Общие принципы функционирования «ФПСУ»
Previous 

Программные комплексы АМИКОННЕКТ

Next

Клиенты АМИКОННЕКТ (предыдущее название «ФПСУ Клиент PKI») предназначены для защиты доступа отдельной рабочей станции к ресурсам сети передачи данных, защищенным «ФПСУ». Доступ организуется с использованием инфраструктуры открытых ключей (Public Key Infrastructure, PKI).

Между «ФПСУ» и клиентом АМИКОННЕКТ организуется защищенное VPN-соединение, через которое могут передаваться данные L3-L7 уровня OSI.

Взаимная двухсторонняя аутентификация клиента АМИКОННЕКТ и «ФПСУ» производится с использованием сертификата открытого ключа пользователя и собственного сертификата «ФПСУ». Пользователь программы АМИКОННЕКТ идентифицируется реквизитами своего личного сертификата. На «ФПСУ» реализованы PKI алгоритмы RSA и ГОСТ.

АМИКОННЕКТ поддерживает операционные системы Windows, Linux и macOS.

VPN-протокол соединения между «ФПСУ» и АМИКОННЕКТ не чувствителен к задержкам и плохим каналам связи и способен функционировать на каналах связи с задержками до 300 мс. АМИКОННЕКТ поддерживает работу на каналах связи с задержками более 300 мс.

Организация VPN-соединения между клиентом АМИКОННЕКТ и «ФПСУ» для доступа к информационными ресурсами реализована с применением технологий, облегчающих конфигурирование и управление сетевыми настройками клиентов, на «ФПСУ» устанавливаются минимальные настройки АМИКОННЕКТ. Дополнительное (после первоначально аутентификации на «ФПСУ») решение по доступу рабочей станции с установленным клиентом АМИКОННЕКТ к защищаемой сети может быть принято с помощью внешних по отношению к «ФПСУ» сервисами RADIUS, DHCP, OCSP, Сompliance (реализована интеграция с Комплексом информационной безопасности САКУРА разработки компании «ИТ-Экспертиза»).

Для организации защищенного удаленного доступа с помощью АМИКОННЕКТ необходимы:

«ФПСУ» с поддержкой PKI;

VPN-клиент АМИКОННЕКТ для различных пользовательских операционных систем;

PKI-инфраструктура.

 

Опционально может быть добавлена дополнительная инфраструктура для аутентификации пользователей и их рабочих станций.

Данное решение может быть внедрено как в действующую систему с инфраструктурой PKI так и при развертывании новой.

Схема взаимодействия клиента АМИКОННЕКТ и «ФПСУ» определяет, что пользователь АМИКОННЕКТ получает от удостоверяющего центра сертификации (далее - УЦ) закрытый ключ и сертификат открытого ключа и устанавливает закрытый ключ и сертификат на рабочую станцию с установленным клиентом АМИКОННЕКТ. На «ФПСУ» администратором должны быть загружены ключевая пара - закрытый ключ и собственный сертификат самого «ФПСУ», а также сертификаты Удостоверяющих центров, выдавших клиентские сертификаты пользователям АМИКОННЕКТ. При подключении клиента АМИКОННЕКТ к защищенной сети «ФПСУ» проверяет сертификат, предъявляемый клиентом АМИКОННЕКТ, и (опционально) отправляет на сервер OCSP запрос о статусе сертификата. Ответчик OCSP возвращает ответ со статусом сертификата. Если статус сертификата действующий, пользователь клиента АМИКОННЕКТ авторизуется в защищаемой сети.

АМИКОННЕКТ для Windows и macOS используют штатные хранилище операционной системы при взаимодействии с локальными сертификатами. АМИКОННЕКТ для Linux использует для хранения сертификатов кросс-платформенное решение Network Security Services (NSS).

Во время подключения клиента АМИКОННЕКТ к «ФПСУ» может быть включена дополнительная проверка устройства. Идентификация устройства пользователя реализуется совместно с Compliance-модулем (Комплексом информационной безопасности САКУРА)  по MAC-адресу сетевого адаптера, через который осуществляется подключение АМИКОННЕКТ к «ФПСУ».

В зависимости от настроек NAT АМИКОННЕКТ регистритуется в защищаемой сети с реальным IP-адресом или IP-адресом, полученным от настроенного DHCP-сервера.