Компания InfoWatch сообщила о выпуске новой версии программного комплекса ARMA Industrial Firewall 3.7.

InfoWatch ARMA Industrial Firewall представляет собой межсетевой экран нового поколения (NGFW). Решение позволяет обнаруживать и блокировать атаки злоумышленников на автоматизированные системы управления технологическими процессами (АСУ ТП), а также попытки эксплуатации уязвимостей в промышленной среде. Помимо функций межсетевого экранирования, продукт обладает встроенной системой обнаружения вторжений с базой решающих правил СОВ для АСУ ТП и VPN. Также комплекс позволяет реализовать меры защиты значимых объектов критической информационной инфраструктуры (КИИ) согласно требованиям приказов ФСТЭК России.

Источник изображения: infowatch.ru/products/arma

Ключевой особенностью InfoWatch ARMA Industrial Firewall версии 3.7 стала поддержка OpenVPN-ГОСТ, что позволяет организациям использовать шифрование каналов связи на базе сертифицированных ФСБ России средств криптографической защиты информации. Также в продукт добавлена поддержка промышленного протокола KRUG, используемого в контроллерах и SCADA-системах производства научно-производственной фирмы «Круг». Отдельное внимание было уделено расширению функциональных возможностей инструментов для работы с журналами логов.

InfoWatch ARMA Industrial Firewall включён в реестр российского программного обеспечения и рекомендован для закупки госучреждениями.

Компании «С-Терра СиЭсПи» и «ИТ-Экспертиза» сообщили о разработке решения для организации контролируемого защищённого подключения удалённых пользователей к корпоративной сети и реализации концепции контроля сетевого доступа (NAC) или сетевого доступа с нулевым доверием ZNTA. Продукт полностью соответствует требованиям российского законодательства.

В основу представленного решения положены VPN‑инструменты «С-Терра» и комплекс информационной безопасности САКУРА, созданный в «ИТ-Экспертиза». САКУРА позволяет контролировать состояние удалённых рабочих мест и других устройств в круглосуточном режиме и предотвращать последствия нарушения правил информационной безопасности.

Упрощенная схема решения / Источник изображения: «С-Терра СиЭсПи»

Совместное решение предназначено для организации защищённого удалённого доступа с проверкой политики безопасности пользовательских рабочих станций. Среди ключевых возможностей продукта названы: предоставление доступа к конфиденциальной информации только с проверенных устройств; оперативное реагирование на проблемы безопасности пользователя в реальном времени; профилирование устройства (в зависимости от результата проверки пользовательского АРМ выдаётся удалённый доступ к разным сетевым ресурсам).

«Интеграция продуктов САКУРА и С-Терра VPN даёт нашим заказчикам возможность реализовать уже ставшую стандартом в современных условиях концепцию ZTNA — выполнять проверку комплаенса безопасности и "на лету" управлять доступом рабочих мест к инфраструктуре организации в зависимости от соблюдения требований безопасности», — отмечают партнёры.

В решении сохранены все преимущества VPN-клиентов «С-Терра Клиент»/»С-Терра Клиент А» для удалённого доступа, в том числе интеграция с Active Directory через механизм xAuth и возможность использования двухфакторной аутентификации через одноразовые пароли, SMS или Telegram.

Разработчики OpenVPN представили новый модуль ядра Linux, который должен решить одну из проблем виртуальных частных сетей — низкую скорость соединения. Модуль называется ovpn-dco и пока что относится к экспериментальным решениям, однако стабильность уже доведена до уровня, который позволяет использовать его в работе сервиса OpenVPN Cloud.

Главным нововведением модуля стал перенос всех операций в пространство ядра. Это касается шифрования, обработки пакетов и управления каналом связи. Ранее эти операции выполнялись в пространстве пользователя, что повышало накладные расходы. Как отмечается, именно эти задачи сильнее всего влияют на производительность VPN.

Отмечается, что перенос операций в пространство ядра позволит также напрямую обращаться к низкоуровневым API, что также добавит скорости и снизит задержки при передаче данных. На данный момент результаты тестирования выглядят так:

Как отмечается, сейчас система находится на этапе бета-тестирования, а сервер Linux OpenVPN с модулем DCO доступен для разработчиков. Пока не сообщается, когда новое решение добавят в основную ветку ядра, однако появление такой возможности позволит ускорить работу защищённых сетей, что может быть важно для различных сфер деятельности.

WireGuard, современная реализация VPN с открытым исходным кодом, уже давно и активно используется в Linux, будучи включённой в основную ветку ядра, а также в BSD-системах. Однако теперь разработчики анонсировали WireGuardNT — порт для ядра Windows. Тестирование уже показало пиковую производительность на уровне 7,5 Гбит/с при использовании Ethernet-подключения. По Wi-Fi скорость составила порядка 600 Мбит/с, что является пределом самого адаптера.

