Сидоров Михаил Департамент сервиса

«Континент TLS VPN» 1.0.9. Обзор новых функций

E-mail: m.sidorov@securitycode.ru Тел.: +7(495)982-3020 (доб. 264)

Что такое «Континент TLS VPN»?

ЗАЩИЩЕННЫЙ УДАЛЕННЫЙ ДОСТУП Зачем защищать доступ к веб-ресурсам?

Чтобы обеспечить безопасность передаваемой конфиденциальной

информации при: Подключении к порталам государственных услуг; Подключении к корпоративным веб-приложениям; Получении услуг интернет-банкинга и т.п.

Чтобы выполнить требования законодательства РФ по защите ИСПДн, ГИС и др.

СХЕМА РАБОТЫ Единый шлюз удаленного доступа к корпоративным ресурсам

МОДЕЛЬНЫЙ РЯД

Модель Количество одновременных подключений

Пропускная способность в режиме HTTPS-proxy

IPC-100 До 500 До 200 Гбит/с

IPC-400 До 5000 До 700 Гбит/с

IPC-1000 До 10000 До 900 Гбит/с

IPC-3000F До 18000 До 3 Гбит/с

ОСНОВНЫЕ ВОЗМОЖНОСТИ

Internet Балансировщик TLS сервер WEB сервер

Идентификация и аутентификация пользователей на основе PKI.

Прозрачное проксирование HTTP-трафика - пользователю достаточно указать ip-адрес или доменное имя.

Мониторинг и журналирование событий ИБ - возможна интеграция с внешними SIEM-системами. Масштабируемость и отказоустойчивость - поддерживает работу в схеме кластера с балансировкой нагрузки.

Удобные инструменты управления - необходим браузер Internet Explorer и КриптоПро CSP. Работа пользователя через любой веб-браузер при использовании «Континент TLS VPN Клиент»

Криптографическая защита передаваемой информации на основе ГОСТ 28147–89.

TLS HTTP HTTPS ГОСТ 28147–89

ОСНОВНЫЕ ВОЗМОЖНОСТИ

НАСТРОЙКА СЕРВЕРА И НОВЫЕ

ВОЗМОЖНОСТИ

НАСТРОЙКА СЕРВЕРА

Для ввода в эксплуатацию решения необходима:

1. Локальная настройка сервера; 2. Первоначальная настройка; 3. Настройка ресурсов; 4. Настройка TLS клиента.

ЛОКАЛЬНАЯ НАСТРОЙКА СЕРВЕРА

Локальные настройки:

1) Сетевые настройки: настройка IP адресов интерфейсов, настройка маршрутизации, настройка DNS серверов

2) Настройка системного времени: ручная установка или настройка NTP

3) Диагностика: статистика, диагностика сети (ping, traceroute, arp), диагностика сетевых интерфейсов

МАСТЕР КЛЮЧ

Мастер-ключ необходим для:

• шифрование закрытых ключей сервера; • организация защищенного соединения между элементами кластера.

Срок действия мастер-ключа 1 год.

Мастер-ключ и инициализация сервера: 1) Мастер-ключ:

• Мониторинг состояния мастер-ключа;

Блокировка Сервера производится через 90 дней после истечения срока действия мастер-ключа;

• Экспорт мастер-ключа на USB-флэш-накопитель, а не только на Rutoken ЭЦП;

• Экспорт мастер-ключа на USB накопитель без перезаписи файла;

• При импорт мастер-ключа с USB накопителя есть возможность выбрать файл из списка;

2) Инициализация:

Инициализация создаст новую базу данных! Старая будет утеряна!

• Выбор роли сервера: основной или подчиненный;

• Выбор интерфейса управления;

ЛОКАЛЬНАЯ НАСТРОЙКА СЕРВЕРА

ЛОКАЛЬНАЯ НАСТРОЙКА СЕРВЕРА

После инициализации сервера доступен дополнительный функционал:

1. Управления сертификатами администратора, удостоверяющего центра и сервера;

2. Работа с журналами сервера. Два типа журналов: доступа и системный;

3. Управление обработок неуспешных аутентификаций.

Блокировка происходит по source IP входящего пакета!

4. Настройка доступа с внешних устройств - последовательной консоли и SSH.

ПЕРВОНАЧАЛЬНАЯ НАСТРОЙКА

После инициализации возможен удаленный доступ к серверу по IP адресу интерфейса управления: https://IP.

Для разблокирования сервера необходимо:

1. Создания серверного сертификата. Common name сертификата будет адресом для входа на ресурс. Имя должно резолвиться на ПК;

2. Импорт корневого сертификата (или цепочки);

3. Выбор сертификата в качестве «сертификата управления»;

4. Импорт «сертификата администратора»;

5. Ввод лицензий. Лицензия привязывается к конкретному серверу. Если кластер, то их должно быть минимум две.

СПОСОБЫ ДОСТУПА К РЕСУРСАМ

HTTPS -прокси

TLS-туннель

Портал приложений

HTTPS-ПРОКСИ

Защищенный доступ к приложениям по протоколу HTTP/HTTPS: • Intranet-портал; • Web-приложениям; • VDI с доступом по HTTPS.

HTTPS/Порт 443

Выбор версии протокола, обмен сертификатами

HTTP

Один серверный сертификат – один WEB-сервер

ПРИНЦИП РАБОТЫ

НАСТРОЙКА Основные настройки: 1. Выбор сертификата сервера (создается аналогично сертификату управления); 2. Указание адреса защищаемого ресурса (можно по доменному имени);

Дополнительные настройки: 1. Возможность аутентификации клиентов на ресурсе; 2. Настройка использования CRL; 3. Изменение текста ошибки отказа в доступе (Ошибка 403 (Forbidden)). 4. Передавать данные в HTTP-заголовке;

ПЕРЕДАЧА ДАННЫХ В HTTP-ЗАГОЛОВКЕ

1. Добавлять можно несколько значений; 2. Можно добавлять как константные значения, так и конкретные поля

сертификата пользователя.

ПРИНЦИП РАБОТЫ

Порт подключения указывается в настройках

Выбор версии протокола, обмен сертификатами

TCP/IP-протоколы

Один серверный сертификат – один ресурс

HTTPS TCP/IP

НАСТРОЙКА

Основные настройки:

1. Выбрать сертификат сервера для туннеля; 2. Задаем параметры туннеля и защищаемого ресурса.

ПОРТАЛ ПРИЛОЖЕНИЙ

Ролевое разделение прав доступа удаленных пользователей к web-приложениям. Например различные наборы web-приложений для разных групп пользователей: • Администраторы; • Пользователи; • Подрядчики.

ПРИНЦИП РАБОТЫ

HTTPS/Порт 443

Выбор версии протокола, обмен сертификатами

HTTP

Один серверный сертификат – множество приложения портала

1.Приложение 1; 2.Приложение 2; 3.Приложение N

WEB-сервер 1

WEB-сервер 2

WEB-сервер N

AD

LDAP

РАБОТА ПОРТАЛА ПРИЛОЖЕНИЙ

НАСТРОЙКА

1. Взаимодействие с AD по протоколу LDAP. Доступ к ресурсам на основе групп пользователей; 2. Доступ на портал по паролю или сертификату пользователя; 3. Доступна передача данных в HTTP-заголовке;

TRUSTED SERVER LIST

Trust Server List (TSL) - список доверенных удостоверяющих центров Минкомсвязи, уполномоченного органа исполнительной власти в сфере использования электронной подписи, осуществляющего аккредитацию удостоверяющих центров на основании Федерального закона №63 «Об электронной подписи».

Для настройки необходимо:

1. Выбрать периодичность обновления;

2. Указать URL TSL файла ( https://e-trust.gosuslugi.ru/CA/DownloadTSL?schemaVersion=0 ). Есть возможность загрузить файл вручную.

3. Загрузить список сертификатов головного удостоверяющего центра (ГУЦ).

НАСТРОЙКА TSL

Для настройки необходимо:

1. Выбрать периодичность обновления. Можно загрузить CRL файл вручную; 2. Указать URL CRL файла ( например http://ca.pfrf.ru/ucpfr/uc999_2014.crl );

НАСТРОЙКА CRL Компонент инфраструктуры открытого ключа (PKI). Представляет собой файл, создаваемый и подписываемый центром сертификации и содержащий список сертификатов, которые были выданы, но затем отозваны.

РАБОТА С ЖУРНАЛАМИ

2. Проверка сертификата пользователя.

1. Настройка удаленного доступа. Доступ можно ограничить или запретить.

ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ

TLS КЛИЕНТ

TLS- клиент представляет собой устанавливаемое на компьютере удаленного пользователя программное обеспечение, функционирующее совместно с TLS-сервером.

TLS-клиент выпускается в двух исполнениях: • исполнение 1 — соответствует требованиям ФСБ России к средствам класса КС1;

• исполнение 2 — соответствует требованиям ФСБ России к криптографическим средствам класса КС2, работает совместно с изделием «Программно-аппаратный комплекс "Соболь". Версия 3.0».

Преимущества: 1. Не нужен криптопровайдер «КриптоПро»; 2. Может работать с любым web-браузером.

Планы по сертификации

ФСБ России:

• СКЗИ «Континент TLS VPN Клиент» 1.0 (исполнение 1) - соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС2.

• СКЗИ «Континент TLS VPN Клиент» 1.0 (исполнение 1 - класс КС1) - соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС1.

• СКЗИ «Континент TLS VPN Клиент» 1 .0 (исполнение 2 - класс КС2) - соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС2.

ФСТЭК России:

• СКЗИ «Континент TLS VPN Сервер» - соответствие требованиям руководящих документов по 4-му уровню контроля на отсутствие НДВ и может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, для защиты информации в ИСПДн до 1 класса включительно и ГИС до 1 класса включительно.

ПРОФЕССИОНАЛЬНЫЕ СЕРВИСЫ

Услуги по проектированию и анализу предлагаемых решений

Услуги по внедрению и разработке

Услуги по тестированию предлагаемых решений (контроль качества разработки)

Мы всегда

рады оказать

Вам помощь!

ps@securitycode.ru

Даем потестировать в виде ВМ

ДЕМО ВЕРСИИ

В целях ознакомления и тестирования готовы предоставить демоверсии для виртуальной среды VMware.

СХЕМА СТЕНДА

Рабочая станция администратора

Рабочая станция пользователя

proxy.securitycode.ru tunnel.securitycode.ru portal.securitycode.ru

Континент TLS VPN

admintls

Вопросы?

Сидоров Михаил Департамент сервиса

E-mail: m.sidorov@securitycode.ru Тел.: +7(495) 982-3020 (доб. 264)