Криптошлюз

Криптошлюз (криптографический шлюз, vpn-шлюз, криптомаршрутизатор) — аппаратно-программный комплекс криптографической защиты трафика данных, голоса, видео на основе шифрования пакетов по протоколам IPsec AH и/или IPsec ESP при установлении соединения, соответствующий требованиям к средствам криптографической защиты информации (СКЗИ^[1]) ФСБ России и обеспечивающий базовую функциональность современного VPN-устройства.

Назначение

Криптошлюз предназначен для обеспечения информационной безопасности организации, защиты её информационных сетей от вторжения со стороны сетей передачи данных (Интернет), обеспечения конфиденциальности при передаче информации по открытым каналам связи (VPN), а также организации безопасного доступа пользователей к ресурсам сетей общего пользования.

Криптошлюз обеспечивает базовую функциональность современного VPN-устройства:

1. конфиденциальность и целостность потока IP-пакетов;
2. маскировку топологии сети за счет инкапсуляции трафика в защищенный туннель;
3. прозрачность для NAT;
4. аутентификацию узлов сети и пользователей;
5. унификацию политики безопасности для мобильных и «внутренних» пользователей (динамическое конфигурирование корпоративных IP-адресов для удаленных пользователей «внутри VPN»).

Криптошлюзы представлены как в сегменте VPN устройств, так и в сегменте унифицированных устройств (UTM) объединяющих несколько средств безопасности в одном.

Отличие криптошлюзов от обычных VPN маршрутизаторов заключается в том, что они работают на основе протокола IPSec и обеспечивают защиту информации, передаваемой по каналам связи, используя алгоритмы, которые отвечают требованиям российских криптографических стандартов (ГОСТ 28147-89 и ГОСТ Р 34.10-2001)^[2].

Доступ к ресурсам информационной системы

Криптошлюзы позволяют осуществить защищенный доступ удаленных абонентов к ресурсам корпоративной информационной системы. Доступ производится с использованием специального программного обеспечения, установленным на компьютере пользователя (VPN-клиент) для осуществления защищенного взаимодействия удаленных и мобильных пользователей с криптошлюзом.

Программное обеспечение криптошлюза (сервер доступа) проводит идентификацию и аутентификацию пользователя и осуществляет его связь с ресурсами защищаемой сети. С помощью криптошлюзов формируют виртуальные защищенные каналы в сетях общего пользования (например, Internet), которые гарантируют конфиденциальность и достоверность информации, и организовывать виртуальные частные сети (Virtual Private Network – VPN), представляющие собой объединение локальных сетей или отдельных компьютеров, подключенных к сети общего пользования в единую защищенную виртуальную сеть. Для управления такой сетью обычно используется специальное программное обеспечение (центр управления), которое обеспечивает централизованное управление локальными политиками безопасности VPN-клиентов и криптошлюзов, рассылает для них ключевую информацию и новые конфигурационные данные, обеспечивает ведение системных журналов.

Примечания

1. ↑ Типовые требования по организации и обеспечению функционирования шифро- (крипто-) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены 8 Центром ФСБ России от 21.02.2008 № 149/6/6-622)
2. ↑ Алексей Чернобровцев Криптошлюзы по-русски. Computerworld Россия № 22. Открытые системы (2010). Архивировано из первоисточника 13 сентября 2012. Проверено 28 февраля 2012.

Литература

1. Жданов, О. Н., Золотарев, В. В. Методы и средства криптографической защиты информации: Учебное пособие. — Красноярск: СибГАУ, 2007. — 217 с.

Ссылки

• Объединение локальных сетей офисов и удаленных филиалов. logic-soft. Архивировано из первоисточника 25 мая 2012. Проверено 28 февраля 2012.
• Компоненты АПКШ «Континент» 3.5. Компания «Код Безопасности». Архивировано из первоисточника 25 мая 2012. Проверено 28 февраля 2012.
• Константин Кузовкин Удаленный доступ к информационным ресурсам. Защита информации, передаваемой по каналам связи. i-teco. Архивировано из первоисточника 25 мая 2012. Проверено 28 февраля 2012.

Связать^?

На эту статью не ссылаются другие статьи Википедии. Пожалуйста, воспользуйтесь подсказкой и установите ссылки в соответствии с принятыми рекомендациями.