Часто задаваемые вопросы (FAQ)

• Какие параметры и критерии следует учитывать при выборе VPN продукта?

  При рассмотрении задачи обеспечения защиты информации в сети возникает множество вариантов ее решения, отличающихся как по общей реализации, так и по используемым продуктам и их поставщикам. Для того, чтобы помочь Вам сделать правильный выбор VPN продукта на основе реальных критериев мы подготовили специальную статью.

• Какова производительность шлюза безопасности С-Терра Шлюз?

  Производительность оборудования зависит от многих факторов:

  1. Мощность оборудования.
     Производительность шлюза определяется количеством ядер и частотой процессора аппаратной платформы. Чем больше ядер и чем выше частота процессора, тем большей производительностью обладает шлюз при прочих равных условиях. Линейка предлагаемых нашей компанией программно-аппаратных комплексов (ПАК) разделена на категории 100/1000/3000/7000 в зависимости от характеристик аппаратной платформы. 
  2. Тип трафика (размер пакета).
     Чем больше размер пакета, тем выше производительность. Примеры трафика с большим размером пакета – видеоконференцсвязь, репликация баз данных; с маленьким – IP-телефония. Когда четко определить тип трафика проблематично, используется понятие – смешанный трафик (IMIX). 
  3. Характеристики канала связи.
     Для производительности VPN наиболее значимый параметр канала связи – MTU (Maximum Transmission Unit – максимальный размер передаваемого блока данных). Чем больше MTU, тем большего размеры пакеты можно передавать по каналу связи. Это важно как для учета влияния типа трафика (см. предыдущий пункт), так и для недопущения фрагментации пакетов, которое вызывает деградацию производительности.

  При производстве ПАК (Программно-Аппаратных Комплексов) осуществляется тестирование производительности на разном типе трафика (TCP, UDP, различный размер пакетов и MTU). В описаниях ПАК на сайте, в презентациях и т.д. указываются не пиковые значения, полученные при шифровании пакетов большого размера, а данные для смешанного трафика (IMIX).

  С максимальными значениями производительности шлюзов безопасности С-Терра можно ознакомиться на сайте:

  • для С-Терра Шлюз – в зависимости от аппаратной платформы и типа трафика
  • для С-Терра Виртуальный Шлюз – в зависимости от гипервизора и типа трафика

  Для получения подробной информации по какому-либо из шлюзов, необходимой при проектировании конкретной системы, рекомендуем обращаться в наш отдел технического консалтинга по адресу presale@s-terra.ru.

• Где я могу ознакомиться с правилами эксплуатации продуктов С-Терра?

  Правила пользования для продуктов С-Терра всех версий входят в состав документации и находятся в свободном доступе на портале документации компании «С-Терра СиЭсПи».

  Для VPN-продуктов С-Терра, использующих криптографию «КриптоПро CSP» (СР), в формуляре указано, что:

  «… 1.2. Эксплуатация ПAК должна проводиться в соответствии с эксплуатационной документацией
  …
  1.4. … Эксплуатация СКЗИ «КриптоПро CSP», при использовании его в ПК, должна проводиться в соответствии с эксплуатационной документацией, предусмотренной Формуляром на СКЗИ «КриптоПро CSP»…»

  Иными словами, при использовании VPN продуктов с криптографией СР, необходимо руководствоваться как документацией на продукты ООО «С-Терра СиЭсПи», так и документацией на продукты производства ООО «КРИПТО-ПРО».

  Для VPN-продуктов с собственной встроенной криптографией ST достаточно руководствоваться только документацией C-Терра, которая доступна на портале документации.

  Таким образом, в отличие от некоторых поставщиков СКЗИ (даже хорошо известных на рынке РФ), которые «стесняются» раскрывать правила пользования своими VPN-продуктами, компания «С-Терра СиЭсПи» открыто публикует их на своем сайте.

• Какова методика измерения производительности Шлюзов С-Терра?

  Производительность зависит от множества факторов и может существенно различаться в зависимости от типа защищаемого трафика. Поэтому для каждого из наших устройств мы проводим большое количество измерений.

  В частности, измеряется производительность при использовании пакетов UDP различного размера (64 байта, 512 байт, 1400 байт, 9000 байт) и TCP-трафика, как в один, так и в несколько потоков. Кроме того, нами используется модель сетевого трафика IMIX, которая состоит из набора сетевых пакетов различных размеров в определенных пропорциях – для того, чтобы измерения были применимы для более точной оценки производительности на реальном трафике.

