Общие сведения о ФПСУ-IP/Клиенте

 Next

В настоящем руководстве описывается работа программного и программно-аппаратного ФПСУ-IP/Клиента версии 7.1 для рабочих станций под управлением ОС Windows.

ФПСУ-IP/Клиент является средством защиты информационных обменов отдельных рабочих станций от несанкционированного доступа. ФПСУ-IP/Клиент предназначен для построения защищенных каналов связи между рабочей станцией и ФПСУ-IP, кроме того, ФПСУ-IP/Клиент может выполнять функции локального межсетевого экрана, принимая и передавая сетевые пакеты в соответствии с задаваемыми правилами фильтрации.

Общая схема применения ФПСУ-IP/Клиента совместно с ФПСУ-IP для организации защищенного доступа рабочих станций в защищаемую сеть приведена на рисунке ниже:

Механизм защиты канала связи заключается в том, что поверх существующей общедоступной или частной сети передачи данных создается VPN-туннель между ФПСУ-IP/Клиентом и ФПСУ-IP, по которому IP-пакеты передаются в зашифрованном виде (шифрование передаваемой информации выполняется в соответствии с ГОСТ 28147-89 или ГОСТ Р 34.12-2015 (режим Магма), с учетом Р 1323565.1.026–2019), что обеспечивает целостность и конфиденциальность передаваемой информации.

В VPN-туннеле производятся обязательные взаимные процедуры идентификации и аутентификации ФПСУ-IP/Клиента и ФПСУ-IP при установлении защищенного соединения.

Для построения VPN-туннеля используется UDP-протокол. ФПСУ-IP принимает соединения Клиентов на 87 порт UDP. ФПСУ-IP/Клиент при соединении с ФПСУ-IP выбирает порт источника динамически, выше 1024.

Аутентификация взаимодействующих ФПСУ-IP/Клиента и ФПСУ-IP, а также шифрование передаваемой в VPN-туннеле информации производятся с использованием ключей клиентов Криптосети, вырабатываемых при помощи программы ЦГКК. ЦГКК вырабатывает общесистемный ключ Криптосети клиентов, который может храниться в распределенном виде на нескольких носителях. На основе общесистемного ключа ЦГКК вырабатывает индивидуальные ключи клиентов, записываемые на ключевые носители и передаваемые на рабочие места пользователей ФПСУ-IP/Клиента.

ФПСУ-IP/Клиент после установки может быть использован как программно-аппаратный, так и как программный Клиент.

На ПЗУ или в VPN-Key хранятся VPN-профили, содержащие информацию об IP-адресе ФПСУ-IP, с которым ФПСУ-IP/Клиент устанавливает VPN-туннель, IP-адресах находящихся за ФПСУ-IP рабочих станций, к которым пользователь ФПСУ-IP/Клиента сможет получить защищенный доступ; уникальных системных номерах и имени, закрепленных за данным пользователем ФПСУ-IP/Клиента администратором ЦГКК.

При попытке установить соединение с ФПСУ-IP, у пользователя запрашивается PIN-код (в версиях ФПСУ-IP/Клиента, предназначенных для АТМ есть возможность сохранить однажды введенный PIN-код и не запрашивать повторно до отключения VPN-Key или смены профиля). Опционально, администратором ФПСУ-IP может быть подключена дополнительная авторизация с использованием Raduis-сервера по логину и паролю.

При попытке установить соединение с ФПСУ-IP, у пользователя запрашивается PIN-код (для АТМ исполнений ФПСУ-IP/Клиента есть возможность сохранить однажды введенный PIN-код и не запрашивать повторно до отключения VPN-Key). Опционально, администратором ФПСУ-IP может быть подключена дополнительная авторизация у Raduis-сервера по логину и паролю.

При использовании VPN-Key, вся необходимая для организации и защиты межсетевых соединений информация хранится в этом устройстве, и пользователь может соединяться с ФПСУ-IP с любого компьютера сети, на который установлено программное обеспечение ФПСУ‑IP/Клиента. К одному компьютеру с установленным ПО ФПСУ-IP/Клиент может быть подключено до восьми VPN-Key. В процессе работы пользователь имеет возможность переключаться на тот или иной VPN-Key.

Для защиты от несанкционированного доступа со стороны сети Интернет и блокирования нежелательных сетевых пакетов, ФПСУ-IP/Клиент при соединении с ФПСУ-IP может производить фильтрацию сторонних по отношению к VPN-туннелю пакетов данных. Часть фильтров на прием и/или передачу устанавливает администратор ФПСУ-IP при регистрации ФПСУ-IP/Клиента, пользователь ФПСУ-IP/Клиента может установить дополнительные ограничения.

Фильтрация исходящих и входящих пакетов данных по задаваемым пользователем условиям может производиться ФПСУ-IP/Клиентом и в периоды отсутствия связи с ФПСУ‑IP.

Во время существования VPN-туннеля с ФПСУ-IP, ФПСУ-IP/Клиент осуществляет автоматический сбор регистрационной информации о приеме и передаче пакетов на всех сетевых интерфейсах рабочей станции пользователя.