Обзор применения криптошлюзов

Криптографический шлюз (криптошлюз, криптомаршрутизатор) – программно-аппаратный комплекс криптографической защиты информации, поддерживающий протоколы шифрования трафика (например IPsec), и в большинстве случаев, обладающие функционалом VPN-устройства. Далее по тексту эти устройства будем называть криптошлюзами.

Криптошлюз перенаправляет весь сетевой трафик через себя, при этом осуществляя его шифрование с применением выбранного криптографического алгоритма шифрования. В настоящее время существует два основных архитектурных способа применения криптошлюзов на сети, а именно, архитектуры «клиент-сервер» и «клиент-клиент» (точка-точка). В первом случае, криптошлюз устанавливается на сервере хранения и обработки данных, а клиентское устройство получает доступ к серверу с использованием специализированного программного обеспечения или веб-интерфейса. Второй случай более распространен и подразумевает собой установку криптошлюзов на каждом устройстве в локальной сети.

Основные функции криптошлюзов:

1. Шифрование данных. Криптошлюз шифрует данные, передаваемые между узлами в сети, чтобы предотвратить их перехват и кражу.
2. Аутентификация. Криптошлюз проверяет подлинность каждого узла, прежде чем разрешить им обмен данными. Это помогает предотвратить атак типа «человек посередине».
3. Управление доступом. Криптошлюз имеет возможность контролировать доступ к данным и ресурсам, которые находятся на узлах сети с которыми он осуществляет взаимодействие.
4. Обнаружение и предотвращение компьютерных атак. Криптошлюз может обнаруживать и предотвращать различные виды атак, такие как атаки типа «отказ в доступе», атаки на протоколы передачи данных и пр.
5. Анализ трафика. Криптошлюз имеет возможность собирать информацию о передаваемом в сети трафике и использовать ее для мониторинга и анализа производительности сети.

Самая главная задача криптошлюза на сети передачи данных – шифрование данных, передаваемых по сети. Криптошлюз выполняет специальные криптографические преобразования с информацией с использованием конфиденциального ключа, недоступного злоумышленнику. Это позволяет избежать компрометации передаваемой информации, даже если она попадет в руки к злоумышленнику.

Следующая немаловажная задача криптошлюза, это создание сетей VPN. Виртуальная частная сеть (VPN) – это механизм создания безопасного соединения между вычислительным устройством и компьютерной сетью или между двумя сетями с использованием небезопасного средства связи, такого как общедоступный Интернет. VPN может предоставлять доступ к частной сети (той, которая запрещает или ограничивает публичный доступ) пользователям, у которых нет прямого доступа к ней, например, офисной сети, обеспечивающей безопасный доступ извне через Интернет. Преимущества VPN включают безопасность, снижение затрат на выделенные линии связи и большую гибкость для сотрудников, находящихся на удаленности. VPN создается путем установления виртуального соединения «точка-точка» с использованием туннельных протоколов по существующим сетям.

Обеспечение конфиденциальности и целостности информации между компонентами сети достигается созданием VPN на сетевом уровне посредством модифицированного протокола IPSec.

Блок криптографической защиты входящий в состав криптошлююза обеспечивает сжатие IP-пакетов их шифрование и имитозащиту. Применение сжатия IP-пакетов позволяет увеличить скорость передачи IP-пакетов по низкоскоростным каналам связи и обеспечивает дополнительную защиту при попытке их несанкционированного перехвата во время передачи по открытым каналам связи.

Сжатые IP-пакеты шифруются и инкапсулируются в новый IP-пакет, в котором в качестве IP-адреса источника выступает внешний IP-адрес криптошлюза-отправителя, а в качестве IP-адреса приемника – внешний IP-адрес криптошлюза-получателя. Список адресов, для которых осуществляется шифрование пакетов, определяется списком связанных криптошлюзов и их защищаемых сетей.

Криптошлюз обладает функциями межсетевого экрана – инспектора состояния (stateful inspection firewall). 

Правила фильтрации позволяют разграничить доступ по различным параметрам: 

• интерфейсам криптошлюза
• IP-адресам отправителя и получателя
• номерам портов TCP/UDP
• флагам заголовка пакета
• времени работы правила фильтрации

Таким образом в общем виде криптошлюз можно представить как устройство, которое, в топологии сети расположено сразу же после узла и перед выходом в открытые сети передачи данных.

К криптографическим шлюзам существует ряд требований со стороны регуляторов и федерального законодательства. Существует целый ряд нормативно-правовых актов, в том или ином виде регламентирующих применение криптошлюзов для защиты конфиденциальных данных. Ниже приведены основные:

1. Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
2. Приказ ФСБ РФ от 9 февраля 2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» (Положение ПКЗ-2005);
3. Принципы разработки и модернизации шифровальных (криптографических) средств защиты информации. – Москва: РОССТАНДАРТ, 2016 г.;
4. Положение о сертификации средств защиты информации (утв. постановлением Правительства РФ от 26.06.95 г. № 608 «О сертификации средств защиты информации») (в ред. от 21 апреля 2010 г.);
5. Приказ ФСБ России от 10.07.2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (Зарегистрировано в Минюсте России 18.08.2014 г. № 33620);
6. Приказ ФАПСИ при Президенте Российской Федерации (в настоящее время ФАПСИ упразднено, функции разделены между ФСБ России, ФСО России и СВР России) от 13.06.2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (Зарегистрировано в Минюсте России 06.08.2001 г. № 2848);

Если сделать выжимку из данных нормативно-правовых документов, то основные вехи, которые касаются криптошлюзов следующие:

1. Криптошлюз относится к средствам криптографической защиты информации (далее – СКЗИ). Согласно ПКЗ-2005, криптошлюз включает в себя два вида СКЗИ – средства шифрования (аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении) и ключевые документы (носители ключевой информации, необходимые для реализации криптографических функций шифрования данных).
2. Защите подлежит следующая информация:

• защищаемая с использованием СКЗИ информация в процессе ее обработки в СКЗИ;
• конфигурационная информация;
• управляющая информация;
• информация в электронных журналах регистрации.

3. С учетом требований руководящих документов, защита информации в процессе передачи должна быть основана на:

• аутентификации взаимодействующих сторон;
• криптографической защите передаваемых данных соответствующего уровня;
• подтверждении подлинности и целостности доставленной информации;
• защите от повтора, задержки и удаления сообщений.

По требованиям регуляторов криптошлюзы необходимо использовать на сертифицированых объектах, содержащих в себе информационные системы персональных данных (ИСПДн), информационные системы общего пользования (ИСОП), государственных информационных системах (ГИС) и на объектах критической информационной инфраструктуры Российской Федерации (КИИ).

Для обеспечения информационной безопасности передачи данных в указанных выше объектах критошлюз используется не только для шифрования передаваемого трафика между узлами, но и для выполнения функций межсетевого экрана, анализатора трафика, обеспечения имитозащиты. Криптошлюзы интегрируются в систему обеспечения информационной безопасности, которая состоит из различного рода программно-аппаратных средств защиты информации.

В соответствии с Указом Президента Российской Федерации от 30.03.2022 № 166, с 31 марта 2022 года, заказчики не могут осуществлять закупки оборудования иностранного производства для использования на объектах КИИ. Для отечественных решений предусмотрен специальный реестр Минпромторга России, в которых включается доверенное оборудование российского производства.

Одноплатные криптошлюзы: мини-компьютеры

На текущий момент все больше и больше становятся популярны одноплатные решения (мини-компьютеры), которые могут выполнять несколько ролей в информационной инфраструктуре организации. В промышленных организациях одноплатные мини-компьютеры используются в том числе как контроллеры АСУТП. С использованием такого рода устройств существует возможность построения защищенной сети, построения VPN-туннелей, анализа трафика и пр.

В настоящее время в Российской Федерации создан ряд устройств подобного рода, например, мини-компьютеры – АТБ-АТОМ-1 и АТБ-АТОМ-2, российского производителя «АТБ-электроника». Данные решения отечественного вендора имеют заключения Минпромторга о внесении в два основных реестра продукции Минпромторга России:

1. Реестр промышленной продукции, произведенной на территории Российской Федерации.
2. Единый реестр российской радиоэлектронной продукции.

АТБ-АТОМ-1 и АТБ-АТОМ-2, могут использоваться в качестве криптошлюза, межсетевого экрана, маршрутизатора, сетевого контроллера и пр. Устройства совместимы с отечественными программными средствами защиты информации. В режиме криптошлюза АТБ-АТОМ-1 и АТБ-АТОМ-2 совмещают в себе шифратор трафика, межсетевой экран и маршрутизатор, кроме этого позволяет выполнить трансляцию (преобразование) IP-адресов (NAT) внутренней сети и портов (PAT) с целью сокрытия от злоумышленников их истинных значений.

АТБ-АТОМ-1 и АТБ-АТОМ-2 обеспечивают:

• прием и передачу IP-пакетов по протоколам семейства TCP/IP с возможностью приоритезации IP-трафика;
• сжатие, криптографическое преобразование и имитозащиту IP-пакетов;
• фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации;
• трансляцию сетевых адресов и портов в соответствии с заданными правилами трансляции (NAT/PAT);
• работу с виртуальными локальными сетями (VLAN), организованными в защищаемых сегментах сети;
• скрытие внутренней структуры защищаемого сегмента сети;
• регистрацию событий аудита и их передачу на центр управления сетью;
• идентификацию и аутентификацию администратора при запуске и управлении;
• контроль целостности программного обеспечения.

В качестве криптошлюза АТБ-АТОМ-1 и АТБ-АТОМ-2 целесообразно использовать во всех сфера деятельности, где существует необходимость защиты передаваемых данных. Сетевые интерфейсы и компоненты АТБ-АТОМ-1 и АТБ-АТОМ-2 гальванически развязаны между собой, что обеспечивает максимальную защиту передаваемых данных. Мини-компьютеры АТБ-АТОМ-1 и АТБ-АТОМ-2 полностью совместимы с отечественными операционными системами REDOS, ASTRA Linux и ALT Linux.

Операционная система специального назначения ASTRA Linux отечественного вендора «РусБИТех-Астра» сертифицирована ФСБ России как средство защиты информации для сведений составляющих государственную тайну. Таким образом, эффективность применения мини-компьютеров АТБ-АТОМ-1 и АТБ-АТОМ-2 в связке с операционной системой ASTRA Linux является мощным решением в области информационной безопасности. 

При взаимодействии АТБ-АТОМ-1 и АТБ-АТОМ-2 и ASTRA Linux, пользователь получает возможность осуществления следующих процедур обеспечения информационной безопасности:

1. Мандатное управление доступом.
2. Разграничение режимов защищенности обработки информации, например, режимы «неконфиденциально», «конфиденциально» и «строго конфиденциально».
3. Замкнутая программная среда, обеспечивающая изоляцию исполняемых файлов, с целью защиты внутренних ресурсов.
4. Защита от эксплуатации уязвимостей.

Таким образом, решения компании АТБ-Электроника АТБ-АТОМ-1 и АТБ-АТОМ-2 позволяют выстроить полноценную эшелонированную систему защиты информации с использованием криптографических методов.

Все новости