ТУ BY 100037461.010-2015
Описание
ПАК «БАС» предназначен для защиты каналов обмена информацией между абонентами, взаимодействующими по цифровому протоколу IP через сети передачи данных.
ПАК «БАС» обеспечивают криптографическую защиту передаваемых данных посредством полной инкапсуляции IP-пакетов путем их шифрования с использованием криптографических алгоритмов на основе протоколов IPsec.
Область применения ПАК «БАС» – системы обработки информации ограниченного распространения.
ПАК «БАС» производится в следующих конфигурациях:
а) устройства защиты клиента;
б) сервера защиты.
ПАК «БАС» конструктивно представляет собой вычислитель, работающий под управлением ОС Linux, и встроенное программное обеспечение. При этом устройство защиты клиента и сервер защиты имеют одинаковое программное обеспечение, что обеспечивает выполнение одинаковых функциональных возможностей, но различное аппаратное исполнение, вследствие чего устройство защиты клиента и сервер защиты имеют различную вычислительную мощность.
Устройство защиты клиента:
Сервер защиты:
Технические характеристики
| Описание | Спецификация |
| Количество одновременно поддерживаемых VPN туннелей | Неограниченное количество. |
| Производительность |
Не менее 200 Мб/с для Сервера защиты (определяется договором на поставку); Не менее 7 Мб/с для Устройства защиты клиента. |
| Количество сетевых интерфейсов |
Не менее 2 для Сервера защиты (определяется договором на поставку); 2 для Устройства защиты клиента. |
| Алгоритмы шифрования |
СТБ 34.101.31-2011 (п. 6.3, 6.4, 6.5); ГОСТ 28147-89 (п.3, 4). |
| Алгоритмы контроля целостности (имитозащита) |
СТБ 34.101.31-2011 (п. 6.6); СТБ 34.101.47-2017 (п. 6.1); ГОСТ 28147-89 (п. 5). |
| Генерация ключевой пары | СТБ 34.101.45-2013 с использованием физического датчика случайных чисел. |
| Алгоритмы электронной цифровой подписи | СТБ 34.101.45-2013. |
| Алгоритмы вычисления хэш сумм | СТБ 34.101.31-2011 (п. 6.9). |
| Взаимная аутентификация устройств и выработка общего ключа | СТБ 34.101.66-2014 (п.7.5). |
| Генерация случайных чисел | Аппаратный физический датчик. |
| Генерация псевдослучайных чисел | СТБ 34.101.47-2017 (п. 6.2, 6.3). |
| Формат сертификатов открытых ключей | СТБ 34.101.19-2012. |
| Поддерживаемые системы сертификатов открытого ключа | ГосСУОК, УЦ БУТБ, УЦ «АСБ Беларусбанк», УЦ «ИВЦ Минфина». |
| Формат запроса на выпуск сертификата открытого ключа | СТБ 34.101.17-2012. |
| Поддержка списка отозванных сертификатов | СТБ 34.101.19-2012. |
| Стандарты IKE/IPsec | RFC 4301-4308. |
| Защита трафика |
Протоколы IPsec: – IPsec Encapsulating Security Payload (ESP) – инкапсуляция пакетов данных; – IPsec Authentication Header (AH) – защищенный заголовок. |
| Управление ключами | Протокол IKEv2. |
| Смена ключей шифровани |
Автоматически: – при достижении объема переданного трафика; – при истечении установленного времени. |
| Работа через NAT | Протокол NAT Traversal IPsec. |
| Обеспечение надежности защищенных соединений | Протокол Dead Peer Detection (DPD). |
| Управление |
– локально; – удаленно по протоколу SSH. |
| Событийное протоколирование | Средствами SYSLOG. |
| Защита от несанкционированного доступа | Датчик вскрытия корпуса. |
| Самотестирование |
При запуске устройства и по запросу администратора: – контроль работоспособности аппаратных компонентов устройства; – контроль целостности встроенного ПО; – контроль работоспособности криптографических алгоритмов. |
| Электропитание |
Сервер защиты: – от сети электропитания общего пользования 220-230 В / 49-51 Гц. Устройства защиты клиента: – от защищаемой сети по протоколу PoE (IEEE 802.3at); – от сети электропитания общего пользования 220-230 В / 49-51 Гц с использованием micro-USB AC-DC адаптера; – от USB 3.0-порта защищаемого оборудования. |
| Потребляемая мощность |
До 50 Вт для Сервера защиты. До 5 Вт для Устройства защиты клиента. |
| Фильтрация трафика | Средствами iptables. |
| Предоставление статистики | SNMP |
| Поддержка защиты данных второго уровня сетевой модели (L2) | При помощи проткола L2TPv3 pseudowire. |
| Маршрутизация |
Статическая маршрутизация. Динамическая маршрутизация: – Routing Information Protocol (RIP); – Open Shortest Path First (OSPF); – Border Gateway Protocol (BGP). |
| Механизмы обеспечения отказоустойчивости |
Virtual Router Redundancy Protocol (VRRP); Common Address Redundancy Protocol (CARP); Reverse Route Injection (RRI). |
Документация
Общее описание параметров настройки
Типовые сценарии
Данный сценарий описывает подключение к защищаемой при помощи ПАК «БАС» 1 подсети (ПК 1) заранее не известных подсетей (ПК 2…ПК N), защищаемых при помощи ПАК «БАС» 2…ПАК «БАС» N.
Данный сценарий описывает подключение к защищаемой при помощи ПАК «БАС» 1 подсети (ПК 1) другой защищаемой при помощи ПАК «БАС» 2 подсети (ПК 2), причем ПАК «БАС» 2 находится за статическим NAT.
Данный сценарий описывает подключение к защищаемой при помощи ПАК «БАС» 1 подсети (ПК 1) другой защищаемой при помощи ПАК «БАС» 2 подсети (ПК 2), причем ПАК «БАС» 2 находится за динамическим NAT.
Скачать инструкцию
Данный сценарий описывает установку защищенного соединения между двумя подсетями ПК 1 и ПК 2 при помощи ПАК «БАС» 1 и ПАК «БАС» 2. Причем ПАК «БАС» 1 и ПАК «БАС» 2 заходятся за NAT.
Скачать инструкцию
Данный сценарий описывает подключение к защищаемой при помощи ПАК «БАС» 1 подсети (ПК 1) двух подсетей: защищаемой при помощи ПАК «БАС» 2 подсети (ПК 2) и защищаемой при помощи ПАК «БАС» 3 подсети (ПК 3). При этом ПАК «БАС» 1 и подсеть (ПК 1) становятся центром «звезды», подсети (ПК 2) и (ПК 3) могут общаться друг с другом по защищенному каналу. Трафик между подсетями (ПК 2) и (ПК 3) ходит через ПАК «БАС» 1 и перешифровывается на нем.
Скачать инструкцию
Данный сценарий описывает подключение к защищаемой при помощи ПАК «БАС» 1 подсети (ПК 1) другой защищаемой при помощи ПАК «БАС» 2 подсети (ПК 2), причем ПАК «БАС» 1 подключен по технологии Router-on-a-stick.
Скачать инструкцию
Данный сценарий описывает подключение к защищаемой при помощи ПАК «БАС» 1 подсети (ПК 1) другой защищаемой при помощи ПАК «БАС» 2 подсети (ПК 2), при этом ПАК «БАС» 1 и ПАК «БАС» 2 используют сертификаты, выпущенные разными удостоверяющими центрами.
Скачать инструкцию9. Создание отказоустойчивого защищенного соединения между двумя подсетями при помощи протокола CARP
Данный сценарий описывает подключение к защищаемой при помощи ПАК «БАС» 1 – ПАК «БАС» 2 подсети (ПК 1) другой защищаемой при помощи ПАК «БАС» 3 подсети (ПК 2). ПАК «БАС» 1 – ПАК «БАС» 2 объединены в кластер для создания отказоустойчивого решения при помощи протокола CARP.
Скачать инструкцию
Данный сценарий описывает подключение к защищаемой при помощи ПАК «БАС» 1 – ПАК «БАС» 2 подсети (ПК 1) другой защищаемой при помощи ПАК «БАС» 3 подсети (ПК 2). ПАК «БАС» 1 – ПАК «БАС» 2 объединены в кластер для создания отказоустойчивого решения при помощи протокола VRRP.
Скачать инструкцию
Данный сценарий описывает возможность объединения двух сегментов одной сети при помощи ПАК «БАС». Объединение происходит на канальном уровне (L2).
Скачать инструкцию
Программное обеспечение
Для реализации протоколов IPsec в ПАК «БАС» используется пакет StrongSwan, в котором специалистами ЗАО «НТЦ КОНТАКТ» были зарегистрированы криптографические алгоритмы, соответствующие ТНПА, действующим в Республике Беларусь. Внесенные изменения представлены в файле для соблюдения условий лицензии StrongSwan.
Реализация самих криптографических алгоритмов выполнена в динамически подгружаемых библиотеках и плагинах, являющихся интеллектуальной собственностью ЗАО «НТЦ КОНТАКТ». Корректность реализации алгоритмов подтверждена в процессе сертификации на соответствие ТР 2013/027/BY.