
Техническая поддержка оказывается службой технической поддержки ООО Код Безопасности.
Работа над критичными инцидентами в режиме 247.
Специальные условия на приобретение новых версий продукта.
Информация о доставке:
Курьерская доставка — от 350 РСамовывоз
— Бесплатно СДЭК — от 500Р
Выберите, пожалуйста, ник на Пикабу
Отменить привязку?
Свяжите ник на Пикабу с аккаунтом , чтобы заходить в один аккаунт вводя логин и пароль или используя
Лучшие посты за сегодня

Артикул: SNS-8.x-BK4-RN30-SP1Y
Состав:
Лицензия на 1 год + ТП уровня Базовый, срок 1 год.
Компоненты: Антивирус (технология Касперского), Обнаружение и предотвращение вторжений за 1 компьютер.
В наличии
1 770 ₽ … 2 520 ₽

Артикул: SNS-8.x-BK1-RN30-SP1Y
Состав:
Лицензия на 1 год + ТП уровня Базовый, срок 1 год.
Компоненты: Защита от НСД, Контроль устройств, Защита диска и шифрование контейнеров, Персональный межсетевой экран, Антивирус (технология Касперского), Обнаружение и предотвращение вторжений за…
В наличии
3 920 ₽ … 5 600 ₽

Артикул: SNS-8.x-BK2-RN30-SP1Y
Состав:
Лицензия на 1 год + ТП уровня Базовый, срок 1 год.
Компоненты: Защита от НСД, Контроль устройств, Антивирус (технология Касперского), Обнаружение и предотвращение вторжений за 1 компьютер.
В наличии
3 340 ₽ … 4 770 ₽

Артикул: SNS-8.x-AVK-RN30-SP1Y
Состав:
Лицензия на 1 год + ТП уровня Базовый, срок 1 год.
Компоненты: Антивирус по технологии Касперского за 1 компьютер.
В наличии
1 016 ₽ … 1 444 ₽

Артикул: SNS-8.x-IPSK-RN30-SP1Y
Состав:
Лицензия на 1 год + ТП уровня Базовый, срок 1 год.
Компоненты: Обнаружение и предотвращение вторжений за 1 компьютер.
В наличии
999 ₽ … 1 444 ₽
- Secret Net Studio 8. 8 получил сертификат ФСТЭК
- Политика в отношении обработки персональных данных Общества с ограниченной ответственностью «Ред Софт» (ООО «Ред Софт»)
- Введение
- Описание проблемы и её решение
- Docker
- Вместо заключения
- Список ресурсов
- Средства защиты информации и где дёготь
- Предисловие
- Основные инструменты
- Применение
- Проблемы
- Послесловие
Secret Net Studio 8. 8 получил сертификат ФСТЭК
Программный комплекс средств защиты информации Secret Net Studio – C версии 8.8 подтвердил соответствие требованиям Федеральной службы по экспортному и техническому контролю (ФСТЭК России).
Сертификат № 3675 подтверждает соответствие продукта требованиям руководящих документов по второму уровню доверия (УД 2), к межсетевым экранам типа В – второго класса (МЭ В2) и к средствам защиты от несанкционированного доступа по третьему классу защищенности (СВТ 3).
Срок действия сертификата – до 12 декабря 2024 года.
Продукт может применяться для защиты гостайны, автоматизированных систем (АС) до класса 1Б включительно, информационных систем персональных данных (ИСПДн) до УЗ1 включительно, государственных информационных систем (ГИС) до 1 класса включительно, автоматизированных систем управления производственными и технологическими процессами (АСУ ТП) до 1 класса включительно. С техническими характеристиками средства защиты информации “Secret Net Studio – C” можно ознакомиться по ссылке.
Secret Net Studio – комплексное решение для защиты рабочих станций и серверов на уровне данных, приложений, сети, операционной системы и периферийного оборудования.
Представлены в двух редакциях: Secret Net Studio и Secret Net Studio – C.
Обеспечивает:
независимый от ОС контроль внутренних механизмов СЗИ и драйверов
автоматизированную настройку механизмов для выполнения требований регуляторов
удобные графические инструменты мониторинга состояния компьютеров в защищаемой системе
комплексную защиту на пяти уровнях: защита данных, приложений, сетевого взаимодействия, операционной системы и подключаемых устройств
интеграцию независимых от ОС защитных механизмов для повышения общего уровня защищенности рабочих станций и серверов
создание централизованных политик безопасности и их наследование в распределенных инфраструктурах
поддержку иерархии и резервирования серверов безопасности в распределенных инфраструктурах
Защита системы:
межсетевое экранирование с авторизацией соединений;
система обнаружения и предотвращения вторжений;
замкнутая программная среда;
Защита данных:
дискреционный контроль доступа к информации
мандатный контроль доступа к информации
данные на диске и других носителях могут храниться в защищенном контейнере
фактически, контейнер – зашифрованная область информации на диске. Для пользователя он отображается как подключаемый локальный диск
контроль целостности данных


Артикул: SNLSP1.x-BL1-SB-SUP-ST
ТП уровня Стандартный, срок 1 год. В цену включен НДС (20%)

Артикул: SNLSP-Sup-Dir-VIP
Техническая поддержка оказывается службой технической поддержки ООО “Код Безопасности”.
Выделенный инженер.
Включено 100 плановых выездов на площадку заказчика.”

Артикул: SNLSP-Sup-Dir-Ext
Техническая поддержка оказывается службой технической поддержки ООО “Код Безопасности”.
Работа над критичными инцидентами в режиме 24*7.
Специальные условия на приобретение новых версий продукта.”

Артикул: SNLSP-Sup-Dir-St
Техническая поддержка оказывается службой технической поддержки ООО “Код Безопасности”.
Включает возможность получения консультаций по электронной почте.
Включает получение пакетов обновления для продукта.

Артикул: SNLSP-Sup-Co-Ext
“Техническая поддержка оказывается авторизованным сервисным партнером ООО “Код Безопасности”. Партнер обеспечивает первую линию поддержки. В сложных случаях инцидент передается в службу ТП ООО “Код Безопасности”.
Специальные условия на приобретение…

Артикул: SNLSP-Sup-Co-St
Техническая поддержка оказывается авторизованным сервисным партнером ООО “Код Безопасности”. Партнер обеспечивает первую линию поддержки. В сложных случаях инцидент передается в службу ТП ООО “Код Безопасности”.
Включает получение пакетов обновления для…

Состав:
Лицензия на 1 год + ТП уровня Базовый, срок 1 год”
Компоненты: Защита от НСД, Персональный межсетевой экран за 1 компьютер.
В наличии
1 900 ₽ … 3 000 ₽

Артикул: SNLSP1.x-BL3-NS-SP1Y
Состав:
Лицензия бессрочная + ТП уровня Базовый, срок 1 год + Электронный формуляр Secret Net LSP
В наличии
5 390 ₽ … 8 550 ₽

Артикул: SNLSP1.x-NSD-NS-SP1Y
Состав:
Лицензия бессрочная + ТП уровня Базовый, срок 1 год + Электронный формуляр Secret Net LSP
В наличии
4 350 ₽ … 7 900 ₽

Артикул: SNLSP1.x-NSD-SB-SP1Y
Состав:
Лицензия на 1 год + ТП уровня Базовый, срок 1 год + Электронный формуляр Secret Net LSP
В наличии
1 550 ₽ … 2 800 ₽

Артикул: SNLSP1.x-NSD-RN30-SP1Y
Состав:
Лицензия бессрочная + ТП уровня Базовый, срок 1 год.

Артикул: SNLSP1.x-NSD-RN30-SP1Y
“Состав:
Лицензия бессрочная + ТП уровня Базовый, срок 1 год.”
В наличии
3 050 ₽ … 5 500 ₽

Артикул: SNLSP1.x-PFW-NS-SP1Y
Состав:
Лицензия бессрочная + ТП уровня Базовый, срок 1 год + Электронный формуляр Secret Net LSP
В наличии
900 ₽ … 1 600 ₽

Артикул: SNLSP1.x-PFW-SB-SP1Y
Состав:
Лицензия на 1 год + ТП уровня Базовый, срок 1 год + Электронный формуляр Secret Net LSP

Артикул: SNLSP1.x-PFW-RN30-SP1Y
Состав:
Лицензия бессрочная + ТП уровня Базовый, срок 1 год.
Компоненты: Персональный межсетевой экран за 1 компьютер.

Артикул: SNLSP1.x-PFW-RN30-SP1Y
Состав:
Лицензия бессрочная + ТП уровня Базовый, срок 1 год.
Компоненты: Персональный межсетевой экран за 1 компьютер.
В наличии
600 ₽ … 1 100 ₽

Артикул: SNLSP1.x-Disk
Комплектность поставки Secret Net LSP версии 1.10 с МЭ:
1. Установочный диск – 1 шт.
2. Формуляр в печатном виде.
3. Копия сертификата соответствия ФСТЭК.

