13 мая 2020

Обзор решения: ViPNet Coordinator HW

В 2017 году мой коллега рассказывал нашим читателям об одном из решений для организации защиты каналов связи согласно требованиям ФСТЭК/ФСБ.

Сегодня я бы хотел провести обзор еще одного конкурентного решения, разработанного отечественным производителем, компанией ИнфоТеКС. Основные цели, которые мы будем ставить, рассматривая данный продукт:

  • организация защищенных каналов связи между офисами, филиалами, ЦОД;
  • единое адресное пространство в защищаемой сети;
  • производительность, отказоустойчивость и масштабируемость;
  • выполнение требований государственных регуляторов.

Для обеспечения всех вышеперечисленных задач мы сконцентрируем своё внимание на семействе шлюзов безопасности, под названием ViPNet Coordinator HW. На основе этой линейки нами уже реализованы успешные проекты по внедрению защищенной сети. Данное семейство содержит следующие типы программно-аппаратных комплексов:

ПАК ViPNet Coordinator HW50 и HW100 - предназначены для защиты небольших удаленных офисов, филиалов, рабочих мест, а также мобильных пользователей.
ПАК ViPNet Coordinator HW1000 - предназначен для защиты периметра сети крупной компании, подойдет и для ЦОД.
ПАК ViPNet Coordinator HW2000 и HW5000 - данные шлюзы безопасности предназначены для защиты высокоскоростных каналов связи, до 2,7 Гбит/сек и до 10 Гбит/сек соответственно.
Очень важно на этапе проектирования будущей защищенной сети правильно подобрать необходимый комплекс, в совокупности с подходящими лицензиями, дабы не столкнуться с неожиданными ограничениями, проявившими себя в самый неподходящий момент. Для этого необходимо тщательным образом проработать текущие потребности на основе имеющейся сети, а также изучить перспективу развития и масштабируемости.

Рассмотрим, из чего же состоит программно-аппаратный комплекс ViPNet Coordinator HW. Для первоначального развертывания защищенной сети нам необходимо установить на АРМ Администратора все необходимое программное обеспечение, под общим названием ViPNet Administrator. Оно в свою очередь делится на «Центр Управления Сетью» (ЦУС) и «Удостоверяющий и ключевой центр» (УКЦ). Серверная часть ПО ЦУС разворачивает базу данных хранения настроек и информации сети ViPNet, клиентская служит для конфигурации и управления всеми составляющими защищенной сети. Для создания ключей и паролей от учетных записей пользователей предназначен УКЦ. В результате чего ЦУС и УКЦ применяются строго в тандеме и являются неотъемлемой частью друг друга. Также, следует отметить, что на этот же АРМ необходимо установить ViPNet Client, который допустит его в среду защищенной сети, для последующей передачи и записи настроек на само «железо», в противном случае вам это сделать не удастся.
ViPNet Client является довольно мощным средством сетевой защиты рабочего места администратора или удаленного пользователя. Помимо возможности клиентского подключения к безопасной сети ViPNet и туннелирования трафика, в программе присутствует целый ряд средств защиты, которые обеспечивают безопасность подключения. Это и принудительная аутентификация в ViPNet Client при запуске ОС до системной аутентификации, и персональный межсетевой экран (он в свою очередь подразделяется на фильтры защищенной и открытой сети), и контроль сетевых приложений и компонентов ОС, полностью отслеживающий любые соединения и предоставляющий выбор действий над ними, а также шифрование и имитозащита передаваемых данных. Поставляется ViPNet Client как для Windows, так и для *nix-подобных систем (со списком совместимых ОС можно ознакомиться на официальном сайте производителя).

После установки и настройки всех этих программных составляющих необходимо позаботиться о надежном их сохранении. Разумеется, АРМ Администратора должен быть подготовлен соответствующим образом, от него в том числе будет зависеть надежность работоспособности защищенной сети. Здесь специально стоит остановится на теме резервного копирования.

На мой взгляд, процесс миграции базы данных ЦУС\УКЦ на сторонний АРМ является довольно нетривиальной процедурой, к которой как минимум надо тщательно подготовиться, для этой цели присутствует отдельная документация. Не стоит откладывать этот вопрос до последних минут жизни вашего текущего АРМ, в стрессовой ситуации риск что-либо упустить и потерять доступ к приватной сети довольно высок. В связи с чем, настоятельно рекомендую, согласно официальной документации, сохранить все указанные файлы и ключи в надежном месте, с заранее подготовленным руководством по очередности выполняемых действий.

Аппаратная платформа «Координатора» функционирует на основе адаптированной ОС GNU/Linux. К слову, также имеется и исполнение для развертывания на виртуальной машине ViPNet Coordinator HW VA. Взаимодействие с системой осуществляется через системную консоль, программу управления ViPNet Administrator, либо web-интерфейс, предназначенный лишь для типовых операций управления или мониторинга.
ViPNet Coordinator HW обладает всем необходимым функционалом:

  • VPN - шлюз с использованием алгоритмов шифрования, соответствующим требованиям ГОСТ
  • маршрутизация статическая, динамическая маршрутизация ospf (кроме модификации HW50)
  • межсетевой экран с раздельной настройкой открытого и шифруемого трафика
  • прокси-сервер
  • антиспуфинг
  • агрегирование интерфейсов, резервирование и балансировка WAN
  • приоритезация трафика (QoS)
  • базовые функции, такие как NAT\PAT, VLAN, DNS\NTP – сервер, DHCP – сервер\relay
  • «Сервер открытого интернета» с разделенным доступом клиентов в интернет или локальную сеть
  • возможность организации кластера горячего резервирования во флагманских версиях «Координатора».
В целом, ViPNet Coordinator HW является надежным и зарекомендованным решением на российском рынке, применяемым как в малом бизнесе, так и в сложных высоконагруженных проектах. Продукт способен обеспечить защищенность корпоративной сети на достойном уровне, согласно всем требованиям государственных регуляторов.

Если вам необходимо усовершенствовать безопасность вашей сети, то мы можем с уверенностью рекомендовать данное решение, а также оказать помощь по его тестированию и внедрению в действующую инфраструктуру вашей компании.