Программа континент TLS помогает пользователям получить защищенный доступ к определенным веб-ресурсам. Ключевая информация хранится в защищенном контейнере.
Пользователи корпоративной сети теперь могут получить удаленный и защищенный доступ к конкретным ресурсам в интернете. Во время установки соединения обеспечивается обоюдная аутентификация с сервером. Для получения доступа необходимо ввести в браузере адрес сайта. В итоге, клиент обрабатывает и отправляет запрос на сервер для создания защищенного соединения. Аутентификация обеспечивается на базе сертификатов ключей.
Протокол соединения между сервером и Клиентом - TLSv1. Ресурс, по которому установлен защищенный контакт, должен содержать в имени сервера значение TLS. Если все сделано правильно, то на дисплее отобразится сертификат, который можно обновить, нажав соответствующую кнопку. Присутствует возможность автоматического запоминания логина и пароля при входе в систему. Стоит отметить, что если 5 раз подряд ввести недостоверную информацию в процессе авторизации, то система автоматически заблокируется. Повторно ввести данные можно будет только спустя 10 минут.
Континент TLS VPN - сертифицированное решение защиты доступа удаленных пользователей к защищаемым ресурсам.
Континент TLS VPN имеет клиент-серверную архитектуру и состоит из СЗКИ «Континент TLS VPN Сервер», который устанавливается на границе периметра сети, и VPN -клиента СКЗИ «Континент TLS VPN Клиент», устанавливаемого на компьютеры удаленных пользователей. «Континент TLS VPN Сервер» обеспечивает конфиденциальность, целостность и имитозащиту передаваемой информации и выполняет функции:
Континент TLS VPN Сервер IPC-3000F (S021), 2014
СКЗИ «Континент TLS VPN Клиент» представляет собой локальный прозрачный прокси-сервис, который обеспечивает обоюдную аутентификацию с сервером, установку защищенного соединения, обмен зашифрованными данными с сервером. Он также совместим с большинством существующих интернет-браузеров. Кроме того, допускается возможность работы пользователей через «Континент TLS VPN Сервер» без установки клиентского ПО СКЗИ «Континент TLS VPN Клиент». В этом случае на компьютере пользователя должен использоваться браузер MS Internet Explorer c установленным криптосервис-провайдером «КриптоПро CSP » (версии 3.6 или 3.9), обеспечивающим поддержку криптоалгоритмов ГОСТ.
Продукт предназначен для:
Основные возможности
Особенности
Сертификаты
Заказчики «Континент TLS-сервер» 2.1 получили возможность централизованно обновлять клиентскую часть комплекса на компьютерах удаленных пользователей. Кроме того, в представленной версии была упрощена система лицензирования продукта: для кластера из нескольких устройств требуется только одна лицензия на максимальное число одновременных подключений. Также было принято решение объединить лицензии на подключение к прокси-серверу и лицензии на подключение через TLS-туннель. Все это упрощает эксплуатацию и выбор подходящей архитектуры решения.
На июль 2018 года «Континент TLS-сервер» 2.1 передан на сертификацию в ФСБ России . После прохождения испытаний продукт будет сертифицирован по классам КС1 и КС2.
Данная версия продукта «Континент TLS-сервер» призвана облегчить работу администраторов в период смены стандартов шифрования, предоставить возможность удобного мониторинга. Изменения в политике лицензирования и возможность выделения отдельного порта управления продуктом должны расширить область его применения. Поддержка широкого спектра TLS-клиентов позволит быстро построить систему защищенного доступа к веб-приложению там, где уже используются криптопровайдеры сторонних производителей. Теперь наш продукт поддерживает "КриптоПро ", "Валидата" и доверенный браузер "Спутник". |
Высокую динамику продемонстрировали и относительно новые (выпущенные в 2015 году) продукты линейки «Континент» – «Континент TLS VPN » и криптокоммутатор «Континент». Объем их продаж составил 71 млн руб. и 62 млн руб. соответственно. Спрос на «Континент TLS VPN» был обусловлен растущим интересом заказчиков к применению российских алгоритмов шифрования для защиты доступа к госпорталам, а также к организации защищенного удаленного доступа с использованием алгоритмов ГОСТ. Фактором роста продаж криптокоммутаторов «Континент» стала необходимость защиты каналов связи в территориально распределенных центрах обработки данных.
Компания «Код безопасности» объявила в апреле 2016 года о выходе технического релиза версии продукта «Континент TLS VPN », предназначенного для обеспечения безопасного удаленного доступа к информационным системам, осуществляющим обработку персональных данных (ИСПДн) и государственным информационным системам (ГИС). В продукте реализован ряд новых функций.
Одно из наиболее значимых изменений в «Континент TLS VPN» 1.0.9 – это создание портала приложений с возможностью аутентификации и авторизации с использованием учетных данных из Active Directory . Такая доработка значительно упрощает процесс управления доступом к корпоративным web-сервисам различным категориям пользователей. Например, с помощью портала можно обеспечить единую точку доступа для сотрудников компании и её подрядчиков. При этом набор доступных приложений будет зависеть от категории и прав пользователя.
Еще одно отличие – добавление возможности создания стартовой страницы сервера, доступной по открытому протоколу HTTP . Она позволяет значительно сократить затраты на поддержку защищенного web-приложения.
В версии 1.0.9 также добавлена возможность работы продукта в режиме TLS-туннеля, что позволяет снять с удаленного пользователя ограничения по взаимодействию через канал, зашифрованный по протоколу TLS. Подобное соединение позволяет обеспечить доступ не только к web-ресурсам, но и к другим типам приложений, например, терминальным серверам (по протоколу RDP) или «толстым клиентам» для корпоративных приложений (ERP , CRM и т.д.). Такой подход значительно увеличивает количество сценариев удаленного доступа, при которых может применяться «Континент TLS VPN».
16 июля 2016 года на сайте Кремля было опубликовано поручение президента главе правительства о необходимости подготовить переход органов власти на использование российских криптографических алгоритмов и средств шифрования до 1 декабря 2017 года. В частности, правительство должно обеспечить разработку и реализацию комплекса мероприятий, необходимых для поэтапного перехода на использование российских криптографических алгоритмов и средств шифрования, а также предусмотреть безвозмездный доступ граждан РФ к использованию российских средств шифрования.
Опубликованный документ повлечет за собой определенные шаги по приведению ИТ-инфраструктур государственных органов в соответствие заявленным требованиям. В частности, в госструктурах ожидается массовая установка в дополнение к имеющимся решениям отечественных средств криптографической защиты информации (СКЗИ).
Подробнее:
Эксперты «Кода безопасности » отмечают, что нововведение коснется в первую очередь порталов государственных услуг федеральных и региональных ведомств. При этом реализация данной задачи затрагивает два аспекта: внедрение СКЗИ на стороне веб-сервера и на стороне пользователей. Если предположить, что на стороне пользователей будет реализовано встраивание сертифицированной криптобиблиотеки в браузер , то решить задачу на стороне веб-сервера можно двумя способами.
Один из них – это встраивание СКЗИ в веб-серверы, второй – внедрение программно-аппаратного комплекса (ПАК) с реализацией TLS VPN (одним из таких продуктов является «Континент TLS VPN Сервер», разработанный «Кодом безопасности»), который будет перехватывать HTTP/HTTPS -трафик и шифровать его в соответствии с алгоритмом шифрования по ГОСТ (28147-89). Каждый из вариантов имеет свои особенности – как с точки зрения технической реализации, так и с точки зрения сроков выполнения проекта.
По оценкам аналитиков «Кода безопасности», в первом случае (встраивание) этапы работ будут следующими:
В результате такой проект можно будет осуществить в течение 1 года.
При выборе варианта установки ПАК проект будет разбит на следующие стадии:
Общая длительность проекта в таком случае составит около 7 месяцев.
Эксперты «Кода безопасности» отмечают, что, исходя из общепринятой практики, между выпуском поручения правительству и началом работ компаний по проектам (с учетом необходимости разработки и принятия подзаконных актов) проходит не менее трех месяцев. Соответственно, есть риск, что выбравшие вариант встраивания СКЗИ в веб-серверы организации с трудом уложатся в поставленные президентом сроки. А в случае задержки принятия подзаконных актов свыше трех месяцев возможны срывы сроков внедрения.
«Помимо сложностей со сроками первый путь - встраивание - сопряжен и с другими трудностями. Это дополнительные трудозатраты сначала на оформление и согласование пакета документов для испытательной лаборатории, а затем - на внесение изменений в код и отладку приложения по итогам анализа испытательной лаборатории. Но главное плюс второго варианта в том, что при выборе ПАК заказчик получает мощное высокопроизводительное промышленное решение, рассчитанное на крупные организации. Оно масштабируемо, удобно в управлении, совместимо с любыми интернет-браузерами, легко интегрируется с внешними SIEM-системами», - рассказал Коростелев Павел , менеджер по маркетингу продуктов компании «Код безопасности ».
