Континент код безопасности инструкция

  1. Введение
  2. Функциональные возможности «Континента TLS»
  3. Архитектура «Континента TLS»
  4. Системные требования «Континента TLS»
  5. Изменения и новые возможности «Континента TLS»
  6. Сценарии использования «Континента TLS»
  7. Выводы

19 Мая 2020 – 10:28

Аватар пользователя Павел Лего

Мы провели сравнение всех представленных на российском рынке TLS-криптошлюзов отечественного производства, имеющих сертификаты безопасности ФСБ и ФСТЭК России. В сравнении участвовали ViPNet TLS Gateway, «КриптоПро NGate», «Континент TLS», а также «С-Терра TLS», который должен появиться на рынке в ближайшем будущем. Продукты были оценены по 90 ключевым критериям. Результаты сравнения помогут заказчикам при выборе решения для реализации защищённого доступа к корпоративным ресурсам по протоколу TLS.

Континент TLS VPN клиент 2.0.1440 необходим для работы с сертификатом электронной подписи ГОСТ Р 34.10-2012. Континент TLS VPN клиент 1.0.920.0 не работает с сертификами ГОСТ 2012.

Данный дистрибутив скачан с сайта производителя и имеет ограничение в работе 14 дней. При регистрации Континента через интернет это ограничение снимается. Приобретать лицензию на СКЗИ «Континент TLS VPN Клиент» не надо. Клиенты казначейства также могут получить данное СКЗИ в местном казначействе.

Континет TLS VPN клиент используется для работы с информационными системами:

  • 1. Электронный бюджет (Федеральное казачейство) budget.gov.ru
  • 2. ФГИС ЦС (Главгосэкспертиза) fgiscs.minstroyrf.ru

Введение

Долгое время при безопасном удалённом доступе к инфраструктурам организаций с российскими криптоалгоритмами применялась схема с созданием защищённых VPN-туннелей на сетевом уровне. Для этого необходимо было разворачивать VPN-клиенты на рабочих местах пользователей и организовывать сетевые соединения до шлюза. Эта модель трудна в развёртывании и эксплуатации.

Поскольку основными целями удалённого доступа являются корпоративные веб-приложения, развёртывание VPN-туннелей для таких задач видится избыточным. В данном случае можно использовать защищённый доступ по протоколу TLS. На рынке уже представлено несколько таких продуктов, которые предлагают возможности организации TLS-соединений с шифрованием по ГОСТам.

Одним из таких продуктов является система «Континент TLS» версии 2.2 от разработчика «Код Безопасности». Этот продукт был первым на рынке и участвовал в таких масштабных проектах, как, например, организация безопасного доступа к сервисам Федерального казначейства. Система «Континент TLS» предоставляет возможности по шифрованию HTTP- / HTTPS-трафика с использованием российских криптоалгоритмов, туннелированию TCP-трафика через протокол TLS, публикации корпоративных приложений через специализированный портал.

Предыдущая версия «Континента TLS» фигурировала в нашей статье «Сравнение сертифицированных ФСБ России TLS-криптошлюзов (TLS-gateway)».

Формирование и отправка запроса на сертификат ключа аутентификации клиента Континент-АП



Если еще не запущен, запустить Континент-АП. Ярлык находится в Пуск > Все программы > Код безопасности > Континент-АП 3.7 > VPN клиент. В панели задач появится значок Континент-АП.


В первую очередь необходимо изменить криптопровайдер по умолчанию. Для этого правой кнопкой мыши (ПКМ) нажать на значок Континент АП, и в пункте Выбор криптопровайдера по умолчанию выбрать «Код Безопасности CSP».


Установить в компьютер съемный носитель информации (флешку), на которую будет записана закрытая ключевая информация.



В представленной форме заполнить поля образом, представленным на картинке слева.

Обратите внимание, что бумажную форму сохранять не нужно, т.к. прилагается бланк заявления. Обратите также внимание на путь сохранения электронной формы. Это файл запроса (.req). Запомните этот путь, либо измените его для сохранения файла запроса на флешку. Для генерации ключа нажать кнопку «ОК».


Континент код безопасности инструкция

Если рабочая станция не оборудована ПАК «Соболь» или аналогичным средством защиты информации от несанкционированного доступа, имеющим физический датчик случайных чисел появится окно биологического датчика случайных чисел и перемещающаяся по экрану мишень, по которой необходимо быстро попадать нажатием левой кнопкой мыши до достижения 100%.


В появившемся окне необходимо ввести пароль, состоящий из не менее 6 символов на создаваемый ключевой контейнер. Внимание: утерянный пароль на ключевой контейнер не восстанавливается.


В появившемся окне необходимо выбрать внешний носитель для создаваемого ключевого контейнера и нажать кнопку «ОК» (в качестве носителя поддерживаются дискета “3,5”, Touch Memory DS1993 – DS1996, электронный ключ с интерфейсом USB (token), cменный носитель с интерфейсом USB (usb-flash)). В настоящей инструкции приведен пример сохранения ключей на съемный usb-flash носитель.


В результате генерации на флешке сохранится закрытая часть сертификата (папка с зашифрованным названием) и, возможно (если в пункте 5 вы указали этот путь), файл запроса.


Для подачи запроса, необходимо отправить электронное письмо следующего содержания:

На заявке необходимо поставить угловой штамп!


Введение

В настоящее время идёт всеобщее развитие IT-инфраструктуры и автоматизации рабочих мест. У предприятий появляется потребность в надёжной и безопасной связи центрального офиса с удалёнными компьютерами сотрудников. Возникает необходимость защиты соединений для передачи конфиденциальной информации. Кроме того, ряд нормативных актов РФ в области информационной безопасности обязывает обеспечивать защищённый обмен сведениями определённого рода. В частности, если речь идёт о персональных данных, то основанный на одноимённом Федеральном законе №152-ФЗ приказ ФСТЭК России №21 обязывает охранять их от раскрытия, модификации и навязывания — ввода ложной информации — при передаче (или подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе — беспроводным. Схожие требования прописаны и в приказе ФСТЭК России №17, который касается обеспечения безопасности данных, содержащихся в государственных информационных системах. Также о защите каналов связи и об организации защищённого удалённого доступа говорится в нормативных актах, регламентирующих оборону критической информационной инфраструктуры, в частности — в приказах ФСТЭК России №239 и №31.

Чаще всего для организации защищённого канала связи создают виртуальную частную сеть (VPN) с использованием криптоалгоритмов ГОСТ. Для этого применяются криптошлюзы и клиентское программное обеспечение. Законодателями мод в этой нише стали такие разработчики, как «ИнфоТеКС», «Код Безопасности» и «С-Терра». Однако подобное решение представляет собой весьма тяжёлую конструкцию, поскольку необходимо не только использовать криптошлюз, но и устанавливать VPN-клиенты на все рабочие станции, с которых требуется производить подключение. Поэтому такой вариант больше подходит для защиты каналов связи между подразделениями компании.

В то же время решения на базе TLS-криптошлюзов позволяют создавать защищённые соединения и без VPN-клиентов, с использованием одного лишь браузера и установленных сертификатов. Это даёт возможность получать доступ к корпоративным ресурсам даже со смартфонов и планшетов. Реализация данного решения требует небольшого количества времени.

Время на прочтение

Континент код безопасности инструкция

Приветствую всех читателей. Это первая статья из цикла Континент Getting Started, посвященных продукту компании «Код Безопасности» Континент 4.

Код Безопасности – отечественная компания, занимающаяся разработкой программных и аппаратных средств защиты информации. Центральный офис находится в Москве. Имеются офисы в Санкт-Петербурге и Пензе.

«Код безопасности» ранее входил в ГК «Информзащита» как отдел разработки. В 2008 году «Код Безопасности» стал самостоятельной компанией. Из продуктов, на тот момент уже были разработаны первые версии Secret Net Studio (защита АРМ от НСД), ПАК «Соболь» (средство доверенной загрузки) и АПКШ «Континент» (защита периметра сети). Основная задача состояла в дальнейшем развитии собственной линейки программно-аппаратных средств защиты.

История развития компании представлена на рисунке ниже:

Континент код безопасности инструкция

На сегодняшний день Код безопасности является одним из лидеров отечественного ИТ рынка. У компании есть решения для защиты сетевой безопасности (защита веб-приложений, система обнаружения вторжений, создание VPN-сетей, UTM), защиты виртуальных сред, защиты конечных станций, защита мобильных устройств и защита электронного документооборота.

Континент код безопасности инструкция

Продукция Кода безопасности сертифицирована по требования ФСТЭК России, ФСБ России и МО РФ, что позволяет компании применять их для защиты как информации конфиденциального характера, так и государственной тайны.

В настоящее время идет активное развитие продукта под названием Континент 4. Континент 4 – универсальное устройства корпоративного уровня для всесторонней защиты сети (UTM) с поддержкой алгоритмов шифрования ГОСТ. UTM — продукт по формату «все включено», объединяющий в себе межсетевой экран, систему обнаружения и предотвращения вторжений, антивирус и т.д.

Континент 4 реализует следующие основные функции:

  • обнаружение и предотвращение вторжений в информационную систему;

  • обеспечение доступа пользователей к ресурсам VPN

  • поддержка сетевых возможностей, таких как коммутация и маршрутизация пакетов, преобразование сетевых адресов, организация VLAN и др.;

  • автоматическая регистрация событий, связанных с функционированием комплекса, в том числе событий НСД;

  • централизованное и локальное управление компонентами комплекса.

Если в прошлых версиях Континент механизмы безопасности были представлены на отдельных устройствах (Криптошлюз, криптокоммутатор, детектор атак и тд), то в 4 версии все эти механизмы содержатся в едином узле безопасности.

Архитектура Континент 3.9
Архитектура Континент 3.9
Архитектура Континент 4
Архитектура Континент 4

Для обеспечения отказоустойчивости устройство поддерживает кластеризацию в режиме Active/Passive.

Программное обеспечение Континент TLS VPN – система обеспечения защищенного удаленного доступа к веб-приложениям с использованием алгоритмов шифрования ГОСТ. Континент TLS VPN осуществляет криптографическую защиту HTTP-трафика на сеансовом уровне. Шифрование информации производится по алгоритму ГОСТ 28147–89.

Идентификация и аутентификация удаленных пользователей

Идентификация и аутентификация пользователей выполняются по сертификатам открытых ключей стандарта x.509v3 (ГОСТ Р 31.11–94, 34.10–2001). Континент TLS VPN производит проверку сертификатов ключей по спискам отозванных сертификатов (CRL). Выпуск сертификатов осуществляется внешним удостоверяющим центром.

В случае успешного прохождения процедур аутентификации запрос пользователя перенаправляется по протоколу HTTP в защищенную сеть к соответствующему веб-серверу. При этом к каждой HTTP-сессии пользователя добавляются специальные идентификаторы (идентификатор клиента и идентификатор IP).

Криптографическая защита передаваемой информации

Континент TLS VPN осуществляет криптографическую защиту HTTP-трафика на сеансовом уровне. Шифрование информации производится по алгоритму ГОСТ 28147–89. Расчет хэш-функции выполняется по алгоритму ГОСТ Р 34.11–94, ГОСТ Р 34.11–2012. Формирование и проверка электронной подписи осуществляются в соответствии с алгоритмом ГОСТ Р 34.10–2001, ГОСТ Р 34.10–2012.

Сокрытие защищаемых серверов и трансляция адресов

Континент TLS VPN производит фильтрацию запросов и транслирует адреса запросов к веб-серверам корпоративной сети. Трансляция адресов осуществляются в соответствии с правилами, которые устанавливает администратор «Континент TLS VPN».

Отказоустойчивость и масштабируемость

Континент TLS VPN поддерживает работу в схеме высокопроизводительного кластера с балансировкой нагрузки (внешним балансировщиком). Повышение отказоустойчивости достигается добавлением в кластер избыточной ноды. При этом наращивания элементов балансирующего кластера может осуществляться неограниченно. Выход из строя элемента кластера не приводит к разрыву соединений, поскольку нагрузка равномерно распределяется между остальными элементами.

Мониторинг и регистрация событий

В Континент TLS VPN администратор всегда может получить оперативную информацию о текущем состоянии установленных соединений и статистику его работы. На сервере осуществляется журналирование событий информационной безопасности. Все события могут пересылаться на указанный сервер в формате syslog для дальнейшего анализа, что делает интеграцию с SIEM-системами максимально простой.

Удобные инструменты управления

Сочетание локальных и удаленных средств с веб-интерфейсом и удобной графической консолью управления обеспечивает гибкую настройку Континент TLS VPN в соответствии с требованиями политик безопасности.

Континент TLS VPN поддерживает протоколы TLS v.1, TLS v.2.

Работа пользователя через любой веб-браузер

Используя приложение Континент TLS VPN Клиент, пользователи могут получить доступ к защищенным ресурсам из любого веб-браузера. Континент TLS VPN Клиент является локальным прокси, перехватывает трафик браузера к защищаемым веб-серверам и упаковывает его в http-туннель. Благодаря этому пользователь может работать с любым веб-браузером, установленным на его устройстве.

Использование удобного для пользователей программного клиента

Использование удобного для пользователей программного клиента В качестве клиента на устройстве пользователя может быть использован Континент TLS VPN Клиент или КриптоПро CSP версии 3.6.1.

Программное обеспечение Континент TLS VPN – система обеспечения защищенного удаленного доступа к веб-приложениям с использованием алгоритмов шифрования ГОСТ. Континент TLS VPN осуществляет криптографическую защиту HTTP-трафика на сеансовом уровне. Шифрование информации производится по алгоритму ГОСТ 28147–89.

Идентификация и аутентификация удаленных пользователей

Идентификация и аутентификация пользователей выполняются по сертификатам открытых ключей стандарта x.509v3 (ГОСТ Р 31.11–94, 34.10–2001). Континент TLS VPN производит проверку сертификатов ключей по спискам отозванных сертификатов (CRL). Выпуск сертификатов осуществляется внешним удостоверяющим центром.

В случае успешного прохождения процедур аутентификации запрос пользователя перенаправляется по протоколу HTTP в защищенную сеть к соответствующему веб-серверу. При этом к каждой HTTP-сессии пользователя добавляются специальные идентификаторы (идентификатор клиента и идентификатор IP).

Криптографическая защита передаваемой информации

Континент TLS VPN осуществляет криптографическую защиту HTTP-трафика на сеансовом уровне. Шифрование информации производится по алгоритму ГОСТ 28147–89. Расчет хэш-функции выполняется по алгоритму ГОСТ Р 34.11–94, ГОСТ Р 34.11–2012. Формирование и проверка электронной подписи осуществляются в соответствии с алгоритмом ГОСТ Р 34.10–2001, ГОСТ Р 34.10–2012.

Сокрытие защищаемых серверов и трансляция адресов

Континент TLS VPN производит фильтрацию запросов и транслирует адреса запросов к веб-серверам корпоративной сети. Трансляция адресов осуществляются в соответствии с правилами, которые устанавливает администратор «Континент TLS VPN».

Отказоустойчивость и масштабируемость

Континент TLS VPN поддерживает работу в схеме высокопроизводительного кластера с балансировкой нагрузки (внешним балансировщиком). Повышение отказоустойчивости достигается добавлением в кластер избыточной ноды. При этом наращивания элементов балансирующего кластера может осуществляться неограниченно. Выход из строя элемента кластера не приводит к разрыву соединений, поскольку нагрузка равномерно распределяется между остальными элементами.

Мониторинг и регистрация событий

В Континент TLS VPN администратор всегда может получить оперативную информацию о текущем состоянии установленных соединений и статистику его работы. На сервере осуществляется журналирование событий информационной безопасности. Все события могут пересылаться на указанный сервер в формате syslog для дальнейшего анализа, что делает интеграцию с SIEM-системами максимально простой.

Удобные инструменты управления

Сочетание локальных и удаленных средств с веб-интерфейсом и удобной графической консолью управления обеспечивает гибкую настройку Континент TLS VPN в соответствии с требованиями политик безопасности.

Континент TLS VPN поддерживает протоколы TLS v.1, TLS v.2.

Работа пользователя через любой веб-браузер

Используя приложение Континент TLS VPN Клиент, пользователи могут получить доступ к защищенным ресурсам из любого веб-браузера. Континент TLS VPN Клиент является локальным прокси, перехватывает трафик браузера к защищаемым веб-серверам и упаковывает его в http-туннель. Благодаря этому пользователь может работать с любым веб-браузером, установленным на его устройстве.

Использование удобного для пользователей программного клиента

Использование удобного для пользователей программного клиента В качестве клиента на устройстве пользователя может быть использован Континент TLS VPN Клиент или КриптоПро CSP версии 3.6.1.

Программное обеспечение Континент TLS VPN – система обеспечения защищенного удаленного доступа к веб-приложениям с использованием алгоритмов шифрования ГОСТ. Континент TLS VPN осуществляет криптографическую защиту HTTP-трафика на сеансовом уровне. Шифрование информации производится по алгоритму ГОСТ 28147–89.

Идентификация и аутентификация удаленных пользователей

Идентификация и аутентификация пользователей выполняются по сертификатам открытых ключей стандарта x.509v3 (ГОСТ Р 31.11–94, 34.10–2001). Континент TLS VPN производит проверку сертификатов ключей по спискам отозванных сертификатов (CRL). Выпуск сертификатов осуществляется внешним удостоверяющим центром.

В случае успешного прохождения процедур аутентификации запрос пользователя перенаправляется по протоколу HTTP в защищенную сеть к соответствующему веб-серверу. При этом к каждой HTTP-сессии пользователя добавляются специальные идентификаторы (идентификатор клиента и идентификатор IP).

Криптографическая защита передаваемой информации

Континент TLS VPN осуществляет криптографическую защиту HTTP-трафика на сеансовом уровне. Шифрование информации производится по алгоритму ГОСТ 28147–89. Расчет хэш-функции выполняется по алгоритму ГОСТ Р 34.11–94, ГОСТ Р 34.11–2012. Формирование и проверка электронной подписи осуществляются в соответствии с алгоритмом ГОСТ Р 34.10–2001, ГОСТ Р 34.10–2012.

Сокрытие защищаемых серверов и трансляция адресов

Континент TLS VPN производит фильтрацию запросов и транслирует адреса запросов к веб-серверам корпоративной сети. Трансляция адресов осуществляются в соответствии с правилами, которые устанавливает администратор «Континент TLS VPN».

Отказоустойчивость и масштабируемость

Континент TLS VPN поддерживает работу в схеме высокопроизводительного кластера с балансировкой нагрузки (внешним балансировщиком). Повышение отказоустойчивости достигается добавлением в кластер избыточной ноды. При этом наращивания элементов балансирующего кластера может осуществляться неограниченно. Выход из строя элемента кластера не приводит к разрыву соединений, поскольку нагрузка равномерно распределяется между остальными элементами.

Мониторинг и регистрация событий

В Континент TLS VPN администратор всегда может получить оперативную информацию о текущем состоянии установленных соединений и статистику его работы. На сервере осуществляется журналирование событий информационной безопасности. Все события могут пересылаться на указанный сервер в формате syslog для дальнейшего анализа, что делает интеграцию с SIEM-системами максимально простой.

Удобные инструменты управления

Сочетание локальных и удаленных средств с веб-интерфейсом и удобной графической консолью управления обеспечивает гибкую настройку Континент TLS VPN в соответствии с требованиями политик безопасности.

Континент TLS VPN поддерживает протоколы TLS v.1, TLS v.2.

Работа пользователя через любой веб-браузер

Используя приложение Континент TLS VPN Клиент, пользователи могут получить доступ к защищенным ресурсам из любого веб-браузера. Континент TLS VPN Клиент является локальным прокси, перехватывает трафик браузера к защищаемым веб-серверам и упаковывает его в http-туннель. Благодаря этому пользователь может работать с любым веб-браузером, установленным на его устройстве.

Использование удобного для пользователей программного клиента

Использование удобного для пользователей программного клиента В качестве клиента на устройстве пользователя может быть использован Континент TLS VPN Клиент или КриптоПро CSP версии 3.6.1.

Изменения и новые возможности «Континента TLS»

В «Континент TLS» версии 2.2 было добавлено несколько новых функций и возможностей. Большое количество изменений связано с повышением удобства и оптимизацией работы. Это касается процессов связанных с удалённой настройкой, отказоустойчивостью, контролем доступа пользователей к защищаемым ресурсам и управлением сертификатами с помощью удостоверяющего центра. 

Далее перечислим изменения и новые возможности «Континента TLS» версии 2.2:

  • Разработчики встроили в систему удостоверяющий центр TLS-сервера для выпуска неквалифицированных сертификатов. УЦ позволяет выпускать, перевыпускать и отзывать корневые, серверные и пользовательские сертификаты, экспортировать их, управлять списком отозванных сертификатов (CRL).
  • Было реализовано разграничение прав доступа к ресурсам на основе правил, использующих значения параметров сертификата пользователя для более быстрого и простого предоставления доступа.
  • Появилась возможность настройки сетевых параметров при удалённом управлении сервером TLS.
  • Добавлена поддержка актуальных криптографических алгоритмов ГОСТ Р 34.10-2012 (512 бит) и ГОСТ Р 34.12-2015.
  • Появилась возможность использования протокола SSH в защищённом туннеле.
  • Добавлена функция удалённой перезагрузки кластера TLS-серверов с помощью консоли администратора.
  • Появилась возможность подключения к серверу TLS по специальному технологическому сертификату до окончания настройки полной рабочей конфигурации на сервере.
  • Добавлена вспомогательная опция резервного копирования базы данных сервера TLS без сетевых параметров.
  • Появилась английская локализация интерфейса.

Сценарии использования «Континента TLS»

Настройка TLS-сервера

Перед тем как ввести в эксплуатацию «Континент TLS», необходимо настроить сам сервер. Часть манипуляций производится на сервере с помощью графической оболочки внутренней операционной системы. Все остальные действия можно производить с помощью рабочего места администратора после того, как TLS-сервер окажется доступен по сети.

Рисунок 3. Настройка TLS-сервера на «Континенте TLS»

Настройка TLS-сервера на «Континенте TLS»

На сервере можно настроить сетевые соединения и параметры, установить системное время, настроить администрирование и произвести инициализацию системы, которая позволит сформировать первоначальную базу данных и организовать веб-управление. Также нужно сгенерировать мастер-ключ и записать его на внешний носитель. Он потребуется для таких задач, как шифрование закрытых ключей серверных сертификатов, подписывание обновлений сервера, обеспечение защищённого соединения между элементами кластера.

Рисунок 4. Генерация мастер-ключа на «Континенте TLS»

Генерация мастер-ключа на «Континенте TLS»

Из дополнительных возможностей главного меню можно выделить опцию диагностики TLS-сервера, полезную для выявления проблем при работе системы, и функцию резервного копирования, которая позволяет сохранить всю базу данных сервера и сетевые настройки либо только базу данных. 

Также необходимо отметить, что многие параметры, которые есть в главном меню, можно настраивать удалённо с помощью веб-консоли администрирования после получения сетевого доступа к серверу.

Рисунок 5. Настройка сервера администрирования

Настройка сервера администрирования

После того как будет настроен сервер администрирования и будут установлены все необходимые для его доступности сетевые настройки, а также произойдёт инициализация системы, появится возможность подключиться к серверу удалённо. Для этого понадобится запустить браузер и ввести адрес сервера. Также можно использовать сертификат администратора на основе алгоритмов ГОСТ для обеспечения более защищённого доступа. Однако для того чтобы задействовать эту опцию, необходимо предварительно установить криптопровайдер «КриптоПро CSP» на рабочую станцию администратора.

Для корректной работы TLS-сервера требуются следующие сертификаты:

  • не менее одного корневого сертификата удостоверяющего центра;
  • не менее одного сертификата сервера;
  • не менее одного сертификата администратора сервера.

Генерация закрытого ключа и создание запроса на сертификат открытого ключа производятся с помощью приложения «Континент TLS Клиент». Корневой сертификат и сертификат администратора, выданные удостоверяющим центром, можно загрузить на TLS-сервер локально или удалённо.

Проверка валидности пользовательских и корневых сертификатов осуществляется сервером по спискам отозванных сертификатов, загруженным в его локальную базу данных. Проверка валидности сертификата пользователя выполняется в ходе его аутентификации при обращении к защищаемому ресурсу.

Рисунок 6. Консоль администрирования «Континента TLS»

Консоль администрирования «Континента TLS»

Настройка приложения «Континент ZTN Клиент»

Для того чтобы пользователь мог подключаться к ресурсам организации, ему необходимо установить на рабочее место программное обеспечение «Континент ZTN Клиент». Оно может работать в режимах VPN и TLS. 

В приложении можно настроить различные параметры подключения, например используемые профили, целевые ресурсы, применяемые сертификаты. Для более оперативного развёртывания клиентского приложения можно пользоваться процедурой экспорта / импорта конфигурации через раздел «Конфигурация» окна «Настройки».

Рисунок 7. Окно с основными настройками в приложении «Континент ZTN Клиент»

Окно с основными настройками в приложении «Континент ZTN Клиент»

Помимо этого можно настроить список ресурсов, к которым у пользователя будет доступ, а также загрузить все необходимые для работы сертификаты — пользовательские, серверные и корневые. Также можно импортировать список отозванных сертификатов. «Континент ZTN Клиент» позволяет также создавать запросы на получение сертификата пользователя и записывать закрытые ключи на съёмный носитель или в операционную систему.

Рисунок 8. Окно настройки сертификатов в приложении «Континент ZTN Клиент»

Окно настройки сертификатов в приложении «Континент ZTN Клиент»

Необходимо учесть, что для корректного подключения к ресурсам необходимо установить по каждому из них точные параметры: адрес ресурса, порт, тип подключения (прокси или TLS) и другие.

Рисунок 9. Управление защищёнными ресурсами в приложении «Континент ZTN Клиент»

Управление защищёнными ресурсами в приложении «Континент ZTN Клиент»

После выполнения вышеуказанных манипуляций приложение «Континент ZTN Клиент» будет готово к работе.

Консоль администрирования «Континента TLS»

Консоль администрирования «Континента TLS» представляет собой веб-страницу с настройками. Как уже было сказано ранее, многие параметры сервера можно задавать локально на самом сервере, однако гораздо удобнее управлять конфигурацией именно в веб-версии. Кроме того, многие параметры доступны только в веб-интерфейсе, например настройка подключений или управление лицензиями.

Рисунок 10. Разделы консоли администрирования «Континента TLS»

Разделы консоли администрирования «Континента TLS»

Управление параметрами системы осуществляется в левой части страницы через кнопку «Меню». Имеется 10 разделов, некоторые из них включают в себя дополнительные подразделы. Например, можно просматривать информацию о статусе сервера или серверов (если организован кластер), в том числе о трафике данных, используемых аппаратных ресурсах, наличии RAID и т. д., через раздел «Статус». Также доступна работа с различными журналами — системным, по доступу, архивным.

Управление сертификатами, включая администрирование удостоверяющего центра на сервере, можно осуществлять через вкладки «Сертификаты», «Управление TLS и CRL». «Центр сертификации» позволяет просматривать сведения о сертификатах (серверных, сертификатах администраторов и УЦ), а также управлять настройками работы TLS и CRL-файлов, включая их обновление.

Весьма важным разделом является вкладка «Ресурсы», которая позволяет настраивать подключения. В частности, можно управлять порталом приложений, поднимать TLS-туннели и настраивать HTTPS-прокси.

Рисунок 11. Настройка подключений через вкладку «Ресурсы»

Настройка подключений через вкладку «Ресурсы»

Вкладка «Настройки» обеспечивает управление параметрами TLS-сервера. Многие из них дублируют опции на локальном сервере. Также можно управлять сетевыми настройками, в т. ч. для физических и виртуальных интерфейсов. Раздел «Диагностика» позволяет, например, проверять доступность узлов.

Настройка портала приложений «Континента TLS»

Система предоставляет возможность создать портал приложений на TLS-сервере для обеспечения единой точки доступа к нескольким веб-сайтам или приложениям (в том числе внешним). Пользователи организации после подключения и прохождения процедуры аутентификации попадают на страницу портала с каталогом корпоративных ресурсов, которые доступны для использования.

Рисунок 12. Настройка параметров подключения к порталу приложений

Настройка параметров подключения к порталу приложений

Рисунок 13. Настройка приложений на портале

Настройка приложений на портале

Вкладка «Приложения» позволяет указывать список приложений, которые увидят подключающиеся к порталу пользователи. На странице можно добавлять новые приложения и устанавливать дополнительные параметры подключения к ним — например, настроить особый тип аутентификации (не такой, как для самого портала приложений), задать адрес и тип защищаемого ресурса, указать то, для каких пользователей он будет доступен. Также можно указать опции обработки соединения — к примеру, где хранить идентификационные файлы (cookie) — или настроить SSO.

Рисунок 14. Настройка подключения к приложениям на портале

Настройка подключения к приложениям на портале

Также можно настроить разделы портала, т. е. указать часть URI, которая будет транслироваться напрямую от портала к приложению без добавления префикса. Вкладка «Пользовательские приложения» позволяет настроить домашнюю страницу портала для определения списка приложений, которые пользователь увидит при входе.

Рисунок 15. Настройка внешнего вида портала приложений

Настройка внешнего вида портала приложений

Рисунок 16. Окно с доступными ресурсами на портале приложений

Окно с доступными ресурсами на портале приложений

Настройка доступа клиентов через HTTPS-прокси

Клиенты могут подключаться к защищаемым ресурсам по HTTPS-прокси либо через TLS-туннель. Для этого предназначены две строки в разделе «Ресурсы». Рассмотрим для начала вариант с HTTPS-прокси.

Необходимо учесть, что для настройки HTTPS-прокси необходимо задать правила трансляции внешних адресов TLS-сервера во внутренние адреса веб-серверов внутренней корпоративной сети. Правила должны запрещать веб-серверу перенаправлять пользователей на другие ресурсы внутренней сети.

Рисунок 17. Настройка доступа к ресурсам через HTTPS-прокси

Настройка доступа к ресурсам через HTTPS-прокси

Страница работы с HTTPS позволяет управлять ресурсами, к которым будут подключаться пользователи. Можно добавлять или редактировать ресурсы из списка, в том числе настраивать подключение к этим ресурсам. Система предлагает настроить основные параметры, такие как сертификат безопасности, внешний адрес прокси, адрес защищаемого ресурса, порт, сетевой интерфейс. Дополнительно можно настроить политики безопасности, например требование аутентификации, проверку CRL, обязательное использование TLS 1.2.

Рисунок 18. Настройка параметров HTTPS-прокси

Настройка параметров HTTPS-прокси

Помимо этого доступна настройка дополнительных параметров, таких как обработка соединения (куда входят возможность использования NTLM-аутентификации и замена заголовков «Host»), передача данных в HTTP-заголовках и разграничение доступа по параметрам сертификата.

После осуществления этих настроек пользователь может подключаться к корпоративным ресурсам с помощью TLS-клиента. Для этого следует запустить клиентское приложение, если оно ранее не было запущено, и открыть браузер. В адресной строке вводится адрес приложения и осуществляется подключение к нему с использованием сертификата.

Рисунок 19. Подключение к ресурсу с помощью HTTPS-прокси

Подключение к ресурсу с помощью HTTPS-прокси

Настройка доступа клиентов через TLS-туннель

Ещё одним способом защищённого доступа пользователей к ресурсам организации является подключение через TLS-туннель. Для того чтобы приступить к настройке TLS-туннеля, необходимо задать требуемый сертификат сервера, а также настроить параметры туннеля для каждого защищаемого ресурса сети.

Рисунок 20. Просмотр списка TLS-туннелей в «Континенте TLS»

Просмотр списка TLS-туннелей в «Континенте TLS»

В отличие от настройки доступа к порталу приложений и HTTPS-прокси, здесь система предлагает не так много возможностей для конфигурирования. Помимо добавления и удаления туннелей можно внести в них изменения — например, поменять наименование соединения, задать адрес ресурса, локальный и внешний порт, сетевой интерфейс, установить взаимодействие с группами из LDAP.

Рисунок 21. Настройка параметров TLS-туннелей

Настройка параметров TLS-туннелей

Также можно установить параметры туннеля с помощью дополнительной одноимённой вкладки. Доступна установка опций по использованию криптотуннеля, применению TLS 1.2, фильтрации алгоритмов шифрования и проверке CRL. На этой же вкладке можно выбрать тип журналирования событий и сертификат безопасности туннеля.

Для того чтобы проверить подключение, пользователю необходимо в адресной строке браузера ввести наименование туннеля (в нашем случае — «tunnel») и выбрать необходимый сертификат, после чего произойдёт подключение к требуемому ресурсу с помощью TLS-туннеля.

Рисунок 22. Выбор сертификата для подключения с помощью TLS-туннеля

Выбор сертификата для подключения с помощью TLS-туннеля

Управление сертификатами безопасности в «Континенте TLS»

«Континент TLS» предлагает несколько способов управления сертификатами. Например, средствами локального или удалённого управления на сервере (через вкладку «Сертификаты») можно осуществлять действия по замене сертификатов и управлению параметрами их проверки и использования.

Рисунок 23. Просмотр сертификатов в «Континенте TLS»

Просмотр сертификатов в «Континенте TLS»

Всего доступно четыре типа сертификатов: серверные, удостоверяющего центра, головного удостоверяющего центра и администраторов (для удалённого управления). В списках сертификатов отображается вся необходимая информация по ним: кому и кем выдан, номер, срок действия, статус и тип. Все сертификаты можно импортировать, экспортировать или удалить.

Рисунок 24. Создание запроса на выпуск нового сертификата в «Континенте TLS»

Создание запроса на выпуск нового сертификата в «Континенте TLS»

На вкладке с серверными сертификатами также доступно создание запросов на их выпуск. В запросе можно указать общее имя, алгоритм подписи и остальные сведения. Для того чтобы сертификат был выпущен, его необходимо предварительно подписать. Это делается в разделе «Центр сертификации». Однако для успешного подписания запроса необходимо, чтобы был ранее выпущен корневой сертификат. Выпуск корневого сертификата производится там же.

После подписания запроса новый сертификат отобразится на вкладке «Выпущенные сертификаты», откуда его можно экспортировать.

Рисунок 25. Подписание запроса на сертификат в «Континенте TLS»

Подписание запроса на сертификат в «Континенте TLS»

Просмотр журналов регистрации событий и отчётов в «Континенте TLS»

Просмотр логов и управление ими осуществляются через вкладку «Журналы». Доступны следующие журналы: системный, доступа пользователей HTTPS-прокси (access.log), событий доступа по криптотуннелю (sctunnel.log), авторизации (https_login.log).

Рисунок 26. Управление журналами в «Континенте TLS»

Управление журналами в «Континенте TLS»

Любой журнал можно экспортировать для просмотра в более удобном для этих целей приложении. Стоит отметить, что просмотр журналов доступа возможен только после их экспорта и открытия в приложениях, которые позволяют читать формат LOG.

Рисунок 27. Просмотр журнала доступа пользователей HTTPS-прокси

Просмотр журнала доступа пользователей HTTPS-прокси

Дополнительно можно настроить отправку всех журналов (системных и по доступу) на определенный Syslog-сервер, после чего передавать их в SIEM. При этом все вновь регистрируемые события будут продолжать храниться и локально, на сервере.

Эти параметры задаются удалённо через вкладку «Журналирование» в настройках системы. Здесь можно указать степень детализации журнала, адрес и порт Syslog-сервера, срок хранения данных, максимальный размер логов.

Рисунок 28. Настройка отправки журналов на Syslog-сервер

Настройка отправки журналов на Syslog-сервер

Настройка СКЗИ «Континент TLS VPN Клиент» для работы в Электронном бюджете

Запускаем Континент TLS VPN Клиент (через меню пуск или иконку на рабочем столе). В открывшемся окне нажимаем «Главная» > «Добавить» > «Ресурс».

Настройка континента TLS VPN клиент

В окне добавления ресурса прописываем следующее:

  1. Если используете сертификат пользователя по ГОСТ 2012, то пишем:
    • Адрес: lk2012.budget.gov.ru
    • Имя ресурса: lk2012.budget.gov.ru
    • Удаленный порт: 443
    • Тип: Прокси
  2. Если используете сертификат пользователя по ГОСТ 2001, то пишем:
    • Адрес: lk.budget.gov.ru
    • Имя ресурса: lk.budget.gov.ru
    • Удаленный порт: 443
    • Тип: Прокси

Нажимаем «Сохранить». В соединениях отобразиться «lk2012.budget.gov.ru» или/и «lk.budget.gov.ru».

Континент TLS VPN Клиент. Добавление ресурса

Далее идем в раздел «Настройки» > «Основные». Ставим галочки в следующих чекбоксах:

  • Проверять сертификаты по CRL
  • Запускать при старте системы
  • Скачивать CRL автоматически
  • При запуске свернуть в системный трей

Получаем страницу с такими настройками. Нажимаем «Сохранить».

Континент TLS VPN Клиент. Настройки. Основные.

Следующий этап — настройка прокси. Раздел «Настройки» > «Внешний прокси» ставим галку «Настраивать автоматически» и сохраняем.

Континент TLS VPN Клиент. Настройка. Внешний прокси.

Следующий этап — настройка сертификатов. Идем на вкладку «Управление сертификатами» > раздел «Серверные сертификаты» > «Импортировать».

Континент TLS VPN Клиент. Серверные сертификаты.
Континент TLS VPN Клиент. Серверные сертификаты. Загрузка.

В результате добавления сертификатов видим следующее.

Континент TLS VPN Клиент. Серверные сертификаты.

Далее проверяем вкладку пользовательские сертификаты. Если вашего сертификата там нет, то его необходимо установить через КриптоПро. Инструкция по установке личного сертификата в КриптоПро тут. Если сертификат установлен, то видим следующее.

Континент TLS VPN Клиент. Пользовательские сертификаты.
Континент TLS клиент 2.0 скачать дистрибутив, настройка, сертификаты сервера, инструкция по установке

На панели задач внизу справа нажать правой кнопкой мыши на значок «Континент TLS Клиента» и выбрать пункт «Сброс соединений».

Сертификаты сервера «Континент TLS VPN» (lk2012. budget. gov. ru и lk. budget. gov. ru)

Архитектура «Континента TLS»

Архитектурно «Континент TLS» представляет собой взаимосвязанную систему, состоящую из TLS-сервера и клиентского программного обеспечения. В качестве последнего могут быть использованы перечисленные ниже приложения и СКЗИ:

  • «Континент TLS Клиент» версии 2;
  • «КриптоПро CSP» версий 4.0, 5.0;
  • «Валидата CSP» версий 5.0, 6.0;
  • «Яндекс.Браузер»;
  • «Континент ZTN Клиент» для ОС Windows, Linux, Android, «Аврора»; 
  • любой другой сертифицированный по требованиям ФСБ России TLS-клиент, поддерживающий протокол TLS версий 1.0 и 1.2.

Для предотвращения несанкционированного доступа к ресурсам TLS-сервера он функционирует совместно с предустановленным средством защиты — ПАК «Соболь» версии 3.0 / 3.1 / 3.2.

TLS-сервер работает в трёх режимах: HTTPS-прокси, TLS-туннель, портал приложений.

В режиме HTTPS-прокси с помощью возможностей «Континента TLS» создаётся защищённый HTTPS-канал между TLS-клиентами и TLS-сервером. Для каждого защищаемого ресурса используется отдельный сертификат сервера. Для защиты нескольких веб-ресурсов одновременно применяется wildcard-сертификат. 

В режиме TLS-туннеля создаётся защищённый туннель для приложений использующих TCP-протокол, в том числе SSH.

Рисунок 1. Схема работы системы с использованием wildcard-сертификата

Схема работы системы с использованием wildcard-сертификата

В режиме портала приложений используются один сертификат сервера и одна точка входа для доступа к защищаемым ресурсам, разграничение доступа к которым может осуществляться с помощью протокола LDAP. После проведения аутентификации и авторизации пользователю будет предложен список доступных защищаемых ресурсов, из которых он сможет выбрать необходимый ему.

Между собой серверы в кластере могут обмениваться только служебной информацией. Для того чтобы серверы работали в кластере, необходимо использовать сторонний балансировщик трафика или применять DNS-балансировку.

Если основной TLS-сервер вышел из строя, теряется только управление кластером. Это не сказывается на работоспособности остальных серверов, поскольку они работают в соответствии с конфигурацией полученной с основного сервера до его отказа. Восстановить основной TLS-сервер после сбоя можно из резервной копии.

TLS-сервер позволяет средствами удалённого управления выключать или перезагружать отдельные серверы кластера или весь кластер целиком. Однако удалённое включение кластера в системе не реализовано.