Артикул: SNLSP1.х-C-Disk
Комплектность поставки Secret Net LSP версии 1.8:
1. Установочный диск – 1 шт.
2. Формуляр в печатном виде.
3. Копия сертификата соответствия ФСТЭК.
Apache Software Foundation
PostgreSQL Global Development Group
АО ГК «Системы и технологии»
Научно-техническая лаборатория «НЭКСТ ТЕХНИКА»
Новые Облачные Технологии
НПА Вира Реалтайм
НРК – Р.О.С.Т.
ОКБ Аэрокосмические Системы
ООО “Лаборатория МБК”
ООО «Системы документооборота»
Поисковый портал Спутник
РФЯЦ-ВНИИЭФ “НИИИС им Ю.Е.Седакова”
Сетевые информационные системы
УНИВЕРСАЛЬНЫЕ СИСТЕМЫ И ТЕХНОЛОГИИ
Центр открытых разработок
Электронные Офисные Системы
Средство антивирусной защиты
Средство защиты информации
Система предотвращения утечек информации
Системы ip-телефонии и видеоконференции
ПО для работы с оборудованием
Средство обеспечения информационной безопасности
Средство криптографической защиты
Система электронной отчетности
ПО для удаленного администрирования и управления
Средство резервного копирования
Система обучения и контроля знаний
ERP\CRM – система
Средство контроля защищенности
Система обнаружения вторжений
Медицинская информационная система
ПО АСУ ТП
Система управления информацией
Система контроля управления доступом
Дистанционное банковское обслуживание
Политика в отношении обработки персональных данных Общества с ограниченной ответственностью «Ред Софт» (ООО «Ред Софт»)
1. Настоящая политика в отношении обработки персональных данных (далее –
Политика) составлена в соответствии с требованиями Федерального закона от 27.07.2006 No152-ФЗ «О персональных данных» и применяется к информации, которую ООО «Ред Софт» (далее – Компания) может получить о Пользователях веб-сайта http://redos.red-soft.ru/ (далее – Сайт).
Использование Пользователем Сайта означает безоговорочное согласие с настоящей Политикой и указанными в ней условиями обработки персональных данных. В случае несогласия с данной Политикой использование Сайта должно быть немедленно прекращено.
При заполнении формы на Сайте Пользователь тем самым подтверждает:
- что все указанные им данные принадлежат лично ему;
- что им внимательно и в полном объеме прочитаны условия настоящей Политики в отношении обработки его персональных данных, и они ему понятны;
дает согласие:
- на обработку Сайтом предоставляемых в составе информации персональных данных;
- на передачу своих персональных данных партнерам Компании;
- дает согласие на получение информационной рассылки Сайта.
2. Согласие Пользователя признается бессрочным и исполненным в простой письменной форме, на обработку следующих персональных данных:
- фамилия, имя, отчество;
- год рождения;
- место проживания (город, область);
- номер телефона;
- адрес электронной почты (E-mail).
Пользователь предоставляет Компании право осуществлять следующие действия с персональными данными:
- сбор и накопление;
- хранение;
- уточнение (обновление, изменение);
- использование;
- уничтожение;
- обезличивание.
3. Пользователь имеет право отозвать свое согласие посредством составления
соответствующего письменного документа, который может быть направлен Пользователем в адрес Компании по электронной почте/по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку уполномоченному представителю Компании. В случае получения письменного заявления об отзыве согласия на обработку персональных данных Компания обязана прекратить их обработку.
4. Компания обязуется приложить все усилия для обеспечения конфиденциальности данных, размещенных Пользователем посредством Сайта, на весь период использования Сайта Пользователем.
5. Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства.
6. Пользователь осознает, что в результате сбоя, технических неисправностей, действий третьих лиц, в том числе (но не ограничиваясь) вирусной или хакерской атаки, данные Пользователя, размещенные на Сайте, могут стать доступны третьим лицам. Пользователь обязуется не предъявлять требований к Компании о возмещении убытков (ущерба), возникших в связи с этим.
7. Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, отправив письмо на адрес электронной почты: redos@red-soft.ru.
8. Компания имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией.
|
Alexander Kukushkin Оставлено | |
|
hikkki Оставлено | |
Я не спец. Но даже на Каталине (где криптопро работает идеально), плагин криптопро НЕ работает, его надо ставить на Хром. А в макос БигСюр и даже Монтерей я вообще сомневаюсь, что будет работать даже в Хроме. | |
|
Александр Лавник Оставлено | |
Автор: Alexander Kukushkin А зачем вам плагин в Safari? На том портале, где планируете использовать плагин, Safari вообще поддерживается? | |
|
Александр Лавник Оставлено | |
Автор: hikkki Я не спец. Но даже на Каталине (где криптопро работает идеально), плагин криптопро НЕ работает, его надо ставить на Хром. А в макос БигСюр и даже Монтерей я вообще сомневаюсь, что будет работать даже в Хроме. А вот это неправда. Актуальные сборки CSP и плагина корректно работают на актуальных версиях macOS. | |
|
hikkki Оставлено | |
Автор: Александр Лавник Автор: hikkki Я не спец. Но даже на Каталине (где криптопро работает идеально), плагин криптопро НЕ работает, его надо ставить на Хром. А в макос БигСюр и даже Монтерей я вообще сомневаюсь, что будет работать даже в Хроме. А вот это неправда. Актуальные сборки CSP и плагина корректно работают на актуальных версиях macOS. А ну вот это отлично тогда. Значит я давно не пробовал ставить, видимо. | |
|
Alexander Kukushkin Оставлено | |
|
Александр Лавник Оставлено | |
Автор: hikkki Автор: Александр Лавник Автор: hikkki Я не спец. Но даже на Каталине (где криптопро работает идеально), плагин криптопро НЕ работает, его надо ставить на Хром. А в макос БигСюр и даже Монтерей я вообще сомневаюсь, что будет работать даже в Хроме. А вот это неправда. Актуальные сборки CSP и плагина корректно работают на актуальных версиях macOS. А ну вот это отлично тогда. Значит я давно не пробовал ставить, видимо. Ответил. | |
hikkki оставлено 05.04.2022(UTC) | |
|
Александр Лавник Оставлено | |
Автор: Alexander Kukushkin Попробуйте Google Chrome. Не забудьте проверить, что расширение установлено и включено. | |
|
hikkki Оставлено | |
Автор: Alexander Kukushkin если не секрет, что там на тинькове можно и нужно подписывать? сам пользуюсь этим банком по всякому. | |
|
Alexander Kukushkin Оставлено | |
Автор: Александр Лавник Попробуйте Google Chrome. Не забудьте проверить, что расширение установлено и включено. В Хроме работает. Вопрос именно про Сафари. Не получится в Сафари пользоваться? | |
|
Alexander Kukushkin Оставлено | |
Автор: hikkki если не секрет, что там на тинькове можно и нужно подписывать? сам пользуюсь этим банком по всякому. Там есть встроенная бухгалтерия для юрлиц, нужно подписывать отчеты в ФНС | |
|
Александр Лавник Оставлено | |
Автор: Alexander Kukushkin Автор: Александр Лавник Попробуйте Google Chrome. Не забудьте проверить, что расширение установлено и включено. В Хроме работает. Вопрос именно про Сафари. Не получится в Сафари пользоваться? На macOS 12.3.1 – нет. Пока разбираемся с причиной (номер запроса для ориентира – CADES-2320). На практике плагин в Safari на интернет-порталах не поддерживается, поэтому можно перейти на другой браузер (например, Google Chrome) и работать с нем. | |
|
aeifn Оставлено | |
Присоединяюсь к просьбе починить плагин для Safari. | |
|
Александр Лавник Оставлено | |
Автор: aeifn Присоединяюсь к просьбе починить плагин для Safari. Поделитесь, пожалуйста, информацией – где вы хотите использовать связку плагин + Safari? И почему не хотите/не можете воспользоваться другим браузером? | |
|
arrrt17 Оставлено | |
Здравствуйте. | |
|
Александр Лавник Оставлено | |
Автор: arrrt17 Здравствуйте. Здравствуйте. К сожалению, придется ждать нового релиза плагина, в котором будет решена проблема работы в Safari. | |
|
arrrt17 Оставлено | |
А обновление планируется или можно вообще забыть про использование плагина в safari? Вопрос навеян тем, что подобные проблемы наблюдались и 2 месяца назад. Может быть попробовать установить предыдущую версию плагина (если их где-то можно скачать)? Отредактировано пользователем 8 мая 2022 г. 14:46:15(UTC) | |
|
Александр Лавник Оставлено | |
Автор: arrrt17 А обновление планируется или можно вообще забыть про использование плагина в safari? Вопрос навеян тем, что подобные проблемы наблюдались и 2 месяца назад. Может быть попробовать установить предыдущую версию плагина (если их где-то можно скачать)? 1) Обновление планируется. Возможно, проблема не будет исправлена в ближайшем релизе. 2) Скачать предыдущие релизные сборки плагина для macOS можно, сформировав для скачивания ссылку вида: Цитата: https://cryptopro.ru/sites/default/files/products/cades/release_2_0_14458/cprocsp-pki-2.0.14458.pkg где номер сборки можно посмотреть в соответствующей теме форума. Но в предыдущих сборках плагина та же самая проблема работы в Safari после обновления macOS до версии 12.3.1, поэтому установка старых сборок не поможет. | |
| |
Всем привет! Я Максим, бэкенд-разработчик команды MSB (корпоративная сервисная шина), занимаюсь интеграциями систем для внутренних нужд компании Tele2, и в этом посте хочу поделиться опытом интеграции с “КриптоПро DSS” поверх ГОСТ TLS.
Введение
В связи с экономией на бумаге ростом цифровизации бизнес-процессов, в частности, с постепенным уходом от традиционных бумажных документов к электронному документообороту, возникла потребность реализовать электронную подпись документов у нас в компании.
В качестве сервера электронной подписи используется комплекс “КриптоПро DSS”, имеющий возможность встроить двухфакторное подтверждение операций подписания в мобильное приложение, посредством своего DSS SDK.
Мы встроили данный SDK в наше корпоративное мобильное приложение, о котором писала моя коллега в своей статье на Хабре.
Но мой рассказ связан с опытом решения задачи со стороны бэкенда, и мы рассмотрим эту задачу подробнее.
Описание проблемы и её решение
В нашей схеме подключение к серверу электронной подписи осуществляется по ГОСТ TLS с аутентификацией клиента по сертификату.
Но не секрет, что стандартные платформы, а именно горячо любимый мной .NET, не поддерживают российские криптошифры по ГОСТу.
В качестве эксперимента пробовал подключить rtengine, но он не завёлся, и, помимо прочего, он не является сертифицированным средством защиты информации. В таких случаях “КриптоПро” советует использовать “КриптоПро Stunnel”.
Изначально, stunnel – это open-source приложение, выступающее в роли шлюза, который принимает незашифрованный трафик и пересылает его на целевой сервер поверх TLS. Часто используется, когда клиент сам не поддерживает TLS-шифрование.
А Stunnel от “КриптоПро” – это практически тот же stunnel, но с поддержкой ГОСТ TLS, а значит, он замечательно подходит для решения нашей проблемы.
Представленная выше схема рабочая, если бы не одно но: согласно политикам безопасности в компании, все запросы во внешнюю сеть Интернет могут осуществляться только через корпоративный прокси. Ванильный stunnel из коробки умеет делать запросы через прокси, но “КриптоПро” эту фичу выпилил в своей редакции.
Чтобы обойти это ограничение, в схему было решено добавить еще одно известное Linux-администраторам приложение socat (еще один шлюз, в своем роде), который умеет делать подключения через HTTP-прокси. Важное условие – HTTP-прокси должен разрешать подключения через метод CONNECT.
В итоге схема станет такой:
Docker
Для упрощения было решено пренебречь правилом “один контейнер – один процесс” и запускать “КриптоПро Stunnel” и socat в одном контейнере. Данный контейнер поднимается в виде sidecar рядом с основным контейнером микросервиса. Это позволяет нашему микросервису общаться с “КриптоПро DSS” так, как будто бы они общались по http-протоколу, а вопросы шифрования трафика по ГОСТ TLS отдаются на откуп контейнеру с stunnel и socat.
Чтобы подготовить образ контейнера, нужно скачать deb-пакет с “КриптоПро CSP” (именно в составе этого дистрибутива и состоит “КриптоПро Stunnel”). К сожалению, скачать пакет нельзя по прямой ссылке, которую можно было бы прописать в Dockerfile (иначе бы статья получилась в два раза короче). Для скачивания нужно пройти регистрацию на сайте “КриптоПро”, и только потом будет дана возможность скачать пакет.
Ниже приведен пример Dockerfile, скриптов инициализации и конфига для “КриптоПро Stunnel”.
Рабочий пример можно также посмотреть здесь.
Dockerfile
FROM debian:buster-slim
EXPOSE 80/tcp
ARG TZ=Europe/Moscow
ENV PATH="/opt/cprocsp/bin/amd64:/opt/cprocsp/sbin/amd64:${PATH}"
# stunnel settings
ENV STUNNEL_HOST="example.cryptopro.ru:4430"
ENV STUNNEL_HTTP_PROXY=
ENV STUNNEL_HTTP_PROXY_PORT=80
ENV STUNNEL_HTTP_PROXY_CREDENTIALS=
ENV STUNNEL_DEBUG_LEVEL=5
ENV STUNNEL_CERTIFICATE_PFX_FILE=/etc/stunnel/certificate.pfx
ENV STUNNEL_CERTIFICATE_PIN_CODE=
# dependencies
RUN ln -snf /usr/share/zoneinfo/$TZ /etc/localtime \ && echo $TZ > /etc/timezone \ && apt-get update \ && apt-get -y install lsb-base curl socat \ && rm -rf /var/lib/apt/lists/*
# install cryptopro csp
WORKDIR /dist
COPY dist/csp_deb.tgz csp_deb.tgz
RUN tar -zxvf csp_deb.tgz --strip-components=1 \ && ./install.sh cprocsp-stunnel
WORKDIR /
COPY conf/ /etc/stunnel