Обычная версия выполняется как традиционное приложение, выполняемое в пространстве пользователя, однако перенос кода на уровень ядра позволит ускорить работу VPN, снизить задержки, улучшить безопасность, а также получить глубокую интеграцию с ОС с использованием всего спектра возможностей ядра и NDIS. Это позволит сделать WireGuard полноценным компонентом Windows.

Изначально планировалось сделать просто порт текущей кодовой базы ядра Linux, но затем он был адаптирован для лучшего соответствия ядру Windows и его API. На данный момент драйвер ядра считается экспериментальным и доступен для Windows 7, 8, 8.1 и 10 на 32- и 64-бит платформах x86 и Arm. О сроках выпуска релизной версии пока ничего не сообщается, однако, похоже, она уже не за горами.

Компании «С-Терра СиЭсПи» и «Аквариус» объявили о заключении соглашения о сотрудничестве, целью которого является импортозамещение в сфере информационной безопасности. Стороны, в частности, организуют выпуск сетевого оборудования на отечественных аппаратных платформах. Речь идёт о производстве VPN-шлюзов с ГОСТ-криптографией «С-Терра Шлюз».

Основой таких устройств послужат программное обеспечение «С-Терра СиЭсПи» и аппаратная платформа «Аквариус». «Серверные системы Aquarius состоят в Едином реестре российской радиоэлектронной продукции Минпромторга России. Программное обеспечение для шлюзов безопасности С-Терра включено в Единый реестр российских программ для ЭВМ и баз данных, продукты сертифицированы ФСБ России и ФСТЭК России», — говорится в совместном заявлении компаний.

Новые VPN-шлюзы, как ожидается, обеспечат высокий уровень информационной безопасности в соответствии с требованиями регуляторов по переходу на российские платформы в критически важных отраслях. Устройства будут ориентированы прежде всего на государственных заказчиков и операторов критически важных информационных инфраструктур.

Продажи шлюзов планируется начать в четвёртом квартале текущего года. Предварительные тесты уже показали достижение высокой производительности шифрования при сохранении скорости передачи данных.

Телекоммуникационный оператор «Ростелеком» совместно с дочерней компанией «Ростелеком-Солар» объявил о расширении функциональных возможностей виртуального центра обработки данных (ЦОД), предоставляющего услуги корпоративным заказчикам по модели IaaS (инфраструктура как сервис).

В частности, сообщается об интеграции облачной площадки с сервисом шифрования каналов связи ГОСТ VPN, который построен с использованием сертифицированных ФСБ России по классу КС3 программно-аппаратных средств криптографической защиты информации компаний «ИнфоТеКС», «Код безопасности» и «С-Терра». Услуга дополнила линейку доступных на базе виртуального ЦОД сервисов кибербезопасности Solar MSS.

Сервис ГОСТ VPN обеспечивает защиту передаваемой по сети информации в соответствии с требованиями законодательства РФ. Решение может быть актуальным для владельцев государственных информационных систем (ГИС), операторов персональных данных, финансовых организаций и прочих предприятий, предъявляющих повышенные требования к защите своих цифровых активов и IT-инфраструктуры.

При подключении услуги ГОСТ VPN между филиалами организации-заказчика и облачными ресурсами создаётся защищённый канал. Для этого на площадке клиента специалисты «Ростелеком-Солар» устанавливают криптошлюз, который шифрует исходящий трафик клиента. В таком виде трафик поступает в ЦОД «Ростелекома», где расшифровывается и направляется к соответствующему облачному ресурсу организации с сохранением качества связи.

Компания «ИнфоТеКС», занимающаяся разработкой VPN-решений и средств криптографической защиты информации, объявила о получении положительного заключения, подтверждающего соответствие программного комплекса ViPNet Client 4U for Linux требованиям ФСБ России к средствам криптографической защиты информации класса КС3.

ViPNet Client 4U for Linux предназначен для защиты доступа пользователей к корпоративным ресурсам (почте, CRM-системам, базам данных и т.п.), защиты каналов связи при использовании корпоративного мессенджера ViPNet Connect и при доступе к системам аудио- и видеоконференций, а также SIP-телефонии. Решение поддерживает более 20 операционных систем, включая аппаратные архитектуры x86-64, ARMv5, ARMv7, MIPS («Байкал-Т1»), «Эльбрус».

По словам разработчика, в настоящее время программный комплекс является первым отечественным VPN-клиентом для ОС Linux, сертифицированным сразу по трём классам криптографической защиты — КС1, КС2 и КС3. Продукт может применяться для защиты информации, в том числе персональных данных, в государственных IT-системах, а также в системах критической информационной инфраструктуры.

Дополнительные сведения о защитном решении ViPNet Client 4U for Linux опубликованы на сайте infotecs.ru.