Рисунок 2. Схема работы системы с использованием кластера и балансировщика

Схема работы системы с использованием кластера и балансировщика

TLS-сервер и TLS-клиент имеют сертификаты ФСБ России (№ СФ/114-4082 и № СФ/114-3862) на соответствие требованиям к средствам криптографической защиты информации класса КС1 / КС2.

Стоимость системы «Континент TLS» зависит от нескольких факторов: модели устройства TLS-сервера, количества одновременных подключений, вида технической поддержки. В отношении последней вендор предлагает несколько вариантов (базовый, стандартный, расширенный, VIP), различающихся условиями предоставления поддержки.

Сравнение TLS-криптошлюзов

Общие сведения

Архитерктура TLS-криптошлюза

Производительность

Аутентификация пользователей

Работа с криптоключами

Установка соединения

Возможности TLS-клиента

Режимы работы

Мониторинг и работа с журналами

Отказоустойчивость и масштабирование

Управление TLS-криптошлюзом

Управление доступом удалённых пользователей

Дополнительные функции

Методология сравнения TLS-криптошлюзов

Для того чтобы можно было досконально рассмотреть все возможности сравниваемых решений, были выбраны критерии, которые позволили бы составить полноценное представление о каждом из них. В общей сложности мы выделили 90 критериев сравнения, сгруппировав их в следующие категории:

  1. Общие сведения.
  2. Архитерктура TLS-криптошлюза.
  3. Производительность.
  4. Аутентификация пользователей.
  5. Работа с криптоключами.
  6. Установка соединения.
  7. Возможности TLS-клиента.
  8. Режимы работы.
  9. Мониторинг и работа с журналами.
  10. Отказоустойчивость и масштабирование.
  11. Управление TLS-криптошлюзом.
  12. Управление доступом удалённых пользователей.
  13. Дополнительные функции.

Для сопоставительного исследования были выбраны четыре продукта от отечественных производителей, имеющие сертификаты безопасности либо ожидающие их получения в ближайшее время. На данный момент они составляют исчерпывающий список доступных на рынке представителей решений на базе TLS-криптошлюзов.

  1. «КриптоПро NGate» (ООО «КРИПТО-ПРО»);
  2. ViPNet TLS Gateway (ОАО «ИнфоТеКС»);
  3. «Континент TLS» (ООО «Код Безопасности»);
  4. «С-Терра TLS» (ООО «С-Терра СиЭсПи»).

Лицензирование

В базовую лицензию при покупке UTM-устройства входят:

  • система обнаружения и предотвращения вторжений,

  • расширенный контроль приложений,

  • защита от вредоносных веб-сайтов,

  • Сервер доступа на 2 подключения,

  • Лицензии на обновление сигнатур СОВ, базы приложений и базы вредоносных сайтов предоставляются на 1 год.

Инструкция по установке Континент TLS VPN клиент 2. 1440

Перед установкой Континента ТЛС версии 2 необходимо удалить предыдущую версию Континента (если конечно она была установлена) через Пуск > Панель управления > Программы > Программы и компоненты. Потом перезагрузить компьютер.

Скачанный дистрибутив необходимо разархивировать и запустить файл «Континент TLS-клиент.exe»

Континент TLS-клиент.exe

Далее в появившемся окне отмечаем чекбокс «Я принимаю условия лицензионного соглашения» и нажимаем кнопку «Установить».

Континент TLS-клиент установить

После успешной установки предлагается перезагрузить компьютер — соглашаемся.

Континент TLS-клиент. Установка завершена

Далее необходимо зарегистрировать СКЗИ «Континент TLS VPN Клиент». При запуске незарегистрированной программы появится следующее окно.

Континент TLS VPN клиент 2.0.1440 Вы используете незарегистрированную версию программы

Если в течение 14 дней не зарегистрировать программу, то по окончании демонстрационного периода работа программы будет приостановлена.

Если не зарегистрировались сразу, то форму регистрации ищите в Континент TLS Клиент на вкладке «Настройки» > раздел «Регистрация» > кнопка «Начать» под полем «Онлайн-регистрация».

Континент TLS клиент регистрация

В открывшемся окне заполняем поля: Фамилия, Отчество, Электронная почта, в поле Адрес сервера регистрации (если не было указано) пишем «registration.securitycode.ru», нажимаем «Готово».

Континент TLS клиент регистрация

После успешной регистрации всплывает окно. Ограничение демонстрационного периода (14 дней) снято.

Континент TLS Клиент. Оповещение. Регистрация окончена

Для регистрации Континент TLS Клиент работникам казначейства (компьютер находится в локальной сети казначейства) необходимо внести изменения (выделены красным) в файл PublicConfig.json.

Варианты внедрения

Континент 4 представляется в трех вариантах исполнения:

1.UTM – позволяет одновременное функционирование на УБ модулей:

  • модуль идентификации пользователей;

  • модуль поведенческого анализа.

2.Высокопроизводительный МЭ – позволяет одновременное функционирование на УБ модулей:

3.Детектор атак – позволяет функционирование узла безопасности только как система обнаружения/предотвращения вторжений.

Комплекс Континент 4 включает в себя Менеджер конфигурации (программа управления ЦУС) и узел безопасности (УБ). В рамках нашего цикла мы рассмотрим функционал UTM решения.

Системные требования «Континента TLS»

Таблица 1. Основные характеристики аппаратных платформ «Континент TLS»

Тестовый стенд

Макет тестового стенда будет содержать следующие ВМ Континент:

1.Континент 4.1 (УБ с ЦУС) – CPU – 4, RAM – 10 Gb, HDD – 100 Gb. Шлюз в центральном офисе. 2.Континент 4.1. (подчиненный УБ) – CPU – 4, RAM – 10 Gb, HDD – 100 Gb. Шлюз в филиале.

Континент код безопасности инструкция

Сертификация

В настоящий момент Континент 4 находится на стадии получения сертификатов ФСТЭК России и ФСБ России. Планируется летом 2021 года получить сертификаты по требованиям РД ФСТЭК и в конце 2022 года по требованиям РД ФСБ.

Континент код безопасности инструкция

Модельный ряд

Континент 4 поставляется в следующих вариантах исполнения:

Начальный уровень – Представляется моделями IPC-10 и IPC-50. Шлюзы данного уровня подойдут для малого бизнеса и филиалов.

Континент код безопасности инструкция

Корпоративный уровень – Представляется моделями IPC-500, IPC-500F, IPC-600, IPC-800F. Шлюзы этого уровня подходят для предприятий среднего бизнеса.

Континент код безопасности инструкция

Уровень ЦОД и крупных сетей – Модели данного уровня: IPC-1000F, IPC-1000NF2, IPC3000F, IPC-3000NF2. Подходят для защиты сетей крупных предприятий, учебных заведений, министерств, ЦОД. Модели с индексом NF2 могут выступать не только как UTM устройство, но и как высокопроизводительный межсетевой экран.

Континент код безопасности инструкция

Производительность устройств варьируется от 100 Мбит/с до 80 Гбит/сек.

Функциональные возможности «Континента TLS»

Система «Континент TLS» предлагает следующие функциональные возможности:

  • Криптографическая защита HTTPS-трафика по протоколу TLS с использованием российских криптоалгоритмов (ГОСТ 28147-89, ГОСТ Р 34.11-2012, ГОСТ Р 34.10-2012).
  • Идентификация и аутентификация пользователей по сертификатам открытых ключей стандарта x.509v3.
  • Анонимный доступ к ресурсам.
  • Возможность выпуска и выдачи сертификатов, созданных собственным удостоверяющим центром, согласно запросам.
  • Обеспечение обоюдной аутентификации пользователя и сервера в процессе установки защищённого соединения.
  • Интеграция с Active Directory при работе сервера удалённого доступа в режиме портала приложений.
  • Возможность работы системы в режиме кластера с балансировкой нагрузки.
  • Туннелирование произвольного TCP-трафика через протокол TLS.
  • Создание портала приложений, предоставляющего единую точку входа для доступа к веб-ресурсам защищаемой сети.
  • Интеграция с SIEM-системами по протоколу Syslog.

Настройка Workstation

Предварительно необходимо будет настроить VMware. При установке VMware Workstation создается 2 сетевых адаптера: VMnet1 и VMnet8. На УБ с ЦУС используется 3 сетки. Настроим новое сетевое подключение VMnet2. Таким же образом потребуется создать сетевые подключения для подчиненного узла.

Континент код безопасности инструкция

Функционал Континент 4

  • Центр управления сетью (ЦУС) – предназначен для управления комплексом. ЦУС можно вынести как на отдельное устройство, так и использовать в составе с другими компонентами.

  • Межсетевой экран – осуществляет фильтрацию трафика, в соответствии с заданными правилами. Функционирует на 3, 4 и 7 уровнях модели OSI.

  • L2VPN – обеспечивает защищенную передачу ethernet кадров.

  • L3VPN – обеспечивает защищенную передачу данных по каналам общего пользования между локальными сетями.

  • Детектор атак – обнаружение и предотвращение вторжений сигнатурным методом.

  • Сервер доступа – обеспечивает подключение удаленных пользователей к защищаемой сети.

  • Идентификация пользователей – обеспечивает идентификацию встроенных пользователей и пользователей из Active Directory.

  • Модуль поведенческого анализа – предназначен для обнаружения атак, основанных на сканировании или направленных на достижение отказа в обслуживании сетевых ресурсов.

Выводы

Система «Континент TLS» представляет собой вполне простое и удобное для развёртывания, но при этом многофункциональное решение для предоставления защищённого доступа к корпоративным ресурсам. Стоит отметить возможность использования облегчённого клиентского приложения, которое не применяет дополнительного криптопровайдера и не требует установки сетевых настроек для подключения. В качестве клиента также может выступать криптопровайдер «КриптоПро CSP» или «Валидата CSP», равно как и любой интернет-обозреватель с поддержкой криптоалгоритмов ГОСТ, например «Яндекс.Браузер».

«Континент TLS» предлагает три варианта подключения к инфраструктуре организации: HTTPS-прокси, TLS-туннель и портал приложений. Стоит отметить, что страницу портала можно максимально индивидуализировать в соответствии с потребностями заказчика. Также стоит отметить наличие встроенного удостоверяющего центра для удобства выпуска сертификатов.

Система поддерживает работу со всеми современными криптоалгоритмами, включая ГОСТ Р 34.10-2012 (512 бит) и ГОСТ Р 34.12-2015. Доступны опции по организации отказоустойчивости путём объединения устройств в кластер.

В заключение можно сказать, что «Континент TLS» позволяет удобно и быстро настроить удалённый доступ к веб-ресурсам организации, не создавая при этом дополнительных трудностей для пользователей.

  • Простое и быстрое развёртывание системы.
  • Наличие собственного удостоверяющего центра.
  • Несколько вариантов подключения к ресурсам организации.
  • Наличие собственного облегчённого клиентского ПО.
  • Наличие сертификатов ФСБ России.
  • Неудобный устаревший интерфейс для локальной настройки сервера, не всегда понятно, где находится тот или иной пункт меню.
  • Отсутствие поддержки зарубежных криптографических алгоритмов в версиях продукта ниже 2.4.
  • Отсутствие на данный момент полноценной поддержки Apple macOS.

Выводы

На данный момент применение TLS-шифрования является весьма перспективным направлением организации защищённых соединений с использованием отечественных криптоалгоритмов по упрощённой схеме, что, с одной стороны, позволит соблюсти требования российского законодательства в области информационной безопасности, а с другой стороны, поможет организовать удобный доступ пользователей к корпоративным ресурсам с различными схемами аутентификации и широкими возможностями разграничения доступа.

Также большим подспорьем для развития TLS-криптошлюзов станет наращивание защитной функциональности — например, добавление инструментов межсетевого экранирования, средств обнаружения вторжений, брандмауэров веб-приложений (Web Application Firewall) и других подобных модулей, — а также расширение возможностей интеграции с другими элементами системы информационной безопасности и IT-инфраструктуры.

Бушующая в настоящее время пандемия COVID-19 спровоцировала всплеск интереса компаний к различным механизмам, которые позволяли бы перевести сотрудников на удалённую работу, обеспечивая при этом непрерывность функционирования рабочих процессов и в то же время сохраняя требуемую степень безопасности информации. Это говорит о том, что в случае возможного форс-мажора TLS-криптошлюзы смогут предоставить необходимую функциональность для безопасного и безболезненного перехода на дистанционный режим работы с гибким доступом к корпоративным ресурсам компании.

RSS: Новые статьи на Anti-Malware.ru

Заключение

Одним из ключевых факторов развития является то, что Континент 4 это первое UTM решение на отечественном рынке, поддерживающие шифрование по ГОСТ. Также компания получила патент на высокопроизводительный межсетевой экран за разработку уникальной технологии обработки сетевых пакетов, что существенно увеличивает пропускную способность межсетевого экрана.

По требованиям к законодательству, стоит сказать, что в настоящий момент актуальной и сертифицированной версией является АПКШ «Континент 3.9». Комплекс имеет ряд сертификатов ФСТЭК по требованиям к Межсетевым экранам (3-й класс защиты типа «А»), к Система обнаружения вторжений (3-й класс защиты типа «А») и 3-й уровень доверия и сертификаты ФСБ по требованиям к Межсетевым экранам (4-й класс), СКЗИ (КС2/КС3) .

В дальнейших статьях мы рассмотрим следующие возможности комплекса:

  • Работа с веб фильтрами

  • Систему обнаружения и предотвращения вторжений

Подробную информацию о продукте можно найти на странице Код Безопасности.

P.S. Если у вас уже есть устройства Континент, вы можете обратиться к нам за профессиональной технической поддержкой, в то числе оставить заявку на бесплатный тикет.

Автор – Дмитрий Лебедев, инженер TS Solution

Читайте также:  Порядок устранения реестровых ошибок при пересечении границ населенных пунктов и территориальных зон с границами земельных участков

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *