Криптографический шлюз
Криптографический шлюз — это аппаратно-программный комплекс или программное обеспечение, предназначенное для шифрования и дешифрования сетевого трафика, а также для обеспечения безопасного соединения между двумя или более сегментами сети, как правило, через публичные каналы связи (например, интернет). Криптографический шлюз выполняет функции межсетевого экрана (файрвола), но с обязательной поддержкой криптографических протоколов (IPsec, TLS, ГОСТ) для защиты передаваемых данных от несанкционированного доступа, модификации и перехвата.
История и развитие
Технология криптографических шлюзов возникла в 1990-х годах как ответ на потребность в защите корпоративных сетей при подключении к глобальной сети интернет. Первые решения представляли собой программные реализации протокола IPsec на базе операционных систем Unix (FreeBSD, Linux). С развитием электронной коммерции и удаленного доступа возникла необходимость в сертифицированных средствах защиты информации, что привело к появлению специализированных аппаратных устройств — криптомаршрутизаторов и VPN-шлюзов.
В России развитие криптографических шлюзов тесно связано с требованиями законодательства в области криптографической защиты информации (КЗИ). С 2000-х годов началось производство сертифицированных ФСБ России устройств, реализующих алгоритмы ГОСТ (ГОСТ 28147-89, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012). Ключевыми производителями стали компании «Крипто-Про», «АМТ-ГРУП», «ИнфоТеКС» (ViPNet) и «Код Безопасности» (Континент).
Классификация криптографических шлюзов
Криптографические шлюзы классифицируются по нескольким признакам.
По типу реализации
- Аппаратные — специализированные устройства (криптомаршрутизаторы), в которых криптографические функции реализованы на аппаратном уровне (FPGA, ASIC). Отличаются высокой производительностью и устойчивостью к взлому.
- Программные — устанавливаются на серверы общего назначения (Windows, Linux). Гибче в настройке, но менее производительны.
- Программно-аппаратные — комбинация аппаратной платформы и специализированного ПО. Наиболее распространены в корпоративном секторе.
По поддерживаемым протоколам
- IPsec-шлюзы — используют протоколы ESP и AH для защиты IP-пакетов. Стандарт для построения VPN-сетей «сеть-сеть».
- TLS/SSL-шлюзы — защищают трафик на транспортном уровне (TCP). Часто применяются для организации удаленного доступа (VPN-клиенты).
- Шлюзы с поддержкой ГОСТ — реализуют российские криптоалгоритмы, сертифицированные ФСБ России. Обязательны для государственных информационных систем.
По области применения
- Корпоративные — для объединения филиалов (VPN-сети), защиты удаленных рабочих мест, безопасного доступа к облачным сервисам.
- Государственные — для построения защищенных сегментов ГАС «Выборы», ЕСИА, СМЭВ. Требуют обязательной сертификации.
- Промышленные — для защиты АСУ ТП, SCADA-систем (поддерживают протоколы Modbus TCP, OPC UA с шифрованием).
Устройство и принцип работы
Криптографический шлюз состоит из следующих функциональных блоков:
- Модуль шифрования — выполняет криптографические преобразования (шифрование, дешифрование, вычисление имитовставки). В аппаратных шлюзах реализован на отдельной микросхеме.
- Модуль фильтрации трафика — анализирует IP-адреса, порты, протоколы, содержимое пакетов. Реализует политики безопасности (списки доступа ACL).
- Модуль управления ключами — отвечает за генерацию, хранение, распределение и смену ключей шифрования. Поддерживает протоколы IKE (для IPsec) и PKI (инфраструктура открытых ключей).
- Модуль аутентификации — проверяет подлинность удаленных узлов и пользователей (сертификаты X.509, пароли, токены).
- Модуль журналирования — регистрирует все события (подключения, ошибки, попытки взлома) в системном журнале.
Принцип работы: шлюз устанавливается на границе сети. Весь трафик, проходящий через него, перехватывается. Если пакет соответствует правилам безопасности, он шифруется (при отправке) или дешифруется (при получении) с использованием согласованного ключа и протокола. Зашифрованные пакеты передаются по открытой сети как обычные IP-пакеты (инкапсуляция). На принимающем шлюзе происходит обратный процесс.
Характеристики и параметры
Основные технические характеристики криптографических шлюзов:
- Пропускная способность — максимальная скорость обработки трафика (от 10 Мбит/с до 100 Гбит/с).
- Количество поддерживаемых VPN-туннелей — от десятков до десятков тысяч.
- Поддерживаемые криптоалгоритмы — AES (128/256), 3DES, ГОСТ 28147-89 («Магма»), ГОСТ Р 34.12-2015 («Кузнечик»), алгоритмы электронной подписи (ГОСТ Р 34.10-2012).
- Режимы работы — транспортный (защита только полезной нагрузки) и туннельный (защита всего IP-пакета).
- Сертификация — наличие сертификатов ФСБ России (класс КС1, КС2, КС3) и ФСТЭК России (по требованиям к СВТ).
Применение
Криптографические шлюзы широко используются в следующих сценариях:
- Защита каналов связи между филиалами — построение виртуальных частных сетей (VPN) поверх интернета. Позволяет отказаться от аренды дорогих выделенных линий.
- Организация удаленного доступа сотрудников — шифрование трафика между мобильными устройствами (ноутбуки, смартфоны) и корпоративной сетью. Используются протоколы TLS и IPsec.
- Безопасное подключение к облачным сервисам — защита данных, передаваемых в IaaS, PaaS, SaaS. Применяется в гибридных облачных архитектурах.
- Защита государственных информационных систем — обязательное использование сертифицированных шлюзов в системах, обрабатывающих персональные данные и сведения, составляющие государственную тайну.
- Промышленная безопасность — шифрование трафика между контроллерами, SCADA-серверами и удаленными диспетчерскими пунктами.
Примеры продуктов
На российском рынке представлены следующие решения:
- ViPNet Coordinator HW (АО «ИнфоТеКС») — аппаратный шлюз, сертифицированный ФСБ России. Поддерживает ГОСТ, IPsec, до 10 000 туннелей. Используется в государственных и корпоративных сетях.
- Континент 3.6 (ООО «Код Безопасности») — программно-аппаратный комплекс для построения VPN-сетей. Включает шлюз, центр управления ключами и клиентское ПО.
- КриптоПро CSP (ООО «Крипто-Про») — программный криптопровайдер, который может использоваться в качестве компонента шлюза. Реализует все алгоритмы ГОСТ.
- АПКШ «Континент» — аппаратный шлюз с поддержкой до 5000 туннелей, сертифицирован для работы с гостайной.
- Зарубежные аналоги — Cisco ASA, Palo Alto Networks, Fortinet. Однако их использование в России ограничено из-за санкций и отсутствия сертификации ФСБ России.
Критика и ограничения
Несмотря на широкое применение, криптографические шлюзы имеют ряд недостатков:
- Снижение производительности — шифрование и дешифрование трафика требуют значительных вычислительных ресурсов, что может приводить к задержкам и снижению пропускной способности.
- Сложность управления — необходимость синхронизации ключей, обновления прошивок, настройки политик безопасности на всех узлах сети.
- Уязвимости реализации — ошибки в программном коде шлюза могут привести к утечке ключей или возможности атак типа «человек посередине» (MITM).
- Зависимость от сертификации — в России использование неквалифицированных шлюзов в государственных системах запрещено, а процесс сертификации длителен и дорог.
- Проблемы совместимости — различные реализации IPsec и TLS могут быть несовместимы друг с другом, особенно при использовании разных криптоалгоритмов.
Интересные факты
- Первые криптографические шлюзы в России разрабатывались для нужд Министерства обороны и ФСБ России в середине 1990-х годов.
- В 2014 году, после введения санкций, российские компании начали активно импортозамещать зарубежные VPN-шлюзы на отечественные аналоги.
- Современные аппаратные шлюзы могут обрабатывать трафик со скоростью до 100 Гбит/с без существенных задержек.
- Алгоритм ГОСТ 28147-89 («Магма») был разработан в 1989 году и до сих пор является обязательным для защиты государственной тайны в России.
Источники
- ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации».
- Методические документы ФСТЭК России «Требования к средствам криптографической защиты информации».
- Техническая документация на продукты ViPNet Coordinator HW (АО «ИнфоТеКС»).
- Описание комплекса «Континент» (ООО «Код Безопасности»).
- Стандарт RFC 4301 «Security Architecture for the Internet Protocol» (IPsec).
- Учебное пособие «Криптографические методы защиты информации» (под ред. А.А. Молдовяна, 2019).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →