Сетевое оборудование

  • Доверенное сетевое устройство Kraftway КДСУ-КД2402-А1К

    KasperskyOS - специализированная операционная система для промышленных и встраиваемых устройств с повышенными требованиями к информационной безопасности.

    KasperskyOS построена таким образом, что позволяет исполнять только разрешенные операции, определяемые политиками безопасности. Только то, что определено политикой может быть исполнено, включая собственный код OS. Подобный принцип требует нового подхода в разработке приложений. По сути, функциональные возможности приложения должны создаваться одновременно с политиками безопасности. Разработчики приложений получают дополнительную возможность мгновенного тестирования: ошибочный код будет блокирован OS как недокументированная возможность. Однако, важно то, что политики безопасности могут гибко подстраиваться к нуждам бизнес-приложения, а не наоборот.

    Благодаря архитектурным принципам, описанным выше, KasperskyOS выступает в роли доверенного фундамента для исполнения приложений и гарантирует, что любые не декларированные функции, такие как закладки, вредоносный код исполнятся не будут. Также значительно снижается вероятность успешной эксплуатации вероятных уязвимостей в коде прикладного программного обеспечения.

    Таким образом, KasperskyOS обеспечивает защиту программного обеспечения и данных системы от последствий действий вредоносного кода и атак хакеров, таких как не декларируемое поведение любой из частей системы; потеря, уничтожение или модификация конфиденциальной или приватной информации; падение производительности или отказ в работе.

    Операционная система в основном предназначена для использования в устройствах телекоммуникационной, автомобильной промышленности, а также в перспективных продуктах Интернета Вещей IoT (Internet of Things).

    Доверенная операционная система KasperskyOS для сетевых устройств Kraftway КДСУ содержит следующие политики безопасности:


     
  • ● реализация правил авторизации доступа к функциям сервиса удаленной конфигурации;
  • ● контроль функций администрирования;
  • ● мониторинг выполнения функций администрирования и конфигурации.

  • Операционная система и базовое программное обеспечение сетевого устройства Kraftway КДСУ гарантирует данные аспекты безопасности на основе проверки ее архитектурных свойств и реализации на предмет наличия уязвимостей и программных закладок.

  • Доверенное сетевое устройство Kraftway КДСУ-КД2402-А1К

    КДСУ является доверенным сетевым устройством, дополняющим традиционный коммутатор Ethernet встроенными средствами безопасности. Кроме функций коммутации и маршрутизации пакетов между интерфейсами КДСУ  предоставляет следующие возможности:

    - разграничения доступа с помощью идентифицирующих устройств для пользователей;
    - контроль программной и аппаратной конфигурации при загрузке;
    -  восстановление программной конфигурации при аварийных ситуациях и обнаружении попыток взлома;
    - непрерывный контроль портов ввода/вывода модуля управления, а также внутренних устройств с целью предотвращения попыток несанкционированного проникновения;
    - дистанционный и локальный мониторинг событий безопасности.

    Данные управляющие возможности реализуются на основе  вычислительной системы на базе процессора архитектуры х86 с интегрированными в UEFI BIOS средствами защиты информации.
  • Доверенное сетевое устройство Kraftway КДСУ-КД2402-А1К

