Решение StoneGate SSL VPN представляют возможность простого и защищенного удаленного доступа пользователей к корпоративным информационным ресурсам из любой точки земного шара. Использование технологии SSL VPN в несколько раз увеличивает эффективность работы пользователей, при этом обеспечивая надежную защиту информационных ресурсов.
Решение StoneGate SSL VPN гарантирует абсолютную безопасность информационных ресурсов на основе гранулированного многостороннего контроля доступа, удалённый доступ к любого рода информации осуществляется без прямого доступа к самим данным. Для установления соединения достаточно одного порта SSL/TLS (TCP/443), клиентское программное обеспечение, построенное на технологиях Java или ActiveX, подгружается автоматически, при этом перед установкой SSL соединения (и на протяжении всего времени его существования) производится инспекция клиентского оборудования на соответствие требованиям принятой Политике безопасности.
Для организаций — провайдеров управляемых услуг безопасности Managed Security Service Provider (MSSP) решение StoneGate SSL VPN позволяет создать надежно защищенную единую точку входа к web-приложениям или предоставлямым web-сервисам через индивидуальный портал пользователя.
Ключевые особенности StoneGate SSLVPN:
Поддержка от 100 до 5000 одновременных соединений;
Установление соединения с любого устройства вне зависимости от типа клиентского оборудования и способа подключения к сети (UMTS, WLAN);
Бесплатно вместе со шлюзом более 20 предустановленных методов аутентификации, включая уникальные методы аутентификации с использованием мобильного телефона!
Автоматическое удаление всех следов соединения при его завершении (временных файлов, кэша, скаченных документов и др.)
· Поддержка российских криптографических алгоритмов!
· Интеграция с Microsoft Active Directory и MS Outlook ActiveSync;
· Расширенная поддержка Single Sign-on (SSO);
· Быстрая интеграция с системами контроля доступа и конечными приложениями, встроенная поддержка приложений Outlook Web Access 2000/2003, Domino Web Access 6.5, Citrix MetaFrame Presentation Server, Terminal Server 2000/2003, MS Outlook Client 2000/2003 и др.
Возможность удаленного обновления ПО, централизованное управление всеми устройствами и мониторинг в режиме реального времени
Возможность резервирования и кластеризации;
Расширенные парольные политики;
Контекстный контроль сессий;
Гибкость установки и простота администрирования
Система защиты удаленного доступа с функцией межсетевого экранирования StoneGate SSL VPN прошла процедуру сертификации ФСТЭК России по схеме сертификации производства на соответствие требованиям по 3 классу защищенности как распределенный межсетевой экран, по 4 уровню контроля отсутствия недекларированных возможностей и технических условий и может использоваться при создании автоматизированных систем до класса 1Г и информационных систем персональных данных до 1 класса, включительно. Cертификат соответствия № 2284 от 25 февраля 2011г.
Кроме того, система обеспечения безопасных соединений StoneGate SSL VPN версия 1.5 (исполнения 1,2,4,6,7,8,10,11) получила сертификат ФСБ России № СФ/124-1803 от 27.03.2012 на соответствие требованиям к СКЗИ класса КС1 (для исполнений 1,6,10) и КС2 (для исполнений 2,4,7,8,11) и может использоваться для криптографической защиты информации (шифрование и имитозащита IP-трафика), не содержащей сведений, составляющих гос. тайну.
Источник
Знакомимся со StoneGate SSL VPN
Рубрика: Безопасность / Тестирование
СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС
Знакомимся со StoneGate SSL VPN
Решения StoneGate SSL VPN позволяют легко организовать защищенный удаленный доступ клиентам к внутренним ресурсам. Для подключения понадобится обычный веб-браузер
Сегодня все больше сотрудников работают за пределами корпоративной сети и требуют оперативного и, главное, безопасного доступа к данным, который обычно решается с помощью виртуальной частной сети (VPN, Virtual Private Network). Традиционными протоколами здесь являются IPSec, PPTP и OpenVPN.
При этом во время выбора конкретного решения VPN необходимо учитывать ряд факторов:
необходимость установки агента на клиентский ПК;
блокировку нестандартных портов провайдером;
возможность работы из-за NAT;
и другие.
Именно поэтому сегодня все более популярны решения для организации VPN, базирующиеся на SSL и использующие стандартный порт (как правило, 443). Они обеспечивают требуемую безопасность и одновременно являются простыми в эксплуатации. Все настройки производятся на серверной стороне, пользователю не требуется устанавливать и настраивать клиентское ПО.
Одним из популярных решений является StoneGate SSL VPN [1], реализованный как в виде аппаратных устройств нескольких модификаций, поддерживающих от 10 до 15 000 соединений, так и в виде OVF x64-образа, который можно запустить в любой современной виртуальной машине (продукт имеет статус VMware Ready).
Возможности StoneGate SSL VPN
Сервер StoneGate SSL VPN выступает в роли своеобразного прокси между клиентом и сервисом, к которому необходимо подключиться, обеспечивая аутентификацию, контроль состояния устройства и шифрование.
Принцип работы очень прост. Пользователь для доступа к корпоративным ресурсам запускает веб-браузер, подключается к порталу и выбирает способ аутентификации. После проверки учетных данных пользователю остается только подключиться к требуемому ресурсу, просто выбрав значок, причем в списке показываются только разрешенные.
Это может быть веб-сервис, запуск определенных приложений на локальной системе, поддерживается синхронизация устройств посредством Microsoft Active Sync, есть передача видео и голоса. Если приложение сложное и требует туннелирования трафика, то в браузере потребуется поддержка технологий Java или ActiveX.
Тогда после выбора значка приложения будет загружен агент, который и обеспечит создание туннеля для приложения. Какое-либо особое обучение сотрудника не требуется, он общается с обычным веб-порталом, все происходит прозрачно для пользователя.
Установки и политики настраиваются и применяются автоматически на шлюзе, в том числе администратор публикует доступные ресурсы. Сервер StoneGate при этом является единой точкой доступа ко всем приложениям, обеспечивая в том числе и однократную аутентификацию (SSO), избавляя пользователя от необходимости каждый раз вводить пароль для регистрации.
Подключение производится по 443-му порту, который используется для защищенного входа на веб-сайты, а поэтому не блокируется провайдерами. По умолчанию шифруется только подключение между клиентом и сервером StoneGate, трафик между StoneGate и самим сервисом остается открытым, но возможность его шифрования предусмотрена.
Поддерживается более 20 методов аутентификации, в том числе с помощью сертификатов, смарт-карт и одноразового пароля.
Для реализации OTP используются SMS-сообщение или специальный клиент StoneGate SSL VPN MobileID Client, доступный для всех популярных платформ iOS/OS X, Android, Windows/WinPhone, Linux, Java ME и других.
Расширенные политики паролей позволяют устанавливать нужный уровень сложности. Ввод учетных данных можно произвести с помощью веб-клавиатуры, это поможет избежать перехвата программой кейлогером.
Доступ также может быть предоставлен или запрещен на основе IP-адреса клиента, устройства, метода аутентификации, даты и времени, членства в группе.
Еще один важный момент. При подключении и в процессе работы производится анализ удаленной системы, позволяя выполнить принятые политики безопасности (установлен и активен антивирус и брандмауэр, тип устройства и его состав, сетевые настройки, запущенные процессы и открытые порты и т.д.).
Администратор может использовать скрипты, выполняющие дополнительные проверки. В результате всех факторов пользователю предоставляется полный или ограниченный доступ.
Например, при работе на неизвестном компьютере с неработающим антивирусом могут быть запрещены передача файлов и подключение к особо охраняемым сервисам. Предусмотрено принудительное удаление всех данных по окончании сессии (временных файлов, истории, кэша, документов и т.д.), позволяя сохранить конфиденциальность.
Управление учетными записями упрощается за счет интеграции с LDAP-сервисами, включая Active Directory, полный список серверов приведен в документации. Сам StoneGate SSL VPN поставляется с встроенным LDAP-сервером OpenDJ. Продукт легко масштабируется, предусмотрена возможность автономной работы или работы в кластере. В этом случае один сервер играет роль основного. Реализовано простое резервирование и восстановление настроек, управление сертификатами, обновление, аудит и многое другое.
Все настройки производятся с помощью веб-браузера (Web Console) или Stonesoft Management Center, используемого для централизованного управления несколькими устройствами и поставляемого как отдельное приложение (для Linux или Windows).
Продукт ориентирован на организации разного уровня, в том числе и требующие особых мер безопасности, и обладает сертификатами ФСБ и ФСТЭК России. В частности, StoneGate SSL VPN имеет сертификат, удостоверяющий соответствие требованиям ФСБ России к СКЗИ класса КС1 и КС2 для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну. Лицензируется по количеству одновременно подключенных пользователей.
Наличие образа для виртуальной машины позволяет легко протестировать StoneGate SSL VPN или быстро развернуть VPN на имеющемся оборудовании, не ожидая поставки устройства. Возможности по количеству соединений в этом случае полностью зависят от мощности компьютера. В настоящее время актуальной является версия 1.5.200, ее и будем дальше рассматривать.
Процесс получения образа тривиален. Вначале необходимо зарегистрироваться, указав рабочий почтовый ящик, на который придет ключ, после чего номер ключа указываем в форме для закачки, затем откроются нужные ссылки.
После запуска виртуальной машины потребуется указать сетевые настройки для интерфейса конфигурирования, имя узла, установить пароль root и веб-администратора (admin, по умолчанию Pass1234) и активировать SSH. Остальное можно задать уже в веб-консоли, которая доступна на 10 000-му порту (например, https://192.168.1.100:10000/).
Настроек немного, они разбиты на группы, назначение которых понятно и без перевода. Последовательность действий хорошо расписана в руководстве, от администратора не требуется правка конфигурационных файлов, следует просто внимательно заполнить предложенные поля.
Рисунок 1. Настройка сетевых интерфейсов к консоли StoneGate SSL VPN
После загрузки активны только два сетевых интерфейса (LAN eth0 и lo), поэтому первым шагом необходимо добавить остальные сетевые интерфейсы, прописав имя и параметры, разрешив активацию при загрузке, затем настроить маршрутизацию, сгенерировать сертификат и активировать сервисы.
При наличии Stonesoft Management Center подключение к нему настраивается в Initial contact. Остальные настройки производятся в Stonesoft SSL VPN Administrator, который слушает на 8443-м порту. Именно здесь подключается файл лицензии, прописываются правила доступа и настраиваются ресурсы.
Рисунок 2. Настройки параметров доступа и публикация сервисов производятся в Stonesoft SSL VPN Administrator
На поверку StoneGate SSL VPN – это больше, чем средство организации безопасного доступа к сети. Его возможности на порядок больше и позволяют контролировать состояние устройства, определять правила доступа и метод аутентификации, обеспечивать SSO. При этом настройки гораздо проще, чем другие системы для организации VPN.
Источник
Пробрасываем толстый клиент через SSL туннель с шифрованием по ГОСТ
Привет, Хабровчане!
Сегодня мы хотим рассказать о преимуществах технологии SSL VPN и о практике работы со шлюзом Stonesoft SSL. В статье будет описана настройка данного решения для проброса толстого клиента (на примере хорошо знакомой многим 1С Бухгалтерии) через протокол HTTPS с применением ГОСТовых алгоритмов шифрования. Это позволит нашему любимому главному бухгалтеру удаленно работать с базой 1С по зашифрованному каналу прямо с дачи, нам – быстро подключить к системе пару сотен разбросанных по стране небольших офисов, а нашей организации – выполнить требования законодательства по защите, например, персональных данных.
В статье описывается способ безопасной публикации клиент-серверных приложений через Веб, руководствуясь которым, можно организовать удаленный доступ практически к любому корпоративному ресурсу.
Что такое SSL VPN
Итак, давайте посмотрим, как SSL VPN может облегчить нам жизнь и сэкономить время и нервы. Описывать технологию смысла не вижу, чтобы не докучать сухой технической информацией продвинутому читателю. Освежить знания по SSL VPN можно здесь. Мы же остановимся на практике использования и подумаем, чем же так хорош SSL VPN в сравнении с классическим IPSec VPN.
Суть технологии SSL VPN состоит в следующем: клиент подключается по 443 порту к шлюзу, который в свою очередь инициирует соединение с удаленным сервером (в нашем случае – это 1С), как прокси-сервер. Во-первых, это удобно. Можно организовать доступ к любому сервису/ресурсу с любого пользовательского устройства из любого места, где есть Интернет. Не надо устанавливать никаких VPN-клиентов, настраивать их, как в случае использования IPSec VPN, достаточно в браузере ввести адрес, аутентифицироваться и работать. Пользователь сможет получить удаленный доступ к корпоративному ресурсу даже через публичный или гостевой Wi-Fi, т.к. 443 порт открыт почти во всех сетях.
Во-вторых, это просто. Просто для всех. Вам не придется объяснять тетеньке-бухгалтеру пользователю, что для получения доступа к какому-то ресурсу ему надо в трее найти иконку VPN-клиента, нажать на ней правой кнопкой мыши, из списка выбрать адрес шлюза, нажать «Connect», ввести логин и пароль (снова привет IPSec VPN). Просто для администраторов, т.к. не надо выдавать пользователю рабочий ноутбук для командировок с установленным и настроенным VPN-клиентом, антивирусом и другим корпоративным ПО.
В-третьих, это безопасно. Есть много механизмов защиты, которые шлюз SSL VPN может применять к клиенту. Два главных механизма – это аутентификация и шифрование. Методы и средства аутентификации можно выбрать самые различные: по логину/паролю, RADIUS, сертификаты, одноразовые пароли, интеграция с Active Directory и многие другие, в зависимости от выбранного решения SSL VPN.
Шифрование тоже на любой вкус, все зависит от вендора. Например, Stonesoft SSL, который мы рассмотрим в этой статье, предлагает нам выбирать из следующих алгоритмов: AES, DES, 3DES, RC2, RC4 и, в версии для России, ГОСТ 28147-89, что очень радует наших гос. регуляторов. Так как мы живем в России и законы не нарушаем, то наличие у этого продукта сертификатов соответствия ФСТЭК и ФСБ позволяет существенно расширить область его применения.
Также можно выделить такие интересные механизмы защиты, как проверка конечного устройства пользователя на соответствие политике безопасности и удаление следов сессии по окончании соединения (cookies, история URL, данные из кэша и временные файлы).
Что имеем и что хотим
Задача стоит следующая: организовать защищенный доступ к серверу 1С по протоколу HTTPS с использованием ГОСТового шифрования с ноутбука бухгалтера, который любит отдыхать и работать на даче. По сути, мы будем прокидывать толстый клиент 1С, который работает по «своим» портам (1540 TCP, 1560-1591 TCP), через порт 443 TCP.
Ниже рассмотрим 2 варианта исполнения подключения через шлюз SSL VPN:
1С-клиент работает с сервером 1С по портам 1540 TCP, 1560-1591 TCP, база 1С хранится в СУБД, установленной на том же сервере
1С-клиент работает напрямую с базой, которая находится в папке с общим доступом
Для реализации этих сценариев в лаборатории был собран стенд:
Сервер 1С: Windows Server 2008 R2 x64, MS SQL 2008 R2 Express, 1С 8.3.1.531
Клиент: Windows XP SP2, клиент 1С 8.3.1.531, КриптоПро CSP 3.6
Шлюз SSL VPN: Stonesoft SSL 1.5.200.2002 kc1 GOST, для клиента доступен по адресу https://ssl.sglab.ru/
Удостоверяющий центр: тестовый УЦ КриптоПро
МЭ стоит для эмуляции работы через интернет: на внешнем интерфейсе открыт только порт 443 TCP
и настроен NAT на интерфейс шлюза SSL VPN.
Как видно из схемы и правил на МЭ, доступа извне к серверу 1С нет (безопасность прежде всего!).
Настраиваем SSL VPN
Описывать процесс установки прошивки с поддержкой ГОСТ на шлюз SSL VPN и его первоначальной настройки не буду, все это можно найти в Интернетах и гайдах. Так что условимся, что у нас есть чистый Stonesoft SSL с установленными криптобиблиотеками КритоПро CSP, сгенерированными ключами, импортированными сертификатами шлюза и доверенного Удостоверяющего центра.
Ниже приведены сертификаты шлюза Stonesoft SSL и пользователя, выпущенные на тестовом Удостоверяющем центре.
Сертификат шлюза SSL VPN:
Сертификат пользователя:
Настройку шлюза SSL VPN можно разделить на следующие шаги:
Настройка аутентификации пользователей
Публикация ресурсов на портале приложений шлюза SSL VPN
Вариант №1: 1С-клиент работает с сервером 1С по портам 1540 TCP, 1560-1591 TCP
Создание туннельного ресурса
Создание объекта на портале приложений
Вариант №2: 1С-клиент работает напрямую с базой, которая находится в папке с общим доступом
Создание стандартного ресурса
Ниже приведено подробное описание настроек со скриншотами.
Настройка аутентификации пользователей
Сначала настроим аутентификацию пользователей. Мы выбрали следующую схему: аутентификация по сертификатам, выданным только доверенным УЦ без привязки к какому-либо хранилищу пользователей. Т.е. если у пользователя есть сертификат, выданный УЦ, который шлюз считает доверенным, то пользователь может аутентифицироваться. Итак, заходим на https://10.30.0.213:8443/ и попадаем на консоль администрирования шлюза Stonesoft SSL.
Идем на вкладку Manage System – Authentication Methods.
Добавляем новый метод – жмем Add Authentication Method…, выбираем тип User Certificate, задаем имя методу и выбираем УЦ, который будет использоваться для данного типа аутентификации.
По умолчанию аутентифицироваться может не любой пользователь, а только тот, чья учетная запись известна шлюзу. Для нашей схемы нужно добавить новый атрибут для созданного метода аутентификации: жмем Add Extended Property…, выбираем атрибут Allow user not listed in Any User Storage и выставляем значение атрибута true.
Все, новый метод аутентификации готов, для применения изменений жмем кнопку Publish. Это, наверное, самая важная кнопка при работе с Stonesoft SSL, не забывайте жать ее каждый раз, когда что-то меняете.
Публикация ресурса. Вариант №1
Теперь надо опубликовать ресурс, чтобы он был доступен пользователю на портале приложений шлюза SSL VPN. Сначала рассмотрим Вариант №1: 1С-клиент подключается к серверу 1С и работает с базой в СУБД.
Процесс создания и публикации ресурса можно описать следующим образом:
Создание хоста (в нашем случае это сервер 1С)
Создание ссылки на портале приложений шлюза SSL VPN
Идем на вкладку Manage Resource Access – Tunnel Resources, жмем Add Tunnel Resource Host… Заполняем имя ресурса, IP-адрес и порты, по которым мы хотим получить доступ к серверу 1С.
Теперь нужно создать элемент на портале приложений. Идем на вкладку Manage Resource Access – Tunnel Sets, жмем Add Tunnel Set и заполняем имя, выбираем иконку, которая будет видна пользователю (можно выбрать из готовых или загрузить свою), в поле Link Text пишем текст, который будет отображаться под иконкой.
На следующем шаге мы должны указать шлюзу SSL VPN, какой трафик заворачивать в SSL, для этого добавляем динамический туннель, для чего жмем Add Dynamic Tunnel to the Set… и из выпадающего списка в поле Resource выбираем хост с сервером 1С. Все остальные поля заполняются автоматически в соответствии со свойствами ресурса, который мы выбрали.
Теперь самый ответственный момент, необходимо правильно написать команду, которая будет выполняться на клиентском ПК, автоматически запуская клиент 1С с требуемыми параметрами подключения к серверу. У меня она выглядит следующим образом: «C:\Program Files\1cv8\8.3.1.531\bin\1cv8c.exe» /S«10.30.0.238\1c». Стоит помнить о том, что если пользователей несколько, то у всех путь к исполняемому файлу должен быть одинаковым. Если это по каким-то причинам невозможно, то можно поле Startup Command оставить пустым, тогда клиент 1С придется запускать вручную и указывать все параметры после открытия ресурса на портале приложений.
После всех проделанных действий жмем Publish.
Теперь можем проверить, что у нас вышло. Запускаем браузер, пишем в адресной строке https://ssl.sglab.ru/ и видим окно с выбором сертификата.
После аутентификации попадаем на портал приложений.
Жмем на 1С и видим, как загружается Access Client, запускается команда, которую мы писали в свойствах Tunnel Set и в итоге стартует клиент 1С: Предприятие и подключается к серверу.
В момент подключения можно посмотреть логи на МЭ и убедиться, что все работает через HTTPS.
Публикация ресурса. Вариант №2
Теперь настроим другой сценарий – пользователь жмет на иконке 1С на портале приложений и получает доступ к папке с базой на сервере 1С.
Заходим на консоль администрирования шлюза, идем на вкладку Manage Resource Access – Standard Resources – File Sharing Resources – Microsoft Windows File Share и жмем Add this Standard Resource.
Заполняем имя ресурса, IP-адрес сервера 1С, имя папки с базой, к которой открыт общий доступ, выбираем иконку для портала приложений и пишем отображаемое имя.
Собственно, все. Не забываем опубликовать изменения на портале.
Теперь с клиентского ПК снова заходим на https://ssl.sglab.ru/ и жмем на созданной иконке База 1С.
После чего мы видим папку с базой 1С.
Далее все просто и понятно – добавляем в клиенте 1С новую информационную базу, указываем путь \\10.30.0.238\1cbase и работаем с ней по защищенному каналу через HTTPS.
Заключение
Таким образом, мы настроили шлюз SSL VPN для удаленной работы с сервером 1С в двух вариантах по зашифрованному ГОСТовыми алгоритмами каналу и позволили нашим пользователям безопасно работать с корпоративными ресурсами через толстые клиенты.
Это далеко не все, на что способен Stonesoft SSL VPN. Приведенную конфигурацию несложно будет «оттюнинговать» под свои потребности.
Надеемся, эта статья будет вам полезна. В дальнейшем мы планируем продолжить делиться с хабражителями нашим опытом в области информационной безопасности. Будем рады вопросам и пожеланиям в комментах.
Знакомимся со StoneGate SSL VPN
Знакомимся со StoneGate SSL VPN
СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС
