- Введение
- Архитектура «КриптоПро NGate»
- Системные требования «КриптоПро NGate»
- Сертификация шлюза «КриптоПро NGate» и выполнение требований законодательства
- Функциональные возможности «КриптоПро NGate»
- Работа с «КриптоПро NGate»
- Выводы
Минимальная конфигурация компьютера: ОЗУ 1 Гб, ЦП 1.5
ГГц. Операционная система Windows (32\64х): XP,
Vista, 7, 8*, 8.1*, Windows Server 2003, 2008, 2008R2*
Установленный и зарегистрированный криптопровайдер с введеной лицензией
(ограниченной по времени или постоянной) . В системе
должен быть установлен только один из
указанных криптопровайдеров:
КриптоПРО CSP 3.6 R4 или 3.9,
ViPNet CSP 3.2 или 4.0, Signal-COM CPGOST (2.2 и
выше) ПК ЛИССИ-CSP (1.17.1 и выше) Валидата CSP (4.0
и выше)
Версия используемого криптопровайдера должна
быть сертифицированной. Подключение к интернет со
скоростью 256 кбит\с и выше. Разрешенные для работы
протоколы: TLS 1.0 Разрешенные порты: 443 (проверить) и 80
(проверить) для
подключения к серверам ООО “Криптэкс”.Установка дистрибутива не требует наличия
прав администратора При использовани прокси-сервера: необходимо
выполнить
настройку Signatura.CryptoService
Примечание: * зависит от используемого
криптопровайдера.
Copyright 2015 ООО
“Криптэкс” [email protected] [email protected]
- Введение
- Общие сведения
- Сценарии использования
- Документация
- Лицензирование
- Системные требования
- Сертификаты
- Его назначение
- Характеристики
- Системные требования «КриптоПро NGate»
- Работа с «КриптоПро NGate»
- Предварительные комментарии
- Доступ к интерфейсу администрирования
- Панель управления
- Настройка конфигураций кластеров
- Настройка порталов
- Настройки узлов
- Сертификация шлюза «КриптоПро NGate» и выполнение требований законодательства
- Архитектура «КриптоПро NGate»
- Функциональные возможности «КриптоПро NGate»
- Режимы работы
- Методы аутентификации
- Возможности интеграции
- Новые функции и улучшения
- Выводы
Введение
Криптографический шлюз (его также называют криптошлюзом, VPN-шлюзом или криптомаршрутизатором) — это программно-аппаратный комплекс, целью использования которого является защита сетевого трафика, передаваемого через открытые, то есть незащищённые, или недоверенные каналы связи. В основе работы криптошлюза лежит технология VPN (Virtual Private Network, виртуальная частная сеть). При этом он обладает полной функциональностью VPN-маршрутизатора и обеспечивает защиту передаваемой информации с помощью алгоритмов шифрования.
Традиционно существуют две основные модели реализации безопасного соединения с использованием криптошлюза.
- Первая модель — так называемая site-to-site VPN («сеть–сеть», т. е. объединение площадок), когда необходимо реализовать, например, взаимодействие внутри распределённой ИТ-инфраструктуры предприятия или между несколькими центрами обработки данных.
- Второй вариант — TLS VPN («удалённый пользователь–сеть») — позволяет отдельным пользователям получать полный или ограниченный доступ к корпоративным веб-порталам, а также к различным ресурсам в защищаемых сегментах сети.
Компания «КриптоПро» специализируется на разработке средств криптографической защиты информации и является одним из лидеров на российском рынке в этом направлении. Несколько лет назад линейка продуктов компании пополнилась высокопроизводительным TLS-шлюзом «КриптоПро NGate», предназначенным для построения полноценной VPN-сети в целях обеспечения защищённого удалённого доступа пользователей к информационным ресурсам с одновременной поддержкой и отечественных, и зарубежных криптографических алгоритмов шифрования. В 2019 году был опубликован обзор первой версии шлюза. Примерами объектов, защищённый удалённый доступ к которым можно реализовать с помощью криптошлюза NGate, могут быть различные государственные порталы, электронные торговые площадки, сайты дистанционного банковского обслуживания, внутренние корпоративные или облачные ресурсы и системы, а также системы видео-конференц-связи и телемедицины.
Текущий обзор посвящён новой версии NGate 1.0 R2. Мы подробно разберём реализованные изменения и улучшения, а также вопросы связанные с работой и администрированием шлюза.
Общие сведения
КриптоПро .NET – программный продукт, позволяющий использовать средство криптографической защиты информации (СКЗИ) КриптоПро CSP на платформе Microsoft .NET Framework. КриптоПро .NET является новой версией существовавшего ранее программного продукта КриптоПро Sharpei и реализует набор интерфейсов для доступа к криптографическим операциям .NET Cryptographic Provider:
- хэширование;
- подпись;
- шифрование;
- MAC;
- генерация ключей и т.д.
Кроме того КриптоПро .NET позволяет использовать стандартные классы Microsoft для высокоуровневых операций:
- разбор сертификата;
- построение и проверка цепочки сертификатов;
- обработка CMS сообщений;
- установление защищенного обмена через SSL/TLS, HTTPS и FTPS;
- XML подпись и шифрование.
КриптоПро .NET состоит из двух частей:
- КриптоПро .NET – клиентский модуль для ОС Windows;
- КриптоПро .NET SDK – комплект разработчика, состоящий из документации, примеров и библиотек.
КриптоПро .NET обеспечивает применение всех алгоритмов, реализуемых КриптоПро CSP.
Сценарии использования
- Разработка приложений и веб-сервисов, в которых требуется использование российских криптоалгоритмов, на .NET Framework;
- Подпись и проверка подписи SOAP сообщений для взаимодействия информационных систем в единой системе межведомственного электронного взаимодействия;
- Пакетная подпись документов XPS и Microsoft Office (соответствующие примеры кода входят в состав КриптоПро .NET SDK);
- Подпись и проверка подписи с использованием Microsoft XPS Viewer;
- Защита соединений Microsoft Lync 2010 с использованием российских криптоалгоритмов;
- Использование российских криптоалгоритмов в службах федеративной аутентификации (AD FS, WIF, CardSpace и т.п.).
Документация
Документация на КриптоПро .NET SDK включена в дистрибутив и доступна на портале для разработчиков cpdn.
Вопросы встраивания и использования можно обсудить на форуме.
Лицензирование
Существует два вида лицензий КриптоПро .NET:
- Клиентская лицензия – предоставляет право установки и эксплуатации одной копии продукта на компьютере под управлением клиентской версии ОС Windows (XP/Vista/7/8/8.1/10);
- Серверная лицензия – предоставляет право установки и эксплуатации одной копии продукта на компьютере под управлением серверной версии ОС Windows (2003/2003 R2/2008/2008 R2/2012/2012 R2/2016/2019).
КриптоПро .NET SDK распространяется на бесплатной основе в составе КриптоПро SDK.
Системные требования
КриптоПро .NET функционирует на платформах Microsoft Windows 2000 и выше (x86 и x64) под управлением Microsoft .NET Framework 2.0 и выше и требует установленного КриптоПро CSP версии 2.0 и выше.
Для КриптоПро .NET SDK требуется наличие на компьютере установленного КриптоПро .NET.
Сертификаты
КриптоПро .NET использует сертифицированное ФСБ России средство криптографической защиты КриптоПро CSP.
Загрузить “КриптоПро .NET”
Заказать “КриптоПро .NET”
- Страница для печати
Из нашей статьи вы узнаете:
КриптоПро Winlogon — это программное обеспечение для проверки серверов, контролирующее компьютерную сеть и пользователей в операционной системе Windows. Осуществляет аутентификацию статуса пользователя с помощью сертификатов открытых ключей и электронных цифровых подписей (ЭЦП). Аутентификация осуществляется при входе пользователей на домен с использованием средства криптографической защиты информации (СКЗИ) «КриптоПро CSP» версии 3.0 и выше.
Открытые ключи используются для проверки пользователя, а ЭЦП для авторизации домена Windows в соответствии с RFC 4490. Сертификаты пользователей и контроллеров домена выпускаются и управляются с помощью сертифицированного удостоверяющего центра или находятся под управлением домена операционной системы.
Его назначение
Программное обеспечение усиливает сетевой протокол аутентификации «Kerberos» с помощью инструментов криптографической защиты информации, расширяя штатную функциональность операционной системы.
Kerberos — сетевой протокол взаимной аутентификации клиента и сервера, где начальный обмен информацией между клиентом и сервером происходит в незащищённой среде.
Программное обеспечение КриптоПро Winlogon формирует ключи шифрования и ключи ЭЦП, шифрует данные, защищает их от навязывания ложных данных, обеспечивает целостность, подлинность и конфиденциальность информации.
Также КриптоПро Winlogon использует расширенный протокол аутентификации EAP-TLS (Extensible Authentication Protocol). Данный протокол использует двустороннюю криптографическую аутентификацию между удалённым пользователем и Radius сервером (Remote Authentication Dial-In User Service).
Характеристики
Программное обеспечение производит аутентификацию на любом сервере, который предназначен для взаимодействия с доменом Windows или со сферой Kerberos V5. При использовании КриптоПро CSP 3.0 необходимо скачать и установить дистрибутив по одной из приведённых ниже ссылок:
- Дистрибутив КриптоПро Winlogon (rus)
- Дистрибутив КриптоПро Winlogon (eng)
- Документация на КриптоПро Winlogon
Отдельная установка КриптоПро Winlogon не требуется, если используется КриптоПро CSP 3.6 и выше.
Подробные характеристики о совместимости с вашим удостоверяющим центром, операционной системой, доменом и дополнительными настройками вы можете узнать у нашей круглосуточной поддержки.
Срок пробной версии программы — 30 дней с момента установки. После необходимо получить лицензию у официального дилера. «Астрал-М» распространяет, внедряет и сопровождает программы КриптоПро с круглосуточной поддержкой пользователей 24/7. Является официальным дилером продукции торговой марки КриптоПро. Приобрести продукцию и актуальную лицензию КриптоПро Winlogon легко, достаточно заполнить форму обратной связи на сайте, вписав своё имя, телефон и адрес электронной почты.
- Процессор с тактовой частотой не менее 1.2 ГГц и поддержкой технологии SSE2
- Оперативная память не менее 2 ГБ, свободное дисковое пространство не менее 10
- Подключение к сети Интернет (не менее 128 Кбит/сек, рекомендуемая скорость — от 1 Мбит/сек)
- Открытый доступ по 443 порту для сайтов *.kontur.ru, *.kontur-ca.ru, а также для сайта информационной системы или торговой площадки, на котором планируется работа с электронной подписью (обратитесь за помощью к системному администратору)
- Одна из лицензионных операционных систем компании Microsoft®:
- XP (SP3)/ Vista (SP2)/ 7/ 8/ 8.1/10
- Server 2003 (SP2)/ Server 2008 (SP2)/ Server 2008 R2/ Server 2012/ Server 2012 R2/Server 2016/ Server 2019
- Установленное СКЗИ КриптоПро CSP (при использовании сертификата, работающего с КриптоПро CSP; для сертификатов с ключом на аппаратном СКЗИ установка программы КриптоПро CSP не требуется)
- Браузер для запроса сертификата:
- Internet Explorer (версии не ниже 11)
- Microsoft Edge (версии 79.0.309.71)
- Google Chrome
- Mozilla Firefox (в т.ч. версия ESR)
- Opera
- Яндекс.Браузер
- CryptoFox
- Chromium GOST
- Браузер для работы на сайте информационной системы или торговой площадки, где планируется работа с электронной подписью
В большинстве случаев это будет тот же браузер, что и для выпуска сертификата. Но некоторые сайты информационных систем и торговых площадок устанавливают свои ограничения по используемому для работы браузеру (к примеру, сервисы ФНС на nalog.ru работают только с браузерами, поддерживающими ГОСТ-соединение: Internet Explorer, CryptoFox или Chromium GOST). Точную информацию о поддержке браузера конкретным сайтом уточняйте в техподдержке информационной системы или торговой площадки, на которой планируете работать с КЭП
- При работе в браузере Internet Explorer для адресов *.kontur.ru, *.kontur-ca.ru, а также для сайта информационной системы или торговой площадкидолжно быть разрешено выполнение ActiveX-элементов, либо эти адреса должны быть добавлены в зону безопасности «Надежные сайты» браузера, для которой разрешено выполнение ActiveX
- При использовании сертификата КЭП для подписания документов локально на рабочем месте должна быть установлена программа, в которой будет использоваться сертификат, а также установлены корневой и промежуточные сертификаты центров сертификации
- При использовании сертификата КЭП в веб-сервисе – может потребоваться установка плагина для работы с ЭП и расширение для браузера.
Точную информацию об условиях настройки уточняйте в техподдержке информационной системы, программы и/или торговой площадки, где планируется использование сертификата КЭП
Также, в зависимости от типа носителя для хранения закрытых ключей сертификата КЭП, потребуются:
- Наличие USB-порта (при использовании в качестве носителя токена или флеш-карты)
- Наличие дисковода 3,5” (в случае использования в качестве носителя дискеты)
Если на одном компьютере планируется использовать сертификат КЭП на носителе и программы, которые используют средства криптографической защиты информации (например, Клиент-Банк, Интернет-Банк), убедитесь, что они используют одну и ту же версию КриптоПро CSP. Использование разных криптографических средств на одном компьютере может привести к неработоспособности программ и системы.
* также возможна настройка СКЗИ и работы электронной подписи на MacOS и Linux, подробности можно уточнить в нашей техподдержке.
** для Windows XP и Vista отсутствует сертифицированная версия КриптоПро CSP.
Программное обеспечение «КриптоПро CSP» предназначено для контроля целостности системного и прикладного ПО, управления ключевыми элементами системы в соответствии с регламентом средств защиты, авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями. В «КриптоПро CSP» помимо самого криптопровайдера входят продукты «КриптоПро TLS», «КриптоПро EAP-TLS», «КриптоПро Winlogon» и «КриптоПро Revocation Provider».
Решение предназначено для:
- авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной подписи (ЭП) в соответствии с отечественными стандартами ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012 (с использованием ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012);
- обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89;
- обеспечения аутентичности, конфиденциальности и имитозащиты соединений по протоколу TLS;
- контроля целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений правильности функционирования;
- управления ключевыми элементами системы в соответствии с регламентом средств защиты.
Реализуемые алгоритмы
- Алгоритм выработки значения хэш-функции реализован в соответствии с требованиями ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хэширования».
- Алгоритмы формирования и проверки электронной подписи реализованы в соответствии с требованиями ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
- Алгоритм зашифрования/расшифрования данных и вычисление имитовставки реализованы в соответствии с требованиями ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая».
При генерации закрытых и открытых ключей обеспечена возможность генерации с различными параметрами в соответствии ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012.
При выработке значения хэш-функции и шифровании обеспечена возможность использования различных узлов замены в соответствии с ГОСТ Р 34.11-94 и ГОСТ 28147-89.
Поддерживаемые типы ключевых носителей
- дискеты 3,5;
- смарт-карты с использованием считывателей смарт-карт, поддерживающий протокол PС/SC;
- таблетки Touch-Memory DS1993 – DS1996 с использованием устройств Аккорд 4+, электронный замок «Соболь», «Криптон» или устройство чтения таблеток Touch-Memory DALLAS (только в Windows версии);
- электронные ключи с интерфейсом USB (USB-токены);
- сменные носители с интерфейсом USB;
- реестр ОС Windows;
- файлы ОС Solaris/Linux/FreeBSD.
CSP 3.6 | CSP 3.9 | CSP 4.0 | CSP 5.0 | |
---|---|---|---|---|
Windows Server 2016 | x64* | x64** | x64 | |
Windows 10 | x86 / x64* | x86 / x64** | x86 / x64 | |
Windows Server 2012 R2 | x64 | x64 | x64 | |
Windows 8.1 | x86 / x64 | x86 / x64 | x86 / x64 | |
Windows Server 2012 | x64 | x64 | x64 | x64 |
Windows 8 | x86 / x64 | x86 / x64 | x86 / x64 | |
Windows Server 2008 R2 | x64 / itanium | x64 | x64 | x64 |
Windows 7 | x86 / x64 | x86 / x64 | x86 / x64 | x86 / x64 |
Windows Server 2008 | x86 / x64 / itanium | x86 / x64 | x86 / x64 | x86 / x64 |
Windows Vista | x86 / x64 | x86 / x64 | ||
Windows Server 2003 R2 | x86 / x64 / itanium | x86 / x64 | x86 / x64 | x86 / x64 |
Windows Server 2003 | x86 / x64 / itanium | x86 / x64 | x86 / x64 | x86 / x64 |
Windows XP | x86 / x64 | |||
Windows 2000 | x86 |
Лицензию КриптоПРО CSP на бумажном носителе вы можете запросить у своего ответственного менеджера.
✅ Купите Крипто-Про КриптоПро CSP (лицензия на право использования СКЗИ КриптоПро CSP версии 3.6 на сервере), Unix на официальном сайте
✅ Лицензия Крипто-Про КриптоПро CSP (лицензия на право использования СКЗИ КриптоПро CSP версии 3.6 на сервере), Unix по выгодной цене
✅ Крипто-Про КриптоПро CSP (лицензия на право использования СКЗИ КриптоПро CSP версии 3.6 на сервере), Unix, лицензионное программное обеспечение купите в Москве и других городах России
Предлагаем также:
- Лицензии КриптоПро CSP купить по цене от 600 руб.
- Лицензии на продукты категории Защита информации купить по цене от 1350 руб.
- Лицензии на продукты категории Антивирусы и безопасность купить по цене от 1 руб.
Системные требования «КриптоПро NGate»
NGate сертифицирован ФСБ России по классам защиты КС1, КС2 и КС3 и может поставляться как в виде программно-аппаратного комплекса, с предустановкой программного обеспечения на специализированные сетевые аппаратные платформы в различных конфигурациях в зависимости от необходимых технических параметров, вычислительных мощностей и требований инфраструктуры каждой конкретной организации, так и в виде программного обеспечения для развёртывания в среде виртуализации.
В первом случае компания приобретает оборудование для системы управления NGate (две модели) и каждого из узлов кластера (шесть вариантов). В следующих двух таблицах мы собрали основные технические характеристики и показатели производительности аппаратных платформ NGate.
Таблица 1. Основные характеристики аппаратных платформ «КриптоПро NGate» (центр управления сетью)
Параметр | «NGate ЦУС 100» | «NGate ЦУС 200» |
Формфактор | 1U | |
Параметры блока питания | 150 Вт АТХ | 300 Вт ATX, резервный БП (PSU) |
Сетевые интерфейсы | RJ-45 1GbE × 6 шт. | RJ-45 1GbE × 8 шт. |
Таблица 2. Основные характеристики аппаратных платформ «КриптоПро NGate» (узел кластера)
Параметр | NGate 3000 | NGate 2000 | NGate 1500 | NGate 1000 | NGate 600 | NGate 320 |
TLS Proxy | До 45 000 подключений, | До 15 000 подключений, | До 8 000 подключений, | До 4 000 подключений, | До 2 000 подключений, | До 500 подключений, |
TLS VPN | До 12 000 подключений, | До 8 000 подключений, | До 4 000 подключений, | До 2 000 подключений, | До 700 подключений, | До 150 подключений, |
Формфактор | 1U | Настольный | ||||
Параметры блока питания | 650 Вт АТХ, резервный БП (PSU) | 300 Вт АТХ, резервный БП (PSU) | 300 Вт АТХ, резервный БП (PSU) | 220 Вт АТХ | 150 Вт АТХ | 36 Вт, адаптер питания 12В 3А |
Сетевые интерфейсы | RJ-45 1GbE × 4 шт. | RJ-45 1GbE × 8 шт. | RJ-45 1GbE × 6 шт. | RJ-45 1GbE × 6 шт. | RJ-45 1GbE × 3 шт. |
Для развёртывания NGate в виде виртуальной программной платформы виртуальные машины должны удовлетворять определённым системным требованиям. Мы перечислили их в таблице далее.
Таблица 3. Системные требования для установки системы управления «КриптоПро NGate» в среде виртуализации
Параметр | ЦУС NGate | Узел NGate |
Среда виртуализации | VMware Workstation (версии 11–16), | |
Гостевая операционная система | Debian Linux 11 x64 | |
Оперативная память | 1 ГБ и более | |
Жёсткий диск | Не менее 100 ГБ (в том числе для журналирования событий и другой информации) | Не менее 8 ГБ |
Виртуальные сетевые интерфейсы | Не менее 1 шт. |
Как видно, эти требования являются легко выполнимыми. Однако при использовании NGate в среде виртуализации возникают другие ограничения: происходит понижение класса криптографической защиты до КС1.
К программной и аппаратной частям пользовательских устройств для работы VPN-клиента NGate особых требований не предъявляется. Работа VPN-клиента возможна практически на всех популярных настольных и мобильных операционных системах, включая отечественные программные и аппаратные разработки:
- Microsoft Windows версий 7, 8, 8.1, 10, 11,
- macOS версий 10.10–10.15, 11,
- Linux (RHEL, CentOS, Debian, Ubuntu, ROSA, Astra, ALTLinux и другие),
- iOS,
- Android,
- «Аврора».
Для получения доступа к защищаемым ресурсам пользователь может применять VPN-клиент NGate, веб-браузер либо собственное мобильное приложение после встраивания в него криптопровайдера «КриптоПро CSP 5.0 R2» (реализует поддержку TLS с ГОСТ для операционных систем iOS, Android и «Аврора» без дополнительных тематических исследований).
Работа с «КриптоПро NGate»
Предварительные комментарии
Процесс работы с NGate можно разбить на три основные части: подготовка к эксплуатации, настройка доступа к ресурсам и системам и собственно эксплуатация. Подробное описание всех этапов настройки и взаимодействия с NGate приведено в сопроводительной документации.
Подготовка к эксплуатации связана с первоначальным развёртыванием и настройкой программного обеспечения криптошлюза на аппаратной или виртуальной платформе. Этот этап является наиболее трудоёмким и ответственным. Он требует наличия практических навыков работы с операционной системой семейства Linux, знаний о сети организации и инфраструктуре открытых ключей (Public Key Infrastructure, PKI).
Затем с использованием веб-интерфейса администрирования осуществляется настройка криптошлюза для решения задач связанных с организацией доступа пользователей к ресурсам. Сюда входят настройка порталов, серверных мандатов, пользовательских ролей и политик доступа к защищаемым ресурсам, а также конфигурирование взаимодействия со внешними службами (Microsoft AD или другими LDAP-серверами, системами мониторинга, SIEM, средствами аутентификации, включая RADIUS-серверы, и др.).
Дальнейшее обслуживание криптошлюза в ходе его эксплуатации при грамотном развёртывании всех компонентов и правильной настройке параметров не требует постоянного вмешательства или участия со стороны администраторов. Это связано с тем, что в штатном режиме работы круг их задач существенно уменьшается и ограничивается в основном диагностикой и контролем состояния компонентов и систем в составе криптошлюза, устранением неполадок (при обнаружении таковых), мониторингом текущих настроек и обновлением программного обеспечения.
Доступ к интерфейсу администрирования
В рамках подготовки этого обзора разработчик предоставил нам пользовательский сертификат и учётную запись типа «Аудитор» для доступа к тестовому стенду NGate. Эта пользовательская роль является одной из штатных функций продукта и предоставляет возможность просматривать большую часть разделов и возможностей веб-интерфейса без права что-либо изменять. Кроме того, для доступа использовались «Яндекс.Браузер», поскольку он поддерживает шифрование по ГОСТ, и «КриптоПро CSP» в качестве вспомогательного программного обеспечения (установочный файл доступен на основной странице после регистрации).
Рисунок 4. Вход в веб-интерфейс администрирования «КриптоПро NGate»
Панель управления
После авторизации пользователь попадает на главную страницу — вкладку «Системная информация» панели управления. Сам интерфейс доступен на двух языках: русском и английском, с возможностью переключения между ними в любой момент.
Здесь отображается информация о работоспособности устройств криптошлюза и основные сведения о кластерах (конфигурации, используемые лицензии, узлы; порталы, которые привязаны к кластеру, и ресурсы этих порталов).
Полезной и удобной функцией в новой версии стали предупреждения о скором окончании срока действия сертификатов (ключей) порталов. Эта информация доступна также в виде цветовых меток слева от каждого портала и по протоколу мониторинга SNMP (данные о посещении мандатов).
Рисунок 5. Вкладка «Системная информация» панели управления «КриптоПро NGate»
Новая вкладка и функция панели управления — «Сессии» — позволяет осуществлять поиск сеансов пользователей по различным критериям с расширенными возможностями фильтрации. Список параметров поиска включает кластер, портал, данные пользователя (имя или логин), IP-адрес клиента, состояние пользователя (активный или аутентифицированный), номер сертификата и используемый метод аутентификации. Администратор может останавливать выбранные сессии при необходимости.
Кроме того, важным моментом является отображение конкретного узла, который отвечает за подключение выбранного пользователя. Эта информация может быть использована как вспомогательная при диагностике неполадок (для детектирования источника проблем сетевого доступа при наличии в кластере более одного узла). Она была добавлена в интерфейс в связи с высокой востребованностью у заказчиков.
Рисунок 6. Поиск сессий пользователей в веб-интерфейсе «КриптоПро NGate»
Информация о системе управления в составе криптошлюза приведена на одноимённой вкладке. В новой версии этот раздел дополнен возможностью скачать резервные копии напрямую из веб-интерфейса. Также администратор вправе скачать диагностическую информацию центра управления, которую можно проанализировать самостоятельно или предоставить службе технической поддержки для решения каких-либо проблем.
Рисунок 7. Информация о системе управления в составе «КриптоПро NGate»
Также в панели управления веб-интерфейса администрирования добавлена информация о статистике IP-адресов, которая показывает количество свободных адресов в выделенном сетевом диапазоне VPN для каждого кластера. Здесь же можно посмотреть их разбиение по узлам.
Рисунок 8. Информация о системе управления в составе «КриптоПро NGate»
Настройка конфигураций кластеров
С момента выхода первой версии NGate был существенно переработан интерфейс, отображающий информацию о конфигурации кластеров: он стал более дружественным и понятным.
Рисунок 9. Информация о конфигурации кластера в веб-интерфейсе «КриптоПро NGate»
Кроме того, на этой вкладке появилась функция по добавлению Stream-портала, то есть портала для доступа к ресурсам по произвольному протоколу на базе TCP поверх TLS. Ранее можно было добавлять порталы только для тех ресурсов, которые работают по HTTP.
Рисунок 10. Добавление портала для доступа пользователей к ресурсам по произвольному TCP-протоколу в веб-интерфейсе «КриптоПро NGate»
На другой вкладке этого же раздела можно смотреть детальную информацию о защищаемых ресурсах, настраивать их, добавлять новые, копировать или удалять уже существующие. Можно добавить веб-ресурс, динамический туннель, ресурс для перенаправления пользователей и gRPC-сервисы. По протоколу gRPC работают различные веб-приложения, а в целом он реализует удалённые программные интерфейсы (API).
Рисунок 11. Информация о ресурсах, связанных с кластером, в веб-интерфейсе «КриптоПро NGate»
При настройке веб-ресурсов значительно расширен список возможностей тонкого конфигурирования, а также добавлена функция по балансировке бэкенда для гибкого распределения нагрузки непосредственно со шлюза (или нескольких шлюзов).
Рисунок 12. Создание веб-ресурса в интерфейсе «КриптоПро NGate»
Список доступных внешних служб можно увидеть (и настроить) как в особом разделе веб-интерфейса, так и на вкладке выбранной конфигурации кластера. Но во втором случае будут отображены только те системы и серверы, которые настроены для конкретного кластера.
Рисунок 13. Внешние службы, настроенные для кластера, в веб-интерфейсе «КриптоПро NGate»
Также в разделах конфигурации кластера администратор осуществляет настройку правил и политик доступа к ресурсам (ACL) на основе групп пользователей на каком-либо сервере LDAP (к примеру, Microsoft AD) либо сертификатов (новая функциональность). Сертификатный ACL — это способ задать правила доступа на основе содержимого полей пользовательских сертификатов. В актуальной версии шлюза стало возможно создавать правила с запретительным доступом (в предыдущей версии он был только разрешительным), а также существенно расширился набор полей. Теперь анализируются не только поля с названием организации (Organization / Organization Unit), но и другие, в том числе нестандартные.
Рисунок 14. Настройка сертификатного ACL в веб-интерфейсе «КриптоПро NGate»
Настройка порталов
В веб-интерфейсе администрирования появился раздел с подробной информацией по каждому порталу (ранее эти данные были разбросаны по разным страницам). Существенным функциональным обновлением стало появление возможности создавать правила для динамического туннелирования, определяющие то, какие пользователи к каким порталам и при каких условиях могут подключаться — то есть какие подсети могут назначаться клиенту в зависимости от правил ACL.
Рисунок 15. Общая информация о настройках портала в веб-интерфейсе «КриптоПро NGate»
Рисунок 16. Создание правила для динамического туннелирования в веб-интерфейсе «КриптоПро NGate»
Страница с данными о сертификатах содержит информацию о серверных мандатах и удостоверяющих центрах, включая те, что указаны как доверенные для конкретного портала. Отметим, что на одном кластере может быть несколько наборов порталов с разными сертификатами, в том числе с разными доверенными.
Рисунок 17. Информация о сертификатах портала в веб-интерфейсе «КриптоПро NGate»
Также для каждого портала отдельно настраиваются методы аутентификации пользователей, включая RADIUS-протокол и форматы одноразовых паролей. Администратор может настроить многофакторную аутентификацию и определить перечень требуемых от пользователя данных, который, к примеру, одновременно может включать необходимость предоставить клиентский сертификат, логин и пароль из LDAP, затем PIN-код для доступа к OTP и сам OTP, полученный из SMS-сообщения или специализированного ПО 2FA (Google Authenticator, «Яндекс.Ключ» и т. д).
