s terra-presentations new
TRANSCRIPT
![Page 1: S terra-presentations new](https://reader030.vdocuments.site/reader030/viewer/2022032618/55b366cabb61ebe56d8b45aa/html5/thumbnails/1.jpg)
Cisco Solution Technology Integrator
Защита сетевой инфраструктуры на основе продуктов С-Терра
СТАНДАРТ СЕТЕВОЙ БЕЗОПАСНОСТИ ДЛЯ РОССИЙСКОГО БИЗНЕСА
![Page 2: S terra-presentations new](https://reader030.vdocuments.site/reader030/viewer/2022032618/55b366cabb61ebe56d8b45aa/html5/thumbnails/2.jpg)
Cisco Solution Technology Integrator
Защита сетей на основепродуктов CSP VPN версии 4.1
Сведения о производителе
![Page 3: S terra-presentations new](https://reader030.vdocuments.site/reader030/viewer/2022032618/55b366cabb61ebe56d8b45aa/html5/thumbnails/3.jpg)
Проект С-Терра СиЭсПи
3
С-Терра СиЭсПи – российская компания, созданная в 2003 году.
С-Терра СиЭсПи разрабатывает программные и программно-аппаратные средства защиты информации под маркой CSP VPN для построения виртуальных частных сетей (VPN).
С-Терра СиЭсПи обладает всеми необходимыми лицензиями ФСТЭК и ФСБ России.
С-Терра СиЭсПи является технологическим партнером компании Cisco Systems (Cisco Solution Technology Integrator).
«CSP» = «Cisco Security Partner»
![Page 4: S terra-presentations new](https://reader030.vdocuments.site/reader030/viewer/2022032618/55b366cabb61ebe56d8b45aa/html5/thumbnails/4.jpg)
Cisco Solution Technology Integrator
Защита сетей на основепродуктов CSP VPN версии 4.1
Продуктовая линейка С-Терра
![Page 5: S terra-presentations new](https://reader030.vdocuments.site/reader030/viewer/2022032618/55b366cabb61ebe56d8b45aa/html5/thumbnails/5.jpg)
Продукты S-Terra
5
С-Терра Клиент С-Терра Шлюз
СПДС «ПОСТ»
С-Терра L2 С-Терра КП
Виртуальный Шлюз
С-Терра MCM
С-Терра Клиент-М
С-Терра Экспортный Шлюз
![Page 6: S terra-presentations new](https://reader030.vdocuments.site/reader030/viewer/2022032618/55b366cabb61ebe56d8b45aa/html5/thumbnails/6.jpg)
Архитектура продукта
С-Терра АгентС-Терра Агент
КриптографияКриптография
Аппаратная платформаАппаратная платформа
Операционная системаОперационная система
DEPO, KraftWay, TONK, HP, CISCO
DEPO, KraftWay, TONK, HP, CISCO
CentOS, Solaris, DebianCentOS, Solaris, Debian
КриптоПРО, S-TerraКриптоПРО, S-Terra
3.1/3.11/4.13.1/3.11/4.1
![Page 7: S terra-presentations new](https://reader030.vdocuments.site/reader030/viewer/2022032618/55b366cabb61ebe56d8b45aa/html5/thumbnails/7.jpg)
Масштабируемость шлюзов CSP VPN Gate
7
Шлюзы безопасности масштабированы в шкале естественного деления каналов связи по скоростям передачи данных:
•CSP VPN Gate100 – 10 Мбит/с•CSP VPN Gate1000 – до 100 Мбит/с•CSP VPN Gate3000 – до 500 Мбит/с•CSP VPN Gate7000 – до 3,5 Гбит/с
Производительности шлюзов безопасности CSP VPN Gate от младших серий к старшим различаются почти в сотни раз, цены на них – почти в 10-20 раз
Такая масштабируемость мощности и цены платформ позволяет «дозировать» производительность строго по потребности заказчика и в реальных проектах (где, как правило, доминируют низкоскоростные каналы), снизить суммарную стоимость решения на 30-50% по сравнению с конкурентными предложениями
![Page 8: S terra-presentations new](https://reader030.vdocuments.site/reader030/viewer/2022032618/55b366cabb61ebe56d8b45aa/html5/thumbnails/8.jpg)
Специальные скорости для специальных сетей
Для скоростных каналов, связывающих дата центры, на базе VPN-шлюзов версии 4.1, разработано высокоскоростное решение: В сетях с использованием
технологии jambo frames, один шлюз безопасности способен обрабатывать до 7 Гб защищенного трафика в секунду
Путем добавления дополнительных шлюзов решение легко масштабируется для обработки десятков Гб защищенного трафика в секунду
Подобная схема прошла успешные испытания в реальных условиях на площадках наших заказчиков
8
![Page 9: S terra-presentations new](https://reader030.vdocuments.site/reader030/viewer/2022032618/55b366cabb61ebe56d8b45aa/html5/thumbnails/9.jpg)
С-Терра Шлюз
9
Применение – VPN, межсетевое экранирование
Криптопровайдер: «КриптоПро CSP», «С-Терра CSP»
Аппаратные платформы: Cisco, Kraftway, НР, Depo
Сертификаты: ФСБ России – КС1, КС2, КС3
ФСТЭК России – НДВ 3, МЭ 3, ОУД 4+, АС 1В, ГИС до 1 кл. вкл., ПДн 1-4 ур.
Обеспечивает:Шифрование и имитозащиту трафика по протоколам IPsec ESP и/или IPsec AH (RFC2401-2412)Аутентификацию устройств по протоколу IKE (RFC2401-2412)Полноценную поддержку инфраструктуры PKIStateful-фильтрацию трафика для протоколов TCP и FTPПакетную фильтрацию трафика с использованием информации в полях заголовков сетевого и транспортного уровнейРазличные наборы правил обработки открытого и шифрованного трафика, в т.ч. split tunnelingМаркировку трафикаИнтеграцию с Radius серверомСобытийное протоколирование Syslog, мониторинг SNMP
GG
![Page 10: S terra-presentations new](https://reader030.vdocuments.site/reader030/viewer/2022032618/55b366cabb61ebe56d8b45aa/html5/thumbnails/10.jpg)
Новый функционал CSP VPN Gate версии 4.1
В программных продукта VPN Агент версии 4.1 появилась возможность задавать расширенные сценарии обработки сетевого трафика:
Фильтрация трафика по состоянию TCP-соединения
Тегирование трафика Раскраска трафика Приоритезация пакетов Журналированние пакетов Много уровневая обработка пакетов
VPN Агент версии 4.1 это полноценный сертифицированный межсетевой экрана.
10
![Page 11: S terra-presentations new](https://reader030.vdocuments.site/reader030/viewer/2022032618/55b366cabb61ebe56d8b45aa/html5/thumbnails/11.jpg)
11
Решения для динамичных сетей
На основе шлюзов безопасности версии 4.1 разработаны схемы работы, при которых добавление новых VPN-устройств происходит с минимальным участием администратора сети:
Наиболее популярной из таких схем является схема, которая стоится по правилам классической виртуальной сети с возможностью динамического создания туннелей между узлами (DMVPN).
По достоинству администраторы оценят возможность хранения параметров защищенных соединений межу центральным офисом и клиентами на Radius-сервере.
11
![Page 12: S terra-presentations new](https://reader030.vdocuments.site/reader030/viewer/2022032618/55b366cabb61ebe56d8b45aa/html5/thumbnails/12.jpg)
Виртуальная среда
В составе линейки продукта Агент версии 4.1 появился образ шлюза безопасности , для работы под управлением виртуальной машиной компании VMware:
Данный образ представляет из себя полнофункциональный шлюз безопасности и сертифицирован по классу KC1.
Виртуализация позволяет забыть о проблеме совместимости с железом и обеспечивает более легкий переход на следующие версии шлюзов безопасности.
