Континент TLS VPN
Континент TLS VPN — сертифицированное решение защиты доступа удаленных пользователей к защищаемым ресурсам.
Континент TLS VPN имеет клиент-серверную архитектуру и состоит из СЗКИ «Континент TLS VPN Сервер», который устанавливается на границе периметра сети, и VPN-клиента СКЗИ «Континент TLS VPN Клиент», устанавливаемого на компьютеры удаленных пользователей. «Континент TLS VPN Сервер» обеспечивает конфиденциальность, целостность и имитозащиту передаваемой информации и выполняет функции:
- аутентификацию пользователей по сертификатам открытых ключей стандарта x.509v3 (ГОСТ Р 31.11–94, 34.10–2001);
- проверку сертификата пользователя по списку отозванных CRL;
- установление защищенных шифрованных соединений по протоколу HTTPS;
- трансляцию запросов к веб-серверам корпоративной сети и другие.
Континент TLS VPN Сервер IPC-3000F (S021), 2014
СКЗИ «Континент TLS VPN Клиент» представляет собой локальный прозрачный прокси-сервис, который обеспечивает обоюдную аутентификацию с сервером, установку защищенного соединения, обмен зашифрованными данными с сервером. Он также совместим с большинством существующих интернет-браузеров. Кроме того, допускается возможность работы пользователей через «Континент TLS VPN Сервер» без установки клиентского ПО СКЗИ «Континент TLS VPN Клиент». В этом случае на компьютере пользователя должен использоваться браузер MS Internet Explorer c установленным криптосервис-провайдером «КриптоПро CSP» (версии 3.6 или 3.9), обеспечивающим поддержку криптоалгоритмов ГОСТ.
Продукт предназначен для:
- безопасного подключения пользователей к порталам государственных услуг, электронным торговым площадкам, системам интернет-банкинга или корпоративным приложениям через веб-браузер.
- криптографической защиты http-трафика при передаче данных по открытым каналам сетей общего пользования.
Основные возможности
- Криптографическая защита
- Использование протокола TLS c шифрованием по ГОСТ 28147–89 обеспечивает надежную защиту HTTP-трафика на транспортном уровне
- Получение оперативной информации о статистике работы и текущих соединениях сервера «Континент TLS VPN»
- Идентификация и аутентификация пользователей по сертификатам открытых ключей стандарта x.509. Передача аутентификационных данных пользователя на веб-сервер.
- Для создания сертификатов x.509 «Континент TLS VPN» использует внешний УЦ «КриптоПро»
- Для защищенного входа на веб-сервис пользователю достаточно указать ip-адрес или доменное имя в адресное строке браузера.
- Поддержка режима работы в схеме высокопроизводительного кластера с балансировкой нагрузки (внешним балансировщиком). Повышение отказоустойчивости достигается добавлением в кластер избыточной ноды.
Особенности
- Высокая производительность – до 20 000 одновременных подключений на одну ноду (IPC-3000F).
- Совместимость с любыми веб-браузерами.
- Удобство управления – все настройки осуществляются администратором через веб-браузер.
- Неограниченная масштабируемость производительности – возможность объединения в высокопроизводительный кластер для достижения производительности свыше 100 тыс. одновременных соединений.
- Простота внедрения и эксплуатации – готовое решение избавляет от необходимости встраивания в веб-сервер криптографических модулей и прохождения процедуры контроля встраивания СКЗИ.
- Простая интеграция с внешними SIEM-системами.
Сертификаты
- Сертификат ФСТЭКРоссии на соответствие требованиям на отсутствие НДВ по 4-му уровню контроля. Применяется для защиты АС до класса 1Г включительно, ИСПДн до УЗ 1 включительно и ГИС до 1 класса включительно.
- Сертификаты ФСБ России «Континент TLS VPN Сервер» на СКЗИ класса КС2 и «Континент TLS VPN Клиент» на СКЗИ класса КС2 и КС1.
2018: Выпуск «Континент TLS-сервера» версии 2.1
Континент TLS-сервер
18 июля 2018 года компания «Код безопасности» объявила о выпуске очередной версии продукта «Континент TLS-сервер», предназначенного для обеспечения защищенного удаленного доступа к веб-приложениям с использованием алгоритмов шифрования ГОСТ. Основные отличия – увеличение производительности продукта на 30%, а также оптимизация схемы его лицензирования.
Одной из функций в «Континент TLS-сервер» 2.1 является возможность одновременной работы с пользовательскими сертификатами, поддерживающими алгоритмы электронной подписи и хэширования – как по ГОСТ 2001, так и по ГОСТ 2012 – стандарту, обладающему более высокой стойкостью.
При применении «Континент TLS-сервер» 2.1 переход к стандарту ГОСТ 2012 будет незаметным и не повлияет на использование защищенного удаленного доступа к веб-приложениям. Ранее при использовании различных сертификатов на клиентской и серверной стороне было невозможно установить соединение.
Важным дополнением стала возможность интеграции продукта «Континент TLS-сервер» 2.1 в единый контур мониторинга ИТ-инфраструктуры.
Заказчики «Континент TLS-сервер» 2.1 получили возможность централизованно обновлять клиентскую часть комплекса на компьютерах удаленных пользователей. Кроме того, в представленной версии была упрощена система лицензирования продукта: для кластера из нескольких устройств требуется только одна лицензия на максимальное число одновременных подключений. Также было принято решение объединить лицензии на подключение к прокси-серверу и лицензии на подключение через TLS-туннель. Все это упрощает эксплуатацию и выбор подходящей архитектуры решения.
На июль 2018 года «Континент TLS-сервер» 2.1 передан на сертификацию в ФСБ России. После прохождения испытаний продукт будет сертифицирован по классам КС1 и КС2.