Рисунок 18. Настройка портала в веб-интерфейсе «КриптоПро NGate»
Настройки узлов
Новой функциональностью в разделе веб-интерфейса «Кластеры» стали возможности создания VLAN- и агрегированных сетевых интерфейсов (Bond-интерфейсов).
Рисунок 19. Общая информация об узлах кластера в веб-интерфейсе «КриптоПро NGate»
Рисунок 20. Сетевые интерфейсы узла кластера в веб-интерфейсе «КриптоПро NGate»
При объединении сетевых интерфейсов поддерживаются различные алгоритмы агрегации. При этом происходит создание логического или виртуального сетевого интерфейса, объединяющего несколько физических. Эта технология позволяет повысить отказоустойчивость сети (при объединении нескольких одинаковых интерфейсов выход из строя одного из них не повлияет на работоспособность сети) и повысить её пропускную способность.
Рисунок 21. Создание Bond-интерфейса в «КриптоПро NGate»
Сертификация шлюза «КриптоПро NGate» и выполнение требований законодательства
NGate был включён в Единый реестр российских программ для электронных вычислительных машин и баз данных Минцифры России в 2017 году (запись № 305680). В декабре 2019 года все компоненты шлюза (и серверные, и клиентские) прошли проверку на соответствие требованиям ФСБ России к средствам криптографической защиты информации по классам защиты КС1, КС2 и КС3 (получены сертификаты № СФ/124-3629, СФ/124-3630 и СФ/124-3631 для NGate в различных исполнениях). Кроме того, компоненты шлюза удалённого доступа используют в своём составе собственный криптопровайдер «КриптоПро CSP», который также сертифицирован ФСБ России для защиты информации по тем же классам.
Успешное прохождение сертификации подтверждает высокий уровень безопасности программного и аппаратного обеспечения NGate и возможности его использования для обеспечения защищённой передачи конфиденциальной информации (включая персональные данные) в том числе в рамках программы по импортозамещению.
Выше уже упоминалось, но повторим явно в текущем разделе следующее важное замечание. В среде виртуализации можно использовать NGate без ограничений функциональности и производительности (кроме тех, что связаны с характеристиками виртуальных машин), но только с пониженным классом сертификации. Криптошлюз NGate в виде виртуальной платформы отвечает требованиям ФСБ России по классу КС1.
Помимо указанного, NGate отвечает требованиям законодательства в области обеспечения информационной безопасности в различных сферах. Общую информацию мы привели в следующей таблице.
Таблица 4. Требования законодательства РФ в области обеспечения информационной безопасности, которым отвечает «КриптоПро NGate»
Сфера ИБ | Законы | Дополнительная информация |
Единая биометрическая система (ЕБС) | 149-ФЗ (с изменениями 482-ФЗ) и 4-МР ЦБ РФ | NGate удовлетворяет требованиям указанных законов и методических рекомендаций в части удалённой идентификации в ЕБС, поскольку криптошлюз имеет необходимые сертификаты ФСБ России и поддерживает одновременно и ГОСТ TLS, и зарубежные криптонаборы TLS |
Персональные данные (ПД) и государственные информационные системы (ГИС) | 21-й / 17-й приказы ФСТЭК России | NGate реализует меры защиты информации в различных категориях:
|
Критическая информационная инфраструктура | 239-й приказ ФСТЭК России | NGate реализует меры защиты информации в различных категориях:
Кроме этого, криптошлюз отвечает следующим требованиям приказа (п. 31):
|
Защита информации финансовых организаций | ГОСТ Р 57580.1-2017 | NGate реализует большинство требований в категории защиты информации от раскрытия и модификации при осуществлении удаленного доступа (ЗУД) |
Удалённый мониторинг энергооборудования | 1015-й приказ Министерства энергетики РФ от 06.11.2018 | NGate реализует следующие требования к информационной безопасности объектов электроэнергетики:
|
Архитектура «КриптоПро NGate»
С точки зрения архитектуры NGate состоит из следующих компонентов: клиента (в виде VPN-клиента или браузера), сервера (самого шлюза) и системы управления (центра управления сетью, ЦУС). Дополнительно потребуется организовать автоматизированное рабочее место (АРМ) для администратора.
Основой серверной части NGate является криптопровайдер «КриптоПро CSP». В новой версии шлюза используется обновлённая его редакция — 5.0 R2. В ней помимо прочего реализована работа с алгоритмами «Кузнечик» (ГОСТ 34.12-2015) и «Магма» (ГОСТ 28147-89), добавлена и расширена поддержка отечественных операционных систем («Аврора», Astra Linux, ALT Linux). Кроме того, появились возможности по построению решений на базе отечественных процессоров «Байкал». Таким образом, стало возможным полноценное импортозамещение при внедрении криптографического шлюза для организации защищённого удалённого доступа ко критическим ресурсам.
В зависимости от размера конкретной организации, её сетевой инфраструктуры, предполагаемого количества клиентов, одновременных подключений и других параметров возможны два варианта конфигурации.
Минимальная — единое решение из одного криптошлюза, объединённого с центром управления на одной аппаратной или же виртуальной платформе. Такой вариант подойдёт для использования небольшими организациями, у которых нет филиалов или сетевая инфраструктура которых не разнесена по разным центрам обработки данных (ЦОДам). Эта конфигурация является самой простой в установке и настройке, однако не может обеспечить высокую отказоустойчивость и производительность при доступе к ресурсам, системам и приложениям.
Рисунок 1. Схема внедрения «КриптоПро NGate» в минимальной конфигурации
Кластерная конфигурация позволяет построить распределённую, отказоустойчивую и хорошо масштабируемую в части производительности систему. В этом варианте предусматривается объединение нескольких криптошлюзов (до 32 узлов единовременно) в один кластер. При этом центр управления сетью устанавливается отдельно и образует единую (централизованную) систему для настройки, мониторинга работы всех криптошлюзов и управления доступом к требуемым ресурсам и системам организации. Возможности центра управления по автоматизированной загрузке настроек и конфигураций на новые криптошлюзы в кластерах существенно облегчают и ускоряют процессы связанные как с вертикальной, так и с горизонтальной масштабируемостью системы. При этом выход из строя какого-либо узла кластера не приводит к разрыву соединений, поскольку балансировщик синхронизирует данные о сессии между устройствами и соединение перераспределяется на свободные узлы кластера. Может использоваться любой балансировщик, способный распределять TCP-соединения по узлам кластера, в том числе бесплатный HAProxy.
