Главная  > Продукты  > Продуктовая линейка  > 



  • Защита от несанкционированного доступа

    • Доверенная загрузка
    • Контроль целостности
    • Аутентификация пользователя – при загрузке по пин-коду, а также дополнительная в приложении
    • Изоляция от внешней среды
    • Аппаратный контроль прав доступа к разделам встроенной памяти
  • Надежная защита передаваемого трафика

    • Шифрование и имитозащита передаваемого трафика – по протоколам IPsec (RFC2401-2412), с использованием современных российских криптографических алгоритмов
    • Маскировка топологии защищаемого сегмента сети
    • Аутентификация устройств – по протоколу IKE (RFC2401-2412)
    • Интегрированный межсетевой экран со stateless фильтрацией IP-трафика и stateful фильтрацией для протоколов TCP и FTP
  • Легкая интеграция в существующую инфраструктуру

    Совместимость со всеми необходимыми протоколами, в том числе:

    • работа через NAT (NAT Traversal)
    • событийное протоколирование – Syslog
    • мониторинг SNMP
    • инкапсуляция IPsec трафика в HTTP (IPsec-over-HTTP)

    Совместимость с распространенными сетевыми адаптерами, в том числе WiFi.

  • Реализация функций мониторинга

    • Обнаружение попыток вторжений в информационные системы.
    • Детектирование атак в защищаемой сети или ее сегментах.
    • Отслеживание неавторизованного доступа к документам и компонентам информационных систем.
    • Обнаружение вирусов, вредоносных программ, троянов, ботнетов.
    • Отслеживание таргетированных атак.
  • Легкая интеграция в существующую инфраструктуру

    • Стандартные протоколы каналов управления (ssh, https).
    • Подключение к существующей инфраструктуре без модификации адресной схемы.
    • Легкая организация защищенного канала управления за счет С-Терра Шлюз, встроенного в продукт.
  • Высокая надежность

    • Для исполнений в виде программно-аппаратных комплексов: возможность оснащения резервными блоками питания и жесткими дисками, объединенными в RAID.
  • Надежная защита передаваемого трафика

    • Шифрование и имитозащита передаваемого трафика – по протоколам IPsec (RFC2401-2412), с использованием современных российских криптографических алгоритмов
    • Маскировка топологии защищаемого сегмента сети
    • Аутентификация устройств – по протоколу IKE (RFC2401-2412)
    • Интегрированный межсетевой экран со stateless фильтрацией IP-трафика и stateful фильтрацией для протоколов TCP и FTP
  • Построение защищенных сетей любой сложности

    • Полноценная поддержка инфраструктуры PKI
    • Широкие возможности для администратора: задание гибкой политики безопасности, определение различных наборов правил обработки открытого и шифрованного трафика, в т.ч. реализация сценария split tunneling
    • Поддержка различных топологий, в том числе: точка-точка, звезда, иерархическое дерево, частично- и полносвязная топология
    • Возможность построения нескольких эшелонов защиты, организации перешифрования
    • Возможность применения сценария на базе технологии, аналогичной DMVPN
  • Легкая интеграция в существующую инфраструктуру

    Совместимость со всеми необходимыми протоколами, в том числе:

    • интеграция с RADIUS сервером
    • выдача IKECFG-адресов для С-Терра Клиент
    • объединение устройств в кластер по протоколу VRRP
    • динамическая маршрутизация RIP и OSPF (в том числе для сценария балансировки нагрузки RRI)
    • поддержка VLAN, LACP
    • GRE (в том числе для резервирования провайдеров)
    • работа через NAT (NAT Traversal)
    • событийное протоколирование – Syslog
    • мониторинг SNMP
    • инкапсуляция IPsec трафика в HTTP (IPsec-over-HTTP)
  • Высокая надежность и производительность

    • Поддержка режима сохранения защищенных туннелей при перезагрузке политики безопасности
    • Возможность использования для защиты трафика, требовательного к задержкам и потерям пакетов, такого как IP-телефония и ВКС
    • Поддержка QoS
  • Надежная защита передаваемого трафика

    • Шифрование и имитозащита передаваемого трафика – по протоколам IPsec (RFC2401-2412), с использованием современных российских криптографических алгоритмов
    • Маскировка топологии защищаемого сегмента сети
    • Аутентификация устройств – по протоколу IKE (RFC2401-2412)
    • Интегрированный межсетевой экран со stateless фильтрацией IP-трафика и stateful фильтрацией для протоколов TCP и FTP
  • Построение защищенных сетей любой сложности

    • Полноценная поддержка инфраструктуры PKI
    • Широкие возможности для администратора: задание гибкой политики безопасности, определение различных наборов правил обработки открытого и шифрованного трафика, в т.ч. реализация сценария split tunneling
    • При использовании С-Терра Клиент совместно с С-Терра Шлюз: построение нескольких эшелонов защиты, организация перешифрования
  • Легкая интеграция в существующую инфраструктуру

    Совместимость со всеми необходимыми протоколами, в том числе:

    • Возможность установления защищенного соединения до логина пользователя в ОС с возможностью аутентификации в домене
    • получение адреса из предопределенного пула
    • интеграция с RADIUS сервером (в том числе XAUTH)
    • IKECFG-интерфейс (в том числе DNS)
    • работа через NAT (NAT Traversal)
    • событийное протоколирование – Syslog
    • мониторинг SNMP
    • инкапсуляция IPsec трафика в HTTP (IPsec-over-HTTP)

    Совместимость с базовыми типами сетевых интерфейсов, в том числе с современными модемами.

  • Поддерживаемые операционные системы

    • MS Windows 10 Russian (х32, х64)
    • MS Windows 8.1 Russian (х32, х64)
    • MS Windows 8 Russian (х32, х64)
    • MS Windows 7 Russian (х32, х64)
    • MS Windows Server 2016 Edition (х64)
    • MS Windows Server 2012 (х64)
    • MS Windows Server 2008R2 (х64)
    • MS Windows Server 2008 (х32, х64)

    Характеристики оборудования должны соответствовать требованиям, предъявляемым операционными системами.

  • Надежная защита передаваемого трафика

    • Шифрование и имитозащита передаваемого трафика – по протоколам IPsec (RFC2401-2412), с использованием современных российских криптографических алгоритмов
    • Маскировка топологии защищаемого сегмента сети
    • Аутентификация устройств – по протоколу IKE (RFC2401-2412)
    • Интегрированный межсетевой экран со stateless фильтрацией IP-трафика и stateful фильтрацией для протоколов TCP и FTP
  • Построение защищенных сетей любой сложности

    • Полноценная поддержка инфраструктуры PKI
    • Широкие возможности для администратора: задание гибкой политики безопасности, определение различных наборов правил обработки открытого и шифрованного трафика, в т.ч. реализация сценария split tunneling
    • Поддержка различных топологий, в том числе: точка-точка, звезда, иерархическое дерево, частично- и полносвязная топология
    • Возможность построения нескольких эшелонов защиты, организации перешифрования
    • Возможность применения сценария на базе технологии, аналогичной DMVPN
  • Легкая интеграция в существующую инфраструктуру

    Совместимость со всеми необходимыми протоколами, в том числе:

    • Интеграция с RADIUS сервером
    • Выдача IKECFG-адресов для С-Терра Клиент
    • Объединение устройств в кластер по протоколу VRRP
    • Динамическая маршрутизация RIP и OSPF (в том числе для сценария балансировки нагрузки RRI)
    • Поддержка VLAN, LACP
    • GRE (в том числе для резервирования провайдеров)
    • Работа через NAT (NAT Traversal)
    • Событийное протоколирование – Syslog
    • Мониторинг SNMP
    • Инкапсуляция IPsec трафика в HTTP (IPsec-over-HTTP)
  • Высокая надежность и производительность

    • Поддержка сценариев обеспечения отказоустойчивости с резервированием шлюзов безопасности, сетевых интерфейсов и каналов провайдеров
    • Поддержка режима сохранения защищенных туннелей при перезагрузке политики безопасности
    • Высокая производительность (см. таблицу выше)
    • Возможность использования для защиты трафика, требовательного к задержкам и потерям пакетов, такого как IP-телефония и ВКС
    • Поддержка QoS
  • Операционные системы

    Программный комплекс С-Терра Виртуальный Шлюз работает под управлением операционной системы Debian GNU/Linux 7 в одном из наиболее популярных гипервизоров (VMware ESXi, Citrix XenServer, MS Hyper-V, KVM, HW Fusion).

    Характеристики оборудования должны соответствовать требованиям, предъявляемым операционными системами.

  • Надежная защита передаваемого трафика

    • Шифрование и имитозащита передаваемого трафика – по протоколам IPsec (RFC2401-2412), с использованием современных российских криптографических алгоритмов
    • Маскировка топологии защищаемого сегмента сети
    • Аутентификация устройств – по протоколу IKE (RFC2401-2412)
  • Построение защищенных высокопроизводительных сетей

    • Поддержка инфраструктуры PKI
    • Поддержка топологии точка-точка
  • Легкая интеграция в существующую инфраструктуру

    • Защита на канальном уровне (L2)
    • Работа через NAT (NAT Traversal)
    • Событийное протоколирование – Syslog
    • Мониторинг SNMP
  • Высокая надежность и производительность

    • Возможность оснащения резервными блоками питания и жесткими дисками, объединенными в RAID
    • Поддержка сценариев обеспечения отказоустойчивости с резервированием шлюзов безопасности и балансировкой нагрузки на коммутаторах
    • Поддержка режима сохранения установленных защищенных туннелей при перезагрузке политики безопасности
    • Рекордная производительность за счет специального механизма приема и отправки пакетов сетевой подсистемой
  • Операционные системы

    Продукт работает под управлением Debian GNU/Linux 7.

    Характеристики оборудования должны соответствовать требованиям, предъявляемым операционными системами.

  • Надежная защита передаваемого трафика

    • Шифрование и имитозащита передаваемого трафика – по протоколам IPsec (RFC2401-2412), с использованием современных российских криптографических алгоритмов
    • Маскировка топологии защищаемого сегмента сети
    • Аутентификация устройств – по протоколу IKE (RFC2401-2412)
    • Интегрированный межсетевой экран со stateless фильтрацией IP-трафика и stateful фильтрацией для протоколов TCP и FTP
  • Построение защищенных сетей любой сложности

    • Полноценная поддержка инфраструктуры PKI
    • Широкие возможности для администратора: задание гибкой политики безопасности, определение различных наборов правил обработки открытого и шифрованного трафика, в т.ч. реализация сценария split tunneling
    • Поддержка различных топологий, в том числе: точка-точка, звезда, иерархическое дерево, частично- и полносвязная топология
    • Возможность построения нескольких эшелонов защиты, организации перешифрования
    • Возможность применения сценария на базе технологии, аналогичной DMVPN
  • Легкая интеграция в существующую инфраструктуру

    Совместимость со всеми необходимыми протоколами, в том числе:

    • интеграция с RADIUS сервером
    • выдача IKECFG-адресов для С-Терра Клиент
    • объединение устройств в кластер по протоколу VRRP
    • динамическая маршрутизация RIP и OSPF (в том числе для сценария балансировки нагрузки RRI)
    • поддержка VLAN, LACP
    • GRE (в том числе для резервирования провайдеров)
    • работа через NAT (NAT Traversal)
    • событийное протоколирование – Syslog
    • мониторинг SNMP
    • инкапсуляция IPsec трафика в HTTP (IPsec-over-HTTP)
  • Высокая надежность и производительность

    • Возможность оснащения резервными блоками питания и жесткими дисками, объединенными в RAID – для старших моделей
    • Поддержка сценариев обеспечения отказоустойчивости с резервированием шлюзов безопасности, сетевых интерфейсов и каналов провайдеров
    • Поддержка режима сохранения защищенных туннелей при перезагрузке политики безопасности
    • Высокая производительность (см. таблицу на данной странице выше)
    • Возможность использования для защиты трафика, требовательного к задержкам и потерям пакетов, такого как IP-телефония и ВКС
    • Поддержка QoS
  • Операционные системы

    Продукт работает под управлением Debian GNU/Linux 7.

    Характеристики оборудования должны соответствовать требованиям, предъявляемым операционными системами.

  • Высококачественная функциональность маршрутизатора и коммутатора

    • Архитектура MIPS с аппаратным ускорением сетевых функций
    • Динамическая и статическая маршрутизация
    • Поддержка необходимых сетевых протоколов и сервисов
    • Поддержка протоколов 2 уровня
    • Совместимость с сетевым оборудованием других российских и зарубежных производителей
  • Надежная защита передаваемого трафика

    • Шифрование и имитозащита передаваемого трафика – по протоколам IPsec (RFC2401-2412), с использованием современных российских криптографических алгоритмов.
    • Маскировка топологии защищаемого сегмента сети
    • Аутентификация устройств – по протоколу IKE (RFC2401-2412)
    • Межсетевой экран с разделением на зоны безопасности и контролем состояния сессий
  • Построение защищенных сетей любой сложности

    • Полноценная поддержка инфраструктуры PKI
    • Широкие возможности для администратора: задание гибкой политики безопасности, определение различных наборов правил обработки трафика
    • Поддержка различных топологий сети
    • Построение нескольких эшелонов защиты, выделение зон с разным уровнем доверия, организация перешифрования и инспекции трафика в центре
    • Поддержка списков контроля доступа (ACL) на базе IP, портов, протоколов
    • L2 VPN на базе L2TPv3, совместимый с С-Терра Шлюз версии 4.2
  • Гибкая интеграция в существующую инфраструктуру

    • Объединение устройств в кластер
    • Динамическая маршрутизация
    • Работа через NAT
    • Выдача IKECFG-адресов удаленным VPN-клиентам
    • Поддержка VLAN
  • Высокая надежность и производительность

    • Отказоустойчивость с резервированием шлюзов безопасности, сетевых интерфейсов и интернет-каналов
    • Защита трафика, требовательного к задержкам и потерям пакетов, например, IP-телефония и видео-конференц-связь (ВКС)
    • Поддержка QoS
  • Высококачественная функциональность маршрутизатора и коммутатора

    • Динамическая и статическая маршрутизация
    • Поддержка необходимых сетевых протоколов и сервисов
    • Высокая плотность портов для построения сетей любого масштаба
    • Поддержка протоколов 2 уровня
    • Совместимость с сетевым оборудованием других российских и зарубежных производителей
  • Надежная защита передаваемого трафика

    • Шифрование и контроль целостности передаваемого трафика – по протоколам IPsec (RFC2401-2412), с использованием российских криптографических алгоритмов.
    • Маскировка топологии защищаемого сегмента сети
    • Аутентификация устройств – по протоколу IKE (RFC2401-2412)
    • Интегрированный межсетевой экран, осуществляющий stateful-фильтрацию трафика
  • Построение защищенных сетей любой сложности

    • Полноценная поддержка инфраструктуры PKI
    • Широкие возможности для администратора: задание гибкой политики безопасности, определение различных наборов правил обработки трафика
    • Поддержка различных топологий сети
    • Построение нескольких эшелонов защиты, выделение зон с разным уровнем доверия, организация перешифрования и инспекции трафика в центре
    • Динамическое туннелирование (аналог DMVPN)
  • Гибкая интеграция в существующую инфраструктуру

    • Объединение устройств в кластер
    • Динамическая маршрутизация, в том числе, балансировка нагрузки
    • Работа через NAT
    • Выдача IP-адресов из внутренней сети
    • Поддержка VLAN
  • Высокая надежность и производительность

    • Отказоустойчивость с резервированием шлюзов безопасности, сетевых интерфейсов и провайдерских каналов
    • Сохранение защищенных туннелей при перезагрузке политики безопасности
    • Защита трафика, требовательного к задержкам и потерям пакетов, например, IP-телефония и видеоконференцсвязь (ВКС)
    • Поддержка QoS
  • Надежная защита передаваемого трафика

    • Шифрование и контроль целостности передаваемого трафика – по протоколам IPsec (RFC2401-2412), с использованием российских криптографических алгоритмов. Туннелирование трафика
    • Аутентификация устройств – по протоколу IKE (RFC2401-2412)
    • Интегрированный межсетевой экран, осуществляющий stateful-фильтрацию трафика
  • Построение защищенных сетей любой сложности

    • Полноценная поддержка инфраструктуры PKI
    • Широкие возможности для администратора: задание гибкой политики безопасности, определение различных наборов правил обработки трафика
    • Поддержка различных топологий сети
    • Построение нескольких эшелонов защиты, организация перешифрования
    • Динамическое туннелирование (аналог DMVPN)
  • Гибкая интеграция в существующую инфраструктуру

    • Объединение устройств в кластер
    • Динамическая маршрутизация, в том числе, балансировка нагрузки
    • Работа через NAT
    • Выдача IP-адресов из внутренней сети
    • Поддержка VLAN
    • Маскирование IPsec трафика на основе протокола http
  • Высокая надежность и производительность

    • Сохранение защищенных туннелей при перезагрузке политики безопасности
    • Защита трафика, требовательного к задержкам и потерям пакетов, например, IP-телефония и видеоконференцсвязь (ВКС)
    • Поддержка QoS
  • Надежная защита передаваемого трафика

    • Шифрование и контроль целостности передаваемого трафика – по протоколам IPsec ESP и/или IPsec AH (RFC2401-2412), с использованием российских и зарубежных криптографических алгоритмов
    • Маскировка топологии защищаемого сегмента сети
    • Аутентификация устройств – по протоколу IKE (RFC2401-2412)
    • Интегрированный межсетевой экран, осуществляющий stateful-фильтрацию трафика
    • Применяется комбинированное преобразование ESP_GOST-4M-IMIT в соответствии с документом «ТЕХНИЧЕСКАЯ СПЕЦИФИКАЦИЯ ПО ИСПОЛЬЗОВАНИЮ ГОСТ 28147-89 ПРИ ШИФРОВАНИИ ВЛОЖЕНИЙ В ПРОТОКОЛЕ IPSEC ESP»
  • Построение защищенных сетей любой сложности

    • Полноценная поддержка инфраструктуры PKI
    • Совместимость с продуктами российских и зарубежных производителей
    • Широкие возможности для администратора: задание гибкой политики безопасности, определение различных наборов правил обработки открытого и шифрованного трафика, в т.ч. реализация сценария split tunneling
    • Поддержка различных топологий, в том числе: точка-точка, звезда, иерархическое дерево, частично- и полносвязная топология
    • Возможность построения нескольких эшелонов защиты, организации перешифрования
    • Возможность применения сценария на базе технологии, аналогичной DMVPN
  • Легкая интеграция в существующую инфраструктуру

    Совместимость со всеми необходимыми протоколами для интеграции в современную сетевую инфраструктуру, в том числе:

    • протокол RADIUS
    • выдача IKECFG-адресов для С-Терра Клиент
    • объединение устройств в кластер по протоколу VRRP
    • динамическая маршрутизация RIP и OSPF (в том числе для сценария балансировки нагрузки RRI)
    • VLAN, LACP
    • GRE (в том числе для резервирования провайдеров)
    • работа через NAT (NAT Traversal)
    • событийное протоколирование через Syslog
    • мониторинг SNMP
  • Высокая надежность и производительность

    • Поддержка сценариев обеспечения отказоустойчивости с резервированием шлюзов безопасности, сетевых интерфейсов и провайдерских каналов
    • Поддержка режима сохранения защищенных туннелей при перезагрузке политики безопасности
    • Производительность зависит от аппаратной платформы и сравнима с производительностью обычных шлюзов безопасности С-Терра Шлюз
    • Возможность использования для защиты трафика, требовательного к задержкам и потерям пакетов, такого как IP-телефония и ВКС
    • Поддержка QoS
  • Поддерживаемые операционные системы

    Программный комплекс С-Терра Виртуальный Шлюз работает под управлением операционной системы Debian GNU/Linux 6 в одном из наиболее популярных гипервизоров (VMware ESXi, Citrix XenServer, KVM, Parallels).

    Характеристики оборудования должны соответствовать минимальным требованиям, предъявляемым операционными системами.

1.Используется целостная замкнутая программная среда на защищенном USB-носителе, обеспечивающая доверенный сеанс связи, блокирующая модификацию системных файлов и приложений конечными пользователями или вредоносным ПО. Пользователь не имеет возможности установить собственное ПО в программную среду С-Терра Пост. Следовательно, можено отказаться от применения средств индивидуальной антивирусной защиты от опасного ПО или программных «закладок» на рабочих местах сотрудников. Это позволяет не только сэкономить на антивирусном ПО (достаточно его наличия только на серверной части), но и существенно облегчить процесс эксплуатации мобильных устройств, поскольку нет необходимости контролировать их конфигурацию и обновлять на них антивирусные базы.

2.Строгая двухфакторная аутентификация пользователя VPN при доступе к информационным ресурсам в рамках доверенного сеанса. Сотрудник компании производит процедуру аутентификации перед загрузкой СФ при помощи PIN-кода (число попыток ввода пароля ограничено), доступ в корпоративную сеть осуществляется на основе цифрового сертификата, открытого ключа ГОСТ Р 34.10 и ГОСТ 34.11, закрытый ключ которого хранится на защищенном USB-носителе. При необходимости эти меры могут быть усилены дополнительными средствами аутентификации в составе прикладного ПО.

3.Сеанс связи полностью изолирован от посторонних воздействий и защищен стойкими ГОСТ криптоалгоритмами. Защита передаваемого трафика до корпоративной сети осуществляется на основе криптоалгоритма ГОСТ 28147, обеспечивающего конфиденциальность и целостность передаваемых данных и самого соединения. Контроль состояния сессии производится за счет встроенных функций межсетевого экранирования, блокирующих злоумышленникам доступ извне к приложению, размещенному на СЗН.

4.Единая точка администрирования рабочего места пользователя. Управление всем функционалом С-Терра Пост осуществляется с помощью системы централизованного управления С-Терра КП. Таким образом, администратор может контролировать различные параметры работы пользователя, такие как реквизиты доступа по RDP, способ подключения пользователя к сети и т.д.

Наименование Спецификация

Варианты исполнения

  • Отдельный программно-аппаратный комплекс
  • Программно-аппаратный комплекс в составе С-Терра Шлюз
  • Отдельная виртуальная машина

Операционные системы

Debian 7

Определение атак

  • Сигнатурный анализ
  • Эвристический анализ

Регистрация атак

  • Запись в системный журнал
  • Отображение в графическом интерфейсе

Обновление базы данных сигнатур

  • Off-line режим
  • On-line режим
  • Возможно задание правил вручную

Механизмы оповещения

  • Вывод на консоль администратора
  • Вывод в графический интерфейс
  • Электронная почта
  • Интеграция с SIEM-системами
  • Интеграция с ГОССОПКА (экспорт данных)

Работа с инцидентами

  • Выборочный контроль отдельных объектов сети
  • Поиск, сортировка, упорядочивание данных в системном журнале
  • Включение/отключение отдельных правил и групп правил

Дополнительные механизмы защиты

  • Защита канала управления с использованием технологии VPN IPsec по ГОСТ 28147-89, ГОСТ Р 34.10-2001/2012 и ГОСТ Р 34.11-2001/2012
  • Контроль целостности программной части и конфигурации СОВ

• IPsec VPN с ГОСТ‑алгоритмами

• Гибкое развертывание распределенных сетей

• Подключение к частному или публичному облакам

• Удаленное централизованное управление

• Экономия пространства

• Снижение энергопотребления

• Низкая стоимость эксплуатации

• Надежный производитель, проверенный временем

• Выполнение требований по защите ПДн из Приказа №21 ФСТЭК России и Приказа №378 ФСБ России

• Все преимущества С-Терра Шлюз версии 4.2

Система управления устанавливается на выделенный сервер в защищаемой сети.

Приобрести можно как комплект, состоящий из аппаратной платформы и программного комплекса, так и отдельный программный комплекс для установки на платформу администратора.

Система управления может быть совмещена с центром управления сертификатами, необходимыми для аутентификации VPN-устройств при построении защищенного соединения.

Доступ к системе управления с рабочих станций администраторов осуществляется с помощью унифицированной консоли управления («толстый» клиент для Windows).

sterra-kp-ver-42.jpg

  • Все данные между системой управления и управляемыми устройствами передаются по защищенному IPsec-туннелю.
  • В случае временной потери соединения, предусмотрена возможность «докачки» данных c системы управления.
  • В случае неудачного обновления предусмотрен механизм возврата к предыдущей работоспособной конфигурации.

1.Криптоалгоритмы по ГОСТ Р 34.12-2015. Применяются новые алгоритмы шифрования (в т.ч. «Кузнечик») для выполнения требований нормативных документов.

2.Новые версии Windows. Расширен перечень операционных систем, в которых работает программный комплекс С-Терра Клиент. К поддерживаемым ранее Windows 7, 8, 8.1, Server 2008, 2012 добавились ОС Windows 10 и Windows Server 2016. Это позволяет обеспечить защиту трафика современных моделей ноутбуков, планшетов, персональных компьютеров, а также серверов.

3.Технологическая возможность совместимости с другими вендорами VPN-продуктов. Реализован новый режим работы IKEv1, соответствующий рекомендациям ТК 26.

4.Нестандартные IKE/IPsec порты. Можно задать произвольный номер порта в случае, если стандартные порты блокируются провайдером или уже используются в продуктах других производителей, и не представляется возможным выделить дополнительный внешний адрес.

5.IPsec-over-HTTP. Инкапсуляция IPsec трафика на основе протокола HTTP позволяет строить защищенные соединения, даже если у провайдеров разрешен только HTTP (например, в публичных местах).

6.Новый лицензионный механизм. Лицензия может быть ограничена по времени использования, то есть включать в себя дату, до которой она является активной.

Преимущества применения


  • Интеграция непосредственно в виртуальную инфраструктуру
  • Простая и быстрая установка и настройка
  • Высокая производительность шифрования трафика
  • Реализация сценариев обеспечения высокой доступности и отказоустойчивости
  • Оперативная адаптация к меняющимся задачам и требованиям сетевых приложений и инфраструктуры
  • Легкое сохранение или восстановление резервной копии
  • Эффективное использование вычислительных ресурсов
  • Экономия электроэнергии и места в стойке

Преимущества продукта версии 4.2


1.Расширен список гипервизоров. Добавлена поддержка гипервизора Microsoft Hyper-V.

2.Обновленная операционная система. Виртуальный Шлюз работает под управлением операционной системы (ОС) Debian GNU/Linux 7, которая включает в себя актуальные обновления безопасности. Использование новой ОС и обновление версий всех компонентов позволяет повысить её надежность и защищенность, а также использовать самые современные аппаратные платформы.

3.Новый лицензионный механизм. Лицензия может быть ограничена по времени использования, то есть включать в себя дату, до которой она является активной. Особенно актуальной такая возможность будет в решении «С-Терра VPN-как-сервис» (С-Терра VPN-as-a-Service).

4.Криптоалгоритмы по ГОСТ Р 34.12-2015. Применяются новые алгоритмы шифрования (в т.ч. «Кузнечик») для выполнения требований нормативных документов.

5.Единая ролевая модель локального доступа. Административная консоль теперь используется и в Виртуальных Шлюзах, а не только для аппаратных исполнений, сертифицированных ФСБ России по классу КС3. Это повышает защищенность, а также позволяет разграничить права доступа администраторов.

6.Технологическая совместимость с другими вендорами VPN-продуктов. Реализован новый режим работы IKEv1, соответствующий с рекомендациям ТК 26.

7.IKEv2. В тестовом режиме реализована возможность создания защищенных соединений на основе протокола IKEv2.

