Общие сведения

Настоящее руководство предназначено для администраторов систем защищенного удаленного доступа к корпоративной сети на основе АМИКОННЕКТ и ФПСУ, работающих на ПЭВМ в операционных системах macOS.

АМИКОННЕКТ (Клиент PKI) предназначен для защиты доступа отдельной рабочей станции к ресурсам сети передачи данных. Доступ организуется с использованием инфраструктуры открытых ключей (Public Key Infrastructure, PKI).

Между ФПСУ и АМИКОННЕКТом организуется защищенное VPN-соединение, через которое могут передаваться данные L3-L7 уровня OSI.

Взаимная двухсторонняя аутентификация клиентов АМИКОННЕКТ и ФПСУ производится с использованием сертификата открытого ключа пользователя и собственного сертификата ФПСУ. Пользователь АМИКОННЕКТа идентифицируется реквизитами своего сертификата. На ФПСУ реализованы PKI алгоритмы RSA и ГОСТ.

VPN-протокол не чувствителен к задержкам и плохим каналам связи и способен функционировать на каналах связи с задержками до 300 мс. АМИКОННЕКТ поддерживает работу на каналах связи с задержками более 300 мс.

Организация VPN-соединения между АМИКОННЕКТом и ФПСУ для доступа к информационным ресурсам реализована с применением технологий, облегчающих конфигурирование и управление сетевыми настройками клиентов, на ФПСУ устанавливаются минимальные настройки. Дополнительное (после первоначально аутентификации на ФПСУ) решение по доступу к защищаемой сети может быть принято с помощью внешних по отношению к ФПСУ сервисами RADIUS, DHCP, OCSP, Сompliance (интеграция с Комплексом информационной безопасности САКУРА разработки компании «ИТ-Экспертиза»).

Система использует клиент-серверную архитектуру, предусматривающую наличие:

•        VPN-клиента;

•        VPN-сервера;

•        Compliance-клиента;

•        Compliance-сервера.

Данное решение может быть внедрено как в действующую систему с инфраструктурой PKI так и при развертывании новой.

Схема взаимодействия клиента PKI и ФПСУ определяет, что пользователь клиента PKI получает от удостоверяющего центра сертификации (далее – УЦ) закрытый ключ и сертификат открытого ключа и устанавливает закрытый ключ и сертификат на рабочую станцию АМИКОННЕКТ. На ФПСУ должны быть загружены ключевая пара – закрытый ключ и собственный сертификат самого ФПСУ, а также сертификаты Удостоверяющих центров, выдавших клиентские сертификаты АМИКОННЕКТ. При подключении АМИКОННЕКТа к защищенной сети ФПСУ проверяет сертификат, предъявленный клиентом PKI, и отправляет на сервер OCSP запрос о статусе сертификата. Ответчик OCSP возвращает ответ со статусом сертификата. Если статус сертификата действующий, клиент АМИКОННЕКТ авторизуется в защищенной сети.

АМИКОННЕКТ для macOS использует штатные хранилище операционной системы при взаимодействии с локальными сертификатами.

При подключении АМИКОННЕКТа может быть включена дополнительная проверка устройства. Идентификация устройства реализуется совместно с Compliance-модулем (Комплексом информационной безопасности САКУРА) по MAC-адресу сетевого адаптера, через который осуществляется подключение АМИКОННЕКТа к ФПСУ.