Главная  > Продукты  > Продуктовая линейка  > С-Терра «Пост»

С-Терра «Пост»

(название в версии 3.11 – СПДС «ПОСТ»)

post.pngС-Терра «Пост» предназначен для защиты удаленного доступа путем организации доверенного канала. Работа данного продукта основана на технологии создания среды построения доверенного сеанса (СПДС).

Технология СПДС обеспечивает при удалённом доступе доверенную загрузку целостной информационной среды и изолированное сетевое соединение с сервером приложений.

С-Терра «Пост» включает следующие средства защиты информации:

  • Специальный загрузочный носитель (СЗН) емкостью 2 ГБ или 4 ГБ. 
  • Модуль доверенной загрузки, записанный на СЗН при производстве. 
  • Среду функционирования (СФ) на основе специально подготовленной операционной системы. В составе СФ работают средства криптографической защиты информации «С-Терра VPN». 
  • Пользовательское программное обеспечение (ППО) – веб-браузер, Citrix Receiver, VMware View Client, терминальный клиент RDP, VNC и другие.

Технология СПДС обеспечивает контроль целостности размещенных на носителе данных и программного обеспечения. Эталон рабочей среды загружается с защищённого носителя. Обеспечивается строгая двухфакторная аутентификация пользователя VPN. Возможности пользователя минимальны, он получает доступ к строго определенному приложению или приложениям. Между рабочим местом пользователя и точкой доступа в корпоративную сеть устанавливается защищенное VPN-соединение на основе набора протоколов IKE/IPsec c применением отечественных криптоалгоритмов. Открытый трафик при этом исключается политикой безопасности VPN-продукта, чем достигается полная изоляция сетевой среды, в которой реализуется доверенный сеанс. Встроенный межсетевой экран блокирует все незащищенные соединения.

Таким образом, С-Терра «Пост» обеспечивает защищенный удаленный доступ к ресурсам в соответствии с требованиями законодательства, без ущерба для удобства работы пользователей. Отсутствие необходимости использования дополнительных средств защиты позволяет уменьшить расходы и ощутимо облегчить процесс эксплуатации системы безопасности.

Рекомендуется использование в составе Комплекта доверенного сеанса (КДС), состоящего из терминальной станции («тонкий клиент») и С-Терра «Пост».

При выборе С-Терра «Пост» или КДС для решения ваших задач – ознакомьтесь, пожалуйста, с подробным описанием решения.

Функциональные возможности С-Терра «Пост»

Защита от несанкционированного доступа

  • Доверенная загрузка
  • Контроль целостности
  • Аутентификация пользователя – при загрузке по пин-коду, а также дополнительная в приложении
  • Изоляция от внешней среды
  • Аппаратный контроль прав доступа к разделам встроенной памяти

Надежная защита передаваемого трафика

  • Шифрование и контроль целостности передаваемого трафика - по протоколам IPsec ESP и/или IPsec AH (RFC2401-2412), с использованием российских и зарубежных криптографических алгоритмов
  • Маскировка топологии защищаемого сегмента сети
  • Аутентификация устройств – по протоколу IKE (RFC2401-2412)
  • Интегрированный межсетевой экран
  • Применяется комбинированное преобразование ESP_GOST-4M-IMIT в соответствии с документом «ТЕХНИЧЕСКАЯ СПЕЦИФИКАЦИЯ ПО ИСПОЛЬЗОВАНИЮ ГОСТ 28147-89 ПРИ ШИФРОВАНИИ ВЛОЖЕНИЙ В ПРОТОКОЛЕ IPSEC ESP»

Построение защищенных сетей любой сложности

  • Полноценная поддержка инфраструктуры PKI
  • Совместимость с продуктами российских и зарубежных производителей
  • Возможности для администратора: задание гибкой политики безопасности, определение различных наборов правил обработки открытого и шифрованного трафика
  • При использовании С-Терра «Пост» совместно с С-Терра Шлюз: построение нескольких эшелонов защиты, выделение зон с разным уровнем доверия, организация перешифрования и инспекции трафика в центре

Легкая интеграция в существующую инфраструктуру

Совместимость со всеми необходимыми протоколами для интеграции в современную сетевую инфраструктуру, в том числе:

  • Использование заданного администратором IP-адреса для построения защищенного соединения
  • Протокол RADIUS new.png
  • Событийное протоколирование через Syslog
  • Мониторинг SNMP
  • Работа через NAT (NAT Traversal)
  • Удаленное управление и мониторинг, при помощи С-Терра КП

Совместимость с распространенными сетевыми адаптерами, в том числе WiFi.

Поддержка разнообразного ППО

  • Терминальные клиенты (Tsclient, Rdesktop, Remminia)
  • Клиенты VDI систем (VMware View Client, Citrix Receiver)
  • Web-браузеры (Firefox, Chrome)
  • Другие (по запросу)

Протоколы и технологии

Наименование Спецификация
Криптографические библиотеки

4-1_st.png встроенная, компании "С-Терра СиЭсПи"

4-1_cp.png внешняя, компании "КРИПТО-ПРО":
КриптоПро CSP 3.9

Информационные обмены протокола IKE Main mode
Aggressive mode
Quick mode
Transaction Exchanges
Informational Exchanges
VKO ГОСТ Р 34.10-2001
4-1_st.pngVKO_GOSTR3410_2012_256 в соответствии с документом «РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ...» new.png
Режимы аутентификации в протоколе IKE Preshared key
RSA digital signature
DSA digital signature
ГОСТ Р 34.10-2001
4-1_cp.pngГОСТ Р 34.10-2012 new.png
Алгоритмы шифрования, контроля целостности и ЭП
  • Шифрование: DES, AES, ГОСТ28147-89
  • ЭП: DSA, RSA, ГОСТ Р 34.10-2001, 4-1_st.pngГОСТ Р 34.10-2012 new.png
  • Контроль целостности: MD5, SHA1, комбинированное преобразование ESP_GOST-4M-IMIT, ГОСТ Р 34.11-94, 4-1_st.pngГОСТ Р 34.11-2012 new.png
Мониторинг доступности удаленного узла Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)
Событийное протоколирование Syslog
Сбор статистики SNMP v.1, v.2c
Формат сертификатов публичных ключей X.509 v.3 (RSA, DSA, ГОСТ)
Поддержка списка отозванных сертификатов Обработка Certificate Revocation List (CRL) опциональна
Поддерживается CRL v.2.
Способ получения CRL – протокол LDAP v.3
Работа через NAT NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)

Централизованное управление

Первичная настройка и дальнейшее управление осуществляется с помощью системы управления С‑Терра КП.

Совместимость

  • Токены производства компании Aladdin: eToken PRO32k, eToken PRO64k, eToken NG-FLASH, eToken PRO (Java)
  • Токены производства компании Актив: Рутокен PinPad и т.д. В части реализации протоколов IPsec/IKE и их расширений – с Cisco IOS v.12.4 и v.15.x.x new.png
  • Все продукты компании "С-Терра СиЭсПи" независимо от версии
  • Модуль NME-RVPN в исполнении МСМ, Модуль Cisco UCS-EN120

Сертификаты

Сертификат ФСТЭК России № 3370 (МЭ-3, НДВ-3, ОУД 4+)

Формуляр, согласованный ФСТЭК России (АС 1В, ГИС до 1 кл. вкл., ПДн 1-4 ур.)

4-1_st.pngВстроенная криптобиблиотека компании "С-Терра СиЭсПи" new.png

4-1_cp.pngВнешняя криптобиблиотека компании "КРИПТО-ПРО"

Демонстрация