Засоби та комплекси

Захист мережних з’єднань (TCP/IP)

Загальні відомості

Повна назва комплексу: комплекс захисту мережних з’єднань (TCP/IP) “ІІТ Захист з’єднань-2”.

Призначення комплексу: забезпечення конфіденційності та цілісності інформації, яка передається між клієнтськими та серверними частинами прикладних програмних систем (TCP-з’єднань).

Комплекс забезпечує:
  • автентифікацію клієнтської частини прикладних програмних систем при підключенні до серверної частини;
  • встановлення захищеного TCP-з'єднання між клієнтом та сервером;
  • шифрування даних TCP-з'єднання, які передаються між клієнтом та сервером.

Зазначені функції комплекс виконує шляхом застосування механізмів криптографічного захисту інформації, яка передається між клієнтом та сервером.

Комплекс підтримує взаємодію клієнтських та серверних частин (програмного забезпечення) прикладних програмних систем за протоколом TCP/IP.

Для організації ключової системи (управління ключовими даними) засобів комплексу використовується центр сертифікації ключів (програмно-технічний комплекс ЦСК).

Структура та склад комплексу

Структурна схема комплексу за розміщенням його складових частин на окремих технічних засобах наведена на рисунку.



До складу комплексу входять:
  • шлюз захисту (програмний комплекс “ІІТ Захист з’єднань-2. Шлюз захисту” або апаратний засіб - шлюз захисту “ІІТ ШЗ Бар’єр-301/301 (міні-пристрій)”);
  • програмний комплекс управління (віддаленого) шлюзами захисту “ІІТ Захист з’єднань-2. Віддалене управління шлюзами захисту”;
  • програмний комплекс агента моніторингу шлюзів захисту “ІІТ Захист з’єднань-2. Агент моніторингу шлюзів захисту”;
  • програмний комплекс моніторингу шлюзів захисту “ІІТ Захист з’єднань-2. Монітор шлюзів захисту”;
  • програмний комплекс клієнта захисту “ІІТ Захист з’єднань-2. Клієнт”;
  • proxy-клієнт захисту (програмний комплекс “ІІТ Захист з’єднань-2. Proxy захисту”, далі – proxy захисту);
  • програмний комплекс агента моніторингу proxy захисту “ІІТ Захист з’єднань-2. Агент моніторингу proxy захисту”;
  • програмний комплекс моніторингу proxy захисту “ІІТ Захист з’єднань-2. Монітор proxy захисту”;
  • програмний комплекс VPN-шлюзу “ІІТ Захист з’єднань-2. VPN-шлюз”;
  • програмний комплекс VPN-клієнта “ІІТ Захист з’єднань-2. VPN-клієнт”.

До складу апаратних засобів комплексу також можуть входити:
  • електронний ключ “Кристал-1” (“ІІТ Е.ключ Кристал-1”);
  • мережний криптомодуль “Гряда-301” (“ІІТ МКМ Гряда-301”).

Опис складових частин комплексу

Шлюз захисту призначений для реалізації механізмів захисту сервера та виконує наступні функції:
  • автентифікацію клієнтів захисту при підключенні до сервера;
  • встановлення захищеного TCP-з'єднання з клієнтом в разі успішної автентифікації;
  • встановлення відкритого TCP-з'єднання з сервером;
  • прийом та розшифрування даних TCP-з’єднання від клієнта та передачі їх на сервер;
  • прийом та зашифрування даних TCP-з'єднання від сервера та передачі їх клієнту;
  • приймання та передачу управляючої (технологічної) інформації (моніторинг захисту тощо);
  • прийом та введення в дію ключових даних.

Програмний комплекс шлюзу захисту являє собою серверну частину комплексу захисту з'єднань та встановлюється на окремий мережевий вузол - шлюз захисту або безпосередньо на сервер, який захищаеться.

Шлюз захисту у вигляді апаратного засобу являє собою окремий пристрій та виконаний у вигляді системної платформи у металевому корпусі висотою 1U та реалізує всі функції шлюзу захисту як окремого мережного вузла. Типи та характеристики шлюзів захисту у вигляді апаратних засобів наведені у таблиці.

