Криптошлюз
Криптошлюз (криптографический шлюз, vpn-шлюз, криптомаршрутизатор) — аппаратно-программный комплекс криптографической защиты трафика данных, голоса, видео на основе шифрования пакетов по протоколам IPsec AH и/или IPsec ESP при установлении соединения, соответствующий требованиям к средствам криптографической защиты информации (СКЗИ[1]) ФСБ России и обеспечивающий базовую функциональность современного VPN-устройства.
Назначение править
Криптошлюз предназначен для обеспечения информационной безопасности организации, защиты её информационных сетей от вторжения со стороны сетей передачи данных (Интернет), обеспечения конфиденциальности при передаче информации по открытым каналам связи (VPN), а также организации безопасного доступа пользователей к ресурсам сетей общего пользования.
Криптошлюз обеспечивает базовую функциональность современного VPN-устройства:
- конфиденциальность и целостность потока IP-пакетов;
- маскировку топологии сети за счет инкапсуляции трафика в защищённый туннель;
- прозрачность для NAT;
- аутентификацию узлов сети и пользователей;
- унификацию политики безопасности для мобильных и «внутренних» пользователей (динамическое конфигурирование корпоративных IP-адресов для удаленных пользователей «внутри VPN»).
Криптошлюзы представлены как в сегменте VPN устройств, так и в сегменте унифицированных устройств (UTM) объединяющих несколько средств безопасности в одном.
Отличие криптошлюзов от обычных VPN маршрутизаторов заключается в том, что они работают на основе протокола IPSec и обеспечивают защиту информации, передаваемой по каналам связи, используя алгоритмы, которые отвечают требованиям российских криптографических стандартов (ГОСТ 28147-89 и ГОСТ Р 34.10-2001)[2].
Доступ к ресурсам информационной системы править
Криптошлюзы позволяют осуществить защищённый доступ удаленных абонентов к ресурсам корпоративной информационной системы. Доступ производится с использованием специального программного обеспечения, установленным на компьютере пользователя (VPN-клиент) для осуществления защищённого взаимодействия удаленных и мобильных пользователей с криптошлюзом.
Программное обеспечение криптошлюза (сервер доступа) проводит идентификацию и аутентификацию пользователя и осуществляет его связь с ресурсами защищаемой сети. С помощью криптошлюзов формируют виртуальные защищённые каналы в сетях общего пользования (например, Internet), которые гарантируют конфиденциальность и достоверность информации, и организовывать виртуальные частные сети (Virtual Private Network – VPN), представляющие собой объединение локальных сетей или отдельных компьютеров, подключенных к сети общего пользования в единую защищённую виртуальную сеть. Для управления такой сетью обычно используется специальное программное обеспечение (центр управления), которое обеспечивает централизованное управление локальными политиками безопасности VPN-клиентов и криптошлюзов, рассылает для них ключевую информацию и новые конфигурационные данные, обеспечивает ведение системных журналов.
Примечания править
- ↑ Типовые требования по организации и обеспечению функционирования шифро- (крипто-) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены 8 Центром ФСБ России от 21.02.2008 № 149/6/6-622) . Дата обращения: 28 февраля 2012. Архивировано 16 ноября 2011 года.
- ↑ Алексей Чернобровцев. Криптошлюзы по-русски . Computerworld Россия № 22. Открытые системы (2010). Дата обращения: 28 февраля 2012. Архивировано 13 сентября 2012 года.
Литература править
- Жданов, О. Н., Золотарев, В. В. Методы и средства криптографической защиты информации: Учебное пособие. — Красноярск: СибГАУ, 2007. — 217 с. (недоступная ссылка)
Ссылки править
- Объединение локальных сетей офисов и удаленных филиалов . logic-soft. Дата обращения: 28 февраля 2012.
- Компоненты АПКШ «Континент» 3.5 . Компания «Код Безопасности». Дата обращения: 28 февраля 2012. Архивировано 24 мая 2012 года.
- Константин Кузовкин. Удаленный доступ к информационным ресурсам. Защита информации, передаваемой по каналам связи . i-teco. Дата обращения: 28 февраля 2012.