ГОСТ-шифрование для VPN

Глобальный локдаун, вызванный пандемией, привёл к взрывному росту потребности в защищенных удаленных подключениях к сетевым ресурсам. Компании, вынужденные перевести сотрудников на удалённый режим работы, срочно перенастроили инфраструктуру для новой реальности. Чаще всего использовались типовые решения, основанные на OpenVPN, WireGuard и их аналогах.

Вскоре выяснилось, что эти продукты имеют общий недостаток: в них нет поддержки отечественных стандартов шифрования ГОСТ 28147-89, ГОСТ 34.10/34.11-2012, ГОСТ 34.12/34.13-2015. А в соответствии с требованиями различных нормативных документов, выпущенных российскими регулирующими органами, при защите каналов связи должны применяться отечественные средства криптографической защиты информации (СКЗИ).

Это значит, что для многих «отсидеться» на OpenVPN с RSA-шифрованием уже не получится. Даже если сделать 4096-битные ключи.

 

Законодательные требования

Разумеется, все нормативные документы появились значительно раньше начала пандемии. Регуляторы вводили требования по защите каналов связи с использованием отечественной криптографии постепенно.

Приведём перечень нормативных актов, устанавливающих требования к защите каналов передачи данных:

• Положение Банка России. № 672-П «О требованиях к защите информации в платёжной системе Банка России».
• ГОСТ Р 57580.1-2017, базовый стандарт совершения страховыми организациями операций на финансовом рынке.
• Указание Банка России и ПАО «Ростелеком» №4859-У/01/01/782-18 о Единой биометрической системе (ЕБС), в соответствии с которым сертифицированная криптозащита необходима на всех этапах передачи данных между инфраструктурой банков, банковскими приложениями и сервисами электронного правительства.
• Приказ Минздрава РФ № 911н, который вступил в силу с 1 января 2020 года и требует от всех медицинских и фармацевтических организаций использовать сертифицированные средства защиты, в том числе для каналов связи.
• Приказ Министерства энергетики № 1015, в соответствии с которым для защиты Систем Удалённого Мониторинга и Диагностики (СУМиД) необходимо использовать сертифицированные средства защиты.
• Постановление Правительства № 1119, а также Приказ ФСБ России № 378 обязывает операторов персональных данных использовать сертифицированные СКЗИ.
• Приказ ФСБ России №196 требует применения сертифицированных СКЗИ при подключении организаций к центрам мониторинга, например, Национальному координационному центру по компьютерным инцидентам (НКЦКИ) в рамках глобальной системы ГосСОПКА.

Таким образом, регуляторы требуют использования сертифицированных СКЗИ. А для прохождения сертификации ФСБ России СКЗИ должны использовать отечественные криптоалгоритмы семейства ГОСТ.

 

ГОСТ-шифрование в Traffic Inspector Next Generation

Отслеживая законодательные требования, мы своевременно дополнили функциональные возможности Traffic Inspector Next Generation поддержкой отечественных алгоритмов шифрования.

ГОСТ-шифрование в VPN обеспечивает разработанный нашими программистами плагин os-gostvpn. Установить его можно в разделе «Система → Прошивка».

Установку и распространение ГОСТ VPN могут осуществлять только компании с лицензией ФСБ, поэтому перед установкой плагина необходимо передать сервер с Traffic Inspector Next Generation в компанию КриптоКом для установки исполняемых файлов и начальной инициализации ГОСТ-шифрования.

После установки плагина нужно создать внутренний центр сертификации, сертификаты сервера и клиента.

Далее нужно создать VPN сервер в разделе VPN → GOST VPN → Серверы.

После этого можно определить сетевые настройки нового сервера и экспортировать файлы конфигурации для установки на клиентских устройствах в разделе VPN →GOST VPN → Clients export.
  

Заключение: кому пригодится VPN с поддержкой ГОСТ-шифрования

Учитывая тенденцию к импортозамещению, всем российским компаниям целесообразно выбирать сертифицированные ФСБ России решения для создания защищённых виртуальных частных сетей. Это позволит помимо защиты передаваемой информации удовлетворить требования российских регуляторов.

В обязательном порядке ГОСТ-шифрование в VPN должны использовать государственные организации и госкомпании, банки, медицинские и страховые компании, операторы персональных данных, а также организации и предприятия, входящие в состав КИИ или подключенные к системе ГосСОПКА.

Оптимальным по стоимости и функционально богатым решением для этой категории задач является Traffic Inspector Next Generation, который имеет поддержку сертифицированных ФСБ алгоритмов шифрования, что позволяет пройти самые строгие проверки со стороны надзорных ведомств.

Протестируйте бесплатно в течение 30 дней