Продукты

С-Терра Клиент

Версия 5.0

Версия 4.3

Версия 4.2

Версия 4.1

Программный комплекс для криптографической защиты и фильтрации трафика с контролем состояния сессий для пользовательских устройств с ОС Windows, на которые он установлен.

Реализация

С-Терра Клиент ST

Сертификация

ФСБ: СКЗИ КС1, СКЗИ КС2
ФСТЭК: МЭ В4, 4 ур. доверия

Оставить заявку

IKE / IPSEC с ГОСТ

согласно RFC и ТК26

Продукт зарегистрирован

в реестре Российского ПО

Заявка

Документация по установке

С-Терра Клиент 5.0 может устанавливаться на:

персональный компьютер пользователя – для защиты индивидуального рабочего места пользователя при работе как в локальных, так и в открытых сетях (Интернет);
автономный сервер;
специализированные устройства в составе платежных систем: банкоматы, расчетные терминалы, кассовые аппараты (POS-терминалы) и датчики автоматизированных систем управления технологическими процессами (АСУТП).

Характеристики
Технологии
Эксплуатация

Надежная защита передаваемого трафика

Шифрование и имитозащита передаваемого трафика – по протоколам IPsec (RFC2401-RFC2412), IPsec/GOST (ТС 26.2.002-2014), по протоколу IPsec (RFC4301 и Р 1323565.1.035-2021), в том числе с использованием современных российских криптографических алгоритмов
Двусторонняя криптографическая аутентификация абонентов – по протоколам ISAKMP/IKEv1 (RFC2407, RFC2408, RFC2409), IKE/GOST (ТС 26.2.001-2015), IKEv2 (RFC7296, RFC7427, Р 1323565.1.048-2023), в том числе с использованием современных российских криптографических алгоритмов
Встроенный межсетевой экран и независимые правила фильтрации для входящего и исходящего трафиков для пакетной и контекстной фильтрации трафика на каждом интерфейсе
Поддержка криптостойких предварительно распределенных ключей в производственной эксплуатации
Добавлен новый формат контейнера закрытых ключей s50 (PKCS#15), работа с контейнерами формата p15 поддерживается
Использует встроенную криптографическую библиотеку, разработанную компанией «С-Терра СиЭсПи»

Построение защищенных сетей любой сложности

Поддержка протокола IKEv2 и одновременной работы по IKEv1 и IKEv2
Возможность одновременной работы в сетях с IPv4 и IPv6-адресацией, технология двойного стека (Dual stack), инкапсуляция пакетов IPv6 в IPv6, IPv4 в IPv6 в рамках IPsec SA
Поддержка инфраструктуры PKI
Гибкая маршрутизация и работа с пулами адресов для организации удалённого доступа и сложных VPN-топологий
Возможность создания гибкой политики безопасности на основе LSP, разные наборы правил обработки открытого и шифрованного трафика, включая фильтрацию по любым значимым полям заголовков и данных пакетов, а также реализацию сценариев split tunneling
Возможность задания режима работы DPD (Dead-Peer Detection)

Легкая интеграция в существующую инфраструктуру

Поддержка технологий:

Интеграция с RADIUS сервером, поддержка дополнительной аутентификации (XAuth)
Кеширование данных пользователя для XAuth -аутентификации через RADIUS
IKECFG-интерфейс (в том числе DNS) с возможностью подключения к нескольким шлюзам безопасности
Получение адреса из предопределенного пула
Возможность работы в виртуальных средах
Аутентификация пользователя и аутентификация узла сети
Работа через NAT Traversal
Мониторинг SNMP и Syslog
Поддержка IKE фрагментации (RFC7383)
Инкапсуляция IPsec трафика в HTTP (IPsec-over-HTTP), TCP инкапсуляция (vpnproxy)

Поддерживаемые операционные системы:

Windows 10 Russian build 19041 (64-bit)
Windows 11 Russian (64-bit)
Windows Server 2012R2 (64-bit)
Windows Server 2016 (64-bit)
Windows Server 2019 (64-bit)
Windows Server 2022 (64-bit)

Минимальные аппаратные требования для компьютера с установленным Продуктом

Наименование компонентов	Состав (количество) компонентов
Сетевые интерфейсы	1 х 10/100 Mbps
Оперативные память	1024 MB
Тип процессора	1 х Процессор с архитектурой х86-64 (AMD, Intel)
Объем и тип интерфейсов жёстких дисков	20 GB SATA

Криптографические библиотеки

С-Терра ST – встроенная

Операционные системы

Windows 10 Russian build 19041 (64-bit);

Windows 11 Russian (64-bit);

Windows Server 2012R2 (64-bit);

Windows Server 2016 (64-bit);

Windows Server 2019 (64-bit);

Windows Server 2022 (64-bit).

Возможность работы в виртуальных средах (исполнения класса защиты КС1)

VMWare vSphere ESXi/ESX 6.7, 7.0;

KVM: 5.x, 6.x qemu/qemu-kvm 5.x, 6.x, 7.х;

Microsoft Hyper-V Windows Server 2019;

Proxmox VE 7.4;

Astra Linux 1.7;

ПК СВ «Брест».

Обмены протокола IKEv1

Main mode;

Aggressive mode;

Quick mode;

Transaction Exchanges;

Informational Exchanges.