8.Обновленная система управления продуктом. В консоль конфигурирования добавлены команды, повышающие удобство настройки, управления и эксплуатации продукта, в том числе:

  • Настройка VRRP кластера – единый интерфейс настройки основного сценария отказоустойчивости.
  • Расширенные диапазоны значений параметров keepalive, что дает возможность более быстрого перестроения защищенных соединений в различных схемах отказоустойчивости.
  • Задание адреса партнера DNS именем, что позволяет указать в конфигурации партнера без привязки к IP-адресу.
  • Получение CRL по HTTP, то есть более тесная интеграция с PKI сервисами.
  • Задание локального адреса для построения туннелей. Независимость конфигурации шлюза от адресов внешних интерфейсов дает возможность построения более гибких сценариев с несколькими провайдерами.
  • Работа с файлами. Теперь работа осуществляется непосредственно в консоли конфигурирования, без перехода в консоль операционной системы.
  • Задание адреса источника для команды ping. Проверку и поиск неисправностей теперь можно проводить непосредственно в консоли конфигурирования, без перехода в консоль операционной системы.
  • Просмотр информации о защищенных соединениях. Добавлены команды просмотра информации о IKE и IPsec туннелях. Теперь просмотр осуществляется непосредственно в консоли конфигурирования, без перехода в консоль операционной системы.

9.Нестандартные IKE/IPsec порты. Можно задать произвольный номер порта в случае, если стандартные порты блокируются провайдером или уже используются в продуктах других производителей, и не представляется возможным выделить дополнительный внешний адрес.

10.IPsec-over-HTTP. Инкапсуляция IPsec трафика на основе протокола HTTP позволяет строить защищенные соединения, даже если у провайдеров разрешен только HTTP (например, в публичных местах).

11.Статический NAT в DMVPN. При реализации DMVPN шлюзы в филиалах могут находиться за маршрутизатором, осуществляющим статическую трансляцию адресов (ранее у шлюзов в филиалах должны были быть строго внешние адреса).

12.Дополнительная аутентификация для С-Терра Клиент: xAuth + Radius. Реализована дополнительная аутентификация с применением xAuth с поддержкой на Radius-сервере, что значительно упрощает управление продуктами, установленными на пользовательских рабочих местах, в крупных сетях.

13.Диагностика перегрузки. Добавлена утилита просмотра статистических данных о пакетах, обработанных VPN-драйвером. На основе этих данных можно осуществлять диагностику перегрузки шлюза.

Наименование Спецификация

Криптографические библиотеки

С-Терра ST – встроенная

Операционные системы

Debian GNU/Linux 7

Информационные обмены протокола IKE

Main mode
Aggressive mode
Quick mode
Transaction Exchanges
Informational Exchanges
VKO ГОСТ Р 34.10-2001
VKO_GOSTR3410_2012_256

Шифрование
Аутентификация
Имитозащита

ГОСТ 28147-89
ГОСТ Р 34.10-2012
ГОСТ Р 34.11-2012
ГОСТ Р 34.12-2015
ГОСТ Р 34.13-2015

Мониторинг доступности удаленного узла

Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)

Событийное протоколирование

Syslog

Сбор статистики

SNMP v.1, v.2c

Формат сертификатов публичных ключей

X.509 v.3 (RSA, DSA, ГОСТ). Учтены изменения в соответствии с «Приказ ФСБ России от 27.12.2011 № 795» и «ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом»

Формат запроса на регистрацию сертификата при генерации ключевой пары

Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат

Способы получения сертификатов

Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

Способ получения ключевой пары

Генерация внешним PKI сервисом с доставкой на сменных ключевых носителях

Список отозванных сертификатов

Обработка Certificate Revocation List (CRL) опциональна
Поддерживается CRL v.2.
Способы получения CRL:

  • протокол LDAP v.3
  • протокол HTTP
  • импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

Отказоустойчивость и масштабирование с балансировкой нагрузки

На основе протоколов LACP, PAgP на коммутаторах

Работа через NAT

NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)

Резервирование компонентов АП

Есть, в том числе блоков питания и жестких дисков

Аппаратная платформа

Кастомизированная платформа С-Терра
Kraftway, Huawei, Cisco, РСК-Торнадо (блейд)

Формфактор

1U

1.Обновленная операционная система и современные аппаратные платформы. Шлюз работает под управлением операционной системы (ОС) Debian GNU/Linux 7, которая включает в себя актуальные обновления безопасности. Использование новой ОС и обновление версий всех компонентов позволяет повысить её надежность и защищенность, а также использовать самые современные аппаратные платформы.

2.Рост производительности. Повышение производительности шифрования на младших моделях линейки составляет около 10% за счет оптимизации алгоритмов обработки сетевых пакетов, синхронизации потоков и реализации вычислений ГОСТ.

3.Криптоалгоритмы по ГОСТ Р 34.12-2015. Применяются новые алгоритмы шифрования (в т.ч. «Кузнечик») для выполнения требований нормативных документов.

4.Единая ролевая модель локального доступа для всех модификаций (исполнений). Административная консоль теперь используется во всех модификациях шлюза, а не только для исполнений, сертифицированных ФСБ России по классу КС3. Это повышает защищенность, а также позволяет разграничить права доступа администраторов.

5.Технологическая возможность совместимости с другими вендорами VPN-продуктов. Реализован новый режим работы IKEv1, соответствующий рекомендациям ТК 26.

6.IKEv2. В тестовом режиме реализована возможность создания защищенных соединений на основе протокола IKEv2 (дополнительный пакет).

7.Обновленная система управления продуктом. В консоль конфигурирования (здесь и далее под консолью конфигурирования понимается интерфейс c подмножеством команд Cisco IOS) добавлены команды, повышающие удобство настройки, управления и эксплуатации продукта, в том числе:

  • Настройка VRRP кластера – единый интерфейс настройки основного сценария отказоустойчивости.
  • Расширенные диапазоны значений параметров keepalive, что дает возможность более быстрого перестроения защищенных соединений в различных схемах отказоустойчивости.
  • Задание адреса партнера DNS именем, что позволяет указать в конфигурации партнера без привязки к IP-адресу.
  • Получение CRL по HTTP, то есть более тесная интеграция с PKI сервисами.
  • Задание локального адреса для построения туннелей. Независимость конфигурации шлюза от адресов внешних интерфейсов дает возможность построения более гибких сценариев с несколькими провайдерами.
  • Работа с файлами. Теперь работа осуществляется непосредственно в консоли конфигурирования, без перехода в консоль операционной системы.
  • Задание адреса источника для команды ping. Проверку и поиск неисправностей теперь можно проводить непосредственно в консоли конфигурирования, без перехода в консоль операционной системы.
  • Просмотр информации о защищенных соединениях. Добавлены команды просмотра информации о IKE и IPsec туннелях. Теперь просмотр осуществляется непосредственно в консоли конфигурирования, без перехода в консоль операционной системы.

8.Нестандартные IKE/IPsec порты. Можно задать произвольный номер порта в случае, если стандартные порты блокируются провайдером или уже используются в продуктах других производителей, и не представляется возможным выделить дополнительный внешний адрес.

9.IPsec-over-HTTP. Инкапсуляция IPsec трафика на основе протокола HTTP позволяет строить защищенные соединения, даже если у провайдеров разрешен только HTTP (например, в публичных местах).

10.Статический NAT в DMVPN. При реализации DMVPN шлюзы в филиалах могут находиться за маршрутизатором, осуществляющим статическую трансляцию адресов (ранее у шлюзов в филиалах должны были быть строго глобально маршрутизируемые адреса).

11.Дополнительная аутентификация для С-Терра Клиент: xAuth + Radius. Реализована дополнительная аутентификация с применением xAuth с поддержкой на Radius-сервере, что значительно упрощает управление продуктами, установленными на пользовательских рабочих местах, в крупных сетях.

12.Новый лицензионный механизм. Лицензия может быть ограничена по времени использования, то есть включать в себя дату, до которой она является активной.

13.Диагностика перегрузки. Добавлена утилита просмотра статистических данных о пакетах, обработанных VPN-драйвером. На основе этих данных можно осуществлять диагностику перегрузки шлюза.


Наименование Спецификация

Криптографические библиотеки

С-Терра ST – встроенная

Аппаратная платформа

Серийно выпускаемые сервисные маршрутизаторы серии ESR

Шифрование / Аутентификация / Имитозащита

ГОСТ 28147-89
ГОСТ Р 34.10-2012
ГОСТ Р 34.11-2012
ГОСТ Р 34.12-2015
ГОСТ Р 34.13-2015

Архитектура

MIPS, с аппаратным ускорением сетевых функций

Туннелирование

IPsec (или ESP), GRE, IPIP, L2TPv3

Функции сетевого уровня L3

Трансляция адресов SNAT, DNAT
Статические маршруты
PBR
Prefix-List
QoS
Протоколы динамической маршрутизации: RIP, OSFP, BGP

SNMP
Syslog, RADIUS
Netflow, sFlow

Функции канального уровня L2

Коммутация пакетов (bridging), LAG / LACP 802.3ad, VLAN 802.1Q

ESR-ST-1000: Port Isolation, STP, RSTP, MSTP 802.1d, Private VLAN Edge (PVE)

Отказоустойчивость

VRRP с поддержкой Virtual MAC
failover MultiWAN

ESR-ST-1000: DualHoming

Управление IP-адресацией

Статические адреса
DHCP клиент / сервер / Relay

Поддержка интерфейсов Е1

HDLC, PPP (+CHAP), PPP Multilink

Мониторинг и управление

Локальное управление – консоль RS-232
Удаленное централизованное управление VPN – С-Терра КП
Удаленное управление – CLI по SSH

Защита от ошибок конфигурирования, восстановление конфигурации. Сброс конфигурации к заводским настройкам
Обновление ПО, загрузка и выгрузка конфигурации по TFTP, SCP, FTP
Удаленное обновление ПО

Мониторинг качества обслуживания (SLA) – определение состояния канала на соответствие заданным параметрам:

  • IP SLA зонд от Wellink;
  • IP SLA responder совместимый с Cisco

 

Интерфейсы ESR-100-ST ESR-200-ST ESR-1000-ST
Ethernet 10 / 100 / 1000BASE-T 4 24
Combo 10 / 100 / 1000BASE-T / 1000BASE-X SFP 4 4
10GBASE-R SFP+ / 1000BASE-X 2
USB 2.0 / 3.0 1 / 1 1 / 1 2 / –
Слот для SD карт + + +
Наименование Спецификация
Программный комплекс VPN-шлюз С-Терра Шлюз 4.1
Криптографические библиотеки

С-Терра ST – встроенная

Протокол IKE

Информационные обмены:

Main mode, Aggressive mode, Quick mode, Transaction Exchanges, Informational Exchanges, VKO ГОСТ Р 34.10-2001,
VKO_GOSTR3410_2012_256 в соответствии с документом «РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ...»

Режимы аутентификации:

Preshared key, RSA digital signature, DSA digital signature, ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012

Алгоритмы шифрования, контроля целостности и ЭП Шифрование:
DES, AES, ГОСТ28147-89

ЭП:
DSA, RSA, ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012

Контроль целостности:

MD5, SHA1, комбинированное преобразование ESP_GOST-4M-IMIT, ГОСТ Р 34.11-94, ГОСТ Р 34.11-2012

Мониторинг и контроль Доступности удаленного узла: Dead Peer Detection (DPD)
Событийное протоколирование: Syslog
Сбор статистики: SNMP v.1, v.2c
Механизмы обеспечения отказоустойчивости
VRRP (в т.ч. объединение в кластер), RRI,
GRE+OSPF (резервирование провайдеров)
Работа через NAT
NAT Traversal Encapsulation (инкапсуляция IPsec в UDP)  / NAT-T
Протоколы RADIUS, IKECFG (выдача адресов для С-Терра Клиент), LACP

Динамическая маршрутизация:
RIP и OSPF (в том числе, балансировка нагрузки RRI)
Обработка трафика QoS: приоритизация, маркировка
сценарии: split tunneling
Формат сертификатов публичных ключей X.509 v.3 (RSA, DSA, ГОСТ)
Формат запроса на регистрацию сертификата при генерации ключевой пары Certificate Enrollment Request (CER), упакованный в PKCS#10 bin или base 64
Способы получения сертификатов Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
Способ получения ключевой пары Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER
Генерация внешним PKI сервисом с доставкой:
– на сменных ключевых носителях
– через PKSC#12 (DSA, RSA)
Список отозванных сертификатов Обработка Certificate Revocation List (CRL) опциональна
Поддерживается CRL v.2.
Способы получения CRL:
  • протокол LDAP v.3
  • импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
Аппаратная платформа Маршрутизатор Zelax MM-1017
Интерфейсы аппаратной платформы
4 x 10GBase (IEEE802.3ae) SFP+;
24 х 10/100/1000Base-T (IEEE802.3ab) RJ-45;
4 x 10/100/1000Base-x (IEEE802.3ab) SFP
Маршрутизация динамическая RIP, OSPF, BGP4/4+, VRRP, ISATAP, GRE, BFD, PBR
статическая
Многоадресная рассылка статическая, PIM-DM, PIM-SM, PIM-SSM, MSDP
Сетевые протоколы и сервисы DHCP (клиент и сервер), VLAN, PAT, LACP
Протоколы 2-го уровня 802.1d (STP), 802.1w (RSTP), 802.1s (MSTP); 802.1Q, 802.1Q-in-Q, Dynamic ARP inspection (DAI), DHCP, BPDU, GARP, GVRP, LLDP, LLDP-MED, UDLD, IGMP, Multicast VLAN Registration (MVR); MLD Snooping v1, v2; 802.3ad (LACP) агрегация портов, PPPoE, предотвращение блокировки (HOL)
Качество обслуживания (QoS) Классификация трафика
Ограничение полосы пропускания с шагом 1 кбит/с
8 очередей на каждом порту
Полисинг трафика
Наименование Спецификация
Криптографические библиотеки С-Терра ST – встроенная
Протокол IKE

Информационные обмены:

Main mode, Aggressive mode, Quick mode, Transaction Exchanges, Informational Exchanges, VKO ГОСТ Р 34.10-2001
VKO_GOSTR3410_2012_256 в соответствии с документом «РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ...»

