КриптоПро IPSec
IPsec (сокращение от IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов.
КриптоПро IPSec реализует протоколы IKE, ESP, AH с использованием СКЗИ КриптоПро CSP 3.6 R2 и выше, СКЗИ КриптоПро ФКН CSP с USB-ключами и смарткартами, разрабатывается по техническому заданию, согласованному с ФСБ России.
Аутентификация сторон и механизм выработки ключей шифрования реализуются с использованием:
- предварительно сформированных ключей PSK (pre shared key);
- инфраструктуры открытых ключей - закрытые ключи могут быть расположены на ключевых носителях смарт-карта, USB токен и т.д.
Назначение
КриптоПро IPsec (Internet Protocol Security) обеспечивает прозрачную для приложений и пользователей защищенную передачу данных в IP-сетях с использованием служб шифрования, а также защиту сетевого доступа в окружении Windows 2003, Windows 2008.
Области применения
- Защита соединения узлов корпоративной вычислительной сети (Site-to-Site VPN);
- Защита подключения удалённых пользователей или малых офисов;
- Защита передачи конфиденциальной информации в ЛВС от нарушителей не являющимися пользователями автоматизированных систем, но имеющим доступ к ЛВС и/или нарушителей являющихся пользователями, но не имеющих необходимых полномочий.
Поддерживаемые платформы:
КриптоПро IPSec функционирует в следующих операционных системах (ОС):
- Windows XP;
- Windows 7 (32/64);
- Windows 2003(32);
- Windows 2008 R2.
Совместимые МЭ и оборудование
КриптоПро IPSec совместим с любыми МЭ и сетевым оборудованием поддерживающим протоколы IPSec GOST.
МЭ:
- Check Point Firewall-1/VPN-1 версии R65 HFA50 GOST;
- MS ISA (2004/2006);
- Forefront TMG 2010;
- Другие поддерживающие IPsec и/или L2TP/IPsec.
Основные характеристики
- IKE - Использование ГОСТ 28147-89, ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001 при управлении ключами IKE и ISAKMP;
- ESP - Комбинированный алгоритм шифрования вложений IPsec (ESP) на основе ГОСТ 28147-89;
- AH - Алгоритмы обеспечения целостности IPsec (ESP, AH) на основе ГОСТ Р 34.11-94;
- TLS - GOST 28147-89 Cipher Suites for Transport Layer Security (TLS).
Обеспечивает защиту пакетов в канале (ESP) на базе ГОСТ 28147-89, включая шифрование и имитозащиту.
Аутентификация (IKE) в сети/на сетевом уровне осуществляется:
- на ключах подписи, в соответствии с ГОСТ Р 34.10-2001(ЭЦП), ГОСТ Р 34.11-94(Хэш);
- PSK в соответствии с IKE;
- с использованием аутентификации TLS (или иного сертифицированного средства аутентификации). Шифрование и имитозащита пакетов аутентификации осуществляется на базе ГОСТ 28147-89.
Сертификаты
КриптоПро IPsec реализуется с использованием СКЗИ "КриптоПро CSP 3.6.1 (ЖТЯИ.00050-03) и использует модули протоколов КриптоПро IKE, ESP, AH, входящие в СКЗИ.
КриптоПро IPsec находится на этапе сертификации в ФСБ России.