Главная  > Продукты  > Продуктовая линейка  >  С-Терра Клиент  > С-Терра Клиент 4.2


С-Терра Клиент 4.2

Продукт в едином реестре российских программ

Исполнения: С-Терра Клиент ST. 
Классы сертификации: КС1, КС2.

Документация по установке и эксплуатации С-Терра Клиент.

Входит в линейку продуктов С-Терра VPN версии 4.2.

client.png С-Терра Клиент представляет собой программный комплекс, предназначенный для защиты и пакетной фильтрации трафика пользовательских устройств, на которые он установлен.

С-Терра Клиент может устанавливаться на:

  • персональный компьютер – для защиты индивидуального рабочего места пользователя при работе как в локальных, так и в открытых сетях (Интернет);
  • автономный сервер;
  • специализированные устройства в составе платежных систем: банкоматы, расчетные терминалы, кассовые аппараты (POS-терминалы) и датчики автоматизированных систем управления технологическими процессами.


  • Надежная защита передаваемого трафика

    • Шифрование и имитозащита передаваемого трафика – по протоколам IPsec (RFC2401-2412), с использованием современных российских криптографических алгоритмов
    • Маскировка топологии защищаемого сегмента сети
    • Аутентификация устройств – по протоколу IKE (RFC2401-2412)
    • Интегрированный межсетевой экран со stateless фильтрацией IP-трафика и stateful фильтрацией для протоколов TCP и FTP
  • Построение защищенных сетей любой сложности

    • Полноценная поддержка инфраструктуры PKI
    • Широкие возможности для администратора: задание гибкой политики безопасности, определение различных наборов правил обработки открытого и шифрованного трафика, в т.ч. реализация сценария split tunneling
    • При использовании С-Терра Клиент совместно с С-Терра Шлюз: построение нескольких эшелонов защиты, организация перешифрования
  • Легкая интеграция в существующую инфраструктуру

    Совместимость со всеми необходимыми протоколами, в том числе:

    • Возможность установления защищенного соединения до логина пользователя в ОС с возможностью аутентификации в домене
    • получение адреса из предопределенного пула
    • интеграция с RADIUS сервером (в том числе XAUTH)
    • IKECFG-интерфейс (в том числе DNS)
    • работа через NAT (NAT Traversal)
    • событийное протоколирование – Syslog
    • мониторинг SNMP
    • инкапсуляция IPsec трафика в HTTP (IPsec-over-HTTP)

    Совместимость с базовыми типами сетевых интерфейсов, в том числе с современными модемами.

  • Поддерживаемые операционные системы

    • MS Windows 10 Russian (х32, х64)
    • MS Windows 8.1 Russian (х32, х64)
    • MS Windows 8 Russian (х32, х64)
    • MS Windows 7 Russian (х32, х64)
    • MS Windows Server 2016 Edition (х64)
    • MS Windows Server 2012 (х64)
    • MS Windows Server 2008R2 (х64)
    • MS Windows Server 2008 (х32, х64)

    Характеристики оборудования должны соответствовать требованиям, предъявляемым операционными системами.

1.Криптоалгоритмы по ГОСТ Р 34.12-2015. Применяются новые алгоритмы шифрования (в т.ч. «Кузнечик») для выполнения требований нормативных документов.

2.Новые версии Windows. Расширен перечень операционных систем, в которых работает программный комплекс С-Терра Клиент. К поддерживаемым ранее Windows 7, 8, 8.1, Server 2008, 2012 добавились ОС Windows 10 и Windows Server 2016. Это позволяет обеспечить защиту трафика современных моделей ноутбуков, планшетов, персональных компьютеров, а также серверов.

3.Технологическая возможность совместимости с другими вендорами VPN-продуктов. Реализован новый режим работы IKEv1, соответствующий рекомендациям ТК 26.

4.Нестандартные IKE/IPsec порты. Можно задать произвольный номер порта в случае, если стандартные порты блокируются провайдером или уже используются в продуктах других производителей, и не представляется возможным выделить дополнительный внешний адрес.