Режимы аутентификации:

Preshared key, RSA digital signature, DSA digital signature, ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012

Алгоритмы шифрования, контроля целостности и ЭП Шифрование:
DES, AES, ГОСТ28147-89

ЭП:
DSA, RSA, ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012

Контроль целостности:

MD5, SHA1, комбинированное преобразование ESP_GOST-4M-IMIT, ГОСТ Р 34.11-94, ГОСТ Р 34.11-2012

Мониторинг и контроль Доступности удаленного узла: Dead Peer Detection (DPD)
Событийное протоколирование: Syslog
Сбор статистики: SNMP v.1, v.2c
Механизмы обеспечения отказоустойчивости
VRRP (в т.ч. объединение в кластер), RRI,
GRE+OSPF (резервирование провайдеров)
Работа через NAT
NAT Traversal Encapsulation (инкапсуляция IPsec в UDP)  / NAT-T
Протоколы RADIUS, IKECFG (выдача адресов для С-Терра Клиент), LACP
DHCP (клиент и сервер), VLAN, PAT
Динамическая маршрутизация:
RIP и OSPF (в том числе, балансировка нагрузки RRI)
Обработка трафика QoS: приоритизация, маркировка
сценарии: split tunneling
Формат сертификатов публичных ключей X.509 v.3 (RSA, DSA, ГОСТ)
Формат запроса на регистрацию сертификата при генерации ключевой пары Certificate Enrollment Request (CER), упакованный в PKCS#10 bin или base 64
Способы получения сертификатов Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
Способ получения ключевой пары Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER
Генерация внешним PKI сервисом с доставкой:
– на сменных ключевых носителях
– через PKSC#12 (DSA, RSA)
Список отозванных сертификатов Обработка Certificate Revocation List (CRL) опциональна
Поддерживается CRL v.2.
Способы получения CRL:
  • протокол LDAP v.3
  • импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

Общая схема использования С-Терра КП

Продукт состоит из Сервера управления и Клиента управления.

Сервер управления – серверная часть продукта, которая устанавливается на выделенный компьютер и предназначена для управления VPN-устройствами.

Клиент управления – клиентская часть продукта, которая устанавливается на VPN-устройство с установленным программным комплексом С-Терра Клиент/ С-Терра Шлюз/ CSP VPN Client/ CSP VPN Server/ CSP VPN Gate/ NME-RVPN (МСМ)/ СПДС «ПОСТ».

kp-1.jpg

  • Сервер управления устанавливается на отдельный компьютер в защищенной локальной подсети. На Сервере управления создаются Клиенты управления для каждого VPN-устройства.
  • Созданный Клиент управления устанавливается на VPN-устройство, для которого он и был создан.
  • Все данные между Сервером управления и Клиентом управления передаются по защищенному IPsec-туннелю, который строится между VPN-устройством и шлюзом безопасности.
  • Инициатором сетевого взаимодействия между Клиентом управления и Сервером управления всегда выступает Клиент управления. В случае временной потери соединения на Клиенте управления предусмотрена возможность «докачки» данных c Сервера управления.
  • Надежная защита передаваемого трафика

    • Шифрование и контроль целостности передаваемого трафика – по протоколам IPsec ESP и/или IPsec AH (RFC2401-2412), с использованием российских криптографических алгоритмов. При этом происходит туннелирование трафика
    • Аутентификация устройств – по протоколу IKE (RFC2401-2412)
    • Интегрированный межсетевой экран, осуществляющий statefull-фильтрацию трафика
    • Применяется комбинированное преобразование ESP_GOST-4M-IMIT
  • Построение защищенных сетей любой сложности

    • Полноценная поддержка инфраструктуры PKI
    • Широкие возможности для администратора: задание гибкой политики безопасности, определение различных наборов правил обработки открытого и шифрованного трафика, в т.ч. реализация сценария split tunneling
    • Поддержка различных топологий, в том числе: точка-точка, звезда, иерархическое дерево, частично- и полносвязная топология
    • Возможность построения нескольких эшелонов защиты, организации перешифрования
    • Возможность применения сценария на базе технологии, аналогичной DMVPN
  • Легкая интеграция в существующую инфраструктуру

    Поддержка всех необходимых протоколов для интеграции в современную сетевую инфраструктуру, в том числе:

    • протокол RADIUS
    • объединение устройств в кластер по протоколу VRRP
    • динамическая маршрутизация RIP и OSPF (в том числе для сценария балансировки нагрузки RRI)
    • VLAN, LACP
    • GRE (в том числе для резервирования провайдеров)
    • работа через NAT (NAT Traversal)
    • Syslog – событийное протоколирование
    • мониторинг SNMP
  • Высокая надежность и производительность

    • Обеспечение отказоустойчивости с резервированием шлюзов безопасности, сетевых интерфейсов и провайдерских каналов
    • Сохранение защищенных туннелей при перезагрузке политики безопасности
    • Производительность зависит от аппаратной платформы и сравнима с производительностью шлюзов безопасности С-Терра Шлюз Е
    • Защита трафика, требовательного к задержкам и потерям пакетов, такого как IP-телефония и ВКС
    • Поддержка QoS
  • Поддерживаемые операционные системы

    Программный комплекс С-Терра Шлюз работает под управлением операционной системы Debian GNU/Linux 6 в одном из наиболее популярных гипервизоров (VMware ESXi, Citrix XenServer, KVM, Parallels).

    Характеристики оборудования должны соответствовать минимальным требованиям, предъявляемым операционными системами.

  • Надежная защита передаваемого трафика

    • Шифрование и контроль целостности передаваемого трафика – по протоколам IPsec ESP и/или IPsec AH (RFC2401-2412), с использованием российских криптографических алгоритмов. При этом происходит туннелирование трафика
    • Аутентификация устройств – по протоколу IKE (RFC2401-2412)
    • Интегрированный межсетевой экран, осуществляющий statefull-фильтрацию трафика
    • Применяется комбинированное преобразование ESP_GOST-4M-IMIT
  • Построение защищенных сетей любой сложности

    • Полноценная поддержка инфраструктуры PKI
    • Широкие возможности для администратора: задание гибкой политики безопасности, определение различных наборов правил обработки открытого и шифрованного трафика, в т.ч. реализация сценария split tunneling
    • Поддержка различных топологий, в том числе: точка-точка, звезда, иерархическое дерево, частично- и полносвязная топология
    • Построение нескольких эшелонов защиты, организация перешифрования
    • Возможность применения сценария на базе технологии, аналогичной DMVPN
  • Легкая интеграция в существующую инфраструктуру

    Поддержка всех необходимых протоколов для интеграции в современную сетевую инфраструктуру, в том числе:

    • протокол RADIUS
    • объединение устройств в кластер по протоколу VRRP
    • динамическая маршрутизация RIP и OSPF (в том числе для сценария балансировки нагрузки RRI)
    • VLAN, LACP
    • GRE (в том числе для резервирования провайдеров)
    • работа через NAT (NAT Traversal)
    • Syslog – событийное протоколирование
    • мониторинг SNMP
  • Высокая надежность и производительность

    • Обеспечение отказоустойчивости с резервированием шлюзов безопасности, сетевых интерфейсов и провайдерских каналов
    • Сохранение защищенных туннелей при перезагрузке политики безопасности
    • Защита трафика, требовательного к задержкам и потерям пакетов, такого как IP-телефония и ВКС
    • Поддержка QoS
    • Возможность использования различных аппаратных платформ
  • Поддерживаемые операционные системы

    Продукт работает под управлением Debian GNU/Linux 6.

    Характеристики оборудования должны соответствовать минимальным требованиям, предъявляемым операционными системами.

  • Надежная защита передаваемого трафика

    • Шифрование и контроль целостности передаваемого трафика – по протоколам IPsec ESP и/или IPsec AH (RFC2401-2412), с использованием российских криптографических алгоритмов. При этом происходит туннелирование трафика
    • Аутентификация устройств – по протоколу IKE (RFC2401-2412)
    • Интегрированный межсетевой экран, осуществляющий statefull-фильтрацию трафика
    • Применяется комбинированное преобразование ESP_GOST-4M-IMIT
  • Построение защищенных сетей любой сложности

    • Полноценная поддержка инфраструктуры PKI
    • Широкие возможности для администратора: задание гибкой политики безопасности, определение различных наборов правил обработки открытого и шифрованного трафика, в т.ч. реализация сценария split tunneling
  • Легкая интеграция в существующую инфраструктуру

    Поддержка всех необходимых протоколов для интеграции в современную сетевую инфраструктуру, в том числе:

    • получение адреса из предопределенного пула
    • протокол RADIUS
    • работа через NAT (NAT Traversal)
    • Syslog – событийное протоколирование
    • мониторинг SNMP

    Совместимость с любыми сетевыми интерфейсами, в том числе с современными модемами.

  • Поддерживаемые операционные системы

    • Microsoft Windows 8.1 (x32, x64)
    • Microsoft Windows 8 (x32, x64)
    • Microsoft Windows 7 (x32, x64)
    • Microsoft Windows Vista
    • Microsoft Windows XP
    • Microsoft Windows Server 2012
    • Microsoft Windows Server 2008R2
    • Microsoft Windows Server 2003 / 2008

    Характеристики оборудования должны соответствовать минимальным требованиям, предъявляемым операционными системами.

Наименование Спецификация
Криптографические библиотеки

4-1_st.png встроенная, С-Терра ST 

4-1_cp.png внешняя, КриптоПро CSP: КриптоПро CSP 3.6R4, 3.9

Поддерживаемые операционные системы Программный комплекс С-Терра Шлюз работает под управлением операционной системы Debian GNU/Linux 6
Гипервизоры VMware ESXi, Citrix XenServer, KVM, Parallels
Ресурсы виртуальной машины, необходимые для установки продукта Не менее:
  • 1/4/12 (в зависимости от лицензии) ядер процессора
  • 4 Гб HDD
  • 2 Гб RAM
  • двух виртуальных сетевых интерфейсов
Информационные обмены протокола IKE Main mode
Aggressive mode
Quick mode
Transaction Exchanges
Informational Exchanges
VKO ГОСТ Р 34.10-2001
4-1_st.pngVKO_GOSTR3410_2012_256 в соответствии с документом «РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ...»
Режимы аутентификации в протоколе IKE Preshared key
RSA digital signature
DSA digital signature
ГОСТ Р 34.10-2001
4-1_st.pngГОСТ Р 34.10-2012 
Алгоритмы шифрования, контроля целостности и ЭП
  • Шифрование: DES, AES, ГОСТ28147-89
  • ЭП: DSA, RSA, ГОСТ Р 34.10-2001, 4-1_st.pngГОСТ Р 34.10-2012 
  • Контроль целостности: MD5, SHA1, комбинированное преобразование ESP_GOST-4M-IMIT, ГОСТ Р 34.11-94, 4-1_st.pngГОСТ Р 34.11-2012 
Мониторинг доступности удаленного узла Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)
Событийное протоколирование Syslog
Сбор статистики SNMP v.1, v.2c
Формат сертификатов публичных ключей X.509 v.3 (RSA, DSA, ГОСТ). Учтены изменения в соответствии с "Приказ ФСБ России от 27.12.2011 № 795" и "ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом"
Формат запроса на регистрацию сертификата при генерации ключевой пары Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат
Способы получения сертификатов Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
Способ получения ключевой пары Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER
Генерация внешним PKI сервисом с доставкой на сменных ключевых носителях
Генерация внешним PKI сервисом с доставкой через PKSC#12 (DSA, RSA)
Список отозванных сертификатов Обработка Certificate Revocation List (CRL) опциональна
Поддерживается CRL v.2.
Способы получения CRL:
  • протокол LDAP v.3
  • импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
Механизмы обеспечения отказоустойчивости VRRP, RRI, GRE+OSPF (резервирование провайдеров)
Работа через NAT Поддержка NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)
Протоколы динамической маршрутизации RIPv2, OSPF
Прочие сетевые протоколы и сервисы DHCP (клиент и сервер), VLAN, NAT, LACP
  • Надежная защита передаваемого трафика

    • Шифрование и контроль целостности передаваемого трафика – по протоколам IPsec ESP и/или IPsec AH (RFC2401-2412), с использованием российских и зарубежных криптографических алгоритмов
    • Маскировка топологии защищаемого сегмента сети
    • Аутентификация устройств – по протоколу IKE (RFC2401-2412)
    • Интегрированный межсетевой экран, осуществляющий stateful-фильтрацию трафика
    • Применяется комбинированное преобразование ESP_GOST-4M-IMIT в соответствии с документом «ТЕХНИЧЕСКАЯ СПЕЦИФИКАЦИЯ ПО ИСПОЛЬЗОВАНИЮ ГОСТ 28147-89 ПРИ ШИФРОВАНИИ ВЛОЖЕНИЙ В ПРОТОКОЛЕ IPSEC ESP»
  • Построение защищенных сетей любой сложности

    • Полноценная поддержка инфраструктуры PKI
    • Совместимость с продуктами российских и зарубежных производителей
    • Широкие возможности для администратора: задание гибкой политики безопасности, определение различных наборов правил обработки открытого и шифрованного трафика, в т.ч. реализация сценария split tunneling
    • Поддержка различных топологий, в том числе: точка-точка, звезда, иерархическое дерево, частично- и полносвязная топология
    • Возможность построения нескольких эшелонов защиты, организации перешифрования
    • Возможность применения сценария на базе технологии, аналогичной DMVPN
  • Легкая интеграция в существующую инфраструктуру

    Совместимость со всеми необходимыми протоколами для интеграции в современную сетевую инфраструктуру, в том числе:

    • протокол RADIUS
    • выдача IKECFG-адресов для С-Терра Клиент
    • объединение устройств в кластер по протоколу VRRP
    • динамическая маршрутизация RIP и OSPF (в том числе для сценария балансировки нагрузки RRI)
    • VLAN, LACP
    • GRE (в том числе для резервирования провайдеров)
    • работа через NAT (NAT Traversal)
    • событийное протоколирование через Syslog
    • мониторинг SNMP
  • Высокая надежность и производительность

    • Возможность оснащения резервными блоками питания и жесткими дисками, объединенными в RAID
    • Поддержка сценариев обеспечения отказоустойчивости с резервированием шлюзов безопасности, сетевых интерфейсов и провайдерских каналов
    • Поддержка режима сохранения защищенных туннелей при перезагрузке политики безопасности
    • Рекордная производительность
    • Возможность использования для защиты трафика, требовательного к задержкам и потерям пакетов, такого как IP-телефония и ВКС
    • Поддержка QoS
  • Поддерживаемые операционные системы

    Продукт работает под управлением Debian GNU/Linux 6.

