По статистике Positive Technologies за 2020 год в 100% компаний выявлены нарушения регламентов информационной безопасности. Среди всех нарушений в 64% компаний используются незащищенные протоколы. Незащищенный протокол означает, что данные передаются без шифрования и не имеют защиты от злоумышленников.
И, если с защитой каналов связи между филиалами (Site-to-Site VPN) все понятно, то с удаленным доступом все не так просто. Многие компании используют ПО для удаленного доступа, нарушая собственные регламенты, а в некоторых случаях и законодательство.
Ряд нормативных документов в области информационной безопасности обязывает использовать защищенный удаленный доступ. Одним из вариантов организации защищенного удаленного доступа является протокол TLS.
TLS (Transport Layer Security) – протокол защиты транспортного уровня. Принцип его работы следующий: поверх TCP устанавливается зашифрованный канал, по которому передаются данные по протоколу прикладного уровня (HTTP, POP3, RDP и т.д.)
TLS реализует три компонента защиты данных: это аутентификация между клиентом и сервером, шифрование и имитозащита (обеспечение неизменности) данных.
Шифрование и имитозащита пакетов данных позволяют защитить передаваемую информацию от злоумышленников. Для шифрования используются симметричные алгоритмы, поэтому после аутентификации клиент и сервер обмениваются симметричными ключами.
Защищенное соединение устанавливается в несколько этапов. Данный процесс называется TLS-рукопожатие:
Данные, которые передаются по каналу, будут зашифровываться, пока соединение не будет прервано.
Для установления безопасного соединения в современных криптонаборах используются эфемерная система Диффи-Хеллмана. Диффи-Хеллман также может быть соединён с RSA. Для симметричного шифрования может использоваться AES. Для хэш-функций применяются MD5, SHA-256/384.
Как же быть государственным структурам, которые обязаны использовать только отечественную криптографию в своих структурах?
Государственные органы обязаны использовать сертифицированные ФСБ средства доступа. При массовом переходе на удаленный режим работы использование традиционных VPN-клиентов с поддержкой ГОСТ-шифрования становится невыгодным, так как они лицензируются по общему числу пользователей.
Кроме этого развивается программа по внедрению отечественной криптографии в российском сегменте Интернет. Перевод сайтов госорганов на TLS с ГОСТ необходим для выполнения Поручения Президента от 16 июля 2016 года № Пр-1380 «Об обеспечении разработки и реализации комплекса мероприятий, необходимых для перехода органов власти на использование российских криптографических алгоритмов и средств шифрования».
Для решения этих двух задач используется сравнительно новый класс устройств - TLS-gateway с поддержкой ГОСТ-шифрования. Системы данного класса сочетают в себе механизмы TLS-offload и механизмы разграничения доступа к приложениям для удаленных пользователей. Ключевой особенностью TLS-gateway является лицензирование не по общему, а по одновременному числу пользователей.
TLS-offload – механизм переложения шифрования с веб-сервера на отдельное устройство. За счет данной возможности сервер может сосредоточить ресурсы для выполнения основных функций.
TLS с российскими криптонаборами был одобрен организацией IANA, управляющей идентификаторами и параметрами протоколов сети Интернет. Криптонаборы использует алгоритмы шифрования ГОСТ 28147-89, ГОСТ Р 34.12 («Кузнечик» и «Магма»), что делает возможным использование защищенного протокола передачи данных TLS для госорганов.
Для реализации защищенного удаленного доступа к ресурсам сети компания «Код Безопасности» предлагает решение Континент TLS.
Континент TLS представляет собой комплекс, состоящий из сервера и клиента, предназначенный для организации удаленного доступа.
В комплексе реализованы следующие криптографические алгоритмы:
ГОСТ 29147-89 для шифрования информации;
ГОСТ Р 34.11 для расчета хеш-функции;
ГОСТ Р 34.10 для формирования и проверки электронной подписи.
Континент TLS сертифицирован по требованиям РД ФСБ России и требованиям РД ФСТЭК России.
Комплекс состоит из TLS-сервера и TLS-клиента. Запросы Клиента Сервер перенаправляет в защищаемую сеть, а полученные из защищаемой сети ответы – Клиенту.
В качестве TLS-клиента могут выступать:
Континент TLS-клиент версии 2;
КриптоПро CSP версий 4.0, 5.0;
Валидата CSP версии 5.0;
Любой другой, сертифицированный по требованиям ФСБ TLS-клиент, поддерживающий протокол TLS версий 1.0 и 1.2
TLS-сервер обеспечивает функционирование трех режимов работы:
HTTPS-прокси;
TLS-туннель;
Портал приложений.
В режиме HTTPS-прокси создается защищенный HTTPS-канал между клиентами и TLS-сервером по протоколу TLS.
В режиме TLS-туннеля создается защищенный туннель для приложений, использующих TCP-протокол.
В режиме Портала приложений используется одна точка входа для доступа к защищаемым ресурсам, разграничение доступа к которым осуществляется с помощью протокола LDAP. После проведения аутентификации и авторизации пользователю будет предложен список доступных защищаемых ресурсов, из которых он сможет выбрать необходимый ему. В остальном работа TLS-сервера в режиме портала аналогична режиму HTTPS-прокси.
Сценарии применения системы Континент TLS
Массовый доступ к порталу государственных услуг
Изначально, Континент TLS создавался именно для этих целей.
Происходит это следующим образом:
a) Необходимо запросить у сервера TLS-клиент и серверный сертификат. Континент TLS-клиент является бесплатной программой.
b) Настроить подключение к порталу:
c) Установить серверный сертификат:
Если аутентификация настроена по сертификату, то потребуется еще и клиентский сертификат:
d) При переходе на портал получаем предложение выбора сертификата, если настроена аутентификация по сертификату:
Или вход по логину и паролю:
Важным здесь является следующее:
Данные от клиента к серверу передаются по шифрованному каналу связи по ГОСТ;
Континент TLS-клиент позволяет получать конфигурацию с Сервера и на ее основе производить автоматическую настройку доступных ресурсов;
Общее количество пользователей может быть любым. Схема лицензирования происходит по суммарному количеству подключенных пользователей (до 45000 одновременно);
Подключение к ресурсу возможно с нескольких TLS-клиентов;
Возможно настроить как однофакторную, так и двухфакторную аутентификацию.
Удаленный доступ сотрудников к ресурсам сети
Помимо защищенного доступа к веб-приложениям, Континент TLS обеспечивает защищенный удаленный доступ к АРМ. Данное подключение возможно в режиме TLS-туннеля.
Со стороны клиента настройка выглядит следующим образом:
a) В TLS-клиенте настроить подключение к ресурсу:
b) Создать запрос на пользовательский сертификат и передать его администратору удостоверяющего центра:
c) Полученный от администратора пользовательский и серверный сертификаты зарегистрировать в TLS-клиенте:
d) Подключиться к удаленному рабочему столу и выбрать пользовательский сертификат:
Соответствие требованиям регуляторов
Система Континент TLS сертифицирована по требованиям РД ФСТЭК по 4-му уровню контроля отсутствия недокументированных возможностей (НДВ) программного обеспечения.
Наличие данного сертификата ФСТЭК позволяет использовать комплекс для следующих информационных систем:
автоматизированных систем (АС) до класса 1Г включительно;
государственных информационных систем (ГИС) до 1 класса защищенности включительно;
информационных систем персональных данных (ИСПДн) до класса УЗ1 включительно.
Реализованы следующие основные функции, соответствующие мерам защиты приказов ФСТЭК России № 17 и 21:
Меры |
Описание |
|---|---|
ИАФ.1 |
Идентификация и аутентификация пользователей, являющихся работниками оператора |
ИАФ.5 |
Защита обратной связи при вводе аутентификационной информации |
УПД.6 |
Ограничение неуспешных попыток входа в информационную систему |
УПД.10 |
Блокировка сеанса доступа в информационную систему после установленного времени бездействия пользователя или по его запросу |
РСБ.2 |
Определение состава и содержания информации о событиях безопасности, подлежащих регистрации |
РСБ.6 |
Генерирование временных меток и (или) синхронизация системного времени в ИС |
РСБ.7 |
Защита информации о событиях безопасности посредством предоставления доступа к журналам аудита только администраторам и создания резервных копий журналов аудита |
ОДТ.6 |
Кластеризация ИС и (или) её сегментов |
ЗИС.3 |
Обеспечение конфиденциальности и целостности информации, передаваемой вне пределов контролируемой зоны |
Сервер доступа + Континент-АП или Континент TLS
Континент-АП в связке с сервером доступа реализует удаленный доступ к ресурсам сети. Соответственно, возникает вопрос: есть ли разница между Сервером доступа и Континент-TLS?
