Общие вопросы

Данная аббревиатура (NPE — No payload encryption) означает, что в программном обеспечении отсутствуют функции любого шифрования, кроме шифрования данных, передаваемых при управлении устройством, а именно протоколом SSH, SSL в рамках HTTPS и SNMPv3. Маршрутизаторы и межсетевые экраны Cisco с программным обеспечением NPE попадают в категорию С2.

В соответствии с Российским законодательством (Указ 334 от 1995 года, ПП 957 2007) ввоз на территорию РФ крипто-содержащих средств с длиной ключа более 54 бит (алгоритмы шифрации 3DES/AES) разрешен только при получении лицензии Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России на каждую единицу оборудования.

Компания Cisco в Росcии использует свою внутреннюю классификацию сетевого оборудования. Все оборудование Cisco, доступное для ввоза на территорию РФ, делится на 4 категории:

• C1 – продукты, не требующие разрешения на ввоз;
• C2 – продукты, для который имеются зарегистрированные нотификации и разрешенные ко ввозу без лицензии;
• C3 – продукты, подлежащие импорту с получением лицензии Минпромторга России, выдаваемой  на основании заключения центра по лицензированию, сертификации и защите государственной тайны ФСБ России (ЦЛСЗ);
• C4 – продукты, не распределенные ни по одной из предыдущих категорий.

В категорию C2 попадают:

• устройства со слабым шифрованием (длина ключа меньше 56 бит);
• устройства с сильным шифрованием шифрование, но только для:
  • защиты канала управления устройством;
  • аутентификации;
  • беспроводного оборудования (радиус действия < 400 м);
  • защиты финансовых транзакций в рамках PCI DSS (для установки в банкоматах, POS-терминалах, удалённых офисах).
• товары, у которых криптографическая функция заблокирована производителем;
• криптографические средства, являющиеся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной.

Аналогичное распределение по своим категориям есть для беспроводного оборудования.

Да, это можно сделать. Практика показывает, что при корректном заполнении всех необходимых документов для Центра по лицензированию, сертификации и защите государственной тайны ФСБ России, вероятность получения данного разрешения достаточно высока. Основными данными, которые необходимо указать являются информация о конечном пользователе оборудования, цели использования оборудования и место его установки. Сроки получения разрешения, а также лицензии Минпромторга России могут варьироваться. Но уже сейчас они имеют более точные временные границы. За подробной информацией обращайтесь к менеджерам нашей компании.

На ввозимое криптосодержащее оборудование требуется получить разовую лицензию Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России. В лицензии указывается каждое конкретное ввозимое оборудование в необходимом количестве.

На данный момент серии ASA 5500 существует два варианта поставки K8 и K9, а для серии ASA 5500-X три – K7, K8 и K9.

Символ "K7" означает, что на ASA загружено программное обеспечение NPE. Такое оборудование можно ввозить без дополнительных разрешений, так как оно попадает в категорию C2.

Символ "K8" означает, что на ASA загружено программное обеспечение, которое поддерживает алгоритмы шифрования с длиной ключа меньше 56 бит. Это так называемые слабые алгоритмы шифрования. Таким алгоритмом шифрования является алгоритм DES. Это справедливо как для алгоритмов шифрования пользовательского трафика, так и для алгоритмов шифрования трафика управления. Данное оборудование можно ввозить без дополнительных разрешений, так как оно попадает в категорию C2.

Символ "K9" означает, что на ASA загружено программное обеспечение с лицензией 3DES/AES, которое поддерживает стойкие алгоритмы шифрования (больше 56 бит) и для шифрования пользовательского трафика и для шифрования трафика управления. Такое оборудование попадает в категорию C3 и требует получения лицензии Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России.

Изменить K7 на K8 можно только загрузкой нового ПО (это два разных образа ПО). Для выполнения этой операции необходимо иметь действующую расширенную гарантию (Smartnet) или приобрести отдельно возможность разового обновления ПО (ASA-SW-UPGRADE=, ASA 5500 Series One-Time Software Upgrade for Non-SMARTnet).

Изменить K8 на K9 можно загрузив специализированную лицензию, так как K9 – это расширение функционала образа K8. Данную лицензию можно получить бесплатно на сайте компании Cisco.

Сам процесс шифрования можно перенести на другие устройства, то есть, маршрутизатор Cisco отправляет трафик на другое устройство, которое его шифрует и возвращает обратно на маршрутизатор. При этом подключение к сети Интернет, маршрутизацию трафика, создание GRE туннеля, поддержку DMVPN (без шифрации данных) осуществляем на оборудовании Cisco.

