Шифр-VPN

Розвиток інформаційних технологій, а також глобалізаційні процеси в сучасному суспільстві формують задачі забезпечення передачі інформації між георозподіленими обчислювальними мережами та забезпечення конфіденційності для передачі даних публічними мережами.
Часто виникає необхідність забезпечення конфіденційної передачі даних по мережі Інтернет для уже існуючих інформаційних систем, де вже не можна внести зміни для впровадження механізмів захисту.
Забезпечення конфіденційності при передачі даних по мережі Інтернет вирішується за допомогою технології віртуальних приватних мереж (VPN – virtual private network).
При побудові VPN рекомендують звернути увагу на:
  • Гнучкість та зручність управління ключами.
  • Зручність експлуатації та інтеграції.
  • Гнучкість та зручність налаштування мережі.
  • Швидкість передачі даних.
  • Перспективність (підтримувані алгоритми).
  • Орієнтація на хмарні технології.
  • Широкий спектр підтримуваних апаратних платформ та операційних систем (ОС).
Опис
Система криптографічного захисту каналів зв'язку «Шифр-VPN» програмний чи програмно-апаратний комплекс, який ґрунтується на протоколі OpenVPN з підтримкою SSL/TLS, для забезпечення конфіденційності при передачі даних в комп’ютерних мережах.
СКЗКЗ «Шифр-VPN» дозволяє забезпечити конфіденційність (шифрування) між:
  • Мережа-Мережа (Сервер-Сервер). Такий підхід дозволяє будувати VPN з’єднання між різними мережами, де весь трафік буде захищений.
  • Користувач-Мережа (Клієнт-Сервер). Такий підхід дозволяє будувати VPN з’єднання між комп’ютером користувача та мережею, яка розміщена за VPN Сервером.
Для забезпечення конфіденційності використовуються криптографічні алгоритми:
  • Реалізовані в бібліотеках криптографічних примітивів «Шифр+» v 2.1 (наявний чинний позитивний експертний висновок).
  • З урахуванням великого досвіду компанії Сайфер.
СКЗКЗ Шифр-VPN можна будувати навколо інфраструктури відкритих ключів (ІВК):
  • Ключі видані АЦСК/КНЕДП. У цьому випадку для авторизації користувачів в захищеній мережі, можуть використовуватися:
    • Перевірка статусу сертифікату за протоколом OCSP.
    • Ведення списку довірених ЦСК на сервері VPN.
    • Ведення списку дозволених користувачів на сервері VPN.
  • Ключі видані внутрішнім ЦСК. У цьому випадку розгортається власна ІВК, використовуючи рішення:
    • СКЗКЗ «Шифр-X.509» (можлива кваліфікація).
    • СКЗКЗ «Шифр-xCA» (для внутрішнього користування).
У якості криптографічних алгоритмів допускається використовувати:
  • Національні криптографічні алгоритми:
    • ДСТУ 4145:2002.
    • ГОСТ 34.311-95, ДСТУ 7564:2014.
    • ГОСТ 28147-89, ДСТУ 7624:2014.
  • Міжнародні криптографічні алгоритми:
    • RSA, ECDSA.
    • SHA-1, SHA-2.
    • AES, DEA, TDEA.
Ключі користувачів та серверів можуть використовуватись:
  • У вигляді файлу – файлового ключового контейнеру
    • PFX/PKCS#12 (АЦСК Генеральної прокуратури України, АЦСК Україна, АЦСК НДУ, АЦСК Ощадбанк, АТ ІІТ та інші).
    • JKS (АЦСК Приватбанк).
    • Key-6.dat (ЦСК побудовані на основі АТ ІІТ).
    • ZS2 (аналог PFX/PKCS#12 АЦСК Україна, а також після конвертації в Key-6.dat).
  • На захищеному носії
    • В пасивному режимі.
      • Thales/Aladdin/SafeNet/Gemalto eToken.
      • Автор SecureToken-337/338.
      • Авест AvestKey.
      • Ефіт EfitKey.
      • Та інші.
    • В активному режимі.
      • ІІТ Алмаз-1К.
      • Автор SecureToken-337/337.
      • Авест AvestKey.
      • Ефіт EfitKey.
СКЗКЗ Шифр-VPN підтримує широкий спектр апаратних платформ та операційних систем:
  • Апаратні платформи:
    • x86, x86-64 (AES NI, CLMUL, SSE, AVX). Підтримується апаратне прискорення.
    • ARMv6, ARMv7, ARMv8.
  • Операційні системи:
    • Сервер: Windows, Linux, FreeBSD.
    • Клієнт: Windows, Linux, MacOS.
    • Клієнт: Android*, iOS* (сторонніх розробників, забезпечується сумісність для міжнародних криптографічних алгоритмів).
Зручність використання СКЗКЗ Шифр-VPN забезпечується:
  • Розвинутою системою керування Серверами VPN.
  • Розвинутою системою моніторингу Сервера VPN побудованою на базі агентів та розширень для Zabbix v3.0+.
  • Можливість гнучкого налаштування сервера та клієнтів. Налаштування здійснюється завдяки розповсюдженню серед клієнтів раніше підготовлених файлів налаштувань.
Одним з найскладніших питань застосування VPN, є інтеграція зі вже існуючими системами з мінімальними змінами:
  • Шифр-VPN забезпечує балансування трафіку. У цьому випадку, кілька Серверів VPN працюють, як єдине ціле та з’єднання від клієнтів розповсюджується менш навантаженим Серверам VPN (найменшою кількістю підключень).
  • За необхідності, Шифр-VPN дозволяє захищати мережеві підключення з більшою пропускною здатністю, за рахунок агрегації віртуальних мережевих інтерфейсів. У цьому випадку обчислювальна система, може бути завантажена оптимальним чином.
  • Агрегація трафіку досягається за рахунок паралельної роботи кількох Серверів VPN на одній обчислювальній машині. У цьому випадку Сервера VPN прив’язані до різних портів та/чи адрес.
  • Застосовані в Шифр-VPN підходи до побудови Сервера VPN, забезпечують ефективну можливість роботи, як на фізичному, так і на віртуальному обладнані.
Варіанти побудови Сервера VPN:
  • Docker контейнер. Рекомендується для забезпечення конфіденційності при підключенні до хмарних ресурсів.
  • Віртуальна машина. Рекомендується для забезпечення конфіденційності при підключенні до хмарних ресурсів.
  • Архів з дистрибутивом для самостійного встановлення.
  • Може виконуватися в захищеному апаратному виконанні (попереднє замовлення).
Область застосування
Однією з типових задач, які можуть бути успішно вирішуватися СКЗКЗ «Шифр-VPN», є побудова захищеного каналу між двома мережами.
З обох сторін розгорнутий Сервер VPN, який може:
  • Керувати трафіком між мережами, які знаходяться за VPN.
  • Можливість проходження трафіку через фаєрволи та HTTP-proxy.
  • Шифрувати чи не шифрувати (а тегувати) трафік.
  • Агрегувати трафік з кількох мережевих інтерфейсів, а також виконувати зворотнє перетворення.
  • На цих серверах використовуються статичні ідентичні ключі у PKCS#12 контейнері.

Cipher-VPN-server-server_ua.png (57 KB)

Однією з типових задач, які можуть успішно вирішуватися СКЗКЗ «Шифр-VPN», є побудова захищеного каналу між користувачем та мережею.
З одного боку, розгорнуто Сервер VPN, а у користувача Клієнт VPN.
На стороні Сервера VPN:
  • Керувати трафіком між двома мережами, які знаходяться за VPN.
  • Можливість проходження трафіку через фаєрволи та HTTP-proxy.
  • Шифрувати чи не шифрувати (а тегувати) трафік.
  • Агрегувати трафік з кількох мережевих інтерфейсів, а також виконувати зворотнє перетворення.
  • На цих серверах використовуються статичні ідентичні ключі у PKCS#12 контейнері.
  • Паралельна робота кількох Серверів VPN.
  • Балансування підключень між пулом Серверів VPN.
  • Автентифікація користувача за різними ознаками.
  • Підтримка роботи з ЦСК за протоколами OCSP over HTTP, для перевірки статусу сертифікату.
На стороні Клієнта VPN:
  • Можливість використання конфігураційних файлів виконанням налаштувань для даного Сервера VPN.
  • Можливість підключення до пулу Серверів VPN, за принципом «хто перший відповість».
  • Керувати трафіком між мережами, які знаходяться за VPN.
  • Можливість проходження трафіку через фаєрволи та HTTP-proxy.
  • Шифрувати чи не шифрувати (а тегувати) трафік.
  • Можливість зберігати ключ у файлових контейнерах та на захищених носіях.
  • Зберігати пароль в пам’яті до захищеного носія, чи вимагати його вводити кілька разів.
  • Підтримка роботи з ЦСК за протоколами OCSP over HTTP, для перевірки статусу сертифікату.

Cipher-VPN-server-clients_ua.png (54 KB)

Однією з типових задач, які можуть успішно вирішуватися СКЗКЗ «Шифр-VPN», є побудова захищеного каналу між користувачем та мережею.
З одного боку розгорнутий Сервер VPN, а у користувача Клієнт VPN.
На стороні Сервера VPN можливе управління трафіком від клієнтських підключень між різними мережами.

Cipher-VPN-servers-clients_ua.png (67 KB)

Відмінні характеристики

Існує велика кількість підходів до побудови VPN, у залежності від рівня:
  • Мережевий (IP/IPSec).
  • Транспортний (TCP/UDP).
Вказані підходи мають як позитивні, так і негативні сторони.
Серед існуючих рішень та підходів, виділяють протокол OpenVPN з підтримкою SSL/TLS, який дозволяє забезпечити:
  • Прозорість проходження Firewall, Proxy, NAT у порівнянні з LT2P/IPsec.
  • Більш високу продуктивність при меншому об’ємі спожитих обчислювальних ресурсів у порівнянні з LT2P/IPsec.
  • Підтримку протоколів транспортного рівня TCP, UDP.
  • Стискання трафіку за допомогою алгоритмів LZO, ZIP.
  • Гнучкість налаштування на стороні клієнтів, завдяки попередньо встановлених конфігураційних файлів.

Продуктивність

При проведенні оцінки продуктивності використовувалася лабораторна установка:
  • Один сервер.
  • Чотири клієнтських робочі станції.
Лабораторна установка була об’єднана в локальну мережу за допомогою високопродуктивного керованого мережевого комутатора layer 3.
Нижче наведено характеристики сервера та клієнтських робочих станцій.
Сервер (фізичний)
Клієнт (фізичний)
  • CPU: Intel Xeon E5450 3.0 GHz
  • RAM: 8 GB
  • HDD: 60 GB
  • OS: CentOS Linux v7 x86-64
  • Net: Gigabit Ethernet
  • CPU: Intel Core i5-6400 2.7 GHz (AES NI підтримується)
  • RAM: 16 GB
  • HDD: 1 TB
  • OS: Windows 10 x86-64
  • Net: Gigabit Ethernet
Пропускна здатність шифрованого з’єднання без агрегації трафіку (один екземпляр Сервера VPN).
При проведенні експериментів розглянуто:
  • Пропускна здатність з агрегацією трафіку (кілька екземплярів Сервера VPN запущених на одному фізичному сервері).
Для зменшення навантаження на процесор на стороні фізичного сервера, де запущено Сервер VPN, рекомендується використовувати процесори з підтримкою AES NI інструкцій.
С агрегацією трафіку
Алгоритм
TCP, Mb/s
UDP, Mb/s
AES-256
720
920
ГОСТ 28147-89
100
200
ДСТУ 7624:2014
500
900
Без агрегації трафіку
Пропускна здатність показана при агрегації 4-х логічних каналів VPN з використанням 4-х ядер процесора.
Алгоритм
TCP, Mb/s
UDP, Mb/s
AES-256
190
290
ГОСТ 28147-89
30
55
ДСТУ 7624:2014
140
260

Документи продукту

ПККЗМЗ «Шифр-VPN» має чинний позитивний експертний висновок ДССЗЗІ України 29.12.2023 №04/05/02-1192/ВС1.
СКЗКЗ «Шифр-VPN» має авторське право Міністерства економічного розвитку та торгівлі України 08.04.2019 №87538.
СКЗКЗ «Шифр-VPN» побудований на основі бібліотек криптографічних примітивів «Шифр+» v 2.1, які мають позитивний експертний висновок ДССЗЗІ України 21.08.2022 №04-1022/ВС1.

Презентація