Специалисты исследовательского подразделения BI.ZONE, научные сотрудники НПО «Криптониа» и сотрудник Positive Technologies разработали проект протокола Ru-WireGuard и его эталонную реализацию на Go. По сути, это вариант WireGuard, дополненный отечественными криптоалгоритмами. В частности, используется алгоритм шифрования «Кузнечик» (ГОСТ Р 34.12–2015). Все данные и исходники проекта доступны на GitHub.

WireGuard представляет собой открытое ПО для создания виртуальных частных сетей и зашифрованных тоннелей. Оно может быть альтернативой IPsec и OpenVPN. WireGuard отличается малым размером исходного кода, простотой, наличием встроенных механизмов защиты и хорошей производительностью.

«В зарубежной практике в области защищенных сетевых технологий активно внедряются реализации протокола WireGuard, поэтому мы решили разработать его отечественную версию — Ru-WireGuard, использующую российские криптографические алгоритмы», — заявил Денис Колегов, руководитель группы Security R&D BI.ZONE.

«Наша задача — создавать и внедрять как можно больше современных криптографических методов с использованием отечественных алгоритмов, поэтому мы рады итогам совместной работы с компанией BI.ZONE», – отметил генеральный директор научно-производственной компании «Криптонит» Вартан Хачатуров.

Следом за OpenBSD популярная версия VPN WireGuard появилась и во FreeBSD. Таким образом, список операционных систем с поддержкой этого протокола расширился. Финальная версия должна появиться в FreeBSD 13.

Помимо вышеназванных ОС, новинка есть также в составе Oracle Unbreakable Enterprise Kernel, свежих ядрах Linux и Windows. Также её внедрение ожидается в Android 12.

Отметим, что WireGuard позиционируется в качестве альтернативы OpenVPN и подобным решениям. В числе особенностей протокола отметим высокую производительность по сравнению с другими, простоту настройки, использование современных методов криптографии, а также качественный и быстрый код. Многие уже называют систему лучшим решением для виртуальных частных сетей.

Напомним, что ранее поддержка WireGuard появилась в бета-версии MikroTik RouterOS 7.1. А в нашей статье вы можете прочитать, как можно настроить систему для использования этого VPN c роутерами Keenetic.

В последнее время компания Netgear публикует немало анонсов новых устройств, в основном — точек доступа Wi-Fi 6 и сопутствующей им инфраструктуры. Но не остаются неохваченными и другие категории потребителей. Поскольку популярность удалённых малых офисов и даже работы на дому сейчас очень высока, специально для таких сценариев компания представила новый маршрутизатор Managed Business Router BR200.

Удалённый доступ во внутреннюю сеть головного предприятия из малых офисов или даже с домашних рабочих мест мог требоваться и ранее, но сейчас, в связи с пандемией коронавируса, подобные конфигурации стали встречаться особенно часто.

Для выхода в «головную сеть» обычно используются различные виды VPN, и здесь BR200 предлагает удобное решение с помощью технологии IPSec VPN, обеспечивая, к тому же, дополнительную защиту за счёт интегрированного межсетевого экрана (firewall). С помощью этого устройства можно организовывать как удалённые рабочие места, так и объединять два различных сегмента сетей, например, головного офиса и подразделений. При этом удобное развёртывание и мониторинг такого подключения может осуществляться при помощи облачной службы Netgear Insight.

Внешне BR200 представляет собой небольшую коробочку, похожую на домашние маршрутизаторы, с габаритами всего 31,4 × 18,75 × 4,365 сантиметра. Внутри расположена плата с двухъядерным процессором, работающим на частоте 1,7 ГГц, причём, SoC имеет и два дополнительных ядра для обслуживания сетевой подсистемы. Такая конфигурация позволяет поддерживать до 256 подсетей VLAN, пропускная способность на участке между LAN и WAN достигает 924 Мбит/с. Поддерживаются подключения как со статическим IP и DHCP, так и PPPoE и PPTP.

Функция IPSec поддерживает шифрование по стандартам DES/3DES, AES/SHA-1 (ключ до 256 бит) и MD5. Маршрутизация может быть статической или динамической, поддерживаются протоколы RIPv1 и RIPv2. Межсетевой экран, реализованный в устройстве Netgear, поддерживает SPI, блокировку портов и сетевых служб, защиту от DoS-атак, а также работу в режиме «стелс».

Всё это достаточно привычный для устройств подобного назначения набор функций и возможностей. Но помимо них, Netgear BR200 поддерживает интеграцию, мониторинг и управление с помощью облачной службы Netgear Insight. Поддерживается как отслеживание аппаратного статуса — температуры и загрузки ЦП, нагрузки на память и состояния Ethernet-портов, так и полноценное облачное управление виртуальными сетями, реализованными с помощью BR200. Заказать новинку можно уже сейчас, стоит она $140.