Рисунок 2. Схема внедрения «КриптоПро NGate» в виде кластера
Рисунок 3. Реализация технологии TLS VPN с помощью «КриптоПро NGate» в виде кластера
Функциональные возможности «КриптоПро NGate»
Режимы работы
Подробное описание основных режимов работы шлюза приведено на основной странице, посвящённой его особенностям. Мы дадим краткое определение этих режимов, достаточное для формирования чёткого представления о них.
Режим TLS-терминатора (TLS offload) или TLS-сервера для доступа к информационным ресурсам. При реализации такого формата функционирования шлюз становится промежуточным звеном между защищаемым публичным ресурсом и пользователем, который пытается получить доступ к нему используя веб-браузер (при этом установка VPN-клиента не требуется). NGate в режиме терминатора не осуществляет аутентификацию пользователей, но обеспечивает криптографическую защиту данных, передаваемых не только по HTTP, но и по HTTP/2, REST, gRPC, WebSockets и произвольным TCP-протоколам. Наиболее распространёнными и понятными примерами систем, для доступа к которым можно использовать криптографический шлюз в режиме терминатора, могут выступать различные государственные порталы (например, Единый портал государственных услуг), электронные торговые площадки, сайты дистанционного банковского обслуживания, видео-конференц-связи и телемедицины.
В режиме сервера портального доступа криптошлюз также находится посередине между пользователями и защищаемыми ресурсами, к которым пользователь также подключается через браузер, но, в отличие от предыдущего варианта, берёт на себя аутентификацию пользователей и предоставляет доступ к целевым ресурсам через промежуточный веб-портал, являющийся частью NGate. Криптошлюз позволяет гибко управлять доступом на основе определённых политик, правил, пользовательских ролей и других параметров таким образом, что становится возможным разграничивать области видимости в зависимости от уровня доверия по отношению к пользователю.
Режим VPN-сервера предназначен для реализации безопасного удалённого доступа сотрудников организации (на их устройства устанавливается VPN-клиент) к произвольным корпоративным ресурсам (файловым хранилищам, доступ по RDP и т. д.) с использованием технологии динамического туннелирования VPN TLS.
Методы аутентификации
NGate поддерживает разнообразные способы аутентификации, а также возможность их комбинировать:
- по логину и паролю (Microsoft Active Directory, AD);
- по сертификату (реализована не только простая проверка на валидность, но и аутентификация по различным полям сертификата: Organization, Organizational Unit (O / OU), Enhanced Key Usage, а также по дополнительным наборам полей, например СНИЛС, ИНН и т. д., в том числе при пустых полях O / OU);
- по имени участника-пользователя (User Principal Name, UPN) в Microsoft AD;
- с использованием сертификата присутствующего во внешней службе каталогов (Microsoft AD, LDAP);
- по одноразовому паролю (One-Time Password, OTP) при интеграции с RADIUS-сервером;
- с использованием сертификатов расположенных на различных токенах и смарт-картах (Aladdin, «Рутокен», Esmart и др.).
Возможности интеграции
Для расширения функциональных возможностей и формирования комплексных решений по защите сети, а также различных систем и ресурсов организации в соответствии с существующими потребностями бизнеса NGate можно гибко интегрировать с различными системами.
Таблица 5. Примеры сторонних систем, с которыми возможна интеграция «КриптоПро NGate»
Тип | Системы |
Решения по обеспечению безопасности ЕБС | Типовые решения «Ростелекома», «Центра Финансовых Технологий» (ЦФТ) и IDSystems по обеспечению безопасности при взаимодействии банков с ЕБС |
Специализированные аппаратные платформы | Промышленные планшеты MIG T10 и MIG T8, планшет «ПКЗ 2020», тонкие клиенты Dell Wyse и ТОНК, аппаратные платформы Getac |
Системы видео-конференц-связи | TrueConf Server |
Межсетевые экраны для веб-приложений | Сервис защиты веб-приложений Wallarm |
Межсетевые экраны | Межсетевые экраны компаний Check Point, Fortinet, Ideco, UserGate |
Системы класса Mobile Device Management (MDM) | SafePhone MDM, Microsoft Intune |
Системы мониторинга и SIEM | «КриптоПро Центр Мониторинга» и любые сторонние системы, поддерживающие стандартные протоколы SNMP и Syslog |
Системы аутентификации | Внешние службы каталогов (Microsoft AD, LDAP, FreeIPA, OpenLDAP, ApacheDS и др), RADIUS-серверы (Windows Server NPS, FreeRADIUS и т. д.) |
Системы аутентификации на основе OTP | Продукт JaCarta Authentication Server (JAS) компании «Аладдин Р.Д.», решения компании Indeed-ID |
Новые функции и улучшения
С момента выхода первой версии NGate было добавлено множество новых функций и возможностей, доработан пользовательский интерфейс консоли управления. Большое количество изменений связано с повышением удобства и упрощением взаимодействия с программным комплексом и оптимизацией его работы и быстродействия в целом. Это касается процессов связанных с его настройкой, контролем доступа пользователей к защищаемым ресурсам и системам, аутентификацией и управлением сертификатами.
Далее мы кратко перечислим новые функции и возможности или улучшения NGate версии 1.0 R2:
- Произошёл переход на новую базовую систему Debian 11.
- Выполнен переход на новую версию программного кода Python 3 в связи с окончанием поддержки Python 2.x.
- Произведено обновление криптопровайдера «КриптоПро CSP», составляющего основу серверной части шлюза, до версии 5.0 R2. В разделе с описанием архитектуры криптошлюза мы уже указали основные изменения, произошедшие в новой версии, поэтому дублировать их не будем.
- Расширена поддержка RADIUS-серверов для многофакторной аутентификации: теперь можно получать одноразовые пароли не только через SMS, появилась возможность одновременного ввода различных комбинаций OTP, кода OTP PIN и пароля пользователя из AD или LDAP, а также совместно с пользовательским сертификатом.
