Эксплуатация ФПСУ-TLS
Previous 

Режимы взаимодействия ФПСУ-TLS и защищаемой службы

 Next

При добавлении в список защищаемых серверов новой записи (см. пункт «Настройка защищаемых http-серверов»), администратор ФПСУ-TLS может уточнить, каким образом будет осуществляться обработка направляемого к добавляемому серверу клиентского трафика: передаваться в открытом виде с применением только HTTP протокола или по защищенному TLS-соединению, при котором ФПСУ-TLS будет выступать инициирующим соединение клиентом, а добавляемый сервер – в роли TLS-сервера.

clip0185_04

Режим «TLS-сервер»

Опция по умолчанию, «TLS-сервер», предполагает защищенное соединение с ФПСУ-TLS от TLS-клиента из внешней сети, и незащищенное http-соединение с защищаемым сервером, транслирующее клиентский трафик Веб-Сервису. Более подробно по применяемым алгоритмам и криптонаборам изложено в пункте «Общие сведения».

В режиме «TLS-сервер» выбор криптографических алгоритмов зависит от криптоалгоритма в сертификате ФПСУ-TLS.

clip0260_tls_server_04

Такая схема предполагается к использованию, когда защищаемый сервер установлен в доверенной среде внутренней локальной сети организации, а клиент подключается к локальной сети из общедоступной сети (например, Internet).

Для организации соединения ФПСУ-TLS с защищаемым сервером в режиме «TLS-сервер» должны быть установлены:

на клиенте - личный клиентский сертификат; корневой сертификат УЦ, которым подписан личный клиентский сертификат; корневой сертификат УЦ, которым подписан серверный сертификат ФПСУ-TLS.

на ФПСУ-TLS - личный серверный сертификат; корневой сертификат УЦ, которым подписан личный серверный сертификат; корневой сертификат УЦ, которым подписан личный клиентский сертификат.

 

Режим «TLS-клиент»

Опции «TLS-клиент ГОСТ» и «TLS-клиент RSA» используют одну и ту же схему работы, отличаясь только используемым в TLS-соединении криптонаборами. Более подробно по применяемым алгоритмам и криптонаборам изложено в пункте «Общие сведения».

Режим «TLS-клиент» предусматривает незащищенное HTTP соединение между ФПСУ-TLS и клиентом во внутренней защищаемой сети и защищенное TLS соединение, использующее шифрование между ФПСУ-TLS и сервером во внешней сети.

clip0262_tls_client_1_04

Такая схема может быть использована, когда клиент не имеет возможности использовать TLS-протокол.

Для организации соединения ФПСУ-TLS с защищаемым сервером в режиме «TLS-клиент» должны быть установлены:

на ФПСУ-TLS - личный клиентский сертификат; корневой сертификат УЦ, которым подписан личный клиентский сертификат.

на сервере - личный серверный сертификат; корневой сертификат УЦ, которым подписан личный серверный сертификат; сертификат УЦ, которым подписан клиентский сертификат ФПСУ-TLS.

ФПСУ-TLS может быть применен для защиты взаимодействия Клиента и Веб-сервиса, осуществляемого через недоверенную среду, в случае когда клиент и сервер Веб-сервиса находятся в защищаемых сетях, соединенных общедоступной сетью (например, Internet). ФПСУ-TLS в такой схеме используется в паре для организации криптографически защищенного туннеля от клиента к серверу. Со стороны внутреннего порта ФПСУ-TLS в режиме «TLS-клиента» используется незащищенное HTTP соединение клиента с ФПСУ-TLS, со стороны внешнего порта настроено защищенное TLS соединение, использующее шифрование по российским криптографическим алгоритмам (опция ГОСТ) или по международным криптографическим алгоритмам (опция RSA), с соседним ФПСУ-TLS в режиме «TLS-сервера», за которым находится защищаемый сервер, соединение с сервером незащищенное по протоколу HTTP.

clip0263_tls_client_2_04

Защищенное TLS-соединение может быть организовано с помощью ФПСУ-TLS для пересылки почтовых сообщений по протоколам SMTP, POP3, IMAP4.

clip0263_tls_client_2mail_04

Защищенное TLS-соединение может быть организовано для протокола распространения, запрашивания, размещения и получения групп новостей при взаимодействии между сервером новостей и клиентом, NNTP, а также для протокола установления прямой связи между узлами, в данном случае между клиентом и сервером, PPP.

 

Режим «шлюз TLS-TLS»

Опции «шлюз TLS-TLS ГОСТ» и «шлюз TLS-TLS RSA» используют одну и ту же схему работы, отличаясь только используемым в TLS соединении криптографическим протоколом. Более подробно по применяемым алгоритмам и криптонаборам изложено в пункте «Общие сведения».

Схема взаимодействия, при которой режим «шлюз TLS-TLS» предусматривает защищенное TLS соединение, использующее шифрование по российским криптографическим алгоритмам (опция ГОСТ), между ФПСУ-TLS и клиентом во внешней сети и защищенное TLS соединение, использующее шифрование по российским криптографическим алгоритмам (опция ГОСТ) или по международным криптографическим алгоритмам (опция RSA), между ФПСУ-TLS и защищаемым сервером во внутренней сети.

clip0257_tls_tls_1_04

Примером применения данной схемы может служить организация защищенного TLS соединения, использующего шифрование по российским криптографическим алгоритмам, между ФПСУ-TLS и клиентом во внешней сети и организация защищенного TLS соединения, использующего шифрование по международным криптографическим алгоритмам, чтобы разгрузить https сервер, так как реализация российских криптографических алгоритмов более требовательна к ресурсам.

Для организации соединения ФПСУ-TLS с защищаемым сервером в режиме «шлюз TLS-TLS» должны быть установлены:

на клиенте - личный клиентский сертификат; корневой сертификат УЦ, которым подписан личный клиентский сертификат; корневой сертификат УЦ, которым подписан серверный сертификат ФПСУ-TLS.

на ФПСУ-TLS - личный клиентский сертификат; корневой сертификат УЦ, которым подписан личный клиентский сертификат; личный серверный сертификат; корневой сертификат УЦ, которым подписан личный серверный сертификат.

на сервере - личный серверный сертификат; корневой сертификат УЦ, которым подписан личный серверный сертификат; сертификат УЦ, которым подписан клиентский сертификат ФПСУ-TLS.