Пояснительная записка (1209844), страница 5
Текст из файла (страница 5)
Возможные применения программного комплекса «МагПро КриптоТуннель»:
-
защита данных и аутентификация пользователей, а также электронная подпись в системах "интернет–банк";
-
защита данных и аутентификация пользователей, а также электронная подпись в корпоративных системах электронного документооборота;
-
защита данных при терминальном доступе (Remote Desktop);
-
защищенный обмен файлами через сеть Интернет, в т.ч. по протоколу WebDAV;
-
защита электронной почты;
-
обеспечение безопасного канала передачи данных и двусторонней аутентификации между клиентом и сервером, общающимися по произвольному протоколу.
3.3.2 Принцип действия
КриптоТуннель работает по принципу прокси. При старте программа начинает "слушать" заданный в конфигурационном файле порт на 127.0.0.1. Кроме порта в конфигурационном файле задается, на какой удаленный сервер будет переадресовано соединение, принятое на данном порту. Если после этого пойти, например, браузером, на http://127.0.0.1:[номер порта], то программа произведет следующие действия в рамках выполнения протокола TLS:
-
аутентификацию удаленного сервера по сертификату X.509 сервера, обеспечивая таким образом защиту от атаки "человек посередине";
-
аутентификацию клиента на сервере по сертификату X.509 клиента, обеспечивая таким образом защиту от несанкционированного доступа к ресурсам сервера;
-
шифрование сетевого трафика между клиентом и сервером, обеспечивая таким образом конфиденциальность обмена данными.
Электронная подпись производится в формате PKCS#7 с применением ГОСТ Р 34.10–2001. Возможно подписывать
-
текстовые данные, передаваемые через web–форму;
-
файлы произвольного формата, передаваемые через web–форму.
Когда пользователь вводит текстовые данные в web–форму на странице и отправляет эти данные на сервер, браузер формирует POST–запрос. Формат тела этого запроса соответствует формату передаваемых данных и представляет собой набор записей: имя поля – значение поля. Браузер отправляет данный запрос на сервер, но через КриптоТуннель. КриптоТуннель при этом проверяет, требуется ли подписывать данные из запроса. КриптоТуннель подпишет данные в двух случаях:
-
если запрос специальным образом промаркирован, то есть содержит поле со специальным именем;
-
если запрос идет на специальный URL.
Имена полей и URL задаются в конфигурационном файле КриптоТуннеля. При подписи КриптоТуннель извлекает данные из этого поля, декодирует их из формата url–encoded, затем подписывает в формате PKCS#7. При этом конверт PKCS#7 содержит внутри себя декодированные данные, электронную подпись и сертификат подписи. Затем конверт PKCS#7 кодируется в url–encoded и подставляется в поле запроса вместо данных; производится соответствующее изменение размера тела запроса в заголовках.
При подписи файла КриптоТуннель работает схожим образом, но учитывается, что запрос представлен в виде multi–part. При этом декодирование/кодирование url–encoded не требуется. Конверт PKCS#7, содержащий внутри себя файл, подставляется вместо файла в тот раздел multi–part, в котором находился файл.
3.3.3 Протоколы
Протокол SSL/TLS, реализуемый КриптоТуннелем, обеспечивает защиту соединения на транспортном уровне модели OSI. Вследствие этого возможна защита практически любого прикладного протокола, работающего через TCP–соединение без динамического открытия портов, в частности HTTP, RDP, SMTP, POP3, IMAP, WebDAV, FTP (passive mode), NFS, SQL и т.д.
3.3.4 Соответствие стандартам
Для обеспечения совместимости с СКЗИ других производителей КриптоТуннель соответствует открытым стандартам в области защиты информации, в частности поддерживаются:
-
международные стандарты и рекомендации (Х.509, PKIX, PKCS, CMS, RFC);
-
стандарт на ЭЦП ГОСТ Р 34.10–2001;
-
выработка значения хэш–функции в соответствии с ГОСТ Р 34.11–94;
-
шифрование данных в соответствии с ГОСТ 28147–89.
3.4 Программный комплекс «МагПро КриптоСервер»
Программный комплекс МагПро КриптоСервер предназначен для защиты различных интернет–сервисов от несанкционированного доступа и перехвата данных, передающихся между сервисом и клиентом. МагПро КриптоСервер представляет собой сертифицированное криптографическое средство. Защита обеспечивается с помощью протокола SSL/TLS, в рамках которого осуществляется аутентификации клиента по сертификату X.509 и шифрование трафика между клиентом и сервером.
Таким образом, МагПро КриптоСервер:
-
позволяет произвольному web–серверу (IIS, Apache, nginx и т.д.) защищать сайты по протоколу HTTPS;
-
обеспечивает безопасный доступ на терминальный сервер по протоколу RDP;
-
обеспечивает защиту почтовых серверов и серверов баз данных и т.д.
3.4.1 Применение
-
защита данных и аутентификация пользователей в системах "интернет–банк"
-
защита данных и аутентификация пользователей в корпоративных системах электронного документоборота;
-
защита данных при терминальном доступе (Remote Desktop);
-
защищенный обмен файлами через сеть Интернет, в т.ч. по протоколу WebDAV;
-
защита электронной почты;
-
обеспечение безопасного канала передачи данных и двусторонней аутентификации, между клиентом и сервером, общающимися по произвольному протоколу.
3.4.2 Принцип действия
КриптоСервер представляет собой "криптографический прокси". Данный прокси устанавливается перед защищаемым сервисом и принимает соединения, защищенные по протоколу SSL/TLS. При этом защищаемый сервис настраивается таким образом, что начинает принимать соединения только от КриптоСервера. КриптоСервер по защищенному соединению получает данные от клиента, расшифровывает их и затем передает сервису. В рамках выполнения протокола SSL/TLS КриптоСервер выполняет:
-
аутентификацию клиента на сервере по сертификату X.509 клиента, обеспечивая таким образом защиту от несанкционированного доступа к ресурсам сервера;
-
шифрование сетевого трафика между клиентом и сервером, обеспечивая таким образом конфиденциальность обмена данными.
3.4.3 Протоколы
Протокол SSL/TLS, реализуемый КриптоСервером, обеспечивает защиту соединения на транспортном уровне модели OSI. Вследствие этого возможна защита практически любого прикладного протокола, работающего через TCP–соединение без динамического открытия портов, в частности HTTP, RDP, SMTP, POP3, IMAP, WebDAV, FTP (passive mode), NFS, SQL и т.д.
3.4.4 Соответствие стандартам
Для обеспечения совместимости с СКЗИ других производителей КриптоСервер соответствует открытым стандартам в области защиты информации, в частности поддерживаются:
-
международные стандарты и рекомендации (Х.509, PKIX, PKCS, CMS, RFC);
-
стандарт на ЭЦП ГОСТ Р 34.10–2001;
-
выработка значения хэш–функции в соответствии с ГОСТ Р 34.11–94;
-
шифрование данных в соответствии с ГОСТ 28147–89.
3.5 Схема реализации
Схема реализации изображена на рисунке 3.5.1.
Рисунок 3.5.1 – Схема варианта реализации проекта защиты
4 Разработка рекомендации по реализации
4.1 Выбор служебного ноутбука
Так как работа инженеров связана с постоянными разъездами между объектами, им необходимы служебные ноутбуки для оперативного получения и обработки информации.
Для работы инженеров были выбраны ноутбуки компании DESTEN, модели CyberBook S874. Выбор данной модели обоснован наличием встроенной платы «Соболь», а также высокими показателями производительности. Используемая операционная система – Windows 7. Все служебные ноутбуки будут проходить специальные проверки и исследования, так как при возникновении инцидента на узле закрытого сегмента сети Министерства Обороны Российской Федерации, они будут подключаться к нему. Общая стоимость комплекта из 5 ноутбуков = 490 744 рубля. Техническая конфигурация ноутбука отображена в таблице 4.1.1.
Таблица 4.1.1 – Техническая конфигурация ноутбука
| Элемент | Характеристика |
| Процессор | Intel® Core™ i5 |
| Чипсет | Intel® QM77 |
| Память | До 16 Гб DDR3 |
| Жесткий диск | 2.5» SATA HDD, объем 250–1500Гб |
| Оптический привод | DVD±RW пишет и читает двухслойные диски |
Окончание таблицы 4.1.1 – Техническая конфигурация ноутбука
| Элемент | Характеристика |
| Дисплей | 14.0» WXGA (1366x768) + LED подсветка |
| Элемент | Характеристика |
| Сетевые устройства | Сетевой контроллер 1000/ 100/10 Мбит/с |
| Порты ввода–вывода | 1 х PCMCIA Type II |
| Габариты и вес | 342 мм x 245 мм x 47 мм, 3,4 кг |
Комплектация ноутбука отображена на рисунке 4.1.1.
Рисунок 4.1.1 – Комплектация служебного ноутбука
4.2 Защита передачи информации
На сервере хабаровского филиала будут развёрнуты компоненты «МагПРО КриптоСервер» и «МагПРО КриптоТуннель». Для того, чтобы сервер мог устанавливать защищённое соединение с клиентами будет установлен TLS–сертификат, закрытый ключ и корневой сертификат. Так как на сервере располагается только один виртуальный сайт, то в сертификате, в поле CN субъекта прописывается только одни имя – it15.voentk.ru. Сертификат сервера должен содержать расширение Enhanced Key Usage со значением Server Authentication (1.3.6.1.5.5.7.3.1).
На служебные ноутбуки также устанавливаются TLS–сертификат и закрытый ключ, а также корневой сертификат удостоверяющего центра. Для каждого клиента сертификаты и соответствующие им ключи уникальны. Необходимо, чтобы сертификат клиента содержал расширение Enhanced Key Usage со значением Client Authentication (1.3.6.1.5.5.7.3.2).
Все сертификаты и соответствующие им закрытые ключи, а также корневой сертификат выдаются удостоверяющим центром Министерства обороны Российской Федерации.
При отправке информации инженер должен подписать файл, содержащий информацию, на сервере с помощью своего сертификата.
Протокол HTTPS осуществляет двустороннюю криптографическую аутентификацию и вырабатывает уникальный сеансовый ключ шифрования. Это обеспечивает невозможность подмены сервера фальшивым, надежно защищает передаваемые данные от "подслушивания" или подмены. По умолчанию браузеры и веб–серверы, поддерживающие HTTPS, не предусматривают использование сертифицированной российской криптографии. В связи с этим требуется использование дополнительных сертифицированных средств защиты, реализующих российские алгоритмы, соответствующие действующим ГОСТам.
Аутентификация пользователей на Веб–Сервере реализуется с помощью электронных ключей «Рутокен»
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
