- S-terra
- АПКШ Континент
- Ideco МагПро ГОСТ-VPN
- Vipnet
- Застава
Однако, на текущий момент весьма трудно найти решение которое поддерживало бы Гигабитный ГОСТ VPN. Существуют различные «хитрые» способы обойти эту проблему, например поставить несколько устройств на каждой стороне и с помощью балансировки увеличить общую пропускную способность канала используя несколько VPN-туннелей.
Пример от S-terra:
Не всегда данное решение применимо и не всегда «по карману». В поисках компромисса мы узнали о существовании еще одного весьма интересного решения — TSS Diamond. Компания TSS заявляет о возможности своих «железок» организовать VPN канал с пропускной способностью даже больше чем Гигабит. И это с одной железки, без агрегации… Мы решили не верить маркетинговым материалам и протестировать все самостоятельно. Для этого вендор любезно предоставил нам на тест две «железки» — Diamond VPN/FW Enterprise 5111.
Затем мы быстро собрали простейшую схему для теста:
Т.е. два устройства подключены напрямую друг к другу (оптическими линками). Для тестирования пропускной способности VPN-туннеля использовался Cisco Trex.
Настройка
Вкратце опишем процедуру настройки. Вся конфигурация осуществляется через интуитивно понятный Web-интерфейс. В данном случае первый шлюз выступает в роли VPN-сервера, второй — в роли VPN-клиента.
Настройка сервера
1) Настройка сетевых интерфейсов:
2) Добавление сертификатов (install new PKI...):
результат:
3) Настройки VPN подключения:
Состояние должно быть в статусе Running
4) Теперь необходимо прописать маршрут, чтобы «завернуть» трафик в VPN-туннель:
Настройка клиента
1) Настройка сетевых интерфейсов:
2) Добавляем сертификат:
3) Настройки VPN подключения:
Проверяем, что статус Running:
4) «Заворачиваем» трафик с помощью статического маршрута:
После этого в журнале событий можно найти лог об успешном VPN-соединении:
Проверка пропускной способности
Как было сказано ранее, для тестирования пропускной способности VPN-туннеля был использован Cisco Trex. Тестировали как маленькими, так и большими пакетами, причем дуплексом, т.е. сразу в двух направлениях (upload/download). Вот несколько результатов:
1) Пакет 64 байта
2) Пакет 594 байта
3) Пакет 1500 байтов
4) Пакет 9000 байтов
В данном случае все тесты проводились для L3 VPN. Для L2 VPN будут примерно такие же параметры.
Что же пишут в даташите на эту железку? Там значатся следующие параметры:
Пропускная способность VPN — 2,6 Гбит/с
Пропускная способность МЭ в базовой комплектации — 7,5 Гбит/с
В целом, если рассматривать наши синтетические тесты, то параметры сходятся (в части VPN). Кроме того, данные устройства имеют функцию IPS, но это уже тема для отдельной статьи.
Сертификация
Естественно, что при выборе устройства с ГОСТ VPN, первый интересующий вопрос — наличие сертификатов. Устройства TSS Diamond обладают следующими сертификатами соответствия:
- «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) – по 3 классу защищенности;
- «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) – по 2 уровню контроля
- а также документов:
- «Требования к системам обнаружения вторжений» (ФСТЭК России, 2011);
- «Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты. ИТ.СОВ.С4.ПЗ» (ФСТЭК России, 2012);
- «Требования к межсетевым экранам» (ФСТЭК России, 2016);
- «Профиль защиты межсетевых экранов типа «А» четвертого класса защиты ИТ.МЭ.А4.ПЗ (ФСТЭК России, 2016)»;
- •«Профиль защиты межсетевых экранов типа «Б» четвертого класса защиты ИТ.МЭ.Б4.ПЗ (ФСТЭК России, 2016)»;
- «Профиль защиты межсетевых экранов типа «В» четвертого класса защиты ИТ.МЭ.В4.ПЗ (ФСТЭК России, 2016)».
Криптографическая подсистема изделия DCrypt имеет сертификат соответствия по классу — КС1 КС2 КС3.
Выводы
На наш субъективный взгляд, данное оборудование неплохо подходит для решения задачи организации ГОСТ VPN-туннеля с высокой пропускной способностью (например для связи двух ЦОД-ов). Все заявленные функции выполняются. Требовать от этого устройства чего-то больше (кроме VPN) не вижу смысла. Кроме того, в линейке TSS Dimond есть и более «мелкие» модели, которые подойдут для небольших и средних филиалов (Diamond VPN/FW 1101, 2111, 3101, 4101, 4105). Самая младшая модель 1101 на тестах выдает не менее 100 Мбит ГОСТ VPN (пакетами 1500).
Если есть дополнительные вопросы по TSS Diamond, то можете смело обращаться к нам.
P.S. Если в списке решений по организации ГОСТ VPN отсутствует какое-то известное вам оборудование (или софт), то напишите пожалуйста это в комментариях.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Комментарии (29)
xi-tauw
01.08.2017 22:57+1Сложно удержаться
belyvoron
02.08.2017 08:36Схема от S-Terra предлагалась ими для решения на 10G, а совсем даже не на 1G, как вы пишете. Более того, эта схема уже устарела, потому как S-Terra выпустила (или должна выпустить — я уже потерялся, пощупать точно можно, купить — не знаю) шлюз на 10G в одной коробке.
cooper051
02.08.2017 08:38Последний раз, когда я работал с S-Terra, то самой мощной моделью была VPN GATE 7000 (на HP сервере). Гигабит она даже близко не выдавала. По поводу 10G ничего не слышал, но если появится такая модель, то здорово! Существенно упростит жизнь проектировщикам)
Serenevenkiy
02.08.2017 09:09Может я отстал от жизни немного, но 10G это ведь конфиграция ЦОД > < ЦОД. В чём тут сложность для проектировщиков?
cooper051
02.08.2017 10:14Это был сарказм. В целом на схеме вместо нескольких «железок» с каждый стороны, будет по одной на 10Г
snx
02.08.2017 10:55Все адекватные вендоры на рынке имеют решения с сопоставимыми скоростями.
С-Терра Шлюз 7000 выдает 2500.
При этом в тестах никто из вендоров не выдаст даже 500 Мб/с на пакетах 64 байт.
Это не относится к решениям для 10G и выше.
Насчет 10G — никто не будет ставить одну пару железок, всем нужна отказоустойчивость и здесь мы снова вернемся к схеме от С-Терра.
cooper051
02.08.2017 11:03Да, с мелкими пакетами данная модель больше 300 не выдает. Собственно на скринах это видно.
moonug
02.08.2017 09:18На вид очень похоже на железки от Lanner.
А внутри, случаем, не VyOS/Vyatta?
Вы для конфиденциальной связи VPN рассматривали, я правильно понимаю?
apilichev
02.08.2017 10:32Имхо это реально Lanner. По любому Linux какой-нибудь внутри. Хотя что тут удивляться, все остальные юзают тоже самое, добавят криптобиблиотеки и в продакшн. Производители…
snx
02.08.2017 11:05В России не производятся процессоры уровня Intel.
Да и в мире таких производителей по пальцам одной руки можно пересчитать.
Если процессор все-равно буржуйский, то какая разница, кто производит остальное железо?
moonug
02.08.2017 11:12Не, ну тоже решение. Не всегда надо велосипеды строить. Главное не пытаться скрыть это :).
Есть и те, кто на плис делает шифраторы. Мне такое решение больше нравится, лично.
Vinni37
02.08.2017 10:11У основных игроков на рынке есть гигабитные решения, вопрос цены.
С полгода назад тестировали младшие модели, прошивка сырая, через «удобный» WEB интерфейс делается далеко не все, часто приходится лезть в консоль. WEB интерфейс частенько падает, и много не доработок. К примеру если master шлюз (VPN сервер) упал/умер/сгорел то клиента вы из режима slave вы уже никогда не выведете (только пере прошивка) и таких мелочей много. Общее мнение если ViPNet или Континент хоть как то напоминает Enterprise решение, то диамонд больше смахивает на proof of concept, да работает, да имеет место жить, но пилить его еще долго.
demjj
02.08.2017 10:14Криптографическая подсистема изделия DCrypt имеет сертификат соответствия по классу — КС1 КС2 КС3.
Т.е. само устройство не сертифицировано как ПАК на СКЗИ?
Требуется ли в этом случае проверка на корректность встраивания?
Hardened
02.08.2017 16:44Действительно, за длинным перечнем сертификатов на МЭ, СОВ, НДВ и НСД от ФСТЭК как-то оказалось замылено отсутствие сертификата самого ФСБ на ПАК.
Для того, чтобы осознать разницу в сертификатах указывается целевое применение СКЗИ:
Для криптобиблиотеки выглядит так «может использоваться для криптографической защиты (шифрование данных, содержащихся в областях оперативной памяти, вычисление имитовставки для данных, содержащихся в областях оперативной памяти, вычисление значения хэш-функции для данных, содержащихся в областях оперативной памяти, защита TLS-соединений»
Для шлюза выглядит так «может использоватьсядля криптографической защиты (шифрование и имитозащита данных, передаваемых в IP-пакетах»
Хотелось бы получить комментарий автора по вопросу demjj
tssltd
02.08.2017 16:44+2Добрый день! Меня зовут Илья Шарапов. Я работаю в компании ТСС. Большое спасибо компании TS Solution за обзор программно-аппаратного комплекса. Ниже, я отвечу на вопросы:
belyvoron 2 августа 2017 в 08:36
Схема от S-Terra предлагалась ими для решения на 10G, а совсем даже не на 1G, как вы пишете. Более того, эта схема уже устарела, потому как S-Terra выпустила (или должна выпустить — я уже потерялся, пощупать точно можно, купить — не знаю) шлюз на 10G в одной коробке.
Этот обзор посвящен младшей модели, шифрующей трафик на скоростях до 2,2 Гбит/сек на пакетах по 1500 байт. Имеено ее захотел протестировать партнер. Но наша линейка программно-аппаратных комплексов Diamond VPN/FW этим не ограничивается: в арсенале компании есть другие, более мощные устройства, показывающие значительно большую скорость шифрования. Например, модель 7-й серии показывает скорость 15 Гбит/сек на пакетах по 1500 байт. Есть и новинка размером 1U, которая продемонстрировала при тестировании на Cisco Trex и Ixia 19,3 Гбит/сек на пакетах по 1500 байт. Здесь можно узнать детали тестирования. В ближайшее время, учитывая интерес на Хабре, мы подготовим обзор старшей линейки.
moonug 2 августа 2017 в 09:18
На вид очень похоже на железки от Lanner.
А внутри, случаем, не VyOS/Vyatta?
Вы для конфиденциальной связи VPN рассматривали, я правильно понимаю?
Мы используем оборудование нескольких крупных мировых производителей, в т.ч. Lanner. Само решение по сути программное, но поставляется как appliance для удобства поддержки линейки. Вся суть — в высокой производительности на платформе общего назначения. Кстати, платформы Lanner используются также некоторыми другими крупными мировыми производителями — можете погуглить какими :)
Vinni37 2 августа 2017 в 10:11
У основных игроков на рынке есть гигабитные решения, вопрос цены.
С полгода назад тестировали младшие модели, прошивка сырая, через «удобный» WEB интерфейс делается далеко не все, часто приходится лезть в консоль. WEB интерфейс частенько падает, и много не доработок. К примеру если master шлюз (VPN сервер) упал/умер/сгорел то клиента вы из режима slave вы уже никогда не выведете (только пере прошивка) и таких мелочей много. Общее мнение если ViPNet или Континент хоть как то напоминает Enterprise решение, то диамонд больше смахивает на proof of concept, да работает, да имеет место жить, но пилить его еще долго.
Безусловно, мы активно дорабатываем функционал: выводим его в web-интерфейс, и уже сейчас практически все функции представлены в web. Благодаря этому мы твердо можешь сказать: Diamond VPN/FW – это сертифицированное СКЗИ, которое по надежности и своему функционалу не уступает другим аналогичным комплексам, а по многим параметрам значительно превосходит конкурентов.
Что касается “даймонд это proOf of concept”, наши программно-аппаратные комплексы уже давно стоят на «боевое дежурство» в нескольких десятках ЦОДах.
demjj 2 августа 2017 в 10:14
Криптографическая подсистема изделия DCrypt имеет сертификат соответствия по классу — КС1 КС2 КС3.
Т.е. само устройство не сертифицировано как ПАК на СКЗИ?
Требуется ли в этом случае проверка на корректность встраивания?
Согласно Формуляру и Правилам пользования на СКЗИ Dcrypt, а также соответствующей конструкторской документации, данное СКЗИ является законченным программным средством шифрования, применяемым среди прочего для защиты каналов связи и реализующего функции выработки общего секретного ключа и организации защищенного соединения по протоколу DTLS. Простыми словами — вся VPN составляющая комплекса прошла установленным порядком процедуру сертификации. Отдельной проверки корректности встраивания при использовании функционала VPN не требуется.
Два сертификата у нас в связи с тем, что до настоящего времени комплекс выпускается совместно с ОАО «БИТК» — разработчиком СКЗИ. В настоящее время начата процедура объединения сертификатов под общим названием и одним юр лицом — но это чисто организационный вопрос разработчиков.moonug
03.08.2017 09:37Мы используем оборудование нескольких крупных мировых производителей, в т.ч. Lanner. Само решение по сути программное, но поставляется как appliance для удобства поддержки линейки. Вся суть — в высокой производительности на платформе общего назначения. Кстати, платформы Lanner используются также некоторыми другими крупными мировыми производителями — можете погуглить какими :)
Да я и не говорил, что использовать Lanner это что-то плохое. Нормальные железки.
А вот поверх чего бежит ваш софт, очень важно.
Например, есть производитель, у которого раньше бегало все поверх МСВС, потом они перешли на Astra Linux.
В целом астра приятней мсвс, но, например, ethtool пропал.
А нормализатор у вас есть?tssltd
03.08.2017 11:19Мы не используем никакой дистрибутив, а собираем ядро и окружение под свои нужды. Это несложно и легко автоматизируется. Что Вы имеете ввиду под нормализатором?
moonug
03.08.2017 13:53Понятно.
И дистрибутив, собранный вами, вы не сертифицируете?
Нормализатор трафика это софт, например, который исключает канал утечки через длину пакетов, интервал и т.д.tssltd
04.08.2017 16:17В данном обзоре представлены решения, поставляемые для защиты конфиденциальной информации от типовых угроз. Cредства выравнивания характеристик траффика у нас имеются, однако они не входят в стандартный комплект поставки данного устройства. В случае, если у вас есть интерес к устройствам более высоких классов защиты, или в вашей организации актуальны угрозы, выходящие за перечень стандартно рассматриваемых угроз, целесообразно обсудить это лично.
Hardened
03.08.2017 13:27+1Простыми словами — вся VPN составляющая комплекса прошла установленным порядком процедуру сертификации. Отдельной проверки корректности встраивания при использовании функционала VPN не требуется.
Тем не менее, ваши коллеги по цеху, достаточно уважаемые компании, проводят сертификацию ПАК, а не только криптобиблиотеки.
Ваша позиция, как производителя, понятна. Но она была бы куда более весомой, если бы вы, к примеру, приложили сканы запроса в ФСБ/ФСТЭК и соответствующего ответа регулятора, что проверка корректности встраивания не требуется.tssltd
04.08.2017 16:11Это довольно логично — если у коллег ПАК, то они проводят его сертификацию как ПАК. У нас программное решение на платформах по списку, приведенному в формуляре, выполняющее соответствующие функции. Соответственно, комплекс сертифицирован как программное решение на платформах по этому же списку.
«Вес позиции» в этом вопросе определяется не количеством писем, а действующим законодательством, конструкторской и эксплуатационной документации. Мы имеем соответствующее Техническое Задание, Формуляр и Правила Пользования СКЗИ, согласованные в уполномоченном государственном органе. Именно эти документы являются основными при эксплуатации средств криптографической защиты информации на объектах информатизации. Учитывая изложенное в этих документах, в дополнительных письмах мы смысла не видим. В случае, если ваш интерес выходит за рамки данной дискуссии, мы готовы ознакомить вас с соответствующей эксплуатационной документацией, а также необходимыми выписками из конструкторской документации. Если после этого вы будете видеть необходимость в письме — то мы можем его сделать.
ifaustrue
Простите, но как соотносится названий компании на хабре и фраза
Вы в своей компании не знали о таком решении?
cooper051
Наша компания это TS Solution. TSS — это совершенно другая организация. Но созвучно, согласен)