По статистике Positive Technologies за 2020 год в 100% компаний выявлены нарушения регламентов информационной безопасности. Среди всех нарушений в 64% компаний используются незащищенные протоколы. Незащищенный протокол означает, что данные передаются без шифрования и не имеют защиты от злоумышленников.

И, если с защитой каналов связи между филиалами (Site-to-Site VPN) все понятно, то с удаленным доступом все не так просто. Многие компании используют ПО для удаленного доступа, нарушая собственные регламенты, а в некоторых случаях и законодательство.

Ряд нормативных документов в области информационной безопасности обязывает использовать защищенный удаленный доступ. Одним из вариантов организации защищенного удаленного доступа является протокол TLS.

TLS (Transport Layer Security) – протокол защиты транспортного уровня. Принцип его работы следующий: поверх TCP устанавливается зашифрованный канал, по которому передаются данные по протоколу прикладного уровня (HTTP, POP3, RDP и т.д.)

TLS реализует три компонента защиты данных: это аутентификация между клиентом и сервером, шифрование и имитозащита (обеспечение неизменности) данных.

Шифрование и имитозащита пакетов данных позволяют защитить передаваемую информацию от злоумышленников. Для шифрования используются симметричные алгоритмы, поэтому после аутентификации клиент и сервер обмениваются симметричными ключами.

Защищенное соединение устанавливается в несколько этапов. Данный процесс называется TLS-рукопожатие:

Данные, которые передаются по каналу, будут зашифровываться, пока соединение не будет прервано.

Для установления безопасного соединения в современных криптонаборах используются эфемерная система Диффи-Хеллмана. Диффи-Хеллман также может быть соединён с RSA. Для симметричного шифрования может использоваться AES. Для хэш-функций применяются MD5, SHA-256/384.

Как же быть государственным структурам, которые обязаны использовать только отечественную криптографию в своих структурах?

Государственные органы обязаны использовать сертифицированные ФСБ средства доступа. При массовом переходе на удаленный режим работы использование традиционных VPN-клиентов с поддержкой ГОСТ-шифрования становится невыгодным, так как они лицензируются по общему числу пользователей.

Кроме этого развивается программа по внедрению отечественной криптографии в российском сегменте Интернет. Перевод сайтов госорганов на TLS с ГОСТ необходим для выполнения Поручения Президента от 16 июля 2016 года № Пр-1380 «Об обеспечении разработки и реализации комплекса мероприятий, необходимых для перехода органов власти на использование российских криптографических алгоритмов и средств шифрования».

Для решения этих двух задач используется сравнительно новый класс устройств - TLS-gateway с поддержкой ГОСТ-шифрования. Системы данного класса сочетают в себе механизмы TLS-offload и механизмы разграничения доступа к приложениям для удаленных пользователей. Ключевой особенностью TLS-gateway является лицензирование не по общему, а по одновременному числу пользователей.

TLS-offload – механизм переложения шифрования с веб-сервера на отдельное устройство. За счет данной возможности сервер может сосредоточить ресурсы для выполнения основных функций.

TLS с российскими криптонаборами был одобрен организацией IANA, управляющей идентификаторами и параметрами протоколов сети Интернет. Криптонаборы использует алгоритмы шифрования ГОСТ 28147-89, ГОСТ Р 34.12 («Кузнечик» и «Магма»), что делает возможным использование защищенного протокола передачи данных TLS для госорганов.

Для реализации защищенного удаленного доступа к ресурсам сети компания «Код Безопасности» предлагает решение Континент TLS.

Континент TLS представляет собой комплекс, состоящий из сервера и клиента, предназначенный для организации удаленного доступа.

В комплексе реализованы следующие криптографические алгоритмы:

  • ГОСТ 29147-89 для шифрования информации;

  • ГОСТ Р 34.11 для расчета хеш-функции;

  • ГОСТ Р 34.10 для формирования и проверки электронной подписи.

Континент TLS сертифицирован по требованиям РД ФСБ России и требованиям РД ФСТЭК России.

Комплекс состоит из TLS-сервера и TLS-клиента. Запросы Клиента Сервер перенаправляет в защищаемую сеть, а полученные из защищаемой сети ответы – Клиенту.

В качестве TLS-клиента могут выступать:

  • Континент TLS-клиент версии 2;

  • КриптоПро CSP версий 4.0, 5.0;

  • Валидата CSP версии 5.0;

  • Любой другой, сертифицированный по требованиям ФСБ TLS-клиент, поддерживающий протокол TLS версий 1.0 и 1.2

TLS-сервер обеспечивает функционирование трех режимов работы:

  • HTTPS-прокси;

  • TLS-туннель;

  • Портал приложений.

В режиме HTTPS-прокси создается защищенный HTTPS-канал между клиентами и TLS-сервером по протоколу TLS.

В режиме TLS-туннеля создается защищенный туннель для приложений, использующих TCP-протокол.

В режиме Портала приложений используется одна точка входа для доступа к защищаемым ресурсам, разграничение доступа к которым осуществляется с помощью протокола LDAP. После проведения аутентификации и авторизации пользователю будет предложен список доступных защищаемых ресурсов, из которых он сможет выбрать необходимый ему. В остальном работа TLS-сервера в режиме портала аналогична режиму HTTPS-прокси.

Сценарии применения системы Континент TLS

Массовый доступ к порталу государственных услуг

Изначально, Континент TLS создавался именно для этих целей.

Происходит это следующим образом:

a) Необходимо запросить у сервера TLS-клиент и серверный сертификат. Континент TLS-клиент является бесплатной программой.

b) Настроить подключение к порталу:

c) Установить серверный сертификат:

Если аутентификация настроена по сертификату, то потребуется еще и клиентский сертификат:

d) При переходе на портал получаем предложение выбора сертификата, если настроена аутентификация по сертификату:

Или вход по логину и паролю:

Важным здесь является следующее:

  • Данные от клиента к серверу передаются по шифрованному каналу связи по ГОСТ;

  • Континент TLS-клиент позволяет получать конфигурацию с Сервера и на ее основе производить автоматическую настройку доступных ресурсов;

  • Общее количество пользователей может быть любым. Схема лицензирования происходит по суммарному количеству подключенных пользователей (до 45000 одновременно);

  • Подключение к ресурсу возможно с нескольких TLS-клиентов;

  • Возможно настроить как однофакторную, так и двухфакторную аутентификацию.

Удаленный доступ сотрудников к ресурсам сети

Помимо защищенного доступа к веб-приложениям, Континент TLS обеспечивает защищенный удаленный доступ к АРМ. Данное подключение возможно в режиме TLS-туннеля.

Со стороны клиента настройка выглядит следующим образом:
a) В TLS-клиенте настроить подключение к ресурсу:

b) Создать запрос на пользовательский сертификат и передать его администратору удостоверяющего центра:

c) Полученный от администратора пользовательский и серверный сертификаты зарегистрировать в TLS-клиенте:

d) Подключиться к удаленному рабочему столу и выбрать пользовательский сертификат:

Соответствие требованиям регуляторов

Система Континент TLS сертифицирована по требованиям РД ФСТЭК по 4-му уровню контроля отсутствия недокументированных возможностей (НДВ) программного обеспечения.

Наличие данного сертификата ФСТЭК позволяет использовать комплекс для следующих информационных систем:

  • автоматизированных систем (АС) до класса 1Г включительно;

  • государственных информационных систем (ГИС) до 1 класса защищенности включительно;

  • информационных систем персональных данных (ИСПДн) до класса УЗ1 включительно.

Реализованы следующие основные функции, соответствующие мерам защиты приказов ФСТЭК России № 17 и 21:

Меры

Описание

ИАФ.1

Идентификация и аутентификация пользователей, являющихся работниками оператора

ИАФ.5

Защита обратной связи при вводе аутентификационной информации

УПД.6

Ограничение неуспешных попыток входа в информационную систему

УПД.10

Блокировка сеанса доступа в информационную систему после установленного времени бездействия пользователя или по его запросу

РСБ.2

Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

РСБ.6

Генерирование временных меток и (или) синхронизация системного времени в ИС

РСБ.7

Защита информации о событиях безопасности посредством предоставления доступа к журналам аудита только администраторам и создания резервных копий журналов аудита

ОДТ.6

Кластеризация ИС и (или) её сегментов

ЗИС.3

Обеспечение конфиденциальности и целостности информации, передаваемой вне пределов контролируемой зоны

Сервер доступа + Континент-АП или Континент TLS

Континент-АП в связке с сервером доступа реализует удаленный доступ к ресурсам сети. Соответственно, возникает вопрос: есть ли разница между Сервером доступа и Континент-TLS?

Связка АПКШ+СД не подойдет при реализации массового доступа к электронному порталу. Рассмотрим отличия при реализации доступа удаленных сотрудников.

Критерий

Континент-АП

Континент TLS-клиент

База организации удаленного доступа

Сервер доступа в составе АПКШ

Континент TLS-сервер

Сертифицированные версии базы организации удаленного доступа

3.7 (МЭ 4 класса, ФСБ)3.9 (3 УД, МЭ типа "А" 3 класса, СОВ 3 класса уровня сети: ФСТЭКМЭ 4 класса, СКЗИ класса КС2/КС3)4 (4 УД, МЭ типа "А" 4 класса, СОВ 4 класса уровня сети: ФСТЭК)

2.0 (СКЗИ класса КС2: ФСБ4 уровень контроля отсутствия НДВ: ФСТЭК)

Доступные версии агента

3.7, 4.0, 4.1

1.0, 1.2, 2.0

Сертифицированные версии агента

3.7 (СКЗИ класса КС1/КС2/КС3)4 (СКЗИ класса КС1/КС2)

2.0 (СКЗИ класса КС1)

Поддерживаемые платформы агента

Windows, Linux (3.7, 4.0, 4.1), Android (4.1), iOS (4.0)

Windows

Наличие бесплатного агента

Нет

Да

Предназначение агента

Защищенный удаленный доступВерсия 3.7 является персональным межсетевым экраном

Защищенный удаленный доступ

Сценарии использования

Удаленный доступ к корпоративным ресурсам

Организация массового защищенного доступа,Удаленный доступ к корпоративным ресурсам

Протокол передачи данных

TCP, UDP

TCP, TLS в режиме tunnel

Максимальное количество подключений к ресурсам сети

Ограничивается шлюзом (максимум 3000 на один шлюз)

Ограничивается лицензией (максимум 45000 одновременно на один шлюз)

Доступ к ресурсу

Регулируется правилами СД и фильтрации

Регулируется лицензией на HTTPS-прокси и TLS-туннель

Пользователи

Требуется УЗ в СД для каждого пользователя

Не обязательно создавать пользователя (пользователь указывается только в сертификате)

IP-адрес

СД назначает IP-адрес абоненту

IP-адрес клиента не меняется

Заключение

Интерес к организации удаленного доступа в последнее время становится все более актуальным и Континент TLS является одним из вариантов, который не только обеспечивает защищенный удаленный доступ, но и соответствует требованиям регуляторов по защите информации.

Автор статьи: Дмитрий Лебедев, инженер ИБ

Комментарии (4)


  1. Shaman_RSHU
    18.03.2024 16:37
    +1

    Континент TLS-клиент является бесплатной программой

    Но проприентарной и неизвестно, нет ли там зондов :)


  1. stasukas
    18.03.2024 16:37

    Тут описаны решения от одного вендора. А что ещё есть на российском рынке для организации TLS-канала с российской сертифицированной криптографией? Причем, интересно в разрезе обычных клиентских устройств (windows, linux, android, ios).


  1. shrimproller
    18.03.2024 16:37

    Вот интересно, у них на сайте есть удобная и актуальная инструкция по настройке и работе с этим? А то пришлось мне однажды континент настраивать, провозился неделю, думал в программе баг, а оказалось баг в инструкции. Вообще, давно замечаю, что инструкции писать не принято. Нет, они как бы существуют, но давно устарели и потеряли актуальность, и как будто существуют в отрыве от реальности, только потому, что должны существовать. Печально видеть такой подход.


  1. Siva-kun
    18.03.2024 16:37

    Можно ли подключить пк на Linux к корпоративной сети если сервер континент-тлс сервер в режиме tls-tunnel, если написано, что клиента континент-тлс под Линукс нет?