Программа континент tls клиент что это

Содержание

Континент TLS VPN – защищенный удаленный доступ к веб-приложениям

Континент TLS VPN – система обеспечения защищенного удаленного доступа к веб-приложениям и корпоративным ресурсам с использованием алгоритмов шифрования ГОСТ.

Сертифицированная система Континент TLS VPN обеспечивает

  • защищенный удаленный доступ к корпоративным ресурсам
  • защищенный доступ к интернет-порталам с шифрованием по ГОСТ

Континент TLS VPN входит в единый реестр российских программ для электронных вычислительных машин и баз данных.

Возможности системы Континент TLS VPN

  • Идентификация и аутентификация удаленных пользователей
  • Криптографическая защита передаваемой информации
  • Сокрытие защищаемых серверов и трансляция адресов
  • Отказоустойчивость и масштабируемость
  • Мониторинг и регистрация событий
  • Удобные инструменты управления
  • Поддерживаемые протоколы
  • Работа пользователя через любой веб-браузер
  • Использование удобного для пользователей программного клиента

Преимущества системы Континент TLS VPN

  • Туннелирование TCP-трафика через протокол TLS
  • Веб-интерфейс для управления и мониторинга
  • Неограниченная масштабируемость при использовании внешнего балансировщика
  • Совместимость с любыми браузерами
  • Исполнение в виде отдельного устройства
  • Система разграничения прав удаленных пользователей с помощью портала приложений
  • Интеграция с ACTIVE DIRECTORY

Состав системы Континент TLS VPN

  • СКЗИ «Континент TLS VPN Сервер» – аппаратно-программный комплекс на базе специализированного телекоммуникационного сервера с архитектурой х64 «Континент TLS VPN Сервер» устанавливается на границе периметра защищаемой сети. «Континент TLS VPN Сервер» может работать как самостоятельно, так и в составе кластера (основного или подчиненного).
  • СКЗИ «Континент TLS VPN Клиент» – программный модуль, установленный на компьютеры или мобильные устройства удаленных пользователей, представляет собой локальный прокси. Клиент обеспечивает обоюдную аутентификацию с сервером в процессе установки защищенного соединения, установку защищенного соединения и обмен зашифрованными данными с сервером. «Континент TLS VPN Клиент» производит контроль целостности программного обеспечения и регистрацию событий, связанных с работой клиента

Компания «Поликом Про» является официальным партнером компании «Код Безопасности» со статусом DEALER/RESELLER, поставляет продукты и внедряет решения по информационной безопасности. Наши специалисты проконсультируют и помогут выбрать оптимальные решения для вашей организации.

Видеоинструкция по установке и настройке ПО «Континент TLS VPN»

Источник: www.polikom.ru

Континент TLS

Необходимость обеспечения удаленного доступа к веб-приложениям с использованием алгоритмов ГОСТ. Удаленный доступ к веб-приложениям без использования сертифицированных российских средств шифрования с поддержкой ГОСТ к системам, содержащим персональные данные и другую конфиденциальную информацию, может привести к взысканиям со стороны проверяющих органов.

3. ЭБ. Континент TLS. Установка и настройка.

Читайте также:
Aptoide что за программа отзывы

  • Сертифицированное ФСБ России решение для обеспечения защищенного удаленного доступа к веб-приложениям. Континент TLS VPN обеспечивает защиту трафика между удаленным пользователем и веб-приложением с использованием алгоритмов ГОСТ.

Высокие затраты на встраивание криптобиблиотек с поддержкой ГОСТ в веб-приложения. При встраивании криптобиблиотек в веб-приложения при каждом изменении кода необходимо проходить дорогостоящую и долгую процедуру контроля корректности встраивания.

  • Выделение механизмов шифрования на отдельное устройство перед веб-приложением. Континент TLS VPN реализован в виде отдельного устройства. Его использование не требует затрат на проведение процедуры корректности встраивания.
  • Низкая стоимость удаленного доступа на одного пользователя. «Континент TLS VPN клиент» распространяется бесплатно. Лицензируется только число одновременных подключений.
  • Продвинутые механизмы контроля доступа. Интеграция «Континент TLS VPN сервер» с Active Directory и пользовательский портал приложений значительно сокращают затраты на управление доступом удаленных пользователей.

Континент TLS. Основные преимущества

  • Отдельное устройство
  • Высокая производительность
  • Высокая масштабируемость
  • Совместимость с любыми веб-браузерами
  • Туннелирование TCP-трафика через TLS

Сценарии применения

Защита информации в госорганизациях

В ИС государственных органов обрабатывается огромное количество информации. Т.к. для злоумышленников эти данные представляют большую ценность, государство требует их обязательной защиты. Нарушение законодательства в области перс.данных влечет за собой административную и уголовную ответственность.

Защита персональных данных в соответствии с приказом ФСТЭК России № 21

Защита государственных информационных систем, систем персональных данных и значимых объектов критической информационной инфраструктуры в соответствии с требованиями приказов ФСТЭК № 17, 21, 31, 239

Ключевые возможности Континент TLS

— Криптографическая защита трафика по алгоритмам ГОСТ.

— Два режима аутентификации TLS: Анонимный TLS: Аутентификация сервера без необходимости аутентификации пользователя. Взаимная аутентификация сервера и пользователя.

— Разграничение прав доступа удаленных пользователей с помощью портала приложений.

— Туннелирование TCP-трафика через протокол TLS.

— Интеграция с Active Directory.

— Использование удобного для пользователей программного клиента: «Континент TLS VPN Клиент» и «КриптоПро CSP» 3.9/4.0.

— Работа пользователя через любой веб-браузер.

Источник: www.ec-rs.ru

Опыт внедрения «Континент TLS VPN» в кластерной конфигурации

TLS – криптографический протокол, обеспечивающий защищенную передачу данных между узлами в сети интернет. С ним вы можете ознакомиться здесь или здесь.

Ключевые задачи TLS:

  1. обеспечить конфиденциальность, то есть реализовать защиту от утечек передаваемой информации;
  2. обеспечить обнаружение подмены, то есть реализовать сохранение целостности передаваемой информации;
  3. обеспечить аутентификацию узлов, то есть дать механизм проверки подлинности источника сообщений.

Задача

В нашем случае необходимо было обеспечить защищенный с помощью ГОСТ-шифрования доступ к веб-ресурсу.

  • Кластерная конфигурация (для решения требуется высокая отказоустойчивость)
  • Высокая пропускная способность
  • Поддержка различных браузеров (IE, Mozilla, Chrome)
  • Максимальное количество соединений в режиме HTTPS-прокси– 10 000
  • Сертификат ФСБ России на СКЗИ

Решение

Ниже представлена схема и описание компонентов.

Для решения данной задачи был выбран продукт компании «Код Безопасности» «Континент TLS VPN», соответствующий всем вышеперечисленным условиям.

Стоит отметить, что на момент проектирования это был единственный сертифицированный ПАК, осуществляющий шифрование по ГОСТ с использованием протокола TLS. В дальнейшем ожидается получение сертификата ПАК ViPNet TLS от «ИнфоТеКС».

Основные элементы системы:

  • СКЗИ «Континент TLS VPN Клиент», версия 1.2.1068
  • Балансировщик нагрузки, Netscaler v12
  • СКЗИ «Континент TLS VPN Сервер», версия 1.2.1.61
Читайте также:
Что за программа solveigmm video splitter

Описание элементов

СКЗИ «Континент TLS VPN Клиент» — TLS-клиент представляет собой устанавливаемое на компьютере удаленного пользователя программное обеспечение, функционирующее совместно с TLS-сервером. TLS-клиент предназначен для реализации защищенного доступа удаленных пользователей к веб-ресурсам корпоративной сети по каналам связи общих сетей передачи данных.

NetScaler — это контроллер доставки приложений, обеспечивающий гибкую доставку сервисов для традиционных, контейнерных и микросервисных приложений из центра обработки данных или любого облака. Балансировщик на основе Citrix Netscaler раскидывает сессии HTTPS между кластерами серверов TLS. Ответы от WEB сервера также собирает балансировщик.

СКЗИ «Континент TLS VPN Сервер» — сервер предназначен для обеспечения защищенного доступа удаленных пользователей к защищаемым ресурсам.

Порядок настройки

  1. Инициализируем TLS-сервер, производим настройку кластера, создаем запросы на сертификаты для работы TLS-сервера (корневой сертификат УЦ, сертификат сервера, сертификат для удаленного управления сервером, сертификат администратора и CRL).
  2. Первоначальная настройка TLS-серверов, импорт сертификатов.
  3. Проверка подключения к защищаемому ресурсу удаленного клиента с помощью TLS VPN Клиента.

Инициализация

Первая сложность возникла при запуске TLS-серверов. Появилось сообщение «No controller found». Совместно со специалистами компании «Код Безопасности» была выявлена довольно нестандартная проблема. Оказалось, ПАК отказался работать в ЦОДе с мониторами фирмы BenQ, а с любыми другими работал без проблем.

Первоначальная настройка несложная и состоит в основном из определения ip-адреса и шлюза, а также имени устройства. Плюс создание, экспорт/импорт мастер-ключа.

Заказчик в проекте использовал два сервера TLS. Оба сервера TLS должны работать в состоянии active-active.

На одном сервере создается мастер-ключ, на другие серверы он импортируется. Мастер-ключ (ключ кластера) предназначен для решения следующих задач:

  • шифрование закрытых ключей серверных сертификатов;
  • организация защищенного соединения между элементами кластера.

Импорт сертификатов

Далее необходимо подключиться к серверу TLS по веб-морде, определить защищаемый ресурс и установить сертификаты для работы серверов (корневой сертификат УЦ, сертификат сервера, сертификат для удаленного управления сервером, сертификат администратора и CRL). Все эти сертификаты должны быть выданы одним УЦ. Для первого подключения по веб-морде нужно использовать КриптоПро CSP, а не «Код Безопасности CSP. При последующих сменах сертификатов, лучше сначала удалить корневой сертификат УЦ, а после менять другие сертификаты.

Из-за невозможности сразу сделать боевые сертификаты было принято решение проверить работоспособность кластера TLS серверов на сертификатах, сделанных на тестовом УЦ Криптопро.

На TLS-серверах есть возможность отключить аутентификацию пользователя. При этом защищенный канал будет создаваться при наличии клиента TLS и установленных сертификатов (корневого, сертификата сервера и CRL), т.е. личного сертификата для работы не требуется.

Проверка подключения

Изначально возникли проблемы с подключением по защищенному каналу к защищаемому ресурсу с помощью сертифицированной версии TLS-клиента от «Кода Безопасности». Получилось подключиться к защищаемому ресурсу с использованием TLS-клиента 2.0 от «Кода Безопасности», но данная версия пока находится на этапе сертификации. Проблема заключалась в неправильном редиректе на защищаемом ресурсе, который не проходил, потому что TLS-серверы не совсем корректно отрабатывали данное правило в релизной версии прошивки. Для решения проблемы необходимо было перепрошивать оба сервера TLS и поднимать сделанные бекапы.

Порядок перепрошивки следующий:

  • сохраняем базу сервера (чтобы не создавать все по новой)
  • заливаем образ на Flash, используя программу flashGUI
  • входим в БИОС, предварительно в настройках ПАК «Соболь» устанавливаем время срабатывания сторожевого таймера, достаточное для внесения изменения настроек в БИОС
  • изменяем порядок загрузки, устанавливаем загрузку с Flash, сохраняем
  • при старте будет сообщение об изменении разделов, соглашаемся
  • в процессе установки выбираем отладочную версию и используемую вами платформу
  • перезагрузка, входим в БИОС, меняем порядок установки, соглашаемся с изменением
  • настраиваем сервер локально
  • подключаемся к серверу
  • загружаем базу
Читайте также:
Что за программа простоквашино

После проделанных операций заработал сертифицированный TLS-клиент от «Кода Безопасности», на работе которого в системе настаивал заказчик. Но вот в чем фокус, он не заработал в браузере Chrome, работа в котором была просто необходима заказчику, можно даже сказать, что все затачивалось под него. Был проведен еще ряд тестирований совместно с поддержкой «Кода Безопасности», и, как результат, заработало все на версии чуть более новой (1.2.1073), чем сертифицированная (1.2.1068).

Кстати, еще один из подводных камней при настройке любого клиента TLS от «Кода Безопасности» (кроме версии 2.0) – они не работают на виртуальных машинах. При тестировании часто использовались виртуальные машины, это еще немного усложнило процесс диагностики.

Выводы

В конце хотелось бы подытожить. Продукт несложный в настройке и разворачивании. Есть еще над чем работать разработчикам, это касается и сервера, и клиента. Но в целом продукт рабочий и работает в кластерной конфигурации. Система на текущий момент работает без сбоев и держит нагрузку.

Надеемся, что наши набитые шишки помогут вам быстрее и эффективнее разворачивать «Континент TLS».

Статью подготовил Илья Платонов.

  • информационная безопасность
  • криптография
  • средства защиты информации

Источник: habr.com

Установка СКЗИ Континент TLS

СКЗИ «Континент TLS VPN Клиент» – программный модуль, установленный на компьютеры или мобильные устройства удаленных пользователей, представляет собой локальный прокси

Клиент обеспечивает обоюдную аутентификацию с сервером в процессе установки защищенного соединения, установку защищенного соединения и обмен зашифрованными данными с сервером. «Континент TLS VPN Клиент» производит контроль целостности программного обеспечения и регистрацию событий, связанных с работой клиента.
Поскольку программный продукт «Континент TLS VPN Клиент» является средством криптографической защиты информации (СКЗИ), то его установка и продажа требует наличия лицензии Управления Федеральной Службы Безопасности (УФСБ) . На основании данной лицензии мы осуществляем свою деятельность.

Выполним поставленную задачу качественно и точно в срок!

Источник: algoritm32.ru

Континент TLS

Континент TLS — аппаратно–программный комплекс, появившийся на российском рынке TLS–шлюзов в 2014 г. Решение предназначено для защиты удаленного пользовательского доступа к ресурсам локальной сети. Поддерживает несколько режимов работы: шифрование HTTP/HTTPS–трафика и TLS–туннелирование. Также система способна взаимодействовать с технологией Active Directory, с помощью которой осуществляет аутентификацию пользователя по имени и паролю AD, а доступ к приложениям предоставляет на основе принадлежности пользователя к структурному подразделению.

Преимущества программного-аппаратного комплекса «Континент TLS»

  1. Централизованное управление кластером TLS-шлюзов.
  2. Управление и мониторинг осуществляются через веб-интерфейс, доступный из любого браузера.
  3. Лицензирование по одновременному, а не общему количеству удаленных пользователей.
  4. Система разграничения прав удаленных пользователей с помощью портала приложений.
  5. Интеграция с Active Directory, SIEM-системами и WAF.
  6. Высокая производительность – до 45 000 одновременных подключений.

Источник: a1tis.ru

Рейтинг
( Пока оценок нет )
Комментарии0
Загрузка ...
Похожие материалы
EFT-Soft.ru