Download - Обзор новых функций Континент TLS VPN 1.0.9
![Page 1: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/1.jpg)
Сидоров Михаил Департамент сервиса
«Континент TLS VPN» 1.0.9. Обзор новых функций
E-mail: [email protected] Тел.: +7(495)982-3020 (доб. 264)
![Page 2: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/2.jpg)
Что такое «Континент TLS VPN»?
![Page 3: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/3.jpg)
ЗАЩИЩЕННЫЙ УДАЛЕННЫЙ ДОСТУП Зачем защищать доступ к веб-ресурсам?
Чтобы обеспечить безопасность передаваемой конфиденциальной
информации при: Подключении к порталам государственных услуг; Подключении к корпоративным веб-приложениям; Получении услуг интернет-банкинга и т.п.
Чтобы выполнить требования законодательства РФ по защите ИСПДн, ГИС и др.
![Page 4: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/4.jpg)
СХЕМА РАБОТЫ Единый шлюз удаленного доступа к корпоративным ресурсам
![Page 5: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/5.jpg)
МОДЕЛЬНЫЙ РЯД
Модель Количество одновременных подключений
Пропускная способность в режиме HTTPS-proxy
IPC-100 До 500 До 200 Гбит/с
IPC-400 До 5000 До 700 Гбит/с
IPC-1000 До 10000 До 900 Гбит/с
IPC-3000F До 18000 До 3 Гбит/с
![Page 6: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/6.jpg)
ОСНОВНЫЕ ВОЗМОЖНОСТИ
![Page 7: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/7.jpg)
Internet Балансировщик TLS сервер WEB сервер
Идентификация и аутентификация пользователей на основе PKI.
Прозрачное проксирование HTTP-трафика - пользователю достаточно указать ip-адрес или доменное имя.
Мониторинг и журналирование событий ИБ - возможна интеграция с внешними SIEM-системами. Масштабируемость и отказоустойчивость - поддерживает работу в схеме кластера с балансировкой нагрузки.
Удобные инструменты управления - необходим браузер Internet Explorer и КриптоПро CSP. Работа пользователя через любой веб-браузер при использовании «Континент TLS VPN Клиент»
Криптографическая защита передаваемой информации на основе ГОСТ 28147–89.
TLS HTTP HTTPS ГОСТ 28147–89
ОСНОВНЫЕ ВОЗМОЖНОСТИ
![Page 8: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/8.jpg)
НАСТРОЙКА СЕРВЕРА И НОВЫЕ
ВОЗМОЖНОСТИ
![Page 9: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/9.jpg)
НАСТРОЙКА СЕРВЕРА
Для ввода в эксплуатацию решения необходима:
1. Локальная настройка сервера; 2. Первоначальная настройка; 3. Настройка ресурсов; 4. Настройка TLS клиента.
![Page 10: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/10.jpg)
ЛОКАЛЬНАЯ НАСТРОЙКА СЕРВЕРА
Локальные настройки:
1) Сетевые настройки: настройка IP адресов интерфейсов, настройка маршрутизации, настройка DNS серверов
2) Настройка системного времени: ручная установка или настройка NTP
3) Диагностика: статистика, диагностика сети (ping, traceroute, arp), диагностика сетевых интерфейсов
![Page 11: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/11.jpg)
МАСТЕР КЛЮЧ
Мастер-ключ необходим для:
• шифрование закрытых ключей сервера; • организация защищенного соединения между элементами кластера.
Срок действия мастер-ключа 1 год.
![Page 12: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/12.jpg)
Мастер-ключ и инициализация сервера: 1) Мастер-ключ:
• Мониторинг состояния мастер-ключа;
Блокировка Сервера производится через 90 дней после истечения срока действия мастер-ключа;
• Экспорт мастер-ключа на USB-флэш-накопитель, а не только на Rutoken ЭЦП;
• Экспорт мастер-ключа на USB накопитель без перезаписи файла;
• При импорт мастер-ключа с USB накопителя есть возможность выбрать файл из списка;
2) Инициализация:
Инициализация создаст новую базу данных! Старая будет утеряна!