    Характеристики оборудования должны соответствовать минимальным требованиям, предъявляемым операционными системами.

  • Надежная защита передаваемого трафика

  • Построение защищенных сетей любой сложности

    • Полноценная поддержка инфраструктуры PKI
    • Поддержка различных наборов правил обработки открытого и шифрованного трафика, в т.ч. реализация сценария split tunneling
  • Легкая интеграция в существующую инфраструктуру

    • Возможность работы мобильного пользователя в соответствии с политикой безопасности внутрикорпоративной сети (IKECFG-клиент)
    • Интеграция с Radius сервером
    • Маскировка адресных пространств защищаемых сетей (туннелирование трафика)
    • Управляемое событийное протоколирование через Syslog
    • Работа через NAT (NAT Traversal)
    • Совместимость с MDM-системами (например, SafePhone, Citrix XenMobile)
  • Поддерживаемые операционные системы

    • Android 4.x

    Характеристики оборудования должны соответствовать минимальным требованиям, предъявляемым операционными системами.

  • Надежная защита передаваемого трафика

    • Шифрование и контроль целостности передаваемого трафика – по протоколам IPsec ESP и/или IPsec AH (RFC2401-2412), с использованием российских и зарубежных криптографических алгоритмов
    • Маскировка топологии защищаемого сегмента сети
    • Аутентификация устройств – по протоколу IKE (RFC2401-2412)
    • Интегрированный межсетевой экран – пакетная фильтрация трафика с использованием информации в полях заголовков сетевого и транспортного уровней
    • Применяется комбинированное преобразование ESP_GOST-4M-IMIT в соответствии с документом «ТЕХНИЧЕСКАЯ СПЕЦИФИКАЦИЯ ПО ИСПОЛЬЗОВАНИЮ ГОСТ 28147-89 ПРИ ШИФРОВАНИИ ВЛОЖЕНИЙ В ПРОТОКОЛЕ IPSEC ESP»
  • Построение защищенных сетей любой сложности

    • Полноценная поддержка инфраструктуры PKI
    • Совместимость с продуктами российских и зарубежных производителей
    • Возможности для администратора: задание гибкой политики безопасности, определение различных наборов правил обработки открытого и шифрованного трафика, в т.ч. реализация сценария split tunneling
    • При использовании С-Терра Клиент совместно с С-Терра Шлюз: построение нескольких эшелонов защиты, организация перешифрования
  • Легкая интеграция в существующую инфраструктуру

    Совместимость со всеми необходимыми протоколами для интеграции в современную сетевую инфраструктуру, в том числе:

    • получение адреса из предопределенного пула
    • IKECFG-интерфейс
    • протокол RADIUS
    • событийное протоколирование через Syslog
    • мониторинг SNMP
    • работа через NAT (NAT Traversal)

    Совместимость с любыми сетевыми интерфейсами, в том числе с современными модемами.

  • Поддерживаемые операционные системы

    • Microsoft Windows 8.1 (x32, x64)
    • Microsoft Windows 8 (x32, x64)
    • Microsoft Windows 7 (x32, x64)
    • Microsoft Windows Vista
    • Microsoft Windows XP
    • Microsoft Windows Server 2012
    • Microsoft Windows Server 2008R2
    • Microsoft Windows Server 2003/2008

    Характеристики оборудования должны соответствовать минимальным требованиям, предъявляемым операционными системами.

Наименование Спецификация

Криптографические библиотеки

внешняя, КриптоПро CSP

Информационные обмены протокола IKE

Main mode
Aggressive mode
Quick mode
Transaction Exchanges
Informational Exchanges
VKO ГОСТ Р 34.10-2001
VKO_GOSTR3410_2012_256

Шифрование
Аутентификация
Имитозащита

ГОСТ 28147-89
ГОСТ Р 34.10-2012
ГОСТ Р 34.11-2012

Мониторинг доступности удаленного узла

Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)

Событийное протоколирование

Syslog

Сбор статистики

SNMP v.1, v.2c

Формат сертификатов публичных ключей

X.509 v.3 (RSA, DSA, ГОСТ). Учтены изменения в соответствии с «Приказ ФСБ России от 27.12.2011 № 795» и «ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом»

Формат запроса на регистрацию сертификата при генерации ключевой пары

Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат

Способы получения сертификатов

Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

Способ получения ключевой пары

Первично – внешним PKI сервисом непосредственно на устройство.
При обновлении – ключевая информация формируется непосредственно на устройстве.

Список отозванных сертификатов

Обработка Certificate Revocation List (CRL) опциональна
Поддерживается CRL v.2.
Способы получения CRL:

  • протокол LDAP v.3
  • протокол HTTP
  • импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

Работа через NAT

NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)

Управление

  • Удаленно
  • — Web-based интерфейс управления
  • — Протокол SSH с помощью интерфейса командной строки
  • Локально
  • — Интерфейс командной строки

Доступ в систему

Ролевое разделение доступа.

Техническая поддержка

Комплект поставки лицензии включает 1 (один) год технической поддержки (не распространяется на обновление до новой версии).

Рекомендуем приобрести услугу «Сервис технической поддержки» на последующий период эксплуатации продукта.

Программный комплекс С-Терра VPN в составе Модулей HW-ST


Наименование Спецификация

Криптографические библиотеки

С-Терра ST – встроенная

Операционные системы

Debian GNU/Linux 7

Информационные обмены протокола IKE

Main mode
Aggressive mode
Quick mode
Transaction Exchanges
Informational Exchanges
VKO ГОСТ Р 34.10-2001
VKO_GOSTR3410_2012_256

Шифрование
Аутентификация
Имитозащита

ГОСТ 28147-89
ГОСТ Р 34.10-2012
ГОСТ Р 34.11-2012
ГОСТ Р 34.12-2015
ГОСТ Р 34.13-2015

Мониторинг доступности удаленного узла

Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)

Событийное протоколирование

Syslog

Сбор статистики

SNMP v.1, v.2c

Формат сертификатов публичных ключей

X.509 v.3 (RSA, DSA, ГОСТ). Учтены изменения в соответствии с «Приказ ФСБ России от 27.12.2011 № 795» и «ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом»

Формат запроса на регистрацию сертификата при генерации ключевой пары

Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат

Способы получения сертификатов

Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

Способ получения ключевой пары

• Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER
• Генерация внешним PKI сервисом с доставкой на сменных ключевых носителях
• Генерация внешним PKI сервисом с доставкой через PKSC#12 (DSA, RSA)

Список отозванных сертификатов

Обработка Certificate Revocation List (CRL) опциональна
Поддерживается CRL v.2.
Способы получения CRL:

  • протокол LDAP v.3
  • протокол HTTP
  • импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

Отказоустойчивость и балансировка нагрузки

VRRP, RRI, GRE+OSPF (резервирование провайдеров)

Работа через NAT

NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)

Протоколы динамической маршрутизации

RIPv2, OSPF

Прочие сетевые протоколы и сервисы

DHCP (клиент и сервер), VLAN, NAT, LACP, MTU Path Discovery

 

Аппаратные платформы Модулей HW-ST


Модель AR01WSX220B (SAE220) AR01WSX165B (SAE550)
Тип Industrial Computer
Процессор Celeron 847E Ivy Bridge I5-3610
Оперативная память DDR3 4G DDR3 16G
Жесткий диск 2.5 inch 1TB HDD
Карта памяти CFAST 4G

Управляет продуктами С-Терра, начиная с версии 3.1:

  • С-Терра Клиент
  • С-Терра Шлюз
  • С-Терра Виртуальный Шлюз
  • С-Терра Шлюз 10G
  • Криптомаршрутизаторы ESR-ST, Zelax-ST
  • Модуль Cisco UCS-EN120 / МСМ (NME-RVPN) / CSCO-STVM
  • CSP VPN Server / Client / Gate
  • С-Терра Пост

Позволяет изменять на VPN-устройствах:

  • локальную политику безопасности
  • политику драйвера
  • предопределенные ключи
  • локальные сертификаты, список отозванных сертификатов, корневые сертификаты, сертификаты партнеров
  • контейнеры с ключами сертификатов, в том числе и на токенах
  • настройки сетевых маршрутов
  • IP-адреса, маски и MTU сетевых интерфейсов
  • лицензии на продукт и крипто-провайдера (для КриптоПро CSP)
  • настройки регистрации событий
  • настройки клиентского ПО

Позволяет контролировать:

  • статус управляемых VPN-устройств
  • срок действия сертификатов управляемых VPN-устройств
  • срок действия лицензий управляемых VPN-устройств

Поддерживает дополнительные функции:

  • быстрый и легкий процесс настройки VPN-устройств с помощью интерактивных мастеров
  • клонирование устройств с типовой конфигурацией
  • групповые операции для управляемых устройств
  • централизованный сбор и хранение журналов регистрации событий VPN-устройств
  • централизованный сбор и хранение политик безопасности VPN-устройств
  • конвертация политик безопасности VPN-устройств с младших версий на старшие
  • выполнение на VPN-устройстве расширенных сценариев управления
  • сбор статистических данных, в том числе: загрузку CPU, использование динамической памяти и дискового пространства, загрузку сетевых интерфейсов, стороннюю SNMP статистику

Поддерживаемые операционные системы:

  • Windows Server 2008 SP2 (32-bit,64-bit)
  • Windows Server 2008R2 SP1 (64-bit)
  • Windows Server 2012 (64-bit)
  • Windows Server 2012R2 (64-bit)
  • Windows Server 2016 (64-bit)

Характеристики оборудования должны соответствовать минимальным требованиям, предъявляемым операционными системами.

Необходимо предусмотреть аппаратно-программный модуль доверенной загрузки (АПМДЗ), который обеспечит защиту от НСД, а также позволит генерировать случайные числа аппаратным датчиком случайных чисел (ДСЧ) с минимальным участием оператора.

При отсутствии АПМДЗ, например, в виртуальной среде, защиту от НСД можно обеспечить другими средствами, в том числе, организационными мерами, а аппаратный ДСЧ заменить внешней гаммой (которая создана на другом АРМ с АПМДЗ).

Наименование Спецификация

Криптографические библиотеки

С-Терра ST – встроенная

Операционные системы

MS Windows 10 Russian Edition (х32, х64)
MS Windows 8.1 Russian Edition (х32, х64)
MS Windows 8 Russian Edition (х32, х64)
MS Windows 7 Russian Edition (х32, х64)
MS Windows Server 2016 Edition (х64)
MS Windows Server 2012 Edition (х64)
MS Windows Server 2008R2 Edition (х64)
MS Windows Server 2008 Edition (х32, х64)
MS Windows Server 2003 Edition (х32)

Информационные обмены протокола IKE

Main mode
Aggressive mode
Quick mode
Transaction Exchanges
Informational Exchanges
VKO ГОСТ Р 34.10-2001
VKO_GOSTR3410_2012_256

Шифрование
Аутентификация
Имитозащита

ГОСТ 28147-89
ГОСТ Р 34.10-2012
ГОСТ Р 34.11-2012
ГОСТ Р 34.12-2015
ГОСТ Р 34.13-2015

Мониторинг доступности удаленного узла

Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)

Событийное протоколирование

Syslog

Сбор статистики

SNMP v.1, v.2c

Формат сертификатов публичных ключей

X.509 v.3 (RSA, DSA, ГОСТ). Учтены изменения в соответствии с «Приказ ФСБ России от 27.12.2011 № 795» и «ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом»

Формат запроса на регистрацию сертификата при генерации ключевой пары

Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат

Способы получения сертификатов

Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

Способ получения ключевой пары

• Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER
• Генерация внешним PKI сервисом с доставкой на сменных ключевых носителях
• Генерация внешним PKI сервисом с доставкой через PKSC#12 (DSA, RSA)

Список отозванных сертификатов

Обработка Certificate Revocation List (CRL) опциональна
Поддерживается CRL v.2.
Способы получения CRL:

  • протокол LDAP v.3
  • импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

Работа через NAT

NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)

Наименование Спецификация

Криптографические библиотеки

С-Терра ST – встроенная

Операционные системы

Debian GNU/Linux 7

Гипервизоры VMware ESXi, Citrix XenServer, Microsoft Hyper-V, KVM, Huawei Fusion
Ресурсы виртуальной машины, необходимые для установки продукта Не менее:
  • 1/4/12 (в зависимости от лицензии) ядер процессора
  • 4 Гб HDD
  • 2 Гб RAM
  • двух виртуальных сетевых интерфейсов

Информационные обмены протокола IKE

Main mode
Aggressive mode
Quick mode
Transaction Exchanges
Informational Exchanges
VKO ГОСТ Р 34.10-2001
VKO_GOSTR3410_2012_256

Шифрование
Аутентификация
Имитозащита

ГОСТ 28147-89
ГОСТ Р 34.10-2012
ГОСТ Р 34.11-2012
ГОСТ Р 34.12-2015
ГОСТ Р 34.13-2015

Мониторинг доступности удаленного узла

Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)

Событийное протоколирование

Syslog

Сбор статистики

SNMP v.1, v.2c

Формат сертификатов публичных ключей

X.509 v.3 (RSA, DSA, ГОСТ). Учтены изменения в соответствии с «Приказ ФСБ России от 27.12.2011 № 795» и «ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом»

Формат запроса на регистрацию сертификата при генерации ключевой пары

Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат

Способы получения сертификатов

Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

Способ получения ключевой пары

– Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER
– Генерация внешним PKI сервисом с доставкой на сменных ключевых носителях
– Генерация внешним PKI сервисом с доставкой через PKSC#12 (DSA, RSA)

Список отозванных сертификатов

Обработка Certificate Revocation List (CRL) опциональна
Поддерживается CRL v.2.
Способы получения CRL:

  • протокол LDAP v.3
  • протокол HTTP
  • импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

Отказоустойчивость и балансировка нагрузки

VRRP, RRI, GRE+OSPF (резервирование провайдеров)

Работа через NAT

NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)

Протоколы динамической маршрутизации

RIPv2, OSPF

Прочие сетевые протоколы и сервисы

DHCP (клиент и сервер), VLAN, NAT, LACP, MTU Path Discovery

Наименование Условия измерений: VMware, CPU 3 GHz
Максимальная производительность шифрования, Мбит/c Производительность шифрования IMIX, Мбит/c
С-Терра Виртуальный Шлюз (1 ядро) 270 140
С-Терра Виртуальный Шлюз (4 ядра) 1100 600
С-Терра Виртуальный Шлюз (12 ядер) 2890 1200

Более подробная информация о производительности С-Терра Виртуальный Шлюз 4.1 – на странице описания решения с использованием продукта.

