Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

ащита удаленного доступа с помощью континент Tls vpn

2,920 views

Published on

  • Be the first to comment

ащита удаленного доступа с помощью континент Tls vpn

  1. 1. Защита удаленного доступа с помощью Континент TLS VPN Александр Немошкалов Руководитель направления Вебинар 26 ноября 2014 года
  2. 2. Что такое Континент TLS-VPN сервер? СКЗИ «Континент TLS VPN сервер» предназначен для криптографической защиты HTTP трафика WEB серверов при передаче по открытым каналам сетей общего пользования. Обеспечивает безопасный доступ удаленных пользователей к ресурсам WEB-серверов и сервисам на основе WEB; Программно-аппаратный комплекс; Под оправление ОС Continent OS (на основе Linux CentOS); Два режима работы: •HTTPS-прокси •TLS-туннель
  3. 3. Почему TLS VPN? Позволяет выполнить требования регуляторов и корпоративной политики безопасности; Удобство для пользователя (возможно использование без клиента), работает по 443 порту (доступ открыт везде); Решает вопросы встраивания крипто-библиотеки с ГОСТ в WEB- сервер, они больше не нужны, может использоваться любой WEB- сервер! В случае использования СКЗИ «Континент TLS-VPN Клиент», нет необходимости встраивания крипто-библиотеки с ГОСТ в WEB- браузер, может использовать любой браузер!  Отсутствие помех в работе бизнес-приложений на основе WEB;
  4. 4. Доступ удаленного клиента Удаленный пользователь (Wi-Fi, xDSL) Мобильный пользователь (Wi-Fi, CDMA, GPRS) Центральный офис Интернет
  5. 5. Назначение Защищенное подключение к порталам государственных услуг, электронным торговым площадкам, системам интернет-банкинга и т.п. Защищенный доступ мобильных пользователей к корпоративным WEB приложениям.
  6. 6. Сертификаты «Континент TLS VPN» проходит сертификацию на соответствие требованиям ФСТЭК и ФСБ России. •ФСТЭК России - НДВ3, АС до 1Г включительно, возможность использования в ИСПДн до УЗ1 и в государственных информационных системах (ГИС) до 1 класса включительно. •ФСБ России - СКЗИ класса КС2.
  7. 7. Приказы №21 и №17 Список мер по обеспечению безопасности в соответствии с Приказами №21 и №17 ФСТЭК России: идентификация и аутентификация сессий удаленных пользователей к веб-ресурсам корпоративной сети (ИАФ.6); идентификация и аутентификация администраторов изделия (ИАФ.1); защита информационной системы: предотвращение доступа к веб-ресурсам корпоративной сети неаутентифицированных удаленных пользователей (ЗИС.3); предотвращение доступа к управлению конфигурацией изделия неаутентифицированных администраторов (ЗИС.3); разделение полномочий: предоставление возможности администратору осуществлять управление конфигурацией изделия и системы защиты (УПД.4); управление доступом удаленных пользователей к ресурсам информационной системы: трансляция запросов удаленных пользователей на доступ к веб-ресурсам корпоративной сети (УПД.3, УПД.13); обратная трансляция ответов на запросы удаленных пользователей (УПД.3, УПД.13); добавление идентификационных данных в заголовки транслируемых сессий удаленных пользователей (УПД.3, УПД.12, УПД.13); контроль целостности программного обеспечения изделия, включая программное обеспечение средств защиты информации (ОЦЛ.1); регистрация событий безопасности, а также событий, связанных с функционированием изделия (РСБ.3, РСБ.4, РСБ.5).
  8. 8. Архитектура В основе построения «Континент TLS VPN» лежит клиент-серверная технология. «Континент TLS VPN» состоит из двух компонентов: Континент TLS VPN Сервер •аппаратно-программный комплекс на базе специализированного телекоммуникационного сервера с архитектурой х64, устанавливается на границе периметра защищаемой сети Континент TLS VPN Клиент •программный модуль, установленный на компьютеры или мобильные устройства удаленных пользователей (Семейство MS Windows: Windows 8/7/Vista/XP, OS Android 4.x.x., ОС iOS 6.х/7.х.) СКЗИ КриптоПро CSP Модуль КриптоПро TLS + Браузер MS IE
  9. 9. Модельный ряд «Континент TLS VPN»
  10. 10. Модельный ряд Континент IPC-100 (S102) Континент IPC-400 (S021) Континент IPC-1000 (S021) Континент IPC-3000F(S021) Форм-фактор 1U 2U rack 2U rack 2U rack Размеры 417х437х45 мм 711х483х44 мм 711х483х44 мм 711х483х44 мм ПРОИЗВОДИТЕЛЬНОСТЬ Производительность Сервера Континент TLS в режиме проксирования 200 Мбит/с 500 Мбит/с 900 Мбит/с 5 Гбит/с Максимальное количество HTTP -сессий (при размере скачиваемого файла - 5MB) 500 5 000 10 000 20000 Производительность Сервера Континент TLS в режиме тунелирования 94 Мбит/с 94 Мбит/с 94 Мбит/с 94 Мбит/с КОНФИГУРАЦИЯ СЕТЕВЫХ ИНТЕРФЕЙСОВ Общее количество сетевых интерфейсов 8x Gigabit Ethernet 6х Gigabit Ethernet 10x Gigabit Ethernet 14x Gigabit Ethernet RJ45 UTP 6х Ethernet 10/100/1000 6х Gigabit Ethernet 10/100/1000 10х Ethernet 10/100/1000 10x Ethernet 10/100/1000 Количество, тип сетевых интерфейсов 2x1000BASE-X оптические SFP нет нет 4x10Gbit оптические SFP+ ОТКАЗОУСТОЙЧИВОСТЬ и НАДЕЖНОСТЬ Режим балансирующего кластера Да Да Да Да Блок питания 1х 270W 1х 680W с "горячей" заменой 2х 680W с "горячей" заменой 2х 680W с "горячей" заменой Операционная система ContinentOS ContinentOS ContinentOS ContinentOS Режим высокопроизводительно кластера да да да да Среднее время наработки на отказ (MTBF) 40 000 часов 40 000 часов 40 000 часов 40 000 часов
  11. 11. IPC-100 IPC-400 IPC-1000F IPC- 3000F Модельный ряд до 20 000 до 10 000 до 5 000 Количество одновременных пользователей: До 500
  12. 12. Возможности «Континент TLS VPN»
  13. 13. Возможности Идентификация и аутентификация удаленных пользователей Идентификация и аутентификация пользователей осуществляется по сертификатам открытых ключей стандарта x.509v3 (ГОСТ Р 31.11-94, 34.10-2001). Выпуск сертификата осуществляется на внешнем удостоверяющем центре совместимым с КриптоПро. Проверка сертификатов по спискам отозванных сертификатов (CRL).
  14. 14. Возможности Проксирование В случае успешного прохождения процедур аутентификации запрос пользователя перенаправляется по протоколу HTTP в защищенную сеть к соответствующему WEB-серверу. К каждой HTTP сессии данного пользователя добавляются специальные идентификаторы (идентификатор клиента и идентификатор IP).
  15. 15. Возможности Поддерживаемые версии протоколов •«Континент TLS VPN» поддерживает протоколы TLS v.1, TLS v.2. •Использование протокола TLS с шифрованием по ГОСТ 28147 – 89 обеспечивает защиту HTTP трафика на транспортном уровне. •Расчет хэш-функции выполняется по алгоритму ГОСТ Р 34.11-1994 или ГОСТ Р 34.11-2012. •Формирование и проверка электронной подписи — по алгоритму ГОСТ Р 34.10-2001 или ГОСТ Р 34.10-2012.
  16. 16. Возможности Прозрачное туннелирование Возможность создания TLS-туннеля для любых приложений, использующих протоколы семейства TCP/IP. Трансляция адресов Трансляция запросов веб-серверам корпоративной сети.
  17. 17. Возможности Регистрация событий Регистрация событий и возможность пересылки на указанный сервер в формате SYSLOG, для дальнейшего анализа. Мониторинг Возможность получения оперативной информации о текущем состоянии установленных соединений на «Континент TLS VPN Сервер» и статистики о его работы.
  18. 18. Возможности Удобство управления Сочетание WEB-интерфейса и графической локальной консоли управления обеспечивают гибкую и удобную настройку в соответствии с требованиями политик безопасности.
  19. 19. Возможности Масштабирование Возможно неограниченное наращивание количества элементов балансирующего кластера для повышения производительности.1 (AA- кластеризация). 1 - При проектировании системы рекомендуем закладывать избыточную производительность. Это позволит сохранить проектируемую производительность при выходе из строя одного из элементов кластера и сгладить пиковые нагрузки при подключении пользователей.
  20. 20. Возможности Отказоустойчивость В случае выхода из строя одного из элементов высокопроизводительного кластера, нагрузка равномерно распределяется между остальными элементами кластера. Распределение нагрузки на элементы кластера выполняют с помощью стороннего балансировщика.
  21. 21. Преимущества Высокая производительность – до 20 тыс. одновременных пользовательских подключений на один сервер (IPC-3000F); Масштабируемая производительность (AA кластеризация); Криптографическая защита HTTP- трафика WEB- серверов в соответствии с требованиями ГОСТ; Возможность доступа с любого типа устройств; Возможность туннелирования всего трафика; Независимость от используемого браузера; Совместимость с любыми WEB-серверами; Работа с внешним УЦ
  22. 22. Вопросы? Контакты Менеджер продукта: Немошкалов Александр, +7 (495) 982-3020 (доб.495) Тел: +7 (495) 982-3020 (многоканальный) Сайт компании: www.securitycode.ru Запрос дополнительной информации о продуктах: info@securitycode.ru По вопросам стоимости и покупки продуктов: buy@securitycode.ru Служба технической поддержки: support@securitycode.ru

×