Сетевое, серверное, телекоммуникационное и торговое оборудование, AutoID и видеонаблюдение, ИБП и АКБ

Cisco Russia VPN Module

 

Модуль NME-RVPN в исполнении MCM может использоваться в составе маршрутизаторов Cisco ISR первого и второго поколения (Cisco® ISR серий 2800/3800 и Cisco® ISR серий 2900/3900). Этот модуль разработан специально для обеспечения российского рынка высокотехнологичным решением в области интеграции приложений сетевой безопасности: в модуле, основанном на передовых технологиях Cisco, используется российское сертифицированное программное обеспечение. Технологический процесс производства модуля NME-RVPN в исполнении МСМ определен документом «Порядок организации производства изделия «Модуль Сетевой Модернизированный (МСМ)» в рамках подконтрольного технологического процесса на территории Российской Федерации» и согласован с регулятором (ФСБ России).

Обзор NME-RVPN

Модуль NME-RVPN в исполнении МСМ для применения в составе маршрутизаторов Cisco® ISR серий 2800/3800 и 2900/3900 представляет собой уникальное устройство, позволяющее обеспечить как эффективную маршрутизацию, так и защиту трафика данных, голоса и видео. Устройство управляется как единое целое, используя интерфейс Cisco IOS как для формирования правил маршрутизации, так для управления защитой сетевых взаимодействий. Такая интеграция позволяет существенно снизить сложность сетевой инфраструктуры, не предъявлять дополнительных требований к квалификации персонала и в итоге понизить затраты на развертывание и поддержку, а также уменьшить сроки развертывания подсистемы обеспечения информационной безопасности.

Защищенность сетевых взаимодействий

В связи с глубокой интеграцией современных корпоративных сетей с сетями общего доступа (для обеспечения взаимодействия центральных офисов с филиалами, удаленными пользователями, заказчиками и партнерами) первостепенное значение приобретает вопрос обеспечения российских пользователей высокотехнологичным сертифицированным VPN-решением на базе передовых технологий Cisco. Такое решение должно не только соответствовать самым современным требованиям эффективной защиты всех видов сетевых взаимодействий, но и удовлетворять требованиям российского технического регулирования в сфере информационной безопасности. При этом необходимо решить вопросы защиты обмена данными с внешними абонентами, обезопасить беспроводные коммуникации, защитить передачу голоса и видео с обеспечением качества обслуживания, а также обеспечить максимально эффективную защиту взаимодействия клиентов в сетях операторов связи и провайдеров услуг.

Интеграция модуля NME-RVPN в исполнении МСМ в маршрутизаторы Cisco ISR серий 2800/3800 и 2900/3900 позволяет потребителям получить единое решение, обеспечивающее защиту передаваемой информации в соответствии с требованиями российских стандартов, развитую маршрутизацию, поддержку механизмов качества обслуживания приоритетного трафика (QoS), а также сервисы IP-телефонии и передачи видео. Подобные качества, дополненные управляемостью и надежностью платформ на базе операционной системы Cisco IOS, практически полностью закрывают потребности современных организаций в защите критически важных сетевых взаимодействий и обеспечивают возможность успешного применения модуля как в корпоративном, так и в государственном секторе.

 

Модуль NME-RVPN

Защита межсетевых взаимодействий

Сети VPN типа «сеть-сеть» применяются для защиты взаимодействия в рамках распределенной корпоративной сети по публичным (открытым, не заслуживающим доверия) сетям/каналам связи.Применение VPN-решений для этих целей не приводит к понижению требований к характеристикам непосредственно канала передачи данных, таких как набор поддерживаемых протоколов, высокая надежность, большая масштабируемость. Напротив, современные VPN-решения обеспечивают высокую экономическую эффективность и большую гибкость в реализации таких требований, в том числе и за счет возможности использовать публичные каналы для передачи информации.Использование для этой цели маршрутизаторов Cisco ISR первого и второго поколений позволяет решить поставленную задачу в полной мере.Для соблюдения требований по повышению надежности и производительности сетевых взаимодействий крупных сетей (включая требования по обеспечению непрерывности бизнес-процессов) в дополнение к приведенному выше примеру могут использоваться решения с резервированием и балансировкой нагрузки.

Защита беспроводных и мультисервисных сетей

Рассматриваемые решения поддерживают сценарии защиты как выделенных мультисервисных, так и смешанных сетей, обеспечивая:

• поддержку механизмов качества обслуживания;

• защиту качества обслуживания в голосовой; защищенной сети при перегрузке сетевых каналов трафиком данных.

 

rvpn

Защита удаленных и мобильных пользователей

 Сети VPN удаленного доступа применяются для защиты доступа удаленных или мобильных пользователей в корпоративную сеть через публичные сети или каналы связи. Использование сетей VPN удаленного доступа характеризуется следующими особенностями:

• VPN-клиент не требует от пользователя никаких технических операций, кроме ввода учетных данных, предоставленных администратором безопасности.

• Политика безопасности VPN-клиента доступа определяется только системным администратором (администратором безопасности) и не может быть изменена пользователем.

• Права доступа пользователя определяются в корпоративной сети, информация о правах доступа в корпоративной сети отсутствует на VPN-клиенте.

Предлагаемые VPN-клиенты обеспечивают защищенную связь практически из любой точки мира, где присутствует какой-либо коммуникационный ресурс. Для обеспечения мобильности пользователя используются следующие механизмы:

• адаптивность к адресному пространству;

• поддержка различных сред передачи данных, в том числе мобильных (GPRS, CDMA, Wi-Fi, WiMAX и др.);

• обеспечение прозрачной передачи трафика через шлюзы, выполняющие трансляцию адресов (NAT).

 

Возможности и преимущества

 По сравнению с другими неинтегрированными сетевыми устройствами со сходной функциональностью модуль NME-RVPN в исполнении МСМ имеет ряд преимуществ, среди которых можно выделить следующие:

• Простота администрирования и единый с другими устройствами интерфейс управления. Для управления и конфигурирования модуля можно использовать интерфейс командной строки (CLI) или систему управления устройствами безопасности Cisco Security Manager, имеющую графический интерфейс.

• Снижение энергопотребления и простота коммутации. При использовании модуля не занимаются дополнительные интерфейсы маршрутизатора. Модуль получает питание от маршрутизатора, не нуждается в коммутации и не занимает места в стойке с сетевым оборудованием.

• Повышение мобильности и простоты установки. Предварительно настроенный в центральном офисе маршрутизатор с модулем можно передать в филиал для установки в стойке с другим оборудованием. При этом не требуется наличие квалифицированных специалистов в филиале. Дополнительные настройки модуля можно выполнять удаленно.Технологический процесс производства модуля NME-RVPN в исполнении МСМ согласован с ФСБ России

 

rvpn3

Архитектура модуля

 Модуль NME-RVPN (МСМ) можно устанавливать в маршрутизаторы Cisco ISR первого поколения (2811, 2821, 2851, 3825 и 3845) и второго поколения (2911, 2921, 2951, 3925 и 3945) с версией IOS 12.4(11)T или выше. Модуль поддерживается любым функциональным набором (feature set) операционной системы Cisco IOS, начиная с «IP base». При этом устройство работает независимо от ОС IOS-маршрутизатора, используя программное обеспечение, установленное на CF-карте модуля. Программное обеспечение устройства функционирует под управлением адаптированной ОС Linux.Аппаратно модуль NME-RVPN (МСМ) представляет собой вычислительную платформу на базе процессора Intel Celeron-M с тактовой частотой 1,0 ГГц, 512 Мбайт оперативной памяти и 512 Мбайт Compact Flash. Для подключения к локальной сети модуль оборудован внешним интерфейсом Gigabit Ethernet. Аналогичный внутренний интерфейс осуществляет взаимодействие и передачу данных между модулем и маршрутизатором.

rvpn4

Технические характеристики

Технические характеристики модуля NME-RVPN в исполнении МСМ приведены в таблице ниже

rvpn5

 

Функциональные возможности

 Функциональные возможности определяются установленным на модуле программным обеспечением. Функциональные возможности модуля NME-RVPN в исполнении МСМ, использующего программный комплекс CSP VPN Gate 3.1 компании «С-Терра СиЭсПи», приведены в таблице ниже

rvpn6

 

Производительность

Производительность при использовании наиболее популярного алгоритма для создания IPsec-туннелей, включающего шифрование с проверкой целостности (ESP+HMAC), составляет 40 Мбит/с (измерения производились на больших UDP-пакетах длиной 1400 байт). Прочие значения показателей производительности для различных режимов работы IPSec см. в таблице 3.

Сертификация и государственное регулирование

Компания «С-Терра СиЭсПи» — технологический партнер компании Cisco Systems (Cisco Solution Technology Integrator). «С-Терра СиЭсПи» является производителем модуля NME-RVPN (МСМ), а также разработчиком ПО CSP VPN Gate 3.1. Компания обладает необходимыми лицензиями ФСБ и ФСТЭК России, подробная информация доступна на странице http://www.sterra.com/CSP/RU/licenses/licenses.htm

Модуль NME-RVPN (МСМ) с программным обеспечением CSP VPN Gate версии 3.1 сертифицирован как средство криптографической защиты информации (СКЗИ) и удовлетворяет «Требованиям к шифровальным (криптографическим) средствам, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну» ФСБ России. Решение соответствует требованиям к средствам криптографической защиты информации класса КС1/КС2 и имеет сертификаты соответствия ФСБ СФ/114-1622 и СФ/114-1624 от 28 февраля 2011 г. Программное обеспечение CSP VPN Gate 3.1 обладает сертификатом соответствия ФСТЭК России № 2103. Сертификат подтверждает оценочный уровень доверия ОУД 3+, соответствие 3-му уровню контроля отсутствия недекларированных возможностей и возможность использования при создании автоматизированных систем до класса защищенности 1Г включительно и информационных систем персональных данных (ИСПДн) до 1-го класса включительно.Сертифицированное программное обеспечение, работающее на базе модуля NME-RVPN (МСМ), может применяться как в коммерческих структурах, так и в государственных органах.

Системные требования

Системные требования для модуля NME-RVPN (МСМ) представлены в таблице ниже. Для установки модуля в маршрутизаторы Cisco ISR второго поколения требуется специальный адаптер (номенклатурный номер SM-NM-ADPTR). В маршрутизаторы моделей 2811, 2821, 2851, 2911 и 2921 может устанавливаться один модуль, моделей 3825, 2951 и 3925 — два, моделей 3845 и 3945 — до четырех модулей одновременно.

rvpn7

Техническая поддержка

Техническая поддержка решений на базе модуля NME-RVPN (МСМ) для конечных пользователей оказывается системными интеграторами, являющимися партнерами компании «С-Терра СиЭсПи».По вопросам технической поддержки модуля NME-RVPN (МСМ) вы можете обратиться в компанию «С-Терра СиЭсПи» по телефону +7 (499) 720 6958 или отправить сообщение на e-mail: support@sterra.com.Примечание: пожалуйста, не обращайтесь в центр технической поддержки Cisco (TAC) по вопросам, связанным с этим модулем.

Резюме

Модуль NME-RVPN (МСМ) с программным обеспечением CSP VPN Gate версии 3.1 имеет функциональность VPN-шлюза, работающего по протоколу IPSec с российскими криптографическими алгоритмами. Продукт сертифицирован как средство криптографической защиты информации (СКЗИ) класса КС2. Технологический процесс производства модуля согласован с ФСБ России. В системе сертификации ФСТЭК России получен сертификат, устанавливающий для продукта оценочный уровень доверия ОУД 3+, соответствие 3-му уровню контроля отсутствия недекларированных возможностей и возможность использования при создании автоматизированных систем до класса защищенности 1Г включительно и информационных систем персональных данных (ИСПДн) до 1-го класса включительно.

Модуль NME-RVPN (МСМ) предназначен для использования на российских предприятиях, а также в государственных учреждениях и органах государственной власти. Решение обеспечивает оптимальный баланс надежности и производительности при высокой степени экономической эффективности.