Общие сведения о ФПСУ-IP/Клиенте

 Next

В настоящем руководстве описывается работа программного и программно-аппаратного ФПСУ-IP/Клиента версии 7.0.38 beta для рабочих станций под управлением ОС Linux. ВНИМАНИЕ! Программное обеспечение находится в статусе Beta.

ФПСУ-IP/Клиент является средством защиты информационных обменов отдельных рабочих станций от несанкционированного доступа. ФПСУ-IP/Клиент предназначен для построения защищенных каналов связи между рабочей станцией и ФПСУ-IP, кроме того, ФПСУ-IP/Клиент может выполнять функции локального межсетевого экрана, принимая и передавая сетевые пакеты в соответствии с задаваемыми правилами фильтрации.

Механизм защиты канала связи заключается в том, что поверх существующей общедоступной или частной сети передачи данных создается VPN-туннель между ФПСУ-IP/Клиентом и ФПСУ-IP, по которому IP-пакеты передаются в зашифрованном виде (шифрование передаваемой информации выполняется в соответствии с ГОСТ 28147-89), что обеспечивает целостность и конфиденциальность передаваемой информации. ФПСУ-IP/Клиентом поддерживается алгоритм МАГМА ГОСТ Р 34.12-2015 для шифрования трафика при установленном соединении с ФПСУ-IP, если ФПСУ-IP поддерживает этот алгоритм.

В VPN-туннеле производятся обязательные взаимные процедуры идентификации и аутентификации ФПСУ-IP/Клиента и ФПСУ-IP, как при установлении защищенного соединения, так и в процессе передачи данных через VPN-туннель.

Для построения VPN-туннеля используется UDP-протокол. ФПСУ-IP принимает соединения Клиентов на 87 порт UDP. ФПСУ-IP/Клиент при соединении с ФПСУ-IP выбирает порт источника динамически, выше 1024.

Аутентификация взаимодействующих ФПСУ-IP/Клиента и ФПСУ-IP, а так же шифрование передаваемой в VPN-туннеле информации производятся с использованием ключей клиентов Криптосети, вырабатываемых при помощи программы ЦГКК. ЦГКК вырабатывает общесистемный ключ Криптосети клиентов, который может храниться в распределенном виде на нескольких носителях. На основе общесистемного ключа ЦГКК вырабатывает индивидуальные ключи клиентов, записываемые на ключевые носители и передаваемые на рабочие места клиентов.

ФПСУ-IP/Клиент после установки может быть использован как программно-аппаратный, так и как программный Клиент.

На ПЗУ или в устройстве VPN-Key хранятся VPN-профили, содержащие информацию о IP-адресе ФПСУ-IP, с которым ФПСУ-IP/Клиент устанавливает VPN-туннель, IP-адресах находящихся за ФПСУ-IP рабочих станций, к которым пользователь ФПСУ-IP/Клиента сможет получить защищенный доступ; уникальных системных номерах и имени, закрепленных за данным пользователем ФПСУ-IP/Клиента администратором ЦГКК.

При попытке установить соединение с ФПСУ-IP, у пользователя запрашивается PIN-код. Опционально, администратором ФПСУ-IP может быть подключена дополнительная авторизация у Raduis-сервера по логину и паролю.

При использовании устройства VPN-Key, вся необходимая для организации и защиты межсетевых соединений информация хранится в этом устройстве, и пользователь может соединяться с ФПСУ-IP с любого компьютера сети, на который установлено программное обеспечение ФПСУ‑IP/Клиента. К одному компьютеру с установленным ПО ФПСУ-IP/Клиент может быть подключено до восьми устройств VPN-Key. В процессе работы пользователь имеет возможность переключаться на тот или иной VPN-Key.

ФПСУ-IP/Клиент, по указанию пользователя, может производить сжатие передаваемой через VPN-туннель информации, что может быть эффективно для низкоскоростных соединений.

Для защиты от несанкционированного доступа со стороны сети Интернет и блокирования нежелательных сетевых пакетов, ФПСУ-IP/Клиент при соединении с ФПСУ-IP может производить фильтрацию сторонних по отношению к VPN-туннелю пакетов данных. Часть фильтров на прием и/или передачу устанавливает администратор ФПСУ-IP при регистрации ФПСУ-IP/Клиента, администратор ФПСУ-IP/Клиента может установить дополнительные ограничения.

Фильтрация исходящих и входящих пакетов данных по задаваемым пользователем условиям может производиться ФПСУ-IP/Клиентом и в периоды отсутствия связи с ФПСУ‑IP.

Во время существования VPN-туннеля с ФПСУ-IP, ФПСУ-IP/Клиент осуществляет автоматический сбор регистрационной информации о приеме и передаче пакетов на всех сетевых интерфейсах рабочей станции пользователя.

Общая схема применения ФПСУ-IP/Клиента совместно с ФПСУ-IP для организации защищенного доступа рабочих станций в защищаемую сеть приведена на рисунке ниже: