В презентации мы рассказали про следующее:
Принципы построения системы удаленного доступа к веб-ресурсам на основе «Континент TLS VPN».
Характеристики и особенности сертификации систем TLS VPN.
Основные возможности «Континент TLS VPN».
Возможности новой версии «Континент TLS VPN» 1.0.9.
3. ЗАЩИЩЕННЫЙ УДАЛЕННЫЙ ДОСТУП
Зачем защищать доступ к веб-ресурсам?
Чтобы обеспечить безопасность передаваемой конфиденциальной
информации при:
Подключении к порталам государственных услуг;
Подключении к корпоративным веб-приложениям;
Получении услуг интернет-банкинга и т.п.
Чтобы выполнить требования законодательства РФ по защите
ИСПДн, ГИС и др.
7. Internet Балансировщик TLS сервер
WEB сервер
Идентификация и аутентификация пользователей на основе PKI.
Прозрачное проксирование HTTP-трафика - пользователю достаточно указать ip-адрес или доменное имя.
Мониторинг и журналирование событий ИБ - возможна интеграция с внешними SIEM-системами.
Масштабируемость и отказоустойчивость - поддерживает работу в схеме кластера с балансировкой нагрузки.
Удобные инструменты управления - необходим браузер Internet Explorer и КриптоПро CSP.
Работа пользователя через любой веб-браузер при использовании «Континент TLS VPN Клиент»
Криптографическая защита передаваемой информации на основе ГОСТ 28147–89.
TLS
HTTPHTTPS ГОСТ 28147–89
ОСНОВНЫЕ ВОЗМОЖНОСТИ
9. НАСТРОЙКА СЕРВЕРА
Для ввода в эксплуатацию решения необходима:
1. Локальная настройка сервера;
2. Первоначальная настройка;
3. Настройка ресурсов;
4. Настройка TLS клиента.
10. ЛОКАЛЬНАЯ НАСТРОЙКА СЕРВЕРА
Локальные настройки:
1) Сетевые настройки: настройка IP адресов интерфейсов, настройка
маршрутизации, настройка DNS серверов
2) Настройка системного времени: ручная установка или настройка NTP
3) Диагностика: статистика, диагностика сети (ping, traceroute, arp), диагностика
сетевых интерфейсов
11. МАСТЕР КЛЮЧ
Мастер-ключ необходим для:
• шифрование закрытых ключей сервера;
• организация защищенного соединения между элементами кластера.
Срок действия мастер-ключа 1 год.
12. Мастер-ключ и инициализация сервера:
1) Мастер-ключ:
• Мониторинг состояния мастер-ключа;
Блокировка Сервера производится через 90 дней после истечения срока действия мастер-
ключа;
• Экспорт мастер-ключа на USB-флэш-накопитель, а не только на Rutoken ЭЦП;
• Экспорт мастер-ключа на USB накопитель без перезаписи файла;
• При импорт мастер-ключа с USB накопителя есть возможность выбрать файл из списка;
2) Инициализация:
Инициализация создаст новую базу данных! Старая будет утеряна!
• Выбор роли сервера: основной или подчиненный;
• Выбор интерфейса управления;
ЛОКАЛЬНАЯ НАСТРОЙКА СЕРВЕРА
13. ЛОКАЛЬНАЯ НАСТРОЙКА СЕРВЕРА
После инициализации сервера доступен дополнительный
функционал:
1. Управления сертификатами администратора, удостоверяющего центра и
сервера;
2. Работа с журналами сервера. Два типа журналов: доступа и системный;
3. Управление обработок неуспешных аутентификаций.
Блокировка происходит по source IP входящего пакета!
4. Настройка доступа с внешних устройств - последовательной консоли и SSH.
14. ПЕРВОНАЧАЛЬНАЯ НАСТРОЙКА
После инициализации возможен удаленный доступ к серверу по IP адресу
интерфейса управления: https://IP.
Для разблокирования сервера необходимо:
1. Создания серверного сертификата. Common name сертификата будет адресом
для входа на ресурс. Имя должно резолвиться на ПК;
2. Импорт корневого сертификата (или цепочки);
3. Выбор сертификата в качестве «сертификата управления»;
4. Импорт «сертификата администратора»;
5. Ввод лицензий. Лицензия привязывается к конкретному серверу. Если кластер,
то их должно быть минимум две.
15. СПОСОБЫ ДОСТУПА К РЕСУРСАМ
HTTPS -
прокси
TLS-туннель
Портал
приложений
16. HTTPS-ПРОКСИ
Защищенный доступ к приложениям по протоколу HTTP/HTTPS:
• Intranet-портал;
• Web-приложениям;
• VDI с доступом по HTTPS.
17. HTTPS/Порт 443
Выбор версии протокола, обмен сертификатами
HTTP
Один серверный сертификат – один WEB-сервер
ПРИНЦИП РАБОТЫ
18. НАСТРОЙКА
Основные настройки:
1. Выбор сертификата сервера (создается аналогично сертификату управления);
2. Указание адреса защищаемого ресурса (можно по доменному имени);
Дополнительные настройки:
1. Возможность аутентификации клиентов на ресурсе;
2. Настройка использования CRL;
3. Изменение текста ошибки отказа в доступе (Ошибка 403 (Forbidden)).
