Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Сидоров Михаил
Департамент сервиса
«Континент TLS VPN» 1.0.9.
Обзор новых функций
E-mail: m.sidorov@securitycode.ru
Тел.: ...
Что такое «Континент
TLS VPN»?
ЗАЩИЩЕННЫЙ УДАЛЕННЫЙ ДОСТУП
Зачем защищать доступ к веб-ресурсам?
 Чтобы обеспечить безопасность передаваемой конфиденциа...
СХЕМА РАБОТЫ
Единый шлюз удаленного доступа к корпоративным ресурсам
МОДЕЛЬНЫЙ РЯД
Модель Количество
одновременных
подключений
Пропускная
способность в
режиме HTTPS-proxy
IPC-100 До 500 До 20...
ОСНОВНЫЕ
ВОЗМОЖНОСТИ
Internet Балансировщик TLS сервер
WEB сервер
Идентификация и аутентификация пользователей на основе PKI.
Прозрачное прокси...
НАСТРОЙКА СЕРВЕРА И
НОВЫЕ
ВОЗМОЖНОСТИ
НАСТРОЙКА СЕРВЕРА
Для ввода в эксплуатацию решения необходима:
1. Локальная настройка сервера;
2. Первоначальная настройка...
ЛОКАЛЬНАЯ НАСТРОЙКА СЕРВЕРА
Локальные настройки:
1) Сетевые настройки: настройка IP адресов интерфейсов, настройка
маршрут...
МАСТЕР КЛЮЧ
Мастер-ключ необходим для:
• шифрование закрытых ключей сервера;
• организация защищенного соединения между эл...
Мастер-ключ и инициализация сервера:
1) Мастер-ключ:
• Мониторинг состояния мастер-ключа;
Блокировка Сервера производится ...
ЛОКАЛЬНАЯ НАСТРОЙКА СЕРВЕРА
После инициализации сервера доступен дополнительный
функционал:
1. Управления сертификатами ад...
ПЕРВОНАЧАЛЬНАЯ НАСТРОЙКА
После инициализации возможен удаленный доступ к серверу по IP адресу
интерфейса управления: https...
СПОСОБЫ ДОСТУПА К РЕСУРСАМ
HTTPS -
прокси
TLS-туннель
Портал
приложений
HTTPS-ПРОКСИ
Защищенный доступ к приложениям по протоколу HTTP/HTTPS:
• Intranet-портал;
• Web-приложениям;
• VDI с доступ...
HTTPS/Порт 443
Выбор версии протокола, обмен сертификатами
HTTP
Один серверный сертификат – один WEB-сервер
ПРИНЦИП РАБОТЫ
НАСТРОЙКА
Основные настройки:
1. Выбор сертификата сервера (создается аналогично сертификату управления);
2. Указание адре...
ПЕРЕДАЧА ДАННЫХ В HTTP-ЗАГОЛОВКЕ
1. Добавлять можно несколько значений;
2. Можно добавлять как константные значения, так и...
ПРИНЦИП РАБОТЫ
Порт подключения
указывается в настройках
Выбор версии протокола, обмен сертификатами
TCP/IP-протоколы
Один...
НАСТРОЙКА
Основные настройки:
1. Выбрать сертификат сервера для туннеля;
2. Задаем параметры туннеля и защищаемого ресурса.
ПОРТАЛ ПРИЛОЖЕНИЙ
Ролевое разделение прав доступа удаленных пользователей к web-приложениям.
Например различные наборы web...
ПРИНЦИП РАБОТЫ
HTTPS/Порт 443
Выбор версии протокола, обмен сертификатами
HTTP
Один серверный сертификат – множество прило...
РАБОТА ПОРТАЛА ПРИЛОЖЕНИЙ
НАСТРОЙКА
1. Взаимодействие с AD по протоколу LDAP. Доступ к ресурсам на основе групп пользователей;
2. Доступ на портал п...
TRUSTED SERVER LIST
Trust Server List (TSL) - список доверенных удостоверяющих центров Минкомсвязи,
уполномоченного органа...
Для настройки необходимо:
1. Выбрать периодичность обновления;
2. Указать URL TSL файла ( https://e-trust.gosuslugi.ru/CA/...
Для настройки необходимо:
1. Выбрать периодичность обновления. Можно загрузить CRL файл вручную;
2. Указать URL CRL файла ...
РАБОТА С ЖУРНАЛАМИ
2. Проверка сертификата пользователя.
1. Настройка удаленного доступа. Доступ можно ограничить или запретить.
ДОПОЛНИТЕЛЬН...
TLS КЛИЕНТ
TLS- клиент представляет собой устанавливаемое на компьютере удаленного
пользователя программное обеспечение, ф...
Планы по сертификации
ФСБ России:
• СКЗИ «Континент TLS VPN Клиент» 1.0 (исполнение 1) - соответствие требованиям ФСБ
Росс...
ПРОФЕССИОНАЛЬНЫЕ СЕРВИСЫ
Услуги по проектированию и анализу
предлагаемых решений
Услуги по внедрению и разработке
Услуги п...
Даем потестировать в виде ВМ
ДЕМО ВЕРСИИ
В целях ознакомления и тестирования готовы предоставить
демоверсии для виртуально...
СХЕМА СТЕНДА
Рабочая станция администратора
Рабочая станция пользователя
proxy.securitycode.ru
tunnel.securitycode.ru
port...
Вопросы?
Сидоров Михаил
Департамент сервиса
E-mail: m.sidorov@securitycode.ru
Тел.: +7(495) 982-3020 (доб. 264)
Upcoming SlideShare
Loading in …5
×

Обзор новых функций Континент TLS VPN 1.0.9

1,150 views

Published on

В презентации мы рассказали про следующее:

Принципы построения системы удаленного доступа к веб-ресурсам на основе «Континент TLS VPN».
Характеристики и особенности сертификации систем TLS VPN.
Основные возможности «Континент TLS VPN».
Возможности новой версии «Континент TLS VPN» 1.0.9.

Published in: Technology
  • Login to see the comments

  • Be the first to like this

Обзор новых функций Континент TLS VPN 1.0.9

  1. 1. Сидоров Михаил Департамент сервиса «Континент TLS VPN» 1.0.9. Обзор новых функций E-mail: m.sidorov@securitycode.ru Тел.: +7(495)982-3020 (доб. 264)
  2. 2. Что такое «Континент TLS VPN»?
  3. 3. ЗАЩИЩЕННЫЙ УДАЛЕННЫЙ ДОСТУП Зачем защищать доступ к веб-ресурсам?  Чтобы обеспечить безопасность передаваемой конфиденциальной информации при:  Подключении к порталам государственных услуг;  Подключении к корпоративным веб-приложениям;  Получении услуг интернет-банкинга и т.п.  Чтобы выполнить требования законодательства РФ по защите ИСПДн, ГИС и др.
  4. 4. СХЕМА РАБОТЫ Единый шлюз удаленного доступа к корпоративным ресурсам
  5. 5. МОДЕЛЬНЫЙ РЯД Модель Количество одновременных подключений Пропускная способность в режиме HTTPS-proxy IPC-100 До 500 До 200 Гбит/с IPC-400 До 5000 До 700 Гбит/с IPC-1000 До 10000 До 900 Гбит/с IPC-3000F До 18000 До 3 Гбит/с
  6. 6. ОСНОВНЫЕ ВОЗМОЖНОСТИ
  7. 7. Internet Балансировщик TLS сервер WEB сервер Идентификация и аутентификация пользователей на основе PKI. Прозрачное проксирование HTTP-трафика - пользователю достаточно указать ip-адрес или доменное имя. Мониторинг и журналирование событий ИБ - возможна интеграция с внешними SIEM-системами. Масштабируемость и отказоустойчивость - поддерживает работу в схеме кластера с балансировкой нагрузки. Удобные инструменты управления - необходим браузер Internet Explorer и КриптоПро CSP. Работа пользователя через любой веб-браузер при использовании «Континент TLS VPN Клиент» Криптографическая защита передаваемой информации на основе ГОСТ 28147–89. TLS HTTPHTTPS ГОСТ 28147–89 ОСНОВНЫЕ ВОЗМОЖНОСТИ
  8. 8. НАСТРОЙКА СЕРВЕРА И НОВЫЕ ВОЗМОЖНОСТИ
  9. 9. НАСТРОЙКА СЕРВЕРА Для ввода в эксплуатацию решения необходима: 1. Локальная настройка сервера; 2. Первоначальная настройка; 3. Настройка ресурсов; 4. Настройка TLS клиента.
  10. 10. ЛОКАЛЬНАЯ НАСТРОЙКА СЕРВЕРА Локальные настройки: 1) Сетевые настройки: настройка IP адресов интерфейсов, настройка маршрутизации, настройка DNS серверов 2) Настройка системного времени: ручная установка или настройка NTP 3) Диагностика: статистика, диагностика сети (ping, traceroute, arp), диагностика сетевых интерфейсов
  11. 11. МАСТЕР КЛЮЧ Мастер-ключ необходим для: • шифрование закрытых ключей сервера; • организация защищенного соединения между элементами кластера. Срок действия мастер-ключа 1 год.
  12. 12. Мастер-ключ и инициализация сервера: 1) Мастер-ключ: • Мониторинг состояния мастер-ключа; Блокировка Сервера производится через 90 дней после истечения срока действия мастер- ключа; • Экспорт мастер-ключа на USB-флэш-накопитель, а не только на Rutoken ЭЦП; • Экспорт мастер-ключа на USB накопитель без перезаписи файла; • При импорт мастер-ключа с USB накопителя есть возможность выбрать файл из списка; 2) Инициализация: Инициализация создаст новую базу данных! Старая будет утеряна! • Выбор роли сервера: основной или подчиненный; • Выбор интерфейса управления; ЛОКАЛЬНАЯ НАСТРОЙКА СЕРВЕРА
  13. 13. ЛОКАЛЬНАЯ НАСТРОЙКА СЕРВЕРА После инициализации сервера доступен дополнительный функционал: 1. Управления сертификатами администратора, удостоверяющего центра и сервера; 2. Работа с журналами сервера. Два типа журналов: доступа и системный; 3. Управление обработок неуспешных аутентификаций. Блокировка происходит по source IP входящего пакета! 4. Настройка доступа с внешних устройств - последовательной консоли и SSH.
  14. 14. ПЕРВОНАЧАЛЬНАЯ НАСТРОЙКА После инициализации возможен удаленный доступ к серверу по IP адресу интерфейса управления: https://IP. Для разблокирования сервера необходимо: 1. Создания серверного сертификата. Common name сертификата будет адресом для входа на ресурс. Имя должно резолвиться на ПК; 2. Импорт корневого сертификата (или цепочки); 3. Выбор сертификата в качестве «сертификата управления»; 4. Импорт «сертификата администратора»; 5. Ввод лицензий. Лицензия привязывается к конкретному серверу. Если кластер, то их должно быть минимум две.
  15. 15. СПОСОБЫ ДОСТУПА К РЕСУРСАМ HTTPS - прокси TLS-туннель Портал приложений
  16. 16. HTTPS-ПРОКСИ Защищенный доступ к приложениям по протоколу HTTP/HTTPS: • Intranet-портал; • Web-приложениям; • VDI с доступом по HTTPS.
  17. 17. HTTPS/Порт 443 Выбор версии протокола, обмен сертификатами HTTP Один серверный сертификат – один WEB-сервер ПРИНЦИП РАБОТЫ
  18. 18. НАСТРОЙКА Основные настройки: 1. Выбор сертификата сервера (создается аналогично сертификату управления); 2. Указание адреса защищаемого ресурса (можно по доменному имени); Дополнительные настройки: 1. Возможность аутентификации клиентов на ресурсе; 2. Настройка использования CRL; 3. Изменение текста ошибки отказа в доступе (Ошибка 403 (Forbidden)). 4. Передавать данные в HTTP-заголовке;
  19. 19. ПЕРЕДАЧА ДАННЫХ В HTTP-ЗАГОЛОВКЕ 1. Добавлять можно несколько значений; 2. Можно добавлять как константные значения, так и конкретные поля сертификата пользователя.
  20. 20. ПРИНЦИП РАБОТЫ Порт подключения указывается в настройках Выбор версии протокола, обмен сертификатами TCP/IP-протоколы Один серверный сертификат – один ресурс HTTPSTCP/IP
  21. 21. НАСТРОЙКА Основные настройки: 1. Выбрать сертификат сервера для туннеля; 2. Задаем параметры туннеля и защищаемого ресурса.
  22. 22. ПОРТАЛ ПРИЛОЖЕНИЙ Ролевое разделение прав доступа удаленных пользователей к web-приложениям. Например различные наборы web-приложений для разных групп пользователей: • Администраторы; • Пользователи; • Подрядчики.
  23. 23. ПРИНЦИП РАБОТЫ HTTPS/Порт 443 Выбор версии протокола, обмен сертификатами HTTP Один серверный сертификат – множество приложения портала 1.Приложение 1; 2.Приложение 2; 3.Приложение N WEB-сервер 1 WEB-сервер 2 WEB-сервер N AD LDAP
  24. 24. РАБОТА ПОРТАЛА ПРИЛОЖЕНИЙ
  25. 25. НАСТРОЙКА 1. Взаимодействие с AD по протоколу LDAP. Доступ к ресурсам на основе групп пользователей; 2. Доступ на портал по паролю или сертификату пользователя; 3. Доступна передача данных в HTTP-заголовке;
  26. 26. TRUSTED SERVER LIST Trust Server List (TSL) - список доверенных удостоверяющих центров Минкомсвязи, уполномоченного органа исполнительной власти в сфере использования электронной подписи, осуществляющего аккредитацию удостоверяющих центров на основании Федерального закона №63 «Об электронной подписи».
  27. 27. Для настройки необходимо: 1. Выбрать периодичность обновления; 2. Указать URL TSL файла ( https://e-trust.gosuslugi.ru/CA/DownloadTSL?schemaVersion=0 ). Есть возможность загрузить файл вручную. 3. Загрузить список сертификатов головного удостоверяющего центра (ГУЦ). НАСТРОЙКА TSL
  28. 28. Для настройки необходимо: 1. Выбрать периодичность обновления. Можно загрузить CRL файл вручную; 2. Указать URL CRL файла ( например http://ca.pfrf.ru/ucpfr/uc999_2014.crl ); НАСТРОЙКА CRL Компонент инфраструктуры открытого ключа (PKI). Представляет собой файл, создаваемый и подписываемый центром сертификации и содержащий список сертификатов, которые были выданы, но затем отозваны.
  29. 29. РАБОТА С ЖУРНАЛАМИ
  30. 30. 2. Проверка сертификата пользователя. 1. Настройка удаленного доступа. Доступ можно ограничить или запретить. ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ
  31. 31. TLS КЛИЕНТ TLS- клиент представляет собой устанавливаемое на компьютере удаленного пользователя программное обеспечение, функционирующее совместно с TLS-сервером. TLS-клиент выпускается в двух исполнениях: • исполнение 1 — соответствует требованиям ФСБ России к средствам класса КС1; • исполнение 2 — соответствует требованиям ФСБ России к криптографическим средствам класса КС2, работает совместно с изделием «Программно-аппаратный комплекс "Соболь". Версия 3.0». Преимущества: 1. Не нужен криптопровайдер «КриптоПро»; 2. Может работать с любым web-браузером.
  32. 32. Планы по сертификации ФСБ России: • СКЗИ «Континент TLS VPN Клиент» 1.0 (исполнение 1) - соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС2. • СКЗИ «Континент TLS VPN Клиент» 1.0 (исполнение 1 - класс КС1) - соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС1. • СКЗИ «Континент TLS VPN Клиент» 1 .0 (исполнение 2 - класс КС2) - соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС2. ФСТЭК России: • СКЗИ «Континент TLS VPN Сервер» - соответствие требованиям руководящих документов по 4-му уровню контроля на отсутствие НДВ и может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, для защиты информации в ИСПДн до 1 класса включительно и ГИС до 1 класса включительно.
  33. 33. ПРОФЕССИОНАЛЬНЫЕ СЕРВИСЫ Услуги по проектированию и анализу предлагаемых решений Услуги по внедрению и разработке Услуги по тестированию предлагаемых решений (контроль качества разработки) Мы всегда рады оказать Вам помощь! ps@securitycode.ru
  34. 34. Даем потестировать в виде ВМ ДЕМО ВЕРСИИ В целях ознакомления и тестирования готовы предоставить демоверсии для виртуальной среды VMware.
  35. 35. СХЕМА СТЕНДА Рабочая станция администратора Рабочая станция пользователя proxy.securitycode.ru tunnel.securitycode.ru portal.securitycode.ru Континент TLS VPN admintls
  36. 36. Вопросы? Сидоров Михаил Департамент сервиса E-mail: m.sidorov@securitycode.ru Тел.: +7(495) 982-3020 (доб. 264)

×