С-Терра Клиент-М 4.1

Документация по установке и эксплуатации С-Терра Клиент-M.
Входит в линейку продуктов С-Терра VPN.

Продукт С-Терра Клиент-М представляет собой программный комплекс для обеспечения защиты трафика мобильных устройств на платформе Android.

С-Терра Клиент-М предназначен для обеспечения безопасного удаленного доступа к ресурсам, защищенным VPN-устройствами С-Терра Шлюз или другим оборудованием, поддерживающим IKE/IPsec в соответствии с RFC.

Создание политики безопасности продукта может быть осуществлено с помощью графического интерфейса. При необходимости более тонкой настройки существует возможность непосредственного редактирования локальной политики безопасности (LSP), являющейся внутренним представлением конфигурации продуктов С-Терра.

Для установки С-Терра Клиент-М не требуется получения прав root (взлома) устройства.

Характеристики
Технологии
Эксплуатация
Совместимость

Надежная защита передаваемого трафика
- Шифрование и контроль целостности передаваемого трафика – по протоколам IPsec ESP (RFC2401-2412)
- Аутентификация сторон с использованием предопределенных ключей или электронной подписи в рамках протокола – по протоколу IKE (RFC2401-2412)
- Применяется комбинированное преобразование ESP_GOST-4M-IMIT в соответствии с документом «ТЕХНИЧЕСКАЯ СПЕЦИФИКАЦИЯ ПО ИСПОЛЬЗОВАНИЮ ГОСТ 28147-89 ПРИ ШИФРОВАНИИ ВЛОЖЕНИЙ В ПРОТОКОЛЕ IPSEC ESP»
Построение защищенных сетей любой сложности
- Полноценная поддержка инфраструктуры PKI
- Поддержка различных наборов правил обработки открытого и шифрованного трафика, в т.ч. реализация сценария split tunneling
Легкая интеграция в существующую инфраструктуру
- Возможность работы мобильного пользователя в соответствии с политикой безопасности внутрикорпоративной сети (IKECFG-клиент)
- Интеграция с Radius сервером
- Маскировка адресных пространств защищаемых сетей (туннелирование трафика)
- Управляемое событийное протоколирование через Syslog
- Работа через NAT (NAT Traversal)
- Совместимость с MDM-системами (например, SafePhone, Citrix XenMobile)
Поддерживаемые операционные системы
- Android 4.x
Характеристики оборудования должны соответствовать минимальным требованиям, предъявляемым операционными системами.

Наименование	Спецификация
Криптографические библиотеки	встроенная, С-Терра ST
Поддерживаемые операционные системы	Android 4.x
Информационные обмены протокола IKE	Main mode Aggressive mode Quick mode Transaction Exchanges Informational Exchanges VKO ГОСТ Р 34.10-2001
Режимы аутентификации в протоколе IKE	Preshared key RSA digital signature DSA digital signature ГОСТ Р 34.10-2001 ГОСТ Р 34.10-2012
Алгоритмы шифрования, контроля целостности и ЭП	Шифрование: DES, AES, ГОСТ 28147-89 ЭП: DSA, RSA, ГОСТ Р 34.10-2001 Контроль целостности: MD5, SHA1, комбинированное преобразование ESP_GOST-4M-IMIT
Мониторинг доступности удаленного узла	Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)
Событийное протоколирование	Syslog
Формат сертификатов публичных ключей	X.509 v.3 (RSA, DSA, ГОСТ). Учтены изменения в соответствии с "Приказ ФСБ России от 27.12.2011 № 795" и "ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом"
Формат запроса на регистрацию сертификата при генерации ключевой пары	Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат.
Способы получения сертификатов	Протоколы IKE, LDAP v.3. Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
Способ получения ключевой пары	Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER. Генерация внешним PKI сервисом с доставкой на сменных ключевых носителях. Генерация внешним PKI сервисом с доставкой через PKSC#12 (DSA, RSA).
Список отозванных сертификатов	Обработка Certificate Revocation List (CRL) опциональна. Поддерживается CRL v.2. Способы получения CRL: протокол LDAP v.3; импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64).
Работа через NAT	NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)

Совместимость

Список совместимых мобильных устройств
Токены производства компании Aladdin: JaCarta MicroSD
Токены производства компании Актив: Рутокен ЭЦП, Рутокен ЭЦП Bluetooth
В части реализации протоколов IPsec/IKE и их расширений – с Cisco IOS v.12.4 и v.15.x.x
Все продукты компании "С-Терра СиЭсПи" независимо от версии
Модуль NME-RVPN в исполнении МСМ, Модуль С-Терра CSCO-STVM

Техническая поддержка

Комплект поставки включает 1 год технической поддержки (не распространяется на обновление до новой версии).
Рекомендуем приобрести услугу «Сервис технической поддержки» на последующий период эксплуатации продукта.

Ниже перечислены мобильные устройства технологических партнеров компании, проверенные на совместимость с продуктом С-Терра Клиент-М.