4. Передавать данные в HTTP-заголовке;
19. ПЕРЕДАЧА ДАННЫХ В HTTP-ЗАГОЛОВКЕ
1. Добавлять можно несколько значений;
2. Можно добавлять как константные значения, так и конкретные поля
сертификата пользователя.
22. ПОРТАЛ ПРИЛОЖЕНИЙ
Ролевое разделение прав доступа удаленных пользователей к web-приложениям.
Например различные наборы web-приложений для разных групп пользователей:
• Администраторы;
• Пользователи;
• Подрядчики.
23. ПРИНЦИП РАБОТЫ
HTTPS/Порт 443
Выбор версии протокола, обмен сертификатами
HTTP
Один серверный сертификат – множество приложения портала
1.Приложение 1;
2.Приложение 2;
3.Приложение N
WEB-сервер 1
WEB-сервер 2
WEB-сервер N
AD
LDAP
25. НАСТРОЙКА
1. Взаимодействие с AD по протоколу LDAP. Доступ к ресурсам на основе групп пользователей;
2. Доступ на портал по паролю или сертификату пользователя;
3. Доступна передача данных в HTTP-заголовке;
26. TRUSTED SERVER LIST
Trust Server List (TSL) - список доверенных удостоверяющих центров Минкомсвязи,
уполномоченного органа исполнительной власти в сфере использования
электронной подписи, осуществляющего аккредитацию удостоверяющих центров на
основании Федерального закона №63 «Об электронной подписи».
27. Для настройки необходимо:
1. Выбрать периодичность обновления;
2. Указать URL TSL файла ( https://e-trust.gosuslugi.ru/CA/DownloadTSL?schemaVersion=0 ).
Есть возможность загрузить файл вручную.
3. Загрузить список сертификатов головного удостоверяющего центра (ГУЦ).
НАСТРОЙКА TSL
28. Для настройки необходимо:
1. Выбрать периодичность обновления. Можно загрузить CRL файл вручную;
2. Указать URL CRL файла ( например http://ca.pfrf.ru/ucpfr/uc999_2014.crl );
НАСТРОЙКА CRL
Компонент инфраструктуры открытого ключа (PKI). Представляет собой файл,
создаваемый и подписываемый центром сертификации и содержащий список
сертификатов, которые были выданы, но затем отозваны.
30. 2. Проверка сертификата пользователя.
1. Настройка удаленного доступа. Доступ можно ограничить или запретить.
ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ
31. TLS КЛИЕНТ
TLS- клиент представляет собой устанавливаемое на компьютере удаленного
пользователя программное обеспечение, функционирующее совместно с TLS-сервером.
TLS-клиент выпускается в двух исполнениях:
• исполнение 1 — соответствует требованиям ФСБ России к средствам класса КС1;
• исполнение 2 — соответствует требованиям ФСБ России к криптографическим средствам класса КС2, работает
совместно с изделием «Программно-аппаратный комплекс "Соболь". Версия 3.0».
Преимущества:
1. Не нужен криптопровайдер «КриптоПро»;
2. Может работать с любым web-браузером.
32. Планы по сертификации
ФСБ России:
• СКЗИ «Континент TLS VPN Клиент» 1.0 (исполнение 1) - соответствие требованиям ФСБ
России к средствам криптографической защиты информации класса КС2.
• СКЗИ «Континент TLS VPN Клиент» 1.0 (исполнение 1 - класс КС1) - соответствие
требованиям ФСБ России к средствам криптографической защиты информации класса
КС1.
• СКЗИ «Континент TLS VPN Клиент» 1 .0 (исполнение 2 - класс КС2) - соответствие
требованиям ФСБ России к средствам криптографической защиты информации класса
КС2.
ФСТЭК России:
• СКЗИ «Континент TLS VPN Сервер» - соответствие требованиям руководящих
документов по 4-му уровню контроля на отсутствие НДВ и может использоваться
при создании автоматизированных систем до класса защищенности 1Г
включительно, для защиты информации в ИСПДн до 1 класса включительно и
ГИС до 1 класса включительно.
33. ПРОФЕССИОНАЛЬНЫЕ СЕРВИСЫ
Услуги по проектированию и анализу
предлагаемых решений
Услуги по внедрению и разработке
Услуги по тестированию предлагаемых
решений (контроль качества разработки)
Мы всегда
рады оказать
Вам помощь!
ps@securitycode.ru
34. Даем потестировать в виде ВМ
ДЕМО ВЕРСИИ
В целях ознакомления и тестирования готовы предоставить
демоверсии для виртуальной среды VMware.
35. СХЕМА СТЕНДА
Рабочая станция администратора
Рабочая станция пользователя
proxy.securitycode.ru
tunnel.securitycode.ru
portal.securitycode.ru
Континент TLS VPN
admintls