Криптошлюз
Криптошлюз (криптографический шлюз, vpn-шлюз, криптомаршрутизатор) — аппаратно-программный комплекс криптографической защиты трафика данных, голоса, видео на основе шифрования пакетов по протоколам IPsec AH и/или IPsec ESP при установлении соединения, соответствующий требованиям к средствам криптографической защиты информации (СКЗИ[1]) ФСБ России и обеспечивающий базовую функциональность современного VPN-устройства.
НазначениеПравить
Криптошлюз предназначен для обеспечения информационной безопасности организации, защиты её информационных сетей от вторжения со стороны сетей передачи данных (Интернет), обеспечения конфиденциальности при передаче информации по открытым каналам связи (VPN), а также организации безопасного доступа пользователей к ресурсам сетей общего пользования.
Криптошлюз обеспечивает базовую функциональность современного VPN-устройства:
- конфиденциальность и целостность потока IP-пакетов;
- маскировку топологии сети за счет инкапсуляции трафика в защищённый туннель;
- прозрачность для NAT;
- аутентификацию узлов сети и пользователей;
- унификацию политики безопасности для мобильных и «внутренних» пользователей (динамическое конфигурирование корпоративных IP-адресов для удаленных пользователей «внутри VPN»).
Криптошлюзы представлены как в сегменте VPN устройств, так и в сегменте унифицированных устройств (UTM) объединяющих несколько средств безопасности в одном.
Отличие криптошлюзов от обычных VPN маршрутизаторов заключается в том, что они работают на основе протокола IPSec и обеспечивают защиту информации, передаваемой по каналам связи, используя алгоритмы, которые отвечают требованиям российских криптографических стандартов (ГОСТ 28147-89 и ГОСТ Р 34.10-2001)[2].
Доступ к ресурсам информационной системыПравить
Криптошлюзы позволяют осуществить защищённый доступ удаленных абонентов к ресурсам корпоративной информационной системы. Доступ производится с использованием специального программного обеспечения, установленным на компьютере пользователя (VPN-клиент) для осуществления защищённого взаимодействия удаленных и мобильных пользователей с криптошлюзом.
Программное обеспечение криптошлюза (сервер доступа) проводит идентификацию и аутентификацию пользователя и осуществляет его связь с ресурсами защищаемой сети. С помощью криптошлюзов формируют виртуальные защищённые каналы в сетях общего пользования (например, Internet), которые гарантируют конфиденциальность и достоверность информации, и организовывать виртуальные частные сети (Virtual Private Network – VPN), представляющие собой объединение локальных сетей или отдельных компьютеров, подключенных к сети общего пользования в единую защищённую виртуальную сеть. Для управления такой сетью обычно используется специальное программное обеспечение (центр управления), которое обеспечивает централизованное управление локальными политиками безопасности VPN-клиентов и криптошлюзов, рассылает для них ключевую информацию и новые конфигурационные данные, обеспечивает ведение системных журналов.
ПримечанияПравить
- ↑ Типовые требования по организации и обеспечению функционирования шифро- (крипто-) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены 8 Центром ФСБ России от 21.02.2008 № 149/6/6-622) (неопр.). Дата обращения: 28 февраля 2012. Архивировано 16 ноября 2011 года.
- ↑ Алексей Чернобровцев. Криптошлюзы по-русски (неопр.). Computerworld Россия № 22. Открытые системы (2010). Дата обращения: 28 февраля 2012. Архивировано 13 сентября 2012 года.
ЛитератураПравить
- Жданов, О. Н., Золотарев, В. В. Методы и средства криптографической защиты информации: Учебное пособие. — Красноярск: СибГАУ, 2007. — 217 с. (недоступная ссылка)
СсылкиПравить
- Объединение локальных сетей офисов и удаленных филиалов (неопр.). logic-soft. Дата обращения: 28 февраля 2012.
- Компоненты АПКШ «Континент» 3.5 (неопр.). Компания «Код Безопасности». Дата обращения: 28 февраля 2012. Архивировано 24 мая 2012 года.
- Константин Кузовкин. Удаленный доступ к информационным ресурсам. Защита информации, передаваемой по каналам связи (неопр.). i-teco. Дата обращения: 28 февраля 2012.