• Выбор роли сервера: основной или подчиненный;
• Выбор интерфейса управления;
ЛОКАЛЬНАЯ НАСТРОЙКА СЕРВЕРА
![Page 13: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/13.jpg)
ЛОКАЛЬНАЯ НАСТРОЙКА СЕРВЕРА
После инициализации сервера доступен дополнительный функционал:
1. Управления сертификатами администратора, удостоверяющего центра и сервера;
2. Работа с журналами сервера. Два типа журналов: доступа и системный;
3. Управление обработок неуспешных аутентификаций.
Блокировка происходит по source IP входящего пакета!
4. Настройка доступа с внешних устройств - последовательной консоли и SSH.
![Page 14: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/14.jpg)
ПЕРВОНАЧАЛЬНАЯ НАСТРОЙКА
После инициализации возможен удаленный доступ к серверу по IP адресу интерфейса управления: https://IP.
Для разблокирования сервера необходимо:
1. Создания серверного сертификата. Common name сертификата будет адресом для входа на ресурс. Имя должно резолвиться на ПК;
2. Импорт корневого сертификата (или цепочки);
3. Выбор сертификата в качестве «сертификата управления»;
4. Импорт «сертификата администратора»;
5. Ввод лицензий. Лицензия привязывается к конкретному серверу. Если кластер, то их должно быть минимум две.
![Page 15: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/15.jpg)
СПОСОБЫ ДОСТУПА К РЕСУРСАМ
HTTPS -прокси
TLS-туннель
Портал приложений
![Page 16: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/16.jpg)
HTTPS-ПРОКСИ
Защищенный доступ к приложениям по протоколу HTTP/HTTPS: • Intranet-портал; • Web-приложениям; • VDI с доступом по HTTPS.
![Page 17: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/17.jpg)
HTTPS/Порт 443
Выбор версии протокола, обмен сертификатами
HTTP
Один серверный сертификат – один WEB-сервер
ПРИНЦИП РАБОТЫ
![Page 18: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/18.jpg)
НАСТРОЙКА Основные настройки: 1. Выбор сертификата сервера (создается аналогично сертификату управления); 2. Указание адреса защищаемого ресурса (можно по доменному имени);
Дополнительные настройки: 1. Возможность аутентификации клиентов на ресурсе; 2. Настройка использования CRL; 3. Изменение текста ошибки отказа в доступе (Ошибка 403 (Forbidden)). 4. Передавать данные в HTTP-заголовке;
![Page 19: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/19.jpg)
ПЕРЕДАЧА ДАННЫХ В HTTP-ЗАГОЛОВКЕ
1. Добавлять можно несколько значений; 2. Можно добавлять как константные значения, так и конкретные поля
сертификата пользователя.
![Page 20: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/20.jpg)
ПРИНЦИП РАБОТЫ
Порт подключения указывается в настройках
Выбор версии протокола, обмен сертификатами
TCP/IP-протоколы
Один серверный сертификат – один ресурс
HTTPS TCP/IP
![Page 21: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/21.jpg)
НАСТРОЙКА
Основные настройки:
1. Выбрать сертификат сервера для туннеля; 2. Задаем параметры туннеля и защищаемого ресурса.
![Page 22: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/22.jpg)
ПОРТАЛ ПРИЛОЖЕНИЙ
Ролевое разделение прав доступа удаленных пользователей к web-приложениям. Например различные наборы web-приложений для разных групп пользователей: • Администраторы; • Пользователи; • Подрядчики.
![Page 23: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/23.jpg)
ПРИНЦИП РАБОТЫ
HTTPS/Порт 443
Выбор версии протокола, обмен сертификатами
HTTP
Один серверный сертификат – множество приложения портала
1.Приложение 1; 2.Приложение 2; 3.Приложение N
WEB-сервер 1
WEB-сервер 2
WEB-сервер N
AD
LDAP
![Page 24: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/24.jpg)
РАБОТА ПОРТАЛА ПРИЛОЖЕНИЙ
![Page 25: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/25.jpg)
НАСТРОЙКА
1. Взаимодействие с AD по протоколу LDAP. Доступ к ресурсам на основе групп пользователей; 2. Доступ на портал по паролю или сертификату пользователя; 3. Доступна передача данных в HTTP-заголовке;
![Page 26: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/26.jpg)
TRUSTED SERVER LIST
Trust Server List (TSL) - список доверенных удостоверяющих центров Минкомсвязи, уполномоченного органа исполнительной власти в сфере использования электронной подписи, осуществляющего аккредитацию удостоверяющих центров на основании Федерального закона №63 «Об электронной подписи».
![Page 27: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/27.jpg)
Для настройки необходимо:
1. Выбрать периодичность обновления;
2. Указать URL TSL файла ( https://e-trust.gosuslugi.ru/CA/DownloadTSL?schemaVersion=0 ). Есть возможность загрузить файл вручную.
3. Загрузить список сертификатов головного удостоверяющего центра (ГУЦ).
НАСТРОЙКА TSL
![Page 28: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/28.jpg)
Для настройки необходимо:
1. Выбрать периодичность обновления. Можно загрузить CRL файл вручную; 2. Указать URL CRL файла ( например http://ca.pfrf.ru/ucpfr/uc999_2014.crl );
НАСТРОЙКА CRL Компонент инфраструктуры открытого ключа (PKI). Представляет собой файл, создаваемый и подписываемый центром сертификации и содержащий список сертификатов, которые были выданы, но затем отозваны.
![Page 29: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/29.jpg)
РАБОТА С ЖУРНАЛАМИ
![Page 30: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/30.jpg)
2. Проверка сертификата пользователя.
1. Настройка удаленного доступа. Доступ можно ограничить или запретить.
ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ
![Page 31: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/31.jpg)
TLS КЛИЕНТ
TLS- клиент представляет собой устанавливаемое на компьютере удаленного пользователя программное обеспечение, функционирующее совместно с TLS-сервером.
TLS-клиент выпускается в двух исполнениях: • исполнение 1 — соответствует требованиям ФСБ России к средствам класса КС1;
• исполнение 2 — соответствует требованиям ФСБ России к криптографическим средствам класса КС2, работает совместно с изделием «Программно-аппаратный комплекс "Соболь". Версия 3.0».
Преимущества: 1. Не нужен криптопровайдер «КриптоПро»; 2. Может работать с любым web-браузером.
![Page 32: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/32.jpg)
Планы по сертификации
ФСБ России:
• СКЗИ «Континент TLS VPN Клиент» 1.0 (исполнение 1) - соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС2.
• СКЗИ «Континент TLS VPN Клиент» 1.0 (исполнение 1 - класс КС1) - соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС1.
• СКЗИ «Континент TLS VPN Клиент» 1 .0 (исполнение 2 - класс КС2) - соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС2.
ФСТЭК России:
• СКЗИ «Континент TLS VPN Сервер» - соответствие требованиям руководящих документов по 4-му уровню контроля на отсутствие НДВ и может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, для защиты информации в ИСПДн до 1 класса включительно и ГИС до 1 класса включительно.
![Page 33: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/33.jpg)
ПРОФЕССИОНАЛЬНЫЕ СЕРВИСЫ
Услуги по проектированию и анализу предлагаемых решений
Услуги по внедрению и разработке
Услуги по тестированию предлагаемых решений (контроль качества разработки)
Мы всегда
рады оказать
Вам помощь!
![Page 34: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/34.jpg)
Даем потестировать в виде ВМ
ДЕМО ВЕРСИИ
В целях ознакомления и тестирования готовы предоставить демоверсии для виртуальной среды VMware.
![Page 35: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/35.jpg)
СХЕМА СТЕНДА
Рабочая станция администратора
Рабочая станция пользователя
proxy.securitycode.ru tunnel.securitycode.ru portal.securitycode.ru
Континент TLS VPN
admintls
![Page 36: Обзор новых функций Континент TLS VPN 1.0.9](https://reader030.vdocuments.pub/reader030/viewer/2022012406/5876781a1a28abd0018b760b/html5/thumbnails/36.jpg)
Вопросы?
Сидоров Михаил Департамент сервиса
E-mail: [email protected] Тел.: +7(495) 982-3020 (доб. 264)