VPN канал — необходимость практически для всех компаний, которые имеют удаленные филиалы или просто удаленных сотрудников. Для организации этих самых каналов существует довольное большое количество технологий и протоколов (IPSec, GRE. L2TP и т.д.), которые поддерживаются большинством современного оборудования. Однако существует определенная категория организаций, которые вынуждены (именно вынуждены) использовать решения поддерживающие отечественные криптоалгоритмы — ГОСТ VPN. При этом реализовать этот ГОСТ на Linux-подобных системах не составляет особого труда. Однако получить сертификат ФСБ (как средство СКЗИ) — практически невозможно для зарубежных решений (Cisco, Check Point, Fortinet и т.д.). В связи с этим, выбор оборудования резко сужается. До сих пор в подобных случаях рассматривали следующие варианты:

  • S-terra
  • АПКШ Континент
  • Ideco МагПро ГОСТ-VPN
  • Vipnet
  • Застава

Однако, на текущий момент весьма трудно найти решение которое поддерживало бы Гигабитный ГОСТ VPN. Существуют различные «хитрые» способы обойти эту проблему, например поставить несколько устройств на каждой стороне и с помощью балансировки увеличить общую пропускную способность канала используя несколько VPN-туннелей.
Пример от S-terra:

Не всегда данное решение применимо и не всегда «по карману». В поисках компромисса мы узнали о существовании еще одного весьма интересного решения — TSS Diamond. Компания TSS заявляет о возможности своих «железок» организовать VPN канал с пропускной способностью даже больше чем Гигабит. И это с одной железки, без агрегации… Мы решили не верить маркетинговым материалам и протестировать все самостоятельно. Для этого вендор любезно предоставил нам на тест две «железки» — Diamond VPN/FW Enterprise 5111.


Затем мы быстро собрали простейшую схему для теста:


Т.е. два устройства подключены напрямую друг к другу (оптическими линками). Для тестирования пропускной способности VPN-туннеля использовался Cisco Trex.

Настройка


Вкратце опишем процедуру настройки. Вся конфигурация осуществляется через интуитивно понятный Web-интерфейс. В данном случае первый шлюз выступает в роли VPN-сервера, второй — в роли VPN-клиента.

Настройка сервера
1) Настройка сетевых интерфейсов:



2) Добавление сертификатов (install new PKI...):



результат:



3) Настройки VPN подключения:



Состояние должно быть в статусе Running



4) Теперь необходимо прописать маршрут, чтобы «завернуть» трафик в VPN-туннель:



Настройка клиента

1) Настройка сетевых интерфейсов:



2) Добавляем сертификат:



3) Настройки VPN подключения:



Проверяем, что статус Running:



4) «Заворачиваем» трафик с помощью статического маршрута:



После этого в журнале событий можно найти лог об успешном VPN-соединении:



Проверка пропускной способности


Как было сказано ранее, для тестирования пропускной способности VPN-туннеля был использован Cisco Trex. Тестировали как маленькими, так и большими пакетами, причем дуплексом, т.е. сразу в двух направлениях (upload/download). Вот несколько результатов:

1) Пакет 64 байта



2) Пакет 594 байта



3) Пакет 1500 байтов



4) Пакет 9000 байтов



В данном случае все тесты проводились для L3 VPN. Для L2 VPN будут примерно такие же параметры.

Что же пишут в даташите на эту железку? Там значатся следующие параметры:
Пропускная способность VPN — 2,6 Гбит/с
Пропускная способность МЭ в базовой комплектации — 7,5 Гбит/с


В целом, если рассматривать наши синтетические тесты, то параметры сходятся (в части VPN). Кроме того, данные устройства имеют функцию IPS, но это уже тема для отдельной статьи.

Сертификация


Естественно, что при выборе устройства с ГОСТ VPN, первый интересующий вопрос — наличие сертификатов. Устройства TSS Diamond обладают следующими сертификатами соответствия:

  • «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) – по 3 классу защищенности;
  • «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) – по 2 уровню контроля
  • а также документов:
  • «Требования к системам обнаружения вторжений» (ФСТЭК России, 2011);
  • «Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты. ИТ.СОВ.С4.ПЗ» (ФСТЭК России, 2012);
  • «Требования к межсетевым экранам» (ФСТЭК России, 2016);
  • «Профиль защиты межсетевых экранов типа «А» четвертого класса защиты ИТ.МЭ.А4.ПЗ (ФСТЭК России, 2016)»;
  • •«Профиль защиты межсетевых экранов типа «Б» четвертого класса защиты ИТ.МЭ.Б4.ПЗ (ФСТЭК России, 2016)»;
  • «Профиль защиты межсетевых экранов типа «В» четвертого класса защиты ИТ.МЭ.В4.ПЗ (ФСТЭК России, 2016)».

Криптографическая подсистема изделия DCrypt имеет сертификат соответствия по классу — КС1 КС2 КС3.

Выводы


На наш субъективный взгляд, данное оборудование неплохо подходит для решения задачи организации ГОСТ VPN-туннеля с высокой пропускной способностью (например для связи двух ЦОД-ов). Все заявленные функции выполняются. Требовать от этого устройства чего-то больше (кроме VPN) не вижу смысла. Кроме того, в линейке TSS Dimond есть и более «мелкие» модели, которые подойдут для небольших и средних филиалов (Diamond VPN/FW 1101, 2111, 3101, 4101, 4105). Самая младшая модель 1101 на тестах выдает не менее 100 Мбит ГОСТ VPN (пакетами 1500).

Если есть дополнительные вопросы по TSS Diamond, то можете смело обращаться к нам.

P.S. Если в списке решений по организации ГОСТ VPN отсутствует какое-то известное вам оборудование (или софт), то напишите пожалуйста это в комментариях.
Какое решение вы используете для организации сертифицированного ГОСТ VPN?

Проголосовало 54 человека. Воздержалось 49 человек.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Поделиться с друзьями
-->

Комментарии (29)


  1. ifaustrue
    01.08.2017 15:59

    Простите, но как соотносится названий компании на хабре и фраза

    В поисках компромисса мы узнали о существовании еще одного весьма интересного решения — TSS Diamond.


    Вы в своей компании не знали о таком решении?


    1. cooper051
      01.08.2017 16:04
      +1

      Наша компания это TS Solution. TSS — это совершенно другая организация. Но созвучно, согласен)


  1. xi-tauw
    01.08.2017 22:57
    +1

    Сложно удержаться


    1. cooper051
      02.08.2017 08:41

      Континент не тестировали)


  1. belyvoron
    02.08.2017 08:36

    Схема от S-Terra предлагалась ими для решения на 10G, а совсем даже не на 1G, как вы пишете. Более того, эта схема уже устарела, потому как S-Terra выпустила (или должна выпустить — я уже потерялся, пощупать точно можно, купить — не знаю) шлюз на 10G в одной коробке.


    1. cooper051
      02.08.2017 08:38

      Последний раз, когда я работал с S-Terra, то самой мощной моделью была VPN GATE 7000 (на HP сервере). Гигабит она даже близко не выдавала. По поводу 10G ничего не слышал, но если появится такая модель, то здорово! Существенно упростит жизнь проектировщикам)


      1. Serenevenkiy
        02.08.2017 09:09

        Может я отстал от жизни немного, но 10G это ведь конфиграция ЦОД > < ЦОД. В чём тут сложность для проектировщиков?


        1. cooper051
          02.08.2017 10:14

          Это был сарказм. В целом на схеме вместо нескольких «железок» с каждый стороны, будет по одной на 10Г


      1. snx
        02.08.2017 10:55

        Все адекватные вендоры на рынке имеют решения с сопоставимыми скоростями.
        С-Терра Шлюз 7000 выдает 2500.
        При этом в тестах никто из вендоров не выдаст даже 500 Мб/с на пакетах 64 байт.
        Это не относится к решениям для 10G и выше.