С учетом вышеизложенного «Код безопасности» рекомендует госзаказчикам выбрать оптимальный алгоритм исполнения требований законодательства и пойти по пути внедрения программно-аппаратного комплекса (ПАК) с реализацией TLS VPN. Для защищенного доступа удаленных пользователей к web-ресурсам применяется сертифицированный ФСБ России программно-аппаратный комплекс «Континент TLS VPN». Он легко развертывается, обладает бесплатным TLS-клиентом для конечных пользователей и может поддерживать свыше 100 тыс. одновременных подключений.
России от 30.07.2015 СФ/124–2676 на СКЗИ «Континент TLS VPN Сервер» и СФ/525-2677, СФ/525-2678 на СКЗИ «Континент TLS VPN Клиент» (исполнение 1 и 2) подтверждают соответствие требованиям, предъявляемым ФСБ России к шифровальным (криптографическим) средствам класса КС2 и КС1. Сертификаты ФСБ России разрешают применение СКЗИ «Континент TLS VPN» для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну.
Сертификат ФСТЭК России № 3286, выданный 02.12.2014 на СКЗИ «Континент TLS VPN Сервер», подтверждает соответствие продукта требованиям руководящих документов по 4-му уровню контроля на отсутствие НДВ и разрешает его использование при создании АС до класса защищенности 1Г включительно и для защиты информации в ИСПДн и ГИС до 1 класса включительно.
Настройка АРМ Электронного бюджета происходит в несколько этапов, они не сложные, но требуют внимательности. Делаем все по инструкции по настройке электронного бюджета. Коротко и по делу…
Создайте папку key в Моих документах, чтобы хранить в этой папке скаченные сертификаты:
На сайте http://roskazna.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/ в меню ГИС -> Удостоверяющий центр -> Корневые сертификаты, необходимо скачать «Корневой сертификат (квалифицированный)» (см. рисунок), либо если вами была получена флешка с сертификатами скопируйте их с папки Сертификаты.
Второй сертификат который необходимо скачать, это сертификат Континент TLS VPN, но я не смог найти на новом сайте roskazna, поэтому ставлю ссылку со своего сайта. Скачиваем сертификат Континент TLS VPN в папку key, он нам пригодиться позднее, когда будем настраивать программу Континент TLS клиент.
В меню ПУСК -> Все программы -> КРИПТО-ПРО -> запустите программу Сертификаты.
Перейдите в пункт Сертификаты как показано на рисунке ниже:
Заходим в меню Действие - Все задачи - Импорт, появится окно Мастер импорта сертификатов - Далее - Обзор - Находим скаченный Корневой сертификат (квалифицированный) в нашем случае он находиться в Моих документах в папке key
Если все сделали правильно, то корневой сертификат УЦ Федерального казначейства появиться в папке сертификаты.
Continent_tls_client_1.0.920.0 можно найти в интернете.
Распаковываем скаченный архив, заходим в папку CD и запускаем ContinentTLSSetup.exe
Из пункта нажимаем на Континент TLS Клиент KC2 и запускаем установку.
Принимаем условия
В папке назначения оставляем по дефолту
В окне запуск конфигуратора, ставим галочку на Запустить конфигуратор после завершения установки.
При установке появиться окно Настройка сервиса:
Адрес - указываем lk.budget.gov.ru
Сертификат - выбираем второй сертификат скаченный ранее в папке key.
Нажимаем ОК и завершаем установку, Готово.
На запрос о перезагрузке операционной системы отвечаем Нет.
Скачать программу Jinn-Client можно в интернете.
Заходим в папку Jinn-client - CD, запускаем setup.exe
Нажимаем из списка Jinn-Client, запускается установка программы
Не обращаем внимания на ошибку, нажимаем Продолжить, Далее, принимаем соглашение и нажимаем кнопку Далее.
Введите выданный лицензионный ключ
Устанавливаем программу по умолчанию, нажимаем Далее
Завершаем установку, на вопрос о перезагрузке операционной системы отвечаем Нет
Если будет нужен архив с программой, пишите в комментариях.
Запускаем установочный файл cubesign.msi
1. Откройте меню «Инструменты» и выберите пункт «Настройки».
2. Перейти в раздел «Дополнительные» на вкладку «Сеть»
3. В секции настроек «Соединение» нажать кнопку «Настроить…».
4. В открывшемся окне параметров соединения установить значение
«Ручная настройка сервиса прокси».
5. Задать значения полей HTTP-прокси: 127.0.0.1; Порт: 8080.
6. Нажать кнопку «ОК».
7. В окне «Настройки» нажать кнопку «Ок».
Откроется окно с выбором сертификата для входа в личный кабинет Электронного бюджета.
Выбираем сертификат для входа в Личный кабинет Электронного бюджета, если есть пароль на закрытую часть сертификата пишем и нажимаем ОК, после откроется Личный кабинет Электронного бюджета.
Программное обеспечение Континент TLS VPN – система обеспечения защищенного удаленного доступа к веб-приложениям с использованием алгоритмов шифрования ГОСТ. Континент TLS VPN осуществляет криптографическую защиту HTTP-трафика на сеансовом уровне. Шифрование информации производится по алгоритму ГОСТ 28147–89.
Идентификация и аутентификация удаленных пользователей
Идентификация и аутентификация пользователей выполняются по сертификатам открытых ключей стандарта x.509v3 (ГОСТ Р 31.11–94, 34.10–2001). Континент TLS VPN производит проверку сертификатов ключей по спискам отозванных сертификатов (CRL). Выпуск сертификатов осуществляется внешним удостоверяющим центром.
В случае успешного прохождения процедур аутентификации запрос пользователя перенаправляется по протоколу HTTP в защищенную сеть к соответствующему веб-серверу. При этом к каждой HTTP-сессии пользователя добавляются специальные идентификаторы (идентификатор клиента и идентификатор IP).
Криптографическая защита передаваемой информации
Континент TLS VPN осуществляет криптографическую защиту HTTP-трафика на сеансовом уровне. Шифрование информации производится по алгоритму ГОСТ 28147–89. Расчет хэш-функции выполняется по алгоритму ГОСТ Р 34.11–94, ГОСТ Р 34.11–2012. Формирование и проверка электронной подписи осуществляются в соответствии с алгоритмом ГОСТ Р 34.10–2001, ГОСТ Р 34.10–2012.
Сокрытие защищаемых серверов и трансляция адресов
Континент TLS VPN производит фильтрацию запросов и транслирует адреса запросов к веб-серверам корпоративной сети. Трансляция адресов осуществляются в соответствии с правилами, которые устанавливает администратор «Континент TLS VPN».
Отказоустойчивость и масштабируемость
Континент TLS VPN поддерживает работу в схеме высокопроизводительного кластера с балансировкой нагрузки (внешним балансировщиком). Повышение отказоустойчивости достигается добавлением в кластер избыточной ноды. При этом наращивания элементов балансирующего кластера может осуществляться неограниченно. Выход из строя элемента кластера не приводит к разрыву соединений, поскольку нагрузка равномерно распределяется между остальными элементами.
Мониторинг и регистрация событий
В Континент TLS VPN администратор всегда может получить оперативную информацию о текущем состоянии установленных соединений и статистику его работы. На сервере осуществляется журналирование событий информационной безопасности. Все события могут пересылаться на указанный сервер в формате syslog для дальнейшего анализа, что делает интеграцию с SIEM-системами максимально простой.
Удобные инструменты управления
Сочетание локальных и удаленных средств с веб-интерфейсом и удобной графической консолью управления обеспечивает гибкую настройку Континент TLS VPN в соответствии с требованиями политик безопасности.
Поддерживаемые протоколы
Континент TLS VPN поддерживает протоколы TLS v.1, TLS v.2.
Работа пользователя через любой веб-браузер
Используя приложение Континент TLS VPN Клиент, пользователи могут получить доступ к защищенным ресурсам из любого веб-браузера. Континент TLS VPN Клиент является локальным прокси, перехватывает трафик браузера к защищаемым веб-серверам и упаковывает его в http-туннель. Благодаря этому пользователь может работать с любым веб-браузером, установленным на его устройстве.
Использование удобного для пользователей программного клиента
Использование удобного для пользователей программного клиента В качестве клиента на устройстве пользователя может быть использован Континент TLS VPN Клиент или КриптоПро CSP версии 3.6.1.