Обмены протокола IKEv2

IKE_SA_INIT;

IKE_AUTH;

CREATE_CHILD_SA;

INFORMATIONAL.

Шифрование Аутентификация Имитозащита

ГОСТ 28147-89;

ГОСТ 34.10-2018 (ГОСТ Р 34.10-2012);

ГОСТ 34.11-2018 (ГОСТ Р 34.11-2012);

ГОСТ 34.12-2018 (ГОСТ Р 34.12-2015) «Магма» и «Кузнечик»;

ГОСТ 34.13-2018 (ГОСТ Р 34.13-2015);

Международные алгоритмы.

Сессионные ключи для IKEv1

VKO ГОСТ Р 34.10-2012, 256 бит

Сессионные ключи для IKEv2

id-tc26-gost-3410-2012-256-paramSetA ГОСТ 34.10-2012, 256 бит;

id-tc26-gost-3410-2012-512-paramSetC ГОСТ 34.10-2012, 512 бит.

Мониторинг доступности удаленного узла

IKEv1 Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04);

IKEv2 Обмен INFORMATIONAL пакетами (RFC7296, Р 1323565.1.048-2023).

Событийное протоколирование

Syslog

Сбор статистики

SNMP v.1, v.2c, v.3

Формат сертификатов публичных ключей

X.509 v.3 (RSA, ГОСТ). Учтены изменения в соответствии с «Приказ ФСБ России от 27.12.2011 № 795» и «ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом»

Формат запроса на регистрацию сертификата при генерации ключевой пары

Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат

Способы получения сертификатов

Протоколы IKE, LDAP v.3;

Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64).

Способ получения ключевой пары

Генерация контейнера и запроса на сертификат с помощью утилит, входящих в состав продукта, с выдачей Certificate Enrollment Request (CER);

Генерация внешним PKI сервисом с доставкой на сменных ключевых носителях;

Генерация внешним PKI сервисом с доставкой через PKSC#12 (RSA).

Список отозванных сертификатов

Обработка Certificate Revocation List (CRL) опциональна.

Поддерживается CRL v.2.

Способы получения CRL:

протокол LDAP v.3
протокол HTTP
импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

NAT-Traversal для IPsec

NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02), draft-ietf-ipsec-udp-encaps-03(02) и RFC3947.

Для IKEv2 UDP encapsulation по RFC7296 (Р 1323565.1.048-2023).

Централизованное управление

Первичная подготовка
Первичное создание инсталляционного пакета может быть осуществлено с помощью административного пакета S-Terra Client AdminTool или с помощью системы централизованного управления С-Терра ГСУ 5.0

Режимы установки продукта
- основной неинтерактивный режим,
- тихий режим без запросов,
- интерактивный с запросами (по умолчанию)
Удалённое
Управление установленным С-Терра Клиент может осуществляться централизованно с использованием системы управления С-Терра ГСУ 5.0

Локальное
С-Терра Клиент продукт для корпоративного использования, политику безопасности и настройки режимов осуществляет администратор безопасности, но он может дать права на дальнейшее локальное управление конечному пользователю через командную строку

Совместимость

Токены в режиме отчуждаемого ключевого носителя:

— JaCarta PKI, JaCarta PKI/ГОСТ

— Рутокен Lite, Рутокен ЭЦП 3.0 (3100, 3220)

В режиме пользовательского токена:

— JaCarta PKI, JaCarta-2 PKI/ГОСТ

— Рутокен Lite

В части реализации протоколов IPsec/IKE и их расширений:

— для IKEv2 Cisco IOS, Strongswan, Windows 10/11, Android, iOS, MacOS

— с СКЗИ КриптоПро CSP 5.0
Продукты компании «С-Терра СиЭсПи» совместимы друг с другом в части реализации протоколов IPsec/IKE и их расширений

Техническая поддержка

Обновлённая услуга «Сервис технической поддержки» даёт возможности пользоваться технической поддержкой того уровня, который вам наиболее подходит на весь период эксплуатации продукта.

Преимущества продукта С-Терра Клиент 5.0

Повышенная устойчивость работы в любых сетях — поддержка IKE-фрагментации, TCP-инкапсуляции (vpnproxy) и IPsec-over-HTTP для сложных NAT и прокси.

Оптимизация производительности и совместимости— поддержка RADIUS/XAuth с кешированием, IKECFG с IPv4/IPv6, централизованное управление через С-Терра ГСУ 5.0, улучшенная работа с PKI и аппаратными токенами.

Реализован новый криптографический алгоритм ГОСТ 34.12-2018 (ГОСТ Р 34.12-2015) («Магма» в режиме MGM).

Расширенные возможности встроенного межсетевого экрана — независимые правила для входящего и исходящего трафика на каждом интерфейсе, пакетная и контекстная фильтрация, гибкая настройка политик для IPv4 и IPv6, фильтрация по любым значимым полям.

Поддержка современных операционных систем и виртуальных сред — работа на Windows 10/11 и Windows Server 2012R2–2022, совместимость с VMware, Hyper-V, KVM, Proxmox, Astra Linux и специализированными платформами, что упрощает развёртывание в любых инфраструктурах.

Сертификаты С-Терра Клиент 5.0