Общие сведения

Настоящее руководство предназначено для администраторов систем защищенного удаленного доступа к корпоративной сети на основе АМИКОННЕКТ и ФПСУ, работающих на ПЭВМ в операционных системах Debian.

АМИКОННЕКТ(Клиент PKI) предназначен для защиты доступа отдельной рабочей станции к ресурсам сети передачи данных. Доступ организуется с использованием инфраструктуры открытых ключей (Public Key Infrastructure, PKI).

Между ФПСУ и АМИКОННЕКТом организуется защищенное VPN-соединение, через которое могут передаваться данные L3-L7 уровня OSI.

Взаимная двухсторонняя аутентификация клиентов АМИКОННЕКТ и ФПСУ производится с использованием сертификата открытого ключа пользователя и собственного сертификата ФПСУ. Пользователь АМИКОННЕКТа идентифицируется реквизитами своего сертификата. На ФПСУ реализованы PKI алгоритмы RSA и ГОСТ.

VPN-протокол не чувствителен к задержкам и плохим каналам связи и способен функционировать на каналах связи с задержками до 300 мс.  АМИКОННЕКТ поддерживает работу на каналах связи с задержками более 300 мс.

Организация VPN-соединения между АМИКОННЕКТом и ФПСУ для доступа к информационным ресурсам реализована с применением технологий, облегчающих конфигурирование и управление сетевыми настройками клиентов, на ФПСУ устанавливаются минимальные настройки. Дополнительное (после первоначально аутентификации на ФПСУ) решение по доступу к защищаемой сети может быть принято с помощью внешних по отношению к ФПСУ сервисами RADIUS, DHCP, OCSP, Сompliance (интеграция с Комплексом информационной безопасности САКУРА разработки компании «ИТ-Экспертиза»).

Система использует клиент-серверную архитектуру, предусматривающую наличие:

•VPN-клиента;

•VPN-сервера;

•Compliance-клиента;

•Compliance-сервера.

Данное решение может быть внедрено как в действующую систему с инфраструктурой PKI, так и при развертывании новой.

Схема взаимодействия АМИКОННЕКТ и ФПСУ определяет, что пользователь АМИКОННЕКТ получает от удостоверяющего центра сертификации (далее - УЦ) закрытый ключ и сертификат открытого ключа и устанавливает закрытый ключ и сертификат на рабочую станцию АМИКОННЕКТ. На ФПСУ должны быть загружены ключевая пара - закрытый ключ и собственный сертификат самого ФПСУ, а также сертификаты Удостоверяющих центров, выдавших клиентские сертификаты АМИКОННЕКТ. При подключении АМИКОННЕКТ к защищенной сети ФПСУ проверяет сертификат, предъявленный АМИКОННЕКТ, и отправляет на сервер OCSP запрос о статусе сертификата. Ответчик OCSP возвращает ответ со статусом сертификата. Если статус сертификата действующий, клиент АМИКОННЕКТ авторизуется в защищенной сети.

АМИКОННЕКТ для macOS использует штатные хранилище операционной системы при взаимодействии с локальными сертификатами.

При подключении АМИКОННЕКТ может быть включена дополнительная проверка устройства. Идентификация устройства реализуется совместно с Compliance-модулем (Комплексом информационной безопасности САКУРА) по MAC-адресу сетевого адаптера, через который осуществляется подключение АМИКОННЕКТ к ФПСУ.