Для обеспечения удаленного доступа от абонентского пункта (отдельной ПЭВМ) к ресурсам информационной системы (ИС) по открытым каналам связи ООО «АМИКОН» предлагает использовать высокоэффективную технологию VPN, реализуемую при взаимодействии комплексов «ФПСУ-IP» и «ФПСУ-IP/Клиент».
Комплекс "ФПСУ-IP/Клиент" имеет сертификаты ФСБ (версия 5.7.1 и 5.7.6 – СФ/124-4184) по классам КС1/КС2 и может быть использован для построения защищенных соединений, а также является удаленной частью распределенного межсетевого экрана «ФПСУ-IP» (сертификат ФСТЭК № 4269 от 6.11.2020 г.).
Данная программно-аппаратная система обеспечивает безопасный информационный обмен между удаленным абонентским пунктом (рабочей станцией) и защищенной комплексом «ФПСУ-IP» сетью через открытые сети передачи данных. Комплекс «ФПСУ-IP/Клиент» устанавливается на рабочей станции удаленного пользователя и выполняет функции межсетевого экрана и VPN построителя для информационных взаимодействий «рабочие станции – защищенные сервера». Тем самым обеспечивается аутентифицированный и безопасный доступ к серверам, защищаемым комплексом «ФПСУ-IP», за счет создания VPN-соединения между рабочей станцией и центральным комплексом «ФПСУ-IP». Административное управление, контроль и аудит всех VPN-соединений осуществляется централизованно с использованием АРМ «Удаленного управления», при этом может одновременно использоваться до 12-ти АРМ, наделенных соответствующими полномочиями, что предопределяет высокую устойчивость и надежность управления с возможностью осуществления перекрестного аудита управления.
Комплекс «ФПСУ-IP/Клиент» состоит из программного обеспечения пользователя, устанавливаемого на ПЭВМ, и интеллектуального USB-устройства «VPN-key/Клиент», хранящего уникальный идентификатор клиента, ключевую и служебную информацию и являющегося, по существу, микро-ЭВМ.
После этого комплексы «ФПСУ-IP/Клиент» и «ФПСУ-IP» (содержащий соответствующую подсистему обслуживания комплексов «ФПСУ-IP/Клиент») выполняют аутентификацию и авторизацию пользователя и устанавливают защищенное соединение. Аутентификация происходит при создании VPN-туннеля между комплексами «ФПСУ-IP/Клиент» и «ФПСУ-IP». После аутентификации комплексом «ФПСУ-IP» выполняется авторизация клиента. Одновременно обеспечивается трансляция реального IP-адреса клиента в IP-адрес защищаемой сети.
В процессе взаимодействия комплексами «ФПСУ-IP/Клиент» и «ФПСУ-IP» выполняется фильтрация и передача данных в зашифрованном виде по VPN-каналу от РС пользователя до комплекса «ФПСУ-IP». Дополнительно может осуществляться проходное сжатие передаваемых данных, что существенно уменьшает объем передаваемой информации и повышает скорость взаимодействия.
Разрыв соединения происходит либо по запросу пользователя, либо при отключении устройства «VPN–key/Клиент» от USB-порта ПЭВМ.
Особенностью технологии «ФПСУ-IP/Клиент» является возможность работы пользователя из произвольного места размещения РС в сети, т.е. не требуется привязка к определенному IP-адресу. При этом обеспечивается строгая двухсторонняя аутентификация всех взаимодействий РС и ФПСУ-IP. Идентификация пользователя осуществляется по четырехзначному цифровому PIN-коду пользователя, количество попыток ввода которого ограничено (с дальнейшим переходом на необходимость использования 10-ти значного PUK-кода). Авторизация и аутентификация пользователей обеспечивается средствами комплекса «ФПСУ-IP».
Система удаленного администрирования и мониторинга комплексов «ФПСУ-IP» и «ФПСУ-IP/Клиент» обеспечивает полное управление и наблюдение за защищаемой сетью. Возможности системы аудита позволяют выполнять раздельный подсчет объемов передаваемых данных между конкретными РС и комплексами «ФПСУ-IP», что позволяет организовать четкий контроль за работой абонентов.
Комплекс «ФПСУ-IP/Клиент» абсолютно прозрачен для всех стандартных Интернет протоколов и может использоваться совместно с любым программным обеспечением, обеспечивающим доступ к ресурсам информационных систем.
Для обеспечения большей защищенности имеется возможность административно (удаленно или локально) ограничивать доступ пользователям «ФПСУ-IP/Клиент» к открытым сегментам сети при работе с защищаемыми ресурсами, вплоть до полного запрета.
