IPsec VPN на ГОСТах задаром


Каждый раз, когда я рассказываю про какие-либо решения Microsoft по построению безопасных соединений (ISA/TMG/IAG/UAG/DirectAccess, нужное подчеркнуть) поверх общедоступных сетей (aka Интернет) обязательно в аудитории найдется кто-нибудь, кто задаст вопрос “А на ГОСТах работает?”. Отвечаю (надеюсь в последний раз Smile): “Работает!”

Мы совместно с КРИПТО-ПРО провели комплексное тестирование программного продукта “КриптоПро IPsec” (Internet Protocol Security), обеспечивающего защищенную передачу данных в IP-сетях.

Целью тестирования было подтверждение того, что интеграция пакета средств защиты “КриптоПро IPsec” с межсетевым экраном Microsoft ISA Server 2006 (имеет сертификат ФСТЭК №1386 от 15 мая 2007 года на соответствие требованиям по 4 и 3 классу межсетевых экранов) позволяет обеспечить выполнения требования приказа Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. N 58 “Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных” в части обеспечения защиты передаваемых персональных данных по каналам связи и межсетевого экранирования и могут быть использованы для построения информационных систем персональных данных (ИСПДн) 2 и 3 классов.

Тестирование было проведено на следующих платформах:

  • Windows XP SP3;
  • Windows 7 (32- и 64-разрядная версия);
  • Windows Server 2003 (32-разрядная версия);
  • Windows Server 2008 R2.

Результаты показали соответствие технических процедур букве закона. Таким образом, подтверждена возможность использования пакета “КриптоПро IPsec” вместе с межсетевым экраном ISA Server 2006 Standard Edition при построения информационных систем персональных данных (ИСПДн) в полном соответствии с действующим законодетельством Российской Федерации.

Forefront Threat Management Gateway (aka TMG) так же поддерживается, но в отличии от ISA Server 2006 на текущий момент не имеет сертификата ФСТЭК Sad smile.

Разработка пакета “КриптоПро IPsec” была выполнена по техническому заданию, согласованному с ФСБ России. Программный продукт реализует алгоритмы ГОСТ 28147-89, ГОСТ Р 34.10-2001 и ГОСТ Р 34.11-94 и использует сертифицированное средство криптографической защиты информации. Используя “КриптоПро IPsec”, можно обеспечить конфиденциальность, целостность, подлинность и защиту данных от перехвата и подстановки пакетов при передаче в сетях общего пользования в туннельном или транспортном режимах. Туннельный режим предоставляет безопасный удаленный доступ клиента к корпоративным информационным системам через сеть общего пользования (Интернет), а транспортный режим обеспечивает защиту соединений в режимах: клиент-сервер, сервер-сервер и клиент-клиент (KC1, KC2, KC3).

“КриптоПро IPsec” обеспечивает следующие типы защищенных соединений:

  • подключения типа шлюз-шлюз через глобальную сеть (WAN);
  • подключения через Интернет с использованием туннелей L2TP/IPsec;
  • подключения клиентов к корпоративным информационным системам через Интернет с использованием туннельного режима IPsec;
  • подключения в локальной сети (LAN) в транспортном и туннельном режимах.

Компания КРИПТО-ПРО предоставляет продукт “КриптоПро IPsec” всем зарегистрированным владельцам СКЗИ “КриптоПро CSP” версии 3.6 бесплатно.

Comments (5)

  1. Evgeniy says:

    Туплю, не внимательно прочитал ))

  2. Evgeniy says:

    Так появилась возможность с выходом разнообразных обновления использовать DirectAccess с ГОСТовыми  алгоритмами ? КриптоПро IPsec смотрю имеется в продаже )

  3. Что даже IPSec-туннели при доступе по технологии DirectAccess могут использовать алгоритмы ГОСТ?!

  4. Anonymous says:

    Evgeniy,

    IPsec работать не будет по причинам указанным выше. AuthIP в КриптоПро IPsec не поддерживается и планов по его поддержке нет. В режиме использования только IP-HTTPS работает. Для этого на клиенте и сервере DirectAccess должен быть установлен КриптоПро TLS (входит в состав КриптоПро CSP).

  5. Anonymous says:

    DirectAccess не тестировался, но скорее всего в текущей версии работать не будет, поскольку в текущей версии поддерживается IKEv1, а в DirectAccess используется AuthIP. Только если принудительно использовать IP-HTTPS, тогда глядишь на Крипто-Про TLS заведется. Но опять же все нужно тестировать.

Skip to main content