Тип Зовнішній вигляд Інтерфейси Швидкість
шифрування,
Мбіт/с
Кількість
автентифікацій
клієнтів,
автентифікацій/c
“Бар’єр-301”
(міні-пристрій)
(“ІІТ ШЗ “Бар’єр-301 (міні-пристрій)”)
2 x Ethernet 100/1000 125 50
“Бар’єр-301”
(“ІІТ ШЗ “Бар’єр-301”)
2 x Ethernet 100/1000
Опціонально –
2 x Ethernet 100/1000BASE-SX (оптичні, LC)
250 100
Встановлення параметрів та моніторинг стану роботи шлюзу захисту у вигляді апаратного засобу здійснюється віддалено через програмний комплекс управління шлюзами. Шлюз захисту у вигляді апаратного засобу підтримує також передачу події реєстрації за протоколом syslog та видачу інформації про стан функціонування та статистику роботи за протоколом SNMP.

РС адміністратора з віддаленим управлінням призначена для управління шлюзами та постійного моніторингу роботи шлюзу і виконує наступні функції:
  • налагодження конфігурації шлюзу захисту;
  • передачу та приймання управляючої (технологічної) інформації (стан обробки з’єднань, список активних захищених з’єднань, резервні копії конфігурації і т. ін.) у/від шлюзу захисту;
  • генерації та завантаження ключових даних у шлюз.

Агент моніторингу призначений для отримання результатів роботи шлюзу(ів) захисту і виконує наступні функції:
  • отримання статистики роботи шлюзу захисту;
  • надання можливості підключення моніторами шлюзу захисту для отримання даних моніторингу.

Монітор шлюзів захисту призначений для відображення результатів моніторингу роботи шлюзу(ів) захисту і виконує наступні функції:
  • отримання та відображення статистики роботи шлюзу(ів) захисту;
  • перегляд журналів реєстрації шлюзу захисту;
  • сповіщення адміністратора при виявленні збоїв або відмов у роботі шлюзу.

Клієнт захисту з’єднань призначений для реалізації механізмів захисту клієнтських підключень та виконує наступні функції:
  • ініціювання процесу автентифікації клієнта на шлюзі захисту при підключенні до сервера;
  • встановлення захищеного TCP-з'єднання зі шлюзом захисту;
  • зашифрування даних TCP-з'єднання при передачі на сервер;
  • розшифрування даних TCP-з'єднання при прийомі з сервера.

Proxy захисту являє собою варіант клієнтської частини комплексу та встановлюється біля РС (ПК) клієнтів. При цьому, клієнтські засоби захисту не встановлюються на РС (ПК) клієнтів. Але клієнтське програмне забезпечення повинне здійснювати підключення не до сервера, а до proxy, який буде перенаправляти їх у захищеному вигляді до сервера через шлюз захисту.

Монітор proxy захисту призначений для відображення результатів моніторингу роботи proxy захисту.

Шлюз та клієнт захисту підтримують взаємодію клієнтських та серверних частин (клієнта та сервера) прикладних систем за протоколом TCP/IP.

Під час встановлення клієнтською частиною прикладної системи TCP-з’єдннаня з сервером, клієнт захисту автентифікується на відповідному шлюзі захисту.

Шлюз захисту при підключенні клієнта захисту проводить процедуру його автентифікації та в разі успішної автентифікації встановлює захищене TCP-з’єднання з клієнтом та відкрите TCP-з’єднання з сервером.

Після проведення автентифікації (встановлення захищеного TCP-з’єднання – сеансу передачі даних) клієнт та шлюз захисту здійснюють шифрування даних (TCP-з’єднання), які передаються між клієнтом та сервером.

Клієнт захисту здійснює зашифрування даних, які відправляються від клієнта до сервера та перенаправляє їх до шлюзу, і навпаки – розшифровує дані, які приходять від сервера через шлюз.

Шлюз захисту здійснює розшифрування даних, які надходять від клієнта захисту та перенаправляє їх до сервера, і навпаки – зашифровує дані, які приходять від сервера та перенаправляє їх клієнту захисту.

VPN-шлюз призначений для реалізації механізмів створення віртуальної VPN-мережі та виконує наступні функції:
  • створення віртуального мережного інтерфейсу;
  • отримання через шлюз захисту даних (MAC-кадрів) від VPN-клієнтів та передачі їх у віртуальний мережний інтерфейс або комутації MAC-кадрів між VPN-клієнтами;
  • отримання даних з віртуального мережного інтерфейсу та передачі їх відповідному VPN-клієнту через шлюз захисту.

