CryptoPro | CryptoPro NGate

Содержание

Введение
Rosa crypto tool
Tls-сервер доступа к веб-сайтам
Архитектура криптопро ngate
Аутентификация по сертификату (linux console)
Возможности интеграции
Настройка доступа
Обслуживание в ходе эксплуатации
Подготовка к эксплуатации
Подпись средствами «криптопро csp»
Предварительные замечания
Режимы функционирования
Системные требования «криптопро ngate»

Введение

Компания КриптоПро работает на рынке производителей отечественных средств криптографической защиты информации (СКЗИ) без малого 20 лет и успела завоевать в отрасли одно из лидирующих положений. Вплоть до последнего времени этот бренд вызывал устойчивые ассоциации с криптопровайдером, средствами электронной подписи (ЭП) и средствами удостоверяющих центров (УЦ). Более того, для многих людей он успел стать едва ли не собирательным образом для обозначения таких СКЗИ.

Относительно недавно в линейке продуктов компании произошло пополнение. Оказалось, что компания в течение нескольких последних лет проводила планомерную работу по созданию продукта иного типа, результатом которой стал NGate — высокопроизводительный TLS-шлюз, позволяющий построить полноценную VPN-сеть для обеспечения защищенного удаленного доступа пользователей к информационным ресурсам.

Важнейшим конкурентным преимуществом продукта стала одновременная поддержка как TLS-ГОСТ, так и зарубежных криптонаборов TLS. Кроме того, обратить на него пристальное внимание заставляет возможность одновременной работы как с VPN-клиентами, так и в условиях веб-доступа, в режиме терминации TLS-соединений. Во многих существующих альтернативных решениях те же возможности зачастую предполагают использование разных продуктов.

Рисунок 1. Одновременная поддержка отечественных и зарубежных алгоритмов в КриптоПро NGate

Появление на рынке СКЗИ продукта с такой функциональностью следует признать крайне своевременным. Конечно, всегда были и будут востребованы средства, позволяющие решать проблему защиты удаленного доступа к сервисам электронной почты, веб-консолям управления различными ИТ-системами, системам обмена знаниями, корпоративным порталам, удаленным рабочим столам, файловым серверам, офисному программному обеспечению, системам электронного документооборота и т.п.

Подавляющее большинство пользователей российского сегмента интернета, независимо от того, являются ли они частными лицами или сотрудниками организаций, используют операционные системы (ОС) и прикладное программное обеспечение (ПО) зарубежного производства. Наличие необходимых криптографических примитивов для реализации протокола TLS на основе зарубежных криптографических стандартов обеспечивается встраиванием криптографических библиотек и сертификатов зарубежных УЦ в состав ОС и/или браузера. Хотя в РФ есть УЦ, которые выдают собственные SSL-сертификаты, последние не предустановлены в ОС и веб-браузерах, и даже те российские сайты, которые используют проверенные сертификаты, все равно получают их в зарубежных центрах сертификации.
Описанная ситуация складывалась в российском сегменте интернета на протяжении многих лет, но негативные побочные эффекты стали очевидны лишь теперь. В качестве примера уместно вспомнить хотя бы прошлогоднюю историю с отзывом компанией GeoTrust SSL-сертификата Общественной палаты РФ в результате санкционной политики со стороны США. После этого инцидента были развеяны последние сомнения в том, что перечень оснований для отзыва сертификата далеко не ограничивается компрометацией закрытого ключа, а вполне может быть обусловлен политическими и экономическими причинами.
В качестве меры противодействия было принято решение о реализации перехода государственных учреждений на использование российских криптографических алгоритмов и средств шифрования в рамках электронного взаимодействия между собой, с гражданами и организациями (Поручение Президента РФ № Пр-1380 от 16.07.2022). Конечно, все понимают, что в одночасье решить проблему невозможно, переход должен быть постепенным. Поэтому на некотором этапе, по-видимому, нужно обеспечить бесконфликтное сосуществование на российских веб-серверах TLS-сертификатов как отечественного, так и зарубежного происхождения. На первых порах это позволит пользователю получать доступ к ресурсам российских сайтов независимо от того, поддерживает ли его браузер отечественные алгоритмы или еще нет.

По инициативе Банка России и Минкомсвязи России создана и развивается единая биометрическая система (ЕБС), призванная обеспечить предоставление цифровых коммерческих и государственных услуг для граждан в любое время и в любом месте.
Применение удаленной биометрической идентификации клиентов в финансовой сфере регламентировано Федеральным законом «О внесении изменений в отдельные законодательные акты Российской Федерации» от 31.12.2022 N 482-ФЗ. Согласно 482-ФЗ, концепция получения доступа к услугам «в любое время и в любом месте» подразумевает возможность использования клиентом в этих целях любого устройства, будь то смартфон, планшет или стационарный компьютер.
Какой бы способ клиент ни выбрал, ему должна быть предоставлена возможность использовать для доступа сертифицированное СКЗИ с алгоритмами ГОСТ. И если в сценарии с использованием мобильного устройства право превращается в обязанность (клиенту будет попросту отказано в удаленной идентификации, если на смартфоне не установлено СКЗИ, сертифицированное ФСБ России по классу КС1), то при доступе со стационарного компьютера у клиента появляется выбор — он вполне может использовать для защиты доступа и зарубежные криптоалгоритмы. Для серверной стороны (информационной системы банка), реализующей для защиты канала связи протокол TLS, это означает, что нужно одновременно обеспечить поддержку как TLS-ГОСТ, так и зарубежного TLS. Насколько нам известно, в настоящее время на рынке только у NGate имеется соответствующая функциональность.
Из приведенных примеров видно, что КриптоПро, вооружившись продуктом NGate, имеет все основания претендовать на статус компании, имеющей в своем портфеле наиболее актуальные решения. Предлагаем рассмотреть подробнее, каким образом и за счет каких внутренних механизмов NGate достигаются анонсированные положительные эффекты.

Rosa crypto tool

Как следует из названия, это утилита для работы с электронной подписью и шифрованием для дистрибутива ROSA Linux. В данный момент утилита доступна в репозиториях Rosa Linux и Alt Linux.

Эта утилита разрабатывается одним человеком – Михаилом Вознесенским. У нее простой, но удобный интерфейс. На данный момент утилита находится в активной разработке – с ноября 2022 года мне удалось протестировать три версии. Последняя версия, доступная на момент написание статьи — 0.2.2.

Что внутри? Утилита написана на Python с использованием PyQt4 для графического интерфейса.

Установить ее можно, использовав «Управление программами» в Rosa Linux.

Вставляем токен и запускаем утилиту.

Видим, что токен определился успешно и был найден наш сертификат.

Интерфейс программы настолько прост, что описывать и показывать в статье все его функции не имеет смысла. Попробуем только подписать файл.

Выбираем файл и жмем “Подписать файл”. Получаем вот такое предупреждение.

Нажимаем «OK» и получаем информацию о том, что файл был подписан успешно.

Основное достоинство этой утилиты в том, что она совершенно бесплатная, в отличии нашего следующего продукта.

По сравнению с использованием «КриптоПро CSP» из консоли:

На порядок проще использовать;— Отсутствуют различные параметры подписи.

Исходный код программы доступен в публичном репозитории на ABF:abf.io/uxteam/rosa-crypto-tool-develСистема контроля версий, которую использует «НТЦ ИТ РОСА», интегрирована в сборочную среду и базируется на Git. Можно вполне использовать любой клиент git.

Надеюсь, разработчики других отечественных дистрибутивов Linux, таких как Astra Linux, GosLinux и другие добавят в свои дистрибутивы пакеты с rosa-crypto-tool.

Tls-сервер доступа к веб-сайтам

В режиме TLS-сервера обеспечивается прозрачный защищённый доступ пользователей к защищаемым публичным веб-сайтам организации с использованием браузера и обеспечением уровня защищённости до класса КС3 включительно.

Таким образом, обеспечивается высокий уровень криптографической защиты сайта, функции шифрования выносятся на отдельный высокозащищённый шлюз, тем самым разгружая сайт, обеспечивая ему возможность использовать освободившиеся ресурсы на его основные функции. Кроме того, обеспечивается более высокий уровень защищённости сайта в целом.

При этом одновременно поддерживаются как отечественные, так и зарубежные криптографические алгоритмы, за счёт чего возможно обеспечение постепенного и бесшовного перевода пользователей на использование отечественных криптографических алгоритмов (TLS с ГОСТ) при доступе к веб-сайтам организации.

Так, например, в настоящее время, реализован доступ пользователей к официальному сайту КриптоПро, при котором, в случае поддержки браузером пользователя отечественных криптографических алгоритмов доступ к сайту автоматически осуществляется по TLS с ГОСТ, в иных же случаях — с использованием зарубежных алгоритмов.

В данном режиме решение также может использоваться для обеспечения криптографической защиты конфиденциальной информации в системах видеоконференцсвязи, телемедицины и других информационных системах, предоставляющих доступ пользователей через браузер.

Архитектура криптопро ngate

В состав КриптоПро NGate входят следующие компоненты:

серверная часть (собственно криптошлюз и система управления);
клиентская часть (опционально).

При внедрении в небольшие организации, которые не испытывают потребности в обеспечении отказоустойчивости при организации защищенного удаленного доступа, фактически достаточно установки единственного шлюза, контролирующего доступ к приложениям невысокого уровня критичности.

В этом случае криптошлюз целесообразно объединить с системой управления в единой аппаратной или виртуальной платформе. Функции управления при этом могут выполняться с любого автоматизированного рабочего места (АРМ) администратора с помощью веб-браузера с поддержкой алгоритмов ГОСТ.

Рисунок 2. Схема внедрения КриптоПро NGate с установкой шлюза и системы управления на одну аппаратную платформу

Если требуется создать отказоустойчивую систему доступа к критичным информационным ресурсам организации, предпочтительно использовать схему кластерного внедрения.

Рисунок 3. Схема внедрения КриптоПро NGate с раздельной установкой криптошлюзов и системы управления

В этой схеме несколько криптошлюзов объединяются в кластер, который может объединять до 32 нод, а система управления устанавливается на отдельный сетевой узел. При этом кластер может быть распределен по нескольким центрам обработки данных (ЦОД).

Схема кластерного развертывания допускает возможность применения имеющегося в организации балансировщика нагрузки. Выход из строя какого-либо элемента кластера не приводит к разрыву соединений, поскольку данные о сессии синхронизируются балансировщиком между устройствами и соединение перераспределяется на свободные узлы.

Централизованная система управления позволяет производить настройку, мониторинг и управление всеми шлюзами доступа организации. Предусмотрена возможность удаленной автоматизированной загрузки конфигураций на все узлы кластера, а также получение параметров работы кластера из единого центра управления в режиме онлайн.

Аутентификация по сертификату (linux console)

Запустите консоль.

CTRL Левый
ALT F1..F6

Установите корневой сертификат (для подключению к тестовому шлюзу NGate
установите сертификат тестового УЦ КриптоПро: https://testgost2022.cryptopro.ru/certsrv/):

certmgr -inst -store root -file <путь к файлу с
сертификатом>

Установите личный сертификат (для подключению к тестовому шлюзу NGate
установите пользовательский сертификат тестового УЦ КриптоПро):

certmgr -inst -file <путь к файлу с сертификатом> -cont <имя
контейнера>

При помощи утилит из комплкекта КриптоПро CSP посмотрите список сертификатов
для текущего пользователя.

Введите команду вывода информации о сертификатах текущего пользователя
с уникальными именами ключевых контейнеров:
user@astra: /opt/cprocsp/bin/amd64/csptest -keys -enum_c
-verifyc -fqcn -uniq

Используйте утилиту для работы с сертификатами, CRL и хранилищами.
Введите имя контейнера сертификата, для которого необходимо вывести
подробную информацию, имя должно быть заключено в апострофы.

user@astra: /opt/cprocsp/bin/amd64/certmgr -list -cont
‘\.HDIMAGEsslClientGui000001’

Certmgr 1.1 (c) "КРИПТО-ПРО", 2007-2020.
Программа для работы с сертификатами, CRL и хранилищами.
=============================================================================
1-------
Издатель            : OGRN=1234567890123, INN=001234567890, STREET=ул. Сущёвский вал д. 18, C=RU, S=г. Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN="Тестовый УЦ ООО ""КРИПТО-ПРО"""
Субъект             : CN=RR555, O=test, OU=test, C=RU
Серийный номер      : 0x7C000394F3123EC1DD057A62140001000394F3
Хэш SHA1            : ae1cc6a8a47cfbaac2095d342ed3340b241cafa0
Идентификатор ключа : bad26dd65a77c3f9f861d20247b520714dd63372
Алгоритм подписи    : ГОСТ Р 34.11-2022/34.10-2022 256 бит
Алгоритм откр. кл.  : ГОСТ Р 34.10-2022 256 бит (512 бит)
Выдан               : 18/08/2021  11:54:05 UTC
Истекает            : 18/11/2021  12:04:05 UTC
Ссылка на ключ      : Сертификат из контейнера. Нет ссылки на ключ
URL сертификата УЦ  : http://testgost2022.cryptopro.ru/CertEnroll/root2022.crt
OCSP URL            : http://testgost2022.cryptopro.ru/ocsp2022g/ocsp.srf
OCSP URL            : http://testgost2022.cryptopro.ru/ocsp2022gst/ocsp.srf
URL списка отзыва   : http://testgost2022.cryptopro.ru/CertEnroll/!0422!0435!0441!0442!043e!0432!044b!0439 !0423!0426 !041e!041e!041e !0022!041a!0420!0418!041f!0422!041e-!041f!0420!041e!0022(1).crl
URL списка отзыва   : http://testgost2022.cryptopro.ru/CertEnroll/testgost2022(1).crl
Назначение/EKU      : 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
=============================================================================

[ErrorCode: 0x00000000]

Субъект CN и Хэш SHA1 могут быть использованы для идентификации
сертификата клиентом NGate при аутентификации на шлюзе.

Выполните команду подключения к шлюзу NGate по значению поля CN сертификата.

Пример команды:

./ngateconsoleclient -vvvv -C userCN -P 1234
https://ng-test-cert.ecp64.ru

Выполните команду подключения к шлюзу NGate по значению SHA1 отпечатка
сертификата.

Пример команды:

Выполните команду подключения к шлюзу NGate по уникальному имени ключевого
контейнера.

Пример команды:

ngateconsoleclient.exe -vvv —containerpath
\.HDIMAGEHDIMAGE\sslClien.001EB2E -P 1234
https://ng-test-cert.cryptopro

Возможности интеграции

Для расширения функциональных возможностей и формирования комплексных решений по защите сети, а также различных систем и ресурсов организации в соответствии с существующими потребностями бизнеса NGate можно гибко интегрировать с различными системами.

