10 января 2022
Удаленный доступ с помощью Континент TLS
Содержание статьи
Запросить триальные лицензии вы можете заполнив форму
Получить триальную лицензию
Наш специалист свяжется с вами в ближайшее время
По статистике Positive Technologies за 2020 год в 100% компаний выявлены нарушения регламентов информационной безопасности. Среди всех нарушений в 64% компаний используются незащищенные протоколы. Незащищенный протокол означает, что данные передаются без шифрования и не имеют защиты от злоумышленников.
И, если с защитой каналов связи между филиалами (Site-to-Site VPN) все понятно, то с удаленным доступом все не так просто. Многие компании используют ПО для удаленного доступа, нарушая собственные регламенты, а в некоторых случаях и законодательство.
Ряд нормативных документов в области информационной безопасности обязывает использовать защищенный удаленный доступ. Одним из вариантов организации защищенного удаленного доступа является протокол TLS.
И, если с защитой каналов связи между филиалами (Site-to-Site VPN) все понятно, то с удаленным доступом все не так просто. Многие компании используют ПО для удаленного доступа, нарушая собственные регламенты, а в некоторых случаях и законодательство.
Ряд нормативных документов в области информационной безопасности обязывает использовать защищенный удаленный доступ. Одним из вариантов организации защищенного удаленного доступа является протокол TLS.
TLS (Transport Layer Security) – протокол защиты транспортного уровня. Принцип его работы следующий: поверх TCP устанавливается зашифрованный канал, по которому передаются данные по протоколу прикладного уровня (HTTP, POP3, RDP и т.д.)
TLS реализует три компонента защиты данных: это аутентификация между клиентом и сервером, шифрование и имитозащита (обеспечение неизменности) данных.
Шифрование и имитозащита пакетов данных позволяют защитить передаваемую информацию от злоумышленников. Для шифрования используются симметричные алгоритмы, поэтому после аутентификации клиент и сервер обмениваются симметричными ключами.
Защищенное соединение устанавливается в несколько этапов. Данный процесс называется TLS-рукопожатие:
Шифрование и имитозащита пакетов данных позволяют защитить передаваемую информацию от злоумышленников. Для шифрования используются симметричные алгоритмы, поэтому после аутентификации клиент и сервер обмениваются симметричными ключами.
Защищенное соединение устанавливается в несколько этапов. Данный процесс называется TLS-рукопожатие:
Данные, которые передаются по каналу, будут зашифровываться, пока соединение не будет прервано.
Для установления безопасного соединения в современных криптонаборах используются эфемерная система Диффи-Хеллмана. Диффи-Хеллман также может быть соединён с RSA. Для симметричного шифрования может использоваться AES. Для хэш-функций применяются MD5, SHA-256/384.
Для установления безопасного соединения в современных криптонаборах используются эфемерная система Диффи-Хеллмана. Диффи-Хеллман также может быть соединён с RSA. Для симметричного шифрования может использоваться AES. Для хэш-функций применяются MD5, SHA-256/384.
Как же быть государственным структурам, которые обязаны использовать только отечественную криптографию в своих структурах?
Государственные органы обязаны использовать сертифицированные ФСБ средства доступа. При массовом переходе на удаленный режим работы использование традиционных VPN-клиентов с поддержкой ГОСТ-шифрования становится невыгодным, так как они лицензируются по общему числу пользователей.
Кроме этого развивается программа по внедрению отечественной криптографии в российском сегменте Интернет. Перевод сайтов госорганов на TLS с ГОСТ необходим для выполнения Поручения Президента от 16 июля 2016 года № Пр-1380 «Об обеспечении разработки и реализации комплекса мероприятий, необходимых для перехода органов власти на использование российских криптографических алгоритмов и средств шифрования».
Для решения этих двух задач используется сравнительно новый класс устройств - TLS-gateway с поддержкой ГОСТ-шифрования. Системы данного класса сочетают в себе механизмы TLS-offload и механизмы разграничения доступа к приложениям для удаленных пользователей. Ключевой особенностью TLS-gateway является лицензирование не по общему, а по одновременному числу пользователей.
Кроме этого развивается программа по внедрению отечественной криптографии в российском сегменте Интернет. Перевод сайтов госорганов на TLS с ГОСТ необходим для выполнения Поручения Президента от 16 июля 2016 года № Пр-1380 «Об обеспечении разработки и реализации комплекса мероприятий, необходимых для перехода органов власти на использование российских криптографических алгоритмов и средств шифрования».
Для решения этих двух задач используется сравнительно новый класс устройств - TLS-gateway с поддержкой ГОСТ-шифрования. Системы данного класса сочетают в себе механизмы TLS-offload и механизмы разграничения доступа к приложениям для удаленных пользователей. Ключевой особенностью TLS-gateway является лицензирование не по общему, а по одновременному числу пользователей.
TLS-offload – механизм переложения шифрования с веб-сервера на отдельное устройство. За счет данной возможности сервер может сосредоточить ресурсы для выполнения основных функций.
TLS с российскими криптонаборами был одобрен организацией IANA, управляющей идентификаторами и параметрами протоколов сети Интернет. Криптонаборы использует алгоритмы шифрования ГОСТ 28147-89, ГОСТ Р 34.12 («Кузнечик» и «Магма»), что делает возможным использование защищенного протокола передачи данных TLS для госорганов.
Для реализации защищенного удаленного доступа к ресурсам сети компания «Код Безопасности» предлагает решение Континент TLS.
Континент TLS представляет собой комплекс, состоящий из сервера и клиента, предназначенный для организации удаленного доступа.
В комплексе реализованы следующие криптографические алгоритмы:
Континент TLS сертифицирован по требованиям РД ФСБ России и требованиям РД ФСТЭК России.
Для реализации защищенного удаленного доступа к ресурсам сети компания «Код Безопасности» предлагает решение Континент TLS.
Континент TLS представляет собой комплекс, состоящий из сервера и клиента, предназначенный для организации удаленного доступа.
В комплексе реализованы следующие криптографические алгоритмы:
- ГОСТ 29147-89 для шифрования информации;
- ГОСТ Р 34.11 для расчета хеш-функции;
- ГОСТ Р 34.10 для формирования и проверки электронной подписи.
Континент TLS сертифицирован по требованиям РД ФСБ России и требованиям РД ФСТЭК России.
Комплекс состоит из TLS-сервера и TLS-клиента. Запросы Клиента Сервер перенаправляет в защищаемую сеть, а полученные из защищаемой сети ответы – Клиенту.
В качестве TLS-клиента могут выступать:
TLS-сервер обеспечивает функционирование трех режимов работы:
В режиме HTTPS-прокси создается защищенный HTTPS-канал между клиентами и TLS-сервером по протоколу TLS.
В режиме TLS-туннеля создается защищенный туннель для приложений, использующих TCP-протокол.
В режиме Портала приложений используется одна точка входа для доступа к защищаемым ресурсам, разграничение доступа к которым осуществляется с помощью протокола LDAP. После проведения аутентификации и авторизации пользователю будет предложен список доступных защищаемых ресурсов, из которых он сможет выбрать необходимый ему. В остальном работа TLS-сервера в режиме портала аналогична режиму HTTPS-прокси.
В качестве TLS-клиента могут выступать:
- Континент TLS-клиент версии 2;
- КриптоПро CSP версий 4.0, 5.0;
- Валидата CSP версии 5.0;
- Любой другой, сертифицированный по требованиям ФСБ TLS-клиент, поддерживающий протокол TLS версий 1.0 и 1.2
TLS-сервер обеспечивает функционирование трех режимов работы:
- HTTPS-прокси;
- TLS-туннель;
- Портал приложений.
В режиме HTTPS-прокси создается защищенный HTTPS-канал между клиентами и TLS-сервером по протоколу TLS.
В режиме TLS-туннеля создается защищенный туннель для приложений, использующих TCP-протокол.
В режиме Портала приложений используется одна точка входа для доступа к защищаемым ресурсам, разграничение доступа к которым осуществляется с помощью протокола LDAP. После проведения аутентификации и авторизации пользователю будет предложен список доступных защищаемых ресурсов, из которых он сможет выбрать необходимый ему. В остальном работа TLS-сервера в режиме портала аналогична режиму HTTPS-прокси.
Сценарии применения системы Континент TLS
Массовый доступ к порталу государственных услуг
Изначально, Континент TLS создавался именно для этих целей.
Происходит это следующим образом:
a) Необходимо запросить у сервера TLS-клиент и серверный сертификат. Континент TLS-клиент является бесплатной программой.
b) Настроить подключение к порталу:
a) Необходимо запросить у сервера TLS-клиент и серверный сертификат. Континент TLS-клиент является бесплатной программой.
b) Настроить подключение к порталу:
c) Установить серверный сертификат:
Если аутентификация настроена по сертификату, то потребуется еще и клиентский сертификат:
d) При переходе на портал получаем предложение выбора сертификата, если настроена аутентификация по сертификату:
Или вход по логину и паролю:
Важным здесь является следующее:
- Данные от клиента к серверу передаются по шифрованному каналу связи по ГОСТ;
- Континент TLS-клиент позволяет получать конфигурацию с Сервера и на ее основе производить автоматическую настройку доступных ресурсов;
- Общее количество пользователей может быть любым. Схема лицензирования происходит по суммарному количеству подключенных пользователей (до 45000 одновременно);
- Подключение к ресурсу возможно с нескольких TLS-клиентов;
- Возможно настроить как однофакторную, так и двухфакторную аутентификацию.
Удаленный доступ сотрудников к ресурсам сети
Помимо защищенного доступа к веб-приложениям, Континент TLS обеспечивает защищенный удаленный доступ к АРМ. Данное подключение возможно в режиме TLS-туннеля.
Со стороны клиента настройка выглядит следующим образом:
a) В TLS-клиенте настроить подключение к ресурсу:
Со стороны клиента настройка выглядит следующим образом:
a) В TLS-клиенте настроить подключение к ресурсу:
b) Создать запрос на пользовательский сертификат и передать его администратору удостоверяющего центра:
c) Полученный от администратора пользовательский и серверный сертификаты зарегистрировать в TLS-клиенте:
d) Подключиться к удаленному рабочему столу и выбрать пользовательский сертификат:
Соответствие требованиям регуляторов
Система Континент TLS сертифицирована по требованиям РД ФСТЭК по 4-му уровню контроля отсутствия недокументированных возможностей (НДВ) программного обеспечения.
Наличие данного сертификата ФСТЭК позволяет использовать комплекс для следующих информационных систем:
Реализованы следующие основные функции, соответствующие мерам защиты приказов ФСТЭК России № 17 и 21:
Наличие данного сертификата ФСТЭК позволяет использовать комплекс для следующих информационных систем:
- автоматизированных систем (АС) до класса 1Г включительно;
- государственных информационных систем (ГИС) до 1 класса защищенности включительно;
- информационных систем персональных данных (ИСПДн) до класса УЗ1 включительно.
Реализованы следующие основные функции, соответствующие мерам защиты приказов ФСТЭК России № 17 и 21:
Сервер доступа + Континент-АП или Континент TLS
Континент-АП в связке с сервером доступа реализует удаленный доступ к ресурсам сети. Соответственно, возникает вопрос: есть ли разница между Сервером доступа и Континент-TLS?
Связка АПКШ+СД не подойдет при реализации массового доступа к электронному порталу. Рассмотрим отличия при реализации доступа удаленных сотрудников.
Связка АПКШ+СД не подойдет при реализации массового доступа к электронному порталу. Рассмотрим отличия при реализации доступа удаленных сотрудников.
Также, совсем недавно Код Безопасности объявили о создании единого клиента для удаленного доступа – Zero Trust Network Клиент. Данный продукт объединит в себе функции клиентов для удаленного доступа, но не затронет функции серверных компонентов (Сервер доступа и TLS-сервер).
Заключение
Интерес к организации удаленного доступа в последнее время становится все более актуальным и Континент TLS является одним из вариантов, который не только обеспечивает защищенный удаленный доступ, но и соответствует требованиям регуляторов по защите информации.
Если у вас остались вопросы, вы можете связаться с нами: sales@tssolution.ru или dl@tssolution.ru
Автор статьи: Дмитрий Лебедев, инженер TS Solution
Если у вас остались вопросы, вы можете связаться с нами: sales@tssolution.ru или dl@tssolution.ru
Автор статьи: Дмитрий Лебедев, инженер TS Solution