VPN-клієнт призначений для реалізації механізмів створення клієнтського підключення віртуальної VPN-мережі та виконує наступні функції:
  • створення віртуального мережного інтерфейсу;
  • отримання даних (MAC-кадрів) з віртуального мережного інтерфейсу та передачі їх на VPN-шлюз через клієнта захисту;
  • отримання через клієнт захисту даних з VPN-шлюзу та передачі їх у віртуальний мережний інтерфейс.

VPN-шлюз може бути інтегрований безпосередньо у шлюз захисту (програмний комплекс чи апаратний засіб). У випадку інтеграції VPN-шлюзу безпосередньо у шлюз захисту управління та моніторинг стану роботи VPN-шлюзу здійснюється шлюзом захисту.

VPN-шлюз також підтримує можливість використання зовнішнього DHCP-сервера для динамічного надання VPN-клієнтам IP-адрес. У випадку інтеграції VPN-шлюзу безпосередньо у апаратний шлюз захисту, може використовуватися вбудований DHCP-сервер шлюзу захисту.

Взаємодія VPN-клієнта з VPN-шлюзом здійснюється за протоколом TCP/IP. Для захисту мереженого з'єднання між VPN-клієнтом та VPN-шлюзом використовується клієнт захисту та шлюз захисту.

VPN-клієнт може також бути інтегрований безпосередньо у клієнта захисту.

Електронний ключ призначений для апаратної реалізації криптографічних перетворень усередині пристрою у складі засобів клієнта захисту.

Мережний криптомодуль призначений для апаратної реалізації криптографічних перетворень усередині модуля у складі програмного шлюзу захисту.

Електронний ключ “Кристал-1” (“ІІТ Е.ключ Кристал-1”) призначений для:
  • автентифікації користувач (клієнта) перед початком роботи;
  • зберігання та захисту особистого ключа користувач (клієнта);
  • апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні клієнта.

Електронний ключ має електричний USB-інтерфейс для підключення.

Апаратна реалізація електронного ключа забезпечує захищеність виконання усіх криптографічних перетворень усередині пристрою та унеможливлює доступ до особистих ключів користувача з боку РС чи ПК клієнта.

Мережний криптомодуль “Гряда-301” (“ІІТ МКМ Гряда-301”) призначений для:
  • автентифікації шлюзу захисту перед початком роботи;
  • зберігання та захисту особистого ключа шлюзу захисту;
  • апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні шлюзу.

Мережний криптомодуль має мережний електричний інтерфейс Ethernet 100/1000 для підключення до шлюзу захисту безпосередньо або через комутатори локальної обчислювальної мережі.

Характеристики комплексу

У засобах комплексу використовуються такі криптографічні алгоритми та протоколи:
  • шифрування за ДСТУ ГОСТ 28147:2009 (режим простої заміни, режим гамування та режим вироблення імітовставки);
  • ЕЦП за ДСТУ 4145-2002;
  • гешування за ГОСТ 34.311-95;
  • протокол розподілу ключових даних Діффі-Гелмана в групі точок еліптичної кривої (направлене шифрування).

Протокол розподілу ключових даних (направлене шифрування) реалізований згідно ДСТУ ISO/IEC 15946-3 (пп. 8.2) та вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв’язку України № 739 від 18.12.2012 р. Генерація ключових даних здійснюється згідно методики генерації ключових даних, яка погоджена з Адміністрацією Держспецзв’язку України.

Протокол встановлення захищеного сеансу передачі даних між клієнтом та шлюзом захисту реалізовано на основі протоколу взаємної автентифікації з двома проходами згідно стандарту ДСТУ ISO/IEC 9798-3. Протокол взаємної автентифікації включає:
  • формування клієнтом та передачу даних автентифікації (запиту) на шлюз захисту;
  • обробку запиту від клієнта шлюзом захисту;
  • прийом та обробку відповіді клієнтом від шлюзу захисту.

За результатом роботи протоколу на шлюзі захисту та клієнті встановлюються два сеансових ключа та два вектори початкової ініціалізації для поточного шифрування даних у захищеному з’єднанні у дуплексному режимі.

Шифрування даних у захищеному з’єднанні здійснюється за алгоритмом шифрування згідно ДСТУ ГОСТ 28147:2009 у режимі гамування.

Шифрування даних у захищеному з’єднанні здійснюється на основі сеансових ключів та векторів початкової ініціалізації (синхромаркерів), які розподіляються між клієнтом та шлюзом захисту у результаті виконання протоколу взаємної автентифікації.

