“”/
 
10 января 2022

Удаленный доступ с помощью Континент TLS

Содержание статьи

Запросить триальные лицензии вы можете заполнив форму
По статистике Positive Technologies за 2020 год в 100% компаний выявлены нарушения регламентов информационной безопасности. Среди всех нарушений в 64% компаний используются незащищенные протоколы. Незащищенный протокол означает, что данные передаются без шифрования и не имеют защиты от злоумышленников.

И, если с защитой каналов связи между филиалами (Site-to-Site VPN) все понятно, то с удаленным доступом все не так просто. Многие компании используют ПО для удаленного доступа, нарушая собственные регламенты, а в некоторых случаях и законодательство.

Ряд нормативных документов в области информационной безопасности обязывает использовать защищенный удаленный доступ. Одним из вариантов организации защищенного удаленного доступа является протокол TLS.
TLS (Transport Layer Security) – протокол защиты транспортного уровня. Принцип его работы следующий: поверх TCP устанавливается зашифрованный канал, по которому передаются данные по протоколу прикладного уровня (HTTP, POP3, RDP и т.д.)
TLS реализует три компонента защиты данных: это аутентификация между клиентом и сервером, шифрование и имитозащита (обеспечение неизменности) данных.

Шифрование и имитозащита пакетов данных позволяют защитить передаваемую информацию от злоумышленников. Для шифрования используются симметричные алгоритмы, поэтому после аутентификации клиент и сервер обмениваются симметричными ключами.

Защищенное соединение устанавливается в несколько этапов. Данный процесс называется TLS-рукопожатие:
Данные, которые передаются по каналу, будут зашифровываться, пока соединение не будет прервано.

Для установления безопасного соединения в современных криптонаборах используются эфемерная система Диффи-Хеллмана. Диффи-Хеллман также может быть соединён с RSA. Для симметричного шифрования может использоваться AES. Для хэш-функций применяются MD5, SHA-256/384.
Как же быть государственным структурам, которые обязаны использовать только отечественную криптографию в своих структурах?
Государственные органы обязаны использовать сертифицированные ФСБ средства доступа. При массовом переходе на удаленный режим работы использование традиционных VPN-клиентов с поддержкой ГОСТ-шифрования становится невыгодным, так как они лицензируются по общему числу пользователей.

Кроме этого развивается программа по внедрению отечественной криптографии в российском сегменте Интернет. Перевод сайтов госорганов на TLS с ГОСТ необходим для выполнения Поручения Президента от 16 июля 2016 года № Пр-1380 «Об обеспечении разработки и реализации комплекса мероприятий, необходимых для перехода органов власти на использование российских криптографических алгоритмов и средств шифрования».

Для решения этих двух задач используется сравнительно новый класс устройств - TLS-gateway с поддержкой ГОСТ-шифрования. Системы данного класса сочетают в себе механизмы TLS-offload и механизмы разграничения доступа к приложениям для удаленных пользователей. Ключевой особенностью TLS-gateway является лицензирование не по общему, а по одновременному числу пользователей.
TLS-offload – механизм переложения шифрования с веб-сервера на отдельное устройство. За счет данной возможности сервер может сосредоточить ресурсы для выполнения основных функций.
TLS с российскими криптонаборами был одобрен организацией IANA, управляющей идентификаторами и параметрами протоколов сети Интернет. Криптонаборы использует алгоритмы шифрования ГОСТ 28147-89, ГОСТ Р 34.12 («Кузнечик» и «Магма»), что делает возможным использование защищенного протокола передачи данных TLS для госорганов.

Для реализации защищенного удаленного доступа к ресурсам сети компания «Код Безопасности» предлагает решение Континент TLS.

Континент TLS представляет собой комплекс, состоящий из сервера и клиента, предназначенный для организации удаленного доступа.

В комплексе реализованы следующие криптографические алгоритмы:
  • ГОСТ 29147-89 для шифрования информации;
  • ГОСТ Р 34.11 для расчета хеш-функции;
  • ГОСТ Р 34.10 для формирования и проверки электронной подписи.

Континент TLS сертифицирован по требованиям РД ФСБ России и требованиям РД ФСТЭК России.
Комплекс состоит из TLS-сервера и TLS-клиента. Запросы Клиента Сервер перенаправляет в защищаемую сеть, а полученные из защищаемой сети ответы – Клиенту.

