Настройка шлюза для предоставления VPN доступа

Tls-сервер доступа к веб-сайтам

В режиме TLS-сервера обеспечивается прозрачный защищённый доступ пользователей к защищаемым публичным веб-сайтам организации с использованием браузера и обеспечением уровня защищённости до класса КС3 включительно.

Таким образом, обеспечивается высокий уровень криптографической защиты сайта, функции шифрования выносятся на отдельный высокозащищённый шлюз, тем самым разгружая сайт, обеспечивая ему возможность использовать освободившиеся ресурсы на его основные функции. Кроме того, обеспечивается более высокий уровень защищённости сайта в целом.

При этом одновременно поддерживаются как отечественные, так и зарубежные криптографические алгоритмы, за счёт чего возможно обеспечение постепенного и бесшовного перевода пользователей на использование отечественных криптографических алгоритмов (TLS с ГОСТ) при доступе к веб-сайтам организации.

Так, например, в настоящее время, реализован доступ пользователей к официальному сайту КриптоПро, при котором, в случае поддержки браузером пользователя отечественных криптографических алгоритмов доступ к сайту автоматически осуществляется по TLS с ГОСТ, в иных же случаях — с использованием зарубежных алгоритмов.

В данном режиме решение также может использоваться для обеспечения криптографической защиты конфиденциальной информации в системах видеоконференцсвязи, телемедицины и других информационных системах, предоставляющих доступ пользователей через браузер.

Vpn-сервер

Как правило, в решениях, используемых для удаленного доступа с использованием протокола TLS (SSL), отсутствует возможность обеспечивать доступ сотрудникам компании так же, как и при использовании протокола IPsec, когда можно подключать конкретного сотрудника к сети организации.

С использованием динамического VPN-туннеля шлюза NGate обеспечивается динамическое туннелирование – доступ клиентской машины к удаленной сети по любым протоколам и портам внутри туннеля без ограничения количества одновременно подключаемых приложений.

Таким образом, режим VPN-сервера используется для предоставления пользователям доступа к произвольным ресурсам корпоративной сети с помощью VPN-клиента, поддерживающего все популярные платформы. При этом разграничение доступа возможно на уровне подсетей, в том числе виртуальных (VLAN).

Архитектура системы

Решение состоит из серверной (шлюз) и клиентской частей (VPN-клиент или браузер). Кроме этого, в состав решения входит центр управления сетью (ЦУС). Для небольших организаций без удалённых филиалов или без инфраструктуры, разнесённой на разные ЦОД, а также при отсутствии повышенных требований к отказоустойчивости и производительности, шлюз NGate вместе с ЦУС могут устанавливаться как единое решение на одну аппаратную или виртуальную платформу.

ЦУС необходимо устанавливать отдельно в тех случаях, когда необходимо управлять шлюзами, распределенными по инфраструктуре организации или при объединении нескольких шлюзов в кластер.

ЦУС позволяет производить настройку, мониторинг и управление всеми шлюзами доступа в организации с возможностью удалённой автоматизированной загрузки конфигураций на все узлы кластеров, а также получения в режиме онлайн параметров работы всех кластеров из единого центра управления.

Возможности интеграции

Для расширения функциональных возможностей и формирования комплексных решений по защите сети, а также различных систем и ресурсов организации в соответствии с существующими потребностями бизнеса NGate можно гибко интегрировать с различными системами.

Таблица 5. Примеры сторонних систем, с которыми возможна интеграция «КриптоПро NGate»

Доступ к интерфейсу администрирования

В рамках подготовки этого обзора разработчик предоставил нам пользовательский сертификат и учётную запись типа «Аудитор» для доступа к тестовому стенду NGate. Эта пользовательская роль является одной из штатных функций продукта и предоставляет возможность просматривать большую часть разделов и возможностей веб-интерфейса без права что-либо изменять.

Рисунок 4. Вход в веб-интерфейс администрирования «КриптоПро NGate»

Интеграционные решения

Для обеспечения безопасности сети организации и размещенных в ней ресурсов NGate может использоваться в составе комплексных решений. Далее приведены примеры таких интеграционных решений.

