Компании «С-Терра СиЭсПи» и «Аквариус» объявили о заключении соглашения о сотрудничестве, целью которого является импортозамещение в сфере информационной безопасности. Стороны, в частности, организуют выпуск сетевого оборудования на отечественных аппаратных платформах. Речь идёт о производстве VPN-шлюзов с ГОСТ-криптографией «С-Терра Шлюз».

Основой таких устройств послужат программное обеспечение «С-Терра СиЭсПи» и аппаратная платформа «Аквариус». «Серверные системы Aquarius состоят в Едином реестре российской радиоэлектронной продукции Минпромторга России. Программное обеспечение для шлюзов безопасности С-Терра включено в Единый реестр российских программ для ЭВМ и баз данных, продукты сертифицированы ФСБ России и ФСТЭК России», — говорится в совместном заявлении компаний.

Новые VPN-шлюзы, как ожидается, обеспечат высокий уровень информационной безопасности в соответствии с требованиями регуляторов по переходу на российские платформы в критически важных отраслях. Устройства будут ориентированы прежде всего на государственных заказчиков и операторов критически важных информационных инфраструктур.

Продажи шлюзов планируется начать в четвёртом квартале текущего года. Предварительные тесты уже показали достижение высокой производительности шифрования при сохранении скорости передачи данных.

Телекоммуникационный оператор «Ростелеком» совместно с дочерней компанией «Ростелеком-Солар» объявил о расширении функциональных возможностей виртуального центра обработки данных (ЦОД), предоставляющего услуги корпоративным заказчикам по модели IaaS (инфраструктура как сервис).

В частности, сообщается об интеграции облачной площадки с сервисом шифрования каналов связи ГОСТ VPN, который построен с использованием сертифицированных ФСБ России по классу КС3 программно-аппаратных средств криптографической защиты информации компаний «ИнфоТеКС», «Код безопасности» и «С-Терра». Услуга дополнила линейку доступных на базе виртуального ЦОД сервисов кибербезопасности Solar MSS.

Сервис ГОСТ VPN обеспечивает защиту передаваемой по сети информации в соответствии с требованиями законодательства РФ. Решение может быть актуальным для владельцев государственных информационных систем (ГИС), операторов персональных данных, финансовых организаций и прочих предприятий, предъявляющих повышенные требования к защите своих цифровых активов и IT-инфраструктуры.

При подключении услуги ГОСТ VPN между филиалами организации-заказчика и облачными ресурсами создаётся защищённый канал. Для этого на площадке клиента специалисты «Ростелеком-Солар» устанавливают криптошлюз, который шифрует исходящий трафик клиента. В таком виде трафик поступает в ЦОД «Ростелекома», где расшифровывается и направляется к соответствующему облачному ресурсу организации с сохранением качества связи.

Компания «ИнфоТеКС», занимающаяся разработкой VPN-решений и средств криптографической защиты информации, объявила о получении положительного заключения, подтверждающего соответствие программного комплекса ViPNet Client 4U for Linux требованиям ФСБ России к средствам криптографической защиты информации класса КС3.

ViPNet Client 4U for Linux предназначен для защиты доступа пользователей к корпоративным ресурсам (почте, CRM-системам, базам данных и т.п.), защиты каналов связи при использовании корпоративного мессенджера ViPNet Connect и при доступе к системам аудио- и видеоконференций, а также SIP-телефонии. Решение поддерживает более 20 операционных систем, включая аппаратные архитектуры x86-64, ARMv5, ARMv7, MIPS («Байкал-Т1»), «Эльбрус».

По словам разработчика, в настоящее время программный комплекс является первым отечественным VPN-клиентом для ОС Linux, сертифицированным сразу по трём классам криптографической защиты — КС1, КС2 и КС3. Продукт может применяться для защиты информации, в том числе персональных данных, в государственных IT-системах, а также в системах критической информационной инфраструктуры.

Дополнительные сведения о защитном решении ViPNet Client 4U for Linux опубликованы на сайте infotecs.ru.

Специалисты исследовательского подразделения BI.ZONE, научные сотрудники НПО «Криптониа» и сотрудник Positive Technologies разработали проект протокола Ru-WireGuard и его эталонную реализацию на Go. По сути, это вариант WireGuard, дополненный отечественными криптоалгоритмами. В частности, используется алгоритм шифрования «Кузнечик» (ГОСТ Р 34.12–2015). Все данные и исходники проекта доступны на GitHub.

