Клиент для ФПСУ-IP

Под "клиентом" ФПСУ-IP в документе подразумевается ПАК "ФПСУ-IP/Клиент", предназначенный для защиты доступа отдельной рабочей станции к ресурсам сети передачи данных, защищенных ФПСУ-IP.

Взаимная аутентификация клиентов и ФПСУ-IP производится с использованием ключей, созданных при помощи специальной программы, СКЗИ "Центр генерации ключей клиентов" (далее ЦГКК).

В соответствии с иерархической структурой пользователей ПАК "ФПСУ-IP/Клиент", каждый клиент входит в логическую группу, а группы объединяются в системы (Криптосети клиентов), принадлежащие, как правило, отдельным организациям. Таким образом, каждому клиенту ставится в соответствие совокупность системных идентификаторов - уникальных номеров (номер Криптосети, номер группы в Криптосети, номер клиента в группе).

ЦГКК вырабатывает общесистемный ключ Криптосети клиентов, который может храниться в распределенном виде на нескольких электронных носителях Touch Memory (TM). Далее, ЦГКК на основе общесистемного ключа вырабатывает индивидуальные ключи клиентов, передаваемые на рабочие места "ФПСУ-IP/Клиент". Общесистемный ключ Криптосети клиентов, хранящийся на ТМ-носителях, устанавливается на каждый ПАК МЭ ФПСУ-IP, который должен работать шлюзом для подключений клиентов.

Администратор ФПСУ-IP регламентирует доступ клиентов к портам ФПСУ-IP и описывает правила их работы, а именно:

•явно указывает системные идентификаторы клиентов (номер криптосети, номер группы, номер пользователя), которые смогут работать через ФПСУ-IP;

•определяет совокупность рабочих станций, к которым клиенты могут получить доступ;

•указывает разрешенные IP-протоколы и время работы клиентов (календарный период, время суток по дням недели).

Нарушающие установленные ограничения запросы, так же, как и запросы от неизвестных клиентов, сбрасываются.

На время существования VPN-туннеля между ФПСУ-IP и клиентом, администратор ФПСУ-IP может передать обязательные настройки для рабочей станции клиента: во избежание динамического перехвата информации блокировать сторонние исходящие и входящие Интернет-соединения, а также передавать ей список IP-адресов, к которым клиент может запрашивать доступ.

При передаче запросов клиентов ФПСУ-IP может производить трансляцию сетевого адреса (Network Address Translation - NAT) клиента во внутренний адрес защищаемой сети. Это обеспечивает клиентам возможность мобильной работы из любой точки сети (независимо от IP адреса) по предъявлению устройства, содержащего его идентификационные и ключевые данные (устройства VPN-Key). Администратор ФПСУ-IP может ограничить "миграцию" клиентов, указав IP- и MAC-адреса рабочих станций, с которых работа разрешена.

Для настройки ФПСУ-IP в части работы с клиентами выберите команду меню конфигурации "Клиенты". На экран будет выдано окно со списком зарегистрированных на ФПСУ-IP групп Криптосетей, пустое (при первом запуске) или содержащее список пар Криптосеть /логическая Группа клиентов, которые будут обслуживаться ФПСУ-IP. На одном ФПСУ-IP может быть описано не более 128 логических групп, принадлежащим одной или нескольким Криптосетям Клиентов, в одной группе может быть зарегистрировано не более 1024 Клиентов.

Для установки или изменения правил работы клиентов, входящих в одну из групп списка, отметьте ее строкой выбора и нажмите клавишу <Enter> - см. пункт "Установка правил работы клиентов".

Для удаления записи логической группы отметьте его и нажмите <Del>. Для того чтобы разрешить (запретить) работу через ФПСУ-IP всех клиентов логической группы, правила работы которых уже установлены, выберите группу и нажмите клавишу <+> (<−>).

Для создания записи новой логической группы Клиентов, переведите курсор в список групп и нажмите клавишу <Ins> - см. раздел "Описание логической группы клиентов". Добавить группу можно только в том случае, если общесистемные ключи Криптосети установлены на ФПСУ-IP.

Для установки общесистемных ключей активизируйте поле "Установка/удаление ключей ЦГКК" – см. раздел "Установка и удаление общесистемных ключей".