Российские криптографические шлюзы

 АНДРЕЙ БИРЮКОВ, ведущий эксперт по информационной безопасности, abiryukov@samag.ru

Российские криптографические шлюзы

Виртуальные частные сети являются необходимым элементом инфраструктуры любой географически распределенной компании. Поговорим о том, какие решения предлагают российские разработчики

Проблема перехвата передаваемой по сети информации существует практически с момента создания сети Интернет. Перехватить и просмотреть передаваемые по сети пакеты можно с помощью штатных средств практически любой операционной системы семейства *nix. Да и в Windows для перехвата достаточно установить бесплатную программу Wireshark. Такая уязвимость к перехватам обусловлена самой архитектурой сети Ethernet и стека протоколов TCP/IP.

Дело в том, что изначально в стеке весь трафик передавался в открытом виде, шифрование не было предусмотрено. А кроме того, использовавшиеся долгие годы в сетях Ethernet концентраторы позволяли «видеть» весь трафик других узлов, подключенных к этому же концентратору. Замена концентраторов на коммутаторы ненамного улучшила ситуацию, так как многие коммутаторы из-за некорректной настройки уязвимы к различным атакам, позволяющим прослушать трафик других пользователей, подключенных к этому же устройству.

И хотя в последнее время ситуация стала несколько улучшаться благодаря массовому внедрению прикладных протоколов со встроенным шифрованием (HTTPS, SSH и других), в целом проблема перехвата передаваемого по сети трафика остается по-прежнему актуальной.

В локальных сетях для борьбы с прослушиванием трафика, как правило, используются грамотная сегментация сети, использование сетевых средств защиты, а также организационные меры, такие как лишение пользователей прав, необходимых для установки стороннего программного обеспечения и перевода сетевой карты в смешанный режим, нужный для прослушивания трафика.

При передаче трафика через интернет единственным эффективным средством защиты от перехвата трафика является использование виртуальных частных сетей (VPN), в которых применяется шифрование. При этом могут использоваться различные алгоритмы шифрования (DES, 3DES, AES и другие).

В России «законодателем мод» в области информационной безопасности традиционно являются регуляторы ФСТЭК и ФСБ. Федеральный закон № 152 «О персональных данных» и его поднормативные акты обязывают при передаче персональных данных через незащищенные каналы связи использовать сертифицированные криптографические средства защиты.

Сертификацией средств криптографичеcкой защиты в России занимается Федеральная служба безопасности. Для получения сертификата необходимо выполнение ряда требований, однако, пожалуй, основным является использование алгоритма криптографического преобразования ГОСТ 28147-89.

В России на сегодняшний день существует несколько разработчиков средств криптографической защиты каналов связи. В своей статье я рассмотрю продукцию трех наиболее распространенных российских вендоров: «Кода Безопасности», «Инфотекса» и «С-Терры».

Статью целиком читайте в журнале «Системный администратор», №10 за 2017 г. на страницах 34-38.

PDF-версию данного номера можно приобрести в нашем магазине.

1. Сайт компании «Код Безопасности» – https://securitycode.ru.
2. Сайт компании – «Инфотекс» https://infotecs.ru.
3. Сайт компании «С-Терра» – https://www.s-terra.ru.

Комментарии могут оставлять только зарегистрированные пользователи