Организация защиты каналов связи ...¡ii...•Консоль...

Организация защиты каналов связи, централизованного сбора и анализа событий безопасности для объектов КИИ Таранов Александр ОАО ИнфоТеКС

©2019, ОАО «ИнфоТеКС».

ПФР

Росфинмониторинг ФСГС

ФССП

ФСО

ФСС ФОМС

Портал

Госуслуги Росфиннадзор

Минобразования

Росруд

Наши Заказчики


В ОАО Инфотекс и его дочерних компаниях работает более 700 сотрудников

Более 400 из них работают в Центре Разработки Программного обеспечения. 12

сотрудников - это кандидаты технических и физико-математических наук, а также доктора

наук, специализирующиеся на исследованиях в сфере информационных технологий и

криптографии.

Решения компании имеют сертификаты ФСБ России и ФСТЭК России, индустриальный

сертификат TUV в Германии и сертификат по требованиям безопасности Республики

Казахстан (локализованные изделия).

Инфотекс является секретариатом российского национального Технического Комитета 26,

который отвечает за стандартизацию криптографических алгоритмов и протоколов их

применения в РФ. Эксперты ТК26 представляют Россию в ISO (WG2 SC27).

ОАО ИнфоТеКС образовано в 1991. Сегодня компания является одним из

крупнейших разработчиков систем информационной безопасности в России

и преимущественно сконцентрирована на разработке VPN и PKI решений,

распространяемых на рынке под известной торговой маркой .

Более 25 лет опыта в разработке средств защиты информации!


Особенности технологии

1 Симметричная

криптография:

Честный P2P VPN 2

Не сессионный VPN:

Работа на плохих и

нестабильных каналах

Работа через NAT:

Соединение устройств

за различными NAT

Централизованное

обновление:

Ключи шифрования,

справочники, ПО

3 4


Шлюзы безопасности

FW/VPN

Coordinator for Win/Lin

ux

HW 4 поколе

ния IG/SIES

FW/ PKI

ViPNet TLS

(+PT WAF)

FW/ DPI

ViPNet xFirewal

l

IDS

ViPNet IDS NS

Threat Intellige

nce

ViPNet

TIAS

Хостовые решения

IDS

ViPNet IDS HS

FW/VPN

ViPNet Client

Что можем предложить?


Шлюзы безопасности ViPNet Coordinator

ViPNet Coordinator

Software

Windows

Coordinator

(Win)

Linux

Coordinator

(Lin)

Appliance

- HW 50

- HW 100

- HW 1000

- HW 2000

- HW 5000

Virtual

appliance

HW-VA


Firewall

Stateful Packet

Inspection

NAT, Antispoofing

Application Layer

Gateway

Proxy-server

VPN Gateway

ViPNet Gate

L2VPN (L2OverIP)

Traversal NAT

Network services

DNS,

NTP-server,

DHCP-server,

DHCP-Relay

VLAN, QoS

support

Transport server

Failover

Coordinator HW


ViPNet Coordinator HW 4

55

Мбит/сек

100

Мбит/сек

1 Гбит/сек

2,7

Гбит/сек

5,5

Гбит/сек HW100

HW1000

HW2000

HW50

HW5000


Что такое ViPNet Client • VPN-клиент для работы в защищенных сетях ViPNet

• Персональный сетевой экран

• Прозрачность для приложений пользователя и

сервисов операционных систем

• Независимость от физических каналов связи

• Поддержка ОС Windows, MacOS, iOS, Android, Tizen,

Linux

• Наличие сертификатов ФСБ России на СКЗИ по

классам от КС1 до КС3

ViPNet

Client for

Windows

ViPNet

Client for

Linux

ViPNet

Client for

iOS

ViPNet

Client for

Android

ViPNet

Client for

MacOS

ViPNet

Client for

Tizen


ViPNet Client for Android Версия 1.х

• ViPNet VPN;

• Firewall;

• Поддержка Android 4.x и 5.x;

• Поддержка 2G, 3G, 4G, Wi-Fi;

• Поддержка АРМ и х86;

• Официальная поддержка

большинства современных

устройств;

• Встроенный производителями

инсталлятор ivipnet в

YotaPhone2, Symbol TC75;

• Сертификат ФСБ по классу КС1.


ViPNet Client for Android Версия 2.х

• ViPNet VPN;

• Используется Google VPN API;

• Поддержка Android 4.x, 5.x, 6.х;


• Поддержка АРМ и х86;

• Не требует прав

суперпользователя;

• Сертификат ФСБ по классу КС1.


ViPNet Client for iOS версия 1.х

• ViPNet VPN;

• Firewall;

• Поддержка iOS 6.x, 7.x, 8.x;


• Требует Jailbreak;

• Сертификат ФСБ по классу КС1;

• Разработка завершена, продукт

на поддержке.


ViPNet Client for iOS версия 2.х

• ViPNet VPN;

• Поддержка iOS 9.x;

• Используется Apple

VPN API;

• Поддержка 2G, 3G,

4G, Wi-Fi;

• Не требует Jailbreak;

• Сертификат ФСБ по

классу КС1.


ViPNet Client for Tizen

• ViPNet VPN;

• Используется Tizen VPN API;

• Поддержка Tizen 2.x;


• Поддержка АРМ;

• Не требует прав

суперпользователя;

• Продукт на сертификации, ТЗ

согласовано.


ViPNet Connect.


ViPNet Connect

Передача файлов Конференция

Голос Чат

©2019, ОАО «ИнфоТеКС». 18 2019©, ОАО «ИнфоТеКС»

Что такое ViPNet xFirewall

Сетевая

платформа в

составе:

Межсетевой

экран

Сетевой экран

приложений -

DPI

Система

предотвращения

вторжений

Шлюзовой

антивирус

Интеграция с

Active Directory


550 Мбит/сек

2 Гбит/сек

12,7 Гбит/сек

xF100

xF5000

ViPNet xFirewall. Платформы

xF1000 C/D


Исполнение xF100 xF1000 C/D xF5000

Firewall, 1518 byte UDP (Mbps)

550 2 000 12700

Firewall

Throughput

(Packets Per Second)

71 000 960 000 1 000 000

Firewall, TCP

Multistream (Mbps)

550 2 000 9300

NGFW

Througput (Mbps)

140 1 500 2 500

Connections per Second

2 500 19 500 17 500

Concurrent Connections

149 900 990 000 9 900 000

Производительность


Сертификация

ФСТЭК на соответствие

требованиям к МЭ типа А 4 класса –

ожидаем 1 кв. 2019


В чем польза от ViPNet xFirewall

Комплексная защита

Снижение объема Интернет трафика за счет блокирования ресурсов

развлекательного характера

МЭ типа А 4 класса по новым требованиям

ФСТЭК

Сравним по возможностям с

западными аналогами


Система обнаружения атак

ViPNet IDS

Details

Intrusion detection system

Signature and

Heuristic

analysis

Events

notification

Collection

intrusion

information

SIEM

Integration

Appliance

IDS 100

IDS 1000

IDS 2000

Virtual

appliance

IDS VA


Программно-

аппаратный

комплекс

IDS 1000

IDS 2000 IDS 100

Форм-фактор 1U 1U MiniPC

Ethernet interfaces 4x10/100/1000

Мбит/c

4x10/100/1000

Мбит/c

4x10/100/1000

Мбит/c

Other interfaces - 2x10 Гбит/c (SFP+) _

Производительност

ь

До 1 Гбит/сек До 6 Гбит/сек До 100 Мбит/сек

Варианты исполнения ViPNet IDS


Обнаружение атак: сетевой уровень


• Агент - собирает необходимую информацию о

функционировании хостов и выполняет первичный анализ

данных

• Сервер — получает, хранит и анализирует информацию от

Агентов, хранит правила, команды и параметры, и передаёт их

на Агенты.

• Консоль управления — предоставляет графический

интерфейс для управления Агентами и мониторинга их

состояния

Обнаружение атак: уровень хоста


Обнаружение атак: Реальность

• Установка СОВ (СОА) для формального соответствия требованиям НПА

по ЗИ

• Отсутствие квалифицированных кадров для работы с инцидентами ИБ

• Малый накопленный опыт по расследованию инцидентов

• Отсутствие регламентов по реагированию на инциденты и их

расследованию

• Сокрытие информации об атаках перед операторами информационных

систем


ViPNet TIAS (Threats Intelligence analytical system – система анализа и выявления угроз)

• Обработка поступающих событий

• Выявление критичных событий

События информационной системы 10 000 000

События сенсоров ИБ

Важные ИБ-события

200 000

1 000

Критичные события ИБ 150

<<5 Инциденты ИБ

ViPNet TIAS

• Настройка ViPNet IDS

• Аналитическая работа

ЗАО «Перспективный мониторинг»

Месячная статистика для организации ~500 АРМ, 10 Серверов


TIAS и SIEM

функции выявления и предотвращения

компьютерных атак

функции мониторинга инцидентов

информационной безопасности

функции сбора и обработки событий информационной

безопасности

функции, визуализации и

отчетности

ViPNet IDS (сетевой уровень)

Threat Intelligence ViPNet TIAS

ViPNet IDS HS (прикладной

уровень)

SIEM

JSON

ГосСОПКА

(ГЦМ,РЦМ)

Ведомственные Корпоративные центры

Центр мониторинга (Администратор ИБ)

Заказчика

ЦМ ЗАО "Перспективный Мониторинг"

ЦМ ЗАО "Перспективный

Мониторинг"


ITDP - готовность подключения к системе ГосСОПКА

ITDP (Intrusion Threats Detection & Prevention)

Система централизованного управления – ПАК ViPNet IDS Management Center (MC).

Сетевые сенсоры – ПАК ViPNet IDS Network Sensor (NS).

Хостовые сенсоры – ПК ViPNet IDS Host-based Sensor (HS).

Система интеллектуального выявления угроз - ПАК ViPNet TIAS.


ViPNet HSM: функциональные возможности

Поддержка криптоалгоритмов: ГОСТ 28147-89, ГОСТ Р 34.10-2001/2012, ГОСТ Р 34.11-94/2012

Криптографический интерфейс PKCS#11 для использования в прикладных сервисах

Создание ЭП

Проверка

ЭП

Генерация

ключей

Шифрова-

ние,имито-

защита

Надежное

хранение

ключей


ViPNet HSM: повышенные меры безопасности

Имеет встроенный физический датчик случайных чисел (ФДСЧ), реализованный по требованиям для СКЗИ класса КВ

Имеет встроенный модуль обнаружения вскрытия и контроля основных параметров работы платформы, хранения и гарантированного уничтожения мастер-ключей

Разделение «секрета», сбор кворума для выполнения критических операций

Развитая ролевая модель


ViPNet HSM


API - PKCS#11

SDK для разработки сервисов и

взаимодействия с HSM

Подключение сервисов под защитой TLS на ГОСТ

Допускается встраивание прикладных сервисов

ViPNet HSM –

криптографическая

платформа для сервисов

ViPNet HSM: подключение прикладных сервисов


ViPNet HSM: сценарии применения

Криптомодули для удостоверяющих центров и

серверов систем юридически значимого

документооборота (в рамках 63-ФЗ)

Построение TLS-шлюзов

Системы сдачи отчетности и любые

другие системы электронных сервисов

Банковские системы электронных

платежей


ViPNet HSM PS: сервис для банковских электронных систем платежных карт

• Дополнительно реализованы

криптоалгоритмы DES, TripleDES, AES, RSA,

SHA-1, SHA-256

• Раздельное лицензирование

функциональности:

o Процессинг

o Режим Удостоверяющего центра

o Поддержка 3D-Secure

o Печать ПИН-конвертов

o Предперсонализация карт

o Персонализация карт

• В режиме проверки PIN PVV/CVV - 40 000

транзакций в секунду

• Дополнительная WEB-консоль для

управления платежными сервисами

• Получено заключение от компании

OpenWay, подтверждающее совместимость с

модулем авторизации WAY4


Решения ViPNet для индустриального сектора

Линейка

PKI

Линейка

Network Security

Индустриальная

безопасность

FW, Coordinator,

Client

SIES


Решения ViPNet для индустриального сектора

ERP, MES

Системы управления

предприятием

Системы планирования

производства

ViPNet Network Security

Верхний уровень АСУ ТП

SCADA

АРМ оператора

Центры управления и

мониторинга

ViPNet Network Security

ViPNet Mobile Security

ViPNet Coordinator IDS

ViPNet Coordinator IG

ViPNet SIES

Полевой уровень

PLC, PAC

Исполнительная среда

ViPNet Coordinator IG

ViPNet SIES


ViPNet PKI Client

Объединение востребованного функционала в одном продукте – ViPNet PKI Client.

Гибкая система лицензирования.

Сертификация по требованиям ФСБ России.

Работа с

файлами

Подпись

в браузере

Менеджер

сертифика-

тов TLS Client

Обновление

CRL и кросс


ViPNet TLS Gateway

ViPNet

TLS

Gateway

ViPNet TLS

Gateway

Использование

сертификатов ключей

проверки ЭП

Управление доступом к

защищаемым ресурсам

Аутентификация

пользователей

Адаптивность

продукта


ViPNet TLS Gateway:

функциональные возможности

Защищенный удаленный HTTPS-доступ

к ресурсам (обратный прокси-сервер)

Аутентификация по сертификатам

ключей проверки ЭП

Поддержка работы с пользователями,

обладающими сертификатами ключей

проверки ЭП, изданными различными

удостоверяющими центрами

Поддержка режимов односторонней и

двусторонней аутентификации


ViPNet TLS Gateway:

функциональные возможности

Поддержка политик разграничения

доступа

Автоматическое поддержание

актуальности списков аннулированных

сертификатов (CRL)

Поддержка кластера с балансировкой

нагрузки за счет внешнего

балансировщика

Клиентская компонента: ViPNet CSP,

ViPNet PKI Client

Внешний вид ViPNet TLS Gateway в виде ПАК

(TLS 500/1000)


ViPNet TLS Gateway:

модельный ряд Название исполнения* TLS 500 TLS 1000 TLS 5000

Пропускная способность в режиме HTTPS-прокси (Мбит/с)

до 250 до 750 до 1000

Количество одновременных соединений

до 4000 до 7000 до 25000

Максимальное число пользователей**

до 3000 до 5000 до 20000


ViPNet TLS Gateway

Зарегистрирован в Роспатенте

Зарегистрирован в Реестре российского ПО

Сертификат на соответствие классам защищенности:

КС1 для исполнения TLS VA;

KC3 для исполнений TLS 500/TLS 1000/TLS 5000.

Интеграция c PT AF.


Информация о партнере

ООО «КриптоСвязь»

www.infotrust.ru

+7(3412)918-100

[email protected]

http://www.infotrust.ru/

mailto:[email protected]

Спасибо за внимание! Таранов Александр ОАО ИнфоТеКС

Организация защиты каналов связи ...¡ii...•Консоль...

Documents