СОИБ. Проектирование. Сертифицированный защищенный мобильный доступ к КИС

СОИБ. Проектирование. Сертифицированный защищенный мобильный доступ к КИС

Хотелось бы отдельной заметкой отметить знаковое событие на российском рынке ИБ – сертификацию в системе ФСБ России первого западного продукта StonegateSSLVPNпроизводства компании Stonesoftкак СКЗИ класса КС1 и КС2. Кроме того это единственное сертифицированное ФСБ решение SSLVPN.

Компания Stonesoftпроделала большую работу (сертификация длилась порядка 2-х лет и в рамках которых ФСБ Р дорабатывала свои требования). За этой им большое спасибо. Теперь по проторенной дороге могут пойти и другие лидирующие мировые вендоры.

Посмотрим подробнее возможности и ограничения.
Основные заявленные возможности системы:
1.       большой выбор методов аутентификации, включая аутентификацию пользователей как по сертификатам (в том числе сертификатам по ГОСТ) и по предварительно распределенным паролям (секретам);
2.       поддержка одновременной возможности шифрования трафика как по ГОСТ так по западным крипто алгоритмам;
3.       возможность подключения при наличие у пользователя возможности соединения хотя бы на один из портов  80/TCP или 443/TCP;
4.       функционирование системы через HTTP Proxy, через NAT и при других ограничениях при которых затруднена работа классического IPSec;
5.       отсутствие необходимости для работы постоянно установленного VPNклиента, достаточность для работы только браузера;
6.       поддержка большого количества операционных систем в том числе большинства мобильных (MAC OS X, Linux, Pocket PC, BlackBerry RIM, Palm, Sony Ericsson, iPhone/iPad, Android, MS Windows XP, Vista, 7, 2003, 2008)
7.       единый webпортал доступа пользователя к ресурсам КИС;
8.       контроль состояния защищенности системы пользователя;
9.       автоматическое очистки следов соединения при его завершении (временных файлов, кэша, скаченных документов и др.)
10.   поддержка одновременного подключения до 10000 клиентов
11.   единая консоль управления всеми средствами сетевой безопасности StonegateSSLVPN
12.   во ФСТЭК и ФСБ сертифицированы как SSLVPNGate, так и клиенты SSLVPN  (а сертификаты нехилые = МЭ 3-го класса, отсутствие НДВ по 4-ому уровню контроля, разрешено для К1 и 1Г и  СКЗИ до КС2).
Если обобщить, то преимуществом технологии SSLVPNперед технологией IPSecVPNявляется мобильность.

На форуме bankir.ru развернулась дискуссия об ограничениях и целесообразности применения сертифицированного SSLVPN


Поэтому для объективности хочу отметить ограничения, которые надо учитывать при использовании возможностей (сертифицированной) системы StonegateSSLVPN:
I. Не стоит думать что через webпортал вы сможете работать абсолютно с любым приложением в КИС (например, вы подумали как было бы удобно заходить в 1С с телефона через браузер?).
Система предусматривает 2 варианта доступа к ресурсам КИС:
·         Через пользовательский web портал;
·         Через тунелирование трафика.
Через пользовательский web портал можно получить доступ к внутренним web приложениям:
·         Microsoft Outlook Web Access;
·         Microsoft Outlook Client (через web интерфейс);
·         Domino Web Access;
·         Microsoft Sharepoint Portal Server;
·         Любое другое web приложение в корпоративной сети.
Если вы хотите получить доступ к приложениям, не имеющим webинтерфейса, вам придется иметь на клиентской машине установленное приложение (например, клиент 1C) и клиент StoneGate SSL VPN Access Client. При этом на webпортале будет приводится ссылка на приложение работающее через SSLтуннель.
Через туннелированние трафика можно обеспечить к:
·         Почтовому серверу по протоколам IMAP, POP3, SMTP;
·         Терминальному серверу Microsoft Terminal Server по RDP;
·         Файловому серверу Microsoft Windows File Share (по стандартным протоколам Windows);
·         сетевой папке пользователя Home Directory;
·         Терминальному серверу Citrix MetaFrame Presentation;
·         Любое другое приложение для которого известны порты TCP/UDP, по которым осуществляется взаимодействие с сервером.