- Расширены возможности аутентификации по сертификату (Certificate Access Control List, ACL) на портале. Под порталом понимается сайт или группа сайтов, то есть совокупность ресурсов защищаемых криптошлюзом. Напомним, что теперь аутентификация возможна не только по полям Organization или Organizational Unit (O / OU), но и по дополнительным наборам полей.
- Добавлена возможность разграничения доступа к защищаемым ресурсам в зависимости от поддержки (или её отсутствия) клиентским устройством криптографических алгоритмов ГОСТ.
- Доработан и оптимизирован веб-интерфейс администратора. В частности, появилась панель для просмотра сессий подключённых пользователей и управления ими, добавлен способ быстрого копирования портала со всеми конфигурациями, расширен перечень вариантов фильтрации сертификатов, реализована функция создания резервной копии сразу из веб-интерфейса. Кроме того, были значительно дополнены комментарии к различным полям, упрощающие процессы взаимодействия с интерфейсом.
- Добавлена возможность криптографической защиты трафика передаваемого по HTTP/2, REST, gRPC, WebSockets и произвольным TCP-протоколам. Последнее выступает аналогом инструмента Stunnel и используется в основном для реализации доступа к ресурсам управления промышленными устройствами, защиты почтового трафика, передачи файлов (например, по FTP), удалённого доступа к устройствам по SSH и т. д.
- Реализована функция смены пароля пользователя в каталоге AD / LDAP при использовании клиента NGate.
- Добавлены возможности более тонкой настройки маршрутизации, а также управления приоритетом опроса — в том числе DNS-серверов — при разрешении имён через туннель (путём настройки метрики туннельного интерфейса).
- Значительно расширен перечень динамических HTTP-заголовков с информацией о клиенте, которые шлюз может отправлять защищаемым ресурсам. Кроме того, добавлена функция реализующая криптографическую защиту целостности передаваемых заголовков таким образом, чтобы ресурс мог проверить, кто является источником (или автором) конкретных заголовков и можно ли ему доверять. Отметим, что в случае передачи информации о паролях пользователей в HTTP-запросах она всегда шифруется с помощью специального алгоритма, построенного на базе симметричных шифров ГОСТ.
- Расширены функции по контролю соединений пользователей и управлению ими: добавлены возможности по настройке задержки синхронизации, таймаута для постоянных (keep-alive) HTTP-соединений, ограничения количества одновременных сессий пользователя, а также автоматического отключения при отзыве пользовательского сертификата. Кроме того, появилась функция принудительного разрыва соединений администратором.
- Добавлена поддержка TLS 1.3.
Выводы
Криптографический шлюз «КриптоПро NGate» 1.0 R2 является универсальным решением для организации удалённого доступа к корпоративным ресурсам и публичным веб-порталам, которое может служить основой множества различных сценариев применения в зависимости от поставленных задач.
Установка серверной части шлюза возможна как на специализированные сертифицированные сетевые аппаратные платформы, предоставляемые компанией «КриптоПро», так и в уже развёрнутой виртуальной среде заказчика. Кроме того, успешно проведена работа по реализации поддержки аппаратных решений на основе российского процессора «Байкал». Заметным преимуществом также является возможность бесшовной интеграции продукта в существующую корпоративную инфраструктуру.
В качестве решений для работы клиентского ПО шлюза поддерживается значительное количество мобильных и настольных операционных систем, а также аппаратных платформ как зарубежной, так и отечественной разработки. В рамках реализации целей по продвижению импортозамещения особое внимание было уделено аппаратным решениям на основе процессоров «Байкал» и «Эльбрус», отечественным ОС «Альт», «Астра Линукс», «РедОС» и т. д. Стоит также отдельно упомянуть возможность использовать в качестве клиентских устройства на основе отечественной мобильной ОС «Аврора».
В новой версии произведено большое количество изменений, пожалуй, во всех компонентах и подсистемах шлюза: осуществлён переход на новую версию криптопровайдера («КриптоПро CSP» 5.0 R2) и базовой операционной системы (Debian 11), реализованы поддержка HTTP/2.0 и защита передачи данных по протоколу gRPC и по произвольным протоколам на базе TCP (что особенно полезно при реализации защиты соединений для промышленных устройств), существенно доработан и обновлён интерфейс администрирования, расширены возможности аутентификации и функции по управлению сертификатами и сессиями пользователей. И это — только малая часть улучшений. Некоторые из них были реализованы по просьбам заказчиков, что свидетельствует о высоком уровне поддержки решения со стороны разработчиков.
Достоинства:
- Соответствие требованиям регуляторов и законодательства в различных сферах и областях обеспечения информационной безопасности (в частности, наличие сертификатов соответствия ФСБ России по классам защиты КС1, КС2, КС3 для всех компонентов шлюза).
- Построение решения для удалённого доступа к ресурсам на базе отечественных операционных систем и процессоров в дополнение к предыдущему пункту позволяет говорить о реализации полноценного импортозамещения.
- Возможности гибкого выбора интеграционных систем и средств при построении комплексных решений на базе криптошлюза в соответствии с требованиями инфраструктуры и бизнеса; высокая производительность и масштабируемость решений построенных с использованием продукта. Множество изменений связано с улучшением быстродействия и оптимизацией работы компонентов шлюза.
- Одновременная поддержка отечественных и зарубежных криптонаборов TLS. В том числе реализованы шифры «Кузнечик» (ГОСТ 34.12-2015) и «Магма» (ГОСТ 28147-89).
- Поддержка разнообразных методов аутентификации с возможностью их комбинирования, включая сертификаты, RADIUS, OTP и различные смарт-карты.
- Широкие возможности по реализации гранулированного доступа к защищаемым ресурсам на базе групповых и сертификатных правил и по управлению подключениями.
- Дружественный интерфейс администрирования, доступный на двух языках (русском и английском).
- Подробная эксплуатационная документация и комплексная техническая поддержка.
Недостатки:
- Первоначальная установка и настройка программного обеспечения шлюза удалённого доступа и VPN требуют высокого уровня квалификации администраторов. Однако этот момент перекрывается наличием подробной сопроводительной документации, комплексной технической поддержки со стороны производителя, а также наличием соответствующих обучающих курсов в нескольких учебных центрах.