суббота, 12 мая 2012 г.

СОИБ. Проектирование. Сертифицированный защищенный мобильный доступ к КИС


Хотелось бы отдельной заметкой отметить знаковое событие на российском рынке ИБ – сертификацию в системе ФСБ России первого западного продукта Stonegate SSL VPN производства компании Stonesoft как СКЗИ класса КС1 и КС2. Кроме того это единственное сертифицированное ФСБ решение SSL VPN.

Компания Stonesoft проделала большую работу (сертификация длилась порядка 2-х лет и в рамках которых ФСБ Р дорабатывала свои требования). За этой им большое спасибо. Теперь по проторенной дороге могут пойти и другие лидирующие мировые вендоры.

Посмотрим подробнее возможности и ограничения.
Основные заявленные возможности системы:
1.       большой выбор методов аутентификации, включая аутентификацию пользователей как по сертификатам (в том числе сертификатам по ГОСТ) и по предварительно распределенным паролям (секретам);
2.       поддержка одновременной возможности шифрования трафика как по ГОСТ так по западным крипто алгоритмам;
3.       возможность подключения при наличие у пользователя возможности соединения хотя бы на один из портов  80/TCP или 443/TCP;
4.       функционирование системы через HTTP Proxy, через NAT и при других ограничениях при которых затруднена работа классического IPSec;
5.       отсутствие необходимости для работы постоянно установленного VPN клиента, достаточность для работы только браузера;
6.       поддержка большого количества операционных систем в том числе большинства мобильных (MAC OS X, Linux, Pocket PC, BlackBerry RIM, Palm, Sony Ericsson, iPhone/iPad, Android, MS Windows XP, Vista, 7, 2003, 2008)
7.       единый web портал доступа пользователя к ресурсам КИС;
8.       контроль состояния защищенности системы пользователя;
9.       автоматическое очистки следов соединения при его завершении (временных файлов, кэша, скаченных документов и др.)
10.   поддержка одновременного подключения до 10000 клиентов
11.   единая консоль управления всеми средствами сетевой безопасности Stonegate SSL VPN
12.   во ФСТЭК и ФСБ сертифицированы как SSL VPN Gate, так и клиенты SSL VPN  (а сертификаты нехилые = МЭ 3-го класса, отсутствие НДВ по 4-ому уровню контроля, разрешено для К1 и 1Г и  СКЗИ до КС2).
Если обобщить, то преимуществом технологии SSL VPN перед технологией IPSec VPN является мобильность, возможность подключатся из любой точки и с любого устройства.

На форуме bankir.ru развернулась дискуссия об ограничениях и целесообразности применения сертифицированного SSL VPN

Поэтому для объективности хочу отметить ограничения, которые надо учитывать при использовании возможностей (сертифицированной) системы Stonegate SSL VPN, которые были определены в рамках тестирования и внедрения системы ОАО "Микротест":

I. Не стоит думать что через web портал вы сможете работать абсолютно с любым приложением в КИС (например, вы подумали как было бы удобно заходить в 1С с телефона через браузер?).
Система предусматривает 2 варианта доступа к ресурсам КИС:
·         Через пользовательский web портал;
·         Через тунелирование трафика.
Через пользовательский web портал можно получить доступ к внутренним web приложениям:
·         Microsoft Outlook Web Access;
·         Microsoft Outlook Client (через web интерфейс);
·         Domino Web Access;
·         Microsoft Sharepoint Portal Server;
·         Любое другое web приложение в корпоративной сети.
Если вы хотите получить доступ к приложениям, не имеющим web интерфейса, вам придется иметь на клиентской машине установленное приложение (например, клиент 1C) и клиент StoneGate SSL VPN Access Client. При этом на web портале будет приводится ссылка на приложение работающее через SSL туннель.
Через туннелированние трафика можно обеспечить к:
·         Почтовому серверу по протоколам IMAP, POP3, SMTP;
·         Терминальному серверу Microsoft Terminal Server по RDP;
·         Файловому серверу Microsoft Windows File Share (по стандартным протоколам Windows);
·         сетевой папке пользователя Home Directory;
·         Терминальному серверу Citrix MetaFrame Presentation;
·         Любое другое приложение для которого известны порты TCP/UDP, по которым осуществляется взаимодействие с сервером.


Как видно в случае необходимости туннелирования трафика, мобильность существенно уменьшается. Во-первых на техническом средстве, за которым работает пользователь,  должно быть установлено корпоративное приложение. Во-вторых, хотя комплект StoneGate SSL VPN Access Client может загружаться автоматически с web портала, но для первоначальной установки он требует прав администратора в системе. (То есть интернет кафе, гостевые компьютеры в партнерской организации отпадают).

II. В случае использования туннелируемого доступа через SSL ограничивается количество поддерживаемых ОС до Mac OS, Linux, Windows (отпадают мобильные устройства Android, iPhone/iPad). Полный перечень поддерживаемыхустройств и браузеров.
UPD: По информации от Российского офиса Stonesoft, Chrome так-же полностью поддерживается.

III. В случае использования сертифицированной версии Stonegate SSL VPN Client ограничивается количество поддерживаемых ОС до Linux, Windows. Цитирую Формуляр 89625543.4012-003 30 02:
“4.4. StoneGate SSL VPN Access Client предназначено для функционирования в программной среде Windows 2000, Windows XP, Windows 2003 Server, Windows Vista (32, 64 bit), Windows 7 (32, 64 bit), Linux (32, 64 bit)”.

IV. В случае использования сертифицированной версии Stonegate SSL VPN в дополнение к браузеру и ПО StoneGate SSL VPN Access Client необходима установка на систему пользователя дополнительных средств.
В варианте КС1 на систему пользователя необходимо установить криптобиблиотеку "КриптоПро CSP" 3.6. исполнение 1 или криптобиблиотеку "Валидата CSP" 4.0 исполнение 1.
В варианте КС2 на системе пользователя кроме криптобиблиотек необходимо использовать ещё и специальный загрузочный носитель - СЗН "МАРШ!-USB" (только для Linux) или ПАК защиты от НСД "Аккорд" или ПАК защиты от НСД "Соболь".
В варианте КС2 на сервере SSL VPN Gate есть вариант не использовать НСД "Аккорд" или ПАК защиты от НСД "Соболь" если применяются определенные организационно-технические меры.

V. В случае использования сертифицированной версии Stonegate SSL VPN ограничивается количество поддерживаемых ОС до Linux, Windows за счет ограничения криптобиблиотеки. Перечень ОС, поддерживаемых Криптопро CSP (отсутствуют iPhone, Android, MacOS). "Валидата CSP" поддерживает только Windows.

VI. В случае необходимости использования автоматической очистки следов соединения выполняется загрузка и запуск мобильного Abolishment Client, который поддерживает ОС Mac OS, Linux, Windows.

VII. В случае необходимости использования контроль состояния защищенности системы пользователя выполняется загрузка и запуск мобильного Assessment Client, который поддерживает ОС Mac OS, Windows.

VIII. По сути Stonegate SSL VPN имеет независимую систему управления встроенную в сам SSL VPN Gate в качестве web сервера управления (может работать без SMC). В централизованную систему управления Stonegate Management Center интегрируется только возможность мониторинга и сбора событий с SSL VPN (для сравнения FW/VPN и IPS полностью управляются через SMC и не могут без неё работать).

Исходя из всего приведенного выше считаю оптимальным следующие применение для Stonegate SSL VPN:
·         Для доступа к информации не отнесенной законодательством к информации ограниченного доступа через web приложения (для доступа к приложениям содержащим служебную информацию, коммерческую тайну, статистическую информацию, обезличенные или общедоступные ПДн) использовать Stonegate SSL VPN с западными алгоритмами шифрования. В данном варианте можем использовать любые мобильные устройства.
·         Для доступа к информации ограниченного доступа (ИСПДн) через любые приложения использовать Stonegate SSL VPN с алгоритмами шифрования ГОСТ. В данном варианте можем использовать корпоративные ноутбуки или рабочие станции под управлением ОС Windows и Linux.
·         При необходимости использования усиленной аутентификации, можем использовать обойденный вниманием свежий продукт Stonegate Authentication Server (Radius сервер) который позволяет на мобильных устройствах например использовать MobileID, а на ноутбуках и рабочих станциях например  использовать сертификаты по ГОСТ.
Таким образом и руководители со своих планшетов могут получить доступ к  управленческой информации, а специалисты в командировках или из дома могут полноценно работать с любыми приложениями.