        Насчет 10G — никто не будет ставить одну пару железок, всем нужна отказоустойчивость и здесь мы снова вернемся к схеме от С-Терра.


        1. cooper051
          02.08.2017 11:03

          Да, с мелкими пакетами данная модель больше 300 не выдает. Собственно на скринах это видно.


  1. moonug
    02.08.2017 09:18

    На вид очень похоже на железки от Lanner.
    А внутри, случаем, не VyOS/Vyatta?

    Вы для конфиденциальной связи VPN рассматривали, я правильно понимаю?


    1. apilichev
      02.08.2017 10:32

      Имхо это реально Lanner. По любому Linux какой-нибудь внутри. Хотя что тут удивляться, все остальные юзают тоже самое, добавят криптобиблиотеки и в продакшн. Производители…


      1. snx
        02.08.2017 11:05

        В России не производятся процессоры уровня Intel.
        Да и в мире таких производителей по пальцам одной руки можно пересчитать.
        Если процессор все-равно буржуйский, то какая разница, кто производит остальное железо?


        1. apilichev
          02.08.2017 11:09

          Процессор Байкал?


          1. moonug
            02.08.2017 11:14

            Он, все таки, условно российский.
            Здесь надо эльбрус вспоминать, но пока не сделали, насколько я знаю.
            Да и не дело это процом трафик молотить.


          1. snx
            02.08.2017 11:14

            Не выдаст он такой производительности.
            Подвижки есть, не спорю. И это радует!
            Но до Intel там еще десятилетия работы.


            1. cooper051
              02.08.2017 11:19

              Лично мне больше нравятся оптические шифраторы для организации защищенного канала между цодами. Но там нет ГОСТ-а и вряд ли будет.


      1. moonug
        02.08.2017 11:12

        Не, ну тоже решение. Не всегда надо велосипеды строить. Главное не пытаться скрыть это :).

        Есть и те, кто на плис делает шифраторы. Мне такое решение больше нравится, лично.


  1. Vinni37
    02.08.2017 10:11

    У основных игроков на рынке есть гигабитные решения, вопрос цены.
    С полгода назад тестировали младшие модели, прошивка сырая, через «удобный» WEB интерфейс делается далеко не все, часто приходится лезть в консоль. WEB интерфейс частенько падает, и много не доработок. К примеру если master шлюз (VPN сервер) упал/умер/сгорел то клиента вы из режима slave вы уже никогда не выведете (только пере прошивка) и таких мелочей много. Общее мнение если ViPNet или Континент хоть как то напоминает Enterprise решение, то диамонд больше смахивает на proof of concept, да работает, да имеет место жить, но пилить его еще долго.


  1. demjj
    02.08.2017 10:14

    Криптографическая подсистема изделия DCrypt имеет сертификат соответствия по классу — КС1 КС2 КС3.

    Т.е. само устройство не сертифицировано как ПАК на СКЗИ?
    Требуется ли в этом случае проверка на корректность встраивания?


    1. Hardened
      02.08.2017 16:44

      Действительно, за длинным перечнем сертификатов на МЭ, СОВ, НДВ и НСД от ФСТЭК как-то оказалось замылено отсутствие сертификата самого ФСБ на ПАК.

      Для того, чтобы осознать разницу в сертификатах указывается целевое применение СКЗИ:
      Для криптобиблиотеки выглядит так «может использоваться для криптографической защиты (шифрование данных, содержащихся в областях оперативной памяти, вычисление имитовставки для данных, содержащихся в областях оперативной памяти, вычисление значения хэш-функции для данных, содержащихся в областях оперативной памяти, защита TLS-соединений»
      Для шлюза выглядит так «может использоватьсядля криптографической защиты (шифрование и имитозащита данных, передаваемых в IP-пакетах»

      Хотелось бы получить комментарий автора по вопросу demjj


      1. cooper051
        02.08.2017 16:47

        Ответ ниже от tssltd


  1. tssltd
    02.08.2017 16:44
    +2

    Добрый день! Меня зовут Илья Шарапов. Я работаю в компании ТСС. Большое спасибо компании TS Solution за обзор программно-аппаратного комплекса. Ниже, я отвечу на вопросы:

    belyvoron 2 августа 2017 в 08:36

    Схема от S-Terra предлагалась ими для решения на 10G, а совсем даже не на 1G, как вы пишете. Более того, эта схема уже устарела, потому как S-Terra выпустила (или должна выпустить — я уже потерялся, пощупать точно можно, купить — не знаю) шлюз на 10G в одной коробке.

    Этот обзор посвящен младшей модели, шифрующей трафик на скоростях до 2,2 Гбит/сек на пакетах по 1500 байт. Имеено ее захотел протестировать партнер. Но наша линейка программно-аппаратных комплексов Diamond VPN/FW этим не ограничивается: в арсенале компании есть другие, более мощные устройства, показывающие значительно большую скорость шифрования. Например, модель 7-й серии показывает скорость 15 Гбит/сек на пакетах по 1500 байт. Есть и новинка размером 1U, которая продемонстрировала при тестировании на Cisco Trex и Ixia 19,3 Гбит/сек на пакетах по 1500 байт. Здесь можно узнать детали тестирования. В ближайшее время, учитывая интерес на Хабре, мы подготовим обзор старшей линейки.

    moonug 2 августа 2017 в 09:18

    На вид очень похоже на железки от Lanner.
    А внутри, случаем, не VyOS/Vyatta?

    Вы для конфиденциальной связи VPN рассматривали, я правильно понимаю?

    Мы используем оборудование нескольких крупных мировых производителей, в т.ч. Lanner. Само решение по сути программное, но поставляется как appliance для удобства поддержки линейки. Вся суть — в высокой производительности на платформе общего назначения. Кстати, платформы Lanner используются также некоторыми другими крупными мировыми производителями — можете погуглить какими :)

    Vinni37 2 августа 2017 в 10:11

    У основных игроков на рынке есть гигабитные решения, вопрос цены.
    С полгода назад тестировали младшие модели, прошивка сырая, через «удобный» WEB интерфейс делается далеко не все, часто приходится лезть в консоль. WEB интерфейс частенько падает, и много не доработок. К примеру если master шлюз (VPN сервер) упал/умер/сгорел то клиента вы из режима slave вы уже никогда не выведете (только пере прошивка) и таких мелочей много. Общее мнение если ViPNet или Континент хоть как то напоминает Enterprise решение, то диамонд больше смахивает на proof of concept, да работает, да имеет место жить, но пилить его еще долго.

    Безусловно, мы активно дорабатываем функционал: выводим его в web-интерфейс, и уже сейчас практически все функции представлены в web. Благодаря этому мы твердо можешь сказать: Diamond VPN/FW – это сертифицированное СКЗИ, которое по надежности и своему функционалу не уступает другим аналогичным комплексам, а по многим параметрам значительно превосходит конкурентов.
    Что касается “даймонд это proOf of concept”, наши программно-аппаратные комплексы уже давно стоят на «боевое дежурство» в нескольких десятках ЦОДах.

    demjj 2 августа 2017 в 10:14

    Криптографическая подсистема изделия DCrypt имеет сертификат соответствия по классу — КС1 КС2 КС3.
    Т.е. само устройство не сертифицировано как ПАК на СКЗИ?
    Требуется ли в этом случае проверка на корректность встраивания?

    Согласно Формуляру и Правилам пользования на СКЗИ Dcrypt, а также соответствующей конструкторской документации, данное СКЗИ является законченным программным средством шифрования, применяемым среди прочего для защиты каналов связи и реализующего функции выработки общего секретного ключа и организации защищенного соединения по протоколу DTLS. Простыми словами — вся VPN составляющая комплекса прошла установленным порядком процедуру сертификации. Отдельной проверки корректности встраивания при использовании функционала VPN не требуется.
    Два сертификата у нас в связи с тем, что до настоящего времени комплекс выпускается совместно с ОАО «БИТК» — разработчиком СКЗИ. В настоящее время начата процедура объединения сертификатов под общим названием и одним юр лицом — но это чисто организационный вопрос разработчиков.


    1. moonug
      03.08.2017 09:37

      Мы используем оборудование нескольких крупных мировых производителей, в т.ч. Lanner. Само решение по сути программное, но поставляется как appliance для удобства поддержки линейки. Вся суть — в высокой производительности на платформе общего назначения. Кстати, платформы Lanner используются также некоторыми другими крупными мировыми производителями — можете погуглить какими :)

      Да я и не говорил, что использовать Lanner это что-то плохое. Нормальные железки.
      А вот поверх чего бежит ваш софт, очень важно.
      Например, есть производитель, у которого раньше бегало все поверх МСВС, потом они перешли на Astra Linux.
      В целом астра приятней мсвс, но, например, ethtool пропал.

      А нормализатор у вас есть?


      1. tssltd
        03.08.2017 11:19

        Мы не используем никакой дистрибутив, а собираем ядро и окружение под свои нужды. Это несложно и легко автоматизируется. Что Вы имеете ввиду под нормализатором?


        1. moonug
          03.08.2017 13:53

          Понятно.
          И дистрибутив, собранный вами, вы не сертифицируете?

          Нормализатор трафика это софт, например, который исключает канал утечки через длину пакетов, интервал и т.д.


          1. tssltd
            04.08.2017 16:17

            В данном обзоре представлены решения, поставляемые для защиты конфиденциальной информации от типовых угроз. Cредства выравнивания характеристик траффика у нас имеются, однако они не входят в стандартный комплект поставки данного устройства. В случае, если у вас есть интерес к устройствам более высоких классов защиты, или в вашей организации актуальны угрозы, выходящие за перечень стандартно рассматриваемых угроз, целесообразно обсудить это лично.


    1. Hardened
      03.08.2017 13:27
      +1

      Простыми словами — вся VPN составляющая комплекса прошла установленным порядком процедуру сертификации. Отдельной проверки корректности встраивания при использовании функционала VPN не требуется.


      Тем не менее, ваши коллеги по цеху, достаточно уважаемые компании, проводят сертификацию ПАК, а не только криптобиблиотеки.

      Ваша позиция, как производителя, понятна. Но она была бы куда более весомой, если бы вы, к примеру, приложили сканы запроса в ФСБ/ФСТЭК и соответствующего ответа регулятора, что проверка корректности встраивания не требуется.


      1. tssltd
        04.08.2017 16:11

        Это довольно логично — если у коллег ПАК, то они проводят его сертификацию как ПАК. У нас программное решение на платформах по списку, приведенному в формуляре, выполняющее соответствующие функции. Соответственно, комплекс сертифицирован как программное решение на платформах по этому же списку.
        «Вес позиции» в этом вопросе определяется не количеством писем, а действующим законодательством, конструкторской и эксплуатационной документации. Мы имеем соответствующее Техническое Задание, Формуляр и Правила Пользования СКЗИ, согласованные в уполномоченном государственном органе. Именно эти документы являются основными при эксплуатации средств криптографической защиты информации на объектах информатизации. Учитывая изложенное в этих документах, в дополнительных письмах мы смысла не видим. В случае, если ваш интерес выходит за рамки данной дискуссии, мы готовы ознакомить вас с соответствующей эксплуатационной документацией, а также необходимыми выписками из конструкторской документации. Если после этого вы будете видеть необходимость в письме — то мы можем его сделать.