В качестве TLS-клиента могут выступать:
  • Континент TLS-клиент версии 2;
  • КриптоПро CSP версий 4.0, 5.0;
  • Валидата CSP версии 5.0;
  • Любой другой, сертифицированный по требованиям ФСБ TLS-клиент, поддерживающий протокол TLS версий 1.0 и 1.2

TLS-сервер обеспечивает функционирование трех режимов работы:
  • HTTPS-прокси;
  • TLS-туннель;
  • Портал приложений.

В режиме HTTPS-прокси создается защищенный HTTPS-канал между клиентами и TLS-сервером по протоколу TLS.

В режиме TLS-туннеля создается защищенный туннель для приложений, использующих TCP-протокол.

В режиме Портала приложений используется одна точка входа для доступа к защищаемым ресурсам, разграничение доступа к которым осуществляется с помощью протокола LDAP. После проведения аутентификации и авторизации пользователю будет предложен список доступных защищаемых ресурсов, из которых он сможет выбрать необходимый ему. В остальном работа TLS-сервера в режиме портала аналогична режиму HTTPS-прокси.

Сценарии применения системы Континент TLS

Массовый доступ к порталу государственных услуг

Изначально, Континент TLS создавался именно для этих целей.
Происходит это следующим образом:

a) Необходимо запросить у сервера TLS-клиент и серверный сертификат. Континент TLS-клиент является бесплатной программой.

b) Настроить подключение к порталу:
c) Установить серверный сертификат:
Если аутентификация настроена по сертификату, то потребуется еще и клиентский сертификат:
d) При переходе на портал получаем предложение выбора сертификата, если настроена аутентификация по сертификату:
Или вход по логину и паролю:
Важным здесь является следующее:
  • Данные от клиента к серверу передаются по шифрованному каналу связи по ГОСТ;
  • Континент TLS-клиент позволяет получать конфигурацию с Сервера и на ее основе производить автоматическую настройку доступных ресурсов;
  • Общее количество пользователей может быть любым. Схема лицензирования происходит по суммарному количеству подключенных пользователей (до 45000 одновременно);
  • Подключение к ресурсу возможно с нескольких TLS-клиентов;
  • Возможно настроить как однофакторную, так и двухфакторную аутентификацию.

Удаленный доступ сотрудников к ресурсам сети

Помимо защищенного доступа к веб-приложениям, Континент TLS обеспечивает защищенный удаленный доступ к АРМ. Данное подключение возможно в режиме TLS-туннеля.

Со стороны клиента настройка выглядит следующим образом:
a) В TLS-клиенте настроить подключение к ресурсу:
b) Создать запрос на пользовательский сертификат и передать его администратору удостоверяющего центра:
c) Полученный от администратора пользовательский и серверный сертификаты зарегистрировать в TLS-клиенте:
d) Подключиться к удаленному рабочему столу и выбрать пользовательский сертификат:

Соответствие требованиям регуляторов

Система Континент TLS сертифицирована по требованиям РД ФСТЭК по 4-му уровню контроля отсутствия недокументированных возможностей (НДВ) программного обеспечения.

Наличие данного сертификата ФСТЭК позволяет использовать комплекс для следующих информационных систем:
  • автоматизированных систем (АС) до класса 1Г включительно;
  • государственных информационных систем (ГИС) до 1 класса защищенности включительно;
  • информационных систем персональных данных (ИСПДн) до класса УЗ1 включительно.

Реализованы следующие основные функции, соответствующие мерам защиты приказов ФСТЭК России № 17 и 21:

Сервер доступа + Континент-АП или Континент TLS

Континент-АП в связке с сервером доступа реализует удаленный доступ к ресурсам сети. Соответственно, возникает вопрос: есть ли разница между Сервером доступа и Континент-TLS?

Связка АПКШ+СД не подойдет при реализации массового доступа к электронному порталу. Рассмотрим отличия при реализации доступа удаленных сотрудников.
Также, совсем недавно Код Безопасности объявили о создании единого клиента для удаленного доступа – Zero Trust Network Клиент. Данный продукт объединит в себе функции клиентов для удаленного доступа, но не затронет функции серверных компонентов (Сервер доступа и TLS-сервер).

Заключение

Интерес к организации удаленного доступа в последнее время становится все более актуальным и Континент TLS является одним из вариантов, который не только обеспечивает защищенный удаленный доступ, но и соответствует требованиям регуляторов по защите информации.
Если у вас остались вопросы, вы можете связаться с нами: sales@tssolution.ru или dl@tssolution.ru

Автор статьи: Дмитрий Лебедев, инженер TS Solution