02 октября 2017

Обзор решения: АПКШ «Континент»

Дорогие коллеги!
Вероятно, каждый, кто хоть раз сталкивался с защитой каналов связи согласно требованиям ФСТЭК/ФСБ, слышал о СКЗИ российского производства. Наиболее известны АПКШ «Континент», S-Terra Шлюз, ViPNet Coordinator и Diamond VPN/FW. Все эти решения прошли долгий путь развития. Они весьма самобытны и существенно различаются как функционально, так и эргономически. А первое заметное отличие — это цвет :) Сегодня поговорим о «зеленых решениях» — устройствах серии «Континент» производства Кода Безопасности.
Поскольку это обзорная статья, я кратко расскажу обо всей экосистеме устройств «Континент» и пройдусь по их основным функциям, далее опишу основные плюсы и минусы этих решений, а на десерт я оставил самое интересное — несколько реальных кейсов интеграции устройств «Континент» из моей практики.
Платформа Континент IPC-100
Рисунок 1. АПКШ «Континент», платформа IPC-100

Экосистема устройств «Континент»

Аппаратно-Программный Комплекс Шифрования «Континент», как его определяет производитель, – это «централизованный комплекс для защиты сетевой инфраструктуры и создания VPN-сетей с использованием алгоритмов ГОСТ» [1]. Архитектурно комплекс состоит из нескольких решений:
1. Криптошлюз — основная «боевая единица» комплекса, обеспечивающая практически весь необходимый функционал, а именно:
  • собственно, создание VPN-каналов между узлами с использованием ГОСТ 28 147−89;
  • с помощью STUN возможно построение туннеля между устройствами, чей настоящий адрес скрыт за NAT;
  • межсетевое экранирование с поддержкой Port Address Translation и Network Address Translation (PAT и NAT, соответственно);
  • работа с VLAN;
  • статическая и динамическая маршрутизация (поддерживаются в том числе протоколы OSPFv2, RIP и BGPv4, конфигурация задается не через GUI, а в виде текстовых файлов);
  • зеркалирование трафика через SPAN-порт для анализа (например, для DLP или IDS);
  • приоритизация трафика, он же QoS;
  • функции DHCP-сервера или DHCP-релея;
  • защита от DoS-атак типа SYN-Flood;
  • обеспечение отказоустойчивости в режиме High Availability (Active/Passive).
Криптошлюз доступен на множестве аппаратных платформ, начиная от самого маленького форм фактора Mini-ITX для малых офисов и банкоматов и заканчивая устройствами для размещения в серверных шкафах формата 2U. Существует и «защищённое» исполнение" для установки в места с агрессивной окружающей средой.
2. Криптокоммутатор — то же самое, что и криптошлюз, но работает на канальном уровне (L2). Применяется в более редких случаях, например, при объединении территориально распределённых сетей. Легко встраивается без изменения имеющегося адресного пространства. Также возможно объединение устройств в кластер с помощью протокола LACP.
3. Детектор Атак — система обнаружения вторжений, подключаемая к SPAN-порту и обнаруживающая атаки сигнатурными и эвристическими методами. Детектор атак способен в режиме реального времени информировать администратора или аудитора о выявленных инцидентах либо с помощью специального ПО, либо через электронную почту. Данные об инцидентах можно просматривать также в виде весьма симпатичных и информативных графических отчётов.
Кстати говоря, для обладателей Детекторов Атак в рамках услуг Акрибии по мониторингу информационной безопасности доступен специальный сервис по выявлению и расследованию инцидентов информационной безопасности.
4. Центр Управления Сетью, он же ЦУС — средство централизованного управления и мониторинга перечисленных выше устройств «Континент». Сам по себе может выполнять роль криптошлюза, обеспечивая маршрутизацию, функции NAT и построение L3 VPN. ЦУС — это обязательный компонент системы. Без него частная сеть «не заведется». Плюсы и минусы реализации централизованного управления от «Кода Безопасности» рассмотрены ниже по тексту.
5. Также в экосистему входят СПО «Сервер Доступа» и СКЗИ «Континент-АП», используемые для обеспечения защищённого удалённого доступа мобильных клиентов и отдельных рабочих станций. Сервер доступа — серверный компонент, отвечающий за настройку маршрутизации, добавление или удаление клиентов, а также выпуск сертификатов. Сервер Доступа может быть развёрнут либо на Центре Управления Сетью, либо на криптошлюзе. Континент-АП устанавливается на ПК или мобильное устройство пользователя и обеспечивает VPN-туннель до Сервера Доступа. Поддерживаются О С Windows и наиболее популярные дистрибутивы Linux. Что особенно приятно, есть поддержка мобильных устройств iOS и Android.

Централизованное администрирование и отказоустойчивость: плюсы и минусы

Вся экосистема «завязана» на центральное устройство — ЦУС. Первичная инициализация, изменение каких-либо параметров — всё происходит именно через него, так как локальная настройка — скорее, служебная операция с очень ограниченным числом настраиваемых параметров, да и зачастую требующая перезагрузки устройств, что в production environment порой просто недопустимо.
С одной стороны, централизованная настройка — удобный подход: не надо запоминать адреса устройств в сети, поочередно подключаться к каждому, а если ещё и какой-нибудь криптошлюз расположен за NAT’ом, сбор какой-либо диагностической информации с различных устройств также не занимает много времени. Но у всего есть оборотная сторона — у нас появляется точка отказа. Дело в том, что ЦУС может резервироваться только по схеме «холодного устройства». Это означает, что в случае выхода из строя основного ЦУС администраторы должны «вручную» переключить управление на резервное устройство. Только вот рекомендация по приобретению резервного устройства часто игнорируется, либо в нужный момент оно оказывается не настроено должным образом. Кроме того, у некоторых пользователей ЦУС сам по себе выполняет роль криптошлюза. Хотя для более-менее критичной инфраструктуры — это ошибка планирования сети. Не рекомендую так делать.
Что же касается инцидентов выхода из строя прочих устройств АПКШ «Континент», то согласно статистике процент отказов крайне мал. А по моему опыту, если отказы и случаются, то случаются они в период тестовой эксплуатации, когда контракт на интеграцию еще в силе и есть возможность оперативно заменить устройство. Но это вовсе не означает, что можно вообще забыть о резервировании и ставить на критичных точках всего одно устройство. Тем более, что производитель предоставляет возможность резервирования в режиме High Availability по схеме Active/Passive. Время переключения около 30 секунд.
Непосредственно администрирование осуществляется через СПО «ПУ ЦУС», доступное только для ОС Windows. Логичнее, конечно, в подобных ситуациях осуществлять настройку через web-интерфейс, что и реализовано в большинстве сетевых решений, но такой подход обеспечивает больший уровень безопасности.
Само программное обеспечение управления реализовано весьма удачно. Работать в нем вполне комфортно. Производитель во многих аспектах старался максимально упростить жизнь, например, включение VPN-туннеля между устройствами реализуется в пару кликов мыши, при этом нас может не волновать то, что у устройства нет белого IP-адреса.

Практика внедрения и эксплуатации

Кейс 1. Розничная сеть, порядка 50 точек продаж в пределах одного города. Весьма типовой кейс. Для разработки спецификации понадобилось знать лишь пиковую нагрузку на каналы и некоторые детали организации маршрутизации. В центральном офисе был установлен ЦУС, кластер устройств-криптошлюзов и детектор атак, в каждый магазин — по одному криптошлюзу. Или кластеру, в случае такой необходимости. С помощью ЦУС были настроены необходимые доступы и VPN-туннели.
В таких проектах есть нюанс: обязательно планируйте, что сеть может и увеличиться, а пиковая нагрузка возрасти, чтобы через год-два не пришлось модернизировать ядро сети. Лучше брать центральный кластер с запасом по мощности.
Кейс 2. Банк с филиалами в разных городах. Здесь всё было несколько сложнее, так как любые простои — серьёзный ущерб для бизнеса, а нюансов организации и защиты сети куда больше.
В центральный офис был установлен ЦУС вместе с ЦУС «холодного резерва», на котором всегда загружена активная конфигурация. Помимо этого, установлен кластер устройств-криптошлюзов помощнее, к которым подключен Детектор Атак. Филиалы — тоже кластеры устройств. Для данного кейса в обязательном порядке было применено резервирование каналов связи, а на самих криптошлюзах был настроен Multi-wan.
В проектах такого типа, вроде, и схема простая, но множество нюансов сети может сильно усложнить жизнь. Так, например, в описанном выше кейсе отсутствовали свободные «белые» IP-адреса, из-за чего довольно простое и быстрое внедрение растянулось по времени и потребовало значительную перенастройку имеющихся сетевых устройств.
Кейс 3. Организация защищенной связи для подвижных мобильных ремонтных пунктов. Кейс необычный, поскольку «подвижными» пункты являются в полном смысле этого слова. Транспортировка возможна по всей территории России. По всей — действительно по всей, включая тайгу и области за северным полярным кругом. Отсюда отсутствие определённого канала связи.
В данном случае, проблема была решена с помощью 3G-связи. Устройства «Континент» поддерживают работу с 3G-модемами, но с ограничением — один модем на устройство. Поэтому в тех случаях, когда было необходимо обеспечить резервирование каналов связи для обеспечения бесперебойной работы сети, помимо КШ в подвижные пункты были установлены дополнительные сетевые устройства, способные работать с несколькими операторами связи.

Заключение

В сухом остатке экосистема устройств «Континент» — высококачественный, надежный и относительно недорогой российский продукт, который можно смело, без опаски устанавливать для защиты корпоративной среды любого масштаба.
Хотите протестировать их на вашей инфраструктуре? Закажите пилотный проект. Мы изучим вашу среду и установим подходящие устройства с нужным функционалом, чтобы вы смогли полноценно изучить возможности продукта.
Филипп Заболотный
Ведущий инженер, Акрибия
[1] Описание решения на сайте производителя - https://www.securitycode.ru/products/apksh_kontinent/
Контакты для связи
Контактные данные обрабатываются на условиях полной конфиденциальности.
Отправляя заявку вы даете свое согласие на обработку персональных данных на условиях, указанных в Политике конфиденциальности.
Другие публикации по теме