Главная  > Продукты  > Продуктовая линейка  > С-Терра Пост 4.2


  • Защита от несанкционированного доступа

    • Доверенная загрузка
    • Контроль целостности
    • Аутентификация пользователя – при загрузке по пин-коду, а также дополнительная в приложении
    • Изоляция от внешней среды
    • Аппаратный контроль прав доступа к разделам встроенной памяти
  • Надежная защита передаваемого трафика

    • Шифрование и имитозащита передаваемого трафика – по протоколам IPsec (RFC2401-2412), с использованием современных российских криптографических алгоритмов
    • Маскировка топологии защищаемого сегмента сети
    • Аутентификация устройств – по протоколу IKE (RFC2401-2412)
    • Интегрированный межсетевой экран со stateless фильтрацией IP-трафика и stateful фильтрацией для протоколов TCP и FTP
  • Легкая интеграция в существующую инфраструктуру

    Совместимость со всеми необходимыми протоколами, в том числе:

    • работа через NAT (NAT Traversal)
    • событийное протоколирование – Syslog
    • мониторинг SNMP
    • инкапсуляция IPsec трафика в HTTP (IPsec-over-HTTP)

    Совместимость с распространенными сетевыми адаптерами, в том числе WiFi.

1.Используется целостная замкнутая программная среда на защищенном USB-носителе, обеспечивающая доверенный сеанс связи, блокирующая модификацию системных файлов и приложений конечными пользователями или вредоносным ПО. Пользователь не имеет возможности установить собственное ПО в программную среду С-Терра Пост. Следовательно, можено отказаться от применения средств индивидуальной антивирусной защиты от опасного ПО или программных «закладок» на рабочих местах сотрудников. Это позволяет не только сэкономить на антивирусном ПО (достаточно его наличия только на серверной части), но и существенно облегчить процесс эксплуатации мобильных устройств, поскольку нет необходимости контролировать их конфигурацию и обновлять на них антивирусные базы.

2.Строгая двухфакторная аутентификация пользователя VPN при доступе к информационным ресурсам в рамках доверенного сеанса. Сотрудник компании производит процедуру аутентификации перед загрузкой СФ при помощи PIN-кода (число попыток ввода пароля ограничено), доступ в корпоративную сеть осуществляется на основе цифрового сертификата, открытого ключа ГОСТ Р 34.10 и ГОСТ 34.11, закрытый ключ которого хранится на защищенном USB-носителе. При необходимости эти меры могут быть усилены дополнительными средствами аутентификации в составе прикладного ПО.

3.Сеанс связи полностью изолирован от посторонних воздействий и защищен стойкими ГОСТ криптоалгоритмами. Защита передаваемого трафика до корпоративной сети осуществляется на основе криптоалгоритма ГОСТ 28147, обеспечивающего конфиденциальность и целостность передаваемых данных и самого соединения. Контроль состояния сессии производится за счет встроенных функций межсетевого экранирования, блокирующих злоумышленникам доступ извне к приложению, размещенному на СЗН.

4.Единая точка администрирования рабочего места пользователя. Управление всем функционалом С-Терра Пост осуществляется с помощью системы централизованного управления С-Терра КП. Таким образом, администратор может контролировать различные параметры работы пользователя, такие как реквизиты доступа по RDP, способ подключения пользователя к сети и т.д.

Наименование Спецификация

Криптографические библиотеки

внешняя, КриптоПро CSP

Информационные обмены протокола IKE

Main mode
Aggressive mode
Quick mode
Transaction Exchanges
Informational Exchanges
VKO ГОСТ Р 34.10-2001
VKO_GOSTR3410_2012_256

Шифрование
Аутентификация
Имитозащита

ГОСТ 28147-89
ГОСТ Р 34.10-2012
ГОСТ Р 34.11-2012

Мониторинг доступности удаленного узла

Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)

Событийное протоколирование

Syslog

Сбор статистики

SNMP v.1, v.2c

Формат сертификатов публичных ключей

X.509 v.3 (RSA, DSA, ГОСТ). Учтены изменения в соответствии с «Приказ ФСБ России от 27.12.2011 № 795» и «ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом»

Формат запроса на регистрацию сертификата при генерации ключевой пары

Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат

Способы получения сертификатов

Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

Способ получения ключевой пары

Первично – внешним PKI сервисом непосредственно на устройство.
При обновлении – ключевая информация формируется непосредственно на устройстве.

Список отозванных сертификатов

Обработка Certificate Revocation List (CRL) опциональна
Поддерживается CRL v.2.
Способы получения CRL:

  • протокол LDAP v.3
  • протокол HTTP
  • импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

Работа через NAT

NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)


Централизованное управление

  • Централизованно
  • — Система централизованного управления С-Терра КП 4.2

Совместимость

  • В части реализации протоколов IPsec/IKE и их расширений – с Cisco IOS v.12.4 и v.15.x.x
  • Все продукты компании «С-Терра СиЭсПи» независимо от версии, кроме С Терра Шлюз 10G

Техническая поддержка

Комплект поставки лицензии включает 1 (один) год технической поддержки (не распространяется на обновление до новой версии).

Рекомендуем приобрести услугу «Сервис технической поддержки» на последующий период эксплуатации продукта.