Александр Колыбельников, менеджер по продукту компании «Код безопасности»
2016
Высокую динамику продемонстрировали и относительно новые (выпущенные в 2015 году) продукты линейки «Континент» – «Континент TLS VPN» и криптокоммутатор «Континент». Объем их продаж составил 71 млн руб. и 62 млн руб. соответственно. Спрос на «Континент TLS VPN» был обусловлен растущим интересом заказчиков к применению российских алгоритмов шифрования для защиты доступа к госпорталам, а также к организации защищенного удаленного доступа с использованием алгоритмов ГОСТ. Фактором роста продаж криптокоммутаторов «Континент» стала необходимость защиты каналов связи в территориально распределенных центрах обработки данных.
Вышел технический релиз «Континент TLS VPN» 1.0.9 с порталом приложений
Компания «Код безопасности» объявила в апреле 2016 года о выходе технического релиза версии продукта «Континент TLS VPN», предназначенного для обеспечения безопасного удаленного доступа к информационным системам, осуществляющим обработку персональных данных (ИСПДн) и государственным информационным системам (ГИС). В продукте реализован ряд новых функций.
Одно из наиболее значимых изменений в «Континент TLS VPN» 1.0.9 – это создание портала приложений с возможностью аутентификации и авторизации с использованием учетных данных из Active Directory. Такая доработка значительно упрощает процесс управления доступом к корпоративным web-сервисам различным категориям пользователей. Например, с помощью портала можно обеспечить единую точку доступа для сотрудников компании и её подрядчиков. При этом набор доступных приложений будет зависеть от категории и прав пользователя.
Еще одно отличие – добавление возможности создания стартовой страницы сервера, доступной по открытому протоколу HTTP. Она позволяет значительно сократить затраты на поддержку защищенного web-приложения.
В версии 1.0.9 также добавлена возможность работы продукта в режиме TLS-туннеля, что позволяет снять с удаленного пользователя ограничения по взаимодействию через канал, зашифрованный по протоколу TLS. Подобное соединение позволяет обеспечить доступ не только к web-ресурсам, но и к другим типам приложений, например, терминальным серверам (по протоколу RDP) или «толстым клиентам» для корпоративных приложений (ERP, CRM и т.д.). Такой подход значительно увеличивает количество сценариев удаленного доступа, при которых может применяться «Континент TLS VPN».
«Код безопасности» оценил сроки перехода госорганов на российские средства шифрования
16 июля 2016 года на сайте Кремля было опубликовано [1] поручение президента главе правительства о необходимости подготовить переход органов власти на использование российских криптографических алгоритмов и средств шифрования до 1 декабря 2017 года. В частности, правительство должно обеспечить разработку и реализацию комплекса мероприятий, необходимых для поэтапного перехода на использование российских криптографических алгоритмов и средств шифрования, а также предусмотреть безвозмездный доступ граждан РФ к использованию российских средств шифрования.
Опубликованный документ повлечет за собой определенные шаги по приведению ИТ-инфраструктур государственных органов в соответствие заявленным требованиям. В частности, в госструктурах ожидается массовая установка в дополнение к имеющимся решениям отечественных средств криптографической защиты информации (СКЗИ).
- Закон Яровой (О внесении изменений в УК и УПК РФ в части установления дополнительных мер противодействия терроризму)
- Цензура (контроль) в интернете. Опыт России
Эксперты «Кода безопасности» отмечают, что нововведение коснется в первую очередь порталов государственных услуг федеральных и региональных ведомств. При этом реализация данной задачи затрагивает два аспекта: внедрение СКЗИ на стороне веб-сервера и на стороне пользователей. Если предположить, что на стороне пользователей будет реализовано встраивание сертифицированной криптобиблиотеки в браузер, то решить задачу на стороне веб-сервера можно двумя способами.
Один из них – это встраивание СКЗИ в веб-серверы, второй – внедрение программно-аппаратного комплекса (ПАК) с реализацией TLS VPN (одним из таких продуктов является «Континент TLS VPN Сервер», разработанный «Кодом безопасности»), который будет перехватывать HTTP/HTTPS-трафик и шифровать его в соответствии с алгоритмом шифрования по ГОСТ (28147-89). Каждый из вариантов имеет свои особенности – как с точки зрения технической реализации, так и с точки зрения сроков выполнения проекта.
По оценкам аналитиков «Кода безопасности», в первом случае (встраивание) этапы работ будут следующими:
- Разработка организационно-распорядительной документации (ОРД) — 2 мес.;
- Проведение открытого конкурса по 44-ФЗ — 2,5 мес.;
- Внедрение — 0,5 мес.;
- Контроль встраивания СКЗИ в ФСБ России — 7 мес.;
В результате такой проект можно будет осуществить в течение 1 года.
При выборе варианта установки ПАК проект будет разбит на следующие стадии:
- Разработка ОРД — 2 мес.;
- Проведение открытого конкурса по 44-ФЗ — 2,5 мес.;
- Поставка оборудования и ПО — 1,5 мес.;
- Внедрение — 0,5 мес.
Общая длительность проекта в таком случае составит около 7 месяцев.
Эксперты «Кода безопасности» отмечают, что, исходя из общепринятой практики, между выпуском поручения правительству и началом работ компаний по проектам (с учетом необходимости разработки и принятия подзаконных актов) проходит не менее трех месяцев. Соответственно, есть риск, что выбравшие вариант встраивания СКЗИ в веб-серверы организации с трудом уложатся в поставленные президентом сроки. А в случае задержки принятия подзаконных актов свыше трех месяцев возможны срывы сроков внедрения.
«Помимо сложностей со сроками первый путь — встраивание — сопряжен и с другими трудностями. Это дополнительные трудозатраты сначала на оформление и согласование пакета документов для испытательной лаборатории, а затем — на внесение изменений в код и отладку приложения по итогам анализа испытательной лаборатории. Но главное плюс второго варианта в том, что при выборе ПАК заказчик получает мощное высокопроизводительное промышленное решение, рассчитанное на крупные организации. Оно масштабируемо, удобно в управлении, совместимо с любыми интернет-браузерами, легко интегрируется с внешними SIEM-системами», — рассказал Коростелев Павел, менеджер по маркетингу продуктов компании «Код безопасности».
С учетом вышеизложенного «Код безопасности» рекомендует госзаказчикам выбрать оптимальный алгоритм исполнения требований законодательства и пойти по пути внедрения программно-аппаратного комплекса (ПАК) с реализацией TLS VPN. Для защищенного доступа удаленных пользователей к web-ресурсам применяется сертифицированный ФСБ России программно-аппаратный комплекс «Континент TLS VPN». Он легко развертывается, обладает бесплатным TLS-клиентом для конечных пользователей и может поддерживать свыше 100 тыс. одновременных подключений.
2015: Континент TLS VPN сертифицирован для организации защищенного удаленного доступа
06 августа 2015 года компания «Код Безопасности» сообщила о получении сертификатов ФСБ России на средство криптографической защиты информации (СКЗИ) «Континент TLS VPN» для организации защищенного удаленного доступа к ресурсам компании по протоколу TLS с поддержкой российского алгоритма шифрования ГОСТ 28147–89.
Сертификаты ФСБ России от 30.07.2015 СФ/124–2676 на СКЗИ «Континент TLS VPN Сервер» и СФ/525-2677, СФ/525-2678 на СКЗИ «Континент TLS VPN Клиент» (исполнение 1 и 2) подтверждают соответствие требованиям, предъявляемым ФСБ России к шифровальным (криптографическим) средствам класса КС2 и КС1. Сертификаты ФСБ России разрешают применение СКЗИ «Континент TLS VPN» для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну.
Сертификат ФСТЭК России № 3286, выданный 02.12.2014 на СКЗИ «Континент TLS VPN Сервер», подтверждает соответствие продукта требованиям руководящих документов по 4-му уровню контроля на отсутствие НДВ и разрешает его использование при создании АС до класса защищенности 1Г включительно и для защиты информации в ИСПДн и ГИС до 1 класса включительно.
Примечания
Континент TLS. Система защищенного доступа к веб-приложениям
Континент TLS от компании «Код Безопасности» — система обеспечения защищенного удаленного доступа к веб-приложениям с использованием алгоритмов шифрования ГОСТ. Решения сочетает широкий спектр функциональных возможностей и гибкие возможности конфигурации оборудования под различные задачи заказчика, обладает высокой производительностью и отказоустойчивостью, позволяет минимизировать риски, связанные с невыполнением требований регуляторов.
Варианты развертывания
Удаленный доступ к корпоративным ресурсам
Защищенный доступ к веб приложению
Основные возможности
- Криптографическая защита HTTPS-трафика по протоколу TLS (Transport Layer Security, протокол защиты транспортного уровня);
- Поддерживаемые криптоалгоритмы:
- Шифрование информации по алгоритму ГОСТ 28147— 89;
- Расчет хэш-функции по алгоритму ГОСТ Р 34.11— 2012;
- Формирование и проверка электронной подписи в соответствии с алгоритмом ГОСТ Р 34.10–2012.
- Собственный Континент TLS Клиент;
- КриптоПро CSP;
- Валидата CSP;
- Браузеры Спутник и Яндекс.
- Поддержка нескольких режимов аутентификации: обоюдная аутентификация сервера и пользователя в процессе установки защищенного соединения, односторонняя аутентификация сервера;
- Идентификация и аутентификация пользователей по сертификатам открытых ключей стандарта x.509v3 (ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012);
- Автоматическая загрузка и обновление Trust-service Status List (TSL) и др.
- Государственных информационных систем (ГИС) до 1 класса защищенности включительно;
- Информационных систем персональных данных (ИСПДн) до класса УЗ1 включительно;
- Защита значимых объектов критической информационной инфраструктуры;
- Автоматизированных систем управления до класса 1Г включительно.
Ключевые преимущества
- Сертифицированная система удаленного доступа к корпоративным ресурсам предприятия, к интернет-порталам с шифрованием по ГОСТ;
- Поддержка любых браузеров с поддержкой протокола TLS;
- Широкий модельный ряд, гибкие возможности конфигурации оборудования под различные задачи заказчика, включая:
- Доступ к ведомственному веб приложению (для ГИС — обязателен);
- Развертывание системы дистанционного банковского обслуживания;
- Создание электронной торговой площадки и т. д.
- Интеграция с LDAP (Lightweight Directory Access Protocol, протокол доступа к каталогам для разграничения доступа пользователей);
- Централизованное управление клиентами из веб-интерфейса;
- Проверка соответствия пользовательского устройства требованиям безопасности.
Обзор Континента TLS Сервер 2.2, системы для защищённого удалённого доступа к веб-приложениям
Система «Континент TLS Сервер 2.2» (далее — «Континент TLS») является комплексным решением для обеспечения защищённого удалённого доступа к веб-приложениям организации по протоколу TLS с использованием алгоритмов шифрования ГОСТ. Платформа позволяет использовать легковесные клиентские приложения для быстрого развёртывания продукта и организации удалённого доступа на уровне веб-приложений.
Сертификат AM Test Lab
Номер сертификата: 393
Дата выдачи: 02.10.2022
Срок действия: 02.10.2027
- Введение
- Функциональные возможности «Континента TLS»
- Архитектура «Континента TLS»
- Системные требования «Континента TLS»
- Изменения и новые возможности «Континента TLS»
- Сценарии использования «Континента TLS»
- 6.1. Настройка TLS-сервера
- 6.2. Настройка приложения «Континент ZTN Клиент»
- 6.3. Консоль администрирования «Континента TLS»
- 6 4. Настройка портала приложений «Континента TLS»
- 6.5. Настройка доступа клиентов через HTTPS-прокси
- 6.6. Настройка доступа клиентов через TLS-туннель
- 6.7. Управление сертификатами безопасности в «Континенте TLS»
- 6.8. Просмотр журналов регистрации событий и отчётов в «Континенте TLS»
Введение
Долгое время при безопасном удалённом доступе к инфраструктурам организаций с российскими криптоалгоритмами применялась схема с созданием защищённых VPN-туннелей на сетевом уровне. Для этого необходимо было разворачивать VPN-клиенты на рабочих местах пользователей и организовывать сетевые соединения до шлюза. Эта модель трудна в развёртывании и эксплуатации.