Таблица 5. Примеры сторонних систем, с которыми возможна интеграция «КриптоПро NGate»

Тип	Системы
Решения по обеспечению безопасности ЕБС	Типовые решения «Ростелекома», «Центра Финансовых Технологий» (ЦФТ) и IDSystems по обеспечению безопасности при взаимодействии банков с ЕБС
Специализированные аппаратные платформы	Промышленные планшеты MIG T10 и MIG T8, планшет «ПКЗ 2020», тонкие клиенты Dell Wyse и ТОНК, аппаратные платформы Getac
Системы видео-конференц-связи	TrueConf Server
Межсетевые экраны для веб-приложений	Сервис защиты веб-приложений Wallarm
Межсетевые экраны	Межсетевые экраны компаний Check Point, Fortinet, Ideco, UserGate
Системы класса Mobile Device Management (MDM)	SafePhone MDM, Microsoft Intune
Системы мониторинга и SIEM	«КриптоПро Центр Мониторинга» и любые сторонние системы, поддерживающие стандартные протоколы SNMP и Syslog
Системы аутентификации	Внешние службы каталогов (Microsoft AD, LDAP, FreeIPA, OpenLDAP, ApacheDS и др), RADIUS-серверы (Windows Server NPS, FreeRADIUS и т. д.)
Системы аутентификации на основе OTP	Продукт JaCarta Authentication Server (JAS) компании «Аладдин Р.Д.», решения компании Indeed-ID

Настройка доступа

После развертывания инфраструктуры ключей администратор получает доступ к веб-интерфейсу администрирования NGate, с помощью которого производится настройка криптошлюза, параметров мониторинга и управления.

Организация доступа пользователей не вызывает каких-либо затруднений, хотя и требует известной внимательности в ходе выполнения довольно значительного количества элементарных операций. Логика требуемых шагов применительно к небольшой организации и уж тем более, как в нашем случае, в тестовых целях может выглядеть несколько громоздкой и избыточной.

Итак, для настройки доступа пользователей к порталу потребуются следующие шаги:

создание кластера. Все узлы NGate (криптошлюзы) в рамках системы управления должны быть объединены в кластеры. Кластер может включать в себя до 32 узлов;
создание и настройка узлов внутри кластера;
ввод лицензионных ключей. В ознакомительных целях КриптоПро предоставляет возможность бесплатного использования продукта в течение пробного периода длительностью три месяца с ограниченным числом подключений к шлюзу NGate. Для полноценного использования программного обеспечения NGate необходимо произвести активацию и ввести лицензионный ключа кластера и лицензионный ключ «КриптоПро CSP»;
создание элемента серверного мандата. Серверный мандат состоит из сертификата сервера и закрытого ключа, которые публикуются на портале. Данный сертификат необходим для организации TLS-соединения между шлюзом NGate и клиентским устройством пользователя;
настройка балансировщиков нагрузки (если предполагается их использование);
создание конфигураций — логические элементы, описывающие параметры кластера, защищаемые шлюзом NGate ресурсы и права доступа к ним;
создание порталов для каждой конфигурации — логические элементы, описывающие параметры групп защищаемых ресурсов, ресурсы и права доступа к ним;
создание сетевых ресурсов: веб-ресурсов, динамических туннельных ресурсов, redirect-ресурсов;
задание в конфигурации прав доступа к сетевым ресурсам (Access Control List) в зависимости от используемого метода аутентификации: на основе членства пользователей в группах LDAP, на основе информации в полях пользовательского сертификата, на основе ограничений по дате и времени;
задание в конфигурации привязки прав доступа к защищаемым сетевым ресурсам, которая определяет, при выполнении каких правил доступа пользователь получит доступ к тому или иному ресурсу на портале;
публикация конфигураций. В ходе этого процесса формируются и отправляются на узлы системы необходимые конфигурационные файлы. Далее производится проверка базовых параметров конфигурации и подготовка конфигурации к использованию. Если этот процесс завершится без сбоев, то система выполнит активацию конфигурации. В противном случае в интерфейсе системы управления будет отображено уведомление об ошибке, и текущая конфигурация останется без изменений.

Обслуживание в ходе эксплуатации

Выше мы уже обращали внимание, что объем действий, который может потребоваться от администратора в процессе эксплуатации изделия, сравнительно невелик. Из их числа можно выделить следующие типовые сценарии.

Настройка параметров сетевых интерфейсов и доступа по SSH. Требуется при внесении каких-либо изменений в конфигурацию сети организации и может быть выполнена из веб-интерфейса системы управления NGate. Разрешение сетевого доступа к изделию по протоколу SSH рекомендуется к применению исключительно для диагностики, устранения неполадок и просмотра текущих настроек.

Рисунок 9. Настройка параметров сетевых интерфейсов КриптоПро NGate

Мониторинг расходования ресурсов и проверка состояния криптошлюза NGate. Обратиться к соответствующим функциям администратору, возможно, потребуется при необходимости выявления нештатных ситуаций в работе изделия, связанных с некорректным функционированием или снижением производительности (например, вследствие утечек памяти или сетевых ресурсов).

Для этого потребуется обеспечить локальный доступ к аппаратной платформе с помощью консольного терминала или монитора и клавиатуры, подключенных к коммуникационным портам COM и USB. В ходе мониторинга и проверки состояния администратор в консольном режиме получает возможность выполнять различные команды NGate, позволяющие производить диагностику неисправностей.

В штатном же режиме возможен мониторинг основных параметров устройства по протоколу SNMP.

Кроме того, с помощью различных консольных команд администратор может выполнять и другие рутинные операции (полный список доступных команд приведен в эксплуатационной документации на изделие):

смена паролей администраторов (команды ngpasswd, ngwebpasswd);
резервное копирование и восстановление конфигурации кластера (команда ng-backup);
сбор диагностической информации о системе (команда ng-info);
изменение имени устройства (файл /etc/hostname);
обновление ПО NGate (команда ng-updater).

Подготовка к эксплуатации

Типовой процесс установки и первичной настройки NGate включает следующие этапы.

Подготовка аппаратной платформы для установки операционной системы NGate

В рамках данного этапа нужно организовать подключение аппаратных платформ для узлов NGate и системы управления к сети организации.

При этом обязательно нужно учитывать, что аппаратные платформы, которые предполагается использовать в качестве узлов NGate, должны иметь одинаковые технические характеристики.

Создание внешнего загрузочного носителя

В нашем случае, т. е. для минимальной конфигурации системы, в рамках которой функциональность шлюза совмещена с функциональностью системы управления, используется исполнение Complete установочного образа. Для создания загрузочного носителя образа может использоваться любое стороннее программное обеспечение — например, программа Rufus.

Организация локального доступа

Поскольку в процессе настройки изделия потребуется наличие консольного доступа к аппаратной платформе, следует либо подключить при помощи кабеля к консольному порту RJ-45 ноутбук, либо подключить монитор к порту RJ-45 и клавиатуру к USB-порту.

Примечание. Разумеется, в случае использования виртуальной платформы выполнение перечисленных выше этапов не требуется. Вместо них достаточно установить дистрибутив .iso в CD-привод виртуальной машины и включить в BIOS виртуальной машины загрузку с установочного диска.

Рисунок 6. Начало процесса установки КриптоПро NGate

Дальнейший порядок установки для аппаратных и виртуальных платформ почти не имеет отличий.

Установка ПО NGate

Подпись средствами «криптопро csp»

В составе «КриптоПро CSP» есть утилита csptestf, позволяющая выполнять различные криптографические операции. Как я уже писал выше, у этой утилиты есть 2 недостатка:

Подписать можно с помощью команды:

csptestf –sfsign –sign –in <имя файла> -out <имя файла> -my ‘Trusted eSign Test’ –detached –alg GOST94_256

Здесь,

my — параметр, в котором надо указать часть Common Name сертификата для подписи;

detached — позволяет создать открепленную подпись;

alg GOST94_256 — задает алгоритм хэширования, который будет использоваться при создании подписи.

Более подробную информацию о возможных параметрах вы можете получить, выполнив команду:

csptestf –sfsign

Такой интерфейс отлично подходит для подготовленного пользователя или для автоматизации операций в скриптах.

Поговорим теперь об утилитах, которые облегчают жизнь обычным пользователям при работе с подписью и шифрованием в Linux.

Предварительные замечания

Работа с КриптоПро NGate подразумевает выполнение набора процедур в рамках администрирования и использования, что справедливо в отношении, пожалуй, любого программного или программно-аппаратного продукта.

Функции администрирования КриптоПро NGate можно условно разделить на две группы:

подготовка к эксплуатации и настройка доступа пользователей;
обслуживание ходе эксплуатации.

Даже самое поверхностное знакомство с продуктом позволяет понять, что задача администрирования требует выполнения значительного объема работ, что, впрочем, неудивительно для сложного технического изделия, реализующего большое количество функций. Однако, к счастью, львиная доля усилий требуется только на начальном этапе, а в процессе штатной эксплуатации потребность в постоянном участии администратора отсутствует.

Для успешной настройки программного обеспечения NGate администратор должен обладать необходимой компетенцией, предполагающей наличие высокой квалификации и знаний в области создания сетевой инфраструктуры, уверенное владение основными понятиями в области создания инфраструктуры открытых ключей (PKI), основам работы с операционной системой Debian.

В свою очередь, со стороны пользователя требуются лишь минимальные усилия для того, чтобы работать в системе, защищенной с помощью КриптоПро NGate, и специальных требований по квалификации к пользователю не предъявляется.

Режимы функционирования

КриптоПро NGate обладает развитыми средствами полномочного управления, в результате применения которых пользователи получают доступ только к заданным ресурсам в соответствии с применяемыми политиками безопасности. Использование такого подхода существенно упрощает процедуру администрирования большого количества разных групп пользователей с доступом к значительному числу различных ресурсов, уменьшает ошибки администрирования и снижает риск утечки конфиденциальных данных.

КриптоПро NGate предоставляет возможность работы в различных режимах, из числа которых можно выделить три основных.

Режим TLS-терминатора

Классическое применение данного режима — системы дистанционного банковского обслуживания (ДБО). При этом криптошлюз устанавливается посередине между клиентским компьютером и целевыми информационными ресурсами, терминирует сетевой трафик и без прохождения аутентификации пользователя передает его далее на целевой ресурс.

Рисунок 5. Работа КриптоПро NGate в режиме TLS-терминатора

Режим портального доступа

В режиме портального доступа может дополнительно проводиться процедура аутентификации. При доступе через браузер пользователи попадают в свой личный портал, персонализированный в соответствии с ролью (см. рисунок 2). При этом на портале отображается список ресурсов, к которым пользователи имеют доступ в соответствии с корпоративными политиками безопасности. В список ресурсов могут входить различные веб-приложения.

Системные требования «криптопро ngate»

NGate сертифицирован ФСБ России по классам защиты КС1, КС2 и КС3 и может поставляться как в виде программно-аппаратного комплекса, с предустановкой программного обеспечения на специализированные сетевые аппаратные платформы в различных конфигурациях в зависимости от необходимых технических параметров, вычислительных мощностей и требований инфраструктуры каждой конкретной организации, так и в виде программного обеспечения для развёртывания в среде виртуализации.

В первом случае компания приобретает оборудование для системы управления NGate (две модели) и каждого из узлов кластера (шесть вариантов). В следующих двух таблицах мы собрали основные технические характеристики и показатели производительности аппаратных платформ NGate.

Таблица 1. Основные характеристики аппаратных платформ «КриптоПро NGate» (центр управления сетью)

Параметр	«NGate ЦУС 100»	«NGate ЦУС 200»
Формфактор	1U
Параметры блока питания	150 Вт АТХ	300 Вт ATX, резервный БП (PSU)
Сетевые интерфейсы	RJ-45 1GbE × 6 шт.	RJ-45 1GbE × 8 шт. SFP LAN 10 GbE × 4 шт.

Таблица 2. Основные характеристики аппаратных платформ «КриптоПро NGate» (узел кластера)

Параметр	NGate 3000	NGate 2000	NGate 1500	NGate 1000	NGate 600	NGate 320
TLS Proxy	До 45 000 подключений, до 20 Гбит/c	До 15 000 подключений, до 8 Гбит/c	До 8 000 подключений, до 4 Гбит/c	До 4 000 подключений, до 2,3 Гбит/c	До 2 000 подключений, до 1 Гбит/c	До 500 подключений, до 0,6 Гбит/c
TLS VPN	До 12 000 подключений, до 8 Гбит/c	До 8 000 подключений, до 5 Гбит/c	До 4 000 подключений, до 2 Гбит/c	До 2 000 подключений, до 1 Гбит/c	До 700 подключений, до 0,5 Гбит/c	До 150 подключений, до 0,14 Гбит/c
Формфактор	1U					Настольный
Параметры блока питания	650 Вт АТХ, резервный БП (PSU)	300 Вт АТХ, резервный БП (PSU)	300 Вт АТХ, резервный БП (PSU)	220 Вт АТХ	150 Вт АТХ	36 Вт, адаптер питания 12В 3А
Сетевые интерфейсы	RJ-45 1GbE × 4 шт. SFP LAN 10GbE × 4 шт.		RJ-45 1GbE × 8 шт. SFP LAN 10GbE × 4 шт.	RJ-45 1GbE × 6 шт. SFP LAN 1 GbE × 2 шт.	RJ-45 1GbE × 6 шт.	RJ-45 1GbE × 3 шт.

Для развёртывания NGate в виде виртуальной программной платформы виртуальные машины должны удовлетворять определённым системным требованиям. Мы перечислили их в таблице далее.

Таблица 3. Системные требования для установки системы управления «КриптоПро NGate» в среде виртуализации

Параметр	ЦУС NGate	Узел NGate
Среда виртуализации	VMware Workstation (версии 11–16), VMware ESXi (версии 5.5–7.0), Hyper-V (версии 8, 8.1, 10, 2008, 2008 R2, 2022, 2022 R2, 2022), Xen (Citrix Hypervisor) (версии 7.1–8.2), Virtual Box (версии 3.2–6.1)
Гостевая операционная система	Debian Linux 11 x64
Оперативная память	1 ГБ и более
Жёсткий диск	Не менее 100 ГБ (в том числе для журналирования событий и другой информации)	Не менее 8 ГБ
Виртуальные сетевые интерфейсы	Не менее 1 шт. (тип сетевого адаптера — E1000, тип сетевого взаимодействия — Bridged Networking)

Как видно, эти требования являются легко выполнимыми. Однако при использовании NGate в среде виртуализации возникают другие ограничения: происходит понижение класса криптографической защиты до КС1.

К программной и аппаратной частям пользовательских устройств для работы VPN-клиента NGate особых требований не предъявляется. Работа VPN-клиента возможна практически на всех популярных настольных и мобильных операционных системах, включая отечественные программные и аппаратные разработки:

Microsoft Windows версий 7, 8, 8.1, 10, 11,
macOS версий 10.10–10.15, 11,
Linux (RHEL, CentOS, Debian, Ubuntu, ROSA, Astra, ALTLinux и другие),
iOS,
Android,
«Аврора».

Для получения доступа к защищаемым ресурсам пользователь может применять VPN-клиент NGate, веб-браузер либо собственное мобильное приложение после встраивания в него криптопровайдера «КриптоПро CSP 5.0 R2» (реализует поддержку TLS с ГОСТ для операционных систем iOS, Android и «Аврора» без дополнительных тематических исследований).