Связка АПКШ+СД не подойдет при реализации массового доступа к электронному порталу. Рассмотрим отличия при реализации доступа удаленных сотрудников.
Критерий |
Континент-АП |
Континент TLS-клиент |
|
|---|---|---|---|
База организации удаленного доступа |
Сервер доступа в составе АПКШ |
Континент TLS-сервер |
|
Сертифицированные версии базы организации удаленного доступа |
3.7 (МЭ 4 класса, ФСБ)3.9 (3 УД, МЭ типа "А" 3 класса, СОВ 3 класса уровня сети: ФСТЭКМЭ 4 класса, СКЗИ класса КС2/КС3)4 (4 УД, МЭ типа "А" 4 класса, СОВ 4 класса уровня сети: ФСТЭК) |
2.0 (СКЗИ класса КС2: ФСБ4 уровень контроля отсутствия НДВ: ФСТЭК) |
|
Доступные версии агента |
3.7, 4.0, 4.1 |
1.0, 1.2, 2.0 |
|
Сертифицированные версии агента |
3.7 (СКЗИ класса КС1/КС2/КС3)4 (СКЗИ класса КС1/КС2) |
2.0 (СКЗИ класса КС1) |
|
Поддерживаемые платформы агента |
Windows, Linux (3.7, 4.0, 4.1), Android (4.1), iOS (4.0) |
Windows |
|
Наличие бесплатного агента |
Нет |
Да |
|
Предназначение агента |
Защищенный удаленный доступВерсия 3.7 является персональным межсетевым экраном |
Защищенный удаленный доступ |
|
Сценарии использования |
Удаленный доступ к корпоративным ресурсам |
Организация массового защищенного доступа,Удаленный доступ к корпоративным ресурсам |
|
Протокол передачи данных |
TCP, UDP |
TCP, TLS в режиме tunnel |
|
Максимальное количество подключений к ресурсам сети |
Ограничивается шлюзом (максимум 3000 на один шлюз) |
Ограничивается лицензией (максимум 45000 одновременно на один шлюз) |
|
Доступ к ресурсу |
Регулируется правилами СД и фильтрации |
Регулируется лицензией на HTTPS-прокси и TLS-туннель |
|
Пользователи |
Требуется УЗ в СД для каждого пользователя |
Не обязательно создавать пользователя (пользователь указывается только в сертификате) |
|
IP-адрес |
СД назначает IP-адрес абоненту |
IP-адрес клиента не меняется |
Заключение
Интерес к организации удаленного доступа в последнее время становится все более актуальным и Континент TLS является одним из вариантов, который не только обеспечивает защищенный удаленный доступ, но и соответствует требованиям регуляторов по защите информации.
Автор статьи: Дмитрий Лебедев, инженер ИБ
Комментарии (4)
stasukas
18.03.2024 16:37Тут описаны решения от одного вендора. А что ещё есть на российском рынке для организации TLS-канала с российской сертифицированной криптографией? Причем, интересно в разрезе обычных клиентских устройств (windows, linux, android, ios).
shrimproller
18.03.2024 16:37Вот интересно, у них на сайте есть удобная и актуальная инструкция по настройке и работе с этим? А то пришлось мне однажды континент настраивать, провозился неделю, думал в программе баг, а оказалось баг в инструкции. Вообще, давно замечаю, что инструкции писать не принято. Нет, они как бы существуют, но давно устарели и потеряли актуальность, и как будто существуют в отрыве от реальности, только потому, что должны существовать. Печально видеть такой подход.
Siva-kun
18.03.2024 16:37Можно ли подключить пк на Linux к корпоративной сети если сервер континент-тлс сервер в режиме tls-tunnel, если написано, что клиента континент-тлс под Линукс нет?
Shaman_RSHU
Но проприентарной и неизвестно, нет ли там зондов :)