- Tls-сервер доступа к веб-сайтам
- Vpn-сервер
- Архитектура системы
- Вебинар 10 сентября 2020 г.
- Вебинар 18 марта 2022 г.
- Вебинар 26 марта 2020 г.
- Возможности интеграции
- Доступ к интерфейсу администрирования
- Интеграционные решения
- Криптопро | характеристики аппаратных платформ
- Криптопро ngate
- Методы аутентификации
- Настройка конфигураций кластеров
- Настройка порталов
- Настройки узлов
- Новые функции и улучшения
- Панель управления
- Режимы работы
- Сервер портального доступа
- Выводы
Tls-сервер доступа к веб-сайтам
Пользователи могут получить доступ к защищенным публичным веб-сайтам организации, используя браузеры в режиме TLS-сервер, который обеспечивает уровни защиты до 3 включительно.
Сайт защищен криптографией и имеет функции шифрования. Кроме того, обеспечивается более высокий стандарт безопасности сайта.
Одновременная поддержка как отечественных, так и зарубежных криптографических алгоритмов.
Например, пользователи в настоящее время могут получить доступ к официальному веб -сайту CryptoPro.
Решение может использоваться для обеспечения безопасности в системах видеоконференцсвязи, телемедицины и других информационных систем в режиме криптографической защиты конфиденциальной информации.
Vpn-сервер
В общем, нет возможности предоставить доступ сотрудникам организации так легко и просто, как при использовании IPSEC в решениях для удаленного доступа по протоколу TLS (SSL).
Вы можете подключаться к любой удаленной сети, используя динамический VPN-туннель шлюза NGate, не ограничиваясь установленным количеством одновременно подключающихся приложений.
В режиме VPN-сервера пользователи могут использовать любой существующий протокол клиента для доступа к любому ресурсу корпоративной сети. Нарушение доступа в этой ситуации мыслимо на уровне подсетей, в том числе виртуальных (VLAN).
Архитектура системы
Серверный компонент (шлюз) и клиент составляют системный блок. Решение также оснащено сетевым блоком управления (ЦСУ). для малых предприятий без удаленных филиалов или инфраструктуры, распределенной по нескольким центрам обработки данных.
Если вам необходимо управлять шлюзами в инфраструктуре компании или при объединении нескольких кластеров, MCC следует установить отдельно.
Благодаря опции удаленной автоматизированной загрузки конфигурации TSU позволяет настроить, управлять и наблюдать за каждой точкой доступа к организации.
Вебинар 10 сентября 2020 г.
Практические сценарии безопасности удаленной работы с использованием КриптоПро NGate и Рутокена
Вебинар посвящен комплексному решению, построенному на базе продуктов NGATE Cryptopro и Rutoken EDP 2.0 Flash, а также другим совместным вариантам использования продуктов RUTOKEN и PMFLASH.
Вебинар 18 марта 2022 г.
Основное внимание на вебинаре — обеспечить безопасный доступ пользователей к веб -сайтам, когда международные сертификационные органы отозвали сертификаты SSL/TLS.
Вебинар 26 марта 2020 г.
Общие требования законодательства по ИБ к администрированию удаленного доступа в Интернет
Возможности интеграции
N Gate позволяет разрабатывать комплексные решения для защиты сети организации и различных систем в соответствии с требованиями ведущегося бизнеса.
Таблица 5. Иллюстрация сторонней системы для интеграции КриптоПро NGate
Тип | Системы |
E BS делает выбор, который способствует безопасности. | Безопасность в банковском взаимодействии с EBS обеспечивается Rostelecom, CFT и Idsystems. |
Специализированные материальные платформы | M IG T10 и AG 8, гарантия «2020», тонкие клиенты Dell Wyse. |
Системы видео-конференцсвязи | Сервер trueConf |
Межсетевые экраны для веб-приложений | Wallarm интегрирует веб-приложения |
Экраны | Межсетевые экраны компаний Check Point, Fortinet, Ideco, UserGate |
Системы управления мобильными устройствами (MDMA) | SafePhone MDM, Microsoft Intune |
Системы наблюдения и всегда | Системы от любых третьих лиц, а также Центра мониторинга КриптоПро. |
Системы аутентификации | ( Microsoft AD, FreeIPA и т.д.) внешних служб каталогов, а также серверов для экспорта данных (Windows Server NPS). |
Системы утверждения OTP | Aladdin R. D. Сервер аутентификации Jacarta (JAS) для разрешения ID действительно DIV |
Доступ к интерфейсу администрирования
Мы ценим, что разработчик предоставил нам доступ к испытательной среде NGATE. Благодаря этой пользовательской роли, которая является стандартным компонентом продукта, вы можете просмотреть большинство разделов и функций веб -интерфейса, не имея полномочий вносить какие -либо изменения.
Рисунок 4. Вход в веб-интерфейс администрирования «КриптоПро NGate»
Интеграционные решения
N Gate можно использовать для защиты ресурсов, размещенных в сети вашей компании. Примеры интеграционных решений приведены в этом разделе.
U BS, или единая биометрическая система NGATE является компонентом типичных решений для безопасности UBS, предлагаемых Rostelecom, CFT и DSYSTEMS.
На любом ПК вы можете обеспечить как локальную, так и удаленную работу. Решение обеспечивает удаленный доступ к ресурсам организации с любого ПК, даже ненадежного, и защищенная работа на любом ПК. Вместе с Rutoken Eds 2 используется NGATE.
Операционная система и клиент NGate VPN устанавливаются во флэш-память 0 Flash. Для использования данного решения пользователю необходимо подключить Рутокен ЭЦП 2.0 Flash к любому ПК и выбрать USB-токен в качестве загрузочного устройства. В результате загружается операционная система, которая обеспечивает полную защиту от вирусов и не вмешивается в файловую систему ПК.
Используется многофакторная аутентификация. Используя офисный пакет, входящий в общий пакет, сотрудник может работать с документами локально и сохранять их на защищенном разделе флэш-памяти.
Защита V DI. Защита передаваемой конфиденциальной информации, включая персональные данные, обеспечивается NGATE с помощью систем VDI.
Защита от специализированных устройств для удаленного доступа. NGate поддерживает удаленный доступ с различных специализированных аппаратных и программных платформ в дополнение к стационарным и мобильным устройствам.
Использование технологии видеоконференцсвязи. Комбинируя NGate с российской системой видеоконференцсвязи TrueConf Server и другими аналогичными системами, ИТ-специалисты, включая интеграторов, могут создавать защищенные корпоративные сети для удаленного взаимодействия сотрудников, соответствующие требованиям законодательства Российской Федерации в области информационной безопасности.
Защита для телемедицины. При использовании NGATE в сочетании с различными платформами телемедицины личная информация, передаваемая во время общения врача с пациентом на расстоянии, надежно защищена.
Комплексная безопасность веб -приложений. В пределах одной виртуальной или аппаратной платформы брандмауэр NGATE и Wallarm приложений (WAF) можно использовать вместе. Защита веб -приложений от целевых атак предлагается NGATE и WallArm.
Полнофункциональный метод обнаружения атак, их остановки, поиска брешей в системе безопасности и мониторинга периметра с обучением на основе анализа трафика. Профили безопасности, которые уже проверены, могут быть предоставлены с помощью Ngate.
Обширная сетевая безопасность. Являясь компонентом шлюза безопасности Fringe, NGate может использоваться вместе с Fortigates. Fortegage обеспечивает обнаружение вторжений, а NGate и Fortigates — криптографическую защиту передаваемой информации.
Централизованная загрузка политики безопасности VPN-клиентов NGATE интегрирована с системами класса Mobile Device Management (MDMS), которые позволяют создавать политики безопасности и централизованно устанавливать VPN-клиенты. Совместимость Microsoft Intune и Safephone MDM на данный момент не изучена.
Мониторинг и управление событиями информационной безопасности. NGate может функционировать как управляемый объект для систем КриптоПро Monitoring Center и поддерживает распространенные протоколы SNMP и Syslog.
Криптопро | характеристики аппаратных платформ
Для обеспечения оптимальной производительности шлюза NGate аппаратные платформы КриптоПро NGate оснащены высокопроизводительным оборудованием. Эти платформы специально разработаны и оптимизированы для работы с Remote Access Gateway. Модельный ряд имеет широкий диапазон производительности, поэтому вы можете выбрать решение для любого бизнеса, независимо от того, насколько он велик или мал.
| Модель | Технические характеристики | |
|---|---|---|
NGate ЦУС 100 Технические характеристики | Класс криптографической защиты: КС1, КС2, КС3 | |
| Основное назначение: Система управления (СУ) NGate, в стойку 1U | ||
| Сетевые интерфейсы: | ||
NGate ЦУС 200 Технические характеристики | Класс криптографической защиты: КС1, КС2, КС3 | |
| Основное назначение: Система управления (СУ) NGate, в стойку 1U | ||
| Сетевые интерфейсы: | ||
NGate 3000 Технические характеристики | Класс криптографической защиты: КС1, КС2, КС3 | |
| Основное назначение: Узел NGate, в стойку 1U | ||
| Сетевые интерфейсы: | ||
| Производительность | ||
| TLS Proxy | TLS VPN | |
| до 45000 подключений до 20 Гбит/c /td> | до 12000 подключений до 8 Гбит/c /td> | |
NGate 2000 Технические характеристики | Класс криптографической защиты: КС1, КС2, КС3 | |
| Основное назначение: Узел NGate, в стойку 1U | ||
| Сетевые интерфейсы: | ||
| Производительность | ||
| TLS Proxy | TLS VPN | |
| до 15000 подключений до 8 Гбит/c /td> | до 8000 подключений до 5 Гбит/c /td> | |
NGate 1500 Технические характеристики | Класс криптографической защиты: КС1, КС2, КС3 | |
| Основное назначение: Узел NGate, в стойку 1U | ||
| Сетевые интерфейсы: | ||
| Производительность | ||
| TLS Proxy | TLS VPN | |
| до 8000 подключений до 4 Гбит/c /td> | до 4000 подключений до 2 Гбит/c /td> | |
NGate 1000 Технические характеристики | Класс криптографической защиты: КС1, КС2, КС3 | |
| Основное назначение: Узел NGate, в стойку 1U | ||
| Сетевые интерфейсы: | ||
| Производительность | ||
| TLS Proxy | TLS VPN | |
| до 4000 подключений до 2,3 Гбит/c /td> | до 2000 подключений до 1 Гбит/c /td> | |
| NGate 600 Технические характеристики | Класс криптографической защиты: КС1, КС2, КС3 | |
| Основное назначение: Узел NGate, в стойку 1U | ||
| Сетевые интерфейсы: | ||
| Производительность | ||
| TLS Proxy | TLS VPN | |
| до 2000 подключений до 1 Гбит/c /td> | до 700 подключений до 0,5 Гбит/c /td> | |
NGate 320 Технические характеристики | Класс криптографической защиты: КС1, КС2, КС3 | |
| Основное назначение: Узел NGate, настольный | ||
| Сетевые интерфейсы: | ||
| Производительность | ||
| TLS Proxy | TLS VPN | |
| до 500 подключений до 0,6 Гбит/c | до 150 подключений до 0,14 Гбит/c | |
Криптопро ngate
Для защиты сетевого трафика «КриптоПро NGate» сочетает в себе следующие функции:
N Gate предлагает множество функций управления удаленным доступом пользователей, как прозрачным, так и с надежной многофакторной аутентификацией. Российские криптографические алгоритмы реализуются КриптоПро NGate, аккредитованным в соответствии со стандартами SCSI.
N Gate освобождает веб-серверы от ответственности за управление TLS-соединениями, позволяя им сосредоточиться на выполнении своих основных обязанностей.
Следующие организации могут воспользоваться N Gate для обеспечения защиты удаленного доступа и передачи информации в соответствии с требованиями законодательства:
Общественные веб -сайты и электронные торговые этажи являются двумя примерами объектов, доступ которых может быть ограничен CryptoPro ngate. Отрицания могут использоваться для защиты от удаленного доступа как независимо, так и в рамках сложных решений, основанных на технологии блокчейна — Bluetooth Cardinal Platforms Внутренние ресурсы или информационные системы организаций «Объектные (включая значимые) Kieep Unified Biometric System Облачные ресурсы и информационные системы видеоконференцииСистемная телемедициновая платформа
Методы аутентификации
N Gate поддерживает различные способы аутентификации:
Настройка конфигураций кластеров
С момента первого выпуска NGate интерфейс стал более удобным и ясным.
Диаграмма 9. В веб-интерфейсе «КриптоПро Ngate» была информация о конфигурации кластера.
Настройка порталов
Подробная информация о каждом портале доступна в интерфейсе веб-администрирования (ранее эти данные были разбросаны по разным страницам). Создание правил для динамического туннелирования, которые определяют, какие пользователи могут подключаться к каким порталам и при каких обстоятельствах (аналогично подсетям или другим ресурсам клиента в зависимости от правил CACL), стало значительным функциональным обновлением. Например, «Сетевая служба» может устанавливать свои собственные настройки на основе данных пользователя по умолчанию».
