+7 (499) 940-90-61
Часто задаваемые вопросы (F.A.Q)

Как осуществляется гарантийное обслуживание аппаратных платформ?

Компания «С-Терра СиЭсПи» поставляет все аппаратные платформы с гарантией производителя – 3 года. Причем, при возникновении гарантийного случая, заказчик может обращаться как в отдел технической поддержки компании «С-Терра СиЭсПи», так и к производителю АП напрямую, контактная информация которых приведена на нашем сайте в разделе «Поддержка».

Реализована ли в продуктах С-Терра поддержка отказоустойчивости?

Да, отказоустойчивость поддерживается.

Отказоустойчивость – способность системы выполнять свое предназначение в случае отказа какого-либо из своих элементов. Эта характеристика очень важна, поэтому наша компания предлагает различные варианты реализации отказоустойчивости и резервирования оборудования, а также его компонентов.

  1. Кластеризация по протоколу VRRP (Virtual Router Redundancy Protocol).
    В типовом случае применения протокола VRRP два шлюза безопасности объединяются в один виртуальный. В каждый момент времени трафик обрабатывает только одно устройство. В случае его отказа в работу включается резервный шлюз. Переключение между ними происходит за несколько секунд и обычно незаметно для конечного пользователя. 
  2. RRI (Reverse Route Injection).
    На центральной площадке устанавливается несколько шлюзов безопасности, в удаленных точках указаны адреса всех этих шлюзов. Когда туннель построен, для того, чтобы убедиться в его работоспособности используется протокол DPD (Dead Peer Detection). Если этот протокол обнаруживает обрыв связи, то шлюз пытается переустановить IPSec туннель с указанными пирами по очереди. За резервируемыми шлюзами обычно устанавливается маршрутизатор, который по протоколу динамической маршрутизации получает от шлюзов информацию о том, какие удаленные подсети через какой шлюз доступны. Если один из шлюзов выходит из строя, то трафик перераспределяется между оставшимися шлюзами. 
  3. EtherChannel.
    Агрегация интерфейсов позволяет объединить несколько физических интерфейсов коммутатора в один логический. Каждый логический канал защищен шлюзом безопасности с программным модулем «С-Терра L2». Балансировка нагрузки и отработка отказа осуществляется с помощью протоколов LACP или PAgP. Данная конфигурация применима для построения высокопроизводительных решений. 
  4. GRE туннели на отдельном оборудовании.
    GRE (Generic Routing Encapsulation) – протокол инкапсуляции сетевых пакетов. Важной особенностью данного протокола туннелирования является то, что он позволяет инкапсулировать, как обычный трафик, так и мультикастовые пакеты, в связи с чем, он часто применяется для передачи пакетов динамической маршрутизации в удаленную подсеть через интернет. Отказоустойчивость реализуется за счет наличия нескольких GRE туннелей через различные шлюзы и/или разных провайдеров. В случае отказа одного из каналов, весь трафик перенаправляется через оставшиеся рабочие каналы. Обнаружение обрыва связи происходит при помощи протокола динамической маршрутизации. 
  5. GRE-туннели на оборудовании С-Терра.
    Логика работы аналогична предыдущему случаю и применима для резервирования провайдеров.

Кроме того, поддерживается резервирование интерфейсов оборудования по протоколу LACP. Возможна комплектация шлюзов безопасности дополнительными блоками питания и жесткими дисками (RAID).

Многообразие вариантов реализации и комплектации продуктов С-Терра позволяет повысить надежность любой ИС!

Существует ли в продуктовой линейке компании «С-Терра СиЭсПи» система централизованного управления VPN-продуктами?

Да, существует.

Система централизованного управления С-Терра КП появилась в версии 3.1 (2011 год). Сегодня она представляет собой мощнейший инструмент администрирования и используется у наших крупнейших заказчиков, системы которых насчитывают тысячи устройств С-Терра. В отличие от многих компаний, мы не навязываем заказчикам нашу систему управления, а позиционируем её как опциональный компонент.

Поддерживаются различные системы SNMP мониторинга, в том числе HP Arcsight.

Должен ли заказчик осуществлять процедуры по исследованию влияния окружающей программной среды на СКЗИ, чтобы использовать решения С-Терра?

Продукты С-Терра уже являются сертифицированным СКЗИ и не требуют от заказчика проведения дополнительных исследований при функционировании в системах, использующих стандартные* средства обработки данных, в том числе для обработки информации, подлежащей обязательной защите в соответствии с законодательством РФ.