Максимальная производительность шифрования 13 Гбит/c
Производительность шифрования IMIX (1 поток) 8,5 Гбит/c
Задержка прохождения пакета по защищенному каналу (без учета задержки канала связи) не более 1 мс
Количество туннелей не ограничено
Наименование Спецификация

Криптографические библиотеки

С-Терра ST – встроенная

Операционные системы

Debian GNU/Linux 7

Информационные обмены протокола IKE

Main mode
Aggressive mode
Quick mode
Transaction Exchanges
Informational Exchanges
VKO ГОСТ Р 34.10-2001
VKO_GOSTR3410_2012_256

Шифрование
Аутентификация
Имитозащита

ГОСТ 28147-89
ГОСТ Р 34.10-2012
ГОСТ Р 34.11-2012
ГОСТ Р 34.12-2015
ГОСТ Р 34.13-2015

Мониторинг доступности удаленного узла

Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)

Событийное протоколирование

Syslog

Сбор статистики

SNMP v.1, v.2c

Формат сертификатов публичных ключей

X.509 v.3 (RSA, DSA, ГОСТ). Учтены изменения в соответствии с «Приказ ФСБ России от 27.12.2011 № 795» и «ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом»

Формат запроса на регистрацию сертификата при генерации ключевой пары

Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат

Способы получения сертификатов

Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

Способ получения ключевой пары

• Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER
• Генерация внешним PKI сервисом с доставкой на сменных ключевых носителях
• Генерация внешним PKI сервисом с доставкой через PKSC#12 (DSA, RSA)

Список отозванных сертификатов

Обработка Certificate Revocation List (CRL) опциональна
Поддерживается CRL v.2.
Способы получения CRL:

  • протокол LDAP v.3
  • протокол HTTP
  • импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)

Отказоустойчивость и балансировка нагрузки

VRRP, RRI, GRE+OSPF (резервирование провайдеров)

Работа через NAT

NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)

Протоколы динамической маршрутизации

RIPv2, OSPF

Прочие сетевые протоколы и сервисы

DHCP (клиент и сервер), VLAN, NAT, LACP, MTU Path Discovery

Параметр Ед. измерения ESR-100-ST ESR-200-ST ESR-1000-ST
Шифрование IMIX Мбит/с 40 50 150
Шифрование TCP
  — (1 поток)
Мбит/с 50 70 220
NAT и Firewall
  — (на больших пакетах)
Тыс. пакетов / с 70 89 400
L2 коммутация
  — (на больших пакетах)
Гбит / с 3 4 87
L3 маршрутизация
  — (на больших пакетах)
Тыс. пакетов / с 100 150 800
Количество туннелей туннель 100 150 500

Производительность

  • Коммутационная фабрика (максимальное значение)
  • – 128 Гбит/с
  • Маршрутизации (максимальное значение)
  • – 95 Мп/с (для кадров Ethernet длиной 64Б)

Производительность шифрования


Модель Максимальная производительность шифрования, Мбит/c Производительность шифрования IMIX, Мбит/c Количество туннелей
Zelax-ST ММ-1017-1000М 400 200 500
Zelax-ST ММ-1017-3000 800 300 1000

Производительность шифрования


Модель Целевое назначение Максимальная производительность шифрования, Мбит/c Производительность шифрования IMIX, Мбит/c
Модуль HW-ST 220 Небольшие офисы 140 100
Модуль HW-ST 550 Средние офисы 370 280

Предназначен для централизованного управления VPN-продуктами компании «С-Терра СиЭсПи».

Управляет продуктами:

  • С-Терра Клиент / Шлюз 4.1
  • Модуль Cisco UCS-EN120 / МСМ (NME-RVPN)
  • CSP VPN Server / Client / Gate 3.1, 3.11
  • С-Терра «Пост» 

Позволяет изменять на VPN-устройствах:

  • Сетевые маршруты
  • MTU сетевых интерфейсов
  • IP-адреса и маски сетевых интерфейсов
  • Локальную политику безопасности
  • Настройки политики драйвера
  • Предопределенные ключи
  • Сертификаты
  • Списки отозванных сертификатов
  • Настройки лога
  • Лицензию VPN-агента
  • Лицензию крипто-провайдера (для КриптоПро)
  • Настройки целевого программного обеспечения (только для СПДС «ПОСТ»)
  • Клиента управления

Позволяет контролировать:

  • Статистические данные, в том числе: загрузку CPU, использование динамической памяти и дискового пространства, загрузку сетевых интерфейсов, стороннюю SNMP статистику
  • Активность управляемых VPN-устройств
  • Срок действия сертификатов управляемых VPN-устройств

Поддерживает дополнительные функции:

  • Оценка загруженности VPN-устройств на основе собранной статистики
  • Изменение настроек на компьютерах пользователей, не имеющих прав администратора
  • Расширенный функционал настройки VPN-устройств с помощью интерактивных мастеров
  • Сбор сообщений из журнала регистрации событий VPN-устройств
  • Создание контейнеров с секретными ключами на VPN-устройстве
  • Сбор настроек VPN-устройств непосредственно на VPN-устройствах
  • Расширенный функционал инициализации VPN-шлюзов со съемных носителей
  • Конвертация политик безопасности VPN-устройств с младших версий на старшие
  • Выполнение на VPN-устройстве расширенных сценариев управления

Поддерживаемые операционные системы:

  • Для серверной части: Microsoft Windows Server 2003/ 2008/ 2012
  • Для клиентской части: операционные системы, на которых работают VPN-продукты С-Терра

Характеристики оборудования должны соответствовать минимальным требованиям, предъявляемым операционными системами.

Наименование Спецификация
Криптографические библиотеки встроенная, С-Терра ST
Поддерживаемые операционные системы Программный комплекс С-Терра Шлюз работает под управлением операционной системы Debian GNU/Linux 6
Гипервизоры • VMware ESXi
• Citrix XenServer
• KVM
Информационные обмены протокола IKE Main mode
Aggressive mode
Quick mode
Transaction Exchanges
Informational Exchanges
VKO ГОСТ Р 34.10-2001
VKO_GOSTR3410_2012_256 в соответствии с документом «РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ...»
Режимы аутентификации в протоколе IKE Preshared key
ГОСТ Р 34.10-2001
ГОСТ Р 34.10-2012
Алгоритмы шифрования, контроля целостности и ЭП
  • Шифрование: ГОСТ 28147-89
  • ЭП: ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012
  • Контроль целостности: ГОСТ Р 34.11-94, ГОСТ Р 34.11-2012, комбинированное преобразование ESP_GOST-4M-IMIT
Мониторинг доступности удаленного узла Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)
Событийное протоколирование Syslog
Сбор статистики SNMP v.1, v.2c
Формат сертификатов публичных ключей X.509 v.3 (ГОСТ). Учтены изменения в соответствии с «Приказ ФСБ России от 27.12.2011 № 795» и «ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом»
Формат запроса на регистрацию сертификата при генерации ключевой пары Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат
Способы получения сертификатов
Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
Способ получения ключевой пары
Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER
Генерация внешним PKI сервисом с доставкой на сменных ключевых носителях
Поддержка списка отозванных сертификатов Обработка Certificate Revocation List (CRL) опциональна.
Поддерживается CRL v.2.
Способы получения CRL:
• протокол LDAP v.3
• импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
Механизмы обеспечения отказоустойчивости VRRP, RRI, GRE+OSPF (резервирование провайдеров)
Работа через NAT Поддержка NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)
Поддерживаемые протоколы динамической маршрутизации RIPv2, OSPF
Прочие сетевые протоколы и сервисы DHCP (клиент и сервер), VLAN, NAT, LACP
Наименование Спецификация
Криптографические библиотеки встроенная, С-Терра ST
Поддерживаемые операционные системы Продукт работает под управлением Debian GNU/Linux 6
Информационные обмены протокола IKE Main mode
Aggressive mode
Quick mode
Transaction Exchanges
Informational Exchanges
VKO ГОСТ Р 34.10-2001
VKO_GOSTR3410_2012_256 в соответствии с документом «РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ...»
Режимы аутентификации в протоколе IKE Preshared key
ГОСТ Р 34.10-2001
ГОСТ Р 34.10-2012
Алгоритмы шифрования, контроля целостности и ЭП
  • Шифрование: ГОСТ 28147-89
  • ЭП: ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012
  • Контроль целостности: ГОСТ Р 34.11-94, ГОСТ Р 34.11-2012, комбинированное преобразование ESP_GOST-4M-IMIT
Мониторинг доступности удаленного узла Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)
Событийное протоколирование Syslog
Сбор статистики SNMP v.1, v.2c
Формат сертификатов публичных ключей X.509 v.3 (ГОСТ). Учтены изменения в соответствии с «Приказ ФСБ России от 27.12.2011 № 795» и «ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом»
Формат запроса на регистрацию сертификата при генерации ключевой пары Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат
Способы получения сертификатов
Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
Способ получения ключевой пары
Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER
Генерация внешним PKI сервисом с доставкой на сменных ключевых носителях
Поддержка списка отозванных сертификатов Обработка Certificate Revocation List (CRL) опциональна.
Поддерживается CRL v.2.
Способы получения CRL:
• протокол LDAP v.3
• импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
Механизмы обеспечения отказоустойчивости VRRP, RRI, GRE+OSPF (резервирование провайдеров)
Работа через NAT Поддержка NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)
Поддерживаемые протоколы динамической маршрутизации RIPv2, OSPF
Прочие сетевые протоколы и сервисы DHCP (клиент и сервер), VLAN, NAT, LACP
Наименование Спецификация
Криптографические библиотеки встроенная, С-Терра ST
Поддерживаемые операционные системы • Microsoft Windows 8.1 (x32, x64)
• Microsoft Windows 8 (x32, x64)
• Microsoft Windows 7 (x32, x64)
• Microsoft Windows Vista
• Microsoft Windows XP
• Microsoft Windows Server 2012
• Microsoft Windows Server 2008R2
• Microsoft Windows Server 2003 / 2008
Информационные обмены протокола IKE Main mode
Aggressive mode
Quick mode
Transaction Exchanges
Informational Exchanges
VKO ГОСТ Р 34.10-2001
VKO_GOSTR3410_2012_256 в соответствии с документом «РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ...»
Режимы аутентификации в протоколе IKE Preshared key
ГОСТ Р 34.10-2001
ГОСТ Р 34.10-2012
Алгоритмы шифрования, контроля целостности и ЭП
  • Шифрование: ГОСТ 28147-89
  • ЭП: ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012
  • Контроль целостности: ГОСТ Р 34.11-94, ГОСТ Р 34.11-2012, комбинированное преобразование ESP_GOST-4M-IMIT
Мониторинг доступности удаленного узла Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)
Событийное протоколирование Syslog
Сбор статистики SNMP v.1, v.2c
Формат сертификатов публичных ключей X.509 v.3 (ГОСТ). Учтены изменения в соответствии с «Приказ ФСБ России от 27.12.2011 № 795» и «ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом»
Поддержка списка отозванных сертификатов Обработка Certificate Revocation List (CRL) опциональна.
Поддерживается CRL v.2.
Способ получения CRL: протокол LDAP v.3.
Работа через NAT Поддержка NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)
Наименование Спецификация
Криптографические библиотеки

4-1_st.png встроенная, С-Терра ST

4-1_cp.png внешняя, КриптоПро CSP: КриптоПро CSP 3.6R4, 3.9

Поддерживаемые операционные системы Продукт работает под управлением Debian GNU/Linux 6
Информационные обмены протокола IKE Main mode
Aggressive mode
Quick mode
Transaction Exchanges
Informational Exchanges
VKO ГОСТ Р 34.10-2001
4-1_st.pngVKO_GOSTR3410_2012_256 в соответствии с документом «РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ...»
Режимы аутентификации в протоколе IKE Preshared key
RSA digital signature
DSA digital signature
ГОСТ Р 34.10-2001
4-1_st.pngГОСТ Р 34.10-2012
Алгоритмы шифрования, контроля целостности и ЭП
  • Шифрование: DES, AES, ГОСТ28147-89
  • ЭП: DSA, RSA, ГОСТ Р 34.10-2001,
    4-1_st.pngГОСТ Р 34.10-2012
  • Контроль целостности: MD5, SHA1, комбинированное преобразование ESP_GOST-4M-IMIT, ГОСТ Р 34.11-94, 4-1_st.pngГОСТ Р 34.11-2012
Мониторинг доступности удаленного узла Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)
Событийное протоколирование Syslog
Сбор статистики SNMP v.1, v.2c
Формат сертификатов публичных ключей X.509 v.3 (RSA, DSA, ГОСТ). Учтены изменения в соответствии с "Приказ ФСБ России от 27.12.2011 № 795" и "ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом"
Формат запроса на регистрацию сертификата при генерации ключевой пары Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат
Способы получения сертификатов Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
Способ получения ключевой пары Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER
Генерация внешним PKI сервисом с доставкой на сменных ключевых носителях
Генерация внешним PKI сервисом с доставкой через PKSC#12 (DSA, RSA)
Список отозванных сертификатов Обработка Certificate Revocation List (CRL) опциональна
Поддерживается CRL v.2.
Способы получения CRL:
  • протокол LDAP v.3
  • импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
Механизмы обеспечения отказоустойчивости VRRP, RRI, GRE+OSPF (резервирование провайдеров)
Работа через NAT NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)
Протоколы динамической маршрутизации RIPv2, OSPF
Прочие сетевые протоколы и сервисы DHCP (клиент и сервер), VLAN, NAT, LACP, MTU Path Discovery
Наименование Спецификация
Криптографические библиотеки 4-1_st.png встроенная, С-Терра ST 
Поддерживаемые операционные системы Android 4.x
Информационные обмены протокола IKE Main mode
Aggressive mode
Quick mode
Transaction Exchanges
Informational Exchanges
VKO ГОСТ Р 34.10-2001
Режимы аутентификации в протоколе IKE Preshared key
RSA digital signature
DSA digital signature
ГОСТ Р 34.10-2001
ГОСТ Р 34.10-2012
Алгоритмы шифрования, контроля целостности и ЭП
  • Шифрование: DES, AES, ГОСТ 28147-89
  • ЭП: DSA, RSA, ГОСТ Р 34.10-2001
  • Контроль целостности: MD5, SHA1, комбинированное преобразование ESP_GOST-4M-IMIT
Мониторинг доступности удаленного узла Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)
Событийное протоколирование Syslog
Формат сертификатов публичных ключей X.509 v.3 (RSA, DSA, ГОСТ). Учтены изменения в соответствии с "Приказ ФСБ России от 27.12.2011 № 795" и "ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом"
Формат запроса на регистрацию сертификата при генерации ключевой пары Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат.
Способы получения сертификатов Протоколы IKE, LDAP v.3.
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
Способ получения ключевой пары Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER.
Генерация внешним PKI сервисом с доставкой на сменных ключевых носителях.
Генерация внешним PKI сервисом с доставкой через PKSC#12 (DSA, RSA).
Список отозванных сертификатов Обработка Certificate Revocation List (CRL) опциональна.
Поддерживается CRL v.2.
Способы получения CRL: протокол LDAP v.3; импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64).
Работа через NAT NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)
Наименование Спецификация
Криптографические библиотеки

4-1_st.png встроенная, С-Терра ST

4-1_cp.png внешняя, КриптоПро CSP: КриптоПро CSP 3.6, 3.6R2, 3.6R4, 3.9

Поддерживаемые операционные системы • Microsoft Windows 8.1 (x32, x64)
• Microsoft Windows 8 (x32, x64)
• Microsoft Windows 7 (x32, x64)
• Microsoft Windows Vista
• Microsoft Windows XP
• Microsoft Windows Server 2012
• Microsoft Windows Server 2008R2
• Microsoft Windows Server 2003/2008
Информационные обмены протокола IKE Main mode
Aggressive mode
Quick mode
Transaction Exchanges
Informational Exchanges
VKO ГОСТ Р 34.10-2001
4-1_st.pngVKO_GOSTR3410_2012_256 в соответствии с документом «РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ...»
Режимы аутентификации в протоколе IKE Preshared key
RSA digital signature
DSA digital signature
ГОСТ Р 34.10-2001
4-1_st.pngГОСТ Р 34.10-2012
Алгоритмы шифрования, контроля целостности и ЭП
  • Шифрование: DES, AES, ГОСТ28147-89
  • ЭП: DSA, RSA, ГОСТ Р 34.10-2001, 4-1_st.pngГОСТ Р 34.10-2012
  • Контроль целостности: MD5, SHA1, комбинированное преобразование ESP_GOST-4M-IMIT, ГОСТ Р 34.11-94, 4-1_st.pngГОСТ Р 34.11-2012
Мониторинг доступности удаленного узла Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)
Событийное протоколирование Syslog
Сбор статистики SNMP v.1, v.2c
Формат сертификатов публичных ключей X.509 v.3 (RSA, DSA, ГОСТ). Учтены изменения в соответствии с "Приказ ФСБ России от 27.12.2011 № 795" и "ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом"
Поддержка списка отозванных сертификатов Обработка Certificate Revocation List (CRL) опциональна
Поддерживается CRL v.2.
Способ получения CRL – протокол LDAP v.3
Работа через NAT NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)

Централизованное управление

  • Централизованно
  • — Система централизованного управления С-Терра КП 4.2

Совместимость

  • В части реализации протоколов IPsec/IKE и их расширений – с Cisco IOS v.12.4 и v.15.x.x
  • Все продукты компании «С-Терра СиЭсПи» независимо от версии, кроме С Терра Шлюз 10G

Техническая поддержка

Комплект поставки лицензии включает 1 (один) год технической поддержки (не распространяется на обновление до новой версии).

Рекомендуем приобрести услугу «Сервис технической поддержки» на последующий период эксплуатации продукта.


Управление

  • Централизованно удаленно
  • — Система централизованного управления С-Терра КП
  • Удаленно
  • — Web-based интерфейс управления
  • — Протокол SSH с помощью интерфейса командной строки с подмножеством команд Cisco IOS
  • Локально
  • — Интерфейс командной строки с подмножеством команд Cisco IOS

Совместимость

  • Токены:
  • — eToken Java 72К
  • — JaCarta PKI, JaCarta PKI/ГОСТ
  • — Рутокен Lite, Рутокен ЭЦП
  • Все продукты компании «С-Терра СиЭсПи» независимо от версии, кроме С-Терра Шлюз 10G

Техническая поддержка

Комплект поставки лицензии включает 1 (один) год технической поддержки (не распространяется на обновление до новой версии). Рекомендуем приобрести услугу «Сервис технической поддержки» на последующий период эксплуатации продукта.

1.Унифицированная консоль управления. Консоль управления в виде «толстого» клиента теперь доступна для рабочих станций администраторов под ОС Windows.

2.Интеграция с MS CA. Автоматизировано взаимодействие с центром выдачи сертификатов, построенном на базе сервиса Microsoft Certification Authority. Доступны функции: создание ключевой пары, формирование запроса на сертификат, подпись запроса и скачивание сертификата. В том числе в виде групповых операций.

3.Гибкое управление правами администраторов. Каждому администратору для управления можно назначить группу устройств. Доступны три роли:

  • Администратор. Может создавать учетные записи других администраторов, изменять параметры сервера управления, а также управлять всеми устройствами. Также является администратором ключевой информации (интеграция с MS CA).
  • Пользователь. Может управлять VPN-устройствами, указанными администратором.
  • Оператор. Имеет только права на просмотр и используется для мониторинга.

4.Временные группы устройств. Добавлена возможность создавать временные группы устройств для удобства администрирования.

5.Синхронизация конфигураций. Механизм синхронизации автоматизирован – если конфигурации на системе управления и VPN-устройстве различаются, то при формировании обновления на С-Терра КП можно взять за основу любую из конфигураций по выбору администратора.

6.Оффлайн обновления конфигураций. Добавлена возможность получения дистрибутива VPN-устройства на основе еще не примененного обновления. Это позволяет формировать дистрибутивы устройств, даже если у них нет связи с системой управления.

7.Расширены возможности настройки VPN-устройств c криптографией ST. Доступно формирование ключевой пары с дальнейшим импортом в файл настроек управляемого VPN-устройства. Таким образом, администратор может подготовить дистрибутив для установки в «один клик».

8.Файловое хранилище. На сервере управления доступно хранилище файлов с разграничением доступа между администраторами. На ресурсе можно хранить дистрибутивы устройств, файлы сертификатов и т.п.

9.Улучшено логирование. Добавлена возможность просмотра и сортировки логов сервера через консоль управления.

10.Резервное копирования/восстановление. Добавлена возможность создания резервной копии данных сервера управления, а также восстановления из нее через графический интерфейс.


Централизованное управление

  • Первичное создание инсталляционного пакета может быть осуществлено с помощью графического интерфейса административного пакета или с помощью системы управления С-Терра КП
  • Установка возможна в различных режимах («тихий», интерактивный и т.д.)
  • Управление установленным клиентом безопасности С-Терра Клиент может осуществляться централизованно удаленно с использованием системы управления С-Терра КП

Режимы работы

Поддерживается неинтерактивный режим логина пользователя в клиент.

Поддерживается два режима работы с токенами:

  • Отчуждаемый ключевой носитель. Однопользовательский режим клиента, на токене хранится ключевая информация.
  • Пользовательский токен. Многопользовательский режим клиента, на токене осуществляется хранение ключевой информации, сертификатов и политики безопасности С-Терра Клиент.

Совместимость

  • В режиме отчуждаемого ключевого носителя токены:
  • — eToken Pro 72k (Java)
  • — JaCarta PKI, JaCarta PKI/ГОСТ
  • — Рутокен Lite, Рутокен ЭЦП
  • В режиме пользовательского токена:
  • — eToken Pro 72k (Java)
  • — JaCarta PKI
  • — Рутокен Lite
  • В части реализации протоколов IPsec/IKE и их расширений – с Cisco IOS v.12.4 и v.15.x.x
  • Все продукты компании «С-Терра СиЭсПи» независимо от версии. Совместимость с С-Терра Шлюз 10G – только для защиты канала управления (в качестве Клиента управления)

Техническая поддержка

Комплект поставки лицензии включает 1 (один) год технической поддержки (не распространяется на обновление до новой версии).

Рекомендуем приобрести услугу «Сервис технической поддержки» на последующий период эксплуатации продукта.

Управление

  • Централизованно удаленно
  • — Система централизованного управления С-Терра КП
  • Удаленно
  • — Web-based интерфейс управления
  • — Протокол SSH с помощью интерфейса командной строки с подмножеством команд Cisco IOS
  • Локально
  • — Интерфейс командной строки с подмножеством команд Cisco IOS

Совместимость

  • Токены:
  • — eToken Java 72К
  • — JaCarta PKI, JaCarta PKI/ГОСТ
  • — Рутокен Lite, Рутокен ЭЦП
  • В части реализации протоколов IPsec/IKE и их расширений – с Cisco IOS v.12.4 и v.15.x.x
  • Все продукты компании «С-Терра СиЭсПи» независимо от версии, кроме С-Терра Шлюз 10G

Техническая поддержка

Комплект поставки лицензии включает 1 (один) год технической поддержки (не распространяется на обновление до новой версии). Рекомендуем приобрести услугу «Сервис технической поддержки» на последующий период эксплуатации продукта.

Управление

  • Централизованно удаленно
  • — Система централизованного управления С-Терра КП
  • Удаленно
  • — Web-based интерфейс управления
  • — Протокол SSH с помощью интерфейса командной строки с подмножеством команд Cisco IOS
  • Локально
  • — Интерфейс командной строки с подмножеством команд Cisco IOS

Совместимость

  • Токены:
  • — eToken Java 72К
  • — JaCarta PKI, JaCarta PKI/ГОСТ
  • — Рутокен Lite, Рутокен ЭЦП
  • С-Терра Шлюз 10G, С-Терра КП

Техническая поддержка

Комплект поставки лицензии включает 1 (один) год технической поддержки (не распространяется на обновление до новой версии). Рекомендуем приобрести услугу «Сервис технической поддержки» на последующий период эксплуатации продукта.

Комплект поставки аппаратной платформы включает 3 (три) года гарантии от производителя аппаратной платформы. Информация о гарантийном обслуживании АП.

Управление

  • Централизованно удаленно
  • — Система централизованного управления С-Терра КП
  • Удаленно
  • — Web-based интерфейс управления
  • — Протокол SSH с помощью интерфейса командной строки с подмножеством команд Cisco IOS
  • Локально
  • — Интерфейс командной строки с подмножеством команд Cisco IOS

Совместимость

  • Токены:
  • — eToken Java 72К
  • — JaCarta PKI, JaCarta PKI/ГОСТ
  • — Рутокен Lite, Рутокен ЭЦП
  • В части реализации протоколов IPsec/IKE и их расширений – с Cisco IOS v.12.4 и v.15.x.x
  • Все продукты компании «С-Терра СиЭсПи» независимо от версии, кроме С-Терра Шлюз 10G

Техническая поддержка

Комплект поставки лицензии включает 1 (один) год технической поддержки (не распространяется на обновление до новой версии). Рекомендуем приобрести услугу «Сервис технической поддержки» на последующий период эксплуатации продукта.

Комплект поставки аппаратной платформы включает 3 (три) года гарантии от производителя аппаратной платформы. Информация о гарантийном обслуживании АП.

Управление

  • Централизованно удаленно:
  • – Система централизованного управления С-Терра КП
  • Локально или удаленно:
  • – Протокол SSH с помощью интерфейса командной строки с подмножеством команд Cisco IOS
  • – Доступ к командной строке посредством SSH

Совместимость

  • Токены JaCarta PKI, JaCarta PKI/ГОСТ
  • Все продукты компании «С-Терра СиЭсПи» независимо от версии, кроме С-Терра Шлюз 10G

Физические характеристики и условия окружающей среды


Параметр ESR-ST
Потребляемая мощность не более 75 ВТ
Масса не более 3,6 кг
Габаритные размеры ESR-100-ST и ESR-200-ST: 310х46,3х240 мм
ESR-1000-ST: 430x44x352 мм
Интервал рабочих температур от -10 до +45°С
Интервал температуры хранения от -40 до +70°С

Управление

  • Централизованно удаленно:
  • – Система централизованного управления С-Терра КП
  • Удаленно:
  • – Web-based интерфейс управления
  • – Протокол SSH с помощью интерфейса командной строки с подмножеством команд Cisco IOS
  • Локально:
  • – Интерфейс командной строки с подмножеством команд Cisco IOS

Совместимость

  • Токены:
  • – eToken PRO32k, eToken PRO64k, eToken NG-FLASH, eToken PRO (Java)
  • – Рутокен S, Рутокен ЭЦП, Рутокен ЭЦП Bluetooth
  • Все продукты компании «С-Терра СиЭсПи» независимо от версии
  • Модуль NME-RVPN в исполнении МСМ, Модуль С-Терра CSCO-STVM

Управление

  • Централизованно удаленно:
  • – Система централизованного управления С-Терра КП
  • Локально или удаленно:
  • – Протокол SSH с помощью интерфейса командной строки с подмножеством команд Cisco IOS
  • Удаленно:
  • – Web-based интерфейс управления

Совместимость

  • Токены:
  • – eToken PRO32k, eToken PRO64k, eToken NG-FLASH, eToken PRO (Java)
  • – Рутокен S, Рутокен ЭЦП, Рутокен ЭЦП Bluetooth
  • Все продукты компании «С-Терра СиЭсПи» независимо от версии

Архитектура решения С-Терра L2

Решение С-Терра L2 реализуется на базе линейки продуктов С-Терра Шлюз версий 4.2 или 4.1.