Надеюсь данная статья будет чем-то вам полезна. Кто-то планировал тестировать систему мобильного доступа и теперь отпала необходимость? У кого-то наоборот появилось желание протестировать?
В любом случае жду отзывы и дополнительные вопросы.

8 комментариев:

Артем Агеев комментирует...

не понятно. а IE и Хром не поддерживаются что ли?

pushkinist комментирует...

отличный пост.
//пока прочитал бегло, надо будет еще позже вернуться вдумчиво перечитать :)

Сергей Борисов комментирует...

Артем - IE поддерживается
Хром - не тестировался производителем. (Может работать но не гарантированно)

Артем Агеев комментирует...

собственно главная фишка продукта как то обойдена вниманием (по-крайней мере простого и ясного ответа в статье нет):

можно ли использовать обычный браузер без дополнительного программного обеспечения для защищенного, шифрованного ГОСТом, сертифицированного доступа к веб-сайту с ПДн?

Сергей Борисов комментирует...

На счет дополнительных средств написано в пунктах I, IV, VI, VII.

Если необходимо четко всё расставить по полочкам, то вот:

1) Для защищенного мобильного но не сертифицированного доступа (не ГОСТ) достаточно иметь на устройстве только браузер.

2) Для защищенного мобильного сертифицированного доступа (ГОСТ, КС1) в самом простом случае достаточно иметь на устройстве

браузер и криптобиблиотеку (Криптопро CSP).
(Если аутентификация по паролю, то есть возможность не приобретать Криптопро CSP для каждого клиента).

При этом и клиент и сервер пользуются одним и тем же СКЗИ - Stonegate SSL VPN Server. Такой вариант предусмотрен Правилами пользования, согласованными с ФСБ.

"В качестве клиентской части могут использоваться иные компоненты и библиотеки,
реализующие протокол TLS, без использования модуля StoneGate Access Client. В этом случае
обеспечивается штатный доступ к ресурсам защищаемой StoneGate SSL VPN Server с
использованием возможностей браузера (например Internet Explorer, Mozilla FireFox, Chrome)
или специализированного ПО, в соответствии с документацией на используемые СКЗИ."

Сергей Борисов комментирует...

3) Для защищенного мобильного сертифицированного доступа (ГОСТ, КС1) в случае если установка СКЗИ на клиенте требуется явно в МУ/ТЗ на СЗПДн, либо если необходим туннелируемый доступ,
достаточно иметь на устройстве

браузер
криптобиблиотеку
StoneGate Access Client

4) 3) Для защищенного мобильного сертифицированного доступа (ГОСТ, КС2) достаточно иметь на устройстве

браузер
криптобиблиотеку
StoneGate Access Client
СЗН "МАРШ!-USB" (или ПАК "Аккорд" или ПАК НСД "Соболь")

Артем Агеев комментирует...

ну т.е. ответ на мой вопрос - нельзя.

спасибо!

mike комментирует...

Артем.

криптография вообще предполагает, что с обоих концов есть криптобиблиотеки ( шифраторы или что то еще ) которые могут работать друг с другом. Варианта, когда в одной стороне есть шифратор а с другой нет и нужна защифрованная связь не существует в природе.
Windows да и другие не имеют в составе российских криптоалгоритмов.
соответственно - для работы надо хотябы криптобиблиотеки с клиентской стороны. ( можно Криптопро, Валидату, Сигналком, Инфотекс (тестируется)). Без этого никуда .