Существует следующие варианты построения таких решений:

• Маршрутизаторы Cisco ISR G2 или ISR4K совместно с блейд-серверами Cisco UCS-EN120S-M2, UCS-EN120E, UCS-EN140N-M2, на которых установлен виртуальный шлюз С-терра;
• Маршрутизаторы Cisco ISR4k совместно с программным модулем С-терра CSCO-STVM (более подробно, см вопрос вариант «Б»);
• Использование сторонних средств для шифрования, которые никак не интегрируются с оборудование Cisco. Например, С-терра Gate.

А. Получение лицензии Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России на ввоз оборудования категории С3. В этом случае приобретается любой маршрутизатор Cisco с функциями шифрования. Выбор маршрутизатора происходит, исходя из требуемой производительности.

Пример конфигурации:

Б. Использование решения от компании C-терра.

Модуль NME-RVPN, также как и модуль МСМ-950 сняты с производства.

Актуальное решение - С-Терра CSCO-STVM. Это программный модуль, в виде виртуальной машины (OVA). Данный модуль устанавливается на маршрутизаторы серии ISR4000.

Данное решение обладает ФСТЭК и ФСБ сертификатами и обеспечивает шифрование по ГОСТу.

Для того, чтобы данный программный модуль можно было установить на маршрутизатор, необходим Cisco SSD-диск для маршрутизатора и RAM+FLASH не менее 8 ГБ.

Производительность решения:

Пример конфигурации на базе ISR4321:

В. Использование сторонних (не Cisco) средств для шифрования. При этом подключение к сети Интернет и маршрутизацию трафика осуществляем на оборудовании Cisco.

Внедрение такого варианта требует проработки сопряжения устройств разных производителей.

А. Получение лицензии Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России на ввоз оборудования категории С3. В этом случае приобретается любой маршрутизатор Cisco с функциями шифрования.

Выбор маршрутизатора происходит исходя из требуемой производительности, например ISR C1111-4P.

Помимо маршрутизатора Cisco, можно рассмотреть вариант приобретения межсетевого экрана Cisco FPR c ОС FTD или ASA. Во многих случаях решение Cisco FPR предоставляет весь необходимый функционал для подключения небольшого офиса к сети Интернет и организации защищённого соединения с ЦО.

Б. Покупка оборудования Cisco и отдельного решение для шифрования (например, С-терра).

Можно приобрести маршрутизатор Cisco ISR1111-4P с образом NPE и шлюз С-Терра Шлюз 100.

Другой вариант – ISR4321 + программный модуль С-терра CSCO-STVM (более подробно, см вопрос вариант «Б»).

На данный момент (апрель 2021) со стороны регулирующих органов нет обязательных требований по сертификации во ФСТЭК оборудования для защиты персональных данных в коммерческих организациях. В связи с этим весь спектр решений компании Cisco может быть использован для этой задачи. Наиболее распространёнными являются аппаратные межсетевые экраны Cisco FPR, маршрутизаторы Cisco ISR и Catalyst, коммутаторы Cisco Catalyst.

Если речь идёт про государственные организации, где требование сертификации во ФСТЭК является обязательным, также можно использовать продукцию компании Cisco. На многое оборудование Cisco были получены сертификаты соответствия требованиям безопасности ФСТЭК. В качестве средств криптографической защиты информации может быть использован виртуальный шлюз С-терра, запускаемый на базе модулей блейд-серверов Cisco UCS-EN120S-M2, UCS-EN120E, UCS-EN140N-M2 для маршрутизаторов ISR G2 (1900/2900/3900) и ISR4K (4300/4400). Решение соответствует требованиям к средствам криптографической защиты информации класса КС1.

Кроме того, для маршрутизаторов ISR4K (4300/4400) может быть использован программный модуль С-терра CSCO-STVM. Решение соответствует требованиям к средствам криптографической защиты информации класса КС1. Более подробно, см вопрос вариант «Б».

В случае предъявления высоких требований к производительности устройства шифрования может быть использовано VPN-решение компании «С-Терра» на базе Cisco UCS C-220 M4 (для моделей CSP VPN Gate 3000 и 7000) сертифицированное по классу КС1/КС2/КС3.

Да, это возможно. В этом случае маршрутизатор, на котором может быть загружено программное обеспечение NPE, выполняет все функции DMVPN, кроме шифрования. Само шифрование может быть выполнено на стороннем СКЗИ, например, на программном модуле С-терра CSCO-STVM (для маршрутизаторов 4300/4400, более подробно, см вопрос вариант «Б»), на устройстве С-Терра Шлюз и пр. При этом никакая дополнительная лицензия на маршрутизатор (SEC, Appx или UC) не требуется.

С технической стороны настройка выглядит следующим образом. На маршрутизаторе настраивается DMVPN без функций шифрования. Т.е. команда «tunnel protection ipsec» на туннельном интерфейсе не вводится. Далее, например, используя обычную статическую маршрутизацию, GRE-трафик протокола DMVPN перенаправляется на внешнее средство СКЗИ, где оно шифруется и отправляется во внешнюю сеть. Так как внешние средства СКЗИ не обладают функционалом динамического построения VPN соединений, как это делает протокол DMVPN, на внешних СКЗИ потребуется прописать все возможные крипто-карты для работы hub-to-spoke и spoke-to-spoke туннелей. Протокол DMVPN позволяет отключить возможность установления spoke-to-spoke туннелей, что существенно снижает объём команд на внешнем СКЗИ.

Да, это возможно, используя программное обеспечение Cisco AnyConnect версии 3.0 и выше. Это программный VPN-клиент компании Cisco, использующий протокол SSL для защиты передаваемых данных и имеющий интеграцию с решением по защите Web-трафика Cisco ScanSafe. Большим достоинством данного решения является то, что фильтрация Web-трафика происходит «в облаке», а не на самом устройстве, что существенно экономит его вычислительные ресурсы. Также защита Web-трафика никак не зависит от того установлено или нет VPN-соединение. При этом непосредственно само решение Cisco AnyConnect позволит получить защищённое VPN-соединение до офиса компании.

С приобретением SourceFire компания Cisco Systems получила доступ к новому функционалу обеспечения информационной безопасности – Advanced Malware Protection (AMP).

AMP – это платформа для борьбы с вредоносным кодом. Защита AMP может быть реализована в трёх точках:

• на конечном оборудовании – AMP for endpoint (SourceFire FireAMP);
• на устройствах контентной безопасности Cisco IronPort Email Security Appliance и Cisco IronPort Web Security Appliance – AMP for Content;
• на сетевом оборудовании – AMP For Networks.

Последний вариант исполнения реализуется путём установки специализированного высокоскоростного шлюза для борьбы с вредоносным кодом. Данный шлюз может являться отдельным устройством или модулем для межсетевых экранов и систем предотвращения вторжений нового поколения. Модельный ряд устройств AMP For Networks представлен на рисунке ниже:

Основная задача AMP – проверка файла, пересылаемого через сетевое устройство и/или записываемого на конечное оборудование, на наличие вредоносного кода. С распространяемого в сети файла снимается хэш SHA-256 и отправляется на Firepower Management Center (FMC). Далее Firepower Management Center перенаправляет в облако AMP для определения его диспозиции (содержит вредоносный код или нет) по имеющейся базе данных сигнатур.

Если диспозиция файла не может быть установлена, файл перенаправляется в облачную песочницу, где осуществляется запуск файла в виртуально среде и анализ его поведения (генерируемый сетевой трафик, создаваемые процессы и т.д.). На основании результатов тестирования определяется уровень опасности данного файла.

Главной особенностью платформы AMP является возможность ретроспективного анализа, то есть обеспечение защиты не только до момента атаки или во время атаки, но и после её прохождения. Вредоносный код может проникнуть за периметр корпоративной сети по многим причинам: не появилась вовремя сигнатура новой угрозы, опасность не была обнаружена при запуске в песочнице, так как применялись техники отложенного запуска, вредоносный код был занесён на конечное устройство с флешки и т.д.). При использовании системы AMP можно отследить все пути распространения файла в сети, и, при появлении сигнатур, указывающих на вредоносность данного файла, заблокировать файл на сетевом уровне. Если используется FireAMP, вредоносный код может отслеживаться и быть заблокирован также и на уровне конечного оборудования.

За основу ответа были взяты материалы Казакова Дмитрия и Алексея Лукацкого - сотрудников компании Cisco.

На настоящий момент времени компания Microsoft завершила выпуск продукта MS ISA/TMG. Многие системные администраторы и инженеры задаются вопросом, какое решение можно использовать в замен снятого с выпуска продукта. Линейка межсетевых экранов Cisco FPR на базе ОС FTD может послужить прекрасной заменой ISA/TMG для небольших компаний. Для крупных компаний, требующих наличия высокопроизводительного прокси-сервера, для замены ISA/TMG подходит решение Web-шлюз Cisco WSA в комбинации с межсетевым экраном Cisco FPR на периметре корпоративной сети.