Поскольку основными целями удалённого доступа являются корпоративные веб-приложения, развёртывание VPN-туннелей для таких задач видится избыточным. В данном случае можно использовать защищённый доступ по протоколу TLS. На рынке уже представлено несколько таких продуктов, которые предлагают возможности организации TLS-соединений с шифрованием по ГОСТам.
Одним из таких продуктов является система «Континент TLS» версии 2.2 от разработчика «Код Безопасности». Этот продукт был первым на рынке и участвовал в таких масштабных проектах, как, например, организация безопасного доступа к сервисам Федерального казначейства. Система «Континент TLS» предоставляет возможности по шифрованию HTTP- / HTTPS-трафика с использованием российских криптоалгоритмов, туннелированию TCP-трафика через протокол TLS, публикации корпоративных приложений через специализированный портал.
Функциональные возможности «Континента TLS»
Система «Континент TLS» предлагает следующие функциональные возможности:
- Криптографическая защита HTTPS-трафика по протоколу TLS с использованием российских криптоалгоритмов (ГОСТ 28147-89, ГОСТ Р 34.11-2012, ГОСТ Р 34.10-2012).
- Идентификация и аутентификация пользователей по сертификатам открытых ключей стандарта x.509v3.
- Анонимный доступ к ресурсам.
- Возможность выпуска и выдачи сертификатов, созданных собственным удостоверяющим центром, согласно запросам.
- Обеспечение обоюдной аутентификации пользователя и сервера в процессе установки защищённого соединения.
- Интеграция с Active Directory при работе сервера удалённого доступа в режиме портала приложений.
- Возможность работы системы в режиме кластера с балансировкой нагрузки.
- Туннелирование произвольного TCP-трафика через протокол TLS.
- Создание портала приложений, предоставляющего единую точку входа для доступа к веб-ресурсам защищаемой сети.
- Интеграция с SIEM-системами по протоколу Syslog.
Архитектура «Континента TLS»
Архитектурно «Континент TLS» представляет собой взаимосвязанную систему, состоящую из TLS-сервера и клиентского программного обеспечения. В качестве последнего могут быть использованы перечисленные ниже приложения и СКЗИ:
- «Континент TLS Клиент» версии 2;
- «КриптоПро CSP» версий 4.0, 5.0;
- «Валидата CSP» версий 5.0, 6.0;
- «Яндекс.Браузер»;
- «Континент ZTN Клиент» для ОС Windows, Linux, Android, «Аврора»;
- любой другой сертифицированный по требованиям ФСБ России TLS-клиент, поддерживающий протокол TLS версий 1.0 и 1.2.
Для предотвращения несанкционированного доступа к ресурсам TLS-сервера он функционирует совместно с предустановленным средством защиты — ПАК «Соболь» версии 3.0 / 3.1 / 3.2.
TLS-сервер работает в трёх режимах: HTTPS-прокси, TLS-туннель, портал приложений.
В режиме HTTPS-прокси с помощью возможностей «Континента TLS» создаётся защищённый HTTPS-канал между TLS-клиентами и TLS-сервером. Для каждого защищаемого ресурса используется отдельный сертификат сервера. Для защиты нескольких веб-ресурсов одновременно применяется wildcard-сертификат.
В режиме TLS-туннеля создаётся защищённый туннель для приложений использующих TCP-протокол, в том числе SSH.
Рисунок 1. Схема работы системы с использованием wildcard-сертификата
В режиме портала приложений используются один сертификат сервера и одна точка входа для доступа к защищаемым ресурсам, разграничение доступа к которым может осуществляться с помощью протокола LDAP. После проведения аутентификации и авторизации пользователю будет предложен список доступных защищаемых ресурсов, из которых он сможет выбрать необходимый ему.
Для увеличения производительности одиночные серверы можно объединять в кластер с архитектурой «ведущий — ведомый». Распределение нагрузки на элементы кластера выполняют с помощью стороннего балансировщика. При этом один сервер становится основным (master) и управление кластером производится через него. Другие серверы остаются подчинёнными (slave). У них локально настраиваются только параметры сетевых интерфейсов и IP-адрес основного сервера, остальные настройки они наследуют.
Между собой серверы в кластере могут обмениваться только служебной информацией. Для того чтобы серверы работали в кластере, необходимо использовать сторонний балансировщик трафика или применять DNS-балансировку.
Если основной TLS-сервер вышел из строя, теряется только управление кластером. Это не сказывается на работоспособности остальных серверов, поскольку они работают в соответствии с конфигурацией полученной с основного сервера до его отказа. Восстановить основной TLS-сервер после сбоя можно из резервной копии.
TLS-сервер позволяет средствами удалённого управления выключать или перезагружать отдельные серверы кластера или весь кластер целиком. Однако удалённое включение кластера в системе не реализовано.
Рисунок 2. Схема работы системы с использованием кластера и балансировщика
TLS-сервер и TLS-клиент имеют сертификаты ФСБ России (№ СФ/114-4082 и № СФ/114-3862) на соответствие требованиям к средствам криптографической защиты информации класса КС1 / КС2.
Стоимость системы «Континент TLS» зависит от нескольких факторов: модели устройства TLS-сервера, количества одновременных подключений, вида технической поддержки. В отношении последней вендор предлагает несколько вариантов (базовый, стандартный, расширенный, VIP), различающихся условиями предоставления поддержки.
Системные требования «Континента TLS»
Таблица 1. Основные характеристики аппаратных платформ «Континент TLS»
Параметр / Платформа
IPC-R50
IPC-500
IPC-1000
IPC-3000
Настольный с комплектом для крепления в стойки 1U
4 × 1000BASE-T RJ45
6 × 1000BASE-T RJ45
8 × 1000BASE-T RJ45
1 × 1000BASE-T RJ45
Пропускная способность в режиме HTTPS-прокси
Максимальное количество соединений в режиме HTTPS-прокси
Изменения и новые возможности «Континента TLS»
В «Континент TLS» версии 2.2 было добавлено несколько новых функций и возможностей. Большое количество изменений связано с повышением удобства и оптимизацией работы. Это касается процессов связанных с удалённой настройкой, отказоустойчивостью, контролем доступа пользователей к защищаемым ресурсам и управлением сертификатами с помощью удостоверяющего центра.
Далее перечислим изменения и новые возможности «Континента TLS» версии 2.2:
- Разработчики встроили в систему удостоверяющий центр TLS-сервера для выпуска неквалифицированных сертификатов. УЦ позволяет выпускать, перевыпускать и отзывать корневые, серверные и пользовательские сертификаты, экспортировать их, управлять списком отозванных сертификатов (CRL).
- Было реализовано разграничение прав доступа к ресурсам на основе правил, использующих значения параметров сертификата пользователя для более быстрого и простого предоставления доступа.
- Появилась возможность настройки сетевых параметров при удалённом управлении сервером TLS.
- Добавлена поддержка актуальных криптографических алгоритмов ГОСТ Р 34.10-2012 (512 бит) и ГОСТ Р 34.12-2015.
- Появилась возможность использования протокола SSH в защищённом туннеле.
- Добавлена функция удалённой перезагрузки кластера TLS-серверов с помощью консоли администратора.
- Появилась возможность подключения к серверу TLS по специальному технологическому сертификату до окончания настройки полной рабочей конфигурации на сервере.
- Добавлена вспомогательная опция резервного копирования базы данных сервера TLS без сетевых параметров.
- Появилась английская локализация интерфейса.
Сценарии использования «Континента TLS»
Настройка TLS-сервера
Перед тем как ввести в эксплуатацию «Континент TLS», необходимо настроить сам сервер. Часть манипуляций производится на сервере с помощью графической оболочки внутренней операционной системы. Все остальные действия можно производить с помощью рабочего места администратора после того, как TLS-сервер окажется доступен по сети.
Рисунок 3. Настройка TLS-сервера на «Континенте TLS»
На сервере можно настроить сетевые соединения и параметры, установить системное время, настроить администрирование и произвести инициализацию системы, которая позволит сформировать первоначальную базу данных и организовать веб-управление. Также нужно сгенерировать мастер-ключ и записать его на внешний носитель. Он потребуется для таких задач, как шифрование закрытых ключей серверных сертификатов, подписывание обновлений сервера, обеспечение защищённого соединения между элементами кластера.
Рисунок 4. Генерация мастер-ключа на «Континенте TLS»
Из дополнительных возможностей главного меню можно выделить опцию диагностики TLS-сервера, полезную для выявления проблем при работе системы, и функцию резервного копирования, которая позволяет сохранить всю базу данных сервера и сетевые настройки либо только базу данных.
Также необходимо отметить, что многие параметры, которые есть в главном меню, можно настраивать удалённо с помощью веб-консоли администрирования после получения сетевого доступа к серверу.
Рисунок 5. Настройка сервера администрирования
После того как будет настроен сервер администрирования и будут установлены все необходимые для его доступности сетевые настройки, а также произойдёт инициализация системы, появится возможность подключиться к серверу удалённо. Для этого понадобится запустить браузер и ввести адрес сервера. Также можно использовать сертификат администратора на основе алгоритмов ГОСТ для обеспечения более защищённого доступа. Однако для того чтобы задействовать эту опцию, необходимо предварительно установить криптопровайдер «КриптоПро CSP» на рабочую станцию администратора.
Для корректной работы TLS-сервера требуются следующие сертификаты:
- не менее одного корневого сертификата удостоверяющего центра;
- не менее одного сертификата сервера;
- не менее одного сертификата администратора сервера.
Генерация закрытого ключа и создание запроса на сертификат открытого ключа производятся с помощью приложения «Континент TLS Клиент». Корневой сертификат и сертификат администратора, выданные удостоверяющим центром, можно загрузить на TLS-сервер локально или удалённо.
Проверка валидности пользовательских и корневых сертификатов осуществляется сервером по спискам отозванных сертификатов, загруженным в его локальную базу данных. Проверка валидности сертификата пользователя выполняется в ходе его аутентификации при обращении к защищаемому ресурсу.
Рисунок 6. Консоль администрирования «Континента TLS»
Настройка приложения «Континент ZTN Клиент»
Для того чтобы пользователь мог подключаться к ресурсам организации, ему необходимо установить на рабочее место программное обеспечение «Континент ZTN Клиент». Оно может работать в режимах VPN и TLS.
В приложении можно настроить различные параметры подключения, например используемые профили, целевые ресурсы, применяемые сертификаты. Для более оперативного развёртывания клиентского приложения можно пользоваться процедурой экспорта / импорта конфигурации через раздел «Конфигурация» окна «Настройки».
Рисунок 7. Окно с основными настройками в приложении «Континент ZTN Клиент»
При настройке профиля подключения можно выбирать используемый тип аутентификации (вход по логину и паролю или по сертификату), выбрать хранилище сертификатов и указать параметры сервера доступа.
Помимо этого можно настроить список ресурсов, к которым у пользователя будет доступ, а также загрузить все необходимые для работы сертификаты — пользовательские, серверные и корневые. Также можно импортировать список отозванных сертификатов. «Континент ZTN Клиент» позволяет также создавать запросы на получение сертификата пользователя и записывать закрытые ключи на съёмный носитель или в операционную систему.
Рисунок 8. Окно настройки сертификатов в приложении «Континент ZTN Клиент»
Необходимо учесть, что для корректного подключения к ресурсам необходимо установить по каждому из них точные параметры: адрес ресурса, порт, тип подключения (прокси или TLS) и другие.
Рисунок 9. Управление защищёнными ресурсами в приложении «Континент ZTN Клиент»
После выполнения вышеуказанных манипуляций приложение «Континент ZTN Клиент» будет готово к работе.
Аутентификация для входа на портал приложений для ZTN-клиентов возможна через связку «логин — пароль», сертификат либо через их комбинацию. При использовании логина и пароля можно дополнительно настроить многофакторную аутентификацию с помощью внешних сервисов auth.as и Multifactor.
Консоль администрирования «Континента TLS»
Консоль администрирования «Континента TLS» представляет собой веб-страницу с настройками. Как уже было сказано ранее, многие параметры сервера можно задавать локально на самом сервере, однако гораздо удобнее управлять конфигурацией именно в веб-версии. Кроме того, многие параметры доступны только в веб-интерфейсе, например настройка подключений или управление лицензиями.
Рисунок 10. Разделы консоли администрирования «Континента TLS»
Управление параметрами системы осуществляется в левой части страницы через кнопку «Меню». Имеется 10 разделов, некоторые из них включают в себя дополнительные подразделы. Например, можно просматривать информацию о статусе сервера или серверов (если организован кластер), в том числе о трафике данных, используемых аппаратных ресурсах, наличии RAID и т. д., через раздел «Статус». Также доступна работа с различными журналами — системным, по доступу, архивным.
Управление сертификатами, включая администрирование удостоверяющего центра на сервере, можно осуществлять через вкладки «Сертификаты», «Управление TLS и CRL». «Центр сертификации» позволяет просматривать сведения о сертификатах (серверных, сертификатах администраторов и УЦ), а также управлять настройками работы TLS и CRL-файлов, включая их обновление.
Весьма важным разделом является вкладка «Ресурсы», которая позволяет настраивать подключения. В частности, можно управлять порталом приложений, поднимать TLS-туннели и настраивать HTTPS-прокси.
Рисунок 11. Настройка подключений через вкладку «Ресурсы»
Вкладка «Настройки» обеспечивает управление параметрами TLS-сервера. Многие из них дублируют опции на локальном сервере. Также можно управлять сетевыми настройками, в т. ч. для физических и виртуальных интерфейсов. Раздел «Диагностика» позволяет, например, проверять доступность узлов.
Настройка портала приложений «Континента TLS»
Система предоставляет возможность создать портал приложений на TLS-сервере для обеспечения единой точки доступа к нескольким веб-сайтам или приложениям (в том числе внешним). Пользователи организации после подключения и прохождения процедуры аутентификации попадают на страницу портала с каталогом корпоративных ресурсов, которые доступны для использования.
Рисунок 12. Настройка параметров подключения к порталу приложений
Настройка портала приложений доступна в разделе «Ресурсы». Страница состоит из пяти вкладок, каждая из которых имеет своё предназначение. Например, на вкладке для настройки параметров подключения пользователей можно указать адрес страницы для подключения и тип аутентификации (по логину и паролю, сертификату), добавить группы пользователей, которым будет доступна отладка портала.
Стоит отметить, что здесь при аутентификации пользователя по логину и паролю тоже можно выбрать опцию двухфакторной аутентификации с использованием сервисов auth.as или Multifactor.
Рисунок 13. Настройка приложений на портале
Вкладка «Приложения» позволяет указывать список приложений, которые увидят подключающиеся к порталу пользователи. На странице можно добавлять новые приложения и устанавливать дополнительные параметры подключения к ним — например, настроить особый тип аутентификации (не такой, как для самого портала приложений), задать адрес и тип защищаемого ресурса, указать то, для каких пользователей он будет доступен. Также можно указать опции обработки соединения — к примеру, где хранить идентификационные файлы (cookie) — или настроить SSO.
Рисунок 14. Настройка подключения к приложениям на портале
Также можно настроить разделы портала, т. е. указать часть URI, которая будет транслироваться напрямую от портала к приложению без добавления префикса. Вкладка «Пользовательские приложения» позволяет настроить домашнюю страницу портала для определения списка приложений, которые пользователь увидит при входе.
Рисунок 15. Настройка внешнего вида портала приложений
В этом же разделе можно настроить внешний вид портала, например установить фоновый рисунок, выбрать заголовок, цвет, стиль и тип текста. Помимо заголовка настраиваются индивидуальные параметры для кнопки входа по логину и паролю, ссылки входа по сертификату и области перечня ресурсов для подключения.
Со стороны пользователя подключение выглядит следующим образом: сначала запускается клиентское приложение, затем с помощью браузера вводится адрес портала приложений и производится подключение с помощью логина и пароля и / или сертификата в зависимости от настроенного способа аутентификации.
Рисунок 16. Окно с доступными ресурсами на портале приложений
Настройка доступа клиентов через HTTPS-прокси
Клиенты могут подключаться к защищаемым ресурсам по HTTPS-прокси либо через TLS-туннель. Для этого предназначены две строки в разделе «Ресурсы». Рассмотрим для начала вариант с HTTPS-прокси.
Необходимо учесть, что для настройки HTTPS-прокси необходимо задать правила трансляции внешних адресов TLS-сервера во внутренние адреса веб-серверов внутренней корпоративной сети. Правила должны запрещать веб-серверу перенаправлять пользователей на другие ресурсы внутренней сети.
Рисунок 17. Настройка доступа к ресурсам через HTTPS-прокси
Страница работы с HTTPS позволяет управлять ресурсами, к которым будут подключаться пользователи. Можно добавлять или редактировать ресурсы из списка, в том числе настраивать подключение к этим ресурсам. Система предлагает настроить основные параметры, такие как сертификат безопасности, внешний адрес прокси, адрес защищаемого ресурса, порт, сетевой интерфейс. Дополнительно можно настроить политики безопасности, например требование аутентификации, проверку CRL, обязательное использование TLS 1.2.
Рисунок 18. Настройка параметров HTTPS-прокси
Помимо этого доступна настройка дополнительных параметров, таких как обработка соединения (куда входят возможность использования NTLM-аутентификации и замена заголовков «Host»), передача данных в HTTP-заголовках и разграничение доступа по параметрам сертификата.
После осуществления этих настроек пользователь может подключаться к корпоративным ресурсам с помощью TLS-клиента. Для этого следует запустить клиентское приложение, если оно ранее не было запущено, и открыть браузер. В адресной строке вводится адрес приложения и осуществляется подключение к нему с использованием сертификата.
Рисунок 19. Подключение к ресурсу с помощью HTTPS-прокси
Настройка доступа клиентов через TLS-туннель
Ещё одним способом защищённого доступа пользователей к ресурсам организации является подключение через TLS-туннель. Для того чтобы приступить к настройке TLS-туннеля, необходимо задать требуемый сертификат сервера, а также настроить параметры туннеля для каждого защищаемого ресурса сети.
Рисунок 20. Просмотр списка TLS-туннелей в «Континенте TLS»
В отличие от настройки доступа к порталу приложений и HTTPS-прокси, здесь система предлагает не так много возможностей для конфигурирования. Помимо добавления и удаления туннелей можно внести в них изменения — например, поменять наименование соединения, задать адрес ресурса, локальный и внешний порт, сетевой интерфейс, установить взаимодействие с группами из LDAP.
Рисунок 21. Настройка параметров TLS-туннелей
Также можно установить параметры туннеля с помощью дополнительной одноимённой вкладки. Доступна установка опций по использованию криптотуннеля, применению TLS 1.2, фильтрации алгоритмов шифрования и проверке CRL. На этой же вкладке можно выбрать тип журналирования событий и сертификат безопасности туннеля.
Для того чтобы проверить подключение, пользователю необходимо в адресной строке браузера ввести наименование туннеля (в нашем случае — «tunnel») и выбрать необходимый сертификат, после чего произойдёт подключение к требуемому ресурсу с помощью TLS-туннеля.
Рисунок 22. Выбор сертификата для подключения с помощью TLS-туннеля
Управление сертификатами безопасности в «Континенте TLS»
«Континент TLS» предлагает несколько способов управления сертификатами. Например, средствами локального или удалённого управления на сервере (через вкладку «Сертификаты») можно осуществлять действия по замене сертификатов и управлению параметрами их проверки и использования.
Рисунок 23. Просмотр сертификатов в «Континенте TLS»
Всего доступно четыре типа сертификатов: серверные, удостоверяющего центра, головного удостоверяющего центра и администраторов (для удалённого управления). В списках сертификатов отображается вся необходимая информация по ним: кому и кем выдан, номер, срок действия, статус и тип. Все сертификаты можно импортировать, экспортировать или удалить.
Рисунок 24. Создание запроса на выпуск нового сертификата в «Континенте TLS»
На вкладке с серверными сертификатами также доступно создание запросов на их выпуск. В запросе можно указать общее имя, алгоритм подписи и остальные сведения. Для того чтобы сертификат был выпущен, его необходимо предварительно подписать. Это делается в разделе «Центр сертификации». Однако для успешного подписания запроса необходимо, чтобы был ранее выпущен корневой сертификат. Выпуск корневого сертификата производится там же.
После подписания запроса новый сертификат отобразится на вкладке «Выпущенные сертификаты», откуда его можно экспортировать.
Рисунок 25. Подписание запроса на сертификат в «Континенте TLS»
Просмотр журналов регистрации событий и отчётов в «Континенте TLS»
Просмотр логов и управление ими осуществляются через вкладку «Журналы». Доступны следующие журналы: системный, доступа пользователей HTTPS-прокси (access.log), событий доступа по криптотуннелю (sctunnel.log), авторизации (https_login.log).
Рисунок 26. Управление журналами в «Континенте TLS»
Любой журнал можно экспортировать для просмотра в более удобном для этих целей приложении. Стоит отметить, что просмотр журналов доступа возможен только после их экспорта и открытия в приложениях, которые позволяют читать формат LOG.
Рисунок 27. Просмотр журнала доступа пользователей HTTPS-прокси
Дополнительно можно настроить отправку всех журналов (системных и по доступу) на определенный Syslog-сервер, после чего передавать их в SIEM. При этом все вновь регистрируемые события будут продолжать храниться и локально, на сервере.
Эти параметры задаются удалённо через вкладку «Журналирование» в настройках системы. Здесь можно указать степень детализации журнала, адрес и порт Syslog-сервера, срок хранения данных, максимальный размер логов.
Рисунок 28. Настройка отправки журналов на Syslog-сервер
Выводы
Система «Континент TLS» представляет собой вполне простое и удобное для развёртывания, но при этом многофункциональное решение для предоставления защищённого доступа к корпоративным ресурсам. Стоит отметить возможность использования облегчённого клиентского приложения, которое не применяет дополнительного криптопровайдера и не требует установки сетевых настроек для подключения. В качестве клиента также может выступать криптопровайдер «КриптоПро CSP» или «Валидата CSP», равно как и любой интернет-обозреватель с поддержкой криптоалгоритмов ГОСТ, например «Яндекс.Браузер».
«Континент TLS» предлагает три варианта подключения к инфраструктуре организации: HTTPS-прокси, TLS-туннель и портал приложений. Стоит отметить, что страницу портала можно максимально индивидуализировать в соответствии с потребностями заказчика. Также стоит отметить наличие встроенного удостоверяющего центра для удобства выпуска сертификатов.
Система поддерживает работу со всеми современными криптоалгоритмами, включая ГОСТ Р 34.10-2012 (512 бит) и ГОСТ Р 34.12-2015. Доступны опции по организации отказоустойчивости путём объединения устройств в кластер.
В заключение можно сказать, что «Континент TLS» позволяет удобно и быстро настроить удалённый доступ к веб-ресурсам организации, не создавая при этом дополнительных трудностей для пользователей.
Достоинства:
- Простое и быстрое развёртывание системы.
- Наличие собственного удостоверяющего центра.
- Несколько вариантов подключения к ресурсам организации.
- Наличие собственного облегчённого клиентского ПО.
- Наличие сертификатов ФСБ России.
Недостатки:
- Неудобный устаревший интерфейс для локальной настройки сервера, не всегда понятно, где находится тот или иной пункт меню.
- Отсутствие поддержки зарубежных криптографических алгоритмов в версиях продукта ниже 2.4.
- Отсутствие на данный момент полноценной поддержки Apple macOS.
Континент TLS Сервер
Система «Континент TLS Сервер» моэжет решить сразу несколько важных задач:
- Защита доступа к интернет-порталам с шифрованием по ГОСТ.
- Защита удаленного доступа к корпоративным ресурсам.
Сценарии применения:
Высокая нагрузка на портал государственных услуг
- Уменьшены затраты на построение и эксплуатацию комплексной системы защищенного доступа к данному порталу.
- Повышение производительности приложения за счет переноса подсистемы шифрования трафика на другое устройство.
Удаленный доступ к ресурсам предприятия
- Организованный доступ удаленных пользователей к внутренним веб-приложениям.
- Реализовано разграничение доступа удаленных пользователей к различным веб-приложениям.
- Обеспечен доступ пользователей к корпоративным ресурсам с помощью толстых программных клиентов (терминалов, клиентов ERP-систем и т.д.)
Соответствие требованиям регуляторов
- Информационная система полностью соответствует требованиям приказа ФСТЭК России № 17 (ИАФ, УПД, ЗИС, РСБ, ОЦЛ, ОДТ, ЗТС).
- Минимизация затрат на встраивание сертифицированной криптографии в приложения, к которым осуществляется удаленный доступ.
- Минимизированы риски по невыполнению требований регуляторов.
Масштабируемость
Континент TLS Сервер обладает большей плотностью подключений и может линейно масштабироваться, в отличие от обычных VPN-серверов. Это повышает эффективность работы решения.
Оптимальное лицензирование
Континент TLS Сервер лицензируется по количеству единовременных подключений. Это отличает его от прочих VPN-клиентов, у которых лицензирование происходит в зависимости от общего числа удаленных пользователей.
Изоляция инфраструктуры от удаленных пользователей
В отличие от обычных VPN-клиентов, где удаленные пользователи обладают излишним доступом, Континент TLS Сервер гранулярно разграничивает доступ и обеспечивает подключение пользователей лишь к разрешенным приложениям.
Первое российское решение на рынке
Широкая инсталлированная база комплекса TLS-шлюзов, вышедшего в 2014 году на рынок первым, способна внедрять многие пожелания заказчиков, тем самым обеспечивая высокие показатели производительности и отказоустойчивости.
Поддержка различных программных клиентов
- Собственный Континент TLS Клиент.
- КриптоПро CSP.
- Валидата CSP.
- Браузеры Спутник и Яндекс.
Широкий инструментарий администратора
- Интеграция с LDAP для разграничения доступа пользователей.
- Возможность централизованного управления клиентами из веб-интерфейса.
- Проверка соответствия пользовательского устройства требованиям безопасности.
Собственный TLS-клиент
- Работает с любыми веб-браузерами.
- Бесплатное распространение.
Поддержка нескольких режимов аутентификации
- Взаимная аутентификация сервера и пользователя.
- Односторонняя аутентификация сервера.
Шифрование
- Криптографическая защита HTTPS-трафика по протоколу TLS
- Поддерживаемые криптоалгоритмы:
- Шифрование информации производится по алгоритму ГОСТ 28147–89
- Расчет хэш-функции по алгоритму ГОСТ Р 34.11– 2012
- Формирование и проверка электронной подписи осуществляются в соответствии с алгоритмом ГОСТ Р 34.10–2012
- Поддерживаемые протоколы:
- TLS v1.0
- TLS v1.2
- Возможность работы с различным клиентским ПО:
- Континент TLS Клиент
- Поддержка туннелирования TCP-трафика через протокол TLS
- «КриптоПро CSP»
- Работа пользователя в браузере Internet
- Explorer
- Валидата CSP
- Любой другой клиент, соблюдающий спецификацию TLS
Контроль доступа к защищаемым ресурсам
- Идентификация и аутентификация пользователей по сертификатам открытых ключей стандарта x.509v3 (ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012)
- Обоюдная аутентификация пользователя и сервера в процессе установки защищенного соединения
- Проверка сертификатов ключей по спискам отозванных сертификатов (CRL)
- Автоматическая загрузка и обновление Trust-service Status List (TSL)
- Интеграция с Active Directory при работе сервера удаленного доступа в режиме портала приложений:
- Аутентификация пользователя по имени и паролю AD
- Предоставление доступа к приложениям на основе принадлежности пользователя к структурному подразделению
- Аутентификация с учетом значений различных полей
- NTLM аутентификация для ресурсов
- Single-Sign-On в приложениях портала
- Интеграция с сервисом auth.as.
Сетевые возможности
- Сокрытие защищаемых серверов (обратный прокси-сервер)
- К каждой сессии пользователя может быть добавлен произвольный идентификатор
- Работа в режиме кластера с балансировкой нагрузки
- Неограниченное линейное масштабирование производительности
- Блокировка неиспользуемых портов
Управление и мониторинг
- Веб-интерфейс для управления и мониторинга
- Интеграция в SIEM-систему по протоколу syslog
- Регистрация событий информационной безопасности, связанных с работой Континент TLS Клиент
По требованиям РД ФСТЭК
4-й уровень контроля отсутствия НДВ (Континент TLS Сервер)
По требованиям РД ФСБ
СКЗИ класса КС2 (Континент TLS Сервер)
СКЗИ класса КС1/КС2 (Континент TLS Клиент)