Мы предлагаем своим заказчикам только готовые к использованию продукты и решения и не перекладываем на них никаких дополнительных проблем.

* Стандартными в данном контексте считаются программы, входящие в состав операционной системы, либо разработанные производителем операционной системы или средства криптографической защиты информации (СКЗИ).

Необходимо ли при использовании СКЗИ устанавливать на рабочих местах пользователей и серверах антивирусное ПО?

Необходимо ли при использовании СКЗИ устанавливать на рабочих местах пользователей и серверах антивирусное ПО?

Отчасти – да. Антивирусное ПО необходимо применять при использовании любого СКЗИ, что является общим требованием, записанным в эксплуатационную документацию

Но, в отличие от многих других СКЗИ, при использовании С-Терра VPN не обязательно устанавливать антивирусное ПО на каждое рабочее место, а достаточно организовать централизованную антивирусную защиту, как это описано в документации "ПАК «С-Терра VPN». Правила пользования" (как для СКЗИ с КриптоПро CSP, так и для СКЗИ с криптографией ST), п.4.6.:

«… Для антивирусной защиты пользователей защищаемой сети средства антивирусной защиты должны устанавливаться либо непосредственно на ПЭВМ пользователя сети, либо на сервер централизованной антивирусной защиты, либо на ПАК с установленным СКЗИ (при наличии совместимого средства антивирусной защиты).
При наличии канала обмена информацией между ПЭВМ пользователя СКЗИ и незащищёнными автоматизированными системами, средства антивирусной защиты должны устанавливаться непосредственно на ПЭВМ пользователя СКЗИ, или на выделенный носитель ПЭВМ пользователя СКЗИ или предустанавливаться на СЗН (например, для бездисковой рабочей станции). При отсутствии такого канала обмена информацией, достаточно использование средств антивирусной защиты, устанавливаемых на сервер централизованной антивирусной защиты. …»

Нужно ли дополнительно покупать УЦ КриптоПро, чтобы использовать его с продуктами С-Терра VPN?

Нужно ли дополнительно покупать УЦ КриптоПро, чтобы использовать его с продуктами С‑Терра VPN?

В документации на продукты С-Терра с криптографией ST нет обязательного требования по использованию УЦ (Удостоверяющего Центра) КриптоПро. Его использование носит рекомендательный характер.

Например, в документации "ПАК "С-Терра VPN" Правила пользования для группы исполнений СКЗИ со встроенной криптографической библиотекой" в п.4.7. указано:

«… Сертификаты ключей проверки ЭП и списки аннулированных сертификатов должны быть выпущены в формате, совместимом с сертифицированным УЦ «КриптоПро», и подписаны с использованием сертифицированного СКЗИ. …»

Продукты С-Терра позволяют заказчику выбрать подходящий способ получения сертификатов для аутентификации. В том числе существуют весьма бюджетные варианты:

  1. Воспользоваться существующим в организации УЦ с поддержкой ГОСТ.
  2. Развернуть собственный УЦ. Сделать это можно как с помощью «специализированных» продуктов (например, «КриптоПро УЦ» и «Notary-PRO») так и с помощью Microsoft CA c криптопровайдером КриптоПро. Вариант с Microsoft CA наиболее распространённый, он реализуется на любой серверной ОС Windows, инструкция по настройке содержится в документе "ПК С-Терра Шлюз. Версия 4.1. Руководство администратора. Приложение" на стр.61.
  3. Купить сертификаты (неквалифицированные) в УЦ, предоставляющем такую услугу, например, https://www.cryptopro.ru/service/ca.

Нужно ли дополнительно применять средства защиты, например, АПМДЗ Соболь или Аккорд, чтобы использовать С-Терра Шлюз?

Нужно ли дополнительно применять средства защиты, например, АПМДЗ Соболь или Аккорд, чтобы использовать продукты С-Терра?

Необходимость использования АПМДЗ (Аппаратно-Программный Модуль Доверенной Загрузки) для каждого исполнения описана в разделе «Комплектность» формуляров СКЗИ, доступных на портале документации.

Для достижения высоких классов сертификации КС2 и КС3 необходимо использовать средства локальной аутентификации и контроля целостности (защита от НСД). В частности, АПМДЗ являются удобным решением для выполнения этих требований и поэтому присутствуют в формулярах большинства производителей СКЗИ. Однако, для выполнения функций защиты от НСД могут применяться и другие средства, например, специальный загрузочный носитель – СЗН «ПОСТ-USB-01», либо комплекс специализированных программных и аппаратных средств, как, например, в криптомаршрутизаторах ESR-ST. Для использования исполнений класса КС1 использование подобных средств не требуется.

Многие продукты других производителей имеют жестко регламентированные разрешенные к использованию аппаратные платформы. В отличие от них, продукты С-Терра могут поставляться на любых аппаратных платформах общего назначения, в том числе на платформе, выбранной заказчиком.

Аналогичная ситуация и с АПМДЗ – существует перечень разрешенных для использования в наших продуктах АПМДЗ. Он включает в себя продукты разных производителей. Это дает возможность конечному пользователю (заказчику) выбрать, какой АПМДЗ ему будет удобней использовать.

Обязательно ли использовать с продуктами С-Терра стороннее сетевое (отечественное или импортное) оборудование?

Обязательно ли использовать с продуктами С-Терра стороннее сетевое (отечественное или импортное) оборудование?

Нет, не обязательно.

Компания «С-Терра СиЭсПи» использует для производства шлюзов безопасности аппаратные платформы отечественных и зарубежных производителей. При этом все устанавливаемое на них программное обеспечение сертифицировано ФСБ и ФСТЭК России.

Основная задача продуктов С-Терра – обеспечить криптографическую защиту трафика и межсетевое экранирование. Кроме того, реализованы и другие функциональные возможности для решения смежных задач – такие как динамическая маршрутизация, сетевая трансляция адресов и т.п.

Для решения своих основных задач продукты С-Терра могут и должны применяться в комплексе с другими средствами защиты и сетевым оборудованием. Оно может быть как отечественного, так и импортного производства – это зависит от Ваших предпочтений.

Какова методика измерения производительности Шлюзов С-Терра?

Какова методика измерения производительности Шлюзов С-Терра?

Производительность зависит от множества факторов и может существенно различаться в зависимости от типа защищаемого трафика. Поэтому для каждого из наших устройств мы проводим большое количество измерений.

В частности, измеряется производительность при использовании пакетов UDP различного размера (64 байта, 512 байт, 1400 байт, 9000 байт) и TCP-трафика, как в один, так и в несколько потоков. Кроме того, нами используется модель сетевого трафика IMIX, которая состоит из набора сетевых пакетов различных размеров в определенных пропорциях – для того, чтобы измерения были применимы для более точной оценки производительности на реальном трафике.

При измерении производительности, мы, помимо непосредственно скорости (Мбит/с), контролируем и другие параметры, такие как задержку, jitter, процент потерянных и переупорядоченных пакетов, и следим за тем, чтобы эти показатели соответствовали самым высоким критериям качества.

Более подробно о производительности шлюзов шифрования и факторах, влияющих на нее можно узнать из этой статьи.

Где я могу ознакомиться с правилами эксплуатации продуктов С-Терра?

Где я могу ознакомиться с правилами эксплуатации продуктов С-Терра?

Правила пользования для продуктов С-Терра всех версий входят в состав документации и находятся в свободном доступе на портале документации компании «С-Терра СиЭсПи».

Для VPN-продуктов С-Терра, использующих криптографию «КриптоПро CSP» (СР), в формуляре указано, что:

«… 1.2. Эксплуатация ПAК должна проводиться в соответствии с эксплуатационной документацией

1.4. … Эксплуатация СКЗИ «КриптоПро CSP», при использовании его в ПК, должна проводиться в соответствии с эксплуатационной документацией, предусмотренной Формуляром на СКЗИ «КриптоПро CSP»…»

Иными словами, при использовании VPN продуктов с криптографией СР, необходимо руководствоваться как документацией на продукты ООО «С-Терра СиЭсПи», так и документацией на продукты производства ООО «КРИПТО-ПРО».

Для VPN-продуктов с собственной встроенной криптографией ST достаточно руководствоваться только документацией C-Терра, которая доступна на портале документации.

Таким образом, в отличие от некоторых поставщиков СКЗИ (даже хорошо известных на рынке РФ), которые «стесняются» раскрывать правила пользования своими VPN-продуктами, компания «С-Терра СиЭсПи» открыто публикует их на своем сайте.