Континент TLS VPN - сертифицированное решение защиты доступа удаленных пользователей к защищаемым ресурсам.
Континент TLS VPN имеет клиент-серверную архитектуру и состоит из СЗКИ «Континент TLS VPN Сервер», который устанавливается на границе периметра сети, и VPN -клиента СКЗИ «Континент TLS VPN Клиент», устанавливаемого на компьютеры удаленных пользователей. «Континент TLS VPN Сервер» обеспечивает конфиденциальность, целостность и имитозащиту передаваемой информации и выполняет функции:
Континент TLS VPN Сервер IPC-3000F (S021), 2014
СКЗИ «Континент TLS VPN Клиент» представляет собой локальный прозрачный прокси-сервис, который обеспечивает обоюдную аутентификацию с сервером, установку защищенного соединения, обмен зашифрованными данными с сервером. Он также совместим с большинством существующих интернет-браузеров. Кроме того, допускается возможность работы пользователей через «Континент TLS VPN Сервер» без установки клиентского ПО СКЗИ «Континент TLS VPN Клиент». В этом случае на компьютере пользователя должен использоваться браузер MS Internet Explorer c установленным криптосервис-провайдером «КриптоПро CSP » (версии 3.6 или 3.9), обеспечивающим поддержку криптоалгоритмов ГОСТ.
Продукт предназначен для:
Основные возможности
Особенности
Сертификаты
Заказчики «Континент TLS-сервер» 2.1 получили возможность централизованно обновлять клиентскую часть комплекса на компьютерах удаленных пользователей. Кроме того, в представленной версии была упрощена система лицензирования продукта: для кластера из нескольких устройств требуется только одна лицензия на максимальное число одновременных подключений. Также было принято решение объединить лицензии на подключение к прокси-серверу и лицензии на подключение через TLS-туннель. Все это упрощает эксплуатацию и выбор подходящей архитектуры решения.
На июль 2018 года «Континент TLS-сервер» 2.1 передан на сертификацию в ФСБ России . После прохождения испытаний продукт будет сертифицирован по классам КС1 и КС2.
Данная версия продукта «Континент TLS-сервер» призвана облегчить работу администраторов в период смены стандартов шифрования, предоставить возможность удобного мониторинга. Изменения в политике лицензирования и возможность выделения отдельного порта управления продуктом должны расширить область его применения. Поддержка широкого спектра TLS-клиентов позволит быстро построить систему защищенного доступа к веб-приложению там, где уже используются криптопровайдеры сторонних производителей. Теперь наш продукт поддерживает "КриптоПро ", "Валидата" и доверенный браузер "Спутник". |
Высокую динамику продемонстрировали и относительно новые (выпущенные в 2015 году) продукты линейки «Континент» – «Континент TLS VPN » и криптокоммутатор «Континент». Объем их продаж составил 71 млн руб. и 62 млн руб. соответственно. Спрос на «Континент TLS VPN» был обусловлен растущим интересом заказчиков к применению российских алгоритмов шифрования для защиты доступа к госпорталам, а также к организации защищенного удаленного доступа с использованием алгоритмов ГОСТ. Фактором роста продаж криптокоммутаторов «Континент» стала необходимость защиты каналов связи в территориально распределенных центрах обработки данных.
Компания «Код безопасности» объявила в апреле 2016 года о выходе технического релиза версии продукта «Континент TLS VPN », предназначенного для обеспечения безопасного удаленного доступа к информационным системам, осуществляющим обработку персональных данных (ИСПДн) и государственным информационным системам (ГИС). В продукте реализован ряд новых функций.
Одно из наиболее значимых изменений в «Континент TLS VPN» 1.0.9 – это создание портала приложений с возможностью аутентификации и авторизации с использованием учетных данных из Active Directory . Такая доработка значительно упрощает процесс управления доступом к корпоративным web-сервисам различным категориям пользователей. Например, с помощью портала можно обеспечить единую точку доступа для сотрудников компании и её подрядчиков. При этом набор доступных приложений будет зависеть от категории и прав пользователя.
Еще одно отличие – добавление возможности создания стартовой страницы сервера, доступной по открытому протоколу HTTP . Она позволяет значительно сократить затраты на поддержку защищенного web-приложения.
В версии 1.0.9 также добавлена возможность работы продукта в режиме TLS-туннеля, что позволяет снять с удаленного пользователя ограничения по взаимодействию через канал, зашифрованный по протоколу TLS. Подобное соединение позволяет обеспечить доступ не только к web-ресурсам, но и к другим типам приложений, например, терминальным серверам (по протоколу RDP) или «толстым клиентам» для корпоративных приложений (ERP , CRM и т.д.). Такой подход значительно увеличивает количество сценариев удаленного доступа, при которых может применяться «Континент TLS VPN».
16 июля 2016 года на сайте Кремля было опубликовано поручение президента главе правительства о необходимости подготовить переход органов власти на использование российских криптографических алгоритмов и средств шифрования до 1 декабря 2017 года. В частности, правительство должно обеспечить разработку и реализацию комплекса мероприятий, необходимых для поэтапного перехода на использование российских криптографических алгоритмов и средств шифрования, а также предусмотреть безвозмездный доступ граждан РФ к использованию российских средств шифрования.
Опубликованный документ повлечет за собой определенные шаги по приведению ИТ-инфраструктур государственных органов в соответствие заявленным требованиям. В частности, в госструктурах ожидается массовая установка в дополнение к имеющимся решениям отечественных средств криптографической защиты информации (СКЗИ).
Подробнее:
Эксперты «Кода безопасности » отмечают, что нововведение коснется в первую очередь порталов государственных услуг федеральных и региональных ведомств. При этом реализация данной задачи затрагивает два аспекта: внедрение СКЗИ на стороне веб-сервера и на стороне пользователей. Если предположить, что на стороне пользователей будет реализовано встраивание сертифицированной криптобиблиотеки в браузер , то решить задачу на стороне веб-сервера можно двумя способами.
Один из них – это встраивание СКЗИ в веб-серверы, второй – внедрение программно-аппаратного комплекса (ПАК) с реализацией TLS VPN (одним из таких продуктов является «Континент TLS VPN Сервер», разработанный «Кодом безопасности»), который будет перехватывать HTTP/HTTPS -трафик и шифровать его в соответствии с алгоритмом шифрования по ГОСТ (28147-89). Каждый из вариантов имеет свои особенности – как с точки зрения технической реализации, так и с точки зрения сроков выполнения проекта.
По оценкам аналитиков «Кода безопасности», в первом случае (встраивание) этапы работ будут следующими:
В результате такой проект можно будет осуществить в течение 1 года.
При выборе варианта установки ПАК проект будет разбит на следующие стадии:
Общая длительность проекта в таком случае составит около 7 месяцев.
Эксперты «Кода безопасности» отмечают, что, исходя из общепринятой практики, между выпуском поручения правительству и началом работ компаний по проектам (с учетом необходимости разработки и принятия подзаконных актов) проходит не менее трех месяцев. Соответственно, есть риск, что выбравшие вариант встраивания СКЗИ в веб-серверы организации с трудом уложатся в поставленные президентом сроки. А в случае задержки принятия подзаконных актов свыше трех месяцев возможны срывы сроков внедрения.
«Помимо сложностей со сроками первый путь - встраивание - сопряжен и с другими трудностями. Это дополнительные трудозатраты сначала на оформление и согласование пакета документов для испытательной лаборатории, а затем - на внесение изменений в код и отладку приложения по итогам анализа испытательной лаборатории. Но главное плюс второго варианта в том, что при выборе ПАК заказчик получает мощное высокопроизводительное промышленное решение, рассчитанное на крупные организации. Оно масштабируемо, удобно в управлении, совместимо с любыми интернет-браузерами, легко интегрируется с внешними SIEM-системами», - рассказал Коростелев Павел , менеджер по маркетингу продуктов компании «Код безопасности ».
С учетом вышеизложенного «Код безопасности» рекомендует госзаказчикам выбрать оптимальный алгоритм исполнения требований законодательства и пойти по пути внедрения программно-аппаратного комплекса (ПАК) с реализацией TLS VPN. Для защищенного доступа удаленных пользователей к web-ресурсам применяется сертифицированный ФСБ России программно-аппаратный комплекс «Континент TLS VPN». Он легко развертывается, обладает бесплатным TLS-клиентом для конечных пользователей и может поддерживать свыше 100 тыс. одновременных подключений.
России от 30.07.2015 СФ/124–2676 на СКЗИ «Континент TLS VPN Сервер» и СФ/525-2677, СФ/525-2678 на СКЗИ «Континент TLS VPN Клиент» (исполнение 1 и 2) подтверждают соответствие требованиям, предъявляемым ФСБ России к шифровальным (криптографическим) средствам класса КС2 и КС1. Сертификаты ФСБ России разрешают применение СКЗИ «Континент TLS VPN» для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну.
Сертификат ФСТЭК России № 3286, выданный 02.12.2014 на СКЗИ «Континент TLS VPN Сервер», подтверждает соответствие продукта требованиям руководящих документов по 4-му уровню контроля на отсутствие НДВ и разрешает его использование при создании АС до класса защищенности 1Г включительно и для защиты информации в ИСПДн и ГИС до 1 класса включительно.
Программа континент TLS помогает пользователям получить защищенный доступ к определенным веб-ресурсам. Ключевая информация хранится в защищенном контейнере.
Пользователи корпоративной сети теперь могут получить удаленный и защищенный доступ к конкретным ресурсам в интернете. Во время установки соединения обеспечивается обоюдная аутентификация с сервером. Для получения доступа необходимо ввести в браузере адрес сайта. В итоге, клиент обрабатывает и отправляет запрос на сервер для создания защищенного соединения. Аутентификация обеспечивается на базе сертификатов ключей.
Протокол соединения между сервером и Клиентом - TLSv1. Ресурс, по которому установлен защищенный контакт, должен содержать в имени сервера значение TLS. Если все сделано правильно, то на дисплее отобразится сертификат, который можно обновить, нажав соответствующую кнопку. Присутствует возможность автоматического запоминания логина и пароля при входе в систему. Стоит отметить, что если 5 раз подряд ввести недостоверную информацию в процессе авторизации, то система автоматически заблокируется. Повторно ввести данные можно будет только спустя 10 минут.
Для установки ПО «Континент TLS Клиент» необходимо:
Рисунок 33. Стартовое окно мастера установки ПО «Континент TLS Клиент».
Рисунок 34. Окно лицензионного соглашения ПО «Континент TLS Клиент».
3. Поставьте отметку в поле «Я принимаю условия лицензионного соглашения» и нажмите кнопку «Далее». На экране появится окно ввода лицензионного ключа, поставляемого с ПО «Континент TLS Клиент» на бумажном или электронном носителе.
Рисунок 35. Окно ввода лицензионного ключа ПО «Континент TLS Клиент».
4. Введите лицензионный ключ и нажмите кнопку «Далее». На экране появится диалог выбора пути установки ПО «Континент TLS Клиент».
Рисунок 36. Окно выбора пути установки ПО «Континент TLS Клиент».
5. Оставьте путь установки по умолчанию. Нажмите кнопку «Далее». На экране появится диалог «Запуск конфигуратора».
Рисунок 37. Окно запуска конфигуратора ПО «Континент TLS Клиент».
6. Установите отметку в поле «Запустить конфигуратор после завершения установки».
Рисунок 38. Окно готовности к установке ПО «Континент TLS Клиент».
8. Нажмите кнопку «Установить». Начнется установка компонента.
Рисунок 39. Процесс установки ПО «Континент TLS Клиент».
9. На экране отобразится диалог настройки ПО «Континент TLS Клиент».
Рисунок 40. Настройка ПО «Континент TLS Клиент».
Для настройки ПО необходимо:
a) В разделе «Настройки Континент TLS Клиента» значение «Порт» оставить по умолчанию, равное 8080.
b) В разделе «Настройки защищаемого сервера» в поле «Адрес» задать имя сервера TLS: lk.budget.gov.ru.
c) В разделе «Настройки защищаемого сервера» в поле «Сертификат» указать файл сертификата сервера TLS, скопированный в локальную директорию в п.3.1 настоящего Руководства.
Рисунок 41. Настройка ПО «Континент TLS Клиент». Выбор сертификата.
d) Если в АРМ пользователя не используется внешний прокси-сервер, нажать кнопку «ОК».
e) В противном случае, указать адрес и порт используемого внешнего прокси-сервера организации.
Рисунок 42. Настройка сервиса ПО «Континент TLS Клиент». Настройка внешнего прокси-сервера.
f) Нажать кнопку «ОК».
10. На экране отобразится диалог завершения установки ПО «Континент TLS Клиент».
Рисунок 43. Диалог завершения установки ПО «Континент TLS Клиент».
11. Нажать кнопку «Готово».
12. На экране отобразится диалог о необходимости перезагрузки АРМ пользователя.
Рисунок 44. Диалог о необходимости перезагрузки АРМ Пользователя.
13. Нажать кнопку «Нет».
Настройка АРМ Электронного бюджета происходит в несколько этапов, они не сложные, но требуют внимательности. Делаем все по инструкции по настройке электронного бюджета. Коротко и по делу…
Создайте папку key в Моих документах, чтобы хранить в этой папке скаченные сертификаты:
На сайте http://roskazna.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/ в меню ГИС -> Удостоверяющий центр -> Корневые сертификаты, необходимо скачать «Корневой сертификат (квалифицированный)» (см. рисунок), либо если вами была получена флешка с сертификатами скопируйте их с папки Сертификаты.
Второй сертификат который необходимо скачать, это сертификат Континент TLS VPN, но я не смог найти на новом сайте roskazna, поэтому ставлю ссылку со своего сайта. Скачиваем сертификат Континент TLS VPN в папку key, он нам пригодиться позднее, когда будем настраивать программу Континент TLS клиент.
В меню ПУСК -> Все программы -> КРИПТО-ПРО -> запустите программу Сертификаты.
Перейдите в пункт Сертификаты как показано на рисунке ниже:
Заходим в меню Действие - Все задачи - Импорт, появится окно Мастер импорта сертификатов - Далее - Обзор - Находим скаченный Корневой сертификат (квалифицированный) в нашем случае он находиться в Моих документах в папке key
Если все сделали правильно, то корневой сертификат УЦ Федерального казначейства появиться в папке сертификаты.
Continent_tls_client_1.0.920.0 можно найти в интернете.
Распаковываем скаченный архив, заходим в папку CD и запускаем ContinentTLSSetup.exe
Из пункта нажимаем на Континент TLS Клиент KC2 и запускаем установку.
Принимаем условия
В папке назначения оставляем по дефолту
В окне запуск конфигуратора, ставим галочку на Запустить конфигуратор после завершения установки.
При установке появиться окно Настройка сервиса:
Адрес - указываем lk.budget.gov.ru
Сертификат - выбираем второй сертификат скаченный ранее в папке key.
Нажимаем ОК и завершаем установку, Готово.
На запрос о перезагрузке операционной системы отвечаем Нет.
Скачать программу Jinn-Client можно в интернете.
Заходим в папку Jinn-client - CD, запускаем setup.exe
Нажимаем из списка Jinn-Client, запускается установка программы
Не обращаем внимания на ошибку, нажимаем Продолжить, Далее, принимаем соглашение и нажимаем кнопку Далее.
Введите выданный лицензионный ключ
Устанавливаем программу по умолчанию, нажимаем Далее
Завершаем установку, на вопрос о перезагрузке операционной системы отвечаем Нет
Если будет нужен архив с программой, пишите в комментариях.
Запускаем установочный файл cubesign.msi
1. Откройте меню «Инструменты» и выберите пункт «Настройки».
2. Перейти в раздел «Дополнительные» на вкладку «Сеть»
3. В секции настроек «Соединение» нажать кнопку «Настроить…».
4. В открывшемся окне параметров соединения установить значение
«Ручная настройка сервиса прокси».
5. Задать значения полей HTTP-прокси: 127.0.0.1; Порт: 8080.
6. Нажать кнопку «ОК».
7. В окне «Настройки» нажать кнопку «Ок».
Откроется окно с выбором сертификата для входа в личный кабинет Электронного бюджета.
Выбираем сертификат для входа в Личный кабинет Электронного бюджета, если есть пароль на закрытую часть сертификата пишем и нажимаем ОК, после откроется Личный кабинет Электронного бюджета.