В презентации мы рассказали про следующее: Принципы построения системы удаленного доступа к веб-ресурсам на основе «Континент TLS VPN». Характеристики и особенности сертификации систем TLS VPN. Основные возможности «Континент TLS VPN». Возможности новой версии «Континент TLS VPN» 1.0.9.

1. Сидоров Михаил
Департамент сервиса
«Континент TLS VPN» 1.0.9.
Обзор новых функций
E-mail: m.sidorov@securitycode.ru
Тел.: +7(495)982-3020 (доб. 264)

2. Что такое «Континент
TLS VPN»?

3. ЗАЩИЩЕННЫЙ УДАЛЕННЫЙ ДОСТУП
Зачем защищать доступ к веб-ресурсам?
 Чтобы обеспечить безопасность передаваемой конфиденциальной
информации при:
 Подключении к порталам государственных услуг;
 Подключении к корпоративным веб-приложениям;
 Получении услуг интернет-банкинга и т.п.
 Чтобы выполнить требования законодательства РФ по защите
ИСПДн, ГИС и др.

4. СХЕМА РАБОТЫ
Единый шлюз удаленного доступа к корпоративным ресурсам

5. МОДЕЛЬНЫЙ РЯД
Модель Количество
одновременных
подключений
Пропускная
способность в
режиме HTTPS-proxy
IPC-100 До 500 До 200 Гбит/с
IPC-400 До 5000 До 700 Гбит/с
IPC-1000 До 10000 До 900 Гбит/с
IPC-3000F До 18000 До 3 Гбит/с

6. ОСНОВНЫЕ
ВОЗМОЖНОСТИ

7. Internet Балансировщик TLS сервер
WEB сервер
Идентификация и аутентификация пользователей на основе PKI.
Прозрачное проксирование HTTP-трафика - пользователю достаточно указать ip-адрес или доменное имя.
Мониторинг и журналирование событий ИБ - возможна интеграция с внешними SIEM-системами.
Масштабируемость и отказоустойчивость - поддерживает работу в схеме кластера с балансировкой нагрузки.
Удобные инструменты управления - необходим браузер Internet Explorer и КриптоПро CSP.
Работа пользователя через любой веб-браузер при использовании «Континент TLS VPN Клиент»
Криптографическая защита передаваемой информации на основе ГОСТ 28147–89.
TLS
HTTPHTTPS ГОСТ 28147–89
ОСНОВНЫЕ ВОЗМОЖНОСТИ

8. НАСТРОЙКА СЕРВЕРА И
НОВЫЕ
ВОЗМОЖНОСТИ

9. НАСТРОЙКА СЕРВЕРА
Для ввода в эксплуатацию решения необходима:
1. Локальная настройка сервера;
2. Первоначальная настройка;
3. Настройка ресурсов;
4. Настройка TLS клиента.

10. ЛОКАЛЬНАЯ НАСТРОЙКА СЕРВЕРА
Локальные настройки:
1) Сетевые настройки: настройка IP адресов интерфейсов, настройка
маршрутизации, настройка DNS серверов
2) Настройка системного времени: ручная установка или настройка NTP
3) Диагностика: статистика, диагностика сети (ping, traceroute, arp), диагностика
сетевых интерфейсов

11. МАСТЕР КЛЮЧ
Мастер-ключ необходим для:
• шифрование закрытых ключей сервера;
• организация защищенного соединения между элементами кластера.
Срок действия мастер-ключа 1 год.

