Безопасность удаленной работы
Удаленная работа сотрудников из дома, ранее являвшаяся редким исключением, сейчас используется в большинстве компаний. Причем использование удаленной работы не является временной мерой; многие компании захотят хотя бы частично отказаться от офисов, а сотрудникам дать возможность не начинать рабочий день с долгих поездок на общественном транспорте.
Однако при удаленной работе, компанию подстерегает ряд опасностей:
- пароли пользователей могут быть украдены, что дает возможность злоумышленникам бесконтрольно подключаться к сети и ИТ-ресурсам предприятия;
- данные передаются по публичным каналам, а значит могут быть перехвачены и изменены;
- важная корпоративная информация хранится на ноутбуках, домашних ПК и флэш-накопителях вне файловых ресурсов и информационных систем предприятия.
Токены и смарт-карты Рутокен позволяют реализовать:
- двухфакторную аутентификацию для офисных ПК, web-приложений, удаленных рабочих столов RDP/VDI и VPN;
- защиту передаваемых данных с помощью виртуальной частной сети (VPN);
- защиту информации на флэш-накопителях и шифрование данных;
- квалифицированную или усиленную неквалифицированную электронную подпись для электронных документов.
С помощью приведенных ниже инструкций, вы сможете настроить элементы ИТ-инфраструктуры вашей организации для использования продуктов Рутокен.
Инициализация рутокен эцп клиента
Теперь можно приступить к тому, ради чего все затевалось — инициализации Рутокен ЭЦП для авторизации клиента в VPN.
Настройка клиента openvpn
У меня рабочее место пользователя — Windows 7. Так как Рутокен ЭЦП работает через стандартный CCID-драйвер, то на Windows 7 его драйвера устанавливать не надо (на XP надо).
Настройка сервера openvpn
Установим openvpn:
sudo apt-get install openvpn
Создадим файл с параметрами ДХ:
openssl dhparam -out dh1024.pem 1024
Тестовый конфиг сервера OpenVPN (ВНИМАНИЕ! Конфиг сервера предназначен только для демонстрации, не надо его брать за основу вашего сервера):
port 1194
proto tcp
dev tap
ca /home/vic/Desktop/ca.crt
cert /home/vic/Desktop/server.crt
key /home/vic/Desktop/server.key
dh /home/vic/Desktop/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
cipher BF-CBC
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
Запустим сервер OpenVPN
sudo openvpn --config /home/vic/Desktop/demo.ovpn
Понятно, что в боевой конфигурации сервер будет запускаться как демон и ключи/сертификаты не будут лежать в home.
Настройка уц
Для начала установим системные компоненты, необходимые для работы Рутокен ЭЦП:
Установим XCA:
sudo apt-get install xca
Запустим XCA:
sudo xca
Следует создать новую базу File->New Database.
Создадим ключ УЦ: Private Keys-> New Key, newcakey, RSA, 1024.
Создадим сертификат УЦ:
Создадим ключ сервера OpenVPN: Private Keys-> New Key, newserver, RSA, 1024.Создадим сертификат сервера OpenVPN:
ВАЖНО! У сертификата сервера OpenVPN должно присутствовать специальное расширение (extendedKeyUsage — serverAuth)
Экспортируем сертификат УЦ в файл ca.crt, ключ сервера в файл server.key и сертификат сервера в файл server.crt, чтобы их можно было подсунуть серверу OpenVPN (Private Keys->Export, Certificates->Export).
Рутокен vpn
Рутокен VPN — это комплексное решение для безопасного доступа к корпоративным ИТ-системам из любой точки мира, предназначенное для надежной защиты информации при удаленных подключениях. Идеально подходит для решения задач ИБ малого и среднего бизнеса. Рутокен VPN базируется на OpenVPN и закрытых ключах, хранящихся на борту USB-токенов или смарт-карт Рутокен ЭЦП. Основное преимущество решения — простота настройки и администрирования. Решение обеспечивает максимальную безопасность при удаленной работе с файлами, почтой, «1С» и другими офисными приложениями.
Для построения VPN-канала применяются криптографические алгоритмы ГОСТ Р 34.10-2022 и ГОСТ Р 34.12-2022. В качестве альтернативы можно использовать алгоритмы RSA с длиной ключа 2048 бит и и AES 256 бит. Рутокен VPN базируется на OpenVPN и закрытых неизвлекаемых криптографических ключах, хранящихся на борту USB-токенов или смарт-карт Рутокен ЭЦП PKI, Рутокен ЭЦП 2.0 или Рутокен ЭЦП 2.0 Flash.