Подсистема поддержки «ФПСУ-IP/Клиентов»

Подсистема поддержки «ФПСУ-IP/Клиентов» предназначена для организации VPN-туннелей между «ФПСУ-IP» и рабочими станциями, оборудованными комплексами «ФПСУ-IP/Клиент» и использующими «ФПСУ-IP» для регламентированного безопасного доступа к защищаемым «ФПСУ-IP» другим рабочим станциям сети.

В случае работы через «ФПСУ-IP», «ФПСУ-IP/Клиентам» может быть предоставлен безопасный доступ как к абонентам (серверам) защищаемой «ФПСУ-IP» подсети, так и к абонентам открытых или защищённых сетей, на компьютерах которых установлен аналогичный программно-аппаратный комплекс «ФПСУ-IP/Клиент».

При получении запроса «ФПСУ-IP/Клиента» на доступ к «ФПСУ-IP» подсистема поддержки «ФПСУ-IP/Клиентов» производит обязательные процедуры идентификации и аутентификации «ФПСУ-IP/Клиента», причём в случае неудачи доступ «ФПСУ-IP/Клиенту» не предоставляется. Затем между идентифицированным и аутентифицированным «ФПСУ-IP/Клиентом» и «ФПСУ-IP» создаётся VPN-туннель, по которому данные передаются в зашифрованном на сеансовых ключах виде. Сеансовые ключи вырабатываются в процессе аутентификации и автоматически меняются после передачи определенного количества данных или в случае «простоя» туннеля.

Получаемые из VPN-туннеля пакеты контролируются на целостность, расшифровываются и передаются соответствующим подсистемам «ФПСУ-IP» для проведения фильтрации по задаваемой администратором совокупности критериев, в качестве которых могут выступать:

•IP-адреса получателей или идентификационные номера «ФПСУ-IP/Клиентов»;

•номера IP-протоколов;

•порты TCP/UDP;

•время доступа;

•режим соединений (непосредственные или через другие «ФПСУ-IP»).

Далее отфильтрованные запросы «ФПСУ-IP/Клиентов» обрабатываются в зависимости от режима работы, установленного администратором «ФПСУ-IP» для абонентов-получателей, и передаются по назначению. Если получатель находится в защищаемой «ФПСУ-IP» области и может работать с «ФПСУ-IP» напрямую, данные отправляются ему в открытом виде. Если получателем запроса является другой «ФПСУ-IP/Клиент» (который на текущий момент времени должен установить VPN-туннель с данным «ФПСУ-IP»), данные вновь шифруются с применением сеансовых ключей доступа получателя. Если же получателю разрешено получать пакеты от данного «ФПСУ-IP» только в защищённом режиме, пакеты (как открытые, так и шифрованные) отправляются в VPN-туннель с соответствующим «ФПСУ-IP».

В соответствии с логической структурой пользователей комплексов «ФПСУ-IP/Клиент», каждый «ФПСУ-IP/Клиент» входит в нумерованную логическую группу, а группы объединяются в Криптосети Клиентов, принадлежащие, как правило, отдельным организациям. Каждому «ФПСУ-IP/Клиенту» ставится в соответствие совокупность уникальных системных номеров (номер Криптосети, номер группы и номер пользователя «ФПСУ-IP/Клиента» в группе), используемых подсистемой поддержки с целью идентификации «ФПСУ-IP/Клиентов».

Аутентификация «ФПСУ-IP/Клиентов» производится с использованием общесистемного ключа Криптосети Клиентов, созданного при помощи программы «Центр генерации ключей ФПСУ-IP/Клиентов» (ЦГКК) и установленного на внутренний накопитель «ФПСУ-IP». ЦГКК вырабатывает один общий для Криптосети Клиентов ключ, который может храниться в распределенном виде на нескольких (до восьми) электронных носителях Touch Memory. Ключ может быть воссоздан и установлен на «ФПСУ‑IP» только в том случае, если будут предъявлены все ТМ-носители.

В процедурах идентификации и аутентификации не участвует IP-адрес рабочей станции «ФПСУ-IP/Клиента», что обеспечивает пользователям «ФПСУ-IP/Клиента» возможность мобильной работы через «ФПСУ-IP» с любого компьютера или мобильного устройства, оборудованного комплексом «ФПСУ-IP/Клиент» (при условии, что такие миграции пользователей не противоречат политике безопасности организации и разрешены администратором «ФПСУ-IP»).

При передаче запросов «ФПСУ-IP/Клиентов» через какой-либо из портов «ФПСУ-IP», последний может производить трансляцию сетевого адреса (Network Address Translation - NAT) устройства «ФПСУ-IP/Клиента» в IP адрес, не совпадающий ни с одним из доступных «ФПСУ-IP» адресов. Однако использование NAT-трансляции ограничено: её нельзя применять при описании сетевых серверов, на которых установлены комплексы «ФПСУ-IP/Клиент».

«ФПСУ-IP» может дать указание компьютеру «ФПСУ-IP/Клиента» во время существования VPN‑туннеля блокировать сторонние исходящие и входящие Интернет-соединения, во избежание динамического перехвата незащищённой информации и/или использования компьютера «ФПСУ-IP/Клиента» в качестве маршрутизатора.

Чтобы предоставить пользователю «ФПСУ-IP/Клиент» доступ через «ФПСУ-IP» и обеспечить его аутентификацию, администратор «ФПСУ-IP» должен:

•установить на «ФПСУ-IP» общесистемный ключ его Криптосети Клиентов;

•указать системные идентификаторы пользователя (номер Криптосети, номер группы и номер пользователя в группе);

•выдать разрешение на работу пользователю «ФПСУ-IP/Клиента» с указанными выше системными идентификаторами;

•определить общие правила соединения «ФПСУ-IP» с данным «ФПСУ-IP/Клиентом» со стороны каждого из портов.

Далее, с целью обеспечения требований установленной в организации политики безопасности, варьируются другие конфигурационные параметры: применение NAT-трансляции, режим соединений и режим принудительной фильтрации «ФПСУ-IP/Клиентом» сторонних по отношению к VPN‑туннелю с «ФПСУ-IP» IP-пакетов.

И, для более точной настройки, указанному пользователю «ФПСУ-IP/Клиента» могут быть назначены правила межсетевого экрана для ограничения доступа через данный «ФПСУ-IP»: определяются доступные пользователю рабочие станции и другие «ФПСУ-IP/Клиенты», допустимое время работы, разрешённые номера IP-протоколов и т.д. Все эти операции доступны администраторам «ФПСУ-IP», имеющим право на конфигурирование «ФПСУ-IP» (локальным и удалённым).

Подсистема поддержки «ФПСУ-IP/Клиентов» является опциональной, то есть может как входить, так и не входить в состав ПО «ФПСУ-IP», а также может быть поставлена отдельно и установлена на уже функционирующий «ФПСУ-IP» в качестве дополнительного программного обеспечения.