Главная » Блоги Экспертов И ИТ-Компаний » СОИБ. Проектирование. Сертифицированный защищенный мобильный доступ к КИС

СОИБ. Проектирование. Сертифицированный защищенный мобильный доступ к КИС

По материала блога http://sborisov.blogspot.com/2012/05/blog-post_12.html

 

Хотелось бы отдельной заметкой отметить знаковое событие на российском рынке ИБ – сертификацию в системе ФСБ России первого западного продукта Stonegate SSL VPN производства компании Stonesoft как СКЗИ класса КС1 и КС2. Кроме того это единственное сертифицированное ФСБ решение SSL VPN.

 

Компания Stonesoft проделала большую работу (сертификация длилась порядка 2-х лет и в рамках которых ФСБ Р дорабатывала свои требования). За этой им большое спасибо. Теперь по проторенной дороге могут пойти и другие лидирующие мировые вендоры.

 

Посмотрим подробнее возможности и ограничения.

Основные заявленные возможности системы:

1.       большой выбор методов аутентификации, включая аутентификацию пользователей как по сертификатам (в том числе сертификатам по ГОСТ) и по предварительно распределенным паролям (секретам);

2.       поддержка одновременной возможности шифрования трафика как по ГОСТ так по западным крипто алгоритмам;

3.       возможность подключения при наличие у пользователя возможности соединения хотя бы на один из портов  80/TCP или 443/TCP;

4.       функционирование системы через HTTP Proxy, через NAT и при других ограничениях при которых затруднена работа классического IPSec;

5.       отсутствие необходимости для работы постоянно установленного VPN клиента, достаточность для работы только браузера;

6.       поддержка большого количества операционных систем в том числе большинства мобильных (MAC OS X, Linux, Pocket PC, BlackBerry RIM, Palm, Sony Ericsson, iPhone/iPad, Android, MS Windows XP, Vista, 7, 2003, 2008)

7.       единый web портал доступа пользователя к ресурсам КИС;

8.       контроль состояния защищенности системы пользователя;

9.       автоматическое очистки следов соединения при его завершении (временных файлов, кэша, скаченных документов и др.)

10.   поддержка одновременного подключения до 10000 клиентов

11.   единая консоль управления всеми средствами сетевой безопасности Stonegate SSL VPN

12.   во ФСТЭК и ФСБ сертифицированы как SSL VPN Gate, так и клиенты SSL VPN  (а сертификаты нехилые = МЭ 3-го класса, отсутствие НДВ по 4-ому уровню контроля, разрешено для К1 и 1Г и  СКЗИ до КС2).

Если обобщить, то преимуществом технологии SSL VPN перед технологией IPSec VPN является мобильность.

 

На форуме bankir.ru развернулась дискуссия об ограничениях и целесообразности применения сертифицированного SSL VPN

 

 

Поэтому для объективности хочу отметить ограничения, которые надо учитывать при использовании возможностей (сертифицированной) системы Stonegate SSL VPN:

I. Не стоит думать что через web портал вы сможете работать абсолютно с любым приложением в КИС (например, вы подумали как было бы удобно заходить в 1С с телефона через браузер?).

Система предусматривает 2 варианта доступа к ресурсам КИС:

·         Через пользовательский web портал;

·         Через тунелирование трафика.

Через пользовательский web портал можно получить доступ к внутренним web приложениям:

·         Microsoft Outlook Web Access;

·         Microsoft Outlook Client (через web интерфейс);

·         Domino Web Access;

·         Microsoft Sharepoint Portal Server;

·         Любое другое web приложение в корпоративной сети.

Если вы хотите получить доступ к приложениям, не имеющим web интерфейса, вам придется иметь на клиентской машине установленное приложение (например, клиент 1C) и клиент StoneGate SSL VPN Access Client. При этом на web портале будет приводится ссылка на приложение работающее через SSL туннель.

Через туннелированние трафика можно обеспечить к:

·         Почтовому серверу по протоколам IMAP, POP3, SMTP;

·         Терминальному серверу Microsoft Terminal Server по RDP;

·         Файловому серверу Microsoft Windows File Share (по стандартным протоколам Windows);

·         сетевой папке пользователя Home Directory;

·         Терминальному серверу Citrix MetaFrame Presentation;

·         Любое другое приложение для которого известны порты TCP/UDP, по которым осуществляется взаимодействие с сервером.

