Previous 

Общие сведения

Next

Настоящее руководство предназначено для администраторов систем защищенного удаленного доступа к корпоративной сети на основе «Амиконнекта» и ФПСУ, работающих на ПЭВМ в операционных системах Debian.

«Амиконнект» (клиент PKI) предназначен для защиты доступа отдельной рабочей станции к ресурсам сети передачи данных. Доступ организуется с использованием инфраструктуры открытых ключей (Public Key Infrastructure, PKI).

Между ФПСУ-IP и «Амиконнектом» поэтапно организуется защищенное VPN-соединение, через которое могут передаваться данные уровней L3–L7 модели  OSI.

Взаимная двухсторонняя аутентификация клиентов PKI и ФПСУ-IP производится с использованием сертификата открытого ключа пользователя и собственного сертификата ФПСУ-IP. Пользователь Амиконнект идентифицируется реквизитами своего сертификата. На ФПСУ-IP реализованы PKI-алгоритмы RSA и ГОСТ.

VPN-протокол нечувствителен к задержкам и плохим каналам связи и способен функционировать на каналах связи с задержками до 300 мс. Клиент PKI поддерживает работу на каналах связи с задержками более 300 мс.

Организация VPN-соединения между клиентом PKI и ФПСУ-IP для доступа к информационным ресурсам реализована с применением технологий, облегчающих конфигурирование и управление сетевыми настройками клиентов, на ФПСУ-IP устанавливаются минимальные настройки клиентов PKI. Дополнительное (после первоначальной аутентификации на ФПСУ-IP) решение по доступу клиента PKI к защищаемой сети может быть принято с помощью внешних по отношению к ФПСУ-IP сервисов RADIUS, DHCP, OCSP, сompliance (интеграция с комплексом информационной безопасности «САКУРА», разработанным компанией «ИТ-Экспертиза»).

Система использует клиент-серверную архитектуру, предусматривающую наличие следующих компонентов:

•        VPN-клиент;

•        VPN-сервер;

•        compliance-клиент;

•        compliance-сервер.

Данное решение может быть внедрено в действующую IT-инфраструктуру предприятия, включающую инфраструктуру PKI, либо использовано при развёртывании новой IT-инфраструктуры.

Схема взаимодействия клиента PKI и ФПСУ определяет, что пользователь клиента PKI получает от удостоверяющего центра сертификации (далее - УЦ) закрытый ключ и сертификат открытого ключа и устанавливает их на рабочую станцию клиента PKI. На ФПСУ-IP должны быть загружены ключевая пара — закрытый ключ и собственный сертификат самого ФПСУ-IP, а также сертификаты удостоверяющих центров, выдавших клиентские сертификаты клиентам PKI. При подключении клиента PKI к защищенной сети ФПСУ-IP проверяет сертификат, предъявленный клиентом PKI, и отправляет на сервер OCSP-запрос о статусе сертификата. Ответчик OCSP возвращает ответ со статусом сертификата. При действующем сертификате клиент PKI авторизуется в защищённой сети.

clip0012

Примечание: все BETA-версии «Амиконнекта» имеют ограниченный срок действия — 90 дней с момента первого запуска.