COPY bin/docker-entrypoint.sh docker-entrypoint.sh
COPY bin/stunnel-socat.sh stunnel-socat.sh
RUN chmod +x /docker-entrypoint.sh /stunnel-socat.sh
ENTRYPOINT ["/docker-entrypoint.sh"]
CMD ["stunnel_thread", "/etc/stunnel/stunnel.conf"]docker-entrypoint.sh
#!/bin/bash
# скрипт инициализации
# ---------------------------------
# настройка csp
echo "Configuring CryptoPro CSP..."
# импорт сертификата с закрытым ключом
if [[ ! -f "$STUNNEL_CERTIFICATE_PFX_FILE" ]]; then echo "Client certificate not found in ${STUNNEL_CERTIFICATE_PFX_FILE}" exit 1
fi
certmgr -install -pfx -file "${STUNNEL_CERTIFICATE_PFX_FILE}" -pin "${STUNNEL_CERTIFICATE_PIN_CODE}" -silent || exit 1
echo "Certificate was imported."
echo
# определение контейнера-хранилища закрытых ключей
containerName=$(csptest -keys -enum -verifyc -fqcn -un | grep 'HDIMAGE' | awk -F'|' '{print $2}' | head -1)
if [[ -z "$containerName" ]]; then echo "Keys container not found" exit 1
fi
# установка сертификата клиента
certmgr -inst -cont "${containerName}" -silent || exit 1
# экспорт сертификата для stunnel
exportResult=$(certmgr -export -dest /etc/stunnel/client.crt -container "${containerName}")
if [[ ! -f "/etc/stunnel/client.crt" ]]; then echo "Error on export client certificate" echo "$result" exit 1
fi
echo "CSP configured."
echo
# ---------------------------------
# запуск socat
echo "Starting socat..."
nohup bash /stunnel-socat.sh </dev/null >&1 2>&1 &
# ---------------------------------
# запуск stunnel
echo "Configuring stunnel..."
sed -i "s/^debug=.*$/debug=$STUNNEL_DEBUG_LEVEL/g" /etc/stunnel/stunnel.conf
echo "Starting stunnel"
exec "$@"stunnel-socat.sh
#!/bin/bash
echo Configuring socat...
socatParameters="TCP:${STUNNEL_HOST}"
if [[ -n "$STUNNEL_HTTP_PROXY" ]]; then # если указан http-прокси, подключение будет происходить через него socatParameters="PROXY:${STUNNEL_HTTP_PROXY}:${STUNNEL_HOST},proxyport=${STUNNEL_HTTP_PROXY_PORT}" if [[ -n "$STUNNEL_HTTP_PROXY_CREDENTIALS" ]]; then socatParameters="${socatParameters},proxyauth=${STUNNEL_HTTP_PROXY_CREDENTIALS}" fi
fi
socatCmd="socat UNIX-LISTEN:/var/run/socat.sock,reuseaddr,fork ${socatParameters}"
while true; do rm -f /var/run/socat.sock echo $(date) "Start socat instance." ${socatCmd} sleep 1
donestunnel.conf
foreground=yes
pid=/var/opt/cprocsp/tmp/stunnel_cli.pid
output=/dev/stdout
debug=5
[https]
client=yes
accept=80
cert=/etc/stunnel/client.crt
verify=0
connect=/var/run/socat.sockПро Dockerfile рассказывать не буду, он достаточно тривиален, а вот скрипт инициализации docker-entrypoint.sh интереснее. Первым делом скрипт импортирует сертификат с закрытым ключом в хранилище ключей, так как “КриптоПро Stunnel” для работы необходим закрытый ключ. Затем из хранилища экспортируется сертификат с открытым ключом в формате DER. В дальнейшем по этому сертификату “КриптоПро Stunnel” будет получать закрытый ключ из хранилища ключей.
После инициализации хранилища ключей происходит настройка и запуск socat. Для конфигурирования socat добавлены переменные окружения, которые позволяют указать, через какой HTTP-прокси необходимо выполнять запросы. Не буду останавливаться на этих переменных – их описание есть в репозитории. Однако не лишним будет уточнить, что, если переменные не указаны, socat будет самостоятельно выполнять TCP-запросы до целевого сервера. Для получения входящих запросов socat открывает unix-сокет, на который и будет обращаться “КриптоПро Stunnel”.
Финальным шагом в скрипте являются конфигурирование Stunnel и его последующий запуск.
“КриптоПро Stunnel” при запуске начинает прослушивать порт 80, то есть принимать голый HTTP-трафик. HTTP-трафик будет шифроваться по ГОСТу и пересылаться на unix-сокет, который слушает socat. Socat, в свою очередь, откроет соединение с целевым сервером, напрямую или через HTTP-прокси, и отправит уже шифрованный запрос.
Шифрованный ответ от целевого сервера пройдет ту же цепочку, только обратном порядке, и вызывающему приложению будет возвращен ответ в виде plain text, что позволит не реализовывать ГОСТ TLS внутри приложений (если такая реализация вообще возможна).
Вместо заключения
К сожалению, документация по отечественным решениям зачастую достаточно скромна. К примеру, на попытки заставить работать “КриптоПро Stunnel” через HTTP-прокси ушло много времени, пока не пришло понимание, что “КриптоПро Stunnel” прокси не поддерживает и что без еще одного инструмента не обойтись.
Данная статья призвана помочь сберечь ваше время, надеюсь, описанное окажется полезным.
Бонус
В качестве бонуса хотелось бы поделиться несколькими советами:
Список ресурсов
stunnel TLS Proxy
Шифрование TLS-трафика по алгоритмам ГОСТ-2012 c Stunnel
Средства защиты информации и где дёготь
Предисловие
Приветствую уважаемых хабравчан.
На Хабрахабре достаточно редки упоминания средств защиты информации (СЗИ) от несанкционированного доступа (НСД), если верить поиску. Например, по запросу Dallas я получил 26 топиков и 2 вопроса, из всего этого только один топик упоминал именно СЗИ от НСД Dallas Lock питерской фирмы ООО «КОНФИДЕНТ». По другим средствам картина похожая. В данном посте я бы хотел поделиться опытом применения таких средств и наиболее частым ошибкам/непониманиям при работе с ними.
Основные инструменты
В нашей компании клиентам предлагается три варианта программно-аппаратных средств защиты информации:
- Secret Net от компании «Код безопасности»
- Страж NT от НПЦ «Модуль»
- Ранее упомянутый Dallas Lock
Все продукты примерно равны по характеристикам (особенно с появлением в версии 7.7 Dallas Lock’а контроля USB-устройств), вопрос о применении конкретного средства решается либо на основе возможности установки в целевую систему, либо на основе уровня взаимоотношений с поставщиками.
Под возможностью установки я понимаю различия архитектуры СЗИ и требования к наличию аппаратной части. К примеру, Dallas Lock (или Страж NT) перехватывают управление компьютером на этапе загрузки, не позволяя запуститься операционной системе, пока пользователь не введет пароль и не предъявит идентификатор. Различие в реализации этого механизма — Страж NT для этого использует PCI-плату расширения, которую необходимо установить внутрь ПК (в новых версиях это необязательно, в версии 2.5 тоже заявлялось, но
не работало
было проще воспользоваться другим СЗИ). Соответственно, на ноутбук ставился, например, Dallas Lock — вся реализация доверенной загрузки полностью программна.
Под уровнем взаимоотношений с поставщиками следует читать «возможный процент с перепродажи». Последнее время удается убедить начальство и в пунктах «качество тех.поддержки», «удобство эксплуатации».
Применение
Практически все заказы требуют аттестации локальных автоматизированных рабочих мест (АРМ). Соответственно, сетевые версии защитного ПО редко
получается пощупать
используются. В автономных же версиях все просто — фаворитом является Secret Net, за весьма удобную, простую и понятную настройку — полное встраивание в компоненты Windows (оснастки консолей), четкое разграничение доступа. На втором месте Страж NT — настройка более сложна и механизм мандатного контроля доступа несколько неочевиден пользователям. Dallas Lock, касательно версии 7.5, использовался крайне редко в следствии отсутствия контроля USB-устройств. С появлением версии 7.7 ситуация изменится — не в последнюю очередь из-за ценовой политики.
В сетевом варианте (соответственно, рассматриваем только Secret Net и Dallas Lock) ситуация противоположная. И менее простая. С одной стороны, удобство настроек Secret Net’а никуда не делось. Да и встраивание в Active Directory, работа через механизмы ОС достаточно проста и понятна. С другой стороны, все возможности сетевой версии (конкретно Сервера Безопасности, по терминологии Secret Net) состоят в удаленном сборе журналов, тогда как АРМ администратора безопасности в Dallas Lock позволяет удаленное манипулирование всеми настройками безопасности каждого подключенного клиента. Зачастую это является решающим фактором в выборе СЗИ. Однажды мне пришлось выслушать много удивления и разочарования от администратора заказчика, когда он увидел свою обновленную вотчину. К сожалению, заказчик завязан на «Информзащите» и приобрести продукт «Конфидента» было невозможно.
Проблемы
Многие ошибки возникают просто из-за невнимательности или непонимания принципов работы конкретного СЗИ. Понятно, что справка/руководство
спасет отца русской демократии
поможет в разрешении ситуации, однако зачастую проще вызвать интегратора системы защиты. Естественно, проблема будет устранена — но потеряно время. Как заказчика, так и интегратора. Я хочу поделиться личным опытом, который возможно поможет в разрешении наиболее типичных жалоб пользователя.
Начнем.
Secret Net
Фаворит — он везде фаворит
Многие проблемы возникают из-за незнания практически фундаментального свойства установленного СЗИ — все папки создаются в файловой системе
всегда
несекретными, а файлы — с
текущим
уровнем секретности сессии, который можно проверить во всплывающем окошке:
Часто возникает проблема неработоспособности офисного пакета (Word, Excel). К слову, не стоит забывать что с OpenOffice.org СЗИ не работает. Ошибки могут быть самыми разными, но причина у всех одна — не были корректно настроены папки, необходимые для проведения служебных операций, по мандатному разграничению доступа. Полный список папок приведен в документации, а конкретные проблемы всегда можно диагностировать через журнал Secret Net — в журнале появляется информация о любых действиях программы. При назначении мандатных меток файлам и папкам, следует помнить что гриф папки должен быть максимально допустимый для конкретного АРМ, так как Secret Net позволяет хранить в папках любые файлы грифом
не выше
грифа папки. Соответственно, если запущен Microsoft Word в секретной сессии — для записи файлов автосохранения ему нужен гриф «секретно» на определенной папке.
Встречаются ситуации, когда производится установка ПО в режиме, отличном от «не секретно». Конечно, стоит перелогиниться и выбрать не секретную сессию, чтобы все заработало:
![]()
В случае, когда на АРМ допустимо использовать USB-флэш накопители, бывает невозможно скопировать большие объемы данных, рассортированных по папкам. Здесь все то же самое — вновь созданная папка стала несекретной, а файлы автоматом получают текущий гриф. Если же использовать флэшки запрещено, то при попытке подключения таковой ПК блокируется — за это отвечают выделенные два параметра, выставленные в «жесткий»:
Если пользователи непрерывно жалуются на медленную работу компьютера, а в организации используется антивирус Касперского, стоит проверить версию — часто версия 6.0.3 оказывается несвоместима с SecretNet 5.x. Вот так тормоза точно исчезнут:
И напоследок — небольшая тонкая настройка может сильно облегчить жизнь пользователям и сохранить их нервы, если обратиться к ветке реестра HKLM\System\CurrentControlSet\Services\SNMC5xx\Params (для 5.х версий), где можно найти два строковых параметра — MessageBoxSuppression (и второй -ByDir), где указываются расширения файлов или папки, для которых не будут выводиться диалоговые окна о повышении категории конфиденциальности ресурса.
Страж NT
Для этого СЗИ проблемы встречаются гораздо реже (как минимум у наших клиентов), что может говорить о более дружелюбном к пользователю механизму защиты.
Непонимание в случае данного ПО связано с необходимостью выбора уровня секретности каждого приложения отдельно и невозможности делегировать какие-либо права стандартному проводнику. Соответственно, если на АРМ есть прописанные USB-флэш диски и они секретны, попытка открыть их проводником приведет к ошибке доступа. Следует выбрать установленный файловый менеджер, выбрав при запуске гриф допуска, соответствующий секретности флэшки.
Также, если при открытии документа Word/Excel сначала появляется окно выбора грифа секретности, а далее разворачивается окно соответствующего редактора без запрошенного документа — это нормально. Следует открыть файл повторно, используя уже само офисное приложение.
Dallas Lock
Как и в случае Стража, ошибок крайне мало — не подходили пароли, пропадал параметр «категория конфиденциальности» с окна логина и ошибка привязки электронного идентификатора.
Первая ошибка связана с возможным использованием двух паролей — для Dallas Lock’а и Windows можно установить разные, в том числе и случайно (например, сменой пароля администратором). В подобном случае можно после загрузки окна приветствия Windows ввести пароль Dallas Lock и нажав «ОК» в диалоге несовпадения пароля СЗИ и ОС, ввести пароль пользователя Windows и отметить галочку «Использовать в Dallas Lock».
Вторая связана со скрытым по-умолчанию полем выбора грифа сеанса. Бывает, пользователи забывают об этом — а потом жалуются, что не могут попасть даже в папки с грифом ДСП.
Электронный идентификатор может не привязываться, если эту операцию делают для администратора, или если используемый токен не подходит по версии. Так, в версии 7.5 применимы eToken 64k с драйвером eToken RTE. Давно доступный eToken PKI не подойдет, равно как и eToken 72k Java, к примеру.
Послесловие
Надеюсь данный пост окажется полезным для сообщества или просто познавательным. Спасибо за внимание!

1 пользователь поблагодарил Александр Лавник за этот пост.




