Методические указания к лабораторной работе по дисциплине «Информационная безопасность в системах обработки информации и управления»

Лабораторная работа №9.

Аппаратно-программный комплекс шифрования «Континент»

1. Цель работы.

Ознакомиться с принципами работы и характеристиками Аппаратно-программный комплекс шифрования «Континент».

2. Порядок выполнения работы.

2.1. Изучить теоретическую часть.

2.2. Последовательно выполнить все задания к лабораторной работе.

2.3. Проверить правильность выполнения заданий.

2.4. Оформить отчет по лабораторной работе.

3. Задания к лабораторной работе

3.1. Ознакомиться с принципами работы и характеристиками Аппаратно-программный комплекс шифрования «Континент» на сайте компании ООО «Код Безопасности» www.securitycode.ru

4. Содержание отчета

4.1. Название и цель работы.

4.2. Задание.

4.3. Краткое описание модулей безопасности и основных операций по управлению криптографическими ключами.

4.4. Протоколы проведенных операций по работе с ключами.

5. Теоретическая часть

Аппаратно-программный комплекс шифрования «Континент»

Сертифицированный ФСБ и ФСТЭК России аппаратно-программный комплекс шифрования «Континент» является средством построения виртуальных частных сетей (VPN) на основе глобальных сетей общего пользования, использующих протоколы семейства TCP/IP.

Комплекс обеспечивает криптографическую защиту информации (в соответствии с ГОСТ 28147-89), передаваемой по открытым каналам связи, между составными частями VPN, которыми могут являться локальные вычислительные сети, их сегменты и отдельные компьютеры.

Современная ключевая схема, реализуя шифрование каждого пакета на уникальном ключе, обеспечивает гарантированную защиту от возможности дешифрации перехваченных данных.

Для защиты от проникновения со стороны сетей общего пользования, комплекс «Континент» обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Осуществляет поддержку VoIP, видеоконференций, ADSL, Dial-Up и спутниковых каналов связи, технологии NAT/PAT для сокрытия структуры сети.

АПКШ «Континент» включает в себя следующие компоненты:

• Криптошлюз (КШ)

• Центр управления сетью криптографических шлюзов (ЦУС)

• Программа управления сетью криптографических шлюзов (ПУ)

• Агент управления сетью криптографических шлюзов

• Абонентский пункт (АП)

• Сервер доступа (СД)

Криптошлюз – это специализированное аппаратно-программное устройство, функционирующее на платформе Intel под управлением сокращенной версии ОС FreeBSD. Устройство осуществляет прием и передачу IP-пакетов по протоколам TCP/IP (статическая маршрутизация)/ шифрование пакетов (ГОСТ 28147-89, режим гаммирования с обратной связью, длина ключа 256 бит)/ защиту передаваемых данных от искажения (ГОСТ 28147-89, режим имитовставки)/ фильтрацию пакетов/ скрытие структуры сети/ регистрацию событий/ оповещение ЦУС о своей активности и о событиях, требующих вмешательства/ контроль целостности ПО КШ.

Центр управления сетью криптографических шлюзов – основной элемент управления осуществляет аутентификацию КШ и АРМ управления/ мониторинг и протоколирование состояния сети КШ/ хранение журналов и конфигурации КШ/ рассылку ключевой и конфигурационной информации/ централизованное управление криптографическими ключами/ взаимодействие с ПУ.

Программа управления – её основная функция – централизованное управление настройками и оперативный контроль состояния всех КШ, входящих в состав комплекса.

Агент управления сетью КШ осуществляет установление защищенного соединения и обмен данными с ЦУС и ПУ/ получение от ЦУС, хранение и передачу ПУ содержимого журналов/ получение от ЦУС и передачу ПУ информации о работе комплекса.

Абонентский пункт осуществляет установление VPN-туннеля между удаленным рабочим местом пользователя и внутренней защищаемой сетью организации. При подключении по сетям общего доступа и Интернет выполняет аутентификацию пользователя/ поддержку динамического распределения адресов/ удаленный доступ к ресурсам защищаемой сети по шифрованному каналу/ доступ по выделенным и коммутируемым каналам связи/ возможность доступа к ресурсам сетей общего пользования.

Сервер доступа осуществляет обеспечение связи между удаленным АП и защищаемой сетью, а также определение уровня доступа пользователя и его аутентификацию.

Характеристики платформ АПКШ «Континент»:

Характеристика Континент IPC-25 (mini) Континент IPC-100 Континент IPC-400 Континент IPC-1000 Континент IPC-1000F Форм-фактор Mini-ITX 1U 1U rack 1U rack 1U rack Пропускная способность VPN 25 Мбит/с 250 Мбит/с 450 Мбит/с 800 Мбит/с 800 Мбит/с Пропускная способность МЭ 85 Мбит/с 400 Мбит/с 600 Мбит/с 1 Гбит/с 1 Гбит/с Количество, тип сетевых интерфейсов 4 x Ethernet 10/100/1000 6x Ethernet 10/100/1000 1x SFP оптический 4x Ethernet 10/100/1000 6x Ethernet 10/100/1000 2x Ethernet 10/100/1000 2x 1000BASE-X оптические Поддержка протоколов динамической маршрутизации OSPF OSPF OSPF OSPF OSPF Горячее резервирование нет да (активно-пассивный кластер) да (активно-пассивный кластер) да (активно-пассивный кластер) да (активно-пассивный кластер) Количество абонентов  Континент АП в сети с одним СД 5 250 500 1000 1000 Поддержка технологии Stateful inspection да да да да да Количество КШ в сети с одним ЦУС До 5 До 500 До 1000 До 1000 До 1000 Приоритезация трафика да да да да да Резервирование гарантированной полосы пропускания за определенными сервисами да да да да да Поддержка VLAN (IEEE802.1Q) да (20) да (254) да (65000) да (65000) да (65000) Порт RS232 для подключения Dial-UP модема да да нет нет нет Интеллектуальное управление ИБП (UPS) да да да да да Поддержка SNMP да да да да да Поддержка VoIP да да да да да Интеграция с системами IPS/IDS нет да да да да Поддержка технологии NAT/PAT да да да да да Удаленное обновление ПО криптошлюзов да да да да да Блок питания внешний адаптер 12B 80Вт 1х 350W 1х 650W 2х 650W с "горячей" заменой  2х 650W с "горячей" заменой  Работа в необслуживаемом режиме 24х7 да да да да да Среднее время наработки на отказ (MTBF) 40 000 часов 40 000 часов 10 000 часов 10 000 часов 10 000 часов

АПКШ «Континент» IPC-100

Спецификация Форм-фактор: 1U для монтажа в 19'' стойку Габаритные размеры (Г x Ш x В): 365 мм x 430 мм x 43 мм Процессор: 1 x Intel Core 2 Duo E7400, 2.8 ГГц, шина 1066 МГц FSB, 3 Мб кэш L2 Оперативная память: 1 x модуль DIMM 1Гб SDRAM DDR3 1333 МГц Сетевые интерфейсы: 6x 1000BASE-T Gigabit Ethernet медь, с разъемами RJ45 2x 1000BASE-X Gigabit Ethernet оптический, с разъемом SFP под установку трансивера Жесткий диск: 1 x SATA DOM модуль 4Gb Блок питания: 1 х 270W Порт для подключения dial-up модема: 1x RS232 Видео порт (VGA): 1х (D-Sub) Порты USB: 2x Считыватель Touch Memory внутренний Персональные идентификаторы Touch Memory iButton DS1992L – 2шт. АПМДЗ ПАК «Соболь» USB-flash drive не менее 512 Мб Крепежный комплект для установки в монтажный шкаф 19'' Упаковка: индивидуальная картонная коробка Вес: 6,5 кг Скорость передачи данных Вид трафика Скорость, Mbit/s Производительность VPN (режим шифрования)   до 250 Мбит/с Производительность МЭ (открытый трафик) до 400 Мбит/с

АПКШ «Континент» IPC-25 MS92D9

Спецификация Форм-фактор: Mini-ITX Габаритные размеры (Г x Ш x В): 175 x 210 x 50 мм Процессор: 1 х Intel Atom N425 частотой 1800 МГц, FSB 667 МГц, кэш-память L2 512 Кбайт Оперативная память: 1 х модуль SODIMM DDR3 DRAM, 1 Гбайт, PC-1333 Сетевые интерфейсы: 4x 1000BASE-T Gigabit Ethernet медь, с разъемами RJ45 Жесткий диск: SATA DOM модуль 1Gb Блок питания: Внешний адаптер переменного тока 19В, 220B 80Вт Порт для подключения dial-up модема: 2x RS232 Видео порт (VGA): 1x (D-Sub) Порты USB: 2x Считыватель Touch Memory внутренний Персональные идентификаторы Touch Memory iButton DS1992L – 2шт. АПМДЗ ПАК «Соболь» USB-flash drive не менее 512 Мб Упаковка: индивидуальная картонная коробка с ручкой Вес: 1,25 кг, вес в упаковке с блоком питания 2,66 кг Скорость передачи данных Вид трафика Скорость, Mbit/s Производительность VPN (режим шифрования)   до 25 Мбит/с Производительность МЭ (открытый трафик) до 85 Мбит/с

Соответствие государственным требованиям

Сертификаты ФСТЭК России	МЭ3, НДВ3
АС ФСТЭК России	1В
СКЗИ АПКШ Континент (ФСБ)	КС2, МЭ4
ИСПДн ФСТЭК	До K1 включительно
Гостайна	Для защиты государственной тайны с грифом не выше «Секретно»
СКЗИ Континент АП (ФСБ)	КС2 при использовании с ПАК Соболь КС1 без ПАК Соболь

Сертификаты

Информация о сертификатах продуктов компании «Код Безопасности»: http://www.securitycode.ru/company/licenses/certificates

6. Рекомендуемая литература

1.Б. Шнаер Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си.-М.:ТРИУМФ,2003-816с.

2.Математические и компьютерные основы криптологии: Учеб. пособие/Ю.С.Харин и др.-Минск:Новое Знание,2003-382с.

3.Ю.В. Романец и др. Защита информации в компьютерных системах и сетях Изд. 2-е., М:Радио и связь, 2001-376с