2, входящего в состав CiscoWorks VMS 2.3.
  • Прозрачность для работы сервиса QoS.
  • Поддержка инкапсуляции пакета IPSec в UDP (NAT traversal).
  • Совместимость с PKI и LDAP службами зарубежных и российских производителей.
  • Продукт предназначен для доступа либо к терминальным приложениям, либо Web-приложениям .
  • USB интерфейс: 2.0.
  • Корпус в формате флэш USB носителя.
  • Потребляемая мощность 2,5 Вт.
Технические характеристики
Вернуться
к описанию

Спецификация продукта

Описание Спецификация
Операционная система Linux (CentOS 5)
Протоколы IKE/IPsec Стандарты RFC 2401 - 2412)
Алгоритмы шифрования ГОСТ 28147-89, NULL, DES-CBC (IV32), 3DES-K168-CBC, IDEA-CBC, AES-K128-CBC, AES-K192-CBC,AES-K256-CBC
Алгоритмы электронно-цифровой подписи ГОСТ Р 34.10-2001, DSA, RSA.
Алгоритмы вычисления хэш сумм ГОСТ Р 34.11-94, MD5, SHA1
Подключение внешних криптографических модулей

Возможность встраивания криптобиблиотек в соответствии с RFC 2628. Подключаются модули прикладного уровня и уровня ядра операционной системы. В состав входит модуль для подключения криптобиблиотеки СКЗИ «КриптоПро CSP 3.6»(производитель – компания «Крипто-Про»), реализующей российские криптографические алгоритмы и функции.

Информационные обмены протокола IKE Main mode, Aggressive mode, Quick mode, Transaction Exchanges, Informational Exchanges, VKO ГОСТР 34.10-2001
Режимы аутентификации в протоколе IKE ГОСТР 34. 10-2001
Обеспечение надежности (пересинхронизации) защищенных соединений Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)
Событийное протоколирование Syslog
Сбор статистики централизовано через систему управления
Формат сертификатов публичных ключей X.509 v.3 (RSA, DSA, ГОСТ)
Формат запроса на регистрацию сертификата при генерации ключевой пары продуктом. Certificate Enrollment Request (CER), упакованныйв PKCS#10 base 64 или bin формат
Способы получения сертификатов Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
Способ получения ключевой пары Генерация внешним PKI сервисом с доставкой.
Поддержка списка отозванных сертификатов Обработка CertificateRevocationList (CRL) опциональна
Поддерживается CRL v.2.
Способ получения CRL – протокол LDAP v.3
Работа через NAT Поддержана NAT TraversalEncapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)
Оформить заявку
Вернуться
к описанию