ТУ BY 100037461.010‑2015
Описание
Комплекс программно‑аппаратный криптографической защиты информации «БАС» (ПАК «БАС») предназначен для защиты каналов обмена информацией между абонентами, взаимодействующими по цифровому протоколу IP через сети передачи данных.
ПАК «БАС» обеспечивают криптографическую защиту передаваемых данных посредством полной инкапсуляции IP‑пакетов путем их шифрования с использованием криптографических алгоритмов на основе протоколов IPsec.
Область применения ПАК «БАС» – системы обработки информации ограниченного распространения.
ПАК «БАС» конструктивно представляет собой вычислитель, работающий под управлением ОС Linux, и встроенное программное обеспечение.
Описание ПАК «БАС», использующего встроенное программное обеспечение версии 1.
ПАК «БАС» при помощи ПАК «Барьер‑USB», входящего в его состав, ведет непрерывный контроль вскрытия корпуса.
Технические характеристики
| Описание | Спецификация |
| Назначение | Защита передаваемых данных путем полной инкапсуляции IP‑пакетов с использованием протоколов IPSec |
| Количество одновременно поддерживаемых VPN туннелей | Неограниченное количество |
| Производительность |
Определяется артикулом и Договором поставки |
| Количество сетевых интерфейсов |
Определяется артикулом и Договором поставки |
| Алгоритмы шифрования |
СТБ 34.101.31‑2020 (п. 7.2, 7.3, 7.4) |
| Алгоритмы контроля целостности (имитозащита) |
СТБ 34.101.31‑2020 (п. 7.5) СТБ 34.101.47‑2017 (п. 6.1) |
| Генерация ключевой пары | СТБ 34.101.45‑2013 с использованием физического датчика случайных чисел |
| Алгоритмы электронной цифровой подписи | СТБ 34.101.45‑2013 |
| Алгоритмы хэширования | СТБ 34.101.31‑2020 (п. 7.8) |
| Взаимная аутентификация устройств и выработка общего ключа | СТБ 34.101.66‑2014 (п. 7.5) |
| Взаимная аутентификация устройств и выработка общего ключа c использованием общего секрета | СТБ 34.101.66‑2014 (п. 7.6) |
| Генерация случайных чисел |
Аппаратный физический датчик СТБ 34.101.27‑2011 (п. 5.6 класс 2) |
| Генерация псевдослучайных чисел | СТБ 34.101.47‑2017 (п. 6.2, 6.3) |
| Формат сертификатов открытых ключей |
СТБ 34.101.19‑2012 СТБ 34.101.78‑2019 (п. 8.3) |
| Поддерживаемые системы сертификатов открытого ключа | ГосСУОК, УЦ БУТБ, УЦ «АСБ Беларусбанк», УЦ «ИВЦ Минфина» |
| Формат запроса на выпуск сертификата открытого ключа |
СТБ 34.101.17‑2012 СТБ 34.101.78‑2019 (п. 8.2) |
| Поддержка списка отозванных сертификатов |
СТБ 34.101.19‑2012 СТБ 34.101.78‑2019 (п. 8.3) |
| Стандарты IKE/IPsec | RFC 4301‑4308 |
| Защита трафика |
Протоколы IPsec: – IPsec Encapsulating Security Payload (ESP) – инкапсуляция пакетов данных – IPsec Authentication Header (AH) – защищенный заголовок |
| Управление ключами | Протокол IKEv2 |
| Смена ключей шифрования |
Автоматически: – при достижении объема переданного трафика – при истечении установленного времени |
| Работа через NAT | Протокол NAT Traversal IPsec |
| Обеспечение надежности защищенных соединений | Протокол Dead Peer Detection (DPD) |
| Управление |
– локально – удаленно по протоколу SSH |
| Событийное протоколирование | Средствами SYSLOG |
| Защита от несанкционированного доступа | Физический датчик вскрытия корпуса |
| Самотестирование |
При запуске устройства и по запросу администратора: – контроль работоспособности аппаратных компонентов устройства – контроль целостности встроенного ПО – контроль работоспособности криптографических алгоритмов |
| Электропитание |
От сети электропитания общего пользования 220‑230 В / 49‑51 Гц |
| Фильтрация трафика | СТБ 34.101.73‑2017 (п. 7.3, 7.4) |
| Предоставление статистики | SNMP |
| Поддержка защиты данных второго уровня сетевой модели (L2) | При помощи протокола L2TPv3 pseudowire |
| Маршрутизация |
Статическая маршрутизация Динамическая маршрутизация: – Routing Information Protocol (RIP) – Open Shortest Path First (OSPF) – Border Gateway Protocol (BGP) |
| Механизмы обеспечения отказоустойчивости |
Virtual Router Redundancy Protocol (VRRP) Common Address Redundancy Protocol (CARP) Reverse Route Injection (RRI) |
| Поддержка работы с программными клиентами | Клиенты под ОС Android, Linux, Windows с возможностью назначения IP‑адресов из локального пула |
Документация
Общее описание параметров настройки
Инструкция по управлению ключевой информацией
Типовые сценарии
Данный сценарий описывает создание защищенного соединения между двумя подсетями. Поддерживается два варианта аутентификации:
- с использованием ЭЦП (по протоколу BSTS)
- с использованием общего секрета (по протоколу BPACE)
Данный сценарий описывает подключение к защищаемой при помощи ПАК «БАС» 1 подсети (ПК 1) заранее неизвестных подсетей (ПК 2...ПК N), защищаемых при помощи ПАК «БАС» 2...ПАК «БАС» N.
Данный сценарий описывает подключение к защищаемой при помощи ПАК «БАС» 1 подсети (ПК 1) другой защищаемой при помощи ПАК «БАС» 2 подсети (ПК 2), причем ПАК «БАС» 2 находится за статическим NAT.
Данный сценарий описывает подключение к защищаемой при помощи ПАК «БАС» 1 подсети (ПК 1) другой защищаемой при помощи ПАК «БАС» 2 подсети (ПК 2), причем ПАК «БАС» 2 находится за динамическим NAT. Т.е. ПАК «БАС» 1 заранее неизвестно с какого адреса будет осуществляться подключение. Инициаторами соединения в таком сценарии могут быть только устройства, находящиеся за динамическим NAT, т.е. ПАК «БАС» 2.
Скачать инструкцию
Данный сценарий описывает установку защищенного соединения между двумя подсетями ПК 1 и ПК 2 при помощи ПАК «БАС» 1 и ПАК «БАС» 2. Причем ПАК «БАС» 1 и ПАК «БАС» 2 заходятся за NAT.
Скачать инструкцию
Данный сценарий описывает подключение к защищаемой при помощи ПАК «БАС» 1 подсети (ПК 1) двух подсетей: защищаемой при помощи ПАК «БАС» 2 подсети (ПК 2) и защищаемой при помощи ПАК «БАС» 3 подсети (ПК 3). При этом ПАК «БАС» 1 и подсеть (ПК 1) становятся центром «звезды», подсети (ПК 2) и (ПК 3) могут общаться друг с другом по защищенному каналу. Трафик между подсетями (ПК 2) и (ПК 3) ходит через ПАК «БАС» 1 и перешифровывается на нем.
Скачать инструкцию
Данный сценарий описывает подключение к защищаемой при помощи ПАК «БАС» 1 подсети (ПК 1) другой защищаемой при помощи ПАК «БАС» 2 подсети (ПК 2), причем ПАК «БАС» 1 подключен по технологии Router-on-a-stick.
Данный сценарий описывает подключение к защищаемой при помощи ПАК «БАС» 1 подсети (ПК 1) другой защищаемой при помощи ПАК «БАС» 2 подсети (ПК 2), при этом ПАК «БАС» 1 и ПАК «БАС» 2 используют сертификаты, выпущенные разными Удостоверяющими центрами.
Скачать инструкцию
Данный сценарий может являться продолжением сценария динамически расширяемой сети или сети с использованием динамического NAN. Т.е. сети, в которой заранее неизвестен IP-адрес, с которого будет осуществляться подключение. При этом известен, например, серийный номер ПАК «БАС», который осуществляет защиту, или город, в котором располагается филиал.
Скачать инструкцию
Данный сценарий описывает применение встроенного в ПАК «БАС» межсетевого экрана на примере построения защищенного соединения между двумя подсетями. Встроенный межсетевой экран может быть применен к любой схеме подключения ПАК «БАС», при использовании принципов, описанных в данном сценарии.
Скачать инструкцию
Данный сценарий описывает подключение к защищаемой при помощи ПАК «БАС» 1 – ПАК «БАС» 2 подсети (ПК 1) другой защищаемой при помощи ПАК «БАС» 3 подсети (ПК 2). ПАК «БАС» 1 – ПАК «БАС» 2 объединены в кластер для создания отказоустойчивого решения при помощи протокола VRRP.
Скачать инструкцию
Данный сценарий описывает возможность объединения двух сегментов одной сети при помощи ПАК «БАС». Объединение происходит на канальном уровне.
Между входами ПАК «БАС» при помощи протокола L2TPv3 устанавливается «псевдопроводной» туннель. Кадры канального уровня, приходящие на вход ПАК «БАС» 1, инкапсулируются в пакеты сетевого уровня и передаются ПАК «БАС» 2 и наоборот. При этом между ПАК «БАС» установлен IPsec туннель, который обеспечивает защиту всего трафика, проходящего по L2TPv3 туннелю.
Скачать инструкцию
Данный сценарий описывает возможность объединения сегментов одной сети при помощи ПАК «БАС». Объединение происходит на канальном уровне.
Между входами ПАК «БАС» при помощи протокола L2TPv3 устанавливаются «псевдопроводные» туннели. Кадры канального уровня, приходящие на вход ПАК «БАС» 1, инкапсулируются в пакеты сетевого уровня и передаются ПАК «БАС» N и наоборот. При этом между ПАК «БАС» установлены IPsec туннели, которые обеспечивают защиту всего трафика, проходящего по L2TPv3 туннелю.
Скачать инструкцию
Программное обеспечение
Для реализации протоколов IPsec в ПАК «БАС» используется пакет StrongSwan, в котором специалистами ЗАО «НТЦ КОНТАКТ» были зарегистрированы криптографические алгоритмы, соответствующие ТНПА, действующим в Республике Беларусь. Внесенные изменения представлены в файле для соблюдения условий лицензии StrongSwan.
Реализация самих криптографических алгоритмов выполнена в динамически подгружаемых библиотеках и плагинах, являющихся интеллектуальной собственностью ЗАО «НТЦ КОНТАКТ».
Корректность реализации алгоритмов подтверждена в процессе сертификации на соответствие ТР 2013/027/BY.