Upload
security-code-ltd
View
293
Download
8
Embed Size (px)
Citation preview
Сидоров Михаил Департамент сервиса
«Континент TLS VPN» 1.0.9. Обзор новых функций
E-mail: [email protected] Тел.: +7(495)982-3020 (доб. 264)
Что такое «Континент TLS VPN»?
ЗАЩИЩЕННЫЙ УДАЛЕННЫЙ ДОСТУП Зачем защищать доступ к веб-ресурсам?
Чтобы обеспечить безопасность передаваемой конфиденциальной
информации при: Подключении к порталам государственных услуг; Подключении к корпоративным веб-приложениям; Получении услуг интернет-банкинга и т.п.
Чтобы выполнить требования законодательства РФ по защите ИСПДн, ГИС и др.
СХЕМА РАБОТЫ Единый шлюз удаленного доступа к корпоративным ресурсам
МОДЕЛЬНЫЙ РЯД
Модель Количество одновременных подключений
Пропускная способность в режиме HTTPS-proxy
IPC-100 До 500 До 200 Гбит/с
IPC-400 До 5000 До 700 Гбит/с
IPC-1000 До 10000 До 900 Гбит/с
IPC-3000F До 18000 До 3 Гбит/с
ОСНОВНЫЕ ВОЗМОЖНОСТИ
Internet Балансировщик TLS сервер WEB сервер
Идентификация и аутентификация пользователей на основе PKI.
Прозрачное проксирование HTTP-трафика - пользователю достаточно указать ip-адрес или доменное имя.
Мониторинг и журналирование событий ИБ - возможна интеграция с внешними SIEM-системами. Масштабируемость и отказоустойчивость - поддерживает работу в схеме кластера с балансировкой нагрузки.
Удобные инструменты управления - необходим браузер Internet Explorer и КриптоПро CSP. Работа пользователя через любой веб-браузер при использовании «Континент TLS VPN Клиент»
Криптографическая защита передаваемой информации на основе ГОСТ 28147–89.
TLS HTTP HTTPS ГОСТ 28147–89
ОСНОВНЫЕ ВОЗМОЖНОСТИ
НАСТРОЙКА СЕРВЕРА И НОВЫЕ
ВОЗМОЖНОСТИ
НАСТРОЙКА СЕРВЕРА
Для ввода в эксплуатацию решения необходима:
1. Локальная настройка сервера; 2. Первоначальная настройка; 3. Настройка ресурсов; 4. Настройка TLS клиента.
ЛОКАЛЬНАЯ НАСТРОЙКА СЕРВЕРА
Локальные настройки:
1) Сетевые настройки: настройка IP адресов интерфейсов, настройка маршрутизации, настройка DNS серверов
2) Настройка системного времени: ручная установка или настройка NTP
3) Диагностика: статистика, диагностика сети (ping, traceroute, arp), диагностика сетевых интерфейсов
МАСТЕР КЛЮЧ
Мастер-ключ необходим для:
• шифрование закрытых ключей сервера; • организация защищенного соединения между элементами кластера.
Срок действия мастер-ключа 1 год.
Мастер-ключ и инициализация сервера: 1) Мастер-ключ:
• Мониторинг состояния мастер-ключа;
Блокировка Сервера производится через 90 дней после истечения срока действия мастер-ключа;
• Экспорт мастер-ключа на USB-флэш-накопитель, а не только на Rutoken ЭЦП;
• Экспорт мастер-ключа на USB накопитель без перезаписи файла;
• При импорт мастер-ключа с USB накопителя есть возможность выбрать файл из списка;
2) Инициализация:
Инициализация создаст новую базу данных! Старая будет утеряна!
• Выбор роли сервера: основной или подчиненный;
• Выбор интерфейса управления;
ЛОКАЛЬНАЯ НАСТРОЙКА СЕРВЕРА
ЛОКАЛЬНАЯ НАСТРОЙКА СЕРВЕРА
После инициализации сервера доступен дополнительный функционал:
1. Управления сертификатами администратора, удостоверяющего центра и сервера;
2. Работа с журналами сервера. Два типа журналов: доступа и системный;
3. Управление обработок неуспешных аутентификаций.
Блокировка происходит по source IP входящего пакета!
4. Настройка доступа с внешних устройств - последовательной консоли и SSH.
ПЕРВОНАЧАЛЬНАЯ НАСТРОЙКА
После инициализации возможен удаленный доступ к серверу по IP адресу интерфейса управления: https://IP.
Для разблокирования сервера необходимо:
1. Создания серверного сертификата. Common name сертификата будет адресом для входа на ресурс. Имя должно резолвиться на ПК;
2. Импорт корневого сертификата (или цепочки);
3. Выбор сертификата в качестве «сертификата управления»;
4. Импорт «сертификата администратора»;
5. Ввод лицензий. Лицензия привязывается к конкретному серверу. Если кластер, то их должно быть минимум две.
СПОСОБЫ ДОСТУПА К РЕСУРСАМ
HTTPS -прокси
TLS-туннель
Портал приложений
HTTPS-ПРОКСИ
Защищенный доступ к приложениям по протоколу HTTP/HTTPS: • Intranet-портал; • Web-приложениям; • VDI с доступом по HTTPS.