12. Мастер-ключ и инициализация сервера:
1) Мастер-ключ:
• Мониторинг состояния мастер-ключа;
Блокировка Сервера производится через 90 дней после истечения срока действия мастер-
ключа;
• Экспорт мастер-ключа на USB-флэш-накопитель, а не только на Rutoken ЭЦП;
• Экспорт мастер-ключа на USB накопитель без перезаписи файла;
• При импорт мастер-ключа с USB накопителя есть возможность выбрать файл из списка;
2) Инициализация:
Инициализация создаст новую базу данных! Старая будет утеряна!
• Выбор роли сервера: основной или подчиненный;
• Выбор интерфейса управления;
ЛОКАЛЬНАЯ НАСТРОЙКА СЕРВЕРА

13. ЛОКАЛЬНАЯ НАСТРОЙКА СЕРВЕРА
После инициализации сервера доступен дополнительный
функционал:
1. Управления сертификатами администратора, удостоверяющего центра и
сервера;
2. Работа с журналами сервера. Два типа журналов: доступа и системный;
3. Управление обработок неуспешных аутентификаций.
Блокировка происходит по source IP входящего пакета!
4. Настройка доступа с внешних устройств - последовательной консоли и SSH.

14. ПЕРВОНАЧАЛЬНАЯ НАСТРОЙКА
После инициализации возможен удаленный доступ к серверу по IP адресу
интерфейса управления: https://IP.
Для разблокирования сервера необходимо:
1. Создания серверного сертификата. Common name сертификата будет адресом
для входа на ресурс. Имя должно резолвиться на ПК;
2. Импорт корневого сертификата (или цепочки);
3. Выбор сертификата в качестве «сертификата управления»;
4. Импорт «сертификата администратора»;
5. Ввод лицензий. Лицензия привязывается к конкретному серверу. Если кластер,
то их должно быть минимум две.

15. СПОСОБЫ ДОСТУПА К РЕСУРСАМ
HTTPS -
прокси
TLS-туннель
Портал
приложений

16. HTTPS-ПРОКСИ
Защищенный доступ к приложениям по протоколу HTTP/HTTPS:
• Intranet-портал;
• Web-приложениям;
• VDI с доступом по HTTPS.

17. HTTPS/Порт 443
Выбор версии протокола, обмен сертификатами
HTTP
Один серверный сертификат – один WEB-сервер
ПРИНЦИП РАБОТЫ

18. НАСТРОЙКА
Основные настройки:
1. Выбор сертификата сервера (создается аналогично сертификату управления);
2. Указание адреса защищаемого ресурса (можно по доменному имени);
Дополнительные настройки:
1. Возможность аутентификации клиентов на ресурсе;
2. Настройка использования CRL;
3. Изменение текста ошибки отказа в доступе (Ошибка 403 (Forbidden)).
4. Передавать данные в HTTP-заголовке;

19. ПЕРЕДАЧА ДАННЫХ В HTTP-ЗАГОЛОВКЕ
1. Добавлять можно несколько значений;
2. Можно добавлять как константные значения, так и конкретные поля
сертификата пользователя.

20. ПРИНЦИП РАБОТЫ
Порт подключения
указывается в настройках
Выбор версии протокола, обмен сертификатами
TCP/IP-протоколы
Один серверный сертификат – один ресурс
HTTPSTCP/IP

21. НАСТРОЙКА
Основные настройки:
1. Выбрать сертификат сервера для туннеля;
2. Задаем параметры туннеля и защищаемого ресурса.

22. ПОРТАЛ ПРИЛОЖЕНИЙ
Ролевое разделение прав доступа удаленных пользователей к web-приложениям.
Например различные наборы web-приложений для разных групп пользователей:
• Администраторы;
• Пользователи;
• Подрядчики.

23. ПРИНЦИП РАБОТЫ
HTTPS/Порт 443
Выбор версии протокола, обмен сертификатами
HTTP
Один серверный сертификат – множество приложения портала
1.Приложение 1;
2.Приложение 2;
3.Приложение N
WEB-сервер 1
WEB-сервер 2
WEB-сервер N
AD
LDAP

24. РАБОТА ПОРТАЛА ПРИЛОЖЕНИЙ

25. НАСТРОЙКА
1. Взаимодействие с AD по протоколу LDAP. Доступ к ресурсам на основе групп пользователей;
2. Доступ на портал по паролю или сертификату пользователя;
3. Доступна передача данных в HTTP-заголовке;

26. TRUSTED SERVER LIST
Trust Server List (TSL) - список доверенных удостоверяющих центров Минкомсвязи,
уполномоченного органа исполнительной власти в сфере использования
электронной подписи, осуществляющего аккредитацию удостоверяющих центров на
основании Федерального закона №63 «Об электронной подписи».

