Хотелось бы отдельной заметкой отметить знаковое событие на российском рынке ИБ – сертификацию в системе ФСБ России первого западного продукта StonegateSSLVPNпроизводства компании Stonesoftкак СКЗИ класса КС1 и КС2. Кроме того это единственное сертифицированное ФСБ решение SSLVPN.
Компания Stonesoftпроделала большую работу (сертификация длилась порядка 2-х лет и в рамках которых ФСБ Р дорабатывала свои требования). За этой им большое спасибо. Теперь по проторенной дороге могут пойти и другие лидирующие мировые вендоры.
Посмотрим подробнее возможности и ограничения.
Основные заявленные возможности системы:
1. большой выбор методов аутентификации, включая аутентификацию пользователей как по сертификатам (в том числе сертификатам по ГОСТ) и по предварительно распределенным паролям (секретам);
2. поддержка одновременной возможности шифрования трафика как по ГОСТ так по западным крипто алгоритмам;
3. возможность подключения при наличие у пользователя возможности соединения хотя бы на один из портов 80/TCP или 443/TCP;
4. функционирование системы через HTTP Proxy, через NAT и при других ограничениях при которых затруднена работа классического IPSec;
5. отсутствие необходимости для работы постоянно установленного VPNклиента, достаточность для работы только браузера;
6. поддержка большого количества операционных систем в том числе большинства мобильных (MAC OS X, Linux, Pocket PC, BlackBerry RIM, Palm, Sony Ericsson, iPhone/iPad, Android, MS Windows XP, Vista, 7, 2003, 2008)
7. единый webпортал доступа пользователя к ресурсам КИС;
8. контроль состояния защищенности системы пользователя;
9. автоматическое очистки следов соединения при его завершении (временных файлов, кэша, скаченных документов и др.)
10. поддержка одновременного подключения до 10000 клиентов
11. единая консоль управления всеми средствами сетевой безопасности StonegateSSLVPN
12. во ФСТЭК и ФСБ сертифицированы как SSLVPNGate, так и клиенты SSLVPN (а сертификаты нехилые = МЭ 3-го класса, отсутствие НДВ по 4-ому уровню контроля, разрешено для К1 и 1Г и СКЗИ до КС2).
Если обобщить, то преимуществом технологии SSLVPNперед технологией IPSecVPNявляется мобильность.
На форуме bankir.ru развернулась дискуссия об ограничениях и целесообразности применения сертифицированного SSLVPN
Поэтому для объективности хочу отметить ограничения, которые надо учитывать при использовании возможностей (сертифицированной) системы StonegateSSLVPN:
I. Не стоит думать что через webпортал вы сможете работать абсолютно с любым приложением в КИС (например, вы подумали как было бы удобно заходить в 1С с телефона через браузер?).
Система предусматривает 2 варианта доступа к ресурсам КИС:
· Через пользовательский web портал;
· Через тунелирование трафика.
Через пользовательский web портал можно получить доступ к внутренним web приложениям:
· Microsoft Outlook Web Access;
· Microsoft Outlook Client (через web интерфейс);
· Domino Web Access;
· Microsoft Sharepoint Portal Server;
· Любое другое web приложение в корпоративной сети.
Если вы хотите получить доступ к приложениям, не имеющим webинтерфейса, вам придется иметь на клиентской машине установленное приложение (например, клиент 1C) и клиент StoneGate SSL VPN Access Client. При этом на webпортале будет приводится ссылка на приложение работающее через SSLтуннель.
Через туннелированние трафика можно обеспечить к:
· Почтовому серверу по протоколам IMAP, POP3, SMTP;
· Терминальному серверу Microsoft Terminal Server по RDP;
· Файловому серверу Microsoft Windows File Share (по стандартным протоколам Windows);
· сетевой папке пользователя Home Directory;
· Терминальному серверу Citrix MetaFrame Presentation;
· Любое другое приложение для которого известны порты TCP/UDP, по которым осуществляется взаимодействие с сервером.
Как видно в случае необходимости туннелирования трафика, мобильность существенно уменьшается. Во-первых на техническом средстве, за которым работает пользователь, должно быть установлено корпоративное приложение. Во-вторых, хотя комплект StoneGate SSL VPN Access Client может загружаться автоматически с webпортала, но для первоначальной установки он требует прав администратора в системе. (То есть интернет кафе, гостевые компьютеры в партнерской организации отпадают).
