Программные и программно-аппаратные комплексы «ФПСУ IP/Клиент»

Программно-аппаратный комплекс «ФПСУ-IP/Клиент» состоит из интеллектуального электронного устройства «VPN-Key/Client», подключаемого к USB-порту рабочей станции пользователя, и программных модулей «ФПСУ-IP/Клиент», устанавливаемых в операционную систему ПЭВМ.

Программные комплексы «ФПСУ-IP/Клиент» состоят только из программных модулей, устанавливаемых в операционную систему устройства.

В качестве программно-аппаратного комплекса могут выступать «ФПСУ-IP/Клиенты» для операционных систем Windows, Linux и macOS.

«ФПСУ-IP/Клиент» предназначен для построения защищённых каналов связи между рабочими станциями и «ФПСУ-IP». Кроме того, «ФПСУ-IP/Клиент» для операционных систем Windows, Linux и macOS может выполнять функции сетевого фильтра, принимая и передавая сетевые пакеты в соответствии с задаваемыми правилами фильтрации.

Механизм защиты канала связи заключается в том, что между Клиентом и «ФПСУ-IP» создаётся VPN-туннель, по которому IP-пакеты передаются в криптографически защищенном виде, что обеспечивает достоверность, целостность и конфиденциальность передаваемой информации.

В VPN-туннеле производятся обязательные взаимные процедуры идентификации и аутентификации взаимодействующих «ФПСУ-IP/Клиента» и «ФПСУ-IP», как при установлении защищённого соединения, так и в процессе приёма данных из VPN-туннеля.

Для установления соединения «ФПСУ-IP/Клиент» обращается к «ФПСУ-IP» на порт получателя UDP 87. Порт отправителя UDP-соединению динамически назначает операционная система рабочей станции, на которую установлен «ФПСУ-IP/Клиент».

Устройство «VPN-Key/Client» обеспечивает хранение ключей программно-аппаратных «ФПСУ-IP/Клиентов» и идентификаторов пользователя, выработку данных необходимых для взаимной аутентификации «ФПСУ-IP/Клиент» и «ФПСУ-IP» и создания сессионных (сеансовых) ключей, хранение конфигурационных данных.

«ФПСУ-IP/Клиент» обеспечивает:

•фильтрацию каждого сетевого пакета на основе IP-адреса получателя в соответствии с установленными администратором правилами (опционально);

•фильтрацию каждого сетевого пакета на основе проверки корректности заполнения и взаимной согласованности значимых полей IP-пакетов в соответствии с рекомендациями RFC;

•фильтрацию каждого сетевого пакета с учетом входного и выходного сетевого интерфейса «ФПСУ-IP» как средство проверки подлинности сетевых адресов;

•фильтрацию пакетов на основе установленных администратором режимов работы и взаимодействия абонентов (опционально);

•построение VPN-туннеля между «ФПСУ-IP» и «ФПСУ-IP/Клиентом»;

•сжатие передаваемых по межсетевым туннелям данных (опционально);

•шифрование передаваемых в межсетевых туннелях данных;

•контроль целостности программной и информационной частей «ФПСУ-IP/Клиент»;

•идентификацию и аутентификацию пользователя/администратора на этапе запуска «ФПСУ-IP/Клиент» и в процессе доступа к средствам локального администрирования;

•разграничение доступа в соответствии с установленными правами для различных классов пользователей;

•блокирование доступа пользователей, подлинность которых при аутентификации не подтвердилась.