Каждый раз, когда я рассказываю про какие-либо решения Microsoft по построению безопасных соединений (ISA/TMG/IAG/UAG/DirectAccess, нужное подчеркнуть) поверх общедоступных сетей (aka Интернет) обязательно в аудитории найдется кто-нибудь, кто задаст вопрос “А на ГОСТах работает?”. Отвечаю (надеюсь в последний раз ): “Работает!”
Мы совместно с КРИПТО-ПРО провели комплексное тестирование программного продукта "КриптоПро IPsec" (Internet Protocol Security), обеспечивающего защищенную передачу данных в IP-сетях.
Целью тестирования было подтверждение того, что интеграция пакета средств защиты “КриптоПро IPsec” с межсетевым экраном Microsoft ISA Server 2006 (имеет сертификат ФСТЭК №1386 от 15 мая 2007 года на соответствие требованиям по 4 и 3 классу межсетевых экранов) позволяет обеспечить выполнения требования приказа Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. N 58 “Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных” в части обеспечения защиты передаваемых персональных данных по каналам связи и межсетевого экранирования и могут быть использованы для построения информационных систем персональных данных (ИСПДн) 2 и 3 классов.
Тестирование было проведено на следующих платформах:
Результаты показали соответствие технических процедур букве закона. Таким образом, подтверждена возможность использования пакета “КриптоПро IPsec” вместе с межсетевым экраном ISA Server 2006 Standard Edition при построения информационных систем персональных данных (ИСПДн) в полном соответствии с действующим законодетельством Российской Федерации.
Forefront Threat Management Gateway (aka TMG) так же поддерживается, но в отличии от ISA Server 2006 на текущий момент не имеет сертификата ФСТЭК .
Разработка пакета “КриптоПро IPsec” была выполнена по техническому заданию, согласованному с ФСБ России. Программный продукт реализует алгоритмы ГОСТ 28147-89, ГОСТ Р 34.10-2001 и ГОСТ Р 34.11-94 и использует сертифицированное средство криптографической защиты информации. Используя “КриптоПро IPsec”, можно обеспечить конфиденциальность, целостность, подлинность и защиту данных от перехвата и подстановки пакетов при передаче в сетях общего пользования в туннельном или транспортном режимах. Туннельный режим предоставляет безопасный удаленный доступ клиента к корпоративным информационным системам через сеть общего пользования (Интернет), а транспортный режим обеспечивает защиту соединений в режимах: клиент-сервер, сервер-сервер и клиент-клиент (KC1, KC2, KC3).
“КриптоПро IPsec” обеспечивает следующие типы защищенных соединений:
Компания КРИПТО-ПРО предоставляет продукт "КриптоПро IPsec" всем зарегистрированным владельцам СКЗИ “КриптоПро CSP” версии 3.6 бесплатно.
Что даже IPSec-туннели при доступе по технологии DirectAccess могут использовать алгоритмы ГОСТ?!
DirectAccess не тестировался, но скорее всего в текущей версии работать не будет, поскольку в текущей версии поддерживается IKEv1, а в DirectAccess используется AuthIP. Только если принудительно использовать IP-HTTPS, тогда глядишь на Крипто-Про TLS заведется. Но опять же все нужно тестировать.