За счет аппаратной реализации комплекса и интуитивно понятного интерфейса управления использование системы «ФПСУ-IP/Клиент» удобно для пользователя и не требует значительных дополнительных накладных расходов на обучение.
- безопасный доступ по открытым сетям удаленных клиентов к серверам, расположенным в защищенной сети;
- двухстороннюю аутентификацию клиентов и серверов;
- авторизацию клиентов;
- назначения прав доступа клиентов к защищаемой сети по совокупности критериев (по имени пользователя, по IP адресу, по разрешенным протоколам, по времени работы и т.д.);
- сокрытие реальных адресов, сервисов и протоколов при доступе к защищаемым серверам;
- сжатие трафика;
- защиту от подмены, просмотра и навязывания ложной информации;
- фильтрацию трафика;
- мониторинг и аудит;
- централизованное управление политикой безопасности;
- централизованную поддержку модернизации ПО комплексов (режим дистанционного update ПО).
- двухфакторную аутентификацию клиентов 2FA по протоколу Radius.
МЭ ФПСУ-IP/Клиент совместно с комплексами ФПСУ-IP обеспечивают надежную и устойчивую защиту информационных ресурсов системы, выполняя функции межсетевого экрана и VPN построителя. Надежность и бесперебойность функционирования комплексов ФПСУ-IP обеспечивается за счет горячего резервирования. Доступность и непрерывность функционирования обеспечивается за счет возможности кластеризации комплексов и работы ФПСУ-IP/Клиента с основным или резервным ФПСУ-IP. Количество клиентов, обслуживаемых одним комплексом ФПСУ-IP – до 128000. Максимальная пропускная способность комплексов ФПСУ-IP/Клиента на современной аппаратной платформе (Intel Core i7) – не менее 250 Мбит/с.
При работе с клиентской стороны допускаются следующие типы сетевых подключений: LAN, DialUP, прямое подключение/выделенная линия, IR-порт и др. Взаимодействие с внешней сетью может осуществляться как непосредственно (маршрутизатор, модем и др.), так и через прокси-сервер или межсетевой экран.
На настоящий момент комплексы эксплуатируются в крупных защищенных ИС, общее количество внедрений – более 400 000 комплексов «ФПСУ-IP/Клиент».Скриншоты интерфейса «ФПСУ-IP/Клиента»
| Производитель | ООО "АМИКОН" |
| Тип комплекса | Программно-аппаратный |
| Состав комплекса | Аппаратное устройство хранения и выработки ключей шифрования "VPN-key". Программное обеспечение с интерфейсным модулем и системными драйверами. |
| Сертификаты | Cертификаты ФСБ России на применяемое СКЗИ "ФПСУ-IP/Клиент" |
| Поддерживаемые ОС: | |
| Windows | Для устройств VPN-key с программным интерфейсом USB CCID: Windows 7/8, Windows 10, Server 2008/2012. |
| Linux | Поддерживаются только устройства VPN-key с программным интерфейсом USB CCID. |
| Mac OS | Поддерживаются только устройства VPN-key с программным интерфейсом USB CCID. |
| Android | Версия 4.4 и выше. |
| IOS | Версия 9 и выше. |
| Поддерживаемые сетевые интерфейсы и протоколы | Ethernet-адаптеры, WAN-адаптеры (в том числе 2G/3G/4G-модемы). Протоколы: Ethernet, PPP, PPPoE, L2TP, PPtP, TCP/IP. |
| Алгоритм шифрования | ГОСТ 28147-89 |
| VPN-протокол / избыточность протокола | Собственный (на базе UDP-протокола) / не более 30 байт на пакет |
| Ключевая система / распределение ключей | Симметричная / централизованное |
| Обрабатываемые уровни ЭМВОС | Сетевой, транспортный, выборочно – сеансовый и прикладной. |
| Персональный межсетевой экран | Да. |
| Управление и мониторинг | Централизованное получение локальной политики безопасности с ПАК "ФПСУ-IP" |
| Дополнительные сетевые функции | Сжатие данных. Работа через socks-proxy (v.5). |
| Производительность ПАК "ФПСУ-IP/Клиент" | До 250 Мбит/сек |
| Число поддерживаемых в одной криптосети ПАК «ФПСУ-IP/Клиент» | 131072 |
| Дополнительные функции USB-устройства VPN-key | Хранение ключевых контейнеров СКЗИ КриптоПро (до 4 контейнеров) Функции смарт-карты для хранения сертификатов и аутентификации в домене Microsoft. |
