ГОСТ-шифрование для VPN

Smart-Soft Team

04.11.2021

5702

Глобальный локдаун, вызванный пандемией, привёл к взрывному росту потребности в защищенных удаленных подключениях к сетевым ресурсам. Компании, вынужденные перевести сотрудников на удалённый режим работы, срочно перенастроили инфраструктуру для новой реальности. Чаще всего использовались типовые решения, основанные на OpenVPN, WireGuard и их аналогах.

Вскоре выяснилось, что эти продукты имеют общий недостаток: в них нет поддержки отечественных стандартов шифрования ГОСТ 28147-89, ГОСТ 34.10/34.11-2012, ГОСТ 34.12/34.13-2015. А в соответствии с требованиями различных нормативных документов, выпущенных российскими регулирующими органами, при защите каналов связи должны применяться отечественные средства криптографической защиты информации (СКЗИ).

Это значит, что для многих «отсидеться» на OpenVPN с RSA-шифрованием уже не получится. Даже если сделать 4096-битные ключи.

Законодательные требования

Разумеется, все нормативные документы появились значительно раньше начала пандемии. Регуляторы вводили требования по защите каналов связи с использованием отечественной криптографии постепенно.

Приведём перечень нормативных актов, устанавливающих требования к защите каналов передачи данных:

Положение Банка России. № 672-П «О требованиях к защите информации в платёжной системе Банка России».
ГОСТ Р 57580.1-2017, базовый стандарт совершения страховыми организациями операций на финансовом рынке.
Указание Банка России и ПАО «Ростелеком» №4859-У/01/01/782-18 о Единой биометрической системе (ЕБС), в соответствии с которым сертифицированная криптозащита необходима на всех этапах передачи данных между инфраструктурой банков, банковскими приложениями и сервисами электронного правительства.
Приказ Минздрава РФ № 911н, который вступил в силу с 1 января 2020 года и требует от всех медицинских и фармацевтических организаций использовать сертифицированные средства защиты, в том числе для каналов связи.
Приказ Министерства энергетики № 1015, в соответствии с которым для защиты Систем Удалённого Мониторинга и Диагностики (СУМиД) необходимо использовать сертифицированные средства защиты.
Постановление Правительства № 1119, а также Приказ ФСБ России № 378 обязывает операторов персональных данных использовать сертифицированные СКЗИ.
Приказ ФСБ России №196 требует применения сертифицированных СКЗИ при подключении организаций к центрам мониторинга, например, Национальному координационному центру по компьютерным инцидентам (НКЦКИ) в рамках глобальной системы ГосСОПКА.

Таким образом, регуляторы требуют использования сертифицированных СКЗИ. А для прохождения сертификации ФСБ России СКЗИ должны использовать отечественные криптоалгоритмы семейства ГОСТ.

ГОСТ-шифрование в Traffic Inspector Next Generation

Отслеживая законодательные требования, мы своевременно дополнили функциональные возможности Traffic Inspector Next Generation поддержкой отечественных алгоритмов шифрования.

ГОСТ-шифрование в VPN обеспечивает разработанный нашими программистами плагин os-gostvpn. Установить его можно в разделе «Система → Прошивка».

Установку и распространение ГОСТ VPN могут осуществлять только компании с лицензией ФСБ, поэтому перед установкой плагина необходимо передать сервер с Traffic Inspector Next Generation в компанию КриптоКом для установки исполняемых файлов и начальной инициализации ГОСТ-шифрования.

После установки плагина нужно создать внутренний центр сертификации, сертификаты сервера и клиента.

Далее нужно создать VPN сервер в разделе VPN → GOST VPN → Серверы.

После этого можно определить сетевые настройки нового сервера и экспортировать файлы конфигурации для установки на клиентских устройствах в разделе VPN →GOST VPN → Clients export.

Заключение: кому пригодится VPN с поддержкой ГОСТ-шифрования

Учитывая тенденцию к импортозамещению, всем российским компаниям целесообразно выбирать сертифицированные ФСБ России решения для создания защищённых виртуальных частных сетей. Это позволит помимо защиты передаваемой информации удовлетворить требования российских регуляторов.

В обязательном порядке ГОСТ-шифрование в VPN должны использовать государственные организации и госкомпании, банки, медицинские и страховые компании, операторы персональных данных, а также организации и предприятия, входящие в состав КИИ или подключенные к системе ГосСОПКА.

Оптимальным по стоимости и функционально богатым решением для этой категории задач является Traffic Inspector Next Generation, который имеет поддержку сертифицированных ФСБ алгоритмов шифрования, что позволяет пройти самые строгие проверки со стороны надзорных ведомств.