Embed Size (px)
Citation preview
Защита удаленного доступа с
помощью Континент TLS VPN
Александр Немошкалов Руководитель направления
Вебинар
26 ноября 2014 года
Что такое Континент TLS-VPN сервер?
СКЗИ «Континент TLS VPN сервер» предназначен для
криптографической защиты HTTP трафика WEB серверов при
передаче по открытым каналам сетей общего пользования.
Обеспечивает безопасный доступ удаленных пользователей к
ресурсам WEB-серверов и сервисам на основе WEB;
Программно-аппаратный комплекс;
Под оправление ОС Continent OS (на основе Linux CentOS);
Два режима работы:
• HTTPS-прокси
• TLS-туннель
Почему TLS VPN?
Позволяет выполнить требования регуляторов и корпоративной
политики безопасности;
Удобство для пользователя (возможно использование без
клиента), работает по 443 порту (доступ открыт везде);
Решает вопросы встраивания крипто-библиотеки с ГОСТ в WEB-
сервер, они больше не нужны, может использоваться любой WEB-
сервер!
В случае использования СКЗИ «Континент TLS-VPN Клиент», нет
необходимости встраивания крипто-библиотеки с ГОСТ в WEB-
браузер, может использовать любой браузер!
Отсутствие помех в работе бизнес-приложений на основе WEB;
Доступ удаленного клиента
Удаленный пользователь
(Wi-Fi, xDSL)
Мобильный пользователь
(Wi-Fi, CDMA, GPRS)
Центральный офис
Интернет
Назначение
Защищенное подключение к порталам
государственных услуг, электронным торговым
площадкам, системам интернет-банкинга и т.п.
Защищенный доступ мобильных пользователей к
корпоративным WEB приложениям.
Сертификаты
«Континент TLS VPN» проходит сертификацию
на соответствие требованиям ФСТЭК и ФСБ
России.
• ФСТЭК России - НДВ3, АС до 1Г
включительно, возможность использования
в ИСПДн до УЗ1 и в государственных
информационных системах (ГИС) до 1
класса включительно.
• ФСБ России - СКЗИ класса КС2.
Приказы №21 и №17
Список мер по обеспечению безопасности в соответствии с Приказами №21
и №17 ФСТЭК России:
идентификация и аутентификация сессий удаленных пользователей к
веб-ресурсам корпоративной сети (ИАФ.6);
идентификация и аутентификация администраторов изделия (ИАФ.1);
защита информационной системы:
предотвращение доступа к веб-ресурсам корпоративной сети неаутентифицированных удаленных
пользователей (ЗИС.3);
предотвращение доступа к управлению конфигурацией изделия неаутентифицированных
администраторов (ЗИС.3);
разделение полномочий:
предоставление возможности администратору осуществлять управление конфигурацией изделия и
системы защиты (УПД.4);
управление доступом удаленных пользователей к ресурсам
информационной системы:
трансляция запросов удаленных пользователей на доступ к веб-ресурсам корпоративной сети
(УПД.3, УПД.13);
обратная трансляция ответов на запросы удаленных пользователей (УПД.3, УПД.13);
добавление идентификационных данных в заголовки транслируемых сессий удаленных
пользователей (УПД.3, УПД.12, УПД.13);
контроль целостности программного обеспечения изделия, включая
программное обеспечение средств защиты информации (ОЦЛ.1);
регистрация событий безопасности, а также событий, связанных с
функционированием изделия (РСБ.3, РСБ.4, РСБ.5).
Архитектура
В основе построения «Континент TLS VPN» лежит
клиент-серверная технология.
«Континент TLS VPN» состоит из двух компонентов:
Континент TLS VPN Сервер
• аппаратно-программный комплекс на базе специализированного телекоммуникационного сервера с архитектурой х64, устанавливается на границе периметра защищаемой сети
Континент TLS VPN Клиент
• программный модуль, установленный на компьютеры или мобильные устройства удаленных пользователей (Семейство MS Windows: Windows 8/7/Vista/XP, OS Android 4.x.x., ОС iOS 6.х/7.х.)
СКЗИ КриптоПро CSP
Модуль КриптоПро TLS + Браузер MS IE
Модельный ряд
«Континент TLS VPN»
Модельный ряд
Континент IPC-100 (S102) Континент IPC-400 (S021) Континент IPC-1000 (S021) Континент IPC-3000F(S021)
Форм-фактор 1U 2U rack 2U rack 2U rack
Размеры 417х437х45 мм 711х483х44 мм 711х483х44 мм 711х483х44 мм
ПРОИЗВОДИТЕЛЬНОСТЬ
Производительность Сервера Континент TLS в
режиме проксирования
200 Мбит/с 500 Мбит/с 900 Мбит/с 5 Гбит/с
Максимальное количество HTTP -сессий
(при размере скачиваемого файла - 5MB)
500 5 000 10 000 20000
Производительность Сервера Континент TLS в
режиме тунелирования
94 Мбит/с 94 Мбит/с 94 Мбит/с 94 Мбит/с
КОНФИГУРАЦИЯ СЕТЕВЫХ ИНТЕРФЕЙСОВ
Общее количество сетевых интерфейсов 8x Gigabit Ethernet 6х Gigabit Ethernet 10x Gigabit Ethernet 14x Gigabit Ethernet
RJ45 UTP
6х Ethernet 10/100/1000 6х Gigabit Ethernet 10/100/1000 10х Ethernet 10/100/1000 10x Ethernet 10/100/1000
Количество, тип сетевых интерфейсов 2x1000BASE-X оптические SFP нет нет 4x10Gbit оптические SFP+
ОТКАЗОУСТОЙЧИВОСТЬ и НАДЕЖНОСТЬ
Режим балансирующего кластера Да Да Да Да
Блок питания 1х 270W 1х 680W с "горячей" заменой 2х 680W с "горячей"
заменой
2х 680W с "горячей" заменой
Операционная
система
ContinentOS ContinentOS ContinentOS ContinentOS
Режим высокопроизводительно кластера да да да да
Среднее время наработки на отказ (MTBF) 40 000 часов 40 000 часов 40 000 часов 40 000 часов
IPC-100
IPC-400
IPC-1000F
IPC-3000F
Модельный ряд
до 20 000
до 10 000
до 5 000
Количество одновременных пользователей:
До 500
Возможности «Континент TLS VPN»
Возможности
Идентификация и аутентификация удаленных
пользователей
Идентификация и аутентификация пользователей осуществляется по
сертификатам открытых ключей стандарта x.509v3 (ГОСТ Р 31.11-94,
34.10-2001).
Выпуск сертификата осуществляется на внешнем удостоверяющем
центре совместимым с КриптоПро. Проверка сертификатов по
спискам отозванных сертификатов (CRL).
Возможности
Проксирование
В случае успешного прохождения процедур аутентификации запрос
пользователя перенаправляется по протоколу HTTP в защищенную
сеть к соответствующему WEB-серверу. К каждой HTTP сессии
данного пользователя добавляются специальные идентификаторы
(идентификатор клиента и идентификатор IP).
Возможности
Поддерживаемые версии протоколов
• «Континент TLS VPN» поддерживает протоколы TLS v.1, TLS v.2.
• Использование протокола TLS с шифрованием по ГОСТ 28147 –
89 обеспечивает защиту HTTP трафика на транспортном уровне.
• Расчет хэш-функции выполняется по алгоритму ГОСТ Р 34.11-1994
или ГОСТ Р 34.11-2012.
• Формирование и проверка электронной подписи — по алгоритму
ГОСТ Р 34.10-2001 или ГОСТ Р 34.10-2012.
Возможности
Прозрачное туннелирование
Возможность создания TLS-туннеля для любых приложений,
использующих протоколы семейства TCP/IP.
Трансляция адресов
Трансляция запросов веб-серверам корпоративной сети.
Возможности
Регистрация событий
Регистрация событий и возможность пересылки на указанный сервер
в формате SYSLOG, для дальнейшего анализа.
Мониторинг
Возможность получения оперативной информации о текущем
состоянии установленных соединений на «Континент TLS VPN
Сервер» и статистики о его работы.
Возможности
Удобство управления Сочетание WEB-интерфейса и графической локальной консоли управления
обеспечивают гибкую и удобную настройку в соответствии с требованиями
политик безопасности.
Возможности
Масштабирование
Возможно неограниченное наращивание количества элементов
балансирующего кластера для повышения производительности.1 (AA-
кластеризация).
1 - При проектировании системы рекомендуем закладывать избыточную производительность.
Это позволит сохранить проектируемую производительность при выходе из строя одного
из элементов кластера и сгладить пиковые нагрузки при подключении пользователей.
Возможности
Отказоустойчивость
В случае выхода из строя одного из элементов высокопроизводительного
кластера, нагрузка равномерно распределяется между остальными
элементами кластера. Распределение нагрузки на элементы кластера
выполняют с помощью стороннего балансировщика.
Преимущества
Высокая производительность – до 20 тыс.
одновременных пользовательских подключений на
один сервер (IPC-3000F);
Масштабируемая производительность (AA
кластеризация);
Криптографическая защита HTTP- трафика WEB-
серверов в соответствии с требованиями ГОСТ;
Возможность доступа с любого типа устройств;
Возможность туннелирования всего трафика;
Независимость от используемого браузера;
Совместимость с любыми WEB-серверами;
Работа с внешним УЦ
Вопросы?
Контакты
Менеджер продукта: Немошкалов Александр, +7 (495) 982-3020 (доб.495)
Тел: +7 (495) 982-3020 (многоканальный)
Сайт компании: www.securitycode.ru
Запрос дополнительной информации о продуктах: [email protected]
По вопросам стоимости и покупки продуктов: [email protected]
Служба технической поддержки: [email protected]