12
![Page 13: S terra-presentations new](https://reader030.vdocuments.site/reader030/viewer/2022032618/55b366cabb61ebe56d8b45aa/html5/thumbnails/13.jpg)
С-Терра Виртуальный Шлюз
13
Применение – VPN, межсетевое экранирование
Криптопровайдер: «КриптоПро CSP», «С-Терра CSP»
Платформы: VMWare ESXi, Hyper-V, Xen
Сертификаты: ФСБ России – КС1
ФСТЭК России – НДВ 3, МЭ 3, ОУД 4+, АС 1В, ГИС до 1 кл. вкл., ПДн 1-4 ур.
Обеспечивает:Шифрование и имитозащиту трафика по протоколам IPsec ESP и/или IPsec AH (RFC2401-2412)Аутентификацию устройств по протоколу IKE (RFC2401-2412)Полноценную поддержку инфраструктуры PKIStateful-фильтрацию трафика для протоколов TCP и FTPПакетную фильтрацию трафика с использованием информации в полях заголовков сетевого и транспортного уровнейРазличные наборы правил обработки открытого и шифрованного трафика, в т.ч. split tunnelingМаркировку трафикаИнтеграцию с Radius серверомСобытийное протоколирование Syslog, мониторинг SNMP
![Page 14: S terra-presentations new](https://reader030.vdocuments.site/reader030/viewer/2022032618/55b366cabb61ebe56d8b45aa/html5/thumbnails/14.jpg)
МСМ (NME-RVPN) и MCM 950
14
Компаниями Cisco Systems и «С-Терра СиЭсПи» разработан криптографический модуль MCM, реализующий стандарты криптографической защиты для протоколов TCP/IP
Интеграция в маршрутизаторы серий 2800, 3800, 2900, 3900 и 4400
MCM (NME-RVPN) – имеет собственную операционную систему и собственную поддержку протокола IPsec, ориентированную на использование шифрования по алгоритмам ГОСТ
СКЗИ КС1, КС2, КС3
![Page 15: S terra-presentations new](https://reader030.vdocuments.site/reader030/viewer/2022032618/55b366cabb61ebe56d8b45aa/html5/thumbnails/15.jpg)
CSP VPN Client
15
Применение – защита удаленного доступа
Поддерживаемые ОС: Windows XP, Vista, 7, 8/8.1, Server 2003/2008/2012
Криптопровайдер: «КриптоПро CSP», «С-Терра CSP»
Сертификаты: ФСБ России – КС1, КС2
ФСТЭК России – НДВ 3, МЭ 3, ОУД 4+, АС 1В, ГИС до 1 кл. вкл., ПДн 1-4 ур.
Обеспечивает:Шифрование и имитозащиту трафика по протоколам IPsec ESP и/или IPsec AH (RFC2401-2412)Аутентификацию устройств по протоколу IKE (RFC2401-2412)Полноценную поддержку инфраструктуры PKIStateful-фильтрацию трафика для протоколов TCP и FTPПакетную фильтрацию трафика с использованием информации в полях заголовков сетевого и транспортного уровнейРазличные наборы правил обработки открытого и шифрованного трафика, в т.ч. split tunnelingМаркировку трафикаПолучение IKECFG адресаИнтеграцию с Radius серверомСобытийное протоколирование Syslog, мониторинг SNMP
CC
![Page 16: S terra-presentations new](https://reader030.vdocuments.site/reader030/viewer/2022032618/55b366cabb61ebe56d8b45aa/html5/thumbnails/16.jpg)
Удобство управления
16
GUIGUI
LSPLSP
Cisco Security ManagerCisco Security Manager
Cisco-like consoleCisco-like console
С-Терра АгентС-Терра Агент
УтилитыУтилиты
C-Терра КПC-Терра КП
![Page 17: S terra-presentations new](https://reader030.vdocuments.site/reader030/viewer/2022032618/55b366cabb61ebe56d8b45aa/html5/thumbnails/17.jpg)
С-Терра КП
17
Применение – централизованная система управления VPN-продуктами С-Терра
Поддерживаемые ОС: Windows Server 2003/2008/2012
Сертификаты: в качестве системы управления в составе линейки продуктов С-Терра
Обеспечивает:Поддержка более 10 тыс. устройствИзменение на VPN-устройствах следующих параметров:
локальная политика безопасности, настройки политики драйвера, настройки протоколирования
предопределенные ключи сертификаты, списки отозванных сертификатов и др.
Контроль активности управляемых устройствКонтроль срока действия сертификатов управляемых устройствФормирование ключевой пары непосредственно на VPN-устройстве (обновление сертификата)Задание настроек VPN-устройств с помощью интерактивных мастеровАвтоматизацию процесса подготовки дистрибутивов для инициализации VPN-устройствСбор, анализ и визуализация статистической информации об управляемых VPN-устройствахАрхивирование и восстановление данных об управляемых VPN-устройствах на сервере управленияИнициализацию, восстановление и обновление шлюзов безопасности с флеш-носителяКонвертацию политик безопасности VPN-устройств с младших версий на старшие
![Page 18: S terra-presentations new](https://reader030.vdocuments.site/reader030/viewer/2022032618/55b366cabb61ebe56d8b45aa/html5/thumbnails/18.jpg)
Схема работы С-Терра КП
• Сервер управления устанавливается на отдельный компьютер в защищенной локальной подсети
• Клиент управления формируется на сервере управления и устанавливается на каждом VPN-устройстве
• Все сетевые обмены между сервером управления и клиентами управления осуществляются под защитой IPsec-туннелей, которые строятся между VPN-устройствами и шлюзом безопасности
18
![Page 19: S terra-presentations new](https://reader030.vdocuments.site/reader030/viewer/2022032618/55b366cabb61ebe56d8b45aa/html5/thumbnails/19.jpg)
Поддержка протокола управления SNMP
19
Протокол SNMP в продуктах С-Терра применяется для целей:
Сбор информации о параметрах устройств сети (SNMP polling)
Сбор статистики
Выдача событийной информации в целях оперативной сигнализации (SNMP trap)
Поддержка стандартной MIB (management information base)
Совместимость с платформами управления на основе SNMP
Мониторинг и аудит: SNMP Syslog
![Page 20: S terra-presentations new](https://reader030.vdocuments.site/reader030/viewer/2022032618/55b366cabb61ebe56d8b45aa/html5/thumbnails/20.jpg)
Cisco Solution Technology Integrator
Защита сетей на основепродуктов С-Терра
![Page 21: S terra-presentations new](https://reader030.vdocuments.site/reader030/viewer/2022032618/55b366cabb61ebe56d8b45aa/html5/thumbnails/21.jpg)
Сценарии применения
21
Защищаемая сеть 2
Недоверенная сеть
Защищаемая сеть 1
Шлюз безопасности CSP VPN Gate
Шлюз безопасности CSP VPN Gate
Недоверенная сеть
Защищаемая сеть
Шлюз безопасности CSP VPN Gate
Мобильный клиент:
CSP VPN Client/СПДС ПОСТ/
C-Терра Клиент-М
Remote Access
Site-to-site
![Page 22: S terra-presentations new](https://reader030.vdocuments.site/reader030/viewer/2022032618/55b366cabb61ebe56d8b45aa/html5/thumbnails/22.jpg)
Сценарии применения
22
Reverse Route Injection (RRI)
Protocol (VRRP) Virtual Router Redundancy
![Page 23: S terra-presentations new](https://reader030.vdocuments.site/reader030/viewer/2022032618/55b366cabb61ebe56d8b45aa/html5/thumbnails/23.jpg)
10G: С-Терра Шлюз + S-Terra L2 + EtherChannel
23
Логика работы: • Для балансировки трафика используются технология
Etherchannel (протоколы LACP или PAgP)• Перехват трафика происходит на канальном уровне