По статистике Positive Technologies за 2020 год в 100% компаний выявлены нарушения регламентов информационной безопасности. Среди всех нарушений в 64% компаний используются незащищенные протоколы. Незащищенный протокол означает, что данные передаются без шифрования и не имеют защиты от злоумышленников.
И, если с защитой каналов связи между филиалами (Site-to-Site VPN) все понятно, то с удаленным доступом все не так просто. Многие компании используют ПО для удаленного доступа, нарушая собственные регламенты, а в некоторых случаях и законодательство.
Ряд нормативных документов в области информационной безопасности обязывает использовать защищенный удаленный доступ. Одним из вариантов организации защищенного удаленного доступа является протокол TLS.
TLS (Transport Layer Security) – протокол защиты транспортного уровня. Принцип его работы следующий: поверх TCP устанавливается зашифрованный канал, по которому передаются данные по протоколу прикладного уровня (HTTP, POP3, RDP и т.д.)
TLS реализует три компонента защиты данных: это аутентификация между клиентом и сервером, шифрование и имитозащита (обеспечение неизменности) данных.
Шифрование и имитозащита пакетов данных позволяют защитить передаваемую информацию от злоумышленников. Для шифрования используются симметричные алгоритмы, поэтому после аутентификации клиент и сервер обмениваются симметричными ключами.
Защищенное соединение устанавливается в несколько этапов. Данный процесс называется TLS-рукопожатие:
Данные, которые передаются по каналу, будут зашифровываться, пока соединение не будет прервано.
Для установления безопасного соединения в современных криптонаборах используются эфемерная система Диффи-Хеллмана. Диффи-Хеллман также может быть соединён с RSA. Для симметричного шифрования может использоваться AES. Для хэш-функций применяются MD5, SHA-256/384.
Как же быть государственным структурам, которые обязаны использовать только отечественную криптографию в своих структурах?
Государственные органы обязаны использовать сертифицированные ФСБ средства доступа. При массовом переходе на удаленный режим работы использование традиционных VPN-клиентов с поддержкой ГОСТ-шифрования становится невыгодным, так как они лицензируются по общему числу пользователей.
Кроме этого развивается программа по внедрению отечественной криптографии в российском сегменте Интернет. Перевод сайтов госорганов на TLS с ГОСТ необходим для выполнения Поручения Президента от 16 июля 2016 года № Пр-1380 «Об обеспечении разработки и реализации комплекса мероприятий, необходимых для перехода органов власти на использование российских криптографических алгоритмов и средств шифрования».
Для решения этих двух задач используется сравнительно новый класс устройств - TLS-gateway с поддержкой ГОСТ-шифрования. Системы данного класса сочетают в себе механизмы TLS-offload и механизмы разграничения доступа к приложениям для удаленных пользователей. Ключевой особенностью TLS-gateway является лицензирование не по общему, а по одновременному числу пользователей.
TLS-offload – механизм переложения шифрования с веб-сервера на отдельное устройство. За счет данной возможности сервер может сосредоточить ресурсы для выполнения основных функций.
TLS с российскими криптонаборами был одобрен организацией IANA, управляющей идентификаторами и параметрами протоколов сети Интернет. Криптонаборы использует алгоритмы шифрования ГОСТ 28147-89, ГОСТ Р 34.12 («Кузнечик» и «Магма»), что делает возможным использование защищенного протокола передачи данных TLS для госорганов.
Для реализации защищенного удаленного доступа к ресурсам сети компания «Код Безопасности» предлагает решение Континент TLS.
Континент TLS представляет собой комплекс, состоящий из сервера и клиента, предназначенный для организации удаленного доступа.
В комплексе реализованы следующие криптографические алгоритмы:
ГОСТ 29147-89 для шифрования информации;
ГОСТ Р 34.11 для расчета хеш-функции;
ГОСТ Р 34.10 для формирования и проверки электронной подписи.
Континент TLS сертифицирован по требованиям РД ФСБ России и требованиям РД ФСТЭК России.
Комплекс состоит из TLS-сервера и TLS-клиента. Запросы Клиента Сервер перенаправляет в защищаемую сеть, а полученные из защищаемой сети ответы – Клиенту.
В качестве TLS-клиента могут выступать:
Континент TLS-клиент версии 2;
КриптоПро CSP версий 4.0, 5.0;
Валидата CSP версии 5.0;
Любой другой, сертифицированный по требованиям ФСБ TLS-клиент, поддерживающий протокол TLS версий 1.0 и 1.2
TLS-сервер обеспечивает функционирование трех режимов работы:
HTTPS-прокси;
TLS-туннель;
Портал приложений.
В режиме HTTPS-прокси создается защищенный HTTPS-канал между клиентами и TLS-сервером по протоколу TLS.
В режиме TLS-туннеля создается защищенный туннель для приложений, использующих TCP-протокол.
В режиме Портала приложений используется одна точка входа для доступа к защищаемым ресурсам, разграничение доступа к которым осуществляется с помощью протокола LDAP. После проведения аутентификации и авторизации пользователю будет предложен список доступных защищаемых ресурсов, из которых он сможет выбрать необходимый ему. В остальном работа TLS-сервера в режиме портала аналогична режиму HTTPS-прокси.
Сценарии применения системы Континент TLS
Массовый доступ к порталу государственных услуг
Изначально, Континент TLS создавался именно для этих целей.
Происходит это следующим образом:
a) Необходимо запросить у сервера TLS-клиент и серверный сертификат. Континент TLS-клиент является бесплатной программой.
b) Настроить подключение к порталу:
c) Установить серверный сертификат:
Если аутентификация настроена по сертификату, то потребуется еще и клиентский сертификат:
d) При переходе на портал получаем предложение выбора сертификата, если настроена аутентификация по сертификату:
Или вход по логину и паролю:
Важным здесь является следующее:
Данные от клиента к серверу передаются по шифрованному каналу связи по ГОСТ;
Континент TLS-клиент позволяет получать конфигурацию с Сервера и на ее основе производить автоматическую настройку доступных ресурсов;
Общее количество пользователей может быть любым. Схема лицензирования происходит по суммарному количеству подключенных пользователей (до 45000 одновременно);
Подключение к ресурсу возможно с нескольких TLS-клиентов;
Возможно настроить как однофакторную, так и двухфакторную аутентификацию.
Удаленный доступ сотрудников к ресурсам сети
Помимо защищенного доступа к веб-приложениям, Континент TLS обеспечивает защищенный удаленный доступ к АРМ. Данное подключение возможно в режиме TLS-туннеля.
Со стороны клиента настройка выглядит следующим образом:
a) В TLS-клиенте настроить подключение к ресурсу:
b) Создать запрос на пользовательский сертификат и передать его администратору удостоверяющего центра:
c) Полученный от администратора пользовательский и серверный сертификаты зарегистрировать в TLS-клиенте:
d) Подключиться к удаленному рабочему столу и выбрать пользовательский сертификат:
Соответствие требованиям регуляторов
Система Континент TLS сертифицирована по требованиям РД ФСТЭК по 4-му уровню контроля отсутствия недокументированных возможностей (НДВ) программного обеспечения.
Наличие данного сертификата ФСТЭК позволяет использовать комплекс для следующих информационных систем:
автоматизированных систем (АС) до класса 1Г включительно;
государственных информационных систем (ГИС) до 1 класса защищенности включительно;
информационных систем персональных данных (ИСПДн) до класса УЗ1 включительно.
Реализованы следующие основные функции, соответствующие мерам защиты приказов ФСТЭК России № 17 и 21:
Меры | Описание |
|---|---|
ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора |
ИАФ.5 | Защита обратной связи при вводе аутентификационной информации |
УПД.6 | Ограничение неуспешных попыток входа в информационную систему |
УПД.10 | Блокировка сеанса доступа в информационную систему после установленного времени бездействия пользователя или по его запросу |
РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации |
РСБ.6 | Генерирование временных меток и (или) синхронизация системного времени в ИС |
РСБ.7 | Защита информации о событиях безопасности посредством предоставления доступа к журналам аудита только администраторам и создания резервных копий журналов аудита |
ОДТ.6 | Кластеризация ИС и (или) её сегментов |
ЗИС.3 | Обеспечение конфиденциальности и целостности информации, передаваемой вне пределов контролируемой зоны |
Сервер доступа + Континент-АП или Континент TLS
Континент-АП в связке с сервером доступа реализует удаленный доступ к ресурсам сети. Соответственно, возникает вопрос: есть ли разница между Сервером доступа и Континент-TLS?
Связка АПКШ+СД не подойдет при реализации массового доступа к электронному порталу. Рассмотрим отличия при реализации доступа удаленных сотрудников.
Критерий | Континент-АП | Континент TLS-клиент | |
|---|---|---|---|
База организации удаленного доступа | Сервер доступа в составе АПКШ | Континент TLS-сервер | |
Сертифицированные версии базы организации удаленного доступа | 3.7 (МЭ 4 класса, ФСБ)3.9 (3 УД, МЭ типа "А" 3 класса, СОВ 3 класса уровня сети: ФСТЭКМЭ 4 класса, СКЗИ класса КС2/КС3)4 (4 УД, МЭ типа "А" 4 класса, СОВ 4 класса уровня сети: ФСТЭК) | 2.0 (СКЗИ класса КС2: ФСБ4 уровень контроля отсутствия НДВ: ФСТЭК) | |
Доступные версии агента | 3.7, 4.0, 4.1 | 1.0, 1.2, 2.0 | |
Сертифицированные версии агента | 3.7 (СКЗИ класса КС1/КС2/КС3)4 (СКЗИ класса КС1/КС2) | 2.0 (СКЗИ класса КС1) | |
Поддерживаемые платформы агента | Windows, Linux (3.7, 4.0, 4.1), Android (4.1), iOS (4.0) | Windows | |
Наличие бесплатного агента | Нет | Да | |
Предназначение агента | Защищенный удаленный доступВерсия 3.7 является персональным межсетевым экраном | Защищенный удаленный доступ | |
Сценарии использования | Удаленный доступ к корпоративным ресурсам | Организация массового защищенного доступа,Удаленный доступ к корпоративным ресурсам | |
Протокол передачи данных | TCP, UDP | TCP, TLS в режиме tunnel | |
Максимальное количество подключений к ресурсам сети | Ограничивается шлюзом (максимум 3000 на один шлюз) | Ограничивается лицензией (максимум 45000 одновременно на один шлюз) | |
Доступ к ресурсу | Регулируется правилами СД и фильтрации | Регулируется лицензией на HTTPS-прокси и TLS-туннель | |
Пользователи | Требуется УЗ в СД для каждого пользователя | Не обязательно создавать пользователя (пользователь указывается только в сертификате) | |
IP-адрес | СД назначает IP-адрес абоненту | IP-адрес клиента не меняется |
Заключение
Интерес к организации удаленного доступа в последнее время становится все более актуальным и Континент TLS является одним из вариантов, который не только обеспечивает защищенный удаленный доступ, но и соответствует требованиям регуляторов по защите информации.
Автор статьи: Дмитрий Лебедев, инженер ИБ
