Toto řešení umožňuje připojení lokálních sítí (LAN) či počítačů bezpečným šifrovaným tunelem přes Internet. Podmínkou je, aby byl minimálně jeden z účastníků spojení trvale připojen k Internetu (pevná linka, mikrovlnný spoj,...) se statickou veřejnou IP adresou.
Spojení mezi pobočkami je realizováno přes internet prostřednictvím šifrovaného tunelu vytvořeného prostřednictvím IPSEC Gateway. Spojení je plně transparentní, na jednotlivých PC v sítích není zapotřebí žádný speciální software.
Vnitřní sítě jsou skryty a v okamžiku průchodu přes IPSEC Gateway jsou původní pakety zašifrovány, digitálně podepsány a jsou přidány nové IP hlavičky. Tím je mezi oběma IPSEC Gateways vytvořen šifrovaný tunel. Z hlediska ochrany je možno použít až úroveň "military" – šifrovací algoritmus AES256 s modulem klíčů až 8192 bitů a hashovací algoritmus SHA2.
IPSEC Gateways jsou konfigurovány tak, že přijímají pouze pakety od definovaných IPSEC Gateway, a nešifrované připojení tedy není možné. Z hlediska funkčnosti je nutné, aby se v připojovaných LAN sítích nevyskytovala víckrát stejná IP adresa, či síť se stejnou adresou podsítě. Je možné navázat spojení typu multipoint-multipoint (síť LAN-síť LAN), multipoint-point (síť LAN-počítač), nebo point-point (počítač-počítač).
Použité ochrany
Z hlediska bezpečnosti jsou použity veškeré možnosti, které nabízí protokol IPv4.
- Šifrování s použitím silných dynamických klíčů (v průběhu přenosu se šifrovací klíče mění).
- Plně stavový Firewall.
- Routování.
IPSEC gateway
IPSec, jakožto bezpečnostní rozšíření IP protokolu v. 4, zajišťuje plné bezpečné spojení více IP sítí na nezabezpečených linkách (Internet). Nabízí nadstandardní možnosti ochran – použití silných šifer (3DES, AES,...), silných hashovacích algortimů (SHA2), silných klíčů (modulus klíčů až 8192 bitů), plnou podporu X.509 PKI, plně stavový rozšířený Firewall pro INPUT, OUTPUT, FORWARD, podporu QoS, VLAN a řízení datových toků (shapping)
Provedení
IPSEC gateway využívá Firebox platformu
- 1U hloubka 200mm 4 x ethernetový port / 2 x ethernetový port + 2 x WAN port (X.21, V.35, T1/E1)
- 1U hloubka 350mm 6 x ethernetový port / 2 x ethernet port + 4 x WAN port (X.21, V.35, T1/E1)
Podporované šifrovací algoritmy
- 3DES
- AES128
- AES256
- Serpent
- BlowFish
- TwoFish
Podporované hashovací algoritmy
- SHA2-512
- SHA2-256
- SHA1
- MD5
Podporované moduly klíčů
- 8192
- 4096
- 3072
- 2048
- 1536
- 1024
Podporované autentikace
- PSK (včetně dlouhých hexadecimalních klíčů)
- X.509 (délka klíčů od 512 bitů do 8192 bitů)
- RSA
Rozšiřující možnosti:
- Instalace klienta Backup pro účely havarijního
- Instalace klienta MoNET pro účely centrálního dohledu.
- Instalace klienta CoNET pro účely centrální správy.
- Instalace klienta ARPMon pro účely proaktivního monitoringu.
- Instalace klienta DASS pro účely centrálního auditu.