Таблица 15. Здесь вы можете найти подробную информацию о настройках портала в веб -интерфейсе CryptoPro Ngate.
Таблица 16. В веб-интерфейсе Криптотрон в блоке КриптоПро NGate создано правило для динамического туннелирования.
Информацию об учетных данных сервера и центрах сертификации, включенных в список доверенных для конкретного портала, можно найти на странице данных сертификата. На одном кластере могут существовать разные порталы с различными сертификатами, включая доверенные.
Изображение 17. Информацию о сертификатах портала можно найти в веб-интерфейсе «КриптоПро Ngate».
Настройки узлов
Теперь вы можете создавать сети VLAN и агрегированные сетевые интерфейсы (Bond) в разделе Clusters веб-интерфейса.
Рисунок 19. Общая информация об узлах кластера в веб-интерфейсе «КриптоПро NGate»
Изображение 20. Сетевые интерфейсы узла кластера доступны в веб-интерфейсе «КриптоПро NGate».
Сетевые интерфейсы объединяются с помощью различных алгоритмов агрегации. При этом несколько физических сетей объединяются в логическую или виртуальную сеть. Эта технология позволяет повысить пропускную способность и отказоустойчивость сети (при объединении нескольких одинаковых интерфейсов отказ одного из них не влияет на работоспособность сети).
Рисунок 21. «»Престон Гейтс» создает URL-адрес с поддержкой связи
Новые функции и улучшения
С момента первоначального выпуска Ngate были внесены многочисленные новые функции и возможности, а также изменения в пользовательский интерфейс консоли управления. Большинство изменений направлено на улучшение взаимодействия и оптимизации программного комплекса.
Далее мы кратко перечислим новые функции и возможности или улучшения NGate версии 1.0 R2:
Панель управления
Пользователь доставлен на домашнюю страницу панели управления после авторизации.
Здесь показаны детали работы криптошлюз, а также фундаментальные сведения о кластерах (конфигурации, используемые лицензии и порталы, подключенные к этому кластеру).
Предстоящее прекращение действия сертификата (ключей) портала было предвещено в новой версии сайта. Для просмотра информации можно использовать как протокол мониторинга SNMP (данные о посещении мандатов), так и цветовые метки слева от каждого портала.
Изображение 5. Панель управления для «КриптоПро NGate» вкладка «Информация о системе»
Режимы работы
На главной странице, посвященной его особенностям, дается подробное описание режимов работы шлюза. Мы дадим краткое определение режимов, которое является точным.
Сервер портального доступа
N Gate предлагает различные методы доступа к внутренним ресурсам вашей компании, например, с помощью VPN-клиента на удаленном устройстве.
Когда пользователям необходимо предоставить доступ к строго ограниченным ресурсам, это может оказаться полезным. В настоящее время более 200 офисов в рамках организации «Территория безопасного Интернета» доступны для размещения различных устройств.
Портальный вход может предложить более гибкую дифференциацию по сравнению с IPsec и другими сопоставимыми технологиями сетевого уровня, которые предоставляют доступ к ресурсам на уровне IP (подсети или отдельного компьютера).
Вы можете планировать личный аутентифицированный доступ к ресурсам портала NGATE, используя режим доступа к порталу.
Процесс аутентификации выполняется в рамках предоставления доступа, после чего пользователь направляется на веб-портал с настроенным интерфейсом. В разделе «Список доступных ресурсов» отображается список веб-ресурсов, которые были одобрены пользователем в соответствии с корпоративными политиками безопасности.
Выводы
Gateway «CryptoPro Ngate» 1.0 R2 предназначен для управления удаленным доступом к корпоративным ресурсам и открытию веб -порталов.
Системный блок может быть установлен как в уже развернутую виртуальную среду заказчика, так и на специализированные сетевые устройства, поставляемые компанией «КриптоПро». Также стало возможным ввести в эксплуатацию оборудование на базе российского процессора «Байкал».
Клиентское программное обеспечение, в частности мобильные и настольные операционные системы, которые были разработаны за границей, используется в качестве решения шлюза. Особое внимание было уделено аппаратным решениям на основе процессоров Baikal и Elbrus, а также домашних операционных систем Alfa Linux и REDOS, в рамках целей, способствующих импорту замены.
