Континент правила фильтрации

| | 0 Comment

Код: C3-Full

Администрирование АПКШ «Континент» Версия 3.7. Полный курс

Курс «Администрирование АПКШ «Континент» Версия 3.7» разработан для изучения работы сертифицированного изделия «Аппаратно-программный комплекс шифрования «Континент». Версия 3.7» (далее – комплекс, АПКШ «Континент»). В результате обучения слушатели получат теоретические знания и практические навыки, необходимые для инсталляции и управления компонентами комплекса, настройки защиты данных, передаваемых по сетям общего пользования, межсетевого экранирования и маршрутизации трафика. Также слушатели научатся обеспечивать отказоустойчивость работы каналов связи, выполнять расширенную диагностику работы комплекса.

Во время прохождения обучения слушатели будут создавать виртуальные частные сети на основе общих сетей передачи данных, правильно настраивать межсетевое экранирование и маршрутизацию трафика, скрывать внутреннюю структуру ЛВС с применением технологии NAT, осуществлять мониторинг и аудит системы. Также слушатели ознакомятся с возможными нештатными ситуациями в системе защиты, научатся диагностировать их средствами АПКШ «Континент» и выполнять необходимые меры по их устранению.

В учебном курсе используется аппаратный стенд, который, в отличие от виртуального, позволяет реализовать все функции локального управления сетевыми устройствами. Также на аппаратном стенде доступна возможность администрирования ПАК «Соболь» (на виртуальном стенде ПАК «Соболь» отсутствует).

По окончании обучения слушатели получают Удостоверение установленного образца Академии Информационных Систем и Сертификат компании разработчика «Код Безопасности».

Целевая аудитория:

Курс предназначен для специалистов в сфере информационной безопасности, системных администраторов, руководителей ИТ-служб, архитекторов систем информационной безопасности, которые отвечают за защиту каналов связи при передаче информации ограниченного доступа между сегментами сложных распределенных сетей по публичным или выделенным каналам связи.

Программа мероприятия:

День 1

Глава 1. Обзор технологий и развертывание системы защиты

  • Назначение комплекса
  • Аппаратные модули, архитектура системы, производительность для типовых платформ
  • Программные модули
  • ПАК «Соболь»
    • Работа с идентификатором администратора ПАК «Соболь».
    • Функция сторожевого таймера ПАК «Соболь».
      • Контроль целостности файлов программного обеспечения АПКШ «Континент» средствами ПАК «Соболь».
      • Лабораторный модуль «Инсталляция компонентов системы»
      • День 2

        Глава 2. Управление компонентами комплекса

      • Управление учетными записями администраторов
      • Лабораторный модуль «Организация работы администраторов комплекса»
      • Глава 3. Управление политиками безопасности

      • Формирование правил фильтрации трафика
      • Трансляция сетевых адресов (правила NAT)
      • Пользовательские и автоматические правила
      • Лабораторный модуль «Работа c правилами фильтрации и трансляции»
      • Глава 4. Организация и управление VPN соединениями

      • Организация L3 VPN шлюза
      • Организация L2 VPN шлюза
      • VPN удаленного доступа
      • Лабораторный модуль «Построение VPN»
      • День 3

        Глава 5. Обеспечение отказоустойчивости комплекса

      • Аппаратное резервирование и восстановление КШ
      • Лабораторный модуль «Архивирование и восстановление
      • Глава 6. Мониторинг и диагностика системы защиты

      • Лабораторная работа «Мониторинг состояния компонентов системы и передаваемого трафика, настройка реакции на события»
      • Глава 7. Обновление версии ПО

      • Обновление текущей версии ПО
      • Требования к эксплуатации комплекса
      • Сервис поддержки продуктов
      • Лабораторный модуль «Обновление ПО»
      • Промежуточное тестирование

        День 4

        Глава 8. Резервирование и отказоустойчивость каналов связи

      • Отказоустойчивость каналов связи (Multi-WAN)
      • Лабораторный модуль «Настройка Multi-WAN»
      • Глава 9. Работа КШ с внешними сетевыми устройствами, поддерживающими трансляцию адресов

      • Работа КШ с внешними сетевыми устройствами, поддерживающими трансляцию адресов
      • Глава 10. Поиск и устранение неисправностей

      • Лабораторный модуль «Отсутствует подключение КШ к ЦУС»
      • День 5

      • Лабораторный модуль «Отсутствует шифрование между двумя КШ»
      • Лабораторный модуль «Невыполнение действий, настроенных в правилах фильтрации»
      • Лабораторный модуль «Недоступность ресурса при настроенном правиле входящего NAT»
      • infosystems.ru

        АПКШ «Континент» версии 3.7.6 соответствует новым требованиям ФСТЭК России к межсетевым экранам

        Компания «Код безопасности» объявляет о завершении процедуры сертификации АПКШ «Континент» 3.7.6 на соответствие новым требованиям ФСТЭК России к межсетевым экранам. Сертификат ФСТЭК России №3008 подтверждает, что аппаратно-программный комплекс шифрования «Континент» версии 3.7.6 соответствует требованиям, принятым ФСТЭК России в 2016 году.

        Продукт сертифицирован по 3-му классу защиты для программно-аппаратных межсетевых экранов уровня сети (тип «А») и 3-му классу защиты систем обнаружения вторжений уровня сети.

        Сертификат дает возможность использовать АПКШ «Континент» версии 3.7.6 при создании ИСПДн до УЗ1 включительно, ГИС до класса К1 включительно, АСУ ТП до класса К1 включительно, АС до класса защищенности 1В (гостайна с грифом «секретно»), а также информационных систем общего пользования (ИС ОП) 2 класса.

        В процессе подготовки продукта к выполнению новых требований было реализовано несколько значимых доработок. Так, для повышения эффективности работы межсетевого экрана был обеспечен процесс инспекции протокола SSL. В результате межсетевой экран может «на лету» расшифровывать и проверять содержимое зашифрованных пользовательских сессий.

        В АПКШ «Континент» 3.7.6 реализовано обнаружение и блокировка трафика сетевых приложений, что значительно повышает эффективность фильтрации тех из них, что не зависят от конкретного сетевого порта. Кроме того, теперь администратор может создавать правила фильтрации трафика на основе команд протоколов HTTP(S) и FTP и таким образом повысить эффективность контроля доступа пользователей в интернет. В обновленном продукте также реализована интеграция детектора атак и криптошлюза с функцией межсетевого экрана. Теперь при обнаружении угрозы детектор атак может дать межсетевому экрану на криптошлюзе «Континент» команду на создание временного правила для фильтрации трафика источника атаки.

        Сертификат соответствия ФСТЭК на АПКШ «Континент» 3.7.5 продолжает действовать до 2019 года. По вопросам приобретения средств защиты информации, обновления и технической поддержки продуктов можно обращаться в коммерческий отдел компании «Код безопасности»: buy@securitycode.ru, +7 (495) 982-30-20.

        Дополнительная информация
        АПКШ «Континент» – комплексное решение, сочетающее VPN-шлюз, межсетевой экран и статический маршрутизатор. В состав комплекса входит программный VPN-клиент «Континент-АП», который предназначен для предоставления сотрудникам удаленного доступа к ресурсам корпоративной информационной системы. Доступ предоставляется путем организации виртуальных частных сетей (VPN) на основе глобальных сетей общего пользования, поддерживающих протоколы TCP/IP. Сертификаты ФСТЭК и ФСБ России позволяют применять АПКШ «Континент» для построения систем защиты, соответствующих требованиям российского законодательства и рекомендациям отраслевых стандартов.

        www.securitycode.ru

        009. Администрирование АПКШ «Континент» Версия 3.7. Базовый курс

        Длительность курса: 3 рабочих дня

        Ближайшая дата: 16 — 18 июля 2018 года

        Стоимость: 33 000 рублей

        Для кого этот курс: специалисты в сфере информационной безопасности, системные администраторы, руководители ИТ-служб, архитекторы систем информационной безопасности, которые отвечают за защиту каналов связи при передаче информации ограниченного доступа между сегментами сложных распределенных сетей по публичным или выделенным каналам связи.

        Цель курса: повышение квалификации и обеспечение слушателей теоретическими знаниями и практическими навыками, необходимыми для инсталляции и управления компонентами комплекса, настройки защиты данных, передаваемых по сетям общего пользования, межсетевого экранирования и маршрутизации трафика.

        Требования к предварительной подготовке: базовые знания сетевых технологий, умение работать с Windows Server 2008, 2012, понимание принципов функционирования Microsoft AD.

      • состава, назначения и особенностей развертывания и эксплуатации комплекса.
      • развертывать и управлять комплексом;
      • создавать защищенные соединения для обмена информацией с использованием открытых каналов связи;
      • проводить мониторинг и диагностировать состояние комплекса.
      • навыками развертывания, настройки и эксплуатации АПКШ «Континент».
      • Модуль 1. Обзор технологий и развертывание системы защиты

      • назначение комплекса;
      • защитные механизмы;
      • аппаратные модули, архитектура системы, производительность для типовых платформ;
      • программные модули;
      • программно-аппаратный комплекс «Соболь»;
      • лабораторный модуль «Инсталляция компонентов системы».
      • Модуль 2. Управление компонентами комплекса

      • управление криптографическими ключами комплекса;
      • управление учетными записями администраторов;
      • локальное управление сетевыми устройствами;
      • лабораторный модуль «Организация работы администраторов комплекса».
      • Модуль 3. Управление политиками безопасности

      • межсетевой экран. Принцип действия;
      • формирование правил фильтрации трафика;
      • трансляция сетевых адресов (правила NAT);
      • пользовательские и автоматические правила;
      • лабораторный модуль «Работа c правилами фильтрации и трансляции».
      • Модуль 4. Организация и управление VPN соединениями

      • организация L3 VPN шлюза;
      • организация L2 VPN шлюза;
      • VPN удаленного доступа;
      • лабораторный модуль «Построение VPN».
      • Модуль 5. Обеспечение отказоустойчивости комплекса

        • резервное копирование и восстановление конфигурации ЦУС;
        • аппаратное резервирование и восстановление криптошлюза;
        • лабораторный модуль «Архивирование и восстановление».
        • Модуль 6. Мониторинг и диагностика системы защиты

        • мониторинг состояния комплекса;
        • лабораторная работа «Мониторинг состояния компонентов системы и передаваемого трафика, настройка реакции на события».
        • Модуль 7. Обновление версии программного обеспечения (ПО)

        • обновление текущей версии ПО;
        • требования к эксплуатации комплекса;
        • сервис поддержки продуктов;
        • лабораторный модуль «Обновление ПО».
        • Условия обучения: Участникам представляются раздаточные материалы. По окончании обучения слушателям выдается сертификат об авторизованном обучении.

          Регистрация на курс

          Администрирование АПКШ «Континент» Версия 3.7. Базовый курс

          uc-echelon.ru

          Код курса К007, 3 дня

          Авторизованный курс компании «Код Безопасности»

          Базовый курс «Администрирование АПКШ «Континент» версии 3.7. Базовый курс» разработан для изучения работы сертифицированного изделия «Аппаратно-программный комплекс шифрования «Континент». Версия 3.7» (далее – комплекс, АПКШ «Континент»). В результате обучения слушатели получат теоретические знания и практические навыки, необходимые для инсталляции и управления компонентами комплекса, настройки защиты данных, передаваемых по сетям общего пользования, межсетевого экранирования и маршрутизации трафика.

          Пакет слушателя

          Авторизированное учебное пособие.

          Дополнительно

          После успешной сдачи зачета выпускники получают свидетельства об обучении Учебного центра «Информзащита» и сертификаты компании «Код Безопасности».

          Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.

          Программа курса

          День 1.

          Глава 1. Обзор технологий и развертывание системы защиты

        • Защитные механизмы
        • Принципы функционирования комплекса
        • Типовые аппаратные платформы АПКШ «Континент» и их производительность
        • Способы поставки ПО сетевых устройств АПКШ «Континент»
        • ПАК «Соболь»
        • Политика лицензирования
        • Порядок ввода комплекса в эксплуатацию
        • Лабораторный модуль №1 «Установка компонентов системы»
        • Описание стенда
        • Постановка задачи
        • Лабораторная работа №1 «Установка и инициализация ЦУС»
        • Лабораторная работа №2 «Установка подсистемы управления комплексом»
        • Лабораторная работа №3 «Конфигурирование БД журналов. Настройка агента ЦУС и СД»
        • Лабораторная работа №4 «Установка и инициализация КШ»
        • Глава 2. Управление компонентами комплекса

        • Управление криптографическими ключами комплекса
        • Локальное управление сетевыми устройствами
        • Лабораторный модуль №2 «Организация работы администраторов комплекса»
        • Лабораторная работа №1 «Смена главного ключа КШ и ключа связи с ЦУС»
        • Лабораторная работа №2 «Создание учетной записи администратора»
        • День 2.

          Глава 3. Правила фильтрации IP-пакетов и правила трансляции

        • Межсетевой экран. Принцип действия
        • Лабораторный модуль №3 «Правила фильтрации IP-пакетов и правила трансляции»
        • Лабораторная работа №1 «Настройка правил фильтрации, разрешающих прохождение трафика между компьютерами из защищаемой сети и сети общего доступа»
        • Лабораторная работа №2 «Настройка правила фильтрации, разрешающего прохождение трафика между компьютерами из внутренних сетей, защищаемых разными криптошлюзами»
        • Лабораторная работа №3 «Настройка исходящего правила трансляции»
        • Лабораторная работа №4 «Настройка входящего правила трансляции»
        • Глава 4. Детектор атак

        • Общее описание работы ДА
        • Лабораторный модуль №4 «Детектор атак»
        • Лабораторная работа №1 «Установка и инициализация ДА»
        • Лабораторная работа №2 «Настройка и тестирование функциональности ДА»
        • Глава 5. Организация и управление VPN-соединениями

        • Организация L3VPN-шлюза
        • Организация L2VPN-шлюза
        • • Лабораторный модуль №5 «Построение VPN»
        • Лабораторная работа №1 «Организация L3VPN»
        • Лабораторная работа №2 «Организация L3VPN между удаленным пользователем и пользователем защищенной сети»
        • Лабораторная работа №3 «Организация L2VPN»
        • Глава 6. Обеспечение отказоустойчивости комплекса

        • Резервное копирование и восстановление конфигурации ЦУС
        • Лабораторный модуль №6 «Архивирование и восстановление»
        • Лабораторная работа №1 «Резервное копирование и восстановление конфигурации ЦУС»
        • Лабораторная работа №2 «Резервирование КШ»
        • Контрольные вопросы
        • Глава 7. Мониторинг и диагностика системы защиты

        • Мониторинг состояния комплекса
        • Лабораторный модуль №7 «Мониторинг и диагностика системы защиты»
        • Лабораторная работа №1 «Мониторинг состояния компонентов системы и передаваемого трафика, настройка реакции на события»

        Глава 8. Обновление версии ПО

      • Лабораторный модуль №8 «Обновление ПО»
      • Лабораторная работа №1 «Обновление ПО ЦУС»
      • Лабораторная работа №2 «Обновление ПО КШ»
      • itsecurity.ru

        Континент правила фильтрации

        В современных информационных системах (ИС) в последнее время широкое распространение получили виртуальные частные сети (Virtual Private Network — VPN).

        Технология VPN позволяет формировать виртуальные защищенные каналы связи в сетях общего пользования (например, Internet), гарантирующие конфиденциальность и достоверность информации. VPN-сеть представляет собой объединение локальных сетей (ЛВС) или отдельных компьютеров, подключенных к сети общего пользования, в единую защищенную виртуальную сеть.

        Растущий интерес к данной технологии обусловлен следующими факторами:

        • низкой стоимостью эксплуатации за счет использования сетей общего пользования вместо собственных или арендуемых линий связи;
        • практически неограниченной масштабируемостью;
        • простотой изменения конфигурации и наращивания корпоративной сети;
        • «прозрачностью» для пользователей и приложений.
        • Переход от распределенной корпоративной сети на базе выделенных каналов к VPN на основе сетей общего пользования позволяет существенно снизить эксплуатационные расходы.

          Но использование сетей общего пользования для организации VPN предъявляет дополнительные требования к обеспечению защиты информационных ресурсов предприятия от несанкционированного доступа (НСД).

          Для надежной защиты информации в VPN предназначен аппаратно-программный комплекс «Континент-К», разработанный НИП «Информзащита». Этот комплекс обеспечивает защиту конфиденциальной информации в корпоративных VPN-сетях, использующих протоколы семейства TCP/IP. В качестве составных частей VPN могут выступать ЛВС предприятия или их отдельные фрагменты.

          Аппаратно-программный комплекс «Континент-К» обеспечивает:

          • защиту внутренних сегментов сети от несанкционированного доступа со стороны пользователей сетей общего пользования;
          • скрытие внутренней структуры защищаемых сегментов сети;
          • криптографическую защиту данных, передаваемых по каналам связи сетей общего пользования между защищаемыми сегментами сети (абонентскими пунктами);
          • безопасный доступ пользователей VPN к ресурсам сетей общего пользования;
          • централизованное управление настройками VPN-устройств сети.
          • В настоящее время комплекс «Континент-К» сертифицирован Гостехкомиссией России по 3 классу защищенности для межсетевых экранов (Сертификат Гостехкомиссии России № 352 от 28.08.2000 г.). По результатам сертификационных испытаний в ФАПСИ получено положительное заключение о соответствии комплекса требованиям, предъявляемым к средствам криптографической защиты конфиденциальной информации класса КС2 (письмо командира в/ч 43753-Ф от 13.07.01 г.).

            2.1. СОСТАВ КОМПЛЕКСА

            Комплекс «Континент-К» включает в свой состав следующие компоненты:

            • центр управления сетью криптографических шлюзов;
            • криптографический шлюз;
            • программа управления сетью криптографических шлюзов;
            • сервер доступа;
            • абонентский пункт;
            • программа управления сервером доступа.
            • Центр управления сетью (ЦУС) осуществляет управление работой всех (КШ), входящих в состав виртуальной сети. ЦУС осуществляет контроль за состоянием всех зарегистрированных КШ, проводит рассылку ключевой информации, предоставляет администратору функции удаленного управления КШ, обеспечивает получение и хранение содержимого системных журналов КШ, а также ведение журнала событий НСД.

              Криптографический шлюз (КШ) обеспечивает криптографическую защиту информации при ее передаче по открытым каналам сетей общего пользования и защиту внутренних сегментов сети от проникновения извне.

              Программа управления обеспечивает отображение состояний КШ, просмотр содержимого системных журналов КШ, изменение настроек маршрутизации и правил фильтрации пакетов.

              Абонентский пункт (АП) осуществляет доступ удаленных пользователей к ресурсам защищаемых сетей по выделенным и коммутируемым каналам связи.

              Сервер доступа обеспечивает связь между удаленным абонентским пунктом и защищаемой сетью, проводит идентификацию и аутентификацию пользователя, определяет его уровень доступа.

              Программа управления сервером доступа (ПУ СД) обеспечивает настройку Сервера доступа, регистрацию пользователей АП и установку прав доступа пользователей АП к ресурсам защищаемых сетей, а также мониторинг подключенных пользователей АП.

              2.2. КЛЮЧЕВАЯ СИСТЕМА

              В аппаратно-программном комплексе используется симметричная ключевая система. Криптографическое соединение между КШ в сети осуществляется на ключах парной связи. Шифрование каждого пакета производится на индивидуальном ключе, который формируется из ключа парной связи. Для шифрования данных используется алгоритм ГОСТ 28147-89 в режиме гаммирования с обратной связью. Имитозащита данных осуществляется с использованием алгоритма ГОСТ 28147-89 в режиме имитовставки.

              Ключи парной связи генерируются центром управления сетью для каждого КШ сети. Передача ключей на КШ с ЦУС производится по защищенному каналу связи (на ключе связи с ЦУС). В качестве ключевого носителя для ключа связи с ЦУС используется дискета.

              Ключи парной связи хранятся на диске в зашифрованном виде (на ключе хранения). Ключ хранения находится в защищенной энергонезависимой памяти ЭЗ «Соболь».

              Для защиты соединения между управляющей консолью и ЦУС используется специальный административный ключ. Этот ключ хранится на ключевом диске администратора системы.

              Плановая смена ключей на КШ осуществляется из ЦУС по каналу связи в защищенном виде на ключе связи с ЦУС.

              АПК «Континент-К» использует протокол криптографической защиты разработки НИП «Информзащита». Он разработан на основе известного протокола IPSec. Разработчикам удалось существенно снизить накладные расходы при туннелировании трафика. Они составляют от 26 до 36 байт на пакет (в зависимости от режимов сжатия пакета) против 86 байт у IPSec.

              Это преимущество позволяет использовать «Континент-К» в сетях, использующих короткие IP пакеты, например, IP-телефонии или передачи трафика телеконференций.

              3.1. КРИПТОГРАФИЧЕСКИЙ ШЛЮЗ

              Криптографический шлюз представляет собой специализированное программно-аппаратное устройство, функционирующее под управлением ОС FreeBSD в сокращенной версии, обеспечивающей высокий уровень безопасности.

              Криптошлюз обеспечивает:

              • прием и передачу пакетов по протоколам семейства TCP/IP (статическая маршрутизация);
              • шифрование передаваемых и принимаемых IP-пакетов (ГОСТ 28147-89, режим гаммирования с обратной связью);
              • сжатие защищаемых данных;
              • защиту данных от искажения (ГОСТ 28147-89, режим имитовставки);
              • фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации;
              • скрытие внутренней структуры защищаемого сегмента сети;
              • криптографическую аутентификацию удаленных абонентов (при установлении на КШ сервера доступа);
              • периодическое оповещение ЦУС о своей активности;
              • регистрацию событий, связанных с работой КШ;
              • оповещение администратора в режиме реального времени о событиях, требующих оперативного вмешательства;
              • идентификацию и аутентификацию администратора при запуске КШ (средствами ЭЗ «Соболь»);
              • контроль целостности программного обеспечения КШ до загрузки операционной системы (средствами ЭЗ «Соболь»).
              • Обработка исходящих IP-пакетов представлена на Рис.4. Все IP-пакеты, поступившие от внутренних абонентов защищаемого сегмента, вначале подвергаются фильтрации.

                Фильтрация IP-пакетов осуществляется в соответствии с установленными администратором правилами на основе IP-адресов отправителя и получателя, допустимых значений полей заголовка, используемых портов UDP/TCP и флагов TCP/IP-пакета. Если пакет не удовлетворят правилам фильтрации, он отвергается. Отправитель пакета получает ICMP-сообщение о недоступности абонента.

                При установке КШ автоматически генерируются правила, необходимые для обеспечения защищенного взаимодействия с ЦУС, корректной работы механизма маршрутизации пакетов, обработки управляющего трафика коммуникационного оборудования и обеспечения возможности начала работы VPN-функций без дополнительного конфигурирования.

                IP-пакеты, удовлетворяющие правилам фильтрации, обрабатываются блоком криптографической защиты и передаются на внешний интерфейс КШ. КШ-отправитель обеспечивает его сжатие, зашифрование и имитозащиту, инкапсуляцию в новый IP-пакет, в котором в качестве IP-адреса приемника выступает IP-адрес КШ-получателя, а в качестве IP-адреса источника выступает IP-адрес КШ-отправителя.

                IP-пакеты, адресованные абонентам, внешним по отношению к VPN-сети (Web-сайты, ftp-серверы), передаются в открытом виде. Это позволяет использовать КШ при доступе к общедоступным ресурсам сетей общего пользования в качестве межсетевого экрана пакетного уровня.

                Входящие IP-пакеты от открытых абонентов блоком криптографической защиты не обрабатываются и поступают непосредственно в фильтр IP-пакетов.

                Для пакетов, полученных от абонентов VPN, блок криптографической защиты осуществляет проверку целостности и расшифровывает их, после чего пакеты поступают в фильтр IP-пакетов. Если целостность пакета нарушена, то он отбрасывается без расшифрования и без оповещения отправителя, с генерацией сообщения о НСД.

                IP-пакеты, удовлетворяющие правилам фильтрации, передаются через внутренний интерфейс внутренним абонентам.

                Криптографический шлюз осуществляет регистрацию следующих событий:

                • загрузку и инициализацию системы и ее программный останов;
                • вход (выход) администратора КШ в систему (из системы);
                • запросы на установление виртуальных соединений между криптошлюзами, между КШ и Центром управления;
                • результат фильтрации входящих/исходящих пакетов;
                • попытки НСД;
                • любые внештатные ситуации, происходящие при работе КШ;
                • информацию о потере и восстановлении связи на физическом уровне протоколов.
                • Перечень регистрируемых событий при эксплуатации КШ определяется администратором. При регистрации события фиксируются:

                  • дата, время и код регистрируемого события;
                  • адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP,TCP, UDP;
                  • результат попытки осуществления регистрируемого события — успешная или неуспешная (или результат фильтрации);
                  • идентификатор администратора КШ, предъявленный при попытке осуществления регистрируемого события (для событий локального/удаленного управления).
                  • Оповещение о событиях, требующих вмешательства администратора, осуществляется по протоколу SNMP. Оповещения передаются в открытом виде на ЦУС, откуда могут быть получены консолью управления. Криптографический шлюз обеспечивает сжатие передаваемых данных об однотипных событиях.

                    Локальная сигнализация о событиях, требующих вмешательства администратора, осуществляется путем вывода соответствующих сообщений на монитор криптошлюза.

                    Технические характеристики

                    • Общая пропускная способность КШ (имитовставка, шифрование, туннелирование) — 30 Мбит/с (Celeron/500).
                    • Увеличение размера пакета — 26-36 байт (в зависимости от степени сжатия пакета).
                    • Максимальное количество КШ в сети с одним ЦУС — не более 5000;
                    • Максимальное количество установленных программ управления — не ограничено;
                    • Комплектация криптографического шлюза
                      Предусматривается три варианта комплектации криптографического шлюза:

                      • На базе стандартного IBM-совместимого компьютера;
                      • На базе промышленного компьютера, предназначенного для монтажа в 19″ стойку 2U.
                      • На базе промышленного компьютера, предназначенного для монтажа в 19″ стойку 4U.
                      • Независимо от комплектации в состав криптографического шлюза входят:

                        • плата Электронного замка «Соболь»;
                        • считыватель Touch Memory;
                        • электронные идентификаторы Touch Memory DS1992 (2 шт);
                        • сетевые платы Ethernet (от 2 до 16 портов).
                        • 3.2. ЦЕНТР УПРАВЛЕНИЯ СЕТЬЮ

                          3.4. ПРОГРАММА УПРАВЛЕНИЯ

                          Программа управления предназначена для централизованного управления всеми КШ, работающими под управлением одного ЦУС. Эта программа позволяет:

                          • отображать информацию о текущем состоянии всех имеющихся КШ;
                          • добавлять в систему новые КШ, изменять сведения о существующих КШ или удалять КШ;
                          • централизованно управлять настройками КШ;
                          • управлять правилами маршрутизации КШ;
                          • управлять ключами шифрования;
                          • анализировать содержание журналов регистрации КШ.
                          • Программа управления предназначена для работы на компьютерах, оснащенных процессорами семейства Intel x86 или совместимых с ними, и функционирующих под управлением ОС Windows NT 4.0 (Service Pack 4 и выше), Windows 2000. На этих компьютерах должны быть установлены компоненты, обеспечивающие работу с сетевыми протоколами семейства TCP/IP.

                            Аппаратно-программный комплекс «Континент-К» отличает:

                            • эффективная и надежная защита информации в гетерогенных сетях;
                            • отсутствие вмешательства в существующие технологии обработки информации, полная прозрачность для приложений и пользователей;
                            • централизованное управление настройками системы и оперативный мониторинг ее состояния;
                            • совмещение в одном устройстве функций межсетевого экрана и криптографического маршрутизатора;
                            • возможность разграничивать доступ от нескольких внутренних защищаемых сегментов;
                            • удобный графический интерфейс программы управления;
                            • простота в настройке и обслуживании.
                            • 3.4. СЕРВЕР ДОСТУПА

                              Сервер доступа — программное обеспечение, позволяющее устанавливать защищенное соединение с удаленными абонентами. Сервер доступа (СД) устанавливается на один из криптошлюзов «Континент-К». После запроса на соединение СД проводит идентификацию и аутентификацию удаленного пользователя, и определяет его уровень доступа, устанавливаемый администратором «Континент-К». На основании этой информации осуществляется подключение абонента к ресурсам сети. СД позволяет осуществить до 500 одновременных сеансов связи с удаленными пользователями.

                              В системе используется аутентификация пользователей при помощи сертификатов открытых ключей. В дальнейшем планируется разработка программного обеспечения, реализующего технологию PKI при использовании сторонних сертификационных центров.

                              Сервер доступа предустанавливается на ЦУС и КШ, что позволяет организовывать гибкую схему подключения абонентских пунктов к сегментам защищаемой сети.

                              Управление настройками СД, выработка правил и ключевой информации для абонентов осуществляется через программу управления.

                              3.4. АБОНЕНТСКИЙ ПУНКТ.

                              Абонентский пункт (АП) — программное обеспечение, позволяющее удаленному пользователю связываться по защищенному каналу с сетью АПК «Континент-К». АП устанавливается на компьютер клиента и позволяет осуществить:

                              • удаленный доступ к ресурсам защищаемой сети по шифрованному каналу
                              • функционирование под управлением ОС Windows 95/98/NT/2000
                              • связь с сервером доступа «Континент-К» со скоростью до 2 Мб/с в шифрующем режиме
                              • идентификацию и аутентификацию пользователя
                              • функционирование с динамическим распределением IP адресов — возможность удаленного доступа мобильных пользователей
                              • Основу криптографической системы абонентского пункта составляет Средство криптографической защиты информации «КриптоПро CSP», сертифицированное ФАПСИ (Сертификат соответствия ФАПСИ СФ/124-0460 от 20.04.01 г.).

                                Установка и конфигурирование абонентского пункта непосредственно на рабочем месте включает:

                                • установку программного обеспечения СКЗИ «КриптоПро CSP» и абонентского пункта
                                • определение места хранения ключевых материалов;
                                • указания IP-адреса сервера доступа (одного или нескольких), с которым устанавливается защищенное взаимодействие.
                                • Информация о правилах фильтрации и правах доступа передается на абонентский пункт с сервера доступа. Абонентский пункт обеспечивает прозрачный для прикладных программ обмен с защищенными сегментами сети.

                                  4.1. СОЗДАНИЕ КОРПОРАТИВНОЙ VPN

                                  АПК «Континент-К» является средством создания виртуальных частных сетей на основе сетей TCP/IP. В качестве транспортной среды может быть использована любая сеть, работающая по протоколу TCP/IP, например, Интернет. Такой вариант существенно дешевле использования сети на основе выделенных каналов при сохранении высокого уровня безопасности.

                                  При связывании локальных сетей предприятия «Континент-К», как правило, подключается к LAN порту внешнего маршрутизатора. К внутренним портам криптошлюза подключаются локальные сети предприятия. Наличие нескольких внутренних интерфейсов позволяет гибко осуществлять изменение конфигурации сети. Одним из вариантов, повышающих общую безопасность сети, является вынос управляющих консолей для «Континент-К», для управления маршрутизатором и т.д. на отдельный внутренний интерфейс КШ.

                                  При создании VPN на основе «Континент-К» через внешние сети по умолчанию пропускается только зашифрованный трафик. Администратор может создавать на криптошлюзе правила, разрешающие прохождение трафика наружу в открытом виде, т.е. возможность работать с внешними ресурсами — серверами, web-хостами и т.д. (Схема 2) Администратор также может управлять разграничением доступа между подсетями, если они связаны только через «Континент-К». Таким образом, можно разделять трафик между разными подразделениями, как это показано на примере (Схема 3)

                                  4.2. ЗАЩИЩЕННОЕ УПРАВЛЕНИЕ МАРШРУТИЗАТОРАМИ

                                  4.3. УДАЛЕННЫЙ ДОСТУП ПО ЗАЩИЩЕННОМУ КАНАЛУ.

                                  АПК «Континент» позволяет осуществлять защищенный доступ удаленных абонентов к ресурсам VPN. Доступ производится при помощи специальной программы — абонентского пункта устанавливаемой на компьютер пользователя. Запрос на соединение осуществляется на сервере доступа, установленном на одном из криптошлюзов. Сервер доступа проводит идентификацию и аутентификацию пользователя, и осуществляет его связь с ресурсами защищаемой сети (Схема 5).

                                  Данную схему выгодно используется, когда требуется связь с офисом мобильных сотрудников через Интернет. Для организации доступа достаточно установить АП на любой компьютер, например, ноутбуке, и получить доступ в Интернет.

                                  АПК «Континент-К» позволяет создавать виртуальные частные сети, обладающие большими возможностями в конфигурировании и управлении. При помощи «Континент-К» реализуются функции передачи шифрованного трафика через сеть общего пользования, защиты локальных сетей от проникновения извне, сокрытия внутренней структуры сети, работы по открытым каналам с внешними ресурсами, создания параллельных сетей в пределах одной VPN, защищенного управления удаленными маршрутизаторами. Эти возможности делают «Континент-К» удобным и эффективным инструментом создания VPN.

                                  www.cnews.ru

                                  Это интересно:

                                  • Закон о социальных гарантиях сиротам УСЫНОВЛЕНИЕ В РОССИИ Интернет-проект Министерства образования и науки РФ Департамент государственной политики в сфере защиты прав детей Федеральный закон О дополнительных гарантиях по социальной поддержке детей-сирот и детей, оставшихся без попечения родителей 21 декабря […]
                                  • Приказ на диагностику в доу Приказ по итогам диагностики (конец года) Юлия Веремьёва Приказ по итогам диагностики (конец года) ПРИКАЗ от «25» мая 2016г. № 41 - ОД «Об итогах проведения мониторинга освоения образовательной программы за 2015/2016 учебный» В соответствие с планом работы муниципального […]
                                  • Опека железнодорожная Органы опеки и попечительства Екатеринбург Органы опеки и попечительства Верх-исетского района Екатеринбург, ул. Хомякова, 14а, каб. 37 телефон 8(343) 368-42-84 Часы приёма органом опеки и попечительства Верх-исетского района : Понедельник - с 14.00 до 17.30, Среда - с […]
                                  • Опека в ульяновске засвияжский район Опека в ульяновске засвияжский район 16 мая 2018 г. в ДОУ прошли мероприятия областного агитпоезда «За здоровый образ жизни и здоровую, счастливую семью». 8 Мая в ДОУ состоялась военно - патриотическая игра "Зарничка" Поздравляем победителей в городском фестивале детско […]
                                  • Приказ о назначении заведующей аптеки Аптечные приказы В данном разделе представлены аптечные документы: приказы, постановления, письма, инструкции. Документы,регламентирующие открытие аптеки и работу аптек Аптечные документы, регламентирующие оборот лекарственных препаратов Аптечные документы: назначение и […]
                                  • Черкассы адвокат Черкассы адвокат +38 066 777 37 33 +38 097 403 73 05 +38 093 899 91 94 e-mail: Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. skype: advokat-skriabin Мы предоставляем юридические услуги по расторжению браков […]
                                  • Индексация пенсии по старости в 2018г Индексация пенсий в 2018 году: кто и какую прибавку получит 9 октября 2017 1:00 888 Индексация пенсий в 2018 году коснется трех категорий граждан: неработающие, социальные и работающие пенсионеры. Фото: Кирилл Кухмарь/ТАСС Пенсии повысятся трижды, но по одному разу для […]
                                  • Трансстрой иски Арбитражная практика МОСКВА, 14 июн — РАПСИ. Комитет по строительству Санкт-Петербурга подал заявление в Арбитражный суд Петербурга и Ленобласти о взыскании 289,5 миллиона рублей с ООО «Инжиниринговая корпорация «Трансстрой-СПб», которое является одним из бывших […]