Модуль Cisco UCS-EN120

1. Функціональні можливості
2. Побудова захищених мереж будь-якої складності
3. Висока надійність і продуктивність
4. Протоколи і технології
5. управління

Модуль Cisco UCS-EN120 являє собою програмно-апаратний комплекс для забезпечення мережевої безпеки корпоративної мережі середніх офісів, підтримує до 500 IPsec тунелів.

Модуль встановлюється в маршрутизатори Cisco ISR наступних моделей: 2911, 2921, 2951, 3925, 3925E, 3945, 3945E. Їх опис і необхідна документація доступні на сайті: www.cisco.com .

У складі маршрутизаторів Cisco ISR серій 3900, в які можна встановити від 2 до 4 модулів, Модуль Cisco UCS-EN120 може використовуватися на вузлах концентрації трафіку безлічі регіональних мереж, а також у великих мережах віддаленого доступу користувачів.

На Модуль встановлюється програмне забезпечення «Програмний комплекс С-Терра Шлюз. Версія 4.1 ».

Модуль дозволяє поєднати широкі можливості маршрутизатора і сертифіковану вітчизняну криптографію.

Функціональні можливості

• Надійний захист переданого трафіку

  • Шифрування і контроль цілісності переданого трафіку - за протоколами IPsec ESP і / або IPsec AH (RFC2401-2412), з використанням російських і зарубіжних криптографічних алгоритмів
  • Маскування топології захищається сегмента мережі
    
  • Аутентифікація пристроїв - по протоколу IKE (RFC2401-2412)
  • Інтегрований міжмережевий екран, який здійснює stateful-фільтрацію трафіку
  • Застосовується комбіноване перетворення ESP_GOST-4M-IMIT відповідно до документа « ТЕХНІЧНА СПЕЦИФІКАЦІЯ З ВИКОРИСТАННЯ ГОСТ 28147-89 при шифруванні Простой заработок в ПРОТОКОЛІ IPSEC ESP »

• Побудова захищених мереж будь-якої складності

  • Повноцінна підтримка інфраструктури PKI
  • Сумісність з продуктами російських і зарубіжних виробників
  • Широкі можливості для адміністратора: завдання гнучкої політики безпеки, визначення різних наборів правил обробки відкритого і шифрованого трафіку, в т.ч. реалізація сценарію split tunneling
  • Підтримка різних топологій, в тому числі: точка-точка, зірка, ієрархічне дерево, частково-і полносвязная топологія
  • Можливість побудови декількох ешелонів захисту, виділення зон з різним рівнем довіри, організації перешіфрованія і інспекції трафіку в центрі
  • Можливість застосування сценарію на базі технології, аналогічної DMVPN

• Легка інтеграція в існуючу інфраструктуру

  Сумісність з усіма необхідними протоколами для інтеграції в сучасну мережеву інфраструктуру, в тому числі:

  • протокол RADIUS
  • видача IKECFG-адрес для С-Терра Клієнт і С-Терра Клієнт-М
  • об'єднання пристроїв в кластер по протоколу VRRP
  • динамічна маршрутизація RIP і OSPF (в тому числі для сценарію балансування навантаження RRI)
  • VLAN, LACP
  • GRE (в тому числі для резервування провайдерів)
  • робота через NAT (NAT Traversal)
  • подієвий протоколювання через Syslog
  • моніторинг SNMP

• Висока надійність і продуктивність

  • Можливість оснащення резервними блоками живлення і жорсткими дисками, об'єднаними в RAID (для модуля з класом сертифікації КС1)
  • Підтримка сценаріїв забезпечення відмовостійкості з резервуванням шлюзів безпеки, мережевих інтерфейсів і провайдерських каналів
  • Підтримка режиму збереження захищених тунелів при перезавантаженні політики безпеки
  • Продуктивність до 250 Мбіт / с
  • Можливість використання для захисту трафіку, вимогливого до затримок і втрат пакетів, такого як IP-телефонія і ВКС
  • підтримка QoS

переваги

• Високонадійна платформа в компактному форм-факторі
• Не потребує додаткового місця в серверній стійці
• Дозволяє скоротити нормативні вимоги по енергоспоживанню і теплоотводу

Маршрутизатор Cisco для установки модуля

Мережевий Модуль Cisco UCS-EN120 може встановлюватися в конфігуруються слоти для мережевих модулів розміром single-wide на маршрутизаторах Cisco 2911, 2921, 2951, 3925, 3925E, 3945, 3945E.

Протоколи і технології

Найменування Специфікація Криптографічні бібліотеки

вбудована, С-Терра ST

зовнішня, КріптоПро CSP 3.6R4, 3.9

Інформаційні обміни протоколу IKE Main mode
Aggressive mode
Quick mode
Transaction Exchanges
Informational Exchanges
VKO ГОСТ Р 34.10-2001
VKO_GOSTR3410_2012_256 відповідно до документа « РЕКОМЕНДАЦІЇ ЩОДО СТАНДАРТИЗАЦІЇ ... »Режими аутентифікації в протоколі IKE Preshared key
RSA digital signature
DSA digital signature
ГОСТ Р 34.10-2001
ГОСТ Р 34.10-2012 Алгоритми шифрування, ЕП і контролю цілісності

Шифрування: DES, AES, ГОСТ28147-89

ЕП: DSA, RSA, ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012

Контроль цілісності: MD5, SHA1, комбіноване перетворення ESP_GOST-4M-IMIT, ГОСТ Р 34.11-94, ГОСТ Р 34.11-2012

Моніторинг доступності віддаленого вузла Dead Peer Detection (DPD) протокол (draft-ietf-ipsec-dpd-04) Подієве протоколювання Syslog Збір статистики SNMP v.1, v.2c Формат сертифікатів публічних ключів X.509 v.3 (RSA, DSA, ГОСТ). Враховано зміни відповідно до "Наказ ФСБ Росії від 27.12.2011 № 795" та "ДСТУ ISO 17090-2-2010 Інформатизація здоров'я. Інфраструктура з відкритим ключем" Формат запиту на реєстрацію сертифіката при генерації ключової пари Certificate Enrollment Request (CER), упакований в PKCS # 10 base 64 або bin формат Способи отримання сертифікатів Протоколи IKE, LDAP v.3
Імпорт з файлу (bin і base64, PKCS # 7 bin і base64, PKCS # 12 bin і base64) Спосіб отримання ключової пари Генерація за допомогою утиліт криптопровайдера, що входять до складу продукту, з видачею CER
Генерація зовнішнім PKI сервісом з доставкою на змінних ключових носіях
Генерація зовнішнім PKI сервісом з доставкою через PKSC # 12 (DSA, RSA) Список відкликаних сертифікатів Обробка Certificate Revocation List (CRL) опціонально
Підтримується CRL v.2.
Способи отримання CRL:
протокол LDAP v.3
імпорт з файлу (bin і base64, PKCS # 7 bin і base64, PKCS # 12 bin і base64) Механізми забезпечення відмовостійкості VRRP, RRI, GRE + OSPF (резервування провайдерів) Робота через NAT NAT Traversal Encapsulation (інкапсуляція IPsec в UDP) відповідно з NAT-T по draft-ietf-ipsec-nat-t-ike-03 (02) і draft-ietf-ipsec-udp-encaps-03 (02) протоколи динамічної маршрутизації RIPv2, OSPF Інші мережеві протоколи і сервіси DHCP (клієнт і сервер), VLAN, NAT, LACP

управління

• Система централізованого управління С-Терра КП - централізовано віддалено
• Консоль маршрутизатора Cisco
• Графічний інтерфейс Cisco Security Manager (CSM), який входить до складу Cisco Security Management Suite - централізовано віддалено
• Протокол SSH за допомогою інтерфейсу командного рядка, в інтерфейсі якої використовується підмножина команд Cisco IOS - локально або віддалено
• Web-based інтерфейс управління - віддалено

сумісність

• Токени виробництва компанії Aladdin: eToken PRO32k, eToken PRO64k, eToken NG-FLASH, eToken PRO (Java)
• Токени виробництва компанії Актив: Рутокен S, Рутокен ЕЦП
• У частині реалізації протоколів IPsec / IKE і їх розширень - з Cisco IOS v.12.4 і v.15.xx
• Всі продукти компанії "С-Терра СіЕсПі" незалежно від версії
• Модуль NME-RVPN у виконанні МСМ

сертифікати

Сертифікат ФСТЕК Росії № 3370 (МЕ-3, НДВ-3, Оуд 4+)

Формуляр, узгоджений ФСТЕК Росії (АС 1В, ГІС до 1 кл. Вкл., ПДН 1-4 ур.)

Вбудована криптобібліотеки С-Терра ST

Зовнішня криптобібліотеки КРИПТО-ПРО CSP