v4.2.0 Скачать
Главная Стандарты Безопасность Решения О компании Документация FAQ Контакты
Главная / Безопасность и туннелирование

Архитектура безопасности

Технический разбор механизма туннелирования данных внутри корпоративного контура без участия внешних серверов, облачной инфраструктуры и посредников.

Принцип изоляции

Zero External Dependency

NexusBridge построен на фундаментальном принципе: ни один байт корпоративных данных не покидает физический периметр предприятия. В отличие от SaaS-решений, вся маршрутизация, шифрование и управление ключами происходят исключительно на серверах заказчика.

Туннель NexusBridge — это зашифрованный двусторонний канал между двумя авторизованными узлами корпоративной сети. Канал формируется на уровне транспортного протокола и невидим для внешних наблюдателей.

  • Нет центрального брокера — топология P2P внутри периметра
  • Нет DNS-запросов во внешние зоны при передаче данных
  • Нет телеметрии и отчётности на серверы производителя
  • Нет облачных зависимостей для активации и работы
  • Полный контроль над ключевым материалом у заказчика

Корпоративный контур NexusBridge

💻
Клиент А
Инициатор
E2E · ГОСТ
🔐
NB Core
Маршрутизатор
E2E · ГОСТ
🖥️
Клиент Б
Получатель

🔒 Все узлы находятся внутри корпоративной сети
Внешний трафик полностью исключён

Протокол установки соединения

Как устанавливается туннель

1

Взаимная аутентификация (mTLS)

Оба узла предъявляют сертификаты X.509, подписанные корпоративным удостоверяющим центром (УЦ). Проверяется цепочка доверия до корневого сертификата организации.

2

Согласование сессионного ключа (VKO)

По протоколу VKO (RFC 7836) на основе ГОСТ Р 34.10-2012 вырабатывается общий секретный сессионный ключ. Долгосрочные ключи при этом не передаются по сети.

3

Активация шифрованного канала

Туннель активируется с использованием сессионного ключа и алгоритма «Кузнечик» в режиме CTR. Каждый сеанс использует уникальный ключ (Perfect Forward Secrecy).

4

Непрерывный контроль целостности

Каждый пакет данных снабжается имитовставкой (MAC) по алгоритму ГОСТ Р 34.11-2012 (Стрибог-256). Повреждённые или подменённые пакеты немедленно отклоняются.

Handshake · TLS 1.3 + GOST
Client → Server: ClientHello cipher_suites: - TLS_GOSTR341112_256_WITH_KUZNYECHIK_CTR_OMAC - TLS_GOSTR341112_256_WITH_MAGMA_CTR_OMAC supported_groups: [GC256A, GC512A] Server → Client: ServerHello selected_cipher: KUZNYECHIK_CTR_OMAC certificate: [X.509 + ГОСТ ЭЦП] Client → Server: Certificate (mTLS) cert_chain: [client.crt → corp_ca.crt] Выработка ключа (VKO GOST) algorithm: id-GostR3410-2012-256 key_agreement: id-smev-gostR3410-2012-256 ukm: 0x... (случайный) Туннель активирован ✓ session_key_length: 256 bit pfs: true integrity: HMAC-Streebog-256
Модель угроз

Защита от актуальных угроз

Вектор атаки Механизм защиты Уровень защиты
Перехват трафика (MITM) mTLS + E2E-шифрование ГОСТ. Злоумышленник видит только зашифрованный поток без возможности расшифровки. Критический
Подмена узла (Spoofing) Обязательная проверка сертификата X.509 с привязкой к корпоративному УЦ. Самоподписанные сертификаты отклоняются. Критический
Повторная атака (Replay) Уникальный nonce и метка времени в каждом пакете. Окно допустимого отклонения: ±5 секунд. Высокий
Утечка ключевого материала PFS (Perfect Forward Secrecy): компрометация долгосрочного ключа не раскрывает прошлые сессии. Критический
Инсайдерская угроза RBAC, разделение обязанностей, полный аудит действий. Оператор не может читать данные других пользователей. Высокий
DoS / DDoS на туннель Rate-limiting на уровне узла, автоматическое отключение аномальных соединений, whitelist IP-адресов. Средний
Анализ метаданных трафика Опциональное трафик-паддинг и рандомизация размеров пакетов для сокрытия паттернов передачи. Средний
Многоуровневая защита

Defence in Depth

🌐

Сетевой уровень

Межсетевой экран, сегментация VLAN, контроль сетевых потоков. Белые списки IP-адресов для узлов NexusBridge.

🚇

Транспортный уровень

Туннель на базе TLS 1.3 с ГОСТ cipher suites. Взаимная аутентификация, Perfect Forward Secrecy.

🔐

Уровень приложения

E2E-шифрование полезной нагрузки. Маршрутизатор не имеет доступа к содержимому пакетов.

🔑

Управление ключами

PKI на базе корпоративного УЦ. Хранение ключей в HSM. Автоматическая ротация сессионных ключей.

👤

Идентификация

Интеграция с AD/LDAP. Многофакторная аутентификация. RBAC с гранулярными политиками доступа.

📋

Аудит

Неизменяемые журналы событий (WORM). Интеграция с SIEM. Оповещения об аномальной активности.

Попробуйте защищённую платформу прямо сейчас

Скачайте веб-версию NexusBridge без установки — сохраните ярлык и запускайте платформу в один клик.

Скачать веб-версию Запросить пилот