Интерфейс 1 шлюза установлен в promisс режим. Весь трафик, поступающий на данный интерфейс, перехватывается специализированным модулем и передается на сетевой уровень интерфейса 0 и пакет зашифровывается. При инкапсуляции в ESP IP-адресом источника становится адрес интерфейса 0, адресом назначения – IP-адрес шлюза на другом конце. После этого пакет отправляется в канал связи. При взаимодействии шлюзов используется технология IPsec с применением стойких криптографических алгоритмов шифрования ГОСТ 28147-89. На другой стороне обработка пакетов осуществляется в обратном порядке. Таким образом, происходит туннелирование L2 в L3.

L2-gate.jpg

Рисунок 1

Преимущества

  • Объединение территориально-распределенных сетей в один широковещательный домен
  • Передача широковещательных и мультикастовых пакетов, тегированного трафика (VLAN trunk), меток MPLS (Рис. 1)
  • Соединение двух сетей IPV6 через сеть IPV4 (Рис. 2)
  • Обработка приоритетного трафика
  • Минимальные настройки маршрутизации

L2-ipv6.jpg

Рисунок 2

Производительность

Производительность программного модуля С-Терра L2 должна выбираться по аналогии с платформой L3 с дополнительным запасом 15–20%. За консультацией по выбору платформ Вы можете обратиться в отдел технического консалтинга.

Повышение безопасности системы
  • Все обновления настроек происходят централизованно и удаленно, доступ к ключевой информации ограничивается лишь администраторами Сервера управления.
  • Централизованное хранение копий настроек всех VPN-устройств, позволяет контролировать систему и оперативно реагировать на все нежелательные изменения.
Снижение общей стоимости владения системой (ТСО)
  • Отпадает необходимость в командировках квалифицированных специалистов непосредственно к оборудованию.
  • Снижается время обслуживания VPN-устройств.
  • Снижается время недоступности (простоя) VPN-устройства и увеличивается скорость настройки.
Технологичность
  • С помощью С-Терра КП можно централизовано обслуживать все продукты линейки С-Терра (Клиент/ Шлюз), CSP VPN (Client/ Server/ Gate), NME-RVPN (МСМ)/ СПДС «ПОСТ».
  • Продукт стабильно работает в условиях низкоскоростных каналов связи.
  • Время непосредственного применения обновления на VPN-устройстве не превышает 1 минуту.
Безопасность
  • Все обновления настроек пересылаются на VPN-устройства по защищенным VPN-соединениям.
Удобство работы
  • Сервер управления предоставляет единый интерфейс управления всеми продуктами линейки С-Терра (Клиент/ Шлюз), CSP VPN (Client/ Server/ Gate), NME-RVPN (МСМ)/ СПДС «ПОСТ».
  • Наряду с развитым графическим интерфейсом Сервера управления, администраторам доступен и командно-строчный интерфейс управления.
Механизм защиты от неудачного обновления
  • В случае неудачного обновления настроек, система автоматически возвращает VPN-устройству предыдущие настройки и оповещает администратора системы.

Управление

  • Система централизованного управления С-Терра КП – централизованно удаленно (с территории РФ)
  • Командная строка (по протоколу SSH) – локально или удаленно
  • Web-based интерфейс управления – удаленно

Совместимость

  • Все продукты компании «С-Терра СиЭсПи» независимо от версии

Техническая поддержка

Комплект поставки включает 1 год технической поддержки (не распространяется на обновление до новой версии).
Рекомендуем приобрести услугу «Сервис технической поддержки» на последующий период эксплуатации продукта.

Управление

  • Система централизованного управления С-Терра КП – централизованно удаленно (с территории РФ)
  • Командная строка (по протоколу SSH) – локально или удаленно
  • Web-based интерфейс управления – удаленно

Совместимость

  • Токены производства компании Aladdin: eToken PRO32k, eToken PRO64k, eToken NG-FLASH, eToken PRO (Java)
  • Токены производства компании Актив: Рутокен S, Рутокен ЭЦП
  • Все продукты компании «С-Терра СиЭсПи» независимо от версии и аппаратной платформы

Техническая поддержка

Комплект поставки включает 1 год технической поддержки (не распространяется на обновление до новой версии).
Рекомендуем приобрести услугу «Сервис технической поддержки» на последующий период эксплуатации продукта.

Управление

Первичное создание инсталляционного пакета:

  • Графический интерфейс административного пакета – локально
  • Система централизованного управления С-Терра КП – централизованно удаленно

Управление установленным клиентом:

  • Система централизованного управления С-Терра КП – централизованно удаленно (с территории РФ)

Совместимость

  • Токены производства компании Aladdin: eToken PRO32k, eToken PRO64k, eToken NG-FLASH, eToken PRO (Java)
  • Токены производства компании Актив: Рутокен S, Рутокен ЭЦП
  • Токены производства компании ISBC: ESMART Token ГОСТ
  • Все продукты компании «С-Терра СиЭсПи» независимо от версии

Техническая поддержка

Комплект поставки включает 1 год технической поддержки (не распространяется на обновление до новой версии).
Рекомендуем приобрести услугу «Сервис технической поддержки» на последующий период эксплуатации продукта.

Управление

  • Система централизованного управления С-Терра КП – централизованно удаленно
  • Протокол SSH с помощью интерфейса командной строки, в интерфейсе которой используется подмножество команд Cisco IOS – локально или удаленно
  • Web-based интерфейс управления – удаленно

Совместимость

  • Citrix XenServer 6.2 – по результатам тестирования присвоен статус Citrix Ready
  • В части реализации протоколов IPsec/IKE и их расширений – с Cisco IOS v.12.4 и v.15.x.x
  • Все продукты компании «С-Терра СиЭсПи» независимо от версии
  • Модуль NME-RVPN в исполнении МСМ, Модуль С-Терра CSCO-STVM

Техническая поддержка

Комплект поставки включает 1 год технической поддержки (не распространяется на обновление до новой версии).
Рекомендуем приобрести услугу «Сервис технической поддержки» на последующий период эксплуатации продукта.

Управление

  • Система централизованного управления С-Терра КП – централизованно удаленно
  • Протокол SSH с помощью интерфейса командной строки, в интерфейсе которой используется подмножество команд Cisco IOS - локально или удаленно
  • Web-based интерфейс управления – удаленно

Совместимость

  • Токены производства компании Aladdin: eToken PRO32k, eToken PRO64k, eToken NG-FLASH, eToken PRO (Java)
  • Токены производства компании Актив: Рутокен S, Рутокен ЭЦП
  • В части реализации протоколов IPsec/IKE и их расширений – с Cisco IOS v.12.4 и v.15.x.x
  • Все продукты компании «С-Терра СиЭсПи» независимо от версии
  • Модуль NME-RVPN в исполнении МСМ, Модуль С-Терра CSCO-STVM

Техническая поддержка

Комплект поставки включает 1 год технической поддержки (не распространяется на обновление до новой версии).
Рекомендуем приобрести услугу «Сервис технической поддержки» на последующий период эксплуатации продукта.

Совместимость

  • Список совместимых мобильных устройств
  • Токены производства компании Aladdin: JaCarta MicroSD
  • Токены производства компании Актив: Рутокен ЭЦП, Рутокен ЭЦП Bluetooth
  • В части реализации протоколов IPsec/IKE и их расширений – с Cisco IOS v.12.4 и v.15.x.x
  • Все продукты компании "С-Терра СиЭсПи" независимо от версии
  • Модуль NME-RVPN в исполнении МСМ, Модуль С-Терра CSCO-STVM

Техническая поддержка

Комплект поставки включает 1 год технической поддержки (не распространяется на обновление до новой версии).
Рекомендуем приобрести услугу «Сервис технической поддержки» на последующий период эксплуатации продукта.

Централизованное управление

  • Первичное создание исталляционного пакета может быть осуществлено с помощью графического интерфейса административного пакета или с помощью системы управления С-Терра КП
  • Управление установленным клиентом безопасности С-Терра Клиент осуществляется централизованно удаленно с использованием системы управления С-Терра КП

Совместимость

  • Токены производства компании Aladdin: eToken PRO32k, eToken PRO64k, eToken NG-FLASH, eToken PRO (Java)
  • Токены производства компании Актив: Рутокен S, Рутокен ЭЦП
  • Токены производства компании ISBC: ESMART Token ГОСТ
  • В части реализации протоколов IPsec/IKE и их расширений – с Cisco IOS v.12.4 и v.15.x.x
  • Все продукты компании "С-Терра СиЭсПи" независимо от версии
  • Модуль NME-RVPN в исполнении МСМ, Модуль С-Терра CSCO-STVM

Техническая поддержка

Комплект поставки включает 1 год технической поддержки (не распространяется на обновление до новой версии).
Рекомендуем приобрести услугу «Сервис технической поддержки» на последующий период эксплуатации продукта.



Для построения защищенных соединений устройствам не требуется постоянный доступ к системе управления. При её временной недоступности устройства продолжают работать в штатном режиме.

Поддерживается подключение управляемого устройства к нескольким системам управления.

Поддерживается резервное копирование и восстановление системы управления, в том числе по расписанию.

Техническая поддержка

Комплект поставки включает 1 год технической поддержки (не распространяется на обновление до новой версии).
Рекомендуем приобрести услугу «Сервис технической поддержки» на последующий период эксплуатации продукта.






Сертификат ФСТЭК России № 3370 (МЭ-3, НДВ-3, ОУД 4+) – действителен до 25.03.2021

Формуляр, согласованный ФСТЭК России (АС 1В, ГИС до 1 кл. вкл., ПДн 1-4 ур.)

Встроенная криптобиблиотека компании «С-Терра СиЭсПи»:

Техническая поддержка

Комплект поставки включает 1 год технической поддержки (не распространяется на обновление до новой версии).
Рекомендуем приобрести услугу «Сервис технической поддержки» на последующий период эксплуатации продукта.

Сертификация

Установка программного модуля С-Терра L2 не затрагивает сертифицированную часть продукта. На российском рынке это первое сертифицированное решение для защиты на канальном уровне.

Информационные материалы

Защита ЦОДов: простые и эффективные решения сложных проблем. В. Воротников // Connect! №9, сентябрь 2012 г.

Техническая поддержка

Комплект поставки включает 1 год технической поддержки (не распространяется на обновление до новой версии).
Рекомендуем приобрести услугу «Сервис технической поддержки» на последующий период эксплуатации продукта.

Демонстрационная версия продукта:

  • Демо-версия системы управления С-Терра КП 4.1 – для свободного скачивания и тестирования

    Предоставляя демо-версию нового продукта С-Терра КП 4.1 для свободной загрузки, компания «С-Терра СиЭсПи» рассчитывает получить замечания и предложения от пользователей, чтобы использовать их для улучшения продукта.

    При обращении с вопросами в службу технической поддержки по этой версии продукта обязательно указывайте тип лицензии: DEMO.

4-1_st.pngВстроенная криптобиблиотека компании «С-Терра СиЭсПи»

4-1_cp.pngВнешняя криптобиблиотека компании «КРИПТО-ПРО»

Сертификат ФСТЭК России № 3370 (МЭ-3, НДВ-3, ОУД 4+) – действителен до 25.03.2021

Формуляр, согласованный ФСТЭК России (АС 1В, ГИС до 1 кл. вкл., ПДн 1-4 ур.)

4-1_st.pngВстроенная криптобиблиотека компании «С-Терра СиЭсПи»

4-1_cp.pngВнешняя криптобиблиотека компании «КРИПТО-ПРО»

Сертификаты

Сертификат ФСТЭК России № 3371 (МЭ-3, НДВ-3, ОУД 4+) – действителен до 27.03.2021

Формуляр, согласованный ФСТЭК России (АС 1В, ГИС до 1 кл. вкл., ПДн 1-4 ур.)

4-1_st.pngВстроенная криптобиблиотека компании "С-Терра СиЭсПи"

4-1_cp.pngВнешняя криптобиблиотека компании "КРИПТО-ПРО"

Ниже перечислены мобильные устройства технологических партнеров компании, проверенные на совместимость с продуктом С-Терра Клиент-М.

Samsung

Поддерживаемые модели:

Samsung Galaxy S4

Модель: GT-I9505
Версия ОС:
Android 4.3 и выше

Samsung_Galaxy_S4.jpg

Samsung Galaxy Tab Pro 10.1

Модель: SM-T525
Версия ОС: Android 4.4.2

 

Samsung_Galaxy_Tab-Pro-10.1.jpg

Samsung Galaxy Note3

Модель: SM-N9005
Версия ОС:
Android 4.4.2 и выше

Samsung_Galaxy_Note3.jpg

Samsung Galaxy S5

Модель: SM-G900F
Версия ОС: Android 4.4.2

Samsung_Galaxy_S5.png

Samsung Galaxy S5 mini

Модель: SM-G800H
Версия ОС: Android 4.4.2

Samsung_Galaxy_S5_mini.jpeg

Samsung Galaxy Note4

Модель: SM-N910C
Версия ОС: Android 4.4.4

Samsung_Galaxy_Note4.png

 

Yota Devices

Поддерживаемые модели:

YotaPhone 1

Версия ОС:
Android 4.2.2

YotaPhone-1.jpg

YotaPhone 2

Модель: YD201
Версия ОС: Android 4.4.3 и выше

YotaPhone_2.png

 

Getac

Поддерживаемые модели:

Getac Z710

Версия ОС: Android 4.1

getac