Продукты
Защита виртуальных сред
Защита серверов и рабочих станций
Создание и проверка электронной подписи
Все продукты компании
Решения
Центральный офис
+7 (495) 982-30-20
buy@securitycode.ru
Техническая поддержка
8 (800) 505-30-20
support@securitycode.ru

АПКШ «Континент» 3.9

Обзор основных изменений АПКШ «Континент» 3.9 по сравнению с предыдущими версиями продукта.

Поколение АПКШ «Континент» Версия Основные изменения
3.9 3.9.0
  • Обновлены аппаратные платформы
  • Добавлен аппаратный криптоускоритель
  • Обновлен интерфейс управления
    • Отображается статус ЦУСа
    • Отображается состояние устройств
    • Отображается состояние VPN-каналов
  • Добавлена возможность создания отказоустойчивой конфигурации из двух ЦУСов
  • Поддержка Jumbo Frame
  • Объединение нескольких физических сетевых портов с помощью протокола LACP
  • Добавлена доступ к устройствам по протоколу SSH
  • Добавлена возможность централизованного управления локальными пользователями
  • Добавлена поддержка групповых операций над узлами
  • Добавлен централизованный сбор отладочной информации с узлов безопасности
3.7 3.7.7
  • Улучшение работы отказоустойчивого кластера.
  • Улучшение интерфейса.
  • Возможность эксплуатации за пределами Российской Федерации.
3.7.6
  • Реализованы требования ФСТЭК России к МЭ по 3-му классу защиты типа «А».
  • Добавлен контроль трафика сетевых приложений с возможностью их блокировки.
  • Обеспечена возможность автоматической реакции межсетевого экрана на команды детектора атак.
  • Добавлена фильтрация по командам протоколов HTTP, FTP, HTTPS(S).
  • Добавлена возможность инспекции содержимого SSL-туннеля.
  • Обеспечена поддержка работы USB-модема, выполняющего функции виртуального Ethernet-адаптера.
3.7.5
  • В программу установки программы управления ЦУС (ПУ ЦУС) и программы управления сервером доступа (ПУ СД) добавлена установка ПО СЗИ Secret Net 7.4.
  • В ПУ СД доработан мастер создания пользователя: при создании пользователя имеется возможность сформировать шаблон настроек для подключения абонентского пункта к СД.
  • В ПУ СД добавлена возможность задавать корневой сертификат и срок действия сертификата пользователя, которые будут подставляться по умолчанию при создании пользователя или выпуске сертификата.
  • Доработан криптопровайдер "Код Безопасности CSP": на одном наборе энтропии можно создавать нескольких пользователей. Набор энтропии действителен в течение суток или до перезагрузки системы.
  • Добавлена возможность в ПУ СД при создании нового пользователя по запросу от абонентского пункта определять порядок действий: создать нового пользователя или добавить новый сертификат уже имеющемуся пользователю.
  • Для повышения производительности сетевого устройства добавлена оптимизация правил. Оптимизация применяется к правилам фильтрации, в которых используются группы сетевых объектов.
  • В состав программного обеспечения обновления добавлен файл preupdate.tar. При обновлении ПО сетевого узла с версий 3.5 и 3.6 предварительно необходимо выполнить загрузку файла обновления preupdate.tar.
  • В настройках безопасности криптокоммутатора добавлено управление МАС-адресами.
  • Добавлен модуль Агента Роскомнадзора для синхронизации с сервером выгрузки реестра запрещенных ресурсов и использования его в правилах фильтрации.
  • Добавлена настройка времени ожидания ответа от активного сетевого устройства в кластере, после которого происходит переключение канала связи с резервного на основной и с основного на резервный.
  • Добавлена возможность входа администратора в локальное меню по паролю (без предъявления идентификатора администратора ПАК "Соболь").
  • Добавлено централизованное управление MSS и MTU.
  • Реализована автоматическая синхронизация парных связей при ошибках в канале VPN (расхождение ключей парной связи или расхождение номеров пакетов).
  • В свойствах узла добавлено отображение значения параметра "Статус автозагрузки сетевого устройства". Значение (отключена/включена) задается в настройках ПАК "Соболь".
  • Для повышения производительности сетевого устройства реализованы настройки оптимизатора шифратора по ядрам CPU (по МАС-адресам для КК и по сессиям для КШ) и настройки дефрагментации пакетов.
  • Добавлена новая аппаратная платформа IPC-3034F.
3.7.3
  • Добавлены следующие возможности:
    • размещение ЦУС за NAT (статическая трансляция служебных портов на КШ);
    • управление фрагментацией IP-пакетов (разрешение/ запрет фрагментации, установка максимального размера сегмента) средствами локального управления сетевыми устройствами;
    • работа через изолированные (не маршрутизируемые друг с другом) внешние сети в режиме Multi-WAN;
    • локальная настройка шифратора для пакетов из интернета в защищенной сети;
    • настройка STUN-сервера на ЦУС.
  • Теперь для каждого типа сетевого устройства предусмотрен свой файл обновлений:
    • update_cgw_release.tar — криптографический шлюз;
    • update_csw_release.tar — криптографический коммутатор;
    • update_ids_release.tar — детектор атак.
Использование файла обновлений, не соответствующего типу сетевого устройства, запрещается.
  • Лицензия на обновление БРП теперь зависит от типа аппаратной платформы. При обновлении ПО необходимо получить лицензию заново.
3.7.2
  • В состав комплекса добавлен криптографический коммутатор. Криптографический коммутатор (КК) обеспечивает криптографическую защиту данных, передаваемых по каналам связи общих сетей передачи данных между удаленными (разрозненными) сегментами одной подсети предприятия.
    Криптографический коммутатор реализует следующие функции:
    • защищенная коммутация удаленных сегментов сети;
    • прием и передача Ethernet-кадров;
    • криптографическое преобразование передаваемых и принимаемых Ethernet-кадров;
    • имитозащита Ethernet-кадров, циркулирующих в VPN;
    • оповещение ЦУС КШ о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени;
    • регистрация событий, связанных с работой КК;
    • идентификация и аутентификация администратора при запуске КК;
    • контроль целостности программного обеспечения КК;
    • работа в режиме кластера высокой доступности.
  • Диагностику работы сетевого устройства теперь можно выполнить средствами как локального, так и централизованного управления. Результаты предоставляются в виде отчетов:
    • ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска, объем журналов);
    • содержимое ARP- и NDP-кеша;
    • результаты выполнения команд ping и traceroute;
    • информация о сетевом трафике выбранного интерфейса;
    • таблица состояний КШ;
    • статистика работы шифратора;
    • сведения о пропущенных пакетах ДА;
    • технологический отчет для службы поддержки.
  • Обновлен механизм проверки качества паролей администраторов. Средствами ПУ ЦУС можно настроить следующие параметры:
    • минимальная длина пароля;
    • количество неудачных попыток входа до блокировки;
    • время блокировки при превышении количества неудачных попыток входа;
    • контроль слабых паролей.
  • На криптографическом шлюзе реализован сервис DHCP. Сервис может функционировать в режиме сервера или ретранслятора.
3.7.1
  • Функциональные возможности комплекса удовлетворяют требованиям ФСТЭК России к межсетевым экранам 2 класса защиты.
  • В состав комплекса добавлена система обнаружения вторжений (атак), соответствующая требованиям ФСТЭК России к СОВ 3 класса и требованиям ФСБ России к СОА класса "B".
  • Организация защищенного соединения между КШ, принадлежащими разным криптографическим сетям и управляемыми разными ЦУС, теперь возможна средствами централизованного управления. Для установления доверительных отношений между ЦУС используется собственная инфраструктура открытых ключей. Генерацию ключевой пары и издание сертификата открытого ключа для своей сети выполняет ЦУС. Администраторы обмениваются этими сертификатами до начала процедуры организации связи между сетями.
  • Добавлен режим замкнутой криптографической сети, запрещающий хождение незащищенного трафика.
  • Добавлена поддержка работы с каналами связи общих сетей передачи данных, использующих протоколы IPv6. Данная возможность предназначена для организации защищенного соединения через IPv6-сети провайдеров.
  • Реализована возможность обмена информацией по защищенному каналу между подсетями, защищенными разными КШ и использующими одинаковое адресное пространство. Для этого реализован механизм виртуальной адресации.
  • Добавлена возможность синхронизации времени ЦУС с NTP-серверами точного времени.
  • Добавлена возможность просмотра средствами локального управления КШ таблицы состояний (keep-state), отображающей количество установленных соединений.
  • Изменения ключевой схемы:
    • В состав комплекса добавлено автоматизированное рабочее место генерации ключей (АРМ ГК).
    • К режиму управления ключами по схеме однолетнего хранения ключевой информации добавлен режим управления по схеме трехлетнего хранения ключевой информации.
По схеме трехлетнего хранения генерация ключей выполняется на отдельном, не имеющем сетевых соединений АРМ ГК. Средствами АРМ ГК сгенерированные ключи записываются на отчуждаемые носители (USB-ключи). Ключевые носители передаются администраторам для загрузки в БД ЦУС и КШ. Срок действия/хранения ключей составляет три года.

В качестве носителя используется USB-ключ Rutoken ЭЦП. Ключи записывают в его защищенную область.
  • Добавлена поддержка аппаратной платформы IPC-10 (S088).
  • Для подсистемы управления добавлена поддержка ОС Windows 8 x86/x64.
  • Реализована поддержка нового стандарта хэширования ГОСТ Р 34.11-2012.
  • Увеличена предельная пропускная способность криптографического шлюза. С этой целью в ПО КШ добавлен криптоускоритель. Предельная пропускная способность зависит от аппаратной платформы. Для аппаратной платформы IPC-3000F максимальная производительность в режиме VPN+МЭ достигает 3 Гб/с.
  • Обновлена политика лицензирования. Добавлены лицензии на обновление ПО КШ и на обновление базы решающих правил для системы обнаружения вторжений (атак).
  • Добавлены следующие возможности подключения абонентских пунктов к серверу доступа:
    • подключение по сетевому имени;
    • использование протокола HTTPS;
    • авторизация на прокси-сервере (HTTP);
    • подключение до регистрации пользователя в ОС (позволяет рабочим станциям, входящим в домен, работать удаленно).
  • В ПУ СД добавлена возможность назначать пользователям абонентских пунктов статические IP-адреса.
  • Реализована поддержка внешних 3G-модемов (USB) для аппаратной платформы IPC-10 (S088).
  • Реализована защита КШ от DoS-атак типа SYN-флуд. При обращении клиента к серверу криптографический шлюз сначала устанавливает TCP-соединение с клиентом от имени сервера, а затем с сервером от имени клиента. После этого клиент с сервером могут беспрепятственно обмениваться сетевыми пакетами. Полуоткрытые соединения с просроченным временем ожидания автоматически удаляются из таблицы состояния.
  • Добавлена возможность идентификации и аутентификации пользователей, работающих на компьютерах в защищаемой сети КШ.
Идентификация и аутентификация пользователей предназначена для более тонкой настройки доступа сотрудников к корпоративным ресурсам. Идентификация и аутентификация пользователей, работающих на компьютерах в защищенной сети КШ, выполняется с помощью специальной программы "Клиент аутентификации пользователя", установленной на компьютере пользователя.