5.IPsec-over-HTTP. Инкапсуляция IPsec трафика на основе протокола HTTP позволяет строить защищенные соединения, даже если у провайдеров разрешен только HTTP (например, в публичных местах).

6.Новый лицензионный механизм. Лицензия может быть ограничена по времени использования, то есть включать в себя дату, до которой она является активной.

Наименование Спецификация

Криптографические библиотеки

С-Терра ST – встроенная

Операционные системы

MS Windows 10 Russian Edition (х32, х64)
MS Windows 8.1 Russian Edition (х32, х64)
MS Windows 8 Russian Edition (х32, х64)
MS Windows 7 Russian Edition (х32, х64)
MS Windows Server 2016 Edition (х64)
MS Windows Server 2012 Edition (х64)
MS Windows Server 2008R2 Edition (х64)
MS Windows Server 2008 Edition (х32, х64)
MS Windows Server 2003 Edition (х32)

Информационные обмены протокола IKE

Main mode
Aggressive mode
Quick mode
Transaction Exchanges
Informational Exchanges
VKO ГОСТ Р 34.10-2001
VKO_GOSTR3410_2012_256

Шифрование
Аутентификация
Имитозащита

ГОСТ 28147-89
ГОСТ Р 34.10-2012
ГОСТ Р 34.11-2012
ГОСТ Р 34.12-2015
ГОСТ Р 34.13-2015

Мониторинг доступности удаленного узла

Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)

Событийное протоколирование

Syslog

Сбор статистики

SNMP v.1, v.2c

Формат сертификатов публичных ключей

X.509 v.3 (RSA, DSA, ГОСТ). Учтены изменения в соответствии с «Приказ ФСБ России от 27.12.2011 № 795» и «ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом»

Формат запроса на регистрацию сертификата при генерации ключевой пары

Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат

Способы получения сертификатов

Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

Способ получения ключевой пары

• Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER
• Генерация внешним PKI сервисом с доставкой на сменных ключевых носителях
• Генерация внешним PKI сервисом с доставкой через PKSC#12 (DSA, RSA)

Список отозванных сертификатов

Обработка Certificate Revocation List (CRL) опциональна
Поддерживается CRL v.2.
Способы получения CRL:

  • протокол LDAP v.3
  • импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

Работа через NAT

NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)

Централизованное управление

  • Первичное создание инсталляционного пакета может быть осуществлено с помощью графического интерфейса административного пакета или с помощью системы управления С-Терра КП
  • Установка возможна в различных режимах («тихий», интерактивный и т.д.)
  • Управление установленным клиентом безопасности С-Терра Клиент может осуществляться централизованно удаленно с использованием системы управления С-Терра КП

Режимы работы

Поддерживается неинтерактивный режим логина пользователя в клиент.

Поддерживается два режима работы с токенами:

  • Отчуждаемый ключевой носитель. Однопользовательский режим клиента, на токене хранится ключевая информация.
  • Пользовательский токен. Многопользовательский режим клиента, на токене осуществляется хранение ключевой информации, сертификатов и политики безопасности С-Терра Клиент.

Совместимость

  • В режиме отчуждаемого ключевого носителя токены:
  • — eToken Pro 72k (Java)
  • — JaCarta PKI, JaCarta PKI/ГОСТ
  • — Рутокен Lite, Рутокен ЭЦП
  • В режиме пользовательского токена:
  • — eToken Pro 72k (Java)
  • — JaCarta PKI
  • — Рутокен Lite
  • В части реализации протоколов IPsec/IKE и их расширений – с Cisco IOS v.12.4 и v.15.x.x
  • Все продукты компании «С-Терра СиЭсПи» независимо от версии. Совместимость с С-Терра Шлюз 10G – только для защиты канала управления (в качестве Клиента управления)

Техническая поддержка

Комплект поставки лицензии включает 1 (один) год технической поддержки (не распространяется на обновление до новой версии).

Рекомендуем приобрести услугу «Сервис технической поддержки» на последующий период эксплуатации продукта.