27. Для настройки необходимо:
1. Выбрать периодичность обновления;
2. Указать URL TSL файла ( https://e-trust.gosuslugi.ru/CA/DownloadTSL?schemaVersion=0 ).
Есть возможность загрузить файл вручную.
3. Загрузить список сертификатов головного удостоверяющего центра (ГУЦ).
НАСТРОЙКА TSL

28. Для настройки необходимо:
1. Выбрать периодичность обновления. Можно загрузить CRL файл вручную;
2. Указать URL CRL файла ( например http://ca.pfrf.ru/ucpfr/uc999_2014.crl );
НАСТРОЙКА CRL
Компонент инфраструктуры открытого ключа (PKI). Представляет собой файл,
создаваемый и подписываемый центром сертификации и содержащий список
сертификатов, которые были выданы, но затем отозваны.

29. РАБОТА С ЖУРНАЛАМИ

30. 2. Проверка сертификата пользователя.
1. Настройка удаленного доступа. Доступ можно ограничить или запретить.
ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ

31. TLS КЛИЕНТ
TLS- клиент представляет собой устанавливаемое на компьютере удаленного
пользователя программное обеспечение, функционирующее совместно с TLS-сервером.
TLS-клиент выпускается в двух исполнениях:
• исполнение 1 — соответствует требованиям ФСБ России к средствам класса КС1;
• исполнение 2 — соответствует требованиям ФСБ России к криптографическим средствам класса КС2, работает
совместно с изделием «Программно-аппаратный комплекс "Соболь". Версия 3.0».
Преимущества:
1. Не нужен криптопровайдер «КриптоПро»;
2. Может работать с любым web-браузером.

32. Планы по сертификации
ФСБ России:
• СКЗИ «Континент TLS VPN Клиент» 1.0 (исполнение 1) - соответствие требованиям ФСБ
России к средствам криптографической защиты информации класса КС2.
• СКЗИ «Континент TLS VPN Клиент» 1.0 (исполнение 1 - класс КС1) - соответствие
требованиям ФСБ России к средствам криптографической защиты информации класса
КС1.
• СКЗИ «Континент TLS VPN Клиент» 1 .0 (исполнение 2 - класс КС2) - соответствие
требованиям ФСБ России к средствам криптографической защиты информации класса
КС2.
ФСТЭК России:
• СКЗИ «Континент TLS VPN Сервер» - соответствие требованиям руководящих
документов по 4-му уровню контроля на отсутствие НДВ и может использоваться
при создании автоматизированных систем до класса защищенности 1Г
включительно, для защиты информации в ИСПДн до 1 класса включительно и
ГИС до 1 класса включительно.

33. ПРОФЕССИОНАЛЬНЫЕ СЕРВИСЫ
Услуги по проектированию и анализу
предлагаемых решений
Услуги по внедрению и разработке
Услуги по тестированию предлагаемых
решений (контроль качества разработки)
Мы всегда
рады оказать
Вам помощь!
ps@securitycode.ru

34. Даем потестировать в виде ВМ
ДЕМО ВЕРСИИ
В целях ознакомления и тестирования готовы предоставить
демоверсии для виртуальной среды VMware.

35. СХЕМА СТЕНДА
Рабочая станция администратора
Рабочая станция пользователя
proxy.securitycode.ru
tunnel.securitycode.ru
portal.securitycode.ru
Континент TLS VPN
admintls

36. Вопросы?
Сидоров Михаил
Департамент сервиса
E-mail: m.sidorov@securitycode.ru
Тел.: +7(495) 982-3020 (доб. 264)