  При измерении производительности, мы, помимо непосредственно скорости (Мбит/с), контролируем и другие параметры, такие как задержку, jitter, процент потерянных и переупорядоченных пакетов, и следим за тем, чтобы эти показатели соответствовали самым высоким критериям качества.

  Более подробно о производительности шлюзов шифрования и факторах, влияющих на нее можно узнать из этой статьи.

• Обязательно ли использовать с продуктами С-Терра стороннее сетевое (отечественное или импортное) оборудование?

  Нет, не обязательно.

  Компания «С-Терра СиЭсПи» использует для производства шлюзов безопасности аппаратные платформы отечественных и зарубежных производителей. При этом все устанавливаемое на них программное обеспечение сертифицировано ФСБ и ФСТЭК России.

  Основная задача продуктов С-Терра – обеспечить криптографическую защиту трафика и межсетевое экранирование. Кроме того, реализованы и другие функциональные возможности для решения смежных задач – такие как динамическая маршрутизация, сетевая трансляция адресов и т.п.

  Для решения своих основных задач продукты С-Терра могут и должны применяться в комплексе с другими средствами защиты и сетевым оборудованием. Оно может быть как отечественного, так и импортного производства – это зависит от Ваших предпочтений.

• Нужно ли дополнительно применять средства защиты, например, АПМДЗ Соболь или Аккорд, чтобы использовать продукты С-Терра?

  Необходимость использования АПМДЗ (Аппаратно-Программный Модуль Доверенной Загрузки) для каждого исполнения описана в разделе 4 «Комплектность» формуляра СКЗИ, доступного на сайте С-Терра.

  Для достижения высоких классов сертификации КС2 и КС3 необходимо использовать средства локальной аутентификации и контроля целостности (защита от НСД). В частности, АПМДЗ являются удобным решением для выполнения этих требований и поэтому присутствуют в формулярах большинства производителей СКЗИ. Однако, для выполнения функций защиты от НСД могут применяться и другие средства, например, специальный загрузочный носитель – СЗН «ПОСТ-USB-01», либо комплекс специализированных программных и аппаратных средств, как, например, в криптомаршрутизаторах ESR-ST. Для использования исполнений класса КС1 использование подобных средств не требуется.

  Многие продукты других производителей имеют жестко регламентированные разрешенные к использованию аппаратные платформы. В отличие от них, продукты С-Терра могут поставляться на любых аппаратных платформах общего назначения, в том числе на платформе, выбранной заказчиком.

  Аналогичная ситуация и с АПМДЗ – существует перечень разрешенных для использования в наших продуктах АПМДЗ. Он включает в себя продукты разных производителей. Это дает возможность конечному пользователю (заказчику) выбрать, какой АПМДЗ ему будет удобней использовать.

• Нужно ли дополнительно покупать УЦ КриптоПро, чтобы использовать его с продуктами С‑Терра VPN?

  В документации на продукты С-Терра с криптографией ST нет обязательного требования по использованию УЦ (Удостоверяющего Центра) КриптоПро. Его использование носит рекомендательный характер.

  Например, в документации "ПАК "С-Терра VPN" Правила пользования для группы исполнений СКЗИ со встроенной криптографической библиотекой" в п.4.7. указано:

  «… Сертификаты ключей проверки ЭП и списки аннулированных сертификатов должны быть выпущены в формате, совместимом с сертифицированным УЦ «КриптоПро», и подписаны с использованием сертифицированного СКЗИ. …»

  Продукты С-Терра позволяют заказчику выбрать подходящий способ получения сертификатов для аутентификации. В том числе существуют весьма бюджетные варианты:

  1. Воспользоваться существующим в организации УЦ с поддержкой ГОСТ.
  2. Развернуть собственный УЦ. Сделать это можно как с помощью «специализированных» продуктов (например, «КриптоПро УЦ» и «Notary-PRO») так и с помощью Microsoft CA c криптопровайдером КриптоПро. Вариант с Microsoft CA наиболее распространённый, он реализуется на любой серверной ОС Windows, инструкция по настройке содержится в документе "ПК С-Терра Шлюз. Версия 4.1. Руководство администратора. Приложение" на стр.61.
  3. Купить сертификаты (неквалифицированные) в УЦ, предоставляющем такую услугу, например, https://www.cryptopro.ru/service/ca.

