Сертификат AM Test Lab
Номер сертификата: 333
Дата выдачи: 07.03.2021
Срок действия: 07.03.2026
- Введение
- Функциональные возможности «С-Терра Юнит»
- Архитектура «С-Терра Юнит»
- Подключение и настройка «С-Терра Юнит»
- Сценарии использования «С-Терра Юнит»
- 5.1. Защита доступа с удалённых рабочих мест
- 5.2. Защита трафика мобильных устройств и беспроводных каналов связи
- 5.3. Защита компонентов АСУ ТП и контрольно-измерительных устройств в системе ЖКХ
- 5.4. Защита банкоматов
- 5.5. Защита каналов видео-конференц-связи, IP-камер и IP-телефонии
- 5.6. Защита интерфейсов управления серверами и интеллектуальными платформами
- Выводы
Введение
В настоящее время необходимая информация должна быть доступна из любой точки мира. После пандемии 2020 года доступ к информации только внутри контролируемой зоны стал неактуален. Для большей части угроз интернет является основным транспортом, которым они доставляются от источника к цели. Именно на защите передаваемой по открытым каналам информации специализируется российская компания «С-Терра СиЭсПи», разработчик средств сетевой безопасности и VPN. Решения «С-Терра» предназначены для государственного и финансового секторов, промышленного комплекса и систем телекоммуникаций. Одним из таких продуктов является ПАК «С-Терра Юнит» — миниатюрный VPN-шлюз для защиты трафика отдельно стоящих устройств, таких как АРМ и мобильные устройства пользователя, IP-телефоны, IP-камеры и прочие средства видео-конференц-связи, банкоматы, компоненты АСУ ТП и ЖКХ, СКУД — все те устройства, которые невозможно или невыгодно защитить классическими криптошлюзами и VPN-клиентами.
«С-Терра Юнит» поддерживает встроенную криптографическую библиотеку «С-Терра ST» (собственная разработка производителя), реализующую криптоалгоритмы на основе ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, ГОСТ Р 34.12-2015, ГОСТ Р 34.13-2015 и совместимую с «Крипто-Про CSP». Таким образом, ПАК «С-Терра Юнит» может взаимодействовать с другими продуктами «С-Терра СиЭсПи» («С-Терра Шлюз», «С-Терра Клиент») и поддерживать совместимость с оборудованием других производителей, использующим IPsec (IKEv1) с тем же набором алгоритмов.
Рисунок 1. Взаимодействие «С-Терра Юнит» с решениями компании «С-Терра СиЭсПи»
«С-Терра Юнит» имеет сертификаты соответствия ФСБ России на СКЗИ классов КС1 и КС2 и может использоваться для криптографической защиты информации, не содержащей государственную тайну. На момент написания обзора продукт проходит сертификационные испытания во ФСТЭК России по требованиям типа «А» класса 4 для межсетевых экранов и 4-го уровня доверия.
Программное обеспечение «С-Терра Юнит» внесено в единый реестр российских программ для электронных вычислительных машин и баз данных:
- «С-Терра Юнит» ST KC1 — под рег. № 6704 от 09.06.2020;
- «С-Терра Юнит» ST KC2 — под рег. № 6712 от 09.06.2020.
Функциональные возможности «С-Терра Юнит»
«С-Терра Юнит» — универсальное средство криптографической защиты информации, передаваемой по открытым каналам связи, беспроводным и мобильным сетям, с функциями межсетевого экранирования.
Основные функциональные возможности «С-Терра Юнит»:
- создание защищённых каналов связи с максимальной производительностью 10 Мбит/с по иностранным криптоалгоритмам и алгоритмам ГОСТ;
- защита трафика мобильных устройств;
- защита интерфейсов управления (iLO, CIMC, IPMI);
- защита трафика на уровне аутентификации / шифрования сетевых пакетов по протоколам IKE / IPsec;
- пакетная фильтрация трафика по адресам, протоколам, портам, по любым полям заголовка IP-пакета и по расписанию;
- контекстная фильтрация трафика для протоколов TCP и FTP;
- формирование наборов правил на разных интерфейсах, а также для входящего и исходящего трафика;
- поддержка качества обслуживания QoS (приоритет по полю TOS, управление очередями, фрагментацией пакетов, сеансами TCP, классификация, защита от перегрузки);
- поддержка NAT / PAT;
- журналирование событий с возможностью их объединения в группы;
- сбор статистики для мониторинга по протоколу SNMP;
- синхронизация системного времени с NTP-сервером.
«С-Терра Юнит» поддерживает электронные ключи «Рутокен» («Рутокен Lite», «Рутокен ЭЦП», «Рутокен ЭЦП 2.0», «Рутокен ЭЦП Flash», «Рутокен 2151»), USB-накопители в качестве ключевых носителей и считывателей, а также 4G-модемы HUAWEI E3372, ZTE MF833T и другие работающие в режиме CDC-Ethernet.
Архитектура «С-Терра Юнит»
«С-Терра Юнит» — программно-аппаратный комплекс с предустановленным программным обеспечением под управлением ОС OpenWRT на архитектуре System-on-a-Chip.
Рисунок 2. Внешний вид «С-Терра Юнит»
Размеры устройства невелики — 80 х 45 х 22 мм, вес до 200 г. Пожалуй, на сегодняшний день это — самый маленький шлюз на российском рынке. Однако в нём нашли место интерфейсы LAN (помечен белым) и WAN (помечен красным) типа 100Base-T, встроена антенна Wi-Fi. «С-Терра Юнит» оснащён USB-интерфейсами (USB-A и microUSB 2.0) для питания от внешнего источника и подключения до двух внешних устройств (например, USB-модемов 3G / 4G или USB-накопителей).
Для удобства администрирования и контроля функционирования на корпусе «С-Терра Юнит» размещены 3 светодиодных индикатора (зелёный, жёлтый и красный). Индикация подаётся на этапе стартовой проверки, при загрузке, во время штатной работы и при возникновении ошибок. Пользователь имеет аппаратное подтверждение установленного защищённого соединения — светящийся зелёный индикатор.
Подключение и настройка «С-Терра Юнит»
«С-Терра Юнит» поддерживает следующие способы управления:
- централизованное удалённое управление посредством программного комплекса «С-Терра КП. Версия 4.3»;
- локальное управление через кабель USB-serial;
- удалённое управление по протоколу SSH;
- удалённое управление с помощью веб-интерфейса (изменение базовых (системных) настроек устройства).
Перед началом работы «С-Терра Юнит» необходимо инициализировать. Производитель предусмотрел несколько способов инициализации. Рассмотрим их подробнее.
Интерактивная инициализация «С-Терра Юнит»
Интерактивная инициализация выполняется администратором локально через кабель USB-serial и интерфейс командной строки.
Рисунок 3. Интерактивная инициализация «С-Терра Юнит» с помощью интерфейса командной строки
Набор действий минимален: инициализируется датчик случайных чисел и вводится лицензионная информация. По окончании инициализации автоматически применяется политика блокировки всех пакетов, поступающих на интерфейсы «С-Терра Юнит».
Неинтерактивная инициализация «С-Терра Юнит»
Неинтерактивная инициализация возможна при наличии программного комплекса «С-Терра КП. Версия 4.3». В этом случае с помощью механизмов программного комплекса «С-Терра КП. Версия 4.3» подготавливается флеш-накопитель USB с параметрами инициализации, политиками безопасности и прочими настройками «С-Терра Юнит».
Процедура настройки «С-Терра Юнит» на системе управления начинается с создания ключевого контейнера и формирования запроса на локальный сертификат в удостоверяющий центр.
Рисунок 4. Окно создания ключевого контейнера и формирования запроса на локальный сертификат «С-Терра Юнит» с помощью программного комплекса «С-Терра КП. Версия 4.3»
В случае успешного выполнения операции новый сертификат отобразится в соответствующем окне.
Рисунок 5. Окно просмотра выданных сертификатов в интерфейсе программного комплекса «С-Терра КП. Версия 4.3»
Затем создаются новая учётная запись для «С-Терра Юнит», сетевые параметры и политики безопасности.
Рисунок 6. Настройки внутреннего сетевого интерфейса LAN «С-Терра Юнит»
Рисунок 7. Настройка интерфейса Wi-Fi «С-Терра Юнит»
Рисунок 8. Настройка внешнего сетевого интерфейса WAN «С-Терра Юнит»
Далее с помощью мастера настроек задаются личный сертификат «С-Терра Юнит», правила политики безопасности и лицензия.
Рисунок 9. Окно мастера настроек программного комплекса «С-Терра КП. Версия 4.3». Добавление личного сертификата «С-Терра Юнит»
Рисунок 10. Настройка правил IPsec для «С-Терра Юнит» — заданы правила шифрования и пропуска пакетов на интерфейсе WAN и по Wi-Fi
Рисунок 11. Ввод лицензии «С-Терра Юнит»
Средствами мастера настроек для «С-Терра Юнит» задаются пароли пользователя «root» и администратора в локальной консоли управления.
Рисунок 12. Правила доступа «С-Терра Юнит» для администрирования
По окончании ввода настроек завершается формирование учётной записи и выполняется генерация установочных пакетов, содержащих заданные настройки.
Рисунок 13. Окно завершения настройки новой учётной записи для «С-Терра Юнит»
Рисунок 14. Окно выпуска установочных пакетов для «С-Терра Юнит»
По умолчанию в установочные пакеты не входит контейнер с закрытыми ключами, контейнер добавляется вручную.
Рисунок 15. Добавление контейнера закрытого ключа в установочные пакеты «С-Терра Юнит»
Сформированные установочные пакеты записываются на носитель и подключаются к USB-порту «С-Терра Юнит». Обновление шлюза происходит автоматически. По окончании установки зелёный индикатор должен гореть ровным светом, сигнализирующим об успешном выполнении операции. Статус «С-Терра Юнит» в интерфейсе администратора программного комплекса «С-Терра КП. Версия 4.3» должен обновиться на «ONLINE» при условии сетевой связности между «С-Терра Юнит» и «С-Терра КП. Версия 4.3».
Рисунок 16. Статус настроенного «С-Терра Юнит» в интерфейсе администратора программного комплекса «С-Терра КП. Версия 4.3»
Смешанная инициализация
В случае невозможности использования программного комплекса «С-Терра КП. Версия 4.3» и при необходимости настройки большого числа «С-Терра Юнит» применяется смешанный способ инициализации. В этом случае одно устройство «С-Терра Юнит» настраивается вручную, затем с этими настройками и возможностью управления по SSH подготавливается флеш-накопитель USB для неинтерактивной инициализации остальных устройств.
Настройка с помощью веб-интерфейса пользователя
Веб-интерфейс — механизм базовой настройки «С-Терра Юнит», позволяющий пользователю конфигурировать системные параметры, IP-адресацию, сетевые интерфейсы, логирование, вспомогательные опции. Настройка политики безопасности через веб-интерфейс недоступна.
Рисунок 17. Главное окно веб-интерфейса пользователя «С-Терра Юнит». Раздел «Статус» («Status»)
Веб-интерфейс содержит три раздела: «Статус» («Status»), «Система» («System») и «Сеть» («Network»). В разделе «Система» возможно изменение следующих параметров:
- локальное время на «С-Терра Юнит» (пользователь может произвести синхронизацию часов «С-Терра Юнит» с веб-браузером);
- наименование «С-Терра Юнит» (по умолчанию — «STerra-Unit»);
- часовой пояс устройства.
Рисунок 18. Системные настройки «С-Терра Юнит» в веб-интерфейсе пользователя
Пользователь имеет возможность управлять адресами NTP-сервера и параметрами журналирования событий:
- размер буфера для сохранения системных событий;
- IP-адрес и порт syslog-сервера для централизованного сбора событий с устройств «С-Терра Юнит»;
- уровень журналирования системных событий («Debug», «Info», «Notice», «Warning», «Error», «Critical», «Alert», «Emergency»);
- уровень журналирования событий ядра (Kernel Log).
Рисунок 19. Настройки параметров журналирования событий «С-Терра Юнит» в веб-интерфейсе пользователя
В разделе «Сеть» пользователь может задать параметры Wi-Fi и сетевых интерфейсов, а также подключить 4G-модем.
Рисунок 20. Вкладка «Интерфейсы» раздела «Сеть» веб-интерфейса пользователя «С-Терра Юнит»
Рисунок 21. Вкладка «Wi-Fi» раздела «Сеть» веб-интерфейса пользователя «С-Терра Юнит»
Сценарии использования «С-Терра Юнит»
Производитель не ограничивает сферы использования «С-Терра Юнит». При соблюдении организационно-технических и административных мер по защите устройств от несанкционированного доступа и бесперебойного режима работы «С-Терра Юнит» подходит для решения даже самых специфических задач. Рассмотрим некоторые типовые варианты.
Защита доступа с удалённых рабочих мест
Централизованное управление, простота в развёртывании и небольшие габариты позволяют пользователям брать «С-Терра Юнит» с собой в поездки, командировки, на дом для организации защищённого канала связи с головным офисом. Кроме того, пропускная способность одного устройства «С-Терра Юнит» позволяет защитить небольшую нетребовательную к скорости локальную сеть.
Защита трафика мобильных устройств и беспроводных каналов связи
«С-Терра Юнит» поддерживает подключение USB-модемов и может выступать в качестве точки доступа Wi-Fi, обеспечивая шифрование передаваемой информации. Множество настроек «С-Терра Юнит» позволяет индивидуализировать беспроводное подключение, настроить перечень устройств, которым разрешено взаимодействие через «С-Терра Юнит». Таким образом, осуществляется защита трафика мобильных устройств без привязки к их ОС, мобильным операторам и стороннему программному обеспечению.
Защита компонентов АСУ ТП и контрольно-измерительных устройств в системе ЖКХ
Для АСУ ТП нарушение безопасности контрольно-измерительной и тем более управляющей информации может привести к сбою технологического процесса, искажению данных и авариям. Кроме того, большинство АСУ ТП подпадают под действие федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», что повышает значимость возникающих рисков. В связи с этим целесообразно применять «С-Терра Юнит» для того, чтобы обеспечить конфиденциальность и неискажаемость данных от контрольно-измерительных устройств и датчиков.
Применение продукта возможно в горнодобывающей, химической и металлургической промышленности, энергетике. Не исключено использование «С-Терра Юнит» для защиты информации в сфере ЖКХ, в частности — ГИС ЖКХ, пилотном проекте по внедрению российской криптографии и средств шифрования при электронном взаимодействии между муниципальными властями, гражданами и ресурсными организациями.
Защита банкоматов
Конечно, атаки на банкоматы и банковские терминалы с физическим доступом случаются гораздо чаще, чем сетевые атаки, требующие другой квалификации, оснащённости и осведомлённости злоумышленника, однако вредоносные действия с целью перехвата и модификации данных, передаваемых в ходе процессинга, могут нанести не меньший урон предприятию банковского сектора.
Модификация данных может затрагивать такие параметры, как идентификатор получателя средств (если выполняется перевод денег через банкомат), баланс доступных средств на счёте пользователя. Возможна и корректировка параметров банковской карты (в случае если она не соответствует стандарту EMV).
Кроме того, доступ злоумышленника к банковскому трафику может привести к краже конфиденциальных данных. Применение «С-Терра Юнит» позволяет обеспечить дополнительное шифрование и защитить информацию от хищения и модификации. Здесь достоинством вновь становятся габариты устройства, позволяющие расположить «С-Терра Юнит» внутри банкоматов, защищая тем самым криптошлюзы от несанкционированного доступа.
Защита каналов видео-конференц-связи, IP-камер и IP-телефонии
В соответствии с полученными сертификатами соответствия «С-Терра Юнит» может применяться для защиты информации, не составляющей государственную тайну — конфиденциальной и персональной информации, коммерческой тайны. Важное место здесь занимают аудио- и видеоданные (звонки, конференц-связь, видео с камер наблюдения). Пропускная способность «С-Терра Юнит» позволяет передавать видеопоток в высоком качестве, а также поддерживать защищённые конференции на несколько участников без снижения качества звука и изображения.
Защита интерфейсов управления серверами и интеллектуальными платформами
Наконец, «С-Терра Юнит» можно применить для защиты таких интерфейсов управления оборудованием, как iLO (Integrated Lights-Out) компании Hewlett-Packard, CIMC (Cisco Integrated Management Controller) от Cisco и IPMI (Intelligent Platform Management Interface). Эти интерфейсы позволяют удалённо управлять всеми настройками серверов и оборудования, начиная с обновления встроенного ПО и заканчивая корректировкой скорости вращения вентиляторов. С другой стороны, с помощью «С-Терра Юнит» администратор может оперативно подключиться к управляющим интерфейсам из любой точки, обеспечивая должный уровень безопасности.
Выводы
В ходе тестирования «С-Терра Юнит» показал себя как простое в настройке, компактное и очень мобильное устройство защиты информации, передаваемой по открытым каналам связи. Поддержка большого числа протоколов и подтверждённое соответствие требованиям позволяют применять «С-Терра Юнит» в разных сферах и отраслях, начиная с личного использования и заканчивая государственными информационными системами.
«С-Терра Юнит» взаимодействует с прочими продуктами «С-Терра СиЭсПи», что позволяет построить развёрнутую систему безопасности. Также возможна интеграция с оборудованием поддерживающим IPsec (IKEv1).
Во втором квартале 2021 года планируется выход нового исполнения «С-Терра Юнит», которое будет сертифицироваться в ФСБ России в качестве СКЗИ по классу КС3.
В качестве развития продукта хотелось бы видеть исполнение с большей пропускной способностью.
Достоинства:
- Компактные размеры.
- Собственный криптопровайдер «С-Терра ST».
- Сертификаты соответствия СКЗИ ФСБ России (испытания в системе сертификации ФСТЭК России на момент написания обзора не были завершены) и наличие в реестре Минцифры России.
- Поддержка электронных ключей и 4G-модемов.
- Многоязычный интерфейс управления.
- Поддержка работы в качестве точки доступа.
Недостатки:
- «С-Терра Юнит» не предназначен для работы в условиях отличных от нормальных климатических.
- «С-Терра Юнит» не входит в реестр отечественной радиоэлектронной продукции Минпромторга России. В настоящий момент ведутся работы по его включению в этот реестр.