Защита Единой биометрической системы (ЕБС). NGate входит в состав типовых решений Ростелекома, ЦФТ и IDSystems по обеспечению безопасности ЕБС, предоставляя возможность обеспечения криптографической защиты передаваемой информации на этапах сбора биометрических данных и удаленной идентификации пользователей при получении ими удаленных услуг.

Защита локальной и удаленной работы на произвольном ПК. Решение позволяет обеспечить защищенную работу на произвольном, в том числе на недоверенном ПК, а также защищенный удаленный доступ к ресурсам организации с такого ПК. Для этой цели NGate используется совместно с Рутокен ЭЦП 2.

0 Flash, во Flash память которого устанавливается операционная система и VPN-клиент NGate. При работе данного решения пользователь подключает Рутокен ЭЦП 2.0 Flash к произвольному ПК и выбирает загрузку с USB-токена. В результате загружается ОС, которая гарантированно свободна от вирусов и не взаимодействует с файловой системой ПК.

Для повышения уровня защищенности при этом применяется многофакторная аутентификация. При этом сотрудник может работать со своими документами локально, используя входящее в состав офисное ПО и сохраняя их в защищенном разделе флеш-памяти, а также может обращаться к корпоративным ресурсам, используя защищенное VPN-соединение между VPN-клиентом и VPN-шлюзом NGate.

Защита VDI. Интеграция NGate с VDI-системами позволяет обеспечить защиту передаваемой конфиденциальной информации, в том числе персональных данных, в соответствии с требованиями законодательства РФ по информационной безопасности.

Защита удаленного доступа со специализированных устройств. NGate предоставляет возможность реализовать защищенный удаленный доступ не только с классических стационарных и мобильных устройств, но и с различных специализированных аппаратных платформ, таких как:

Защита Видеоконференцсвязи. Совместное использование NGate c российской системой ВКС TrueConf Server и другими подобными системами позволяет ИТ-специалистам, в том числе компаний-интеграторов, строить защищенные корпоративные сети ВКС для удаленного взаимодействия сотрудников с соблюдением требований законодательства Российской Федерации по информационной безопасности.

Защита Телемедицины. Совместное использование NGate с различными платформами Телемедицины позволяет обеспечить надежную защиту персональных данных, передаваемых в процессе удаленного взаимодействия врачей и пациентов, с соблюдением требований законодательства Российской Федерации по информационной безопасности.

Комплексная защита веб-приложений. Для этой цели NGate может использоваться совместно с межсетевым экраном прикладного уровня (WAF — Web Application Firewall) Wallarm в рамках единой виртуальной или аппаратной платформы NGate. Где NGate обеспечивает защищенный доступ к веб-приложениям, а Wallarm – защиту веб-приложений от целенаправленных атак.

Данное комплексное решение позволяет организовать выявление и блокирование атак, обнаружение уязвимостей и отслеживание периметра с дообучением на основе анализа отслеживаемого трафика. При этом NGate может поставляться с уже протестированными профилями безопасности.

Комплексная защита сети. Для этой цели NGate может использоваться совместно с решением FortiGate в составе шлюза безопасности «Граница». Где NGate обеспечивает криптографическую защиту передаваемой информации, а FortiGate – межсетевое экранирование и обнаружение вторжений.

Централизованная загрузка политик безопасности на VPN-клиенты NGate. Данный функционал реализуется за счет интеграции NGate с системами класса Mobile Device Management (MDM), позволяющей производить централизованную установку VPN-клиентов, а также централизованную загрузку на них политик безопасности. В настоящее время протестирована совместимость с решениями SafePhone MDM и Microsoft Intune.

Мониторинг и управление событиями информационной безопасности. Для этой цели NGate поддерживает стандартные протоколы SNMP и Syslog и может выступать в качестве подконтрольного объекта как для системы мониторинга КриптоПро Центр Мониторинга, так и для сторонних систем мониторинга, направляя в них соответствующие сообщения.