WireGuard представляет собой открытое ПО для создания виртуальных частных сетей и зашифрованных тоннелей. Оно может быть альтернативой IPsec и OpenVPN. WireGuard отличается малым размером исходного кода, простотой, наличием встроенных механизмов защиты и хорошей производительностью.

«В зарубежной практике в области защищенных сетевых технологий активно внедряются реализации протокола WireGuard, поэтому мы решили разработать его отечественную версию — Ru-WireGuard, использующую российские криптографические алгоритмы», — заявил Денис Колегов, руководитель группы Security R&D BI.ZONE.

«Наша задача — создавать и внедрять как можно больше современных криптографических методов с использованием отечественных алгоритмов, поэтому мы рады итогам совместной работы с компанией BI.ZONE», – отметил генеральный директор научно-производственной компании «Криптонит» Вартан Хачатуров.

Следом за OpenBSD популярная версия VPN WireGuard появилась и во FreeBSD. Таким образом, список операционных систем с поддержкой этого протокола расширился. Финальная версия должна появиться в FreeBSD 13.

Помимо вышеназванных ОС, новинка есть также в составе Oracle Unbreakable Enterprise Kernel, свежих ядрах Linux и Windows. Также её внедрение ожидается в Android 12.

Отметим, что WireGuard позиционируется в качестве альтернативы OpenVPN и подобным решениям. В числе особенностей протокола отметим высокую производительность по сравнению с другими, простоту настройки, использование современных методов криптографии, а также качественный и быстрый код. Многие уже называют систему лучшим решением для виртуальных частных сетей.

Напомним, что ранее поддержка WireGuard появилась в бета-версии MikroTik RouterOS 7.1. А в нашей статье вы можете прочитать, как можно настроить систему для использования этого VPN c роутерами Keenetic.

В последнее время компания Netgear публикует немало анонсов новых устройств, в основном — точек доступа Wi-Fi 6 и сопутствующей им инфраструктуры. Но не остаются неохваченными и другие категории потребителей. Поскольку популярность удалённых малых офисов и даже работы на дому сейчас очень высока, специально для таких сценариев компания представила новый маршрутизатор Managed Business Router BR200.

Удалённый доступ во внутреннюю сеть головного предприятия из малых офисов или даже с домашних рабочих мест мог требоваться и ранее, но сейчас, в связи с пандемией коронавируса, подобные конфигурации стали встречаться особенно часто.

Для выхода в «головную сеть» обычно используются различные виды VPN, и здесь BR200 предлагает удобное решение с помощью технологии IPSec VPN, обеспечивая, к тому же, дополнительную защиту за счёт интегрированного межсетевого экрана (firewall). С помощью этого устройства можно организовывать как удалённые рабочие места, так и объединять два различных сегмента сетей, например, головного офиса и подразделений. При этом удобное развёртывание и мониторинг такого подключения может осуществляться при помощи облачной службы Netgear Insight.

Внешне BR200 представляет собой небольшую коробочку, похожую на домашние маршрутизаторы, с габаритами всего 31,4 × 18,75 × 4,365 сантиметра. Внутри расположена плата с двухъядерным процессором, работающим на частоте 1,7 ГГц, причём, SoC имеет и два дополнительных ядра для обслуживания сетевой подсистемы. Такая конфигурация позволяет поддерживать до 256 подсетей VLAN, пропускная способность на участке между LAN и WAN достигает 924 Мбит/с. Поддерживаются подключения как со статическим IP и DHCP, так и PPPoE и PPTP.

Функция IPSec поддерживает шифрование по стандартам DES/3DES, AES/SHA-1 (ключ до 256 бит) и MD5. Маршрутизация может быть статической или динамической, поддерживаются протоколы RIPv1 и RIPv2. Межсетевой экран, реализованный в устройстве Netgear, поддерживает SPI, блокировку портов и сетевых служб, защиту от DoS-атак, а также работу в режиме «стелс».

Всё это достаточно привычный для устройств подобного назначения набор функций и возможностей. Но помимо них, Netgear BR200 поддерживает интеграцию, мониторинг и управление с помощью облачной службы Netgear Insight. Поддерживается как отслеживание аппаратного статуса — температуры и загрузки ЦП, нагрузки на память и состояния Ethernet-портов, так и полноценное облачное управление виртуальными сетями, реализованными с помощью BR200. Заказать новинку можно уже сейчас, стоит она $140.

В последней бета-версии RouterOS 7.1b2, которая вышла вчера, разработчики MikroTik добавили долгожданную поддержку Wireguard. Использована эталонная реализация 1.0.0 из ядра Linux 5.6. Для настройки пока можно использовать только CLI, так как в Winbox доступны не все параметры.

Wireguard, напомним, является современной, созданной с нуля реализацией VPN, которая отличается простотой настройки и высоким уровнем защиты. Вместе с тем она достаточно легковесна и имеет высокую производительность, что позволяет использовать её в относительно маломощных системах, включая SOHO и SMB-маршрутизаторы.

Например, есть официальные сборки для OpenWRT и Ubiquiti EdgeOS. А в роутерах Keenetic с прошивкой 3.3 и старше есть встроенная поддержка Wireguard — ранее мы уже рассматривали процесс настройки роутера и клиентов, а также создание собственного VPN-сервера в облаке.

Компания «ИнфоТеКС», занимающаяся разработкой VPN-решений и средств криптографической защиты данных, сообщила о получении положительного заключения Федеральной службы безопасности Российской Федерации на программно-аппаратный комплекс ViPNet Coordinator KB 4.

ViPNet Coordinator KB представляет собой шлюз безопасности, предназначенный для организации защищённых каналов связи по классу КВ.

Выданный ФСБ России сертификат удостоверяет, что ViPNet Coordinator KB 4 соответствует требованиям к устройствам типа межсетевые экраны 4 класса защищённости. Решение может применяться для защиты информации от несанкционированного доступа в информационных и телекоммуникационных системах органов государственной власти РФ.

Модельный ряд ViPNet Coordinator KB 4 представлен в четырёх исполнениях — KB100, KB1000, KB2000 и KB5000. Устройства обеспечивают шифрование трафика на сетевом (L3) и канальном уровнях (L2) на скорости до 4,5 Гбит/с, поддерживают различные варианты построения защищённых VPN-каналов связи и возможность создания кластера горячего резервирования (кроме исполнения KB100), допускают экстренное удаление ключевой информации по нажатию специальной аппаратной кнопки, оснащены защитой от вскрытия корпуса и недоверенной загрузки;

Дополнительные сведения о продукте опубликованы на сайте infotecs.ru.

Synology VPN Plus позволяет компаниям и организациям устанавливать шифрованные туннели между роутерами и сетями в разных географических областях, а также подключаться клиентам к роутерам посредством VPN для обеспечения безопасного доступам к данным и ресурсам через Интернет.

В рамках поддержки борьбы с коронавирусной инфекцией Synology с сегодняшнего дня по 30 сентября 2020 года предоставляет бесплатные лицензии VPN Plus для маршрутизаторов, поддерживающих эту опцию.

Каждая лицензия Site-to-Site VPN активирует данную функцию для одного продукта Synology, поддерживающего VPN Plus. После активации соответствующая функция доступна в течение неограниченного периода времени. Важно отметить, что лицензия даёт возможность формировать столько туннелей, сколько позволяют характеристики конкретного продукта. При этом, правда, активную лицензию Site-to-Site VPN нельзя будет перенести на другое устройство.

На лицензии для VPN-клиентов акция тоже распространяется. После её окончания цена каждой лицензии, вероятно, останется прежней ($9,99), а для теста Site-to-Site VPN можно будет однократно получить бесплатную 30-дневную пробную версию. Дополнительную информацию о возможностях VPN Plus можно найти на этой странице. 

В демоне протокола Point-to-Point Protocol Daemon (PPPD), который используется для сетевых соединений типа точка-точка, обнаружена уязвимость. Эта брешь существовала 17 лет и позволяла выполнять произвольный код на уровне системы, причём весьма простым способом. 

Для этого можно было использовать специально сформированные запросы на аутентификацию — при отправке особого EAP-пакета (Extensible Authentication Protocol) можно было вызвать переполнение буфера, что давало возможность выполнения произвольного кода от имени root.

pixabay.com

Ошибка закралась в код проверки размера поля rhostname — для переполнения нужно было лишь отправить очень длинное имя хоста. При этом уязвимыми являются как клиент, так и сервер. В последнем случае это позволяет атаковать клиентские компьютеры через центральный хост.

Проблема актуальна для версий демона с 2.4.2 по 2.4.8 включительно, для устранения проблемы уже вышел патч. Затронутыми могут быть все основные дистрибутивы Linux и вариации *BSD, а также OpenWRT и некоторые решения Cisco, TP-LINK и Synology.