Туннелирование произвольного TCP-трафика через протокол TLS
Публикация приложений на портале
Автоматическое перенаправление с HTTP на HTTPS
Контроль доступа к защищаемым ресурсам
Идентификация и аутентификация пользователей по сертификатам открытых ключей стандарта x.509v3 (ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012)
Обоюдная аутентификация пользователя и сервера в процессе установки защищенного соединения
Проверка сертификатов ключей по спискам отозванных сертификатов (CRL)
Автоматическая загрузка и обновление Trust-service Status List (TSL)
Интеграция с Active Directory при работе сервера удаленного доступа в режиме портала приложений:
Аутентификация пользователя по имени и паролю AD
Предоставление доступа к приложениям на основе принадлежности пользователя к структурному подразделению
NTLM аутентификация для ресурсов
Single-Sign-On в приложениях портала
Интеграция с сервисом auth.as и multifactor.ru
Механизм просмотра и перевыпуска сертификатов кластера
Разграничение доступа к защищаемому ресурсу по корневому сертификату и по полям сертификата пользователя
Возможность управления списком разграничения доступа к ресурсам HTTPSпрокси с помощью текстового файла средствами веб-управления.
Управление и мониторинг
Веб-интерфейс для управления и мониторинга
Интеграция в SIEM-систему по протоколу syslog
Регистрация событий информационной безопасности, связанных с работой Континент TLS Клиент
Поддержка утилит для сбора статистики
Сценарии использования
Высоконагруженный портал государственных услуг
Результат:
1. Минимизированы затраты на построение и эксплуатацию комплексной системы защищенного доступа к порталу государственных услуг.
2. Повышена производительность приложения за счет переноса подсистемы шифрования трафика на отдельное устройство.
Система удаленного доступа к ресурсам предприятия
Результат:
1. Организован доступ удаленных пользователей к внутренним веб-приложениям.
2. Обеспечено разграничение доступа удаленных пользователей к различным веб-приложениям.
3. Обеспечен доступ пользователей к корпоративным ресурсам с помощью толстых программных клиентов (терминалов, клиентов ERP-систем и т.д.).
Соответствие требованиям регуляторов
Результат:
1. Информационная система приведена в соответствие требованиям приказа ФСТЭК России № 17 (ИАФ, УПД, ЗИС, РСБ, ОЦЛ, ОДТ, ЗТС).
2. Минимизированы затраты на встраивание сертифицированной криптографии в приложения, к которым осуществляется удаленный доступ.
3. Минимизированы риски, связанные с невыполнением требований регуляторов.
Схема работы комплекса «Континент TLS Сервер»
Технические характеристики
IPC-R50
IPC-R300
IPC-550
IPC-R800
IPC-R1000
IPC-R3000
IPC-3000
Характеристики
Форм-фактор
Настольный
1U
1U
1U
1U
1U
1U
Производительность в режиме HTTPS-прокси, Мбит/с
до 600
до 600
до 1 300
до 2 400
до 2 050
до 2 500
до 5 700
Количество одновременных подключений
до 27 000
до 22 000
до 52 100
до 96 000
до 111 500
до 152 000
до 109 000
Интерфейсы RJ-45 (медь UTP)
4х 10/100/1000 BASE-T RJ45
4х 10/100/1000 BASE-T RJ45
2х Combo 1G RJ45/SFP
4х 10/100/1000 BASE-T RJ45
2х Combo 1G RJ45/SFP
8х 10/100/1000 BASE-T RJ45
8х 10/100/1000 BASE-T RJ45
8х 10/100/1000 BASE-T RJ45
8х 10/100/1000 BASE-T RJ45
Интерфейсы оптические
1х 1G SFP
2х 10G SFP+
2х 10G SFP+
4x 10G SFP+
4x 10G SFP+
8 x 10GB SFP+
4x 10G SFP+
Вопрос-ответ
Как обеспечивается отказоустойчивость сервера?
Отказоустойчивость Сервера обеспечивается кластеризацией и созданием резервных копий конфигурации.
и Серверы можно объединять в кластер с распределением нагрузки между серверами внешним балансировщиком (load sharing). При этом один Сервер становится основным и управление кластером производится через него. Другие Серверы остаются подчиненными. У них локально настраиваются только параметры сетевых интерфейсов и IP-адрес основного Cервера, остальные настройки заимствуются из настроек основного Сервера. Для связи "основной–подчиненный" следует использовать выделенный сетевой интерфейс. Между собой Серверы в кластере обмениваются только служебной информацией. Для работы в кластере рекомендуется использовать сторонний балансировщик трафика или применять DNS-балансировку. Если основной Сервер вышел из строя, становится недоступно только управление кластером. Это не сказывается на работоспособности остальных Серверов, которые работают в соответствии с конфигурацией, полученной с основного Сервера до его отказа. Восстановление основного Сервера осуществляется из резервной копии. Если она отсутствует или неактуальна, используется резервная копия с любого подчиненного Сервера. TLS-сервер позволяет средствами удаленного управления выключать или перезагружать отдельные серверы кластера или кластер целиком. Удаленное включение кластера невозможно.
Как происходит аутентификация пользователей TLS-сервера ?
Защищенное соединение при обращении пользователя к ресурсам корпоративной сети устанавливается по результатам аутентификации, которую осуществляет TLS-сервер на основании запроса от пользователя. Аутентификация проводится на основе протоколов TLSv1.0 и TLSv1.2 с применением сертификатов X.509v3. Предусмотрен режим работы Сервера, при котором защищенное соединение устанавливается без предъявления сертификата пользователя.
В целях повышения безопасности аутентификация по логину и паролю может быть двухфакторной. Если включена двухфакторная аутентификация, помимо логина и пароля учетной записи пользователь должен ввести присланный ему одноразовый пароль. После аутентификации проводится авторизация доступа пользователя к защищаемым ресурсам. У каждого ресурса Портала приложений есть список авторизованных групп LDAP. Результатом успешной авторизации является список групп LDAP, в которые входит пользователь.
Какие сертификаты требуются для работы TLS-клиента?
Для работы TLS-клиента требуются следующие сертификаты: • сертификат издателя; • сертификат пользователя; • сертификат TLS-сервера. Поддерживается работа с ключами форматов PKCS#15, с сертификатами X.509v3 форматов DER и PEM. Предусмотрена проверка сертификатов TLS-сервера по списку отозванных сертификатов. При наличии прямого доступа компьютера к удостоверяющему центру загрузка CRL по протоколу HTTP осуществляется автоматически. При отсутствии прямого доступа CRL должны загружаться пользователем посредством ПО TLS-клиента в хранилище сертификатов ОС Windows.
Какие задачи решает TLS-сервер?
TLS-сервер предназначен для обеспечения доступа удаленных пользователей к
защищаемым ресурсам в локальной сети с шифрованием трафика между рабочими местами пользователей и TLS-сервером.
Сервер решает следующие задачи:
• подключение удаленных пользователей и установление защищенного соединения после успешной двусторонней аутентификации с использованием несимметричной криптографии;
• защита передаваемых данных с использованием сертифицированных отечественных криптографических алгоритмов.
Где хранятся записи о событиях, регистрируемых TLS-сервером?
Записи о событиях, регистрируемых TLS-сервером, хранятся в следующих журналах: • системный журнал; • журнал доступа пользователей HTTPS-прокси (файл access.log); • журнал событий, связанных с доступом по криптотуннелю (файл sctunnel.log); • журнал установления соединений (файл https-login.log). В системном журнале регистрируются перечисленные ниже события: • системные события; • события, связанные с управлением Сервером; • события, связанные с ошибками в работе приложений. Сервер ежедневно осуществляет автоматическую архивацию файлов. Системный журнал хранится в базе данных Сервера. Просмотр записей журнала выполняют средствами удаленного и локального управления. В журналах доступа хранятся результаты HTTP-запросов пользователя. В журнале установления соединений регистрируются события, связанные с попытками подключения пользователей к ресурсам корпоративной сети. Просмотр событий доступа, в том числе заархивированных, осуществляется средствами локального управления. Имеется возможность скачивать журналы доступа для последующего их просмотра. При заполнении дискового пространства на TLS-сервере выше критичного, отведенного для журналов, старые записи и старые архивные файлы удаляются автоматически. Для предотвращения переполнения жесткого диска файлами журналов доступа предусмотрены настройки, позволяющие отменить регистрацию событий, связанных с доступом пользователей через HTTPS-прокси, или включить режим отправки журналов на удаленный syslog-сервер. Предусмотрено несколько уровней регистрации событий. Результат действий администратора регистрируется вне зависимости от заданных настроек. При просмотре журналов администратором количество отображенных зарегистрированных событий зависит от заданного уровня настройки журналирования. При смене уровня детализации отобразятся события, соответствующие выбранному уровню настройки.
Задайте свой вопрос специалисту!
Менеджер
Ольга Кукунина
Мы заботимся о наших клиентах и принимаем обращения в любой удобной для Вас форме.
