Открыть сервис

Криптографический шлюз

Криптографический шлюз — это аппаратно-программный комплекс или программное обеспечение, предназначенное для шифрования и дешифрования сетевого трафика, а также для обеспечения безопасного соединения между двумя или более сегментами сети, как правило, через публичные каналы связи (например, интернет). Криптографический шлюз выполняет функции межсетевого экрана (файрвола), но с обязательной поддержкой криптографических протоколов (IPsec, TLS, ГОСТ) для защиты передаваемых данных от несанкционированного доступа, модификации и перехвата.

История и развитие

Технология криптографических шлюзов возникла в 1990-х годах как ответ на потребность в защите корпоративных сетей при подключении к глобальной сети интернет. Первые решения представляли собой программные реализации протокола IPsec на базе операционных систем Unix (FreeBSD, Linux). С развитием электронной коммерции и удаленного доступа возникла необходимость в сертифицированных средствах защиты информации, что привело к появлению специализированных аппаратных устройств — криптомаршрутизаторов и VPN-шлюзов.

В России развитие криптографических шлюзов тесно связано с требованиями законодательства в области криптографической защиты информации (КЗИ). С 2000-х годов началось производство сертифицированных ФСБ России устройств, реализующих алгоритмы ГОСТ (ГОСТ 28147-89, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012). Ключевыми производителями стали компании «Крипто-Про», «АМТ-ГРУП», «ИнфоТеКС» (ViPNet) и «Код Безопасности» (Континент).

Классификация криптографических шлюзов

Криптографические шлюзы классифицируются по нескольким признакам.

По типу реализации

  • Аппаратные — специализированные устройства (криптомаршрутизаторы), в которых криптографические функции реализованы на аппаратном уровне (FPGA, ASIC). Отличаются высокой производительностью и устойчивостью к взлому.
  • Программные — устанавливаются на серверы общего назначения (Windows, Linux). Гибче в настройке, но менее производительны.
  • Программно-аппаратные — комбинация аппаратной платформы и специализированного ПО. Наиболее распространены в корпоративном секторе.

По поддерживаемым протоколам

  • IPsec-шлюзы — используют протоколы ESP и AH для защиты IP-пакетов. Стандарт для построения VPN-сетей «сеть-сеть».
  • TLS/SSL-шлюзы — защищают трафик на транспортном уровне (TCP). Часто применяются для организации удаленного доступа (VPN-клиенты).
  • Шлюзы с поддержкой ГОСТ — реализуют российские криптоалгоритмы, сертифицированные ФСБ России. Обязательны для государственных информационных систем.

По области применения

  • Корпоративные — для объединения филиалов (VPN-сети), защиты удаленных рабочих мест, безопасного доступа к облачным сервисам.
  • Государственные — для построения защищенных сегментов ГАС «Выборы», ЕСИА, СМЭВ. Требуют обязательной сертификации.
  • Промышленные — для защиты АСУ ТП, SCADA-систем (поддерживают протоколы Modbus TCP, OPC UA с шифрованием).

Устройство и принцип работы

Криптографический шлюз состоит из следующих функциональных блоков:

  1. Модуль шифрования — выполняет криптографические преобразования (шифрование, дешифрование, вычисление имитовставки). В аппаратных шлюзах реализован на отдельной микросхеме.
  2. Модуль фильтрации трафика — анализирует IP-адреса, порты, протоколы, содержимое пакетов. Реализует политики безопасности (списки доступа ACL).
  3. Модуль управления ключами — отвечает за генерацию, хранение, распределение и смену ключей шифрования. Поддерживает протоколы IKE (для IPsec) и PKI (инфраструктура открытых ключей).
  4. Модуль аутентификации — проверяет подлинность удаленных узлов и пользователей (сертификаты X.509, пароли, токены).
  5. Модуль журналирования — регистрирует все события (подключения, ошибки, попытки взлома) в системном журнале.

Принцип работы: шлюз устанавливается на границе сети. Весь трафик, проходящий через него, перехватывается. Если пакет соответствует правилам безопасности, он шифруется (при отправке) или дешифруется (при получении) с использованием согласованного ключа и протокола. Зашифрованные пакеты передаются по открытой сети как обычные IP-пакеты (инкапсуляция). На принимающем шлюзе происходит обратный процесс.

Характеристики и параметры

Основные технические характеристики криптографических шлюзов:

  • Пропускная способность — максимальная скорость обработки трафика (от 10 Мбит/с до 100 Гбит/с).
  • Количество поддерживаемых VPN-туннелей — от десятков до десятков тысяч.
  • Поддерживаемые криптоалгоритмыAES (128/256), 3DES, ГОСТ 28147-89 («Магма»), ГОСТ Р 34.12-2015 («Кузнечик»), алгоритмы электронной подписи (ГОСТ Р 34.10-2012).
  • Режимы работы — транспортный (защита только полезной нагрузки) и туннельный (защита всего IP-пакета).
  • Сертификация — наличие сертификатов ФСБ России (класс КС1, КС2, КС3) и ФСТЭК России (по требованиям к СВТ).

Применение

Криптографические шлюзы широко используются в следующих сценариях:

  • Защита каналов связи между филиалами — построение виртуальных частных сетей (VPN) поверх интернета. Позволяет отказаться от аренды дорогих выделенных линий.
  • Организация удаленного доступа сотрудников — шифрование трафика между мобильными устройствами (ноутбуки, смартфоны) и корпоративной сетью. Используются протоколы TLS и IPsec.
  • Безопасное подключение к облачным сервисам — защита данных, передаваемых в IaaS, PaaS, SaaS. Применяется в гибридных облачных архитектурах.
  • Защита государственных информационных систем — обязательное использование сертифицированных шлюзов в системах, обрабатывающих персональные данные и сведения, составляющие государственную тайну.
  • Промышленная безопасность — шифрование трафика между контроллерами, SCADA-серверами и удаленными диспетчерскими пунктами.

Примеры продуктов

На российском рынке представлены следующие решения:

  • ViPNet Coordinator HW (АО «ИнфоТеКС») — аппаратный шлюз, сертифицированный ФСБ России. Поддерживает ГОСТ, IPsec, до 10 000 туннелей. Используется в государственных и корпоративных сетях.
  • Континент 3.6 (ООО «Код Безопасности») — программно-аппаратный комплекс для построения VPN-сетей. Включает шлюз, центр управления ключами и клиентское ПО.
  • КриптоПро CSP (ООО «Крипто-Про») — программный криптопровайдер, который может использоваться в качестве компонента шлюза. Реализует все алгоритмы ГОСТ.
  • АПКШ «Континент» — аппаратный шлюз с поддержкой до 5000 туннелей, сертифицирован для работы с гостайной.
  • Зарубежные аналоги — Cisco ASA, Palo Alto Networks, Fortinet. Однако их использование в России ограничено из-за санкций и отсутствия сертификации ФСБ России.

Критика и ограничения

Несмотря на широкое применение, криптографические шлюзы имеют ряд недостатков:

  • Снижение производительности — шифрование и дешифрование трафика требуют значительных вычислительных ресурсов, что может приводить к задержкам и снижению пропускной способности.
  • Сложность управления — необходимость синхронизации ключей, обновления прошивок, настройки политик безопасности на всех узлах сети.
  • Уязвимости реализации — ошибки в программном коде шлюза могут привести к утечке ключей или возможности атак типа «человек посередине» (MITM).
  • Зависимость от сертификации — в России использование неквалифицированных шлюзов в государственных системах запрещено, а процесс сертификации длителен и дорог.
  • Проблемы совместимости — различные реализации IPsec и TLS могут быть несовместимы друг с другом, особенно при использовании разных криптоалгоритмов.

Интересные факты

  • Первые криптографические шлюзы в России разрабатывались для нужд Министерства обороны и ФСБ России в середине 1990-х годов.
  • В 2014 году, после введения санкций, российские компании начали активно импортозамещать зарубежные VPN-шлюзы на отечественные аналоги.
  • Современные аппаратные шлюзы могут обрабатывать трафик со скоростью до 100 Гбит/с без существенных задержек.
  • Алгоритм ГОСТ 28147-89 («Магма») был разработан в 1989 году и до сих пор является обязательным для защиты государственной тайны в России.

Источники

  1. ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации».
  2. Методические документы ФСТЭК России «Требования к средствам криптографической защиты информации».
  3. Техническая документация на продукты ViPNet Coordinator HW (АО «ИнфоТеКС»).
  4. Описание комплекса «Континент» (ООО «Код Безопасности»).
  5. Стандарт RFC 4301 «Security Architecture for the Internet Protocol» (IPsec).
  6. Учебное пособие «Криптографические методы защиты информации» (под ред. А.А. Молдовяна, 2019).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →