ViPNet Coordinator IG 5

Программно-аппаратный комплекс (ПАК) ViPNet Coordinator IG 5 - это российский индустриальный шлюз безопасности, реализующий концепцию NGFW (Next-Generation Firewall - межсетевой экран нового поколения), который объединяет в одном устройстве следующие работающие совместно функции безопасности:

• криптографический шлюз, обеспечивающий построение VPN на сетевом (L3) и канальном (L2) уровнях модели OSI;
• межсетевой экран SPI (Stateful Packet Inspection);
• межсетевой экран DPI (Deep Packet Inspection) для фильтрации промышленных протоколов;
• прокси-сервер;
• кластер высокой доступности (HA-cluster);
• шлюз последовательных сетей - Modbus TCP/RTU.

Реализованные сетевые функции и сервисы безопасности активируются в соответствии с приобретенной лицензией (лицензируются отдельные модули).

ПАК ViPNet Coordinator IG 5 предназначен для использования на промышленных объектах:

• в информационных системах (ИС), информационно-телекоммуникационных системах (ИТС) и автоматизированных системах (АСУ) критической информационной инфраструктуры (КИИ) до 1 категории значимости;
• в автоматизированных системах управления технологическим процессом (АСУ ТП) до класса защищенности К1 включительно;
• в государственных информационных системах (ИС) до класса защищенности К1 включительно;
• в информационных системах (ИС) для обеспечения 1 и 2 уровня защищенности персональных данных.

Индустриальный шлюз безопасности ViPNet Coordinator IG 5 поставляется в программно-аппаратном исполнении на доверенной аппаратной платформе. Для ознакомительных целей и проведения тестирования возможно приобретение шлюза безопасности в виртуализированном исполнении, которое может функционировать в следующих системах виртуализации: KVM, VMware ESXi, Microsoft Hyper-V, Oracle VM Server.

Сценарии использования

ViPNet Coordinator IG 5 полностью совместим с семейством шлюзов безопасности ViPNet Coordinator 4-го и 5-го поколений и программными комплексами ViPNet Client. ViPNet Coordinator IG 5 совместно с другими продуктами ViPNet предназначен для реализации следующих сценариев безопасности:

1. Защита промышленного сегмента сети на границе с корпоративным.
2. Сегментирование промышленной сети, например, между SCADA и ПЛК.
3. Построение защищенных проводных и беспроводных каналов связи сети системы.
4. Организация удаленного подключения по защищенным проводным и беспроводным каналам.
5. Организации защищенного обмена между смежными системами.
6. Организации удаленного сервисного обслуживания.
7. Организации защищенного конфигурирования оборудования внутри сегмента сети.
8. Организации защищенного подключения оборудования по последовательным интерфейсам.
9. Контроль недопустимых команд и данных внутри промышленных сетей.
10. Ограничение промышленного трафика на уровне отдельных промышленных протоколов.
11. Комплексной защиты от сетевых угроз.

Преимущества ViPNet Coordinator IG 5:

• Объединение в одном устройстве нескольких функций безопасности (FW, DPI, VPN, Proxy)
• Защита проводных и беспроводных каналов связи
• Резервирование каналов передачи информации и работа в режиме отказоустойчивого кластера
• Глубокая фильтрация промышленных протоколов
• Предотвращение несанкционированного доступа к устройствам, подключенным по RS-232 и RS-485
• Индустриальный дизайн и возможность эксплуатации в жестких климатических условиях
• Возможность централизованного дистанционного конфигурирования и управления политиками безопасности
• Возможность построения сквозной системы безопасности предприятия от ERP-уровня до нижнего уровня АСУ и АСУ ТП на основе единой технологии ViPNet VPN продуктов ViPNet Network Security

Возможности:

Межсетевой экран

• Фильтрация трафика на сетевом и транспортном уровнях модели OSI с контролем состояния сессий
• Возможность работы в режиме межсетевого экрана типа А, Б и в режиме промышленного межсетевого экрана типа Д в соответствии с требованиями ФСТЭК России
• Раздельная настройка фильтрации для открытого и шифруемого IP-трафика
• NAT/PAT
• Антиспуфинг

Промышленный межсетевой экран с глубокой фильтрацией пакетов (DPI)

• Глубокая фильтрация протоколов: Modbus TCP/RTU, МЭК 60870-5-104
• Возможность глубокой фильтрации промышленных протоколов на нестандартных портах
• Фильтрация протоколов по полям до уровня отдельных команд
• Раздельная настройка правил фильтрации для каждого из режимов работы - «Штатный», «Регламентный контроль», «Специальный» для промышленного межсетевого экрана типа Д *

VPN

• VPN-шлюз сетевого уровня (L3 VPN)
• VPN-шлюз канального уровня (L2OverIP VPN)
• Поддержка криптографических алгоритмов ГОСТ 34.12-2018 «Магма» и «Кузнечик», ГОСТ 28147-89
• Сервер IP-адресов и маршрутизатор VPN-пакетов
• Маскирование структуры трафика за счет инкапсуляции в UDP, TCP

Прокси-сервер

• Поддержка протокола HTTP
• Работа в «прозрачном» режиме
• Кэширование данных
• Проверка и фильтрация трафика по разным типам содержимого, передаваемого в протоколе HTTP
• Проверка трафика внешним антивирусом по протоколу ICAP (для исполнений ViPNet Coordinator IG100 I4 и ViPNet Coordinator IG1000 Q1)

Отказоустойчивость и резервирование

• Отказоустойчивый кластер высокой доступности по схеме «активный/пассивный»
• Резервирование каналов связи
• Резервирование питания для ряда исполнений
• Резервирование сетевых интерфейсов

Управление и мониторинг

• Централизованное управление шлюзом
• Удаленное управление шлюзом с помощью SSH-консоли и веб-интерфейса (HTTPS)
• Ролевая модель доступа - разделение полномочий между несколькими администраторами, аудит действий администраторов
• Централизованное обновление ключевой информации и конфигурации
• Мониторинг по протоколам SNMP v1, v2, v3
• Автоматическое резервное копирование конфигурации шлюза и экспорт в систему централизованного управления
• Экспорт системного журнала по протоколу Syslog
• Экспорт журнала IP-пакетов в формате CEF

Сетевые функции

• Резервирование и балансировка каналов связи: WAN (балансировка и резервирование), VPN (резервирование)
• Маршрутизация сетевого трафика на основе: статической маршрутизации, динамической маршрутизации (OSPFv2), политик маршрутизации (policy based routing)
• Поддержка виртуальных локальных сетей (VLAN 802.1Q)
• Агрегирование сетевых интерфейсов (802.3ad, LACP)
• Поддержка классификации и приоритезации трафика (QoS, ToS, DiffServ)
• Реализация функций клиента и точки доступа Wi-Fi

Сетевые службы

• DHCP – сервер/relay
• DNS – клиент/сервер
• NTP – клиент/сервер

Шлюз Modbus TCP/RTU

• универсальный преобразователь протоколов Modbus TCP/RTU
• подключение ведущего устройства по протоколу Modbus TCP к ведомым устройствам по протоколу Modbus RTU
• подключение ведомого устройства по протоколу Modbus TCP к сети с протоколом Modbus RTU, в которой находится ведущее устройство
• возможность использования функций межсетевого экрана, промышленного межсетевого экрана, VPN для устройств, подключенных по протоколу Modbus TCP
• возможность использования глубокой фильтрации протокола Modbus при преобразовании протоколов Modbus TCP/RTU

GPIO

• вход внешнего сигнала для реализации одного из сценариев: принятия и обработки сигнала датчика вскрытия шкафа, переключения режима работы промышленного межсетевого экрана, подключения пользовательского устройства
• выход для: индикации одного из событий – работа в регламентном обслуживании; работа в штатном режиме; работа в специальном режиме управления реле кластером для промышленного межсетевого экрана*, индикации вскрытия шкафа, индикации наличия сигнала от внешнего устройства, переключения реле управления кластером шлюза Modbus TCP/RTU

*Если ViPNet Coordinator IG 5 используется как межсетевой экран типа «Д», он может находиться в одном из режимов:

• «Штатный». Работают все функции ViPNet Coordinator IG 5. Недоступно: обновление справочников и ключей, обновление ПО, управление копиями конфигураций VPN, импорт настроек. 
• «Регламентный контроль». Предназначен для обновления справочников и ключей, обновления ПО, управления копиями конфигураций VPN, импорта настроек, а также регламентного обслуживания защищаемых узлов. 
• «Специальный». Предназначен для чрезвычайных ситуаций в работе системы. Межсетевой экран по умолчанию настроен пропускать любой сетевой трафик. Обновление справочников и ключей, обновление ПО, управление копиями конфигураций VPN, импорт настроек недоступны.

Для каждого из этих режимов задан свой набор сетевых фильтров, которые можно изменить. Любые действия с сетевыми фильтрами (создание, изменение, удаление) применяются только для текущего режима работы межсетевого экрана.