Організацію ключової системи засобів комплексу виконує центр сертифікації ключів (ЦСК).

У комплексі використовуються дві підгрупи ключових даних:
  • ключові дані ЦСК;
  • ключові дані клієнтів, шлюзів захисту та адміністратора.

До складу ключових даних ЦСК відносяться сертифікати ЦСК та серверів ЦСК (TSP-сервера та OCSP-сервера), які використовуються для перевірки ЕЦП сертифікатів, списків відкликаних сертифікатів, позначок часу тощо.

До ключових даних клієнтів, шлюзів захисту та адміністратора відносяться особисті ключі та сертифікати відповідно клієнтів, шлюзів захисту та адміністратора.

Ключові дані клієнтів, шлюзів захисту та адміністратора призначені для захисту управляючої та службової інформації при передачі між РС адміністратора та шлюзами захисту, а також для встановлення захищених з’єднань між клієнтами та шлюзами захисту та безпосередньо захисту мережного з’єднання.

В якості носіїв ключової інформації для особистих ключів апаратних шлюзів захисту використовуються електронні ключі “Кристал-1”. Шлюзи захисту також підтримують генерацію ключів безпосередньо у пристрої. Під час генерації ключів у шлюзі захисту формується запит на сертифікат, який передається у ЦСК з метою формування сертифікату. Після формування сертифікат (разом із ланцюжком сертифікатів) завантажується у шлюз захисту.

В якості носіїв ключової інформації для особистих ключів та криптомодулів можуть використовуватися:
  • електронні диски (flash-диски);
  • компакт-диски (CD-R, CD-RW, DVD-R або DVD-RW);
  • електронні ключі “Кристал-1”, “Алмаз-1К” (“ІІТ Е.ключ Алмаз-1К”), Технотрейд uaToken, Aladdin eToken/JaCarta, Актив ruToken, Автор SecureToken та СІС Almaz;
  • смарт-карти “Карта-1” (“ІІТ Смарт-карта Карта-1”), Aladdin та Автор;
  • криптомодуль “Гряда-61” (“ІІТ КМ Гряда-61”) та мережний криптомодуль “Гряда-301”;
  • інші носії та криптомодулі з бібліотеками підтримки.

Формати ключових даних та іншої спеціальної інформації відповідають вимогам міжнародних стандартів, рекомендацій та діючих нормативних документів:
  • формати сертифікатів та списків відкликаних сертифікатів – згідно вимог до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису, затверджених наказом Міністерства юстиції України та Адміністрації Держспецзв’язку України № 1236/5/453 (вимог до надійних засобів ЕЦП) від 20.08.2012 р. та ISO/IEC 9594-8;
  • формати підписаних даних (даних з ЕЦП) – згідно вимог до надійних засобів ЕЦП та технічних рекомендацій RFC 5652 (PKCS#7);
  • формати захищених даних (зашифрованих даних) – згідно вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв’язку України № 739 від 18.12.2012 р. та технічних рекомендацій RFC 5652 (PKCS#7);
  • формати запитів на отримання інформації про статус сертифіката та формати відповідей з інформацією про статус сертифіката (протокол OCSP) – згідно вимог до надійних засобів ЕЦП та технічних рекомендацій RFC 2560;
  • формати запитів на формування позначок часу та самих позначок часу (протокол TSP) – згідно вимог до надійних засобів ЕЦП та технічних рекомендацій RFC 3161;
  • формати особистих ключів – згідно технічних рекомендацій PKCS#8.

Центр сертифікації ключів (ЦСК) призначений для обслуговування сертифікатів відкритих ключів клієнтів та шлюзів захисту, надання послуг фіксування часу, а також надання (за необхідності) засобів генерації особистих та відкритих ключів.

Програмно-технічний комплекс (ПТК) ЦСК забезпечує:
  • обслуговування сертифікатів клієнтів, шлюзів захисту та адміністратора, що включає:
    • реєстрацію клієнтів, шлюзів захисту та адміністратора;
    • сертифікацію відкритих ключів клієнтів, шлюзів захисту та адміністратора;
    • розповсюдження сертифікатів;
    • управління статусом сертифікатів та розповсюдження інформації про статус сертифікатів;
  • надання послуг фіксування часу;
  • надання (за необхідності) засобів генерації особистих та відкритих ключів.

В якості ПТК ЦСК має використовуватися комплекс “ІІТ ЦСК-1”.