Криптопро ngate

КриптоПро NGate – это универсальное высокопроизводительное средство криптографической защиты сетевого трафика, объединяющее в себе функционал:

NGate обладает широкими возможностями по управлению доступом удалённых пользователей как с обеспечением строгой многофакторной аутентификации, так и прозрачно, обеспечивая при этом гибкое разграничение прав доступа к ресурсам. КриптоПро NGate (далее – NGate) реализует российские криптографические алгоритмы, сертифицирован по требованиям к СКЗИ, имеет сертификаты ФСБ России по классам КС1, КС2 и КС3 и может использоваться для криптографической защиты конфиденциальной информации, в том числе персональных данных, в соответствии с требованиями законодательства Российской Федерации по информационной безопасности.

Кроме этого NGate обеспечивает снятие нагрузки по обработке TLS-соединений с веб-серверов, позволяя им сосредоточиться на выполнении своих основных задач, а также исключает необходимость установки на каждом веб-сервере отдельного СКЗИ и проведения исследований по оценке влияния программного обеспечения веб-серверов на СКЗИ.

NGate может быть особенно полезен следующим типам организаций для обеспечения защиты передаваемой информации и удаленного доступа в соответствии с требованиями законодательства:

Примеры объектов, доступ к которым можно защитить с помощью КриптоПро NGateПубличные веб-сайты, в том числе государственные порталы, электронные торговые площадки, веб-сайты организаций, дистанционного банковского обслуживания и т.д.Внутренние ресурсы и информационные системы организацийСредства объектов (в том числе значимых) КИИЕдиная биометрическая системаОблачные ресурсы и информационные системыСистемы видеоконференцсвязиПлатформы телемедициныNGate может использоваться для защиты удаленного доступа как самостоятельно, так и в составе комплексных решений.

Методы аутентификации

NGate поддерживает разнообразные способы аутентификации, а также возможность их комбинировать:

Настройка конфигураций кластеров

С момента выхода первой версии NGate был существенно переработан интерфейс, отображающий информацию о конфигурации кластеров: он стал более дружественным и понятным.

Рисунок 9. Информация о конфигурации кластера в веб-интерфейсе «КриптоПро NGate»

Настройка порталов

В веб-интерфейсе администрирования появился раздел с подробной информацией по каждому порталу (ранее эти данные были разбросаны по разным страницам). Существенным функциональным обновлением стало появление возможности создавать правила для динамического туннелирования, определяющие то, какие пользователи к каким порталам и при каких условиях могут подключаться — то есть какие подсети могут назначаться клиенту в зависимости от правил ACL.

Рисунок 15. Общая информация о настройках портала в веб-интерфейсе «КриптоПро NGate»

Рисунок 16. Создание правила для динамического туннелирования в веб-интерфейсе «КриптоПро NGate»

Страница с данными о сертификатах содержит информацию о серверных мандатах и удостоверяющих центрах, включая те, что указаны как доверенные для конкретного портала. Отметим, что на одном кластере может быть несколько наборов порталов с разными сертификатами, в том числе с разными доверенными.

Рисунок 17. Информация о сертификатах портала в веб-интерфейсе «КриптоПро NGate»

Настройка шлюза для предоставления vpn доступа

Дальнейшая настройка производится в веб-интерфейсе СУ NGate с использованием
АРМ Администратора. Для тестового стенда,
необходимо подключиться по https:// к порту 8000, в данном примере
используется hostname машины: ngate-vm-complete.

1. Запустите браузер с поддержкой TLS
   по ГОСТ. В адресной строке введите:
   https://ngate-vm-complete:8000. При
   аутентификации необходимо ввести логин административного пользователя
   системы управления ng-admin и пароль, заданные при установке ПО
   NGate.
2. Подключите ключевой носитель, с контейнером закрытого ключа
   администратора, который был создан при настройке демонстрационного
   стенда и выберите нужный контейнер. Введите пароль от
   контейнера, если пароль был задан при создании контейнера закрытого
   ключа.

После успешного подключения к веб-интерфейсу создайте кластер: на боковой панели нажмите кнопку Add
cluster.

Введите имя кластера и нажмите Save.

Создадим Узел NGate: нажмите Edit
Node на вкладке Nodes меню кластера.

Задайте произвольное имя Узла NGate. Задайте сетевой адрес управления Узла
(Management IP: 127.0.0.1 .
Нажмите Save для сохранения настроек
Узлов.

Прим.: В данном примере используется вариант реализации шлюза при котором система
управления и Узел кластера физически находятся на одной машине, поэтому
адрес Узла NGate и будет иметь значение
127.0.0.1.

Создайте конфигурацию: на вкладке Configuration нажмите
Add

Введите произвольное имя конфигурации, остальные параметры по умолчанию.
Нажмите Save.

В только что созданной конфигурации создайте HTTP-портал: на вкладке
Portals нажмите HTTP potral.

Укажите произвольное имя портала. Задайте параметры Server
Name и User authentification type, для
бесклиентского доступа. Остальные параметры оставьте без изменений. После
завершения настройки нажмите Save.

В поле User authentification type выберите тип
аутентификации Certificate (O/OU). Пользователи будут
получать доступ, используя доверенные клиентские сертификаты, формирование
которых также будет описано ниже.

Перейдём к настройке ACL (access control list) — правила получения доступа
пользователя к защищаемым ресурсам.

В поле Name введите наименование правила в системе
Certificate ACL. Затем выберите из выпадающего меню имя
поля OID в поле Field name or OID:
O/OU. В двух полях Field value
введите inc / dep. Сохраните
Certificate ACL: Save.

Теперь перейдем к работе с ключами и сертификатами. Для выпуска серверного и
клиентских сертификатов в данном примере используется один из тестовых УЦ
КРИПТО-ПРО (https://testgost2022.cryptopro.ru/certsrv/). Для доступа в тестовый УЦ используйте
браузер с поддержкой ГОСТ).

Выберите в основном меню тестового УЦ действие Получение сертификата
Удостоверяющего Центра или действующий список отозванных
сертификатов.

Получите корневой сертификат УЦ в формате Base 64. Корневой сертификат
(по умолчанию файл certnew.cer) будет сохранён на АРМ
Администратора.

Импортируйте корневой сертификат в NGate. Выберите в меню веб-итнтерфейса
NGate: .

Выберите в меню выбора файлов браузера полученный в тестовом УЦ файл
сертификата certnew.cer.

Проверьте параметры корневого сертификата введите в поле
Name наименование сертификата в системе и нажмите
Save.

Корневой сертификат успешно добавлен.

Сгенерируйте внешнюю гамму. Это можно сделать на АРМ Администратора при помощи
утилиты genkpim из пакета КриптоПро CSP:
genkpim.exe.

Введите в консоль команду вида: .genkpim.exe y ABC12345
C:\gamma, где «y» – количество отрезков
гаммы, в нашем примере нужно создать 8; «ABC12345» –
номер комплекта внешней гаммы (задайте произвольно 8 символов в
шестнадцатеричном коде); «C:\gamma» – путь сохранения
файлов гаммы (директория gamma в данном примере уже создана
заранее).

Затем сгенерируйте случайную последовательность символов при помощи мыши и
клавиатуры.

Загрузите файл гаммы через веб-интерфейс: зайдите в меню Gamma Upload, затем
выберите файл гаммы вида kis_1 и нажмите Upload.

Следующим действием следует создать Серверный мандат (англ.
Server credential), который состоит из сертификата и закрытого ключа и
необходим для организации защищённого TLS соединения между шлюзом NGate и
соответствующим приложением на клиентском устройстве пользователя. Перейдите на
страницу создания серверных мандатов и войдите в окно генерации запроса:

В окне генерации запроса на Серверный сертификат введите обязательные
параметры: имя Name мандата в системе, алгоритм шифрования
Algorithm (в данном примере GOST 2022
256bit). Самым важным полем в форме запроса является поле
Subject CN. Значение данного поля должно совпадать в данном примере с
именем машины [hostname] шлюза. Это же имя добавьте в поле DNS
names.

Прим.: В тестовой сети DNS-сервер отсутствует, то в файле hosts
клиентского компьютера придется прописать соответствие адреса внешнего
интерфейса шлюза его имени.

Скопируйте текст запроса из поля Request text кнопкой
Copy.

Перейдите к веб-интерфейсу уже использовавшегося тестового УЦ и нажмите на Отправить
готовый запрос PKCS#10 или PKCS#7 в кодировке Base64.

Вставьте запрос на сертификат в соответствующее поле Сохранённый
запрос и нажмите Выдать >.

Выберите формат шифрования сертификата Base 64 и нажмите
Загрузить сертификат.

Откройте ранее созданный запрос на сертификат на странице Server
Credentials кнопкой Edit. Выбрать и открыть полученный
файл сертификата и нажмите Upload.

Серверный мандат успешно сформирован и добавлен в ПО NGate.

Вернитесь к настройке конфигурации. Далее создадим туннельный ресурс, который
будет опубликован на портале:

Введите параметры ресурса. Задайте имя ресурса Name в
системе. В поле Suffix часть имени URL ресурса, например
local. Остальные параметры оставьте по умолчанию.
Сохраните настройки Save.

Профиль ресурса успешно создан и доступен для добавления в конфигурацию.

Создайте элемент подсетей: на вкладке Networks нажмите
Add Network group.

Введите имя элемента подсетей в системе в поле Name.
Нажмите Add в поле Subnets и введите
параметры подсетей 192.168.100.0 и маски подсети
255.255.255.0. Нажмите Save для сохранения.

Теперь перейдите в свойства портала (выберем нужный портал на вкладке
Portals конфигурации) и нажмите кнопку
Add dynamic tunnel rules, чтобы
создать новое правило доступа к туннельным ресурсам.

Выберите Default route domain в выпадающем меню.

Выберите Группы доступа (Groups) и Подсети
(Networks), которые будут присоединены к порталу.
Кликните по профилям в соответствующих полях и нажмите Save.

Выполните привязку к порталу ранее добавленного Серверного мандата
(Server credential). Перейдите на вкладку
Certificates настроек портала и нажатие кнопку
Assign в поле Server Credentials
для входа в меню привязки.

Выполните привязку ранее добавленного Серверного мандата (Server
credentials), установите галочку в поле сертификата и нажмите Save.

Выполните привязку ранее добавленного Сертификат УЦ проверки подлинности
серверного мандата (Сredentials CA Certificates). Для входа
в меню привязки нажмите Assign в соответствующем
поле.

В соответствующем поле сертификата УЦ установите галочку и нажмите Assign для привязки и возврата в
меню сертификатов портала.

Выполните привязку ранее добавленного Сертификата доверенного УЦ
(Trusted CA certificates) для проверки подлинности
клиентских сертификатов. Для входа в меню привязки нажмите
Assign в соответствующем поле.

Выберите Assign в соответствующем поле и установите
галочку в поле сертификата, нажмите
Save

После выполнения всех предыдущих пунктов опубликуйте конфигурацию: перейдите на
главную страницу конфигурации и нажмите кнопку Publish возле названия
конфигурации.

Дождитесь завершения публикации. Если публикация конфигурации прошла успешно,
то будет выведено сообщение .

Далее настройте ресурс в защищаемом сегменте сети. В данном примере будет
использован хост с ОС Ubuntu с запущенным на порту 80 веб-сервером nginx.
В качестве адреса шлюза введен адрес внутреннего интерфейса шлюза NGate (для
демонстрационного стенда в данном примере:
192.168.1.3).

1. Создайте виртуальную машину с параметрами достаточными для работы
   Ubuntu, используемой версии.
2. Установите ОС Ubuntu на виртуальную машину.
3. Запустите nginx. Для Ubuntu, начиная с версии 16.04, необходимые
   пакеты доступны по умолчанию. Введите команду для запуска
   nginx:

   sudo apt install nginx

Настройте сетевое взаимодействие между шлюзом NGate и виртуальной машиной с
защищаемыми ресурсами.

Прим.: В демонстрационном стенде в данном примере будет создано простое сетевое
взаимодействие между шлюзом и машиной с Ubuntu с применением статической
адресации.

1. Настройте на машине Ubuntu сетевой статический адрес в той же подсети,
   что и внутренний сетевой адрес демонстрационного
   стенда. Для используемого в примере стенда это:
   192.168.1.3.
2. Настройте на виртуальных машинах тип сетевого интерфейса LAN
   segment.
3. Произведите тестовый пинг с шлюза и машины с ресурсами, чтобы проверить
   взаимную доступность.
4. Настройте передачу данных с машины с ресурсами на шлюз.

В качестве проверки работоспособности будет произведена отправка на ICMP
пакетов на шлюз NGate. Также будет продемонстрирован доступ на страничку
приветствия nginx. Процесс установки и настройки клиентской машины описан
в разделе: Настройка пользовательской машины и подключение к шлюзу NGate с помощью VPN доступа.

Настройки узлов

Новой функциональностью в разделе веб-интерфейса «Кластеры» стали возможности создания VLAN- и агрегированных сетевых интерфейсов (Bond-интерфейсов).

Рисунок 19. Общая информация об узлах кластера в веб-интерфейсе «КриптоПро NGate»

Рисунок 20. Сетевые интерфейсы узла кластера в веб-интерфейсе «КриптоПро NGate»

При объединении сетевых интерфейсов поддерживаются различные алгоритмы агрегации. При этом происходит создание логического или виртуального сетевого интерфейса, объединяющего несколько физических. Эта технология позволяет повысить отказоустойчивость сети (при объединении нескольких одинаковых интерфейсов выход из строя одного из них не повлияет на работоспособность сети) и повысить её пропускную способность.

Рисунок 21. Создание Bond-интерфейса в «КриптоПро NGate»

Новые функции и улучшения

С момента выхода первой версии NGate было добавлено множество новых функций и возможностей, доработан пользовательский интерфейс консоли управления. Большое количество изменений связано с повышением удобства и упрощением взаимодействия с программным комплексом и оптимизацией его работы и быстродействия в целом.

Далее мы кратко перечислим новые функции и возможности или улучшения NGate версии 1.0 R2:

Панель управления

После авторизации пользователь попадает на главную страницу — вкладку «Системная информация» панели управления. Сам интерфейс доступен на двух языках: русском и английском, с возможностью переключения между ними в любой момент.

Здесь отображается информация о работоспособности устройств криптошлюза и основные сведения о кластерах (конфигурации, используемые лицензии, узлы; порталы, которые привязаны к кластеру, и ресурсы этих порталов).

Полезной и удобной функцией в новой версии стали предупреждения о скором окончании срока действия сертификатов (ключей) порталов. Эта информация доступна также в виде цветовых меток слева от каждого портала и по протоколу мониторинга SNMP (данные о посещении мандатов).

Рисунок 5. Вкладка «Системная информация» панели управления «КриптоПро NGate»

Режимы работы

Подробное описание основных режимов работы шлюза приведено на основной странице, посвящённой его особенностям. Мы дадим краткое определение этих режимов, достаточное для формирования чёткого представления о них.

Сервер портального доступа

В дополнение к традиционным методам доступа, которые требуют установки VPN-клиента на удаленном устройстве, NGate обеспечивает возможность подключаться к внутренним ресурсам организации в том числе с использованием веб-браузеров, поддерживающих протокол TLS с ГОСТ.

Это может быть особенно полезно в том случае, когда пользователям необходимо предоставить доступ к строго ограниченным ресурсам. Таким образом, значительно расширяются возможности и варианты управления доступом к ресурсам организации, а также появляются возможности наиболее гибко обеспечивать удалённый доступ различным категориям пользователей с разными уровнями доверия как к самим пользователям, так и к устройствам, с которых осуществляется удаленный доступ.

В отличие от доступа по протоколу IPsec и другим протоколам уровня сети, которые обеспечивают доступ к ресурсам на уровне IP (подсеть или отдельный компьютер), с использованием портального доступа можно обеспечить более гибкое и безопасное разграничение доступа по протоколу TLS (SSL), ограничивая доступ пользователя в корпоративную сеть только определенными веб-приложениями.

Таким образом, режим сервера портального доступа может использоваться для организации персонального аутентифицированного доступа пользователей с использованием браузера к опубликованным на портале NGate ресурсам.

В процессе предоставления доступа проводится процедура аутентификации, после прохождения которой пользователь попадает на веб-портал, персонализированный в соответствии с ролью пользователя. При этом, на портале отображается список веб-ресурсов, доступ к которым разрешен пользователю в соответствии с корпоративными политиками безопасности.

Системные требования «криптопро ngate»

NGate сертифицирован ФСБ России по классам защиты КС1, КС2 и КС3 и может поставляться как в виде программно-аппаратного комплекса, с предустановкой программного обеспечения на специализированные сетевые аппаратные платформы в различных конфигурациях в зависимости от необходимых технических параметров, вычислительных мощностей и требований инфраструктуры каждой конкретной организации, так и в виде программного обеспечения для развёртывания в среде виртуализации.

В первом случае компания приобретает оборудование для системы управления NGate (две модели) и каждого из узлов кластера (шесть вариантов). В следующих двух таблицах мы собрали основные технические характеристики и показатели производительности аппаратных платформ NGate.

Таблица 1. Основные характеристики аппаратных платформ «КриптоПро NGate» (центр управления сетью)

Таблица 2. Основные характеристики аппаратных платформ «КриптоПро NGate» (узел кластера)

Для развёртывания NGate в виде виртуальной программной платформы виртуальные машины должны удовлетворять определённым системным требованиям. Мы перечислили их в таблице далее.

Таблица 3. Системные требования для установки системы управления «КриптоПро NGate» в среде виртуализации

Как видно, эти требования являются легко выполнимыми. Однако при использовании NGate в среде виртуализации возникают другие ограничения: происходит понижение класса криптографической защиты до КС1.

К программной и аппаратной частям пользовательских устройств для работы VPN-клиента NGate особых требований не предъявляется. Работа VPN-клиента возможна практически на всех популярных настольных и мобильных операционных системах, включая отечественные программные и аппаратные разработки:

• Microsoft Windows версий 7, 8, 8.1, 10, 11,
• macOS версий 10.10–10.15, 11,
• Linux (RHEL, CentOS, Debian, Ubuntu, ROSA, Astra, ALTLinux и другие),
• iOS,
• Android,
• «Аврора».

Для получения доступа к защищаемым ресурсам пользователь может применять VPN-клиент NGate, веб-браузер либо собственное мобильное приложение после встраивания в него криптопровайдера «КриптоПро CSP 5.0 R2» (реализует поддержку TLS с ГОСТ для операционных систем iOS, Android и «Аврора» без дополнительных тематических исследований).

Выводы

Криптографический шлюз «КриптоПро NGate» 1.0 R2 является универсальным решением для организации удалённого доступа к корпоративным ресурсам и публичным веб-порталам, которое может служить основой множества различных сценариев применения в зависимости от поставленных задач.

Установка серверной части шлюза возможна как на специализированные сертифицированные сетевые аппаратные платформы, предоставляемые компанией «КриптоПро», так и в уже развёрнутой виртуальной среде заказчика. Кроме того, успешно проведена работа по реализации поддержки аппаратных решений на основе российского процессора «Байкал».

В качестве решений для работы клиентского ПО шлюза поддерживается значительное количество мобильных и настольных операционных систем, а также аппаратных платформ как зарубежной, так и отечественной разработки. В рамках реализации целей по продвижению импортозамещения особое внимание было уделено аппаратным решениям на основе процессоров «Байкал» и «Эльбрус», отечественным ОС «Альт», «Астра Линукс», «РедОС» и т. д.