Модуль NME-RVPN (МСМ)
Модуль NME-RVPN (МСМ) в составе маршрутизаторов серии Cisco® 2800/3800 и 2900/3900 Integrated Services Routers предлагает российским потребителям уникальное устройство, позволяющее обеспечить как эффективную маршрутизацию, так и защиту трафика данных, голоса, видео.
При этом устройство управляется как единое целое, используя интерфейс Cisco для формирования правил маршрутизации и защиты сетевых взаимодействий.
Подобная глубокая интеграция позволяет существенно уменьшить сложность сети, не предъявлять дополнительных требований к квалификации персонала и, как результат, снизить затраты на развертывание и поддержку, а также сроки развертывания подсистемы информационной безопасности.
Преимущества и возможности продукта
ЗАЩИЩЕННОСТЬ СЕТЕВЫХ ВЗАИМОДЕЙСТВИЙ
В связи с широкой интеграцией корпоративных коммуникаций с публичными сетями, для обеспечения взаимодействий компаний с филиалами, удаленными пользователями, заказчиками и партнерами первостепенное значение приобретает вопрос обеспечения российских пользователей высокотехнологичным сертифицированным VPN-решением в сочетании с передовыми технологиями Cisco Systems и удовлетворяющим современным требованиям эффективной защиты всех видов сетевых взаимодействий.
При этом необходимо не только решить вопросы защиты внешнего обмена данными, но и предоставить современные решения по защищенным беспроводным коммуникациям, защите голоса и видео с обеспечением качества обслуживания, максимально эффективно защитить взаимодействие клиентов в сетях операторов связи и услуг.
Интеграция модуля NME-RVPN (МСМ) в маршрутизаторы серии Cisco 2800/3800 или 2900/3900 Integrated Services Router позволяет потребителям получить единое решение, обеспечивающее, в том числе, организацию сетевой защиты, использующей российскую сертифицированную криптографию (модуль сертифицирован как СКЗИ по классу защиты КС3), развитую маршрутизацию, качество обслуживания приоритетного трафика (QoS), сервисы IP-телефонии и видео, коммутацию сетей.
Подобные качества совместно с управляемостью и технологий Cisco IOS практически полностью закрывают потребность современного бизнеса в организации и защите ответственных, критически важных сетевых взаимодействий.
ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ CSP RVPN
Программное обеспечение CSP RVPN, входящее в состав модуля NME-RVPN (МСМ), является еще одним элементом семейства продуктов CSP VPN Client, CSP VPN Server, масштабируемой серии шлюзов безопасности CSP VPN Gate 100/1000/3000/7000 и системой управления «С-Терра КП»
Продукты CSP VPN обеспечивают базовую функциональность современного VPN-устройства:
- Шифрование (конфиденциальность) и ЭЦП (целостность, аутентификация) IP-пакетов, целостность потока пакетов.
- Маскировку топологии сети за счет инкапсуляции трафика в защищенный туннель.
- Прозрачность для NAT (поддержка инкапсуляции пакета ESP в UDP).
- Аутентификацию узлов сети и пользователей, контроль доступа на уровне компьютеров, пользователей и приложений, интегрированный межсетевой экран 4-го класса (CSP RVPN удовлетворяет требованиям к межсетевому экрану по 4-му классу защищенности).
- Обеспечение надежности с выравниванием нагрузки в схеме резервирования N+1 (Dead Peer Detection protocol).
- Унификацию политики безопасности для мобильных и «внутренних» пользователей (динамическое конфигурирование корпоративных IP-адресов для удаленных пользователей «внутри VPN»).
- Сохранение классификации трафика для защищенных пакетов (мaпирование ToS поверх IPsec), приоритетную обработку трафика голоса и видео (поддержка QoS), отсутствие потери пакетов при регенерации сессионных ключей (smooth IKE re-keying).
- Гибкое, централизованное и событийное ведение журнала с возможностью вторичной обработки на основе протокола Syslog.
Как результат, применение модуля NME-RVPN (МСМ) в составе маршрутизатора Cisco Integrated Services Router 2800/3800 или 2900/3900 обеспечивает эффективную реализацию множества сценариев сертифицированной защиты, включая:
- межсетевые взаимодействия;
- защищенный доступ удаленных и мобильных пользователей;
- защиту беспроводных сетей;
- защиту мультисервисных сетей (включая IP-телефонию и видеоконференцсвязь);
- защиту платежных систем и систем управления технологическими процессами в производстве и на транспорте.
МЕЖСЕТЕВЫЕ ВЗАИМОДЕЙСТВИЯ
Сценарии защиты межсетевых взаимодействий (Site-to-Site VPN) применяются для защиты коммуникаций территориально распределенных корпоративных сетей через публичные (открытые, не заслуживающие доверия) сети/каналы связи.
По сути применение VPN-решений для этих целей не должно приводить к понижению требований к характеристикам непосредственно канала передачи данных, таких как поддержка множественности протоколов, высокая надежность, большая масштабируемость.
Наоборот, современные VPN-решения должны обеспечивать высокую ценовую эффективность и большую гибкость в реализации таких требований. Высокую ценовую эффективность можно получить, например, за счет возможности использовать публичные каналы для передачи информации, что ранее было недоступно.
Использование для этой цели маршрутизаторов Cisco ISR (рисунок 2) в полной мере выполняет поставленную выше задачу.
Рисунок 2. Использование VPN туннелей для создания защищенной корпоративной сети.
Для выполнения требований повышенной надежности сетевых взаимодействий крупных сетей (обеспечивающей непрерывность бизнес-процессов в них) в дополнение к приведенному выше примеру могут использоваться решения с резервированием и балансировкой нагрузки.
ЗАЩИТА БЕСПРОВОДНЫХ И МУЛЬТИСЕРВИСНЫХ СЕТЕЙ
Продукты CSP VPN поддерживают сценарии защиты как выделенных мультимедийных сетей, так и «смешанных» сетей, обеспечивая:
- поддержку качества сетевого обслуживания;
- защиту качества сервиса в голосовой VPN при перегрузке трафика данных.
Модуль NME-RVPN (МСМ) в составе маршрутизаторов Cisco 2800/3800 или 2900/3900, обеспечивающих дополнительную функциональность Cisco Unified CallManager Express и беспроводной точки доступа, предоставляет для удаленных офисов всю необходимую функциональность обработки и защиты беспроводных мультимедийных и мультисервисных сетей в едином устройстве.
Рисунок 3. Защита беспроводных и мультисервисных сетей.
Основным средством защиты трафика в беспроводной сети является IPsec. При этом обеспечивается не только аутентификация устройств (что делается на канальном уровне), но и аутентификация пользователей (рисунок 3). Применение в радио сегменте выделенного адресного пространства и IPsec VPN обеспечивает возможность:
- изолировать проводной сегмент от открытого IP-трафика;
- пропускать внутрь проводной корпоративной сети (к ресурсам локальной сети) только IPsec-трафик, причем только в «домашние» сети.
ЗАЩИТА УДАЛЕННЫХ И МОБИЛЬНЫХ ПОЛЬЗОВАТЕЛЕЙ
Сценарии удаленного доступа пользователей (Remote Access VPN) применяются для защиты доступа удаленных или мобильных пользователей в корпоративную сеть через публичные (открытые, не заслуживающие доверия) сети или каналы связи.
- Политика безопасности клиента доступа CSP VPN Client определяется только системным администратором (администратором безопасности) и не может быть изменена пользователем.
- Права доступа пользователя определяются в корпоративной сети, и информация о правах доступа в корпоративной сети отсутствует на клиенте доступа CSP VPN Client.
- Клиент доступа CSP VPN Client не требует от пользователя никаких технических операций кроме установки и ввода ключа, предоставленного администратором безопасности.
CSP VPN Client поддерживает защищенную связь практически из любой точки, где присутствует какой-либо коммуникационный ресурс. Используются специальные меры в обеспечении мобильности пользователя:
- адаптивность к адресному пространству (IPsec автоматически включается в зонах, где требуется защищенное соединение);
- поддержка различных сред передачи, в том числе мобильных (GPRS, CDMA, Wi-Fi, WiMAX и др.);
- обеспечение прозрачной передачи IKE/IPsec трафика через шлюзы с трансляцией адресов (NAT).
Возможности и преимущества
По сравнению с другими отдельными подобными устройствами модуль NME-RVPN (МСМ) при использовании в сетевой инфраструктуре центрального офиса имеет ряд преимуществ:
- Общий с другими устройствами интерфейс управления. Для управления и настройки модуля можно применять интерфейс командной строки (CLI) с использованием команд, аналогичных Cisco IOS. Модулем можно также управлять с помощью графического web-интерфейса, а также посредством графического интерфейса Cisco Security Manager 3.2 (CSM) и CSM 4.3 (совместимо с версией 3.11), который входит в состав Cisco Security Management Suite и посредством графического интерфейса центра управления CiscoWorks VPN/Security Management Solution v.2.3 – CiscoWorks Router Management Center (Router MC).
- Снижение потребления и простота коммутации. Модуль получает питание от маршрутизатора, не нуждается в коммутации и не занимает места в стойке с сетевым оборудованием.
- Проверка целостности ОС (реализовано в версии 3.11)
Архитектура модуля
«Модуль NME-RVPN (МСМ) можно установить в маршрутизаторы Cisco ISR:
- первого поколения (серий 2811, 2821, 2851, 3825 и 3845) с версией IOS 12.4(11)T или выше;
- второго поколения (серий 2911, 2921, 2951, 3925 и 3945) с версией IOS 15.x.x. «.
Некоторые модели маршрутизаторов допускают установку нескольких модулей:
- маршрутизаторы серий 2951, 3825, 3925 позволяют установить до двух модулей МСМ;
- маршрутизаторы серий 3845, 3945 – до четырех модулей.
Модуль может работать с любых образом (feature set) IOS начиная с «IP base». При этом модуль NME-RVPN (МСМ) работает независимо от IOS маршрутизатора, используя программное обеспечение CSP RVPN компании ЗАО «С-Терра СиЭсПи», установленное на компакт-флэш-карте (Compact Flash) модуля. Программное обеспечение модуля функционирует под управлением адаптированной OS Linux.
Аппаратно модуль NME-RVPN (МСМ) представляет собой вычислительную платформу на базе процессора Intel Celeron-M 1.0ГГц с 512 Мб оперативной памяти и 1 Гб Compact Flash (рисунок 4). Для подключения к локальной сети модуль имеет внешний интерфейс Gigabit Ethernet. Аналогичный внутренний интерфейс осуществляет взаимодействие и передачу данных между модулем и маршрутизатором.
Рисунок 4. Архитектура модуля NME-RVPN (МСМ) и Cisco Router