    Платформа
    Коммутирующая матрица Модуль коммутирующей матрицы на основе процессора Marvell 98DX4122
    Управление коммутатором Модуль управления на основе встроенной вычислительной системы на базе процессора архитектуры х86 с интегрированными средствами защиты информации
    Коммутируемые порты под GBIC 1G 24 порта SFP
    Коммутируемые порты под GBIC 10G 2 порта SFP+
    Порты управления 1 порт RJ-45 10/100/1000 Base-T;
    1 порт SFP 1000 Base-LX (под GBIC);
    1 порт RS-232
    Порты для подключения устройств идентификации Считыватель смарт-карт, CCID
    Порты для подключения устройств USB 1 порт, USB 2.0
    Светодиодные индикаторы системный;
    индикаторы активности коммуникационных портов;
    Кнопка Reset Поддержка кнопки Reset
    Встроенные средства безопасности уровня BIOS
    Встроенное в BIOS ПО безопасности Встроенная в UEFI оболочка безопасности Kraftway Secure Shell (KSS)
    Питание
    Блок питания Один внутренний 220 В переменного тока, 50-60 Гц
    Габариты, Вес
    Высота 43 мм (1U)
    Ширина 440 мм
    Глубина 310 мм (380 мм с разъемом питания)
    Функциональные свойства коммутатора:
    Порты
    Защита от блокировки нескольких потоков на одном порту (HOL Blocking Prevention);
    Управление потоком в полном дуплексном режиме для предотвращения потери пакетов (Flow Control Support, IEEE802.3X);
    Полнофункциональная поддержка сверхдлинных пакетов размером до 9 Кб (Jumbo Frames support);
    Проверка подключённого оптического трансивера: напряжение, сила тока, входная и выходная мощность, температура, потеря сигнала, отказы трансивера;
    Поддержка энергосберегающей технологии: отключение питания не использующегося порта, подстройка мощности под длину кабеля (Green Ethernet);
    Ручная настройка портов;
    Отключение по расписанию.
    Зеркалирование
    Поддержка полного зеркалирования (дублирования) трафика портов для анализа и мониторинга. Поддерживается зеркалирование до 8 портов на 1 контролирующий порт;
    Поддерживается зеркалирование сетей VLAN;
    MAC-адресация
    таблица MAC-адресов размерностью до 128000 записей;
    таблица MAC-адресов при помощи кэширования в ПО;
    Аппаратно поддерживается 16000 записей;
    Формирование таблицы MAC-адресов (MAC learning)-автоматическое «обучение»;
    Коммутация пакетов на основе MAC-адреса с учётом принадлежности к сети VLAN с поддержкой отдельной базы данных пересылки (forwarding data base, FDB);
    Автоматическое удаление MAC-адресов, не активных в течение заданного времени, для предотвращения переполнения таблицы пересылки (MAC Address Aging);
    Ручной (статический) ввод в таблицу пересылки MAC-адресов, не «устаревающих» и не удаляющихся после перезагрузки (Static MAC addresses, не менее 256 адресов).
    Виртуальные локальные сети VLAN
    до 4074 виртуальных локальных сетей VLAN;
    распределение по группам VLAN на основе портов;
    поддержка протокола GVRP для динамического создания сетей VLAN;
    режим доступа (access) - порт принадлежит одной VLAN в режиме передачи немаскированного трафика;
    общий режим (general) – поддерживаются все функции, как определено в стандарте IEEE 802.1q;
    магистральный режим (trunk) - порт может быть членом одной VLAN в режиме передачи немаскированного трафика и членом нескольких VLAN в режиме передачи маскированного трафика;
    Создание сетей VLAN по признаку протокола L2 (Protocol Based VLANs), до 8 сетей;
    Трансляция трафика в сеть VLAN на основе подсети IP-адреса источника (Subnet based VLAN);
    Выделенные сети VLAN групповой передачи L2-трафика (Multicast TV VLAN);
    Трансляция трафика в сеть VLAN на основе MAC-адреса источника (MAC Based VLANs);
    Автоматическое добавление VoIP-оборудования в сеть Voice VLAN на основе OUI для приоритезации трафика (Auto Voice VLAN), до 128 OUI;
    Поддержка вложенных сетей VLAN (Nested VLANs (QinQ)) старндартов IEEE 802.1Q, IEEE 802.1ad.
    Многоадресная передача
    Multicast Bridge Количество поддерживаемых таблиц групповых адресов (Multicast Groups) –до 4096 групп;
    Ручная настройка таблиц групповых адресов, когда не поддерживается IGMP (Static Multicast Groups);
    Групповая передача на основе анализа IGMP пакетов (IGMP Snooping), IGMP v1, v2, v3;
    Групповая передача на основе анализа MLD-пакетов (MLD Snooping);
    Настройка работы с пакетами, которые принадлежат незарегистрированным группам многоадресной рассылки (Unregistered Multicast);
    Работа в режиме Querier в отсутствие в сети multicast-маршрутизатора (IGMP Querier).
    Протокол
    Spanning Tree Поддержка протокола STP для построения древовидной топологии сети, протокол IEEE 802.1d;
    Поддержка “быстрого” протокола STP (Rapid Spanning Tree), протокол IEEE 802.1w;
    Поддержка протокола MSTP для привязки сетей VLAN к элементам в древовидной топологии (Multiple Spanning Tree- MSTP), протокол IEEE802.1s;
    Защита от назначения несанкционированного устройства на роль «корневого элемента» древовидной топологии сети (STP Root Guard);
    Автоматическое отключение порта при получении сообщения BPDU для защиты от неправильной конфигурации сети (STP BPDU Guard);
    Фильтрация BPDU-данных для разделения “деревьев” двух подсетей;
    Определение петель пересылки в L2-топологии сети, дополнительно к STP (Loopback detection).
    Агрегирование каналов
    Link Aggregation, LAG поддерживается до 8-и портов в LAG;
    поддерживается до 16 LAG;
    Поддержка протокола LACP для автоматического объединения отдельных связей в единый канал (LACP) до 16 портов;
    Настройка баланса загрузки пропускной способности агрегированного канала на основе MAC, IP или порта назначения (LAG Balancing Algorithm).
    Список контроля доступа
    Access Control Lists применяется для отдельных портов и LAG;
    поддерживается до 4096 таблиц;
    поддерживается для MAC и IP –адресов;
    PCL TCAM 3K + Management ACL 1K или PCL TCAM 3K + TTI TCAM 1K;
    Контроль доступа на основе правил фильтрации трафика. Поддержка до 2048 списков ACL на основе заголовков пакетов уровней 2, 3 и 4 (IP ACL Condition);
    Настройка времени действия правил фильтрации (Time Based ACL);
    Качество обслуживания
    Quality of Service Поддержка приоритезации до 8 очередей на каждый порт, до 8 уровней приоритетов;
    QoS Basic Mode, протокол 802.1p;
    Создание правил приоритезации (фильтрации) на основе классификации потоков (QoS Advanced Mode);
    Распространение правил QoS на весь стэк устройств; Сбор статистики QoS на каждом порту по: очередям, классу трафика, примененным политикам;
    Ingress Rate Limiting Accurate mechanism;
    Ограничение скорости передачи пакетов заданного типа при сохранении параметров QoS на порту (Egress Rate Limiting);
    Ограничение скорости входящего трафика на порту на основе политик (Rate Limiting action in ACL);
    Контроль скорости передачи широковещательных и многоадресных пакетов на входе порта (Packet Storm Control);
    IP адресация
    Статическое назначение коммутатору IP-адреса и его получение по протоколам DHCP/BootP;
    DNS клиент (до 8 DNS-серверов);
    до 64 статических назначений доменных имен;
    поддержка ping, trace route, TACACS сервер, RADIUS сервер, SNTP сервер, Syslog сервер, TFTP сервер, и DHCP сервер;
    Работа в режиме DHCP-ретранслятора между клиентами и DHCP-сервером.
    IP маршрутизация
    Функции маршрутизации IPv4;
    Функции маршрутизации IPv6;
    Функции маршрутизации MIB, включая протоколы: RFC 1724 RIP v2 MIB расширения; RFC 1850 OSPF MIB; RFC 2096 IP таблица MIB; RFC 2787 VRRP MIB;
    Размер таблицы маршрутизации не менее 13000 (для IPv4), не менее 4096 Multicast групп;
    Работа в режиме DHCP-ретранслятора между клиентами и DHCP-сервером (DHCP Relay);
    Прокси ARP;
    Поддержка протокола ECMP, до 8 маршрутов;
    Перенаправление широковещательного UDP трафика на указанный IP адрес (UDP Relay);
    Поддержка протокола динамической маршрутизации RIP v2;
    Протокол динамической маршрутизации OSPF v2;
    VRRP v3 для IPv4;
    BGPv4.
    Безопасность
    Предоставление доступа к порту коммутатора только для устройств, MAC-адреса которых закреплены за этим портом, (MAC-based Port Security), до 256 адресов;
    Контроль доступа на основе проверки подлинности по стандарту IEEE 802.1x, до 512 одновременных проверенных пользователей;
    Проверка подлинности на основе MAC-адреса для устройств, не поддерживающих 802.1х;
    Настройка времени действия проверки подлинности по стандарту IEEE 802.1x. (Time Based 802.1x);
    Предоставление пользователю, не прошедшему проверку подлинности, доступа к ограниченной гостевой сети VLAN (Guest VLAN);
    Предоставление доступа к назначенным сетям VLAN, не требующим проверки подлинности портов (например, в IP-телефонии);
    Динамическое присоединение прошедшего проверку клиента к сети VLAN на основе данных RADIUS о нем (Dynamic VLAN Assignment);
    Динамическое внесение записи с прошедшим проверку MAC-адресом в ACL-список порта (Dynamic ACL (DACL));
    Поддержка протокола удаленной авторизации, аутентификации и учета (Remote Authorization and Authentication (RADIUS)), до 8 RADIUS-серверов;
    Регистрация сессий по управлению/настройке коммутатора, до 128 сессий на отдельный коммутатор и до 1024 сессий на стэк (Radius Accounting);
    Поддержка протокола проверки подлинности TACACS+, до 8 TACACS-серверов;
    двухфакторная аутентификация с помощью внешнего идентифицирующего устройства (смарт-карта)(локальная аутентификация);
    аутентификация по паролю и логину пользователя(локальная аутентификация);
    аутентификация с запросом удаленного сервера для проверки прав администратора(локальная аутентификация);
    IP Source Guard;
    Защита от атак с использованием протокола ARP на основе проверки IP-адреса (Dynamic ARP Inspection);
    Контроль целостности, поддерживается с помощью внешнего по отношению к коммутирующей матрице доверенного вычислительного модуля. Для Системного ПО, конфигурационных файлов и баз данных пользователей
    Управление коммутатором
    Поддерживается ролевое и мандатное разграничения прав доступа к настройкам и управлению;
    Поддержка MIB версии 1.3.6 и выше;
    Шифрование удаленного доступа к Web-интерфейсу по HTTPS. Поддержка SSL v3;
    Интерфейс командной строки CLI;
    Сервер SSH для удаленного доступа к консоли управления, о 5 одновременных сессий;
    WEB консоль, базовая конфигурация IP stack;
    Управление паролями;
    Восстановление пароля и обновление сертификатов, локально при загрузке;
    Криптография - RSA, AES; 3DES;
    Защита канала управления по ГОСТ;
    возможность установки шифрованного соединения при помощи функции микроконтроллера АПМДЗ и аппаратного ДСЧ (датчика случайных чисел)(Опционально);
    Предусмотрена возможность установки внешней платы шифратора в модуль управления(Опционально);
    Удаленный доступ к функциям управления для администратора прошедшего авторизацию с ограничениями по протоколам: Web (HTTPS);Secure Web (HTTPS, Using SSL); Telnet (CLI over telnet sessions); Secure Shell (CLI over SSH access); SNMP.
    Поддержка HTTP/HTTPS, не менее 5 конкурентных сессий;
    Системное ПО и управление конфигурациями
    Удаленное обновление прошивки по протоколу TFTP, через WEB консоль;
    локальное обновление прошивки с USB носителя;
    Управление файлами конфигураций;
    Системное ПО (“Firmware image”) копирование/хранение/выбор/загрузка;
    Обновление конфигурационных файлов и образов Системного ПО по протоколу HTTP/S;
    SNMP
    SNMP V1, V2C, v3;
    Журнал событий
    Журнал событий (Event Logging), Не менее 8 серверов Syslog;
    Локальное хранение не менее 200 лог файлов объемом не менее 128 кБ;
    Поддерживается единый журнал событий безопасности, генерируемых встроенными СЗИ(средств защиты информации). Журнал располагается в защищённой области энергонезависимой памяти модуля управления.
    Стекирование коммутаторов
    Поддерживается, до 8 коммутаторов;
    Топология: кольцо, линейная
    OF (Open Flow)
    Openflow v1.0.
    Задать вопрос
  • Доверенное сетевое устройство Kraftway КДСУ-КД2402-А1К

  • Доверенное сетевое устройство Kraftway КДСУ-КД2402-А1К

    КДСУ является доверенным сетевым устройством, дополняющим традиционный коммутатор Ethernet встроенными средствами безопасности. Кроме функций коммутации и маршрутизации пакетов между интерфейсами КДСУ  предоставляет следующие возможности:

    - разграничения доступа с помощью идентифицирующих устройств для пользователей;
    - контроль программной и аппаратной конфигурации при загрузке;
    -  восстановление программной конфигурации при аварийных ситуациях и обнаружении попыток взлома;
    - непрерывный контроль портов ввода/вывода модуля управления, а также внутренних устройств с целью предотвращения попыток несанкционированного проникновения;
    - дистанционный и локальный мониторинг событий безопасности.

    Данные управляющие возможности реализуются на основе  вычислительной системы на базе процессора архитектуры х86 с интегрированными в UEFI BIOS средствами защиты информации.