С-Терра CSCO-STVM 4.2
С-Терра CSCO-STVM, версия 4.2
s-terra-csco-stvm-4-2
#ORDER_BUTTON#
В состав изделия входит СКЗИ «С-Терра VPN» версии 4.2.
Класс сертификации СКЗИ: КС1
Документация по установке и эксплуатации Виртуального модуля CSCO‑STVM 4.2.
С-Терра CSCO-STVM – это виртуальный модуль для маршрутизаторов Cisco ISR серии 4000, обладающий функциональностью сертифицированного VPN-шлюза и межсетевого экрана.
В настоящее время тестовые испытания проведены для моделей 4321 и 4331. Также возможно использование виртуального модуля С-Терра CSCO-STVM на других моделях маршрутизаторов: 4351, 4431, 4451.
Производительность*
Маршрутизатор Cisco ISR
|
Производительность шифрования
(1 ядро), Мбит/c
|
Максимальное количество туннелей (1 ядро)
|
IMIX
|
Максимальная
|
4321
|
30
|
65
|
50
|
4331
|
30
|
65
|
* Производительность указана для IOS XE версии 16.3.1
В таблице указаны данные для режима L3. Конфиденциальность и имитозащита информации обеспечиваются с помощью комбинированного преобразования ESP_GOST-4M-IMIT (ГОСТ 28147‑89).
-
Надежная защита передаваемого трафика
- Шифрование и имитозащита передаваемого трафика – по протоколам IPsec (RFC2401-2412), с использованием современных российских криптографических алгоритмов
- Маскировка топологии защищаемого сегмента сети
- Аутентификация устройств – по протоколу IKE (RFC2401-2412)
- Интегрированный межсетевой экран со stateless фильтрацией IP-трафика и stateful фильтрацией для протоколов TCP и FTP
-
Построение защищенных сетей любой сложности
- Полноценная поддержка инфраструктуры PKI
- Широкие возможности для администратора: задание гибкой политики безопасности, определение различных наборов правил обработки открытого и шифрованного трафика, в т.ч. реализация сценария split tunneling
- Поддержка различных топологий, в том числе: точка-точка, звезда, иерархическое дерево, частично- и полносвязная топология
- Возможность построения нескольких эшелонов защиты, организации перешифрования
- Возможность применения сценария на базе технологии, аналогичной DMVPN
-
Легкая интеграция в существующую инфраструктуру
Совместимость со всеми необходимыми протоколами, в том числе:
- интеграция с RADIUS сервером
- выдача IKECFG-адресов для С-Терра Клиент
- объединение устройств в кластер по протоколу VRRP
- динамическая маршрутизация RIP и OSPF (в том числе для сценария балансировки нагрузки RRI)
- поддержка VLAN, LACP
- GRE (в том числе для резервирования провайдеров)
- работа через NAT (NAT Traversal)
- событийное протоколирование – Syslog
- мониторинг SNMP
- инкапсуляция IPsec трафика в HTTP (IPsec-over-HTTP)
-
Высокая надежность и производительность
- Поддержка сценариев обеспечения отказоустойчивости с резервированием шлюзов безопасности, сетевых интерфейсов и каналов провайдеров
- Поддержка режима сохранения защищенных туннелей при перезагрузке политики безопасности
- Возможность использования для защиты трафика, требовательного к задержкам и потерям пакетов, такого как IP-телефония и ВКС
- Поддержка QoS
- IPsec VPN с ГОСТ‑алгоритмами
- Оперативная адаптация к меняющимся задачам и требованиям сетевых приложений и инфраструктуры
- Легкое сохранение или восстановление резервной копии
- Удаленное централизованное управление
- Экономия пространства
- Снижение энергопотребления
- Низкая стоимость эксплуатации
- Надежный производитель, проверенный временем
- Выполнение требований по защите ПДн из Приказа №21 ФСТЭК России и Приказа №378 ФСБ России
- Все преимущества С-Терра Виртуальный Шлюз версии 4.2
Наименование
|
Спецификация
|
Криптографические библиотеки
|
С-Терра ST – встроенная
|
Информационные обмены протокола IKE
|
Main mode
Aggressive mode
Quick mode
Transaction Exchanges
Informational Exchanges
VKO ГОСТ Р 34.10-2001
VKO ГОСТ Р 34.10-2012, 256 бит
|
Шифрование
Аутентификация
Имитозащита
|
ГОСТ 28147-89
ГОСТ Р 34.10-2012
ГОСТ Р 34.11-2012
ГОСТ Р 34.12-2015
ГОСТ Р 34.13-2015
|
Мониторинг доступности удаленного узла
|
Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04)
|
Событийное протоколирование
|
Syslog
|
Сбор статистики
|
SNMP v.1, v.2c
|
Формат сертификатов публичных ключей
|
X.509 v.3 (RSA, ГОСТ). Учтены изменения в соответствии с «Приказ ФСБ России от 27.12.2011 № 795» и «ГОСТ Р ИСО 17090-2-2010 Информатизация здоровья. Инфраструктура с открытым ключом»
|
Формат запроса на регистрацию сертификата при генерации ключевой пары
|
Certificate Enrollment Request (CER), упакованный в PKCS#10 base 64 или bin формат
|
Способы получения сертификатов
|
Протоколы IKE, LDAP v.3
Импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
|
Способ получения ключевой пары
|
Генерация с помощью утилит криптопровайдера, входящих в состав продукта, с выдачей CER
Генерация внешним PKI сервисом с доставкой на сменных ключевых носителях
Генерация внешним PKI сервисом с доставкой через PKSC#12 (RSA)
|
Список отозванных сертификатов
|
Обработка Certificate Revocation List (CRL) опциональна
Поддерживается CRL v.2.
Способы получения CRL:
– протокол LDAP v.3
– протокол HTTP
– импорт из файла (bin и base64, PKCS#7 bin и base64, PKCS#12 bin и base64)
|
Отказоустойчивость и балансировка нагрузки
|
VRRP, RRI, GRE+OSPF (резервирование провайдеров)
|
Работа через NAT
|
NAT Traversal Encapsulation (инкапсуляция IPsec в UDP) в соответствии с NAT-T по draft-ietf-ipsec-nat-t-ike-03(02) и draft-ietf-ipsec-udp-encaps-03(02)
|
Протоколы динамической маршрутизации
|
RIPv2, OSPF
|
Прочие сетевые протоколы и сервисы
|
DHCP (клиент и сервер), VLAN, NAT, LACP, MTU Path Discovery
|
Особенности
Для успешной установки виртуального модуля С-Терра CSCO-STVM маршрутизаторы Cisco ISR 4300/4400 серий должны удовлетворять следующим условиям:
- Операционная система IOS-XE версии 16.3 NPE
- Минимум 8 GB оперативной памяти
- Дополнительное хранилище для виртуального модуля – внутренний MSATA SSD (только для 4300 серии) или модуль NIM-SSD
Управление
- Централизованно удаленно
- — Система централизованного управления С-Терра КП
- Удаленно
- — Web-based интерфейс управления
- — Протокол SSH с помощью интерфейса командной строки с подмножеством команд Cisco IOS
- Локально
- — Интерфейс командной строки с подмножеством команд Cisco IOS
Совместимость
- Токены:
- — eToken Java 72К
- — JaCarta PKI, JaCarta PKI/ГОСТ
- — Рутокен Lite, Рутокен ЭЦП
- Cisco IOS v.12.4 и v.15.x.x – в части реализации протоколов IPsec/IKE и их расширений
- Все продукты компании «С-Терра СиЭсПи» независимо от версии, кроме С Терра Шлюз 10G
Техническая поддержка
Комплект поставки лицензии включает 1 (один) год технической поддержки (не распространяется на обновление до новой версии). Рекомендуем приобрести услугу «Сервис технической поддержки» на последующий период эксплуатации продукта.