Засоби та комплекси

Захист інформації у IP-мережах

Загальні відомості

Повна назва комплексу: комплекс захисту інформації у ІР-мережах “ІІТ Захист IP-потоку”.

Призначення комплексу: забезпечення конфіденційності та цілісності конфіденційної інформації, яка передається у розподілених системах на основі ІР-мереж передачі даних.

Комплекс забезпечує:
  • конфіденційність та цілісність інформації (мережного ІР-потоку), яка передається мережами зв'язку між розподіленими локальними обчислювальними мережами (ЛОМ) або між клієнтами та ЛОМ;
  • організацію централізованого управління засобами захисту мережного ІР-потоку, організацію централізованої генерації та розподілу ключових даних для використання у цих засобах.

Зазначені функції комплекс виконує шляхом застосування механізмів криптографічного захисту інформації, яка передається у вигляді мережного ІР-потоку між розподіленими ЛОМ або між клієнтами та ЛОМ через зовнішні канали зв’язку.

Для організації ключової системи (управління ключовими даними) засобів комплексу використовується центр сертифікації ключів (програмно-технічний комплекс ЦСК).

Структура комплексу

Структурні схеми комплексу за розміщенням його складових частин на окремих технічних засобах наведені на рисунках.




До складу комплексу входять:
  • шифратори ІР-пакетів (далі - ІР-шифратори);
  • робоча станція (РС) адміністратора мережі ІР-шифраторів з програмним комплексом віддаленого управління шифраторами “ІІТ Захист IP-потоку-2. Віддалене управління ІР-шифраторами”;
  • програмний комплекс користувача (клієнта) IP-шифраторів “ІІТ Захист IP-потоку-2. Клієнт”.

ІР-шифратор призначений для шифрування та контролю цілісності потоку IP-пакетів, що передаються через нього між різними ЛОМ або між клієнтами та ЛОМ і виконує такі функції:
  • шифрування та контроль цілісності ІР-пакетів;
  • інкапсуляцію ІР-пакетів та їх маршрутизацію між мережними інтерфейсами;
  • приймання та передачу технологічної інформації (команд, поточного стану обробки потоку, резервних копій конфігурації і т.ін.) у/від робочої станції адміністратора;
  • прийом та введення в дію ключових даних;
  • встановлення захищених з'єднань з іншими ІР-шифраторами.

РС адміністратора мережі ІР-шифраторів призначена для централізованого управління мережею ІР-шифраторів і виконує такі функції:
  • налагодження конфігурації кожного ІР-шифратора;
  • передачу та приймання управляючої (технологічної) інформації (стан обробки потоку, резервні копії конфігурації і т. ін.) у/від ІР-шифраторів;
  • генерації та завантаження ключових даних у ІР-шифратори.

Клієнт IP-шифраторів призначений для шифрування та контролю цілісності потоку IP-пакетів, що передаються між ним та IP-шифратором(ами) і виконує такі функції:
  • встановлення захищених з'єднань з ІР-шифраторами;
  • шифрування та контроль цілісності ІР-пакетів.

Опис комплексу та його складових частин

ІР-шифратори виконують шифрування та контроль цілісності потоків мережних IP-пакетів, що передаються через них між розподіленими ЛОМ або між клієнтами та ЛОМ.

Для забезпечення транзитної передачі даних ІР-шифратори мають два мережних інтерфейси типу Ethernet – внутрішні та зовнішні. До внутрішніх інтерфейсів підключається комунікаційне обладнання ЛОМ, а зовнішні підключаються до зовнішньої мережі передачі даних.

ІР-пакети, отримані через внутрішні мережні інтерфейси із ЛОМ зашифровуються та захищаються контрольною сумою і маршрутизуються на зовнішній інтерфейс для передачі через зовнішній мережі.

ІР-пакети, отримані через зовнішні інтерфейси із зовнішньої мережі розшифровуються та перевіряються на цілісність і маршрутизуються на внутрішній інтерфейс для передачі у ЛОМ.

ІР-шифратори підтримують захист ІР-потоку для повнозв’язної топології ЛОМ (“кожний з кожним”).

Віддалене управління ІР-шифраторами з РС адміністратора здійснюється через мережі передачі даних з підключенням до одного з інтерфейсів.

ІР-шифратори, що входять до складу комплексу, функціонують у автоматизованому режимі з віддаленим управлінням з РС адміністратора.

Характеристики комплексу

Комплекс забезпечує характеристики, що наведені у таблиці.

Характеристика Значення
Кількість захищених з'єднань ІР-шифраторів не менше 1024 з'єднань (зв'язок ІР-шифратора з 1024 іншими)
Кількість захищених з'єднань з клієнтами не менше 4096 з'єднань (зв'язок ІР-шифратора з 4096 клієнтами)
Швидкість обробки ІР-потоку (захисту) не менше 25 Мбіт/с (до 450 Мбіт/с)
Кількість ІР-шифраторів, якими управляє один адміністратор мережі не менше 1024

Типи та характеристики ІР-шифраторів наведені у таблиці.

Тип Зовнішній вигляд Інтерфейси Швидкість шифрування, Мбіт/с
“Канал-201” (мікро-пристрій) (“ІІТ ІР-шифратор Канал-201 (мікро-пристрій)”) ІР-шифратор Канал-201 (мікро-пристрій) USB (RNDIS), Ethernet 10/100 25
"Канал-201" ("ІІТ ІР-шифратор Канал-201") ІР-шифратор Канал-201 2 x Ethernet 100/1000 до 125
"Канал-301" ("ІІТ ІР-шифратор Канал-301") ІР-шифратор Канал-301 2 x Ethernet 100/1000, опціонально - 2 x Ethernet 100/1000BASE-SX (оптичні, LC) до 450
У засобах комплексу використовуються такі криптографічні алгоритми та протоколи:
  • шифрування за ДСТУ ГОСТ 28147:2009 (режим простої заміни, режим гамування та режим вироблення імітовставки);
  • ЕЦП за ДСТУ 4145-2002;
  • гешування за ГОСТ 34.311-95;
  • протокол розподілу ключових даних Діффі-Гелмана в групі точок еліптичної кривої (направлене шифрування).
Протокол розподілу ключових даних (направлене шифрування) реалізований згідно ДСТУ ISO/IEC 15946-3 (пп. 8.2) та вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв’язку України № 739 від 18.12.2012 р. Генерація ключових даних здійснюється згідно методики генерації ключових даних, яка погоджена з Адміністрацією Держспецзв’язку України.

Протокол встановлення захищеного сеансу передачі даних між ІР-шифраторами або між клієнтом та IP-шифратором реалізовано на основі протоколу взаємної автентифікації з двома проходами згідно стандарту ДСТУ ISO/IEC 9798-3. Протокол взаємної автентифікації включає:
  • формування ініціатором (ІР-шифратором чи клієнтом) та передачу даних автентифікації (запиту) на ІР-шифратор;
  • обробку запиту IP-шифратором;
  • прийом та обробку відповіді ініціатором від IP-шифратора.

За результатом роботи протоколу на IP-шифраторах чи IP-шифраторі та клієнті встановлюються два сеансових ключа та два вектори початкової ініціалізації для поточного шифрування ІР-пакетів у дуплексному режимі.

Шифрування ІР-пакетів здійснюється за алгоритмом шифрування згідно ДСТУ ГОСТ 28147:2009 у режимі гамування.

Організацію ключової системи засобів комплексу виконує центр сертифікації ключів (ЦСК).

У комплексі використовуються дві підгрупи ключових даних:
  • ключові дані ЦСК;
  • ключові дані ІР-шифраторів, адміністратора та клієнтів.
До складу ключових даних ЦСК відносяться сертифікати ЦСК та серверів ЦСК (TSP-сервера та OCSP-сервера), які використовуються для перевірки ЕЦП сертифікатів, списків відкликаних сертифікатів, позначок часу тощо.

До ключових даних ІР-шифраторів, адміністратора та клієнтів відносяться особисті ключі та сертифікати відповідно ІР-шифраторів, адміністратора та клієнтів.

Ключові дані ІР-шифраторів, адміністратора та клієнтів призначені для захисту управляючої та службової інформації при передачі між РС адміністратора та ІР-шифраторами, а також для встановлення захищених з’єднань між ІР-шифраторами або між клієнтами та IP-шифраторами та безпосередньо захисту ІР-потоку.

В якості носіїв ключової інформації для особистих ключів ІР-шифраторів використовуються електронні ключі “Кристал-1” (“ІІТ Е.ключ Кристал-1”). IP-шифратори також підтримують генерацію ключів безпосередньо у пристрої. Під час генерації ключів у ІР-шифраторі формується запит на сертифікат, який передається у ЦСК з метою формування сертифікату. Після формування сертифікат (разом із ланцюжком сертифікатів) завантажується у IP-шифратор.

IP-шифратори також підтримують генерацію ключів безпосередньо у пристрої. Під час генерації ключів у ІР-шифраторі формується запит на сертифікат, який передається у ЦСК з метою формування сертифікату. Після формування сертифікат завантажується у IP-шифратор.

В якості носіїв ключової інформації для особистих ключів та криптомодулів можуть використовуватися:
  • електронні диски (flash-диски);
  • компакт-диски (CD-R, CD-RW, DVD-R або DVD-RW);
  • електронні ключі “Кристал-1”, “Алмаз-1К” (“ІІТ Е.ключ Алмаз-1К”), Технотрейд uaToken, Aladdin eToken/JaCarta, Актив ruToken, Автор SecureToken та СІС Almaz;
  • смарт-карти “Карта-1” (“ІІТ Смарт-карта Карта-1”), Aladdin та Автор;
  • криптомодуль “Гряда-61” (“ІІТ КМ Гряда-61”) та мережний криптомодуль “Гряда-301” (“ІІТ МКМ Гряда-301”);
  • та інші модулі з бібліотеками підтримки.

Формати ключових даних та іншої спеціальної інформації відповідають вимогам міжнародних стандартів, рекомендацій та діючих нормативних документів:
  • формати сертифікатів та списків відкликаних сертифікатів – згідно вимог до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису, затверджених наказом Міністерства юстиції України та Адміністрації Держспецзв’язку України № 1236/5/453 (вимог до надійних засобів ЕЦП) від 20.08.2012 р. та ISO/IEC 9594-8;
  • формати підписаних даних (даних з ЕЦП) – згідно вимог до надійних засобів ЕЦП та технічних рекомендацій RFC 5652 (PKCS#7);
  • формати захищених даних (зашифрованих даних) – згідно вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв’язку України № 739 від 18.12.2012 р. та технічних рекомендацій RFC 5652 (PKCS#7);
  • формати запитів на отримання інформації про статус сертифіката та формати відповідей з інформацією про статус сертифіката (протокол OCSP) – згідно вимог до надійних засобів ЕЦП та технічних рекомендацій RFC 2560;
  • формати запитів на формування позначок часу та самих позначок часу (протокол TSP) – згідно вимог до надійних засобів ЕЦП та технічних рекомендацій RFC 3161;
  • формати особистих ключів – згідно технічних рекомендацій PKCS#8.

Центр сертифікації ключів (ЦСК) призначений для обслуговування сертифікатів відкритих ключів ІР-шифраторів, адміністратора та клієнтів, надання послуг фіксування часу, а також надання (за необхідності) засобів генерації особистих та відкритих ключів.

Програмно-технічний комплекс (ПТК) ЦСК забезпечує:
  • обслуговування сертифікатів ІР-шифраторів, адміністратора та клієнтів, що включає:
    • реєстрацію ІР-шифраторів, адміністратора та клієнтів;
    • сертифікацію відкритих ключів ІР-шифраторів, адміністратора та клієнтів;
    • розповсюдження сертифікатів;
    • управління статусом сертифікатів та розповсюдження інформації про статус сертифікатів;
  • надання послуг фіксування часу;
  • надання (за необхідності) засобів генерації особистих та відкритих ключів.