Previous 

Клиент для ФПСУ-IP

 Next

Под «клиентом» ФПСУ-IP в документе подразумевается ПАК «ФПСУ-IP/Клиент», предназначенный для защиты доступа отдельной рабочей станции к ресурсам сети передачи данных, защищенным ФПСУ-IP.

Взаимная аутентификация клиентов и ФПСУ-IP производится с использованием ключей, созданных при помощи специальной программы, СКЗИ «Центр генерации ключей клиентов» (далее ЦГКК).

В соответствии с иерархической структурой пользователей ПАК «ФПСУ-IP/Клиент», каждый клиент входит в логическую группу, а группы объединяются в системы (Криптосети Клиентов), принадлежащие, как правило, отдельным организациям. Таким образом, каждому клиенту ставится в соответствие совокупность системных идентификаторов - уникальных номеров (номер Криптосети, серия общесистемных ключей Криптосети, номер группы в Криптосети, номер клиента в группе, номер генерации для номера клиента).

ЦГКК вырабатывает общесистемный ключ Криптосети Клиентов, который может храниться в распределенном виде на нескольких электронных носителях Touch Memory (TM). Далее, ЦГКК на основе общесистемного ключа вырабатывает индивидуальные ключи клиентов, передаваемые на рабочие места «ФПСУ-IP/Клиент». Общесистемный ключ Криптосети Клиентов, хранящийся на ТМ-носителях, устанавливается на каждый ПАК ФПСУ-IP, который должен работать шлюзом для подключений клиентов.

На ФПСУ-IP/Клиент и ФПСУ-IP могут быть установлены две серии общесистемных ключей Криптосети Клиентов одновременно на период перехода с текущей серии на новую.

Администратор ФПСУ-IP регламентирует доступ клиентов к портам ФПСУ-IP и описывает правила их работы, а именно:

явно указывает системные идентификаторы клиентов (номер криптосети, номер группы, номер пользователя), которые смогут работать через ФПСУ-IP;

определяет совокупность рабочих станций, к которым клиенты могут получить доступ;

указывает разрешенные IP-протоколы и время работы клиентов (календарный период, время суток по дням недели).

Нарушающие установленные ограничения запросы, так же, как и запросы от неизвестных клиентов, сбрасываются.

На время существования VPN-туннеля между ФПСУ-IP и клиентом, администратор ФПСУ-IP может передать обязательные настройки для рабочей станции клиента: во избежание динамического перехвата информации блокировать сторонние исходящие и входящие Интернет-соединения, а также передавать ей список IP-адресов, к которым клиент может запрашивать доступ.

При передаче запросов клиентов ФПСУ-IP может производить трансляцию сетевого адреса (Network Address Translation - NAT) клиента во внутренний адрес защищаемой сети. Это обеспечивает клиентам возможность мобильной работы из любой точки сети (независимо от IP адреса) по предъявлению устройства, содержащего его идентификационные и ключевые данные (устройства VPN-Key). Администратор ФПСУ-IP может ограничить «миграцию» клиентов, указав IP- и MAC-адреса рабочих станций, с которых работа разрешена.

Для настройки ФПСУ-IP в части работы с клиентами выберите команду меню конфигурации «Клиенты».

На экран будет выдано окно со списком зарегистрированных на ФПСУ-IP групп Криптосетей, пустое (при первом запуске) или содержащее список пар Криптосеть /логическая группа клиентов, которые будут обслуживаться ФПСУ-IP. На одном ФПСУ-IP может быть описано не более 128 логических групп, принадлежащих одной или нескольким Криптосетям Клиентов, в одной группе может быть зарегистрировано не более 1024 Клиентов.

Для установки или изменения правил работы клиентов, входящих в одну из групп списка, отметьте ее строкой выбора и нажмите клавишу <Enter> - см. пункт «Установка правил работы клиентов».

Для удаления записи логической группы отметьте его и нажмите <Del>. Для того чтобы разрешить (запретить) работу через ФПСУ-IP всех клиентов логической группы, правила работы которых уже установлены, выберите группу и нажмите клавишу <+> (<−>).

Для создания записи новой логической группы Клиентов, переведите курсор в список групп и нажмите клавишу <Ins> - см. раздел «Описание логической группы клиентов». Добавить группу можно только в том случае, если общесистемные ключи Криптосети установлены на ФПСУ-IP.

Для установки общесистемных ключей активизируйте опцию «Установка/удаление ключей К-сетей» – см. раздел «Установка и удаление общесистемных ключей».

Переход курсора на опцию «Установка/удаление ключей К-сетей» осуществляется по клавише <>, <Tab>.

Для перехода к полям поиска группы нажмите клавишу <>. В полях задайте номер Криптосети и номер искомой группы, нажмите <Enter>, в списке групп будет выделена строка с найденной группой.