Клиент PKI |
Под «клиентом PKI» ФПСУ-IP в разделе подразумевается программа «ФПСУ Клиент PKI», предназначенная для защиты доступа отдельной рабочей станции к ресурсам сети передачи данных, защищенным ФПСУ-IP с использованием инфраструктуры открытых ключей (Public Key Infrastructure, PKI). Между ФПСУ-IP и его клиентскими частями организуется защищенное VPN-соединение, через которое могут передаваться данные L3-L7 уровня OSI. Взаимная двухсторонняя аутентификация клиентов PKI и ФПСУ-IP производится с использованием сертификата открытого ключа пользователя и собственного сертификата ФПСУ-IP. Пользователь клиента PKI идентифицируется реквизитами своего сертификата. На ФПСУ-IP реализованы PKI алгоритмы RSA и ГОСТ. VPN-протокол предлагаемого решения реализован на базе VPN-протокола сертифицированного ФСБ СКЗИ «ФПСУ-IP/Клиент». Транспортом является UDP-протокол. VPN-протокол не чувствителен к задержкам и плохим каналам связи и способен функционировать на калах связи с задержками до 300 мс. Клиент PKI поддерживает работу на каналах связи с задержками более 300 мс. Организация VPN-соединения между клиентом PKI и ФПСУ-IP для доступа информационными ресурсами реализована с применением технологий, облегчающих конфигурирование и управление сетевыми настройками клиентов, на ФПСУ-IP устанавливаются минимальные настройки клиентов PKI. Дополнительное (после первоначально аутентификации на ФПСУ-IP) решение по доступу клиента PKI к защищаемой сети может быть принято с помощью внешних по отношению к ФПСУ-IP сервисами RADIUS, DHCP, OCSP, Сompliance (интеграция с Комплексом информационной безопасности САКУРА разработки компании «ИТ-Экспертиза»). Для организации защищенного удаленного доступа клиентов PKI необходимы: - «ФПСУ-IP» с поддержкой PKI; - VPN-клиент «ФПСУ-IP/Клиент PKI» для различных пользовательских операционных систем; - PKI-инфраструктура; - дополнительная инфраструктура для аутентификации пользователей (опционально). Данное решение может быть внедрено как в действующую систему с инфраструктурой PKI так и при развертывании новой. Схема взаимодействия клиента PKI и ФПСУ-IP определяет, что пользователь ФПСУ-IP/Клиент PKI получает от УЦ закрытый ключ и сертификат открытого ключа и устанавливает закрытый ключ и сертификат на рабочую станцию с ПАК «ФПСУ-IP/Клиент PKI». На ФПСУ-IP должны быть загружены ключевая пара - закрытый ключ и собственный сертификат самого ФПСУ-IP, а также сертификаты Удостоверяющих центров, выдавших клиентские сертификаты клиентам PKI. При подключении клиента PKI к защищенной сети ФПСУ-IP проверяет сертификат, предъявленный клиентом PKI, и отправляет на сервер OCSP запрос о статусе сертификата. Ответчик OCSP возвращает ответ со статусом сертификата. Если статус сертификата действующий, клиент PKI авторизуется в защищенной сети. ФПСУ-IP может запрашивать аутентификацию клиента PKI вторым фактором, в качестве которого могут выступать логин и пароль пользователя в системе каталогов LDAP, OTP-пароль. Необходимость применения второго фактора при аутентификации клиента указывает администратор ФПСУ-IP (см. пункт «RADIUS-серверы и двухфакторная аутентификация»). При подключении клиента PKI может быть включена дополнительная проверка устройства. Идентификация устройства клиента PKI реализуется совместно с Compliance-модулем (Комплексом информационной безопасности САКУРА) по MAC-адресу сетевого адаптера, через который осуществляется подключение клиента PKI к ФПСУ-IP. В зависимости от настроек NAT клиент PKI авторизуется с реальным IP адресом или IP адресом, полученным от настроенного DHCP-сервера. Описание находится в следующих пунктах: •Установка обновления поддержки PKI на ФПСУ; |