II. В случае использования туннелируемого доступа через SSLограничивается количество поддерживаемых ОС до MacOS, Linux, Windows (отпадают мобильные устройства Android, iPhone/iPad). Полный перечень поддерживаемыхустройств и браузеров.
III. В случае использования сертифицированной версии StonegateSSLVPNограничивается количество поддерживаемых ОС до Linux, Windows. Цитирую Формуляр 89625543.4012-003 30 02:
“4.4. StoneGate SSL VPN Access Client предназначено для функционирования в программной среде Windows 2000, WindowsXP, Windows 2003 Server, WindowsVista (32, 64 bit), Windows7 (32, 64 bit), Linux (32, 64 bit)”.
III. В случае использования сертифицированной версии StonegateSSLVPNв дополнение к браузеру и ПО StoneGate SSL VPN Access Client необходима установка на систему пользователя дополнительных средств.
В варианте КС1 на систему пользователя необходимо установить криптобиблиотеку "КриптоПро CSP" 3.6. исполнение 1 или криптобиблиотеку "Валидата CSP" 4.0 исполнение 1.
В варианте КС2 на системе пользователя кроме криптобиблиотек необходимо использовать ещё и специальный загрузочный носитель - СЗН "МАРШ!-USB" (только для Linux) или ПАК защиты от НСД "Аккорд" или ПАК защиты от НСД "Соболь".
В варианте КС2 на сервере SSLVPNGateесть вариант не использовать НСД "Аккорд" или ПАК защиты от НСД "Соболь" если применяются определенные организационно-технические меры.
IV. В случае использования сертифицированной версии StonegateSSLVPNограничивается количество поддерживаемых ОС до Linux, Windowsза счет ограничения криптобиблиотеки. Перечень ОС, поддерживаемых Криптопро CSP (отсутствуют iPhone, Android, MacOS). "Валидата CSP" поддерживает только Windows .
V. В случае необходимости использования автоматической очистки следов соединения выполняется загрузка и запуск мобильного Abolishment Client, который поддерживает ОС MacOS, Linux, Windows.
VI. В случае необходимости использования контроль состояния защищенности системы пользователя выполняется загрузка и запуск мобильного Assessment Client, который поддерживает ОС MacOS, Windows.
VII. По сути StonegateSSLVPNимеет независимую систему управления встроенную в сам SSLVPNGateв качестве webсервера управления (может работать без SMC). В централизованную систему управления StonegateManagementCenterинтегрируется только возможность мониторинга и сбора событий с SSLVPN (для сравнения FW/VPNи IPSполностью управляются через SMCи не могут без неё работать).
Исходя из всего приведенного выше считаю оптимальным следующие применение для StonegateSSLVPN:
· Для доступа к информации не отнесенной законодательством к информации ограниченного доступа через webприложения (для доступа к приложениям содержащим служебную информацию, коммерческую тайну, статистическую информацию, обезличенные или общедоступные ПДн) использовать StonegateSSLVPNс западными алгоритмами шифрования. В данном варианте можем использовать любые мобильные устройства.
· Для доступа к информации ограниченного доступа (ИСПДн) через любые приложения использовать StonegateSSLVPNс алгоритмами шифрования ГОСТ. В данном варианте можем использовать корпоративные ноутбуки или рабочие станции под управлением ОС Windowsи Linux.
· При необходимости использования усиленной аутентификации, можем использовать обойденный вниманием свежий продукт StonegateAuthenticationServer (Radiusсервер) который позволяет на мобильных устройствах например использовать MobileID, а на ноутбуках и рабочих станциях например использовать сертификаты по ГОСТ.
Таким образом и руководители со своих планшетов могут получить доступ к управленческой информации, а специалисты в командировках или из дома могут полноценно работать с любыми приложениями.
Надеюсь данная статья будет чем-то вам полезна. Кто-то планировал тестировать систему мобильного доступа и теперь отпала необходимость? У кого-то наоборот появилось желание протестировать?
В любом случае жду отзывы и дополнительные вопросы.