АМИКОННЕКТ Клиент PKI
|
|
АМИКОННЕКТ Клиент PKI |
|
|
АМИКОННЕКТ – это российская Remote Access VPN-система, разработанная компанией АМИКОН в партнерстве с ИТ-Экспертиза. АМИКОННЕКТ предназначен для организации защищенного доступа сотрудников к корпоративным ресурсам. Основой решения является PKI-инфраструктура и ФПСУ. Под «клиентом PKI» ФПСУ в разделе подразумевается программа «ФПСУ Клиент PKI», предназначенная для защиты доступа отдельной рабочей станции к ресурсам сети передачи данных, защищенным ФПСУ с использованием инфраструктуры открытых ключей (Public Key Infrastructure, PKI). Между ФПСУ и его клиентскими частями организуется защищенное VPN-соединение, через которое могут передаваться данные L3-L7 уровня OSI. Взаимная двухсторонняя аутентификация клиентов PKI и ФПСУ производится с использованием сертификата открытого ключа пользователя и собственного сертификата ФПСУ. Пользователь клиента PKI идентифицируется реквизитами своего сертификата. На ФПСУ реализованы PKI алгоритмы RSA и ГОСТ. VPN-протокол предлагаемого решения реализован на базе VPN-протокола сертифицированного ФСБ СКЗИ «ФПСУ-IP Amigo». Транспортом является UDP-протокол. VPN-протокол не чувствителен к задержкам и плохим каналам связи и способен функционировать на каналах связи с задержками до 300 мс. Клиент PKI поддерживает работу на каналах связи с задержками более 300 мс. Организация VPN-соединения между клиентом PKI и ФПСУ для доступа к информационным ресурсам АМИКОННЕКТ реализована с применением технологий, облегчающих конфигурирование и управление сетевыми настройками клиентов, на ФПСУ устанавливаются минимальные настройки клиентов PKI. Дополнительное (после первоначальной аутентификации на ФПСУ) решение по доступу клиента PKI к защищаемой сети может быть принято с помощью внешних по отношению к ФПСУ сервисами RADIUS, DHCP, OCSP, Сompliance (интеграция с Комплексом информационной безопасности САКУРА разработки компании «ИТ-Экспертиза»). Для организации защищенного удаленного доступа клиентов PKI АМИКОННЕКТ необходимы: - «ФПСУ» с поддержкой PKI; - VPN-клиент «ФПСУ-IP/Клиент PKI» для различных пользовательских операционных систем; - PKI-инфраструктура; - дополнительная инфраструктура для аутентификации пользователей (опционально). Данное решение может быть внедрено как в действующую систему с инфраструктурой PKI так и при развертывании новой.
Схема взаимодействия клиента PKI и ФПСУ определяет, что пользователь Клиент PKI получает от УЦ закрытый ключ и сертификат открытого ключа и устанавливает закрытый ключ и сертификат на рабочую станцию с ПАК «ФПСУ Клиент PKI». На ФПСУ должны быть загружены ключевая пара - закрытый ключ и собственный сертификат самого ФПСУ, а также сертификаты Удостоверяющих центров, выдавших клиентские сертификаты клиентам PKI. При подключении клиента PKI к защищенной сети ФПСУ проверяет сертификат, предъявленный клиентом PKI, и отправляет на сервер OCSP запрос о статусе сертификата. Ответчик OCSP возвращает ответ со статусом сертификата. Если статус сертификата действующий, клиент PKI авторизуется в защищенной сети. ФПСУ может запрашивать аутентификацию клиента PKI вторым фактором, в качестве которого могут выступать логин и пароль пользователя в системе каталогов LDAP, OTP-пароль. Необходимость применения второго фактора при аутентификации клиента указывает администратор ФПСУ (см. пункт «RADIUS»). При подключении клиента PKI может быть включена дополнительная проверка устройства. Идентификация устройства клиента PKI реализуется совместно с Compliance-модулем (Комплексом информационной безопасности САКУРА) по MAC-адресу сетевого адаптера, через который осуществляется подключение клиента PKI к ФПСУ. В зависимости от настроек NAT клиент PKI авторизуется с реальным IP адресом или IP адресом, полученным от настроенного DHCP-сервера. Описание находится в следующих пунктах: •Установка обновления поддержки PKI на ФПСУ; |
