ГОСТ-шифрование для VPN
![](/data/images/single/47/547.jpg?t=1636038621)
Глобальный локдаун, вызванный пандемией, привёл к взрывному росту потребности в защищенных удаленных подключениях к сетевым ресурсам. Компании, вынужденные перевести сотрудников на удалённый режим работы, срочно перенастроили инфраструктуру для новой реальности. Чаще всего использовались типовые решения, основанные на OpenVPN, WireGuard и их аналогах.
![](/data/images/collections/27/227/550.jpg?t=1636037637)
Вскоре выяснилось, что эти продукты имеют общий недостаток: в них нет поддержки отечественных стандартов шифрования ГОСТ 28147-89, ГОСТ 34.10/34.11-2012, ГОСТ 34.12/34.13-2015. А в соответствии с требованиями различных нормативных документов, выпущенных российскими регулирующими органами, при защите каналов связи должны применяться отечественные средства криптографической защиты информации (СКЗИ).
Это значит, что для многих «отсидеться» на OpenVPN с RSA-шифрованием уже не получится. Даже если сделать 4096-битные ключи.
Законодательные требования
Разумеется, все нормативные документы появились значительно раньше начала пандемии. Регуляторы вводили требования по защите каналов связи с использованием отечественной криптографии постепенно.
Приведём перечень нормативных актов, устанавливающих требования к защите каналов передачи данных:
- Положение Банка России. № 672-П «О требованиях к защите информации в платёжной системе Банка России».
- ГОСТ Р 57580.1-2017, базовый стандарт совершения страховыми организациями операций на финансовом рынке.
- Указание Банка России и ПАО «Ростелеком» №4859-У/01/01/782-18 о Единой биометрической системе (ЕБС), в соответствии с которым сертифицированная криптозащита необходима на всех этапах передачи данных между инфраструктурой банков, банковскими приложениями и сервисами электронного правительства.
- Приказ Минздрава РФ № 911н, который вступил в силу с 1 января 2020 года и требует от всех медицинских и фармацевтических организаций использовать сертифицированные средства защиты, в том числе для каналов связи.
- Приказ Министерства энергетики № 1015, в соответствии с которым для защиты Систем Удалённого Мониторинга и Диагностики (СУМиД) необходимо использовать сертифицированные средства защиты.
- Постановление Правительства № 1119, а также Приказ ФСБ России № 378 обязывает операторов персональных данных использовать сертифицированные СКЗИ.
- Приказ ФСБ России №196 требует применения сертифицированных СКЗИ при подключении организаций к центрам мониторинга, например, Национальному координационному центру по компьютерным инцидентам (НКЦКИ) в рамках глобальной системы ГосСОПКА.
Таким образом, регуляторы требуют использования сертифицированных СКЗИ. А для прохождения сертификации ФСБ России СКЗИ должны использовать отечественные криптоалгоритмы семейства ГОСТ.
ГОСТ-шифрование в Traffic Inspector Next Generation
Отслеживая законодательные требования, мы своевременно дополнили функциональные возможности Traffic Inspector Next Generation поддержкой отечественных алгоритмов шифрования.
ГОСТ-шифрование в VPN обеспечивает разработанный нашими программистами плагин os-gostvpn. Установить его можно в разделе «Система → Прошивка».
Установку и распространение ГОСТ VPN могут осуществлять только компании с лицензией ФСБ, поэтому перед установкой плагина необходимо передать сервер с Traffic Inspector Next Generation в компанию КриптоКом для установки исполняемых файлов и начальной инициализации ГОСТ-шифрования.
После установки плагина нужно создать внутренний центр сертификации, сертификаты сервера и клиента.
![](/data/images/collections/27/227/548.png?t=1636037419)
![](/data/images/collections/27/227/549.png?t=1636037466)
Далее нужно создать VPN сервер в разделе VPN → GOST VPN → Серверы.
После этого можно определить сетевые настройки нового сервера и экспортировать файлы конфигурации для установки на клиентских устройствах в разделе VPN →GOST VPN → Clients export.
Заключение: кому пригодится VPN с поддержкой ГОСТ-шифрования
Учитывая тенденцию к импортозамещению, всем российским компаниям целесообразно выбирать сертифицированные ФСБ России решения для создания защищённых виртуальных частных сетей. Это позволит помимо защиты передаваемой информации удовлетворить требования российских регуляторов.
В обязательном порядке ГОСТ-шифрование в VPN должны использовать государственные организации и госкомпании, банки, медицинские и страховые компании, операторы персональных данных, а также организации и предприятия, входящие в состав КИИ или подключенные к системе ГосСОПКА.
Оптимальным по стоимости и функционально богатым решением для этой категории задач является Traffic Inspector Next Generation, который имеет поддержку сертифицированных ФСБ алгоритмов шифрования, что позволяет пройти самые строгие проверки со стороны надзорных ведомств.
![Логотип Traffic Inspector Next Generation Логотип Traffic Inspector Next Generation](/data/images/collections/18/218/519.jpg?t=1625229318)
Протестируйте бесплатно в течение 30 дней
![](/templates/project/assets/img/Smart_Soft_logo-blog.png)
![](/templates/project/assets/img/blog-feedback.jpeg)