Продукты

С-Терра Клиент А

Версия 5.0

Версия 4.3

Программный комплекс для криптографической защиты и фильтрации трафика с контролем состояния сессий для пользовательских устройств c ОС Astra Linux, на которые он установлен.

Реализация

С-Терра Клиент А ST

Сертификация

ФСБ: СКЗИ КС1, СКЗИ КС2, СКЗИ КС3
ФСТЭК: МЭ В4, 4 ур. доверия

Оставить заявку

IKEv1 и IKEv2 / IPSEC с ГОСТ

согласно RFC и ТК26

Продукт зарегистрирован

в реестре Российского ПО

Заявка

Документация по установке

С-Терра Клиент А 5.0 может устанавливаться на ОС Astra Linux:

персональный компьютер пользователя – для защиты индивидуального рабочего места пользователя при работе как в локальных, так и в открытых сетях (Интернет);
автономный сервер;
специализированные устройства в составе платежных систем: банкоматы, расчетные терминалы, кассовые аппараты (POS-терминалы) и датчики автоматизированных систем управления технологическими процессами (АСУТП).

Характеристики
Технологии
Эксплуатация

Надежная защита передаваемого трафика

Шифрование и имитозащита передаваемого трафика – по протоколам IPsec (RFC2401-RFC2412), IPsec/GOST (ТС 26.2.002-2014), по протоколу IPsec (RFC4301 и Р 1323565.1.035-2021), в том числе с использованием современных российских криптографических алгоритмов.
Двусторонняя криптографическая аутентификация абонентов – по протоколам ISAKMP/IKEv1 (RFC2407, RFC2408, RFC2409), IKE/GOST (ТС 26.2.001-2015), IKEv2 (RFC7296, RFC7427, Р 1323565.1.048-2023), в том числе с использованием современных российских криптографических алгоритмов.
Встроенный межсетевой экран и независимые правила фильтрации для входящего и исходящего трафиков для пакетной и контекстной фильтрации трафика на каждом интерфейсе.
Поддержка криптостойких предварительно распределенных ключей в производственной эксплуатации.
Добавлен новый формат контейнера закрытых ключей s50 (PKCS#15), работа с контейнерами формата p15 поддерживается.
Список аппаратных датчиков случайных чисел дополнен устройством КРИПТОН USB-ДСЧ.
Используется встроенная криптографическая библиотека, разработанная компанией «С-Терра СиЭсПи».

Построение защищенных сетей любой сложности

Поддержка протокола IKEv2 и одновременной работы по IKEv1 и IKEv2.
Технология двойного стека (Dual stack) для смешанных сред, возможность одновременной работы в сетях с IPv4 и IPv6-адресацией.
Инкапсуляция пакетов point-to-point GRE IPv6 в IPv6, IPv4 в IPv6 в рамках IPsec SA.
Гибкая маршрутизация и работа с пулами адресов для организации удалённого доступа и сложных VPN-топологий.

Легкая интеграция в существующую инфраструктуру

Интеграция с RADIUS сервером, поддержка дополнительной аутентификации (XAuth).
IKECFG-интерфейс (в том числе DNS) с возможностью подключения к нескольким шлюзам безопасности.
Получение адреса из предопределенного пула.
Интеграция с системами квантового распределения ключей (QKD).
Возможность работы в виртуальных средах (VMWare, KVM, Hyper-V, Proxmox).
Аутентификация пользователя и аутентификация узла сети.
Работа через NAT Traversal.
Мониторинг SNMP и Syslog.
Централизованное управление через С-Терра ГСУ 5.0.
Инкапсуляция IPsec трафика в HTTP (IPsec-over-HTTP), TCP инкапсуляция (vpnproxy).

Операционной системы Astra Linux Special Edition версии 1.7 с последними установленными обновлениями безопасности:

Для классов защиты КС1 и КС2:

Astra Linux Special Edition 1.7.3;
Astra Linux Special Edition 1.7.5;
Astra Linux Special Edition 1.7.6;

Для класса защиты КС3:

Astra Linux Special Edition 1.7.3.

Минимальные аппаратные требования для компьютера с установленным Продуктом:

Наименование компонентов	Состав (количество) компонентов
Сетевые интерфейсы	1 х 10/100 Mbps
Оперативные память	Не менее 1024 MB
Тип процессора	1 x Процессор с архитектурой x86-64 (AMD, Intel)
Объем и тип интерфейсов жёстких дисков	20 GB SATA

Криптографические библиотеки

С-Терра ST – встроенная

Операционные системы

Astra Linux Special Edition 1.7 (Смоленск) с последними установленными обновлениями безопасности:

Astra Linux Special Edition 1.7.3;
Astra Linux Special Edition 1.7.5;
Astra Linux Special Edition 1.7.6;

Astra Linux Special Edition 1.7.3.

Возможность работы в виртуальных средах (исполнения класса защиты КС1)

VMWare vSphere ESXi/ESX 6.7, 7.0;

KVM: 5.x, 6.x qemu/qemu-kvm 5.x, 6.x, 7.х;

Microsoft Hyper-V Windows Server 2019;

Proxmox VE 7.4;

Astra Linux 1.7;

ПК СВ «Брест».

Обмены протокола IKEv1

Main mode;

Aggressive mode;

Quick mode;

Transaction Exchanges;

Informational Exchanges.

Обмены протокола IKEv2

IKE_SA_INIT;

IKE_AUTH;

CREATE_CHILD_SA;

INFORMATIONAL.

Шифрование Аутентификация Имитозащита

ГОСТ 28147-89;

ГОСТ 34.10-2018 (ГОСТ Р 34.10-2012);

ГОСТ 34.11-2018 (ГОСТ Р 34.11-2012);

ГОСТ 34.12-2018 (ГОСТ Р 34.12-2015) «Магма» и «Кузнечик»;

ГОСТ 34.13-2018 (ГОСТ Р 34.13-2015);

Международные алгоритмы.

Сессионные ключи для IKEv1

VKO ГОСТ Р 34.10-2012, 256 бит

Сессионные ключи для IKEv2

id-tc26-gost-3410-2012-256-paramSetA ГОСТ 34.10-2012, 256 бит;

id-tc26-gost-3410-2012-512-paramSetC ГОСТ 34.10-2012, 512 бит.

Мониторинг доступности удаленного узла

IKEv1 Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04);

IKEv2 Обмен INFORMATIONAL пакетами (RFC7296, Р 1323565.1.048-2023).

Событийное протоколирование

Syslog

Сбор статистики

SNMP v.1, v.2c, v.3

Формат сертификатов публичных ключей

X.509 v.3 (RSA, ГОСТ). Учтены изменения в соответствии с «Приказ ФСБ России от 27.12.2011 № 795» и «ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом»

Формат запроса на регистрацию сертификата при генерации ключевой пары

Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат

Способы получения сертификатов

Протоколы IKE, LDAP v.3;

Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64).

Способ получения ключевой пары

Генерация контейнера и запроса на сертификат с помощью утилит, входящих в состав продукта, с выдачей Certificate Enrollment Request (CER);

Генерация внешним PKI сервисом с доставкой на сменных ключевых носителях;

Генерация внешним PKI сервисом с доставкой через PKSC#12 (RSA);

Поддержка контейнеров формата s50 (PKCS#15) с обратной совместимостью p15.

Список отозванных сертификатов

Обработка Certificate Revocation List (CRL) опциональна.

Поддерживается CRL v.2.

Способы получения CRL:

протокол LDAP v.3
протокол HTTP
импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

NAT-Traversal для IPsec

NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02), draft-ietf-ipsec-udp-encaps-03(02) и RFC3947.

Для IKEv2 UDP encapsulation по RFC7296 (Р 1323565.1.048-2023).

Управление

Первичная подготовка

Первичное создание инсталляционного пакета может быть осуществлено с помощью системы централизованного управления С-Терра ГСУ 5.0 либо с использованием deb-пакетов и технологии debconf

Режимы установки продукта:
— основной неинтерактивный режим,
— тихий режим без запросов,
— интерактивный с запросами (по умолчанию).

Удаленное
Управление установленным С-Терра Клиент А может осуществляться централизованно с использованием системы управления С-Терра ГСУ 5.0
Локальное
С-Терра Клиент А продукт для корпоративного использования, политику безопасности и настройки режимов осуществляет администратор безопасности, но он может дать права на дальнейшее локальное управление конечному пользователю через командную строку

Совместимость

Все продукты компании «С-Терра СиЭсПи» независимо от версии.

Токены в режиме отчуждаемого ключевого носителя:

— JaCarta PKI, JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ

— Рутокен Lite, Рутокен ЭЦП 3.0 (3100, 3220)

В режиме пользовательского токена:

— JaCarta PKI, JaCarta-2 PKI/ГОСТ

— Рутокен Lite
В части реализации протоколов IPsec/IKE и их расширений:
— для IKEv2 Cisco IOS, Strongswan, Windows 10/11, Android, iOS, MacOS
— с СКЗИ КриптоПро CSP 5.0
Список аппаратных датчиков случайных чисел дополнен устройством КРИПТОН USB-ДСЧ
Продукты компании «С-Терра СиЭсПи» совместимы друг с другом в части реализации протоколов IPsec/IKE и их расширений

Техническая поддержка

Обновлённая услуга «Сервис технической поддержки» даёт возможности пользоваться технической поддержкой того уровня, который вам наиболее подходит на весь период эксплуатации продукта.

Преимущества продукта С-Терра Клиент А 5.0

Положено начало квантово-устойчивой криптографической архитектуре. Реализация алгоритма ГОСТ Р 34.12-2015 «Магма» в режиме MGM с поддержкой AEAD-шифрования и интеграция с системами квантового распределения ключей (QKD).

Межплатформенная совместимость корпоративного уровня.

Взаимодействие с Cisco IOS, StrongSwan, Windows, Linux, Android, iOS, macOS через протокол IKEv2. Устраняет vendor lock при построении гетерогенных VPN-инфраструктур.

Усовершенствованная архитектура контейнеров PKCS#15 Новый формат контейнера s50 с поддержкой неизвлекаемых ключей на токенах JaCarta-2 и Рутокен ЭЦП 3.0. Повышает защищенность криптографических материалов.

Нативная поддержка IPv6 с технологией двойного стека. Полноценное функционирование в сетях IPv6 с поддержкой инкапсуляции IPv6-в-IPv6 и IPv4-в-IPv6 в рамках IPsec SA. Критично важно для модернизации сетевой инфраструктуры.

Интеллектуальный анализ и контроль трафика. Контекстная фильтрация протоколов TCP/UDP/FTP с независимыми правилами на каждом сетевом интерфейсе. SNMP-мониторинг и syslog-протоколирование с группировкой событий.

Сертификаты С-Терра Клиент А 5.0