Главная  > Продукты  > Продуктовая линейка  >  С-Терра Пост  > С-Терра Пост 4.2


С-Терра Пост 4.2

Классы сертификации: КС2.

Входит в линейку продуктов С-Терра VPN версии 4.2.

post.png С-Терра Пост – это специальный загрузочный носитель с установленным СКЗИ и функциональным программным обеспечением. Продукт предназначен для защиты удаленного доступа путем организации доверенного канала. Работа данного продукта основана на технологии создания среды построения доверенного сеанса (СПДС).

Технология СПДС обеспечивает при удалённом доступе доверенную загрузку целостной информационной среды и изолированное сетевое соединение с сервером приложений.

С-Терра Пост включает следующие средства защиты информации:

  • Специальный загрузочный носитель (СЗН) емкостью 2 ГБ или 4 ГБ.
  • Модуль доверенной загрузки, записанный на СЗН при производстве.
  • Среду функционирования (СФ) на основе специально подготовленной операционной системы. В составе СФ работают средства криптографической защиты информации «С-Терра VPN».
  • Пользовательское программное обеспечение (ППО) – терминальный клиент RDP.

Применение:

  • Защита терминального доступа к инфраструктуре VDI с помощью комплекта доверенного сеанса (КДС). Сотрудник компании получает КДС, состоящий из тонкого клиента и С-Терра Пост. Тонкий клиент оснащен специализированным замком для BIOS, благодаря которому загрузка возможна исключительно с СЗН. В качестве клиентской части VDI выступает RDP клиент. Доступ к системе VDI реализуется при помощи персонального токена, необходимого для усиления уровня защиты и контроля доступа пользователей.
  • Активация тахографов со встроенным СКЗИ. Требования к тахографам и транспортным средствам, на которые они обязательны к установке, предписаны приказом Минтранса России от 13 февраля 2013 г. № 36. Перед началом работы тахографа со встроенным блоком СКЗИ необходимо провести его активацию. В пунктах активации, так называемых мастерских, для защищенного доступа используется КДС, в центрах технического обслуживания – С-Терра Шлюз. Решение обеспечивает защиту первичной инициализации смарт-карт для блоков СКЗИ тахографов.
  • Защита медицинских информационных систем (МИС). Использование С-Терра Пост в различных МИС позволяет организовать сменную работу сотрудников на одном рабочем месте. Причем их данные будут полностью изолированы друг от друга – каждый работает с собственным СЗН. Данные между рабочим местом медицинского работника и сервером передаются по защищенному каналу.

Технология СПДС обеспечивает контроль целостности размещенных на носителе данных и программного обеспечения. Эталон рабочей среды загружается с защищённого носителя. Обеспечивается строгая двухфакторная аутентификация пользователя VPN. Возможности пользователя минимальны, он получает доступ к строго определенному приложению или приложениям. Между рабочим местом пользователя и точкой доступа в корпоративную сеть устанавливается защищенное VPN-соединение на основе набора протоколов IKE/IPsec c применением отечественных криптоалгоритмов. Открытый трафик при этом исключается политикой безопасности VPN-продукта, чем достигается полная изоляция сетевой среды, в которой реализуется доверенный сеанс. Встроенный межсетевой экран блокирует все незащищенные соединения.

Таким образом, С-Терра Пост обеспечивает защищенный удаленный доступ к ресурсам в соответствии с требованиями законодательства, без ущерба для удобства работы пользователей. Отсутствие необходимости использования дополнительных средств защиты позволяет уменьшить расходы и ощутимо облегчить процесс эксплуатации системы безопасности.

Рекомендуется использование в составе Комплекта доверенного сеанса (КДС), состоящего из терминальной станции Kraftway VV26 («тонкий клиент») и С-Терра Пост.


  • Защита от несанкционированного доступа

    • Доверенная загрузка
    • Контроль целостности
    • Аутентификация пользователя – при загрузке по пин-коду, а также дополнительная в приложении
    • Изоляция от внешней среды
    • Аппаратный контроль прав доступа к разделам встроенной памяти
  • Надежная защита передаваемого трафика

    • Шифрование и имитозащита передаваемого трафика – по протоколам IPsec (RFC2401-2412), с использованием современных российских криптографических алгоритмов
    • Маскировка топологии защищаемого сегмента сети
    • Аутентификация устройств – по протоколу IKE (RFC2401-2412)
    • Интегрированный межсетевой экран со stateless фильтрацией IP-трафика и stateful фильтрацией для протоколов TCP и FTP
  • Легкая интеграция в существующую инфраструктуру

    Совместимость со всеми необходимыми протоколами, в том числе:

    • работа через NAT (NAT Traversal)
    • событийное протоколирование – Syslog
    • мониторинг SNMP
    • инкапсуляция IPsec трафика в HTTP (IPsec-over-HTTP)

    Совместимость с распространенными сетевыми адаптерами, в том числе WiFi.

1.Используется целостная замкнутая программная среда на защищенном USB-носителе, обеспечивающая доверенный сеанс связи, блокирующая модификацию системных файлов и приложений конечными пользователями или вредоносным ПО. Пользователь не имеет возможности установить собственное ПО в программную среду С-Терра Пост. Следовательно, можено отказаться от применения средств индивидуальной антивирусной защиты от опасного ПО или программных «закладок» на рабочих местах сотрудников. Это позволяет не только сэкономить на антивирусном ПО (достаточно его наличия только на серверной части), но и существенно облегчить процесс эксплуатации мобильных устройств, поскольку нет необходимости контролировать их конфигурацию и обновлять на них антивирусные базы.

2.Строгая двухфакторная аутентификация пользователя VPN при доступе к информационным ресурсам в рамках доверенного сеанса. Сотрудник компании производит процедуру аутентификации перед загрузкой СФ при помощи PIN-кода (число попыток ввода пароля ограничено), доступ в корпоративную сеть осуществляется на основе цифрового сертификата, открытого ключа ГОСТ Р 34.10 и ГОСТ 34.11, закрытый ключ которого хранится на защищенном USB-носителе. При необходимости эти меры могут быть усилены дополнительными средствами аутентификации в составе прикладного ПО.

3.Сеанс связи полностью изолирован от посторонних воздействий и защищен стойкими ГОСТ криптоалгоритмами. Защита передаваемого трафика до корпоративной сети осуществляется на основе криптоалгоритма ГОСТ 28147, обеспечивающего конфиденциальность и целостность передаваемых данных и самого соединения. Контроль состояния сессии производится за счет встроенных функций межсетевого экранирования, блокирующих злоумышленникам доступ извне к приложению, размещенному на СЗН.

4.Единая точка администрирования рабочего места пользователя. Управление всем функционалом С-Терра Пост осуществляется с помощью системы централизованного управления С-Терра КП. Таким образом, администратор может контролировать различные параметры работы пользователя, такие как реквизиты доступа по RDP, способ подключения пользователя к сети и т.д.

Наименование Спецификация

Криптографические библиотеки

внешняя, КриптоПро CSP

Информационные обмены протокола IKE

Main mode
Aggressive mode
Quick mode
Transaction Exchanges
Informational Exchanges
VKO ГОСТ Р 34.10-2001
VKO_GOSTR3410_2012_256

Шифрование
Аутентификация
Имитозащита

ГОСТ 28147-89
ГОСТ Р 34.10-2012
ГОСТ Р 34.11-2012

Мониторинг доступности удаленного узла

Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)

Событийное протоколирование

Syslog

Сбор статистики

SNMP v.1, v.2c

Формат сертификатов публичных ключей

X.509 v.3 (RSA, DSA, ГОСТ). Учтены изменения в соответствии с «Приказ ФСБ России от 27.12.2011 № 795» и «ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом»

Формат запроса на регистрацию сертификата при генерации ключевой пары

Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат

Способы получения сертификатов

Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

Способ получения ключевой пары

Первично – внешним PKI сервисом непосредственно на устройство.
При обновлении – ключевая информация формируется непосредственно на устройстве.

Список отозванных сертификатов

Обработка Certificate Revocation List (CRL) опциональна
Поддерживается CRL v.2.
Способы получения CRL:

  • протокол LDAP v.3
  • протокол HTTP
  • импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

Работа через NAT

NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)


Централизованное управление

  • Централизованно
  • — Система централизованного управления С-Терра КП 4.2

Совместимость

  • В части реализации протоколов IPsec/IKE и их расширений – с Cisco IOS v.12.4 и v.15.x.x
  • Все продукты компании «С-Терра СиЭсПи» независимо от версии, кроме С Терра Шлюз 10G

Техническая поддержка

Комплект поставки лицензии включает 1 (один) год технической поддержки (не распространяется на обновление до новой версии).

Рекомендуем приобрести услугу «Сервис технической поддержки» на последующий период эксплуатации продукта.