Режимы взаимодействия ФПСУ-TLS и защищаемой службы

При добавлении в список защищаемых серверов новой записи (см. пункт Настройка защищаемых http-серверов), администратор ФПСУ-TLS может уточнить, каким образом будет осуществляться обработка направляемого к добавляемому серверу клиентского трафика: передаваться в открытом виде с применением только HTTP протокола или по защищенному TLS-соединению, при котором ФПСУ-TLS будет выступать инициирующим соединение клиентом, а добавляемый сервер – в роли TLS-сервера.

clip0185_04

Режим «TLS-сервер»

Опция по умолчанию, «TLS-сервер», предполагает защищенное соединение с ФПСУ-TLS от TLS-клиента из внешней сети, и незащищенное http-соединение с защищаемым сервером, транслирующее клиентский трафик Веб-Сервису.

В режиме «TLS-сервер» выбор криптографических алгоритмов зависит от криптоалгоритма в сертификате ФПСУ-TLS.

clip0260_tls_server_04

Такая схема предполагается к использованию, когда защищаемый сервер установлен в доверенной среде внутренней локальной сети организации, а клиент подключается к локальной сети из общедоступной сети (например, Internet).

Для организации соединения ФПСУ-TLS с защищаемым сервером в режиме «TLS-сервер» должны быть установлены:

•на клиенте - личный клиентский сертификат; корневой сертификат УЦ, которым подписан личный клиентский сертификат; корневой сертификат УЦ, которым подписан серверный сертификат ФПСУ-TLS.

•на ФПСУ-TLS - личный серверный сертификат; корневой сертификат УЦ, которым подписан личный серверный сертификат; корневой сертификат УЦ, которым подписан личный клиентский сертификат.

Режим «TLS-клиент»

Опции «TLS-клиент ГОСТ» и «TLS-клиент RSA» используют одну и ту же схему работы, отличаясь только используемым в TLS-соединении шифронаборами.Более подробно по применяемым алгоритмам и шифронаборам изложено в пункте Общие сведения.

Поддерживаемые шифронаборы:

TLS 1.2:

0xFF85 GOST2012-GOST8912-GOST8912;

0xC102 GOST2012-GOST8912-IANA;

0xC101 GOST2012-MAGMA-MAGMAOMAC;

0xC100 GOST2012-KUZNYECHIK-KUZNYECHIKOMAC.

TLS 1.3:

0xC104 TLS_GOSTR341112_256_WITH_MAGMA_MGM_L;

0xC106 TLS_GOSTR341112_256_WITH_MAGMA_MGM_S;

0xC103 TLS_GOSTR341112_256_WITH_KUZNYECHIK_MGM_L;

0xC105 TLS_GOSTR341112_256_WITH_KUZNYECHIK_MGM_S.

RSA:

TLS_AES_128_GCM_SHA256;

TLS_AES_256_GCM_SHA384;

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256;

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256.

Режим «TLS-клиент» предусматривает незащищенное HTTP соединение между ФПСУ-TLS и клиентом во внутренней защищаемой сети и защищенное TLS соединение, использующее шифрование между ФПСУ-TLS и сервером во внешней сети.

clip0262_tls_client_1_04

Такая схема может быть использована, когда клиент не имеет возможности использовать TLS-протокол.

Для организации соединения ФПСУ-TLS с защищаемым сервером в режиме «TLS-клиент» должны быть установлены:

•на ФПСУ-TLS - личный клиентский сертификат; корневой сертификат УЦ, которым подписан личный клиентский сертификат.

•на сервере - личный серверный сертификат; корневой сертификат УЦ, которым подписан личный серверный сертификат; сертификат УЦ, которым подписан клиентский сертификат ФПСУ-TLS.

ФПСУ-TLS может быть применен для защиты взаимодействия Клиента и Веб-сервиса, осуществляемого через недоверенную среду, в случае когда клиент и сервер Веб-сервиса находятся в защищаемых сетях, соединенных общедоступной сетью (например, Internet). ФПСУ-TLS в такой схеме используется в паре для организации криптографически защищенного туннеля от клиента к серверу. Со стороны внутреннего порта ФПСУ-TLS в режиме «TLS-клиента» используется незащищенное HTTP соединение клиента с ФПСУ-TLS, со стороны внешнего порта настроено защищенное TLS соединение, использующее шифрование по российским криптографическим алгоритмам (опция ГОСТ) или по международным криптографическим алгоритмам (опция RSA), с соседним ФПСУ-TLS в режиме «TLS-сервера», за которым находится защищаемый сервер, соединение с сервером незащищенное по протоколу HTTP.

clip0263_tls_client_2_04

Защищенное TLS-соединение может быть организовано с помощью ФПСУ-TLS для пересылки почтовых сообщений по протоколам SMTP, POP3, IMAP4.

clip0263_tls_client_2mail_04

Защищенное TLS-соединение может быть организовано для протокола распространения, запрашивания, размещения и получения групп новостей при взаимодействии между сервером новостей и клиентом, NNTP, а также для протокола установления прямой связи между узлами, в данном случае между клиентом и сервером, PPP.

Режим «шлюз TLS-TLS»

Опции «шлюз TLS-TLS ГОСТ» и «шлюз TLS-TLS RSA» используют одну и ту же схему работы, отличаясь только используемым в TLS соединении криптографическим протоколом.

Схема взаимодействия, при которой режим «шлюз TLS-TLS» предусматривает защищенное TLS соединение, использующее шифрование по российским криптографическим алгоритмам (опция ГОСТ), между ФПСУ-TLS и клиентом во внешней сети и защищенное TLS соединение, использующее шифрование по российским криптографическим алгоритмам (опция ГОСТ) или по международным криптографическим алгоритмам (опция RSA), между ФПСУ-TLS и защищаемым сервером во внутренней сети.

clip0257_tls_tls_1_04

Примером применения данной схемы может служить организация защищенного TLS соединения, использующего шифрование по российским криптографическим алгоритмам, между ФПСУ-TLS и клиентом во внешней сети и организация защищенного TLS соединения, использующего шифрование по международным криптографическим алгоритмам, чтобы разгрузить https сервер, так как реализация российских криптографических алгоритмов более требовательна к ресурсам.

Для организации соединения ФПСУ-TLS с защищаемым сервером в режиме «шлюз TLS-TLS» должны быть установлены:

•на ФПСУ-TLS - личный клиентский сертификат; корневой сертификат УЦ, которым подписан личный клиентский сертификат; личный серверный сертификат; корневой сертификат УЦ, которым подписан личный серверный сертификат.