Amicon fpsu ip client

Семейство криптомаршрутизаторов "ФПСУ-IP" разработано ООО "АМИКОН" при участии ООО Фирма "ИнфоКрипт", целиком базируется на отечественных разработках и стандартах.
Комплекс "ФПСУ-IP" в основном предназначен для:

  • межсетевого экранирования и разграничения доступа в Intranet/Extranet на сетевом и транспортном уровнях;
  • построения виртуальных частных сетей на базе общедоступных (VPN), оптимизации и повышения пропускной способности каналов связи.

Для обеспечения возможности построения VPN-сетей и шифрования передаваемого трафика, комплекс разрабатывался как средство криптографической защиты информации (СКЗИ) под названием СКЗИ "ФПСУ-IP" (разработчик в части криптографии — ООО Фирма "ИнфоКрипт") и имеет сертификат ФСБ № СФ/124-3060 до 1 февраля 2020 г., по классу криптозащиты КС1, КС2 и КС3.

Комплексы успешно выдержали разносторонние испытания в независимых организациях и приняты в качестве базовых VPN-средств рядом крупных заказчиков, имеющих сильно распределенные и разнородные сети передачи данных.

Принципиальными отличительными особенностями комплексов являются:

  • высокая производительность при умеренной стоимости. При построении эффективных и высокозащищенных VPN-сетей со строгой двухсторонней аутентификацией взаимодействующих комплексов обеспечивают полосу пропускания до 12,5 Гбит/с при задействовании всех режимов защиты (фильтрация+шифрование) и до 14,5 Гбит/с при использовании jumbo frame размером 9КБ;
  • режим работы VPN-соединения — "мост", реализующий шифрование и туннелирование пользовательских данных на уровне Ethernet-кадров (L2-шифрование). Данный режим предназначен для "прозрачного" объединения сегментов защищаемой сети через общедоступные каналы связи.
  • обеспечение минимума накладных расходов трафика при организации туннелей. К исходному пакету добавляется не более 26 байт (при несжимаемых данных), а при сжимаемых данных осуществляется уменьшение передаваемого в туннеле трафика в 2 и более раз за счет проходного сжатия;
  • "динамический" ФПСУ-IP. Возможность построения защищенных соединений через динамический NAT;
  • межсетевой экран (МЭ) в реализации full state firewall с поддержкой NAT как для открытого трафика, так и для защищенных соединений;
  • наличие механизмов адаптивного управления потоками данных. При формировании туннелей используются специальные процедуры маршрутизации, способствующие быстрому восстановлению связи при перегрузках или повреждениях внешних сетей;
  • организация до 128 независимых друг от друга IP потоков данных в рамках одного туннеля между парой комплексов "ФПСУ-IP", в том числе с индивидуальными значениями MTU. В качестве критериев отправления данных в тот или иной поток могут выступать как адреса отправителя/получателя, так и конкретные протоколы. Данный механизм обеспечивает возможность выставления приоритетов VPN-потокам при их прохождении внешней сети, что позволяет обеспечивать требуемые значения качества обслуживания сети (QoS);
  • централизованное защищенное удаленное управление и мониторинг. Обеспечивает контроль состояния множества комплексов и анализ статистических данных их работы, наглядное отображение состояния системы защиты и защищаемых сетей, сигнализацию событий;
  • организация в открытых сетях VPN-туннелей от удаленных пользователей, подключающихся к защищаемой "ФПСУ-IP" сети, с использованием комплексов "ФПСУ IP/Клиент" для десктопных(Windows, Linux, Mac OS) и мобильных платформ(Andro >Краткая спецификация ПАК "ФПСУ-IP"
  • Сертификаты

    Сертификаты ФСБ России на применяемое СКЗИ

    ОС / стек протоколов

    На базе LINUX / собственный

    Количество интерфейсов и тип

    2 рабочих интерфейса, 3-й и/или 4-й могут быть задействованы для "горячего" резервирования комплексов (опционально). Тип интерфейсов — 10/100/1000 или 1/10G Ethernet (UTP, Optic).

    Алгоритм шифрования

    ГОСТ 28147-89

    VPN-протокол / избыточность

    Читайте также:  Сведения о логических разделах дисков

    Собственный / не более 26 байт на пакет

    Ключевая система / распределение ключей

    Симметричная / централизованное

    Обрабатываемые уровни ЭМВОС

    Сетевой, транспортный, выборочно – сеансовый и прикладной.

    Управление и мониторинг

    Локальное и удаленное, с механизмами "отката" при сбоях. До 20000 комплексов на один АРМ удаленного администрирования. Поддержка SNMP-протокола и Syslog, Netflow (IPFIX).

    Протокол удаленного управления

    Собственный туннельный протокол со строгой двухсторонней аутентификацией согласно Х.509

    Собственная безопасность

    Полный аудит событий и действий персонала, разграничение доступа с помощью iButton и USB-Key

    Дополнительные защитные функции

    Сокрытие топологии, NAT, сокрытие факта присутствия комплекса, VPN-проксирование протоколов управления

    Дополнительные сетевые функции

    ARP-proxy, VLAN 802.1q, пропуск MPLS-фреймов, сохранение поля TOS в туннельном заголовке, маркирование молем TOS избранный трафик

    Удаленный клиент

    Для Windows 7/8/10, Server 2008/2012, Linux, Mac OS, Android, IOS

    Производительность "ФПСУ-IP" ("ФПСУ-IP/Клиент") при включенном режиме "шифрования+МЭ"

    До 12 (0,25) Гбит/с

    Производительность "ФПСУ-IP" в режиме МЭ

    До 20 Гбит/с

    PPS (packet per second) в режиме "шифрования+МЭ"

    До 2,8 млн пакетов в секунду

    Число VPN-туннелей c ФПСУ

    До 1024

    Число поддерживаемых "ФПСУ-IP/Клиент"

    До 131072 (128 групп по 1024 пользователя)

    Число поддерживаемых сессий МЭ

    до 4 млн.

    Кол-во открываемых сессий в секунду

    до 200 000 в сек.

    Стандартные гарантийные обязательства: 12 месяцев гарантии и авторского сопровождения эксплуатируемых комплексов в режиме "горячей линии". Расширенное и постгарантийное обслуживание предоставляется на основании отдельных договорённостей.

    ФПСУ-IP 3.15.8
    ФПСУ-IP Int 3.15.2
    ФПСУ-IP/Клиент 5.0
    УА ФПСУ-IP 3.1.30
    ФПСУ-TLS 2.5.18

    В связи с окончанием срока действия сертификата ФСБ на программно-аппаратные комплексы (ПАК) «ФПСУ-IP» с версией программного обеспечения(ПО) 2.65 просим клиентов ООО "АМИКОН" ознакомиться с информационным письмом.

    При использовании микропрограммного обеспечения (прошивки) версии 6.31.563 и ниже устройства из указанного диапазона могут выйти из строя.

    Получены сертификаты соответствия ФСБ России на варианты исполнений 2, модификация 2 и 4, модификация 2.

    Получено положительное заключение ФСБ России на СКЗИ "ФПСУ-IP" (изделие "ФПСУ-IP" версии 3.15.7, изделие "АРМ УА" версии 3.1.0, изделие "ЦВК" версии 1.1). На данные версии распространяется действие сертификата ФСБ России СФ/124-3584 от 20.12.2018.

    Настоящим уведомляем, что в связи со сменой используемой компонентной базы снимаются с технической поддержки (ремонт, модернизация микрокода и пр.) специализированные USB-устройства "VPN-key" выпуска до 2015-го года (в т.ч. токены в металлическом корпусе, белые токены с темно-зеленой вставкой). Также, в связи с окончанием в июне 2019 года действия сертификата соответствия и выходом нового ГОСТ, снимаются с поддержки версии 3, 4, 5 (до версии 5.20.XXXX) микрокода устройств с СКЗИ «Туннель-2.0».

    Получены сертификаты соответствия ФСБ России на СКЗИ "Туннель-TLS" в вариантах исполнений 3 модификация 4, 4 модификация 4 и 9 модификация 4.
    Напоминаем, что формирование электронной подписи по алгоритму ГОСТ Р 34.10-2001, реализованному в СКЗИ "Туннель-TLS", после 31 декабря 2019 года запрещается. Кроме того, закончился срок действия сертификатов на варианты исполнений 6, 7, 8 СКЗИ "Туннель-TLS".
    В связи с этим рекомендуем осуществить переход на использование СКЗИ "VPN-Key-TLS", "ФПСУ-TLS" и "VPN-Key-TLS Администратор", представляющие собой дальнейшее развитие СКЗИ "Туннель-TLS".

    Для обеспечения удаленного доступа от абонентского пункта (отдельной ПЭВМ) к ресурсам информационной системы (ИС) по открытым каналам связи ООО «АМИКОН» предлагает использовать высокоэффективную технологию VPN, реализуемую при взаимодействии комплексов «ФПСУ-IP» и «ФПСУ-IP/Клиент».

    Читайте также:  Влияние магнитного держателя на аккумулятор телефона

    Комплекс "ФПСУ-IP/Клиент" имеет сертификаты ФСБ (версия 4.7 – СФ/124-3165, версия 5.0 – СФ/124-3058) по классам КС1/КС2 и может быть использован для построения защищенных соединений, а также является удаленной частью распределенного межсетевого экрана «ФПСУ-IP» (сертификат ФСТЭК № 1091 от 31.10.2014 г.).

    Данная программно-аппаратная система обеспечивает безопасный информационный обмен между удаленным абонентским пунктом (рабочей станцией) и защищенной комплексом «ФПСУ-IP» сетью через открытые сети передачи данных. Комплекс «ФПСУ-IP/Клиент» устанавливается на рабочей станции удаленного пользователя и выполняет функции межсетевого экрана и VPN построителя для информационных взаимодействий «рабочие станции – защищенные сервера». Тем самым обеспечивается аутентифицированный и безопасный доступ к серверам, защищаемым комплексом «ФПСУ-IP», за счет создания VPN-соединения между рабочей станцией и центральным комплексом «ФПСУ-IP». Административное управление, контроль и аудит всех VPN-соединений осуществляется централизованно с использованием АРМ «Удаленного управления», при этом может одновременно использоваться до 12-ти АРМ, наделенных соответствующими полномочиями, что предопределяет высокую устойчивость и надежность управления с возможностью осуществления перекрестного аудита управления.
    Комплекс «ФПСУ-IP/Клиент» состоит из программного обеспечения пользователя, устанавливаемого на ПЭВМ, и интеллектуального USB-устройства «VPN-key/Клиент», хранящего уникальный идентификатор клиента, ключевую и служебную информацию и являющегося, по существу, микро-ЭВМ.

    После этого комплексы «ФПСУ-IP/Клиент» и «ФПСУ-IP» (содержащий соответствующую подсистему обслуживания комплексов «ФПСУ-IP/Клиент») выполняют аутентификацию и авторизацию пользователя и устанавливают защищенное соединение. Аутентификация происходит при создании VPN-туннеля между комплексами «ФПСУ-IP/Клиент» и «ФПСУ-IP». После аутентификации комплексом «ФПСУ-IP» выполняется авторизация клиента. Одновременно обеспечивается трансляция реального IP-адреса клиента в IP-адрес защищаемой сети.

    В процессе взаимодействия комплексами «ФПСУ-IP/Клиент» и «ФПСУ-IP» выполняется фильтрация и передача данных в зашифрованном виде по VPN-каналу от РС пользователя до комплекса «ФПСУ-IP». Дополнительно может осуществляться проходное сжатие передаваемых данных, что существенно уменьшает объем передаваемой информации и повышает скорость взаимодействия.

    Разрыв соединения происходит либо по запросу пользователя, либо при отключении устройства «VPN–key/Клиент» от USB-порта ПЭВМ.

    Особенностью технологии «ФПСУ-IP/Клиент» является возможность работы пользователя из произвольного места размещения РС в сети, т.е. не требуется привязка к определенному IP-адресу. При этом обеспечивается строгая двухсторонняя аутентификация всех взаимодействий РС и ФПСУ-IP. Идентификация пользователя осуществляется по четырехзначному цифровому PIN-коду пользователя, количество попыток ввода которого ограничено (с дальнейшим переходом на необходимость использования 10-ти значного PUK-кода). Авторизация и аутентификация пользователей обеспечивается средствами комплекса «ФПСУ-IP».

    Система удаленного администрирования и мониторинга комплексов «ФПСУ-IP» и «ФПСУ-IP/Клиент» обеспечивает полное управление и наблюдение за защищаемой сетью. Возможности системы аудита позволяют выполнять раздельный подсчет объемов передаваемых данных между конкретными РС и комплексами «ФПСУ-IP», что позволяет организовать четкий контроль за работой абонентов.

    Комплекс «ФПСУ-IP/Клиент» абсолютно прозрачен для всех стандартных Интернет протоколов и может использоваться совместно с любым программным обеспечением, обеспечивающим доступ к ресурсам информационных систем.

    Для обеспечения большей защищенности имеется возможность административно (удаленно или локально) ограничивать доступ пользователям «ФПСУ-IP/Клиент» к открытым сегментам сети при работе с защищаемыми ресурсами, вплоть до полного запрета.

    За счет аппаратной реализации комплекса и интуитивно понятного интерфейса управления использование системы «ФПСУ-IP/Клиент» удобно для пользователя и не требует значительных дополнительных накладных расходов на обучение.

    Читайте также:  Irobot roomba не крутится боковая щетка

    «ФПСУ-IP/Клиент» совместно с «ФПСУ-IP» обеспечивает:

    • безопасный доступ по открытым сетям удаленных клиентов к серверам, расположенным в защищенной сети;
    • двухстороннюю аутентификацию клиентов и серверов;
    • авторизацию клиентов;
    • назначения прав доступа клиентов к защищаемой сети по совокупности критериев (по имени пользователя, по IP адресу, по разрешенным протоколам, по времени работы и т.д.);
    • сокрытие реальных адресов, сервисов и протоколов при доступе к защищаемым серверам;
    • сжатие трафика;
    • защиту от подмены, просмотра и навязывания ложной информации;
    • фильтрацию трафика;
    • мониторинг и аудит;
    • централизованное управление политикой безопасности;
    • централизованную поддержку модернизации ПО комплексов (режим дистанционного update ПО).

    МЭ ФПСУ-IP/Клиент совместно с комплексами ФПСУ-IP обеспечивают надежную и устойчивую защиту информационных ресурсов системы, выполняя функции межсетевого экрана и VPN построителя. Надежность и бесперебойность функционирования комплексов ФПСУ-IP обеспечивается за счет горячего резервирования. Доступность и непрерывность функционирования обеспечивается за счет возможности кластеризации комплексов и работы ФПСУ-IP/Клиента с основным или резервным ФПСУ-IP. Количество клиентов, обслуживаемых одним комплексом ФПСУ-IP – до 128000. Максимальная пропускная способность комплексов ФПСУ-IP/Клиента на современной аппаратной платформе (Intel Core i7) – не менее 250 Мбит/с.

    При работе с клиентской стороны допускаются следующие типы сетевых подключений: LAN, DialUP, прямое подключение/выделенная линия, IR-порт и др. Взаимодействие с внешней сетью может осуществляться как непосредственно (маршрутизатор, модем и др.), так и через прокси-сервер или межсетевой экран.

    На настоящий момент комплексы эксплуатируются в крупных защищенных ИС, общее количество внедрений – более 400 000 комплексов «ФПСУ-IP/Клиент».

    Производитель ООО "АМИКОН"
    Тип комплекса Программно-аппаратный
    Состав комплекса Аппаратное устройство хранения и выработки ключей шифрования "VPN-key". Программное обеспечение с интерфейсным модулем и системными драйверами.
    Сертификаты Cертификаты ФСБ России на применяемое СКЗИ "ФПСУ-IP/Клиент"
    Поддерживаемые ОС:
    Windows Для устройств VPN-key с программным интерфейсом USB CCID: Windows 7/8, Windows 10 (бета-версия), Server 2008/2012.
    Linux Поддерживаются только устройства VPN-key с программным интерфейсом USB CCID.
    Mac OS Поддерживаются только устройства VPN-key с программным интерфейсом USB CCID.
    Android Версия 4.4 и выше.
    IOS Версия 9 и выше.
    Поддерживаемые сетевые интерфейсы и протоколы Ethernet-адаптеры, WAN-адаптеры (в том числе 2G/3G/4G-модемы). Протоколы: Ethernet, PPP, PPPoE, L2TP, PPtP, TCP/IP.
    Алгоритм шифрования ГОСТ 28147-89
    VPN-протокол / избыточность протокола Собственный (на базе UDP-протокола) / не более 30 байт на пакет
    Ключевая система / распределение ключей Симметричная / централизованное
    Обрабатываемые уровни ЭМВОС Сетевой, транспортный, выборочно – сеансовый и прикладной.
    Персональный межсетевой экран Да.
    Управление и мониторинг Централизованное получение локальной политики безопасности с ПАК "ФПСУ-IP"
    Дополнительные сетевые функции Сжатие данных. Работа через socks-proxy (v.5).
    Производительность ПАК "ФПСУ-IP/Клиент" До 250 Мбит/сек
    Число поддерживаемых в одной криптосети ПАК «ФПСУ-IP/Клиент» 65534
    Дополнительные функции USB-устройства VPN-key

    Хранение ключевых контейнеров СКЗИ КриптоПро (до 4 контейнеров)

    Функции смарт-карты для хранения сертификатов и аутентификации в домене Microsoft.