 

 

Как видно в случае необходимости туннелирования трафика, мобильность существенно уменьшается. Во-первых на техническом средстве, за которым работает пользователь,  должно быть установлено корпоративное приложение. Во-вторых, хотя комплект StoneGate SSL VPN Access Client может загружаться автоматически с web портала, но для первоначальной установки он требует прав администратора в системе. (То есть интернет кафе, гостевые компьютеры в партнерской организации отпадают).


II. В случае использования туннелируемого доступа через SSL ограничивается количество поддерживаемых ОС до Mac OSLinuxWindows (отпадают мобильные устройства AndroidiPhone/iPad). Полный перечень поддерживаемыхустройств и браузеров.

 

III. В случае использования сертифицированной версии Stonegate SSL VPN ограничивается количество поддерживаемых ОС до LinuxWindows. Цитирую Формуляр 89625543.4012-003 30 02:

“4.4. StoneGate SSL VPN Access Client предназначено для функционирования в программной среде Windows 2000, Windows XPWindows 2003 ServerWindows Vista (32, 64 bit), Windows 7 (32, 64 bit), Linux (32, 64 bit)”.


III. В случае использования сертифицированной версии Stonegate SSL VPN в дополнение к браузеру и ПО StoneGate SSL VPN Access Client необходима установка на систему пользователя дополнительных средств.

В варианте КС1 на систему пользователя необходимо установить криптобиблиотеку "КриптоПро CSP" 3.6. исполнение 1 или криптобиблиотеку "Валидата CSP" 4.0 исполнение 1.

В варианте КС2 на системе пользователя кроме криптобиблиотек необходимо использовать ещё и специальный загрузочный носитель - СЗН "МАРШ!-USB" (только для Linux) или ПАК защиты от НСД "Аккорд" или ПАК защиты от НСД "Соболь".

В варианте КС2 на сервере SSL VPN Gate есть вариант не использовать НСД "Аккорд" или ПАК защиты от НСД "Соболь" если применяются определенные организационно-технические меры.


IV. В случае использования сертифицированной версии Stonegate SSL VPN ограничивается количество поддерживаемых ОС до LinuxWindows за счет ограничения криптобиблиотеки. Перечень ОС, поддерживаемых Криптопро CSP (отсутствуют iPhoneAndroidMacOS). "Валидата CSP" поддерживает только Windows.


VВ случае необходимости использования автоматической очистки следов соединения выполняется загрузка и запуск мобильного Abolishment Client, который поддерживает ОС Mac OSLinuxWindows.

 


VI. В случае необходимости использования контроль состояния защищенности системы пользователя выполняется загрузка и запуск мобильного Assessment Client, который поддерживает ОС Mac OSWindows.


VII. По сути Stonegate SSL VPN имеет независимую систему управления встроенную в сам SSL VPN Gate в качестве web сервера управления (может работать без SMC). В централизованную систему управления Stonegate Management Center интегрируется только возможность мониторинга и сбора событий с SSL VPN (для сравнения FW/VPN и IPS полностью управляются через SMC и не могут без неё работать).

 

Исходя из всего приведенного выше считаю оптимальным следующие применение для Stonegate SSL VPN:

·         Для доступа к информации не отнесенной законодательством к информации ограниченного доступа через web приложения (для доступа к приложениям содержащим служебную информацию, коммерческую тайну, статистическую информацию, обезличенные или общедоступные ПДн) использовать Stonegate SSL VPN с западными алгоритмами шифрования. В данном варианте можем использовать любые мобильные устройства.

·         Для доступа к информации ограниченного доступа (ИСПДн) через любые приложения использовать Stonegate SSL VPN с алгоритмами шифрования ГОСТ. В данном варианте можем использовать корпоративные ноутбуки или рабочие станции под управлением ОС Windows и Linux.

·         При необходимости использования усиленной аутентификации, можем использовать обойденный вниманием свежий продукт Stonegate Authentication Server (Radius сервер) который позволяет на мобильных устройствах например использовать MobileID, а на ноутбуках и рабочих станциях например  использовать сертификаты по ГОСТ.

Таким образом и руководители со своих планшетов могут получить доступ к  управленческой информации, а специалисты в командировках или из дома могут полноценно работать с любыми приложениями.

 

Надеюсь данная статья будет чем-то вам полезна. Кто-то планировал тестировать систему мобильного доступа и теперь отпала необходимость? У кого-то наоборот появилось желание протестировать?

В любом случае жду отзывы и дополнительные вопросы.


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>