• Необходимо ли при использовании СКЗИ устанавливать на рабочих местах пользователей и серверах антивирусное ПО?

  Отчасти – да. Антивирусное ПО необходимо применять при использовании любого СКЗИ, что является общим требованием, записанным в эксплуатационную документацию

  Но, в отличие от многих других СКЗИ, при использовании С-Терра VPN не обязательно устанавливать антивирусное ПО на каждое рабочее место, а достаточно организовать централизованную антивирусную защиту, как это описано в документации "ПАК «С-Терра VPN». Правила пользования" (как для СКЗИ с КриптоПро CSP, так и для СКЗИ с криптографией ST), п.4.6.:

  «… Для антивирусной защиты пользователей защищаемой сети средства антивирусной защиты должны устанавливаться либо непосредственно на ПЭВМ пользователя сети, либо на сервер централизованной антивирусной защиты, либо на ПАК с установленным СКЗИ (при наличии совместимого средства антивирусной защиты).
  При наличии канала обмена информацией между ПЭВМ пользователя СКЗИ и незащищёнными автоматизированными системами, средства антивирусной защиты должны устанавливаться непосредственно на ПЭВМ пользователя СКЗИ, или на выделенный носитель ПЭВМ пользователя СКЗИ или предустанавливаться на СЗН (например, для бездисковой рабочей станции). При отсутствии такого канала обмена информацией, достаточно использование средств антивирусной защиты, устанавливаемых на сервер централизованной антивирусной защиты. …»

• Должен ли заказчик осуществлять процедуры по исследованию влияния окружающей программной среды на СКЗИ, чтобы использовать решения С-Терра?

  Продукты С-Терра уже являются сертифицированным СКЗИ и не требуют от заказчика проведения дополнительных исследований при функционировании в системах, использующих стандартные* средства обработки данных, в том числе для обработки информации, подлежащей обязательной защите в соответствии с законодательством РФ.

  Мы предлагаем своим заказчикам только готовые к использованию продукты и решения и не перекладываем на них никаких дополнительных проблем.

  * Стандартными в данном контексте считаются программы, входящие в состав операционной системы, либо разработанные производителем операционной системы или средства криптографической защиты информации (СКЗИ).

  
  

• Должен ли заказчик проводить исследования ПО BIOS СВТ, чтобы использовать С-Терра Шлюз?

  Нет, проводить исследования не требуется.

  Исследование ПО BIOS СВТ на соответствие требованиям «Временных методических рекомендаций к проведению исследований программного обеспечения BIOS по документированным возможностям» проводится нашей компанией для всех производимых программно-аппаратных комплексов (ПАК) на основании соответствующей лицензии ФСБ России.

  Другими словами, компания «С-Терра СиЭсПи» уже провела все необходимые исследования и предлагает своим заказчикам и партнерам только готовые к использованию продукты и решения.

• Существует ли в продуктовой линейке компании «С-Терра СиЭсПи» система централизованного управления VPN-продуктами?

  Да, существует.

  Система централизованного управления С-Терра КП появилась в версии 3.1 (2011 год). Сегодня она представляет собой мощнейший инструмент администрирования и используется у наших крупнейших заказчиков, системы которых насчитывают тысячи устройств С-Терра. В отличие от многих компаний, мы не навязываем заказчикам нашу систему управления, а позиционируем её как опциональный компонент.

  Кроме управления с помощью С-Терра КП, продуктами С-Терра возможно управлять с помощью Cisco CSM. Поддерживаются различные системы SNMP мониторинга, в том числе HP Arcsight.

• Для обновления ключей защиты, нужно ли их физически доставлять к криптошлюзу и переводить его в «технический» режим?

  Нет, такой необходимости нет.

  В правилах использования продуктов С-Терра нет информации о таком режиме, как "технический" или подобном ему, как нет такого режима в наших продуктах вообще.

  Цитируем п.4.8. документа «ПАК «С-Терра VPN». Правила пользования для группы исполнений СКЗИ с КриптоПро CSP»:

  «… Доставка контейнеров ключей ЭП и внешней гаммы ПДСЧ на устройство должна производиться аутентифицированным администратором на носителях, поддерживаемых СКЗИ «КриптоПро», которые могут быть подключены конфигурируемому устройству, либо по защищённому сетевому соединению …»

  Цитируем п.4.8. документа «ПАК «С-Терра VPN». Правила пользования для группы исполнений СКЗИ со встроенной криптографической библиотекой»:

  «… Доставка контейнеров ключей ЭП и внешней гаммы ПДСЧ на устройство должна производиться аутентифицированным администратором на носителях, поддерживаемых ПАК и перечисленных в разделе 3, которые могут быть подключены к конфигурируемому устройству, либо по защищённому сетевому соединению …»

  При этом важно отметить, что обновление сертификатов возможно в автоматическом режиме с использованием системы централизованного управления С-Терра КП.

  Как в случае ручного обновления сертификатов, так и при обновлении с помощью С-Терра КП, С-Терра VPN работает в штатном режиме. Обновление сертификатов может осуществляться заранее. В этом случае до момента истечения срока службы для аутентификации будет применяться старый сертификат, после истечения его срока службы для аутентификации вновь устанавливаемых защищенных соединений начнет использоваться новый сертификат.

  
  

• Реализована ли в продуктах С-Терра поддержка отказоустойчивости?

  Да, отказоустойчивость поддерживается.

  Отказоустойчивость – способность системы выполнять свое предназначение в случае отказа какого-либо из своих элементов. Эта характеристика очень важна, поэтому наша компания предлагает различные варианты реализации отказоустойчивости и резервирования оборудования, а также его компонентов.

  1. Кластеризация по протоколу VRRP (Virtual Router Redundancy Protocol).
     В типовом случае применения протокола VRRP два шлюза безопасности объединяются в один виртуальный. В каждый момент времени трафик обрабатывает только одно устройство. В случае его отказа в работу включается резервный шлюз. Переключение между ними происходит за несколько секунд и обычно незаметно для конечного пользователя. 
  2. RRI (Reverse Route Injection).
     На центральной площадке устанавливается несколько шлюзов безопасности, в удаленных точках указаны адреса всех этих шлюзов. Когда туннель построен, для того, чтобы убедиться в его работоспособности используется протокол DPD (Dead Peer Detection). Если этот протокол обнаруживает обрыв связи, то шлюз пытается переустановить IPSec туннель с указанными пирами по очереди. За резервируемыми шлюзами обычно устанавливается маршрутизатор, который по протоколу динамической маршрутизации получает от шлюзов информацию о том, какие удаленные подсети через какой шлюз доступны. Если один из шлюзов выходит из строя, то трафик перераспределяется между оставшимися шлюзами. 
  3. EtherChannel.
     Агрегация интерфейсов позволяет объединить несколько физических интерфейсов коммутатора в один логический. Каждый логический канал защищен шлюзом безопасности с программным модулем «С-Терра L2». Балансировка нагрузки и отработка отказа осуществляется с помощью протоколов LACP или PAgP. Данная конфигурация применима для построения высокопроизводительных решений. 
  4. GRE туннели на отдельном оборудовании.
     GRE (Generic Routing Encapsulation) – протокол инкапсуляции сетевых пакетов. Важной особенностью данного протокола туннелирования является то, что он позволяет инкапсулировать, как обычный трафик, так и мультикастовые пакеты, в связи с чем, он часто применяется для передачи пакетов динамической маршрутизации в удаленную подсеть через интернет. Отказоустойчивость реализуется за счет наличия нескольких GRE туннелей через различные шлюзы и/или разных провайдеров. В случае отказа одного из каналов, весь трафик перенаправляется через оставшиеся рабочие каналы. Обнаружение обрыва связи происходит при помощи протокола динамической маршрутизации. 
  5. GRE-туннели на оборудовании С-Терра.
     Логика работы аналогична предыдущему случаю и применима для резервирования провайдеров.

  Кроме того, поддерживается резервирование интерфейсов оборудования по протоколу LACP. Возможна комплектация шлюзов безопасности дополнительными блоками питания и жесткими дисками (RAID).

  Многообразие вариантов реализации и комплектации продуктов С-Терра позволяет повысить надежность любой ИС!

• Как осуществляется гарантийное обслуживание аппаратных платформ?

  Компания «С-Терра СиЭсПи» поставляет все аппаратные платформы с гарантией производителя – 3 года. Причем, при возникновении гарантийного случая, заказчик может обращаться как в отдел технической поддержки компании «С-Терра СиЭсПи», так и к производителю АП напрямую, контактная информация которых приведена на нашем сайте в разделе «Поддержка».