Как видно в случае необходимости туннелирования трафика, мобильность существенно уменьшается. Во-первых на техническом средстве, за которым работает пользователь,  должно быть установлено корпоративное приложение. Во-вторых, хотя комплект StoneGate SSL VPN Access Client может загружаться автоматически с webпортала, но для первоначальной установки он требует прав администратора в системе. (То есть интернет кафе, гостевые компьютеры в партнерской организации отпадают).

II. В случае использования туннелируемого доступа через SSLограничивается количество поддерживаемых ОС до MacOS, Linux, Windows (отпадают мобильные устройства Android, iPhone/iPad). Полный перечень поддерживаемыхустройств и браузеров.

III. В случае использования сертифицированной версии StonegateSSLVPNограничивается количество поддерживаемых ОС до Linux, Windows. Цитирую Формуляр 89625543.4012-003 30 02:
“4.4. StoneGate SSL VPN Access Client предназначено для функционирования в программной среде Windows 2000, WindowsXP, Windows 2003 Server, WindowsVista (32, 64 bit), Windows7 (32, 64 bit), Linux (32, 64 bit)”.

III. В случае использования сертифицированной версии StonegateSSLVPNв дополнение к браузеру и ПО StoneGate SSL VPN Access Client необходима установка на систему пользователя дополнительных средств.
В варианте КС1 на систему пользователя необходимо установить криптобиблиотеку "КриптоПро CSP" 3.6. исполнение 1 или криптобиблиотеку "Валидата CSP" 4.0 исполнение 1.
В варианте КС2 на системе пользователя кроме криптобиблиотек необходимо использовать ещё и специальный загрузочный носитель - СЗН "МАРШ!-USB" (только для Linux) или ПАК защиты от НСД "Аккорд" или ПАК защиты от НСД "Соболь".
В варианте КС2 на сервере SSLVPNGateесть вариант не использовать НСД "Аккорд" или ПАК защиты от НСД "Соболь" если применяются определенные организационно-технические меры.

IV. В случае использования сертифицированной версии StonegateSSLVPNограничивается количество поддерживаемых ОС до Linux, Windowsза счет ограничения криптобиблиотеки. Перечень ОС, поддерживаемых Криптопро CSP (отсутствуют iPhone, Android, MacOS). "Валидата CSP" поддерживает только Windows .

V. В случае необходимости использования автоматической очистки следов соединения выполняется загрузка и запуск мобильного Abolishment Client, который поддерживает ОС MacOS, Linux, Windows.

VI. В случае необходимости использования контроль состояния защищенности системы пользователя выполняется загрузка и запуск мобильного Assessment Client, который поддерживает ОС MacOS, Windows.

VII. По сути StonegateSSLVPNимеет независимую систему управления встроенную в сам SSLVPNGateв качестве webсервера управления (может работать без SMC). В централизованную систему управления StonegateManagementCenterинтегрируется только возможность мониторинга и сбора событий с SSLVPN (для сравнения FW/VPNи IPSполностью управляются через SMCи не могут без неё работать).

Исходя из всего приведенного выше считаю оптимальным следующие применение для StonegateSSLVPN:
·         Для доступа к информации не отнесенной законодательством к информации ограниченного доступа через webприложения (для доступа к приложениям содержащим служебную информацию, коммерческую тайну, статистическую информацию, обезличенные или общедоступные ПДн) использовать StonegateSSLVPNс западными алгоритмами шифрования. В данном варианте можем использовать любые мобильные устройства.
·         Для доступа к информации ограниченного доступа (ИСПДн) через любые приложения использовать StonegateSSLVPNс алгоритмами шифрования ГОСТ. В данном варианте можем использовать корпоративные ноутбуки или рабочие станции под управлением ОС Windowsи Linux.
·         При необходимости использования усиленной аутентификации, можем использовать обойденный вниманием свежий продукт StonegateAuthenticationServer (Radiusсервер) который позволяет на мобильных устройствах например использовать MobileID, а на ноутбуках и рабочих станциях например  использовать сертификаты по ГОСТ.
Таким образом и руководители со своих планшетов могут получить доступ к  управленческой информации, а специалисты в командировках или из дома могут полноценно работать с любыми приложениями.

Надеюсь данная статья будет чем-то вам полезна. Кто-то планировал тестировать систему мобильного доступа и теперь отпала необходимость? У кого-то наоборот появилось желание протестировать?
В любом случае жду отзывы и дополнительные вопросы.
защита информации СОИБ сертификация ФСБ
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале