Общие сведения
|
|
Общие сведения |
|
|
Руководство предназначено для администраторов систем удаленного доступа, работающих в операционных системах Windows. АМИКОННЕКТ (Клиент PKI) предназначен для защиты доступа отдельной рабочей станции к ресурсам сети передачи данных. Доступ организуется с использованием инфраструктуры открытых ключей (Public Key Infrastructure, PKI). Между ФПСУ-IP и АМИКОННЕКТ частями организуется защищенное VPN-соединение, через которое могут передаваться данные L3-L7 уровня OSI. Взаимная двухсторонняя аутентификация клиентов PKI и ФПСУ-IP производится с использованием сертификата открытого ключа пользователя и собственного сертификата ФПСУ-IP. Пользователь АМИКОННЕКТ идентифицируется реквизитами своего сертификата. На ФПСУ-IP реализованы PKI алгоритмы RSA и ГОСТ. VPN-протокол не чувствителен к задержкам и плохим каналам связи и способен функционировать на каналах связи с задержками до 300 мс. Клиент PKI поддерживает работу на каналах связи с задержками более 300 мс. Организация VPN-соединения между клиентом PKI и ФПСУ-IP для доступа информационными ресурсами реализована с применением технологий, облегчающих конфигурирование и управление сетевыми настройками клиентов, на ФПСУ-IP устанавливаются минимальные настройки клиентов PKI. Дополнительное (после первоначально аутентификации на ФПСУ-IP) решение по доступу клиента PKI к защищаемой сети может быть принято с помощью внешних по отношению к ФПСУ-IP сервисами RADIUS, DHCP, OCSP, Сompliance (интеграция с Комплексом информационной безопасности САКУРА разработки компании «ИТ-Экспертиза»). Система использует клиент-серверную архитектуру, предусматривающую наличие: •VPN-клиента; •VPN-сервера; •Compliance-клиента; •Compliance-сервера. Данное решение может быть внедрено как в действующую систему с инфраструктурой PKI так и при развертывании новой. Схема взаимодействия клиента PKI и ФПСУ-IP определяет, что пользователь клиента PKI получает от удостоверяющего центра сертификации (далее - УЦ) закрытый ключ и сертификат открытого ключа и устанавливает закрытый ключ и сертификат на рабочую станцию клиента PKI. На ФПСУ-IP должны быть загружены ключевая пара - закрытый ключ и собственный сертификат самого ФПСУ-IP, а также сертификаты Удостоверяющих центров, выдавших клиентские сертификаты клиентам PKI. При подключении клиента PKI к защищенной сети ФПСУ-IP проверяет сертификат, предъявленный клиентом PKI, и отправляет на сервер OCSP запрос о статусе сертификата. Ответчик OCSP возвращает ответ со статусом сертификата. Если статус сертификата действующий, клиент PKI авторизуется в защищенной сети. Клиент PKI для Windows использует штатные хранилище операционной системы при взаимодействии с локальными сертификатами. При подключении клиента PKI может быть включена дополнительная проверка устройства. Идентификация устройства клиента PKI реализуется совместно с Compliance-модулем (Комплексом информационной безопасности САКУРА) по MAC-адресу сетевого адаптера, через который осуществляется подключение клиента PKI к ФПСУ-IP. В зависимости от настроек NAT клиент PKI авторизуется с реальным IP адресом или IP адресом, полученным от настроенного DHCP-сервера. Место хранения сертификатов при работе с клиентом PKI в ОС Windows реализовано с использованием штатного хранилища операционной системы.
|