HTTPS/Порт 443
Выбор версии протокола, обмен сертификатами
HTTP
Один серверный сертификат – один WEB-сервер
ПРИНЦИП РАБОТЫ
НАСТРОЙКА Основные настройки: 1. Выбор сертификата сервера (создается аналогично сертификату управления); 2. Указание адреса защищаемого ресурса (можно по доменному имени);
Дополнительные настройки: 1. Возможность аутентификации клиентов на ресурсе; 2. Настройка использования CRL; 3. Изменение текста ошибки отказа в доступе (Ошибка 403 (Forbidden)). 4. Передавать данные в HTTP-заголовке;
ПЕРЕДАЧА ДАННЫХ В HTTP-ЗАГОЛОВКЕ
1. Добавлять можно несколько значений; 2. Можно добавлять как константные значения, так и конкретные поля
сертификата пользователя.
ПРИНЦИП РАБОТЫ
Порт подключения указывается в настройках
Выбор версии протокола, обмен сертификатами
TCP/IP-протоколы
Один серверный сертификат – один ресурс
HTTPS TCP/IP
НАСТРОЙКА
Основные настройки:
1. Выбрать сертификат сервера для туннеля; 2. Задаем параметры туннеля и защищаемого ресурса.
ПОРТАЛ ПРИЛОЖЕНИЙ
Ролевое разделение прав доступа удаленных пользователей к web-приложениям. Например различные наборы web-приложений для разных групп пользователей: • Администраторы; • Пользователи; • Подрядчики.
ПРИНЦИП РАБОТЫ
HTTPS/Порт 443
Выбор версии протокола, обмен сертификатами
HTTP
Один серверный сертификат – множество приложения портала
1.Приложение 1; 2.Приложение 2; 3.Приложение N
WEB-сервер 1
WEB-сервер 2
WEB-сервер N
AD
LDAP
РАБОТА ПОРТАЛА ПРИЛОЖЕНИЙ
НАСТРОЙКА
1. Взаимодействие с AD по протоколу LDAP. Доступ к ресурсам на основе групп пользователей; 2. Доступ на портал по паролю или сертификату пользователя; 3. Доступна передача данных в HTTP-заголовке;
TRUSTED SERVER LIST
Trust Server List (TSL) - список доверенных удостоверяющих центров Минкомсвязи, уполномоченного органа исполнительной власти в сфере использования электронной подписи, осуществляющего аккредитацию удостоверяющих центров на основании Федерального закона №63 «Об электронной подписи».
Для настройки необходимо:
1. Выбрать периодичность обновления;
2. Указать URL TSL файла ( https://e-trust.gosuslugi.ru/CA/DownloadTSL?schemaVersion=0 ). Есть возможность загрузить файл вручную.
3. Загрузить список сертификатов головного удостоверяющего центра (ГУЦ).
НАСТРОЙКА TSL
Для настройки необходимо:
1. Выбрать периодичность обновления. Можно загрузить CRL файл вручную; 2. Указать URL CRL файла ( например http://ca.pfrf.ru/ucpfr/uc999_2014.crl );
НАСТРОЙКА CRL Компонент инфраструктуры открытого ключа (PKI). Представляет собой файл, создаваемый и подписываемый центром сертификации и содержащий список сертификатов, которые были выданы, но затем отозваны.
РАБОТА С ЖУРНАЛАМИ
2. Проверка сертификата пользователя.
1. Настройка удаленного доступа. Доступ можно ограничить или запретить.
ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ
TLS КЛИЕНТ
TLS- клиент представляет собой устанавливаемое на компьютере удаленного пользователя программное обеспечение, функционирующее совместно с TLS-сервером.
TLS-клиент выпускается в двух исполнениях: • исполнение 1 — соответствует требованиям ФСБ России к средствам класса КС1;
• исполнение 2 — соответствует требованиям ФСБ России к криптографическим средствам класса КС2, работает совместно с изделием «Программно-аппаратный комплекс "Соболь". Версия 3.0».
Преимущества: 1. Не нужен криптопровайдер «КриптоПро»; 2. Может работать с любым web-браузером.
Планы по сертификации
ФСБ России:
• СКЗИ «Континент TLS VPN Клиент» 1.0 (исполнение 1) - соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС2.
• СКЗИ «Континент TLS VPN Клиент» 1.0 (исполнение 1 - класс КС1) - соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС1.
• СКЗИ «Континент TLS VPN Клиент» 1 .0 (исполнение 2 - класс КС2) - соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС2.
ФСТЭК России:
• СКЗИ «Континент TLS VPN Сервер» - соответствие требованиям руководящих документов по 4-му уровню контроля на отсутствие НДВ и может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, для защиты информации в ИСПДн до 1 класса включительно и ГИС до 1 класса включительно.
ПРОФЕССИОНАЛЬНЫЕ СЕРВИСЫ
Услуги по проектированию и анализу предлагаемых решений
Услуги по внедрению и разработке
Услуги по тестированию предлагаемых решений (контроль качества разработки)
Мы всегда
рады оказать
Вам помощь!
Даем потестировать в виде ВМ
ДЕМО ВЕРСИИ
В целях ознакомления и тестирования готовы предоставить демоверсии для виртуальной среды VMware.
СХЕМА СТЕНДА
Рабочая станция администратора
Рабочая станция пользователя
proxy.securitycode.ru tunnel.securitycode.ru portal.securitycode.ru
Континент TLS VPN
admintls
Вопросы?
Сидоров Михаил Департамент сервиса
E-mail: